铁路巨头因隐私问题被判赔偿2.28亿美元，为第三方风险敲响警钟——《华尔街日报》

David Uberti

2022-10-21

作者：大卫·乌贝蒂2022年10月21日上午5:30（美国东部时间）|WSJ专业版伊利诺伊州埃尔伍德的BNSF芝加哥物流园区。2019年，卡车司机在一项集体诉讼中指控这家铁路巨头未经适当同意就收集并存储其伊利诺伊州货场员工的指纹数据。图片来源：坦南·莫里/Shutterstock近年来，企业为和解违反伊利诺伊州生物识别隐私法的指控支付了巨额赔偿。上周，BNSF铁路公司遭遇的历史性法律判决凸显出第三方承包商的数据违规同样代价高昂。

隐私法律师表示，陪审团向未经适当授权被扫描指纹的卡车司机判赔2.28亿美元，这表明企业不能将数据违规责任推卸给供应商。

伊利诺伊州《生物识别信息隐私法》对企业和代表其处理数据的承包商几乎未作区分，这提高了企业在审查潜在供应商数据操作和构建合同时的风险。

密苏里州圣路易斯Greensfelder, Hemker & Gale律师事务所律师劳伦·达明表示，该判决对将个人数据收集服务外包的企业是一个"警醒"——第三方违规可能带来天价赔偿。

她表示企业应仔细分析潜在供应商收集和存储生物识别信息的方式，并建议在合同中加入赔偿协议以规避法律风险。这类条款虽不能阻止企业被起诉，但可帮助其从法律处罚或费用中追回部分成本。

“如果你还没有整理好你的房子，你需要这样做，”大明女士说。

包括Facebook母公司Meta Platforms Inc.和TikTok母公司字节跳动有限公司在内的社交媒体公司已经支付了数百万美元，以和解根据2008年法律提起的集体诉讼。州和联邦官员同样加强了对生物识别数据收集的审查，包括德克萨斯州周四采取行动起诉Alphabet Inc.的谷歌部门，指控其在未经适当同意的情况下收集居民的面部和声音信息。

非科技公司越来越依赖第三方供应商收集的此类数据来改善运营或提供更好的客户体验——在此过程中承担了法律风险。

根据法庭文件，总部位于德克萨斯州沃思堡的BNSF公司使用了一个自动化门系统，卡车司机通过扫描指纹进入设施以取货或卸货。2019年，司机们在一项集体诉讼中指控这家铁路巨头未能获得适当同意，从其伊利诺伊州的货场收集和存储此类数据。

在美国伊利诺伊州北区地方法院的诉讼过程中，BNSF将所谓的违规行为归咎于代表其运行该系统的供应商，试图与数据的实际收集和存储保持距离。

但尊敬的Matthew Kennelly法官在9月表示，伊利诺伊州的法律并不能免除BNSF的责任。上周，陪审团同意这一观点，判决向集体诉讼中超过45,000名司机每人赔偿5,000美元。

BNSF的一位发言人表示将对此判决提出上诉。她拒绝就铁路公司或其供应商是否继续扫描司机指纹一事发表评论。

负责运营BNSF自动门禁系统的供应商——总部位于伊利诺伊州莱尔的物流技术公司Remprex LLC未回应置评请求。

由于指纹、虹膜扫描等生物特征数据的敏感性，立法者和监管机构日益关注企业收集此类信息的方式。尽管《加州消费者隐私法》等州法律为企业制定了基本规范，但涉及范围的定义和违规处罚标准参差不齐。美国目前尚无全面的联邦隐私法。

对于使用此类数据的众多企业而言，在TikTok（9200万美元）和Facebook（6.5亿美元）达成和解后，伊利诺伊州以生物识别为核心的法规已成为合规重点。

联系作者David Uberti，邮箱：[email protected]

铁路巨头因隐私问题被判赔偿2.28亿美元，为第三方风险敲响警钟——《华尔街日报》

推荐阅读

安迪·麦克道威尔谈放弃南方口音与改变人生的电影

Change Healthcare遭袭引发药房现金流危机

观点：特拉华州表明埃隆·马斯克不能凌驾于法律之上

中国扩大国家保密法范围，凸显外资企业风险

涉银行丑闻珠宝商前CEO被诉撤销房地产交易

泄露的黑客文件显示中国重点监控少数民族