テキサス州の生体認証法の施行は、人工知能に焦点を当てています。 インサイト

多くの組織は、2023 年に施行される州の消費者プライバシー法への準拠に注意を向けていますが、テキサス州司法長官が 2022 年に生体認証データの収集に関する 2 つの訴訟を提起したことを心に留めておく必要があります。機械学習に依存する人工知能 (AI) モデルを使用します。 Texas Capture or Use of Biometric Identifier Act (CUBI) に違反すると、重大な結果が生じる可能性があります。 CUBI は、違反ごとに最大 25,000 ドルの民事罰を規定しており、機械学習に必要なデータの量によって潜在的な違反の数が増加します。 この投稿では、テキサス AG による CUBI の幅広い解釈を検証し、AI 実装のコンテキストで生体認証データを処理する組織に関するいくつかの考慮事項を特定します。

CUBIの背景

CUBI は、生体認証識別子の取得、受信、所有、共有、および保持を規制しています。 このテキサス州の法律 (古い法律) は、「生体認証識別子」の定義、具体的には「網膜または虹彩のスキャン、指紋、声紋、または手または顔の形状の記録」に対してリスト限定のアプローチを使用しています。

CUBI の下では、組織は、最初に通知を行い、影響を受ける個人から同意を得ない限り、商業目的で生体認証識別子を取得することを一般に禁止されています。 (「商業目的」という用語は、法律によって定義されていません。) 生体認証識別子の開示は制限されなければなりません。 組織は、合理的な注意を払って生体認証 ID を保護する必要があり、通常、収集目的が終了してから 1 年以内に、妥当な期間内に破棄する必要があります。 特に、テキサス AG だけが CUBI の下で訴訟を起こすことができます。 私的行動権はありません。

Facebook と Google の嘆願書における CUBI の幅広い解釈

今年初め、Texas AG は (民間の法律事務所の助けを借りて) CUBI の違反の疑いで Facebook に対して請願書を提出しました。 民事和解に便乗して、テキサス AG は、Facebook の写真の「Tag Suggestions」機能が、通知や同意を得ることなく生体認証識別子を取得していると主張しました。 先月、テキサス AG は 2 回目の CUBI 訴訟を起こしました。今回は Google に対してです。 テキサス AG は、Google の製品が写真やビデオから顔の形状をキャプチャし、(Google アシスタントの場合) 検出された声から声紋をキャプチャして、CUBI に違反していると主張しています。

Facebook と Google は、生体認証データを明白な目的 (提案、グループ化、および支援) だけでなく、顔認識および音声認識 AI モデルのトレーニングと改善にも使用しているとされています。

CUBI は、「商業目的」での生体認証識別子の取得と使用を規制しています。 Texas AG によると、Facebook と Google の改善は、AI モデルの目的だけで CUBI の下での商業目的として十分である可能性があることを示唆しています。 したがって、基本的な使用が本質的に商業的なものである場合、AI モデルの開発に関連してテキサス州の住民に関連する生体認証識別子を取得または使用するには、CUBI への準拠が必要になることが示唆されます。

テキサス AG はまた、関連会社間で生体認証識別子を共有することは、テキサス AG によって CUBI 制限の対象となる「開示」と見なされることを嘆願書で明確にしています。 この解釈を考えると、組織は、どの関連会社が生体認証 ID を収集、処理、および使用しているかについて、意図的かつ注意を払う必要があります。これにより、そのようなすべての処理が CUBI に準拠していることを確認できます。

Texas AG は、CUBI は、他の識別情報がなくても、生体認証識別子のみの取得と使用を規制しているという立場をとっています。 FacebookとGoogleに対する請願は、FacebookとGoogleが生体認証識別子とともに他の情報を収集したこと、またはFacebookとGoogleが誰であるかを特定する能力を持っていたことを主張していません. 実際、Texas AG は、Facebook および Google の製品の非ユーザーに関連する生体認証識別子の取得について苦情を申し立てています。 したがって、身元不明の個人に関する生体認証識別子を収集して使用する場合でも、組織はリスクを負います。

Texas AG は、生体認証識別子の許可されていない取得と保持が 2 つの別々の CUBI 違反につながるという立場もとっています。 Texas AG が述べているように、「Facebook による生体認証識別子の最初の所有は違法であったため、これらの生体認証識別子を一定期間保持することは不合理であり、違反しています。 [CUBI]この結果、違反ごとに 25,000 ドルが、準拠していないバイオメトリック ID の取得ごとに 50,000 ドル以上になる可能性があります。

お持ち帰り

より多くの保護されたデータが収集されるにつれて、CUBI およびその他のプライバシー法に基づくリスクが増大します。 特に、組織は、特に AI モデルの改善のためにデータを収集または使用している場合、生体認証識別子の収集と処理を評価する必要があります。 現在、機械学習技術に基づいて AI モデルを改善するには大量のデータが必要であり、AI 開発者は、法令を遵守していない場合、CUBI や同様の法律の下で大きなリスクを負う可能性があります。 また、テキサス AG は、AI 開発者と協力して AI モデルをトレーニングし、生体認証識別子を間接的に取得していると見なされる可能性のある企業に手を広げようとすることも考えられます。

組織は、商用目的で生体認証識別子を取得する前に、次のチェックリストを検討する必要があります。

  • 捕獲前に影響を受けた個人に適切な通知を行う
  • キャプチャする前に、影響を受ける個人から同意を得る (合意に埋もれていない)
  • 法律で明示的に許可されている限られた状況を除き、(アフィリエイト間であっても)生体認証識別子を開示しないでください
  • 生体認証識別子を保護するために合理的な注意を払う
  • 妥当な期間内に生体認証識別子を破棄し、生体認証識別子を取得する目的が終了してから 1 年以内に破棄する

前述のように、各違反は実質的な罰則につながる可能性があります。 また、Texas AG は CUBI 違反の永久差し止め命令を求めることができます。これは、収集された生体認証識別子の使用に依存する機能またはビジネス活動に重大な影響を与える可能性があります。


このアラートに含まれる情報は、読者の一般的な教育と知識のためのものです。 これは、法的問題を分析および解決する際の唯一の情報源として設計されたものではなく、また、そのような情報源として使用されるべきではありません。また、特定の事実分析に基づく法的助言の代わりになるべきではありません。 さらに、各法域の法律は異なり、常に変化しています。 この情報は、弁護士とクライアントの関係を構築することを意図したものではなく、それを受け取ったとしても成立しません。 特定の事実状況に関して特定の質問がある場合は、この出版物の著者、Holland & Knight の代理人、またはその他の有能な法律顧問に相談することをお勧めします。


.

Leave a Comment

Your email address will not be published. Required fields are marked *