满 60 天：第七巡回 Clay v. Union Pacific（25-2185，2026·4·1）确认 BIPA SB 2979 溯及既往——"单次违法"重塑 $5,000 / $1,000 罚则架构，中资生物识别企业五项立即合规与抗辩重构动作

距 2026 年 4 月 1 日美国联邦第七巡回上诉法院在 Clay v. Union Pacific Railroad Co.（No. 25-2185, 2026 WL 891902）作出先例性裁定整满 60 天。第七巡回明确：2024 年 8 月 2 日伊利诺伊州州长 Pritzker 签署生效的 SB 2979 修正案——将 BIPA 第 20 条统计方式由 Cothron v. White Castle 确立的"逐次扫描累计"重新限定为"单次违法、单次救济"——属于程序性修订，必须溯及既往适用于修正案生效时仍在审理中的所有案件。该裁定一举推翻北伊利诺伊州联邦地区法院三件相反判决，将原本可达数十亿美元的累积法定赔偿压回单人 $1,000（过失）或 $5,000（故意 / 鲁莽）的天花板。对在伊利诺伊州运营人脸识别、指纹考勤、声纹验证、虹膜识别的中资科技、电商、SaaS、出海短视频与硬件企业而言，60 天窗口期既释放了和解谈判筹码，也凸显了 § 15(a)、§ 15(b)、§ 15(d) 合规义务依旧分毫未减的紧迫现实。

案件背景：从 Cothron "逐次扫描" 到 SB 2979 "单次违法"

伊利诺伊州 2008 年通过的《生物识别信息隐私法》（Biometric Information Privacy Act，740 ILCS 14，下称"BIPA"）是全美执法力度最大的生物识别专门立法。BIPA 第 15(a) 要求私人实体公开书面留存政策并设定销毁时限；第 15(b) 要求在采集前以书面知情同意（written release）获取主体同意；第 15(d) 限制向第三方披露。违反任一条款，伊州居民可径行起诉，过失行为按 $1,000、故意 / 鲁莽行为按 $5,000 取得法定赔偿（liquidated damages），并附律师费转移。

2023 年 2 月 17 日，伊州最高法院在 Cothron v. White Castle Sys., Inc., 216 N.E.3d 918 中以 4 比 3 裁定，每一次扫描或传输生物识别信息均构成独立违法行为。White Castle 自身潜在风险从数百万跃升至 170 亿美元。Cothron 引发立法反弹——2024 年 5 月 17 日伊州参众两院通过 SB 2979，州长 8 月 2 日签署生效，新增 740 ILCS 14/20(b)：私人实体以"同一采集方式"对"同一主体"采集或披露"同一生物识别标识"，仅构成"单次违法"，主体"至多享有一次救济"。同条同时确认电子签名（electronic signature）符合"written release"形式要件。

Clay v. Union Pacific 法律分析：程序性 vs 实体性的关键区分

2026 年 4 月 1 日，第七巡回 Hamilton、Kirsch、Pryor 三法官合议庭一致裁定，SB 2979 属于程序性（remedial / procedural）修订，溯及既往适用于 2024 年 8 月 2 日修正案生效时仍未终局的所有案件，撤销并改判 N.D. Ill. 中三件相反判决。

合议庭援引伊州 Doe v. Lyft 与 Caveney v. Bower 确立的溯及既往二分测试：实体性修订改变权利义务范围，仅向前适用；程序性修订仅改变救济机制，自动溯及。两项理由支撑"程序性"定性：第一，SB 2979 修订的是第 20 条（损害赔偿计算），未触及第 15 条（实体责任标准）——侵权要件、举证责任、5 年诉讼时效均未变；第二，修正案语言本身即聚焦救济（"at most, one recovery"），无新增实体义务。结论：自 BIPA 2008 年实施以来发生的所有违规行为，无论起诉时点，均按单人单次救济计算法定赔偿天花板，原告律所"逐次扫描累乘"诉讼模型从此瓦解。

对中资企业的合规要点

第一，立即排查在伊利诺伊州境内的所有生物识别采集场景。员工指纹 / 人脸考勤、客户人脸支付、客服声纹验证、消费者 App 端 selfie 滤镜与 AR 美颜、智能硬件虹膜解锁、健身房 / 教育门店人脸闸机——均在 BIPA 第 10 条"biometric identifier"定义范围内。注意 § 10 同时涵盖"biometric information"——任何基于上述标识转换得到的特征向量、嵌入（embeddings）、模板（templates）均被穿透。

第二，§ 15(b) 三要件知情同意必须独立、明确、留痕。BIPA 不接受隐藏式条款（buried clause）。可执行的"written release"必须：(i) 明确告知采集目的；(ii) 明确告知留存期限；(iii) 取得书面或电子签名同意。SB 2979 修正案明确电子签名（如 DocuSign、APP 内 toggle + 日志记录）符合形式要件，但实操中建议保留独立模块，避免与 EULA / ToS 合并。

第三，§ 15(a) 公开书面留存与销毁政策。政策须公开（如官网 Privacy / Biometric Notice 页面），明确销毁时间表——最迟在采集目的实现或主体最后互动后 3 年内销毁。模板化"无限期保留"语言是 plaintiff bar 高频取证点。

第四，§ 15(d) 第三方披露红线。BIPA 限制向供应商、云服务商、海外母公司（含跨境数据出境至中国）共享生物识别信息，须取得二次同意或完成必要例外（如完成主体明确请求的交易）。中资跨国结构中"将算法训练数据回传中国总部"是高危场景，需在 DPA / SCC 中明确约束。

第五，抓住 Clay 窗口期重新谈判待决案件与重新评估损害预测。已被诉企业可立即以 Clay 为援引推动减损动议（motion for remittitur / motion to limit damages），将单人 $1,000 / $5,000 上限锁定。同时，预备应对 plaintiff bar 转向 § 15(d) 多重披露场景、寻求"不同披露接收方"作为多次违法切入点的新型诉讼策略。

格知律所如何协助

格知律所长期为中资科技、电商、短视频、智能硬件、SaaS 企业提供 BIPA 全周期合规与诉讼防御服务。在合规建设端，本所可主导生物识别场景全面盘点（biometric inventory）、§ 15(a) 公开政策起草与多语种版本部署、§ 15(b) 知情同意流程与电子签名留痕架构设计、§ 15(d) 第三方与跨境披露 DPA 条款审阅，并出具兼顾 BIPA、德州 CUBI、华盛顿 HB 1493、纽约 SHIELD 的多州生物识别合规白皮书。在诉讼防御端，本所代理中资被诉企业在 N.D. Ill.、Cook County Circuit Court、Lake / DuPage County 等 BIPA 重点法院应诉，覆盖管辖权抗辩、Clay 减损动议、5 年诉讼时效（Tims v. Black Horse Carriers）抗辩、Article III 站立要件抗辩、和解谈判与集体认证异议。在出海架构端，本所协助中资母公司搭建符合 BIPA + EO 14117 / DSP 跨境数据出境双重要求的训练数据回传机制，从源头降低集体诉讼与 DOJ NSD 双重风险敞口。

结语 / Outlook

Clay v. Union Pacific 把 BIPA 单案赔偿天花板从"理论无限"压回"每人 $5,000 上限"，但 BIPA 私权诉讼机制本身并未消亡——2025 全年伊州新增 BIPA 集体诉讼仍超 107 件，Clearview AI（$5,175 万）、Speedway（$1,210 万）等先例继续推高和解市场预期值。下一阶段博弈焦点将转向：(i) § 15(d) "不同接收方"是否触发多次违法；(ii) "biometric information" 嵌入向量边界；(iii) 5 年诉讼时效起算点；(iv) 集体认证（class certification）门槛。中资企业不应误读 Clay 为"BIPA 风险解除"，而应将这 60 天和解窗口转化为重塑合规底座的战略时刻。

格知律所将持续追踪伊州最高法院对 Clay 进一步上诉、其他州生物识别立法（CO HB 1130、NY S.1374）的演进，并为客户提供季度更新与情境化合规复盘。