案例判罚|Meta 以 14 亿美元达成与德州的生物识别数据诉讼和解
首页博客
案例判罚|Meta 以 14 亿美元达成与德州的生物识别数据诉讼和解

案例判罚|Meta 以 14 亿美元达成与德州的生物识别数据诉讼和解

Kaamel Lab
Kaamel Lab

案件摘要

2022年2月,德克萨斯州总检察长肯·帕克斯顿(Ken Paxton)对 Meta(Facebook 母公司)提起诉讼,指控 Meta 在未获得知情同意的情况下非法收集德州居民的生物识别标识符用于商业目的,并长期保留这些数据,违反了德州 Capture or Use of Biometric Identifiers Act(CUBI)。2024年7月底,Meta 同意支付14亿美元以和解所有索赔。这是美国单个州提起的诉讼中获得的最大和解金额,远超2022年底40个州联合从谷歌获得的 3.9 亿美元和解金。

事件脉络

采集生物识别数据

Facebook 提供了一项面部标签功能(Face tagging),允许用户在上传的照片和视频中按名字标记个人。2010年,Facebook 推出了“标签建议” (Tag Suggestion)功能,该功能使用面部识别算法分析用户上传内容中的面部几何形状,匹配数据库中的面部几何数据(biometric geometry)并建议标签名字。最初这一功能仅应用于照片,后来扩展到视频。
根据 CUBI 对 “生物识别标识符”的定义,面部几何形状属于“生物识别标识符”(biometric identifier)的范畴。其他的“生物识别标识符”包括视网膜或虹膜扫描、指纹、声纹以及手或面部几何记录。因此,Meta 的技术构成了对生物识别标识符的收集和处理,Meta 有义务遵守 CUBI 的规定。根据 CUBI §503.001(b),用于商业目的收集生物识别标识符需要在收集前告知个人并获得其同意。然而,Facebook 未能告知用户或获得其同意,而是以社交共享的名义提取了用户上传内容中的面部几何数据,随后非法保留并从这些生物识别数据中获利。总检察长指控 Facebook 的 face tagging 功能在扫描照片时不会区分 Facebook 用户与非 Facebook 用户的面部几何,等于同时非法采集处理用户和非用户的生物识别数据。对于非用户而言,他们根本没有渠道被告知或反对此类的数据处理活动,严重影响他们的权益。

以商业目的披露生物识别标识符

总检察长认为,Facebook 一直在披露用户和非用户的生物识别标识符,每个生物识别标识符的持有均为 Facebook 提供商业用途。根据 CUBI §503.001(c),用于商业目的持有生物识别标识符的人在未经同意的情况下不得出售、租赁或以其他方式披露这些数据,除非符合某些特定条件,如个人失踪或死亡的情况,或法律要求的披露。Meta 的情况不适用于任何这些豁免。

数据的长期保留

CUBI 规定,生物识别标识符应在合理时间内删除,最迟不得超过收集目的到期后的第一年。总检察长引用2009年 FTC 调查中的发现,指出 Facebook 在用户删除账户后仍然访问其照片。诉讼指出,Facebook 未能及时删除数据不仅违反了法律义务,还增加了数据泄露的风险。总检察长进一步指出,由于 Facebook 最初持有生物识别标识符的行为就是非法的,因此对这些生物识别标识符的任何保留都是不合理的,违反了法律。

欺骗性商业行为

除了数据隐私问题外,总检察长还指控 Facebook 在其平台上误导性地描述了其对生物识别符的收集和使用,未能披露关键信息,从而违反了德州 Deceptive Trade Practices Act (DTPA)。

罚款与赔偿

在2022年的诉讼中,总检察长要求对每个 CUBI 违规行为处以最高2.5万美元的民事罚款,并对每个违反 DTPA 的行为处以最高1万美元的罚款。今年7月,双方达成了和解协议,Meta 同意支付 14 亿美元,其中需要在和解条款生效后30天内支付 5亿美元的首期和解金。

事件启示

这并非 Meta 首次在美国因从用户内容中提取面部几何数据而面临生物识别数据诉讼。2019年,FTC 因 Meta 对生物识别数据采集与使用的透明度不足、没有达到充分告知用户等问题对其处以超过 50 亿美元的罚款。2021年,Meta 在伊利诺伊州的类似诉讼中支付了6.5亿美元的和解金。今年早些时候,第九巡回法院就 Meta 与非Facebook 用户 Zellmer 之间的案件作出最终裁决,案件涉及其朋友上传至平台的照片(您可以在我们的往期发布中查看我们对这一案件的详细讨论)。
在讨论生物识别数据隐私时,人们往往将生物识别数据与敏感个人数据的保护要求联系起来,或者直接提到伊利诺伊州的 Biometric Information Privacy Act(BIPA)。虽然BIPA确实因为执法活跃经常在生物识别数据隐私的讨论中占据主导地位,但该案件表明,伊利诺伊州并不是美国唯一一个拥有生物识别数据特定法规的州,德州和其他州也有严格的生物识别数据法规。收集、处理或使用生物识别数据的企业必须了解并遵守当地相关的数据保护法律是他们的责任,并作出对应的措施。实践中即使某个州没有特定的生物识别数据法规,企业也应对敏感个人信息采取合理的保护措施,以确保所有用户都能享受到一个共同的基础保护标准。