Истцы, подавшие жалобу в суд Северного округа Иллинойса, утверждают, что биржа потребовала от них загрузить удостоверение личности и селфи, которые обрабатывались сторонним программным обеспечением для распознавания лиц. Процедура идентификации клиентов (Know Your Customer, KYC) на Coinbase включает сканирование лица пользователей без их предварительного письменного уведомления и получения согласия на обработку данных. Причем биржа не представила график хранения данных и дату их будущего уничтожения, как того требует BIPA. KYC также нарушает законы Иллинойса о конфиденциальности биометрических данных, возмущены истцы.
Податели жалобы заявили, что Coinbase без разрешения передала их данные сторонним сервисам Jumio, Onfido, Au10tix и Solaris. Недовольные инвесторы сообщили, что более 10 000 пользователей направили по этим вопросам жалобы, однако Coinbase не заплатила необходимые арбитражные сборы, поэтому многие из исков были отклонены. Группа инвесторов попросила суд назначить для Coinbase компенсации клиентам до $5000 каждому за нарушение конфиденциальности и по $1000 за халатность — в дополнение к судебным издержкам и запрету на дальнейшие нарушения BIPA.
«Ни на каком этапе проверки пользователи Coinbase не давали согласия на сбор биометрической информации. Пользователи не были уведомлены о том, что их данные будут собираться третьей стороной. Биржа не предоставила информацию о процессе проверки, типе собираемой информации и данных. Не ясно, каким образом хранятся предоставленные данные и раскрываются ли они другим организациям», — сказано в иске.
Coinbase уже не впервые обвиняется в подобных нарушениях жителями Иллинойса. В мае 2023 года местный трейдер пожаловался на сбор Coinbase его данных, включая изображение лица и отпечатки пальцев, через свое мобильное приложение. В феврале 2025 года суд отклонил иск после того, как обе стороны согласились прекратить дело.
Недавно Высокий суд Кении постановил, что компания World, ранее известная как Worldcoin, незаконно собрала биометрические данные кенийцев, и обязал компанию удалить эту информацию. В прошлом году аналогичное распоряжение в отношении World вынесло и Баварское государственное управление по защите данных (BayLDA).
