伊利諾州BIPA的第一個最高院判決——Resenbach v. Six Flags

◎ 顧長芸(中央研究院法律學研究所)

*本文經授權轉載自中研院法律所資訊法中心,2019/05/30發佈
*本研究感謝中央研究院「健康雲跨領域研究」及「中央研究院法律學研究所資訊法中心」支持

BIPA(Biometric Information Privacy Act)為美國伊利諾州規範私人企業對於生物識別特徵(biometric identifier)與生物識別資訊(biometric information)之蒐集、儲存、利用與銷毀之法規,也為全美首個針對個人特有之生物識別特徵與資訊所提出的規範,同時,本法也是全美目前唯一可以允許個人生物識別權利受侵害者(aggrieved person)提起私人訴訟的州法。

BIPA所規範的個人生物識別特徵包括視網膜與虹膜掃描、指紋、聲紋、手與臉部幾何掃描(Sec.10);當私人企業要蒐集個人生物識別特徵或資訊時,必須先以書面告知本人或其法代將要蒐集與儲存生物識別資訊,並且須以書面告知蒐集的特定目的與保存期間,同時必須取得個人或其法代的書面同意後,才可進行蒐集(Sec.15(b))。當蒐集目的已經滿足,或個人與私人企業的最後互動時間點起算的三年內,不論達成上述任一種情況,企業必須永久刪除生物識別資訊(Sec.15(a))。經由訴訟程序,私人企業若因疏忽而違反本法,每件違規需賠償1000美元或實際損害,以高者計;企業若為故意或不注意而違反本法,每件違規需賠償5000美元或實際損害,以高者計;同時,企業也需負擔原告之合理律師費用與訴訟費用,且若法院認為適當亦可下達禁制令或其他救濟(Sec.20)。

Photo by George Prentzas on Unsplash

2014年5月,原告母親Stacy Resenbach至網路購買由Six Flags營運之遊樂園季票,供當時年僅14歲之原告Alexander Resenbach參加校外教學時使用,而Stacy僅被告知季票使用的唯一手續,為需由Alexander本人親自至遊樂園簽名。遊樂園為防止假冒身分,使用指紋識別系統作為入園認證方式,因此Alexander至遊樂園後,被要求留下拇指指紋,配合季票卡一起,作為日後入園的識別證明。此次為Alexander唯一一次至Six Flags遊樂園,但Six Flags一直保存Alexander的拇指指紋資料。Stacy於2017年因而代Alexander提告。

被告違反BIPA規範而蒐集生物識別資訊為確定的,然此案的爭點在於,原告是否可以僅在被告違反本法的情況下,被視為權利受侵害者,尋求損害賠償與禁制令救濟?對此,一審法院(Circuit Court of Lake County)與二審法院(Illinois Appellate Court)有不同之見解。而州最高院(Supreme Court of Illinois)於今年1月25日的判決,推翻二審法院之判決結果,認為除了被告違反本法的事實外,個人無須提出因違反所造成之額外傷害的證明,便可作為受侵害者提告:因為BIPA賦予個人擁有隱私以及控制其生物識別特徵與資訊的權利,是透過賦予私人企業之義務,而描繪出輪廓,當私人企業未能遵守本法時,此違反便構成對任何人法定權利的侵犯、傷害與否定,此個人即是為權利受侵害者。

最高院更進一步指出,BIPA的目的是避免個人獨特且無法更改之生物識別特徵與資訊,遭到外洩或誤用,因而賦予個人保護其生物識別特徵與資訊的權利,包括要求蒐集前的通知個人以及個人保留同意做為拒絕之程序;當私人企業未能遵守BIPA之程序,將使得個人保有其生物識別特徵與資訊的權利也隨之消失,此傷害為真實且重大的,並非如被告所述僅為技術性違反本法而已;遵守本法並不困難,而相較於個人生物識別特徵與資訊因未有適當防護而造成的傷害,企業為遵守本法而產生之成本,實為微不足道的。


資料來源

延伸閱讀