第七巡回4月1日先例性判决：伊州BIPA 2024修正案"单次追偿"规则完全溯及既往——Gregg/Clay案重塑生物识别集体诉讼敞口与中资雇主5项立即合规动作

一、开篇：BIPA 集体诉讼"天文数字赔偿"时代落幕？

2026 年 4 月 1 日，美国联邦第七巡回上诉法院在 Gregg v. Central Transport, LLC（合并审理 Clay v. Union Pacific R.R. Co.、Willis v. Marten Transport, Ltd.，Nos. 24-2967 等）一案中作出先例性判决，确认伊利诺伊州《生物识别信息隐私法》（BIPA，740 ILCS 14/）2024 年第 SB 2979 号修正案——即"同一主体、同一识别符、同一采集方式"在多次违规情形下仅成立单次违规、单次追偿之规则——完全溯及既往，适用于一切修正案生效前已起诉、尚未终审的案件。

这一判决直接终结了自 2023 年 2 月伊州最高法院 Cothron v. White Castle System, Inc.（2023 IL 128004）确立的"每次扫描各为一次违规"理论。在 Cothron 时代，工厂工人每天打卡 4 次，5 年下来即可累积 7,200 次"违规"，按 BIPA § 20 法定最高赔偿 $5,000/次 计算，单一雇员理论敞口高达 3,600 万美元。第七巡回此次判决一锤定音后，同样情节的总敞口被压缩到 $5,000——降幅高达 99.99%。这一变化对在伊州拥有工厂、仓库、门店、客服中心或采用人脸/指纹打卡的中资制造、电商、餐饮、零售、安防企业意义重大，但也并非"集体诉讼终结令"——本文逐条拆解并给出五项立即合规动作。

二、法规背景：BIPA 的"三大义务＋私人诉权"架构

《生物识别信息隐私法》于 2008 年由伊利诺伊州议会通过，是全美第一部、也是迄今执法力度最强的州级生物识别专项法律。受规制对象为"私人实体"（private entity，含外国法人在伊州境内的子公司或经营行为），规制客体为生物识别符（biometric identifier）——具体包括视网膜或虹膜扫描、指纹、声纹、手或面部几何特征——以及从前述识别符派生的"生物识别信息"。

BIPA § 15 设三项核心义务：第一，§ 15(a) 要求私人实体在占有生物识别数据之时即制定并公开"保留与销毁政策"，明确销毁时点为采集目的完成或最后一次互动后 3 年（以先到为准）；第二，§ 15(b) 要求采集前以书面形式告知具体目的、用途、期限并取得书面同意（written release）；第三，§ 15(c)、(d) 禁止通过出售、披露或交易等方式从生物识别数据中获利或转让，除非取得明示同意或符合法定例外。

BIPA § 20 赋予"受损害人"（aggrieved person）私人诉权：过失违规可获 $1,000/次或实际损失（取高者），故意或鲁莽违规可获 $5,000/次或实际损失（取高者），并可主张律师费、合理费用与禁令救济。伊州最高法院 Rosenbach v. Six Flags Entertainment Corp.（2019 IL 123186）确立"无须证明实际损害"亦构成 BIPA 下的"受损害人"——这是 BIPA 集体诉讼浪潮的法律开关。

三、SB 2979 修正案与 Cothron 判决的"对冲"

2024 年 8 月 2 日，伊州州长 J.B. Pritzker 签署 SB 2979（Public Act 103-769），即时生效。修正案在 § 20 之下新增第（b）、(c) 款，明确规定：对于"同一主体、同一识别符、同一方式"的多次违规，受损害人"至多享有一次追偿"（"is entitled to, at most, one recovery"）。

SB 2979 是伊州议会对 Cothron 案"每次扫描即一次违规"理论的直接反击。在 Cothron 中，伊州最高法院虽然认定 § 15(b)、(d) 之每一次未经同意的采集或披露均独立构成违规，但同时明示赔偿金额属于"法院的自由裁量"且"为避免免毁灭性后果，立法机关可介入"。SB 2979 即为该立法介入。然而修正案文本本身未明确"溯及既往"问题，触发了下级法院在 2024 年下半年到 2026 年初的分裂判决——伊州北区联邦法院多次出现相反结论。

四、第七巡回 4 月 1 日判决的核心说理

第七巡回合议庭（包括 Hamilton、Brennan、Kirsch 法官）以三层逻辑认定 SB 2979 "完全溯及既往"：

第一层：文本检视。 修正案仅修改 § 20（赔偿条款），未触及 § 15（实体义务条款）。换言之，构成 BIPA 责任的实体性要件（liability standards）未发生变化——被告依然因每一次未经同意的采集或披露而违规，只是"违规的计数方式"被立法重新定义。

第二层：救济性变更原则。 按伊州 1990 年最高法院 Rivard v. Chicago Fire Fighters Union Local No. 2（166 Ill.2d 290）确立的"实体性 vs. 救济性"二分法，救济性（remedial）或程序性（procedural）变更适用于一切尚未终审的案件，实体性变更则推定不溯及既往。第七巡回认定 SB 2979 之"单次追偿"语言系明确针对"recovery"（救济），属救济性变更，故应溯及既往。

第三层：议会意图。 法院进一步指出，伊州议会通过 SB 2979 时的会议记录显示，议员明确表示意在为已悬而未决的"灾难性敞口"案件提供出路，否则修正案的立法目的将被架空。

需要特别注意的是，该判决仅约束第七巡回管辖范围内的联邦法院（包括伊州联邦法院）。伊州州法院（Cook County Circuit Court 等）目前仍受 Cothron 直接约束，部分巡回上诉法院对溯及既往问题尚未表态；伊州最高法院迟早需就此问题作出终局裁判。但对于绝大多数被告而言，第七巡回判决实质性地降低了集体诉讼的杠杆，包括影响和解谈判的"协商底价"。

五、被忽视的另一面：BIPA 责任本身并未减弱

SB 2979 修改的是"怎么算赔偿"，而非"是否违规"。在五个维度上，BIPA 风险依然显著：

第一，每一名集体成员仍可单独追偿 $1,000–$5,000，对大型雇主（数千名伊州雇员）而言，仍是数百万美元量级；同时律师费、专家费、和解管理费在 BIPA 集体诉讼中通常远超本金。第二，多次违规可同时主张多项 § 15 条款下的不同违规——同一雇员可同时主张 § 15(a) 未制定政策、§ 15(b) 未书面告知与同意、§ 15(d) 未经同意披露三类违规，构成三项独立 recovery。第三，第三方供应商和母公司仍可被列为共同被告（参见 Cothron v. White Castle 牵涉 Cross Match Technologies）。第四，§ 15(c) 的"获利禁令"对 SaaS 厂商、生物识别 API 提供商、模型训练公司构成结构性风险（参见 In re Clearview AI BIPA Litigation）。第五，非伊州雇员若其生物识别数据被传至伊州服务器或在伊州被处理，仍可能落入 BIPA 管辖（参见 Patterson v. Respondus, Inc.，N.D. Ill. 2022）。

六、对中资企业的合规要点

第一，立即开展 BIPA 受影响清点（BIPA Inventory）。 中资制造业（电池、汽车零部件、家电）、电商履约中心、餐饮门店、自助物流柜、人脸识别安防、远程考试 SaaS、健身房与连锁酒店等业态均存在 BIPA 风险。范围扫描应覆盖：指纹/掌纹打卡机、人脸识别门禁、声纹电话客服、虹膜识别保险柜、面部识别营销分析、Clearview/PimEyes 类 API 调用、AI 训练用面部数据集等。注意：将"生物识别数据"狭义理解为指纹/人脸是常见误区——伊州中区联邦法院已裁定语音克隆（voice clone）、表情分析（facial expression analytics）均落入 BIPA。

第二，落实 § 15(a) 公开保留与销毁政策。 这是 SB 2979 修正案未触及的独立违规。政策应：(i) 以英文与适当少数族裔语言公开发布（员工手册或公司网站均可）；(ii) 明确销毁触发点（采集目的完成或最后互动后 3 年）；(iii) 列示主动销毁程序、销毁日志与审计机制。Mora v. J&M Plating（2023 IL App (2d) 220143）明确认定"占有当日"即应有政策——即便 9 个月后补救亦构成违规。

第三，重做 § 15(b) 书面同意流程。 模板需载明：(i) 具体采集目的（"打卡"过于笼统不达标）；(ii) 数据使用方式与存储位置（含是否传至中国）；(iii) 保存期限；(iv) 不同意的替代方案（关键 — 否则同意被推定为"胁迫性同意"）；(v) 独立签字栏（不得嵌入综合性入职文件捆绑签署，参见 Tims v. Black Horse Carriers）。注意"独立同意"标准近期在 COPPA、CCPA-ADMT 规则中也被采纳，宜统一推进。

第四，审查所有第三方供应商合同（DPA/MSA）。 BIPA § 15(d) 的"披露/再传输"禁令对包含生物识别处理的 SaaS 合同至关重要。条款应包含：(i) 供应商 BIPA 合规承诺；(ii) 数据不得用于训练第三方模型；(iii) 中国母公司或关联方调取数据的限制（与 DOJ 第 14117 号行政令"批量敏感个人数据规则"形成双重约束）；(iv) 突破性事件下的补偿与赔偿条款；(v) 子处理者审计权。

第五，待决诉讼的策略调整。 已被起诉的中资企业应立即评估 SB 2979 的具体影响：(i) 申请案件管理令重新确定赔偿计算方式；(ii) 重新核算集体规模与潜在敞口；(iii) 与原告律师重启和解谈判（部分原告律师在第七巡回判决后已大幅下调和解需求）；(iv) 考虑将州法院案件移送（remove）至联邦法院以受第七巡回判决约束；(v) 准备针对未触及实体性义务的违规继续抗辩——SB 2979 不是免责令牌。

七、格知律所如何协助

格知律所长期为中资企业提供伊利诺伊州及全美生物识别合规与诉讼防御服务。针对 BIPA 风险，我们的服务涵盖：BIPA 风险扫描与差距分析（覆盖工厂打卡、人脸识别门禁、客服声纹、SaaS 调用与 AI 训练数据集）；§ 15(a) 保留与销毁政策起草与本地化（中英双语，配合员工手册与隐私通知联动更新）；§ 15(b) 书面同意模板设计与独立签字流程改造；第三方供应商 DPA/MSA 条款审查与谈判（含与中国母公司数据互通的 EO 14117 合规叠加）；BIPA 集体诉讼应诉与和解谈判（基于 SB 2979 溯及既往判决重新评估敞口与协商底价）；跨州生物识别合规一体化（伊州 BIPA、得州 CUBI、华盛顿 HB 1493、纽约 SHIELD 与新近通过的 NYC Biometric Identifier Information Law 联合规划）。我们的伊州本地诉讼律师与北京、上海、深圳的中资客户经理可实现 24 小时跨时区响应。

八、结语 / 展望

SB 2979 与第七巡回 4 月 1 日判决并未让 BIPA 退潮，而是将集体诉讼从"灾难性敞口"重新拉回"理性可管理"的赔偿区间。短期内，原告律所的诉讼模式将转向"广扫多人、薄赔薄收"——增加集体规模、分散追诉对象（多个雇主、多个供应商、多个数据接收方），并发掘多项 § 15 子条款的并行违规以维持总额。中长期，伊州最高法院或仍将就 SB 2979 溯及既往问题作出终局裁决，非伊州州法院对 BIPA 的属地外管辖范围亦待第六、第九巡回法院进一步澄清。

更宏观地看，BIPA 的演化轨迹清晰传递两个信号给中资企业：第一，生物识别专项立法的"州际复制"仍在加速——德州 CUBI（修订版正在 89th Legislature 审议）、华盛顿 HB 1493、纽约市 Biometric Identifier Information Law（NYC Admin. Code § 22-1201）、新泽西 A1971（已提交）、加州 SB 1189（已重新提案）均不同程度借鉴 BIPA 框架；第二，"私人诉权 + 法定赔偿"的执法模式正在向 MHMDA、CCPA-ADMT、COPPA、纽约 Local Law 144 等领域横向扩展，单一合规改造不再够用——必须建立跨法域、跨场景的统一生物识别治理框架。在此背景下，中资企业既不应因第七巡回判决而松懈，也不必再被"天文数字赔偿"叙事胁迫，而是回归BIPA § 15 三项核心义务的扎实落实——这才是数据合规真正经得起检验的护城河。