区别于欧盟式GDPR的统一立法模式,美国不存在联邦层面的统一数据信息保护法案。一般而言,美国的数据信息保护法律框架由联邦的各类专门领域法律和州法律共同拼凑而成。目前尚无生物识别信息领域的立法。
可见,美国联邦层面既不存在统一的数据立法,也没有专门规制生物识别信息的专门法案。在司法实践中,联邦执法者只能够根据相关事实的具体情况,。例如,当信息处理者利用个人的生物识别信息(该信息同时属于特定生理健康信息)进行违法披露时,可以适用HIPAA进行规制。但是,此做法需满足严格的适用前提,即当且仅当某一生物识别信息处理行为同时符合上述法案的规制条件时才能在联邦层面进行法律适用,因此大大限缩了惩治的范围。