Clay v. Union Pacific（第七巡回 25-2185，2026·4·1 先例）：BIPA 2024 修正案”溯及适用”全面落地——伊州生物识别赔偿天花板重置与中资企业五项立即合规动作

引言：第七巡回法院"一锤定音"——BIPA 修正案"溯及适用"全面落地

2026 年 4 月 1 日，美国联邦第七巡回上诉法院（U.S. Court of Appeals for the Seventh Circuit）在 Clay v. Union Pacific Railroad Co.（No. 25-2185，2026 WL 891902）一案中作出先例性裁定：伊利诺伊州《生物识别信息隐私法》（Biometric Information Privacy Act，"BIPA"，740 ILCS 14/1 et seq.）2024 年 8 月由州长 Pritzker 签署的修正案（Public Act 103-0769）溯及适用于修正案生效前已经悬而未决（pending）的全部案件。这一裁定彻底改写了过去十年间因"逐次扫描"（per-scan）天文数字赔偿而被视为美国最危险私权诉讼引擎之一的 BIPA 风险图景。

对于在伊利诺伊州雇佣员工、运营仓储/物流/餐饮/零售网点，或在伊州面向消费者部署人脸、指纹、声纹、虹膜识别功能的中资企业而言，Clay 一方面将"灾难级"赔偿暴露下降了 1–2 个数量级，另一方面也在程序与证据规则上把诉讼"门槛"重新校准。距离州法层面 2024 年 8 月 2 日（修正案生效日）已 21 个月，距离 Clay 联邦巡回先例落地仅 52 天，所有在伊州接触生物识别数据的中资企业，必须以新的赔偿天花板、新的"单次违反"定义、以及新的诉讼策略，重构其 BIPA 合规框架。

一、法规与案件背景：从 Cothron 的"逐次扫描天价"到 2024 修正案再到 Clay

BIPA 于 2008 年成为美国第一部针对生物识别信息的州级私权诉讼立法。其 § 15(b) 要求收集生物识别标识符（biometric identifier）或生物识别信息（biometric information）的私人实体在收集前书面告知收集目的、留存期限并获得书面知情同意；§ 15(a) 要求公开书面保留与销毁政策；§ 15(c) 禁止以其交换利益；§ 15(d) 限制对外披露；§ 15(e) 要求合理保管措施。§ 20 则授予"受害人"（aggrieved person）针对每次过失违反 $1,000、针对每次故意或鲁莽违反 $5,000 的法定最低赔偿。

2023 年 2 月，伊利诺伊州最高法院在 Cothron v. White Castle System, Inc.（2023 IL 128004）中认定，每次扫描即构成一次独立违反，使被告面对仅一名员工就可能高达数十亿美元的潜在赔偿。Cothron 触发了全行业的诉讼海啸——包括 Facebook 6.5 亿美元、TikTok 9,200 万美元、Google 1 亿美元、Clearview AI 5,175 万美元、Speedway 1,210 万美元等量级的和解。

2024 年 8 月 2 日，伊州议会以 Senate Bill 2979 / Public Act 103-0769 修订 § 10 与 § 20：明确"同一人、同一收集方式、同一类生物识别数据"在多次发生时仅构成 单次违反，且"受害人最多有权获得一次救济"（"an aggrieved person is entitled to, at most, one recovery"）。修订未触动 § 15 的实体义务条款，仅调整了 § 20 的赔偿与救济（remedies）。

二、Clay 案的事实与第七巡回的法理推演

原告 Clay 系联合太平洋铁路公司（Union Pacific）的商业卡车司机，主张其雇主在其每日进出场区时强制扫描指纹，却未依据 § 15(b) 进行书面披露或获得书面同意。本案于 2024 年修正案通过前提起，并在修正案生效后仍处审理阶段。联邦伊州北区地方法院（N.D. Ill.）依 Cothron 原则保留了"逐次扫描"的赔偿计算口径，被告 Union Pacific 提起中间上诉。

第七巡回适用伊州关于法律溯及力的标准判例——Caveney v. Bower（2004 IL 2d 116）与 Doe A. v. Diocese of Dallas（2009 IL 234 Ill. 2d 393）规则——核心检验：法律修订究竟是"实体性"（substantive）还是"程序性/救济性"（procedural / remedial）。法庭逐层论证：

第一，§ 20 仅规定可获得的救济，未改变 § 15 之下的实体义务边界，被告的"违法行为本身"是否构成 BIPA 违反不发生任何位移。第二，修正案文本明示其用意为"澄清"（clarifying），且"受害人最多有权获得一次救济"系典型的救济规则。第三，伊州立法机关在修正案文本中明确拒绝接受 Cothron 在司法层面对 § 20 的解读，立法记录显示其立法目的为"避免不成比例的赔偿暴露"（avoid disproportionate damages exposure）。

第七巡回据此推翻地方法院的赔偿计算口径，明确所有在 2024 年 8 月 2 日修正案生效时仍未终结判决的 BIPA 案件——无论起诉日早于或晚于修正案——均适用"单次违反、单次救济"的赔偿上限。

三、对中资企业的赔偿天花板：从"数十亿"到"可承受成本"

以一家在伊州 Aurora、Joliet 设有仓储中心、共 800 名员工每日两次指纹打卡（200 个工作日/年、连续 4 年）的中资物流公司为例：

在 Cothron 口径下：800 人 × 2 次/日 × 200 日 × 4 年 = 1,280,000 次扫描；按 § 20 过失档 $1,000/次计算，最高潜在赔偿约 12.8 亿美元；按故意档 $5,000/次最高 64 亿美元。

在 Clay / 2024 修正案口径下：单一人单一收集方式仅一次违反；800 人 × $1,000 = $800,000（过失档）/ $4,000,000（故意档）。赔偿暴露收窄 99% 以上。

同口径同样适用于声纹（如呼叫中心客服系统）、人脸（自助结账、安防门禁）、虹膜与掌纹（医疗、生物制药制造车间）。对部署多套异源生物识别系统（如同时使用指纹考勤 + 人脸门禁）的企业，"同一收集方式"边界——是否拆分为两个 § 20 违反——将成为新一轮诉讼焦点；中资企业应预留两次单项救济的赔偿储备。

四、五项立即合规动作（对中资企业的合规要点）

1. 建立完整的"§ 15(b) 知情同意"档案。对任何在伊州（无论员工还是消费者）采集指纹、人脸、声纹、虹膜、掌纹、视网膜、手部几何结构的场景，必须在采集前提供书面披露（specific purpose、retention term），获得"湿签"或带电子签名认证的书面同意，且每位被采集人保留独立档案。Clay 之后赔偿被限制在"人"而非"次"——即每个采集对象的 § 15(b) 同意档案就是被告唯一也是最关键的诉讼盾牌。

2. 公开 § 15(a) 的留存与销毁政策。政策需明确说明留存目的、最长保留期（不得超过初始采集目的实现后 3 年）以及销毁机制，并在公司官网、员工手册、客户端隐私政策中同步公示。Clay 不缓和 § 15(a) 实体义务，FTC 与州 AG 仍可就政策缺失独立提出指控。

3. 重新审视生物识别 SaaS 供应商与 § 15(d) 披露限制。禁止未经书面同意将生物识别数据传输给云服务、第三方算法或人脸识别供应商。需在供应商合同中加入"BIPA Rider"，对 § 15(b)/(d)/(e) 义务进行背对背回流。Whole Foods $297,000 声纹案（2023 年和解）即源于其向第三方语音识别供应商传输员工声纹却未获员工同意，是中资制造、物流业典型雷区。

4. 建立"单次违反"边界证据链。Clay 将赔偿口径压低至每人一次，但前提是被告必须能在诉讼中证明"同一人、同一收集方式、同一类数据"。这要求企业系统化记录：每一位被采集人的采集首次时间戳、采集设备型号、采集场景、生物识别类型。一旦出现"补采"（如更换打卡设备、增加门禁通道）或"二次留存"（如从指纹考勤同步至人脸薪酬系统），可能被认定为新的"收集方式"从而触发新一轮 § 20 救济。

5. 评估保险与诉讼储备金调整。多家美国保险公司在 Cothron 后将 BIPA 单独除外（standalone BIPA exclusion）。Clay 之后，部分 EPLI（员工实务责任险）与 Cyber Liability 保险可能恢复对 BIPA 风险的承保，中资企业应在 2026 年度续保时重新谈判 BIPA 条款、降低自付额，并将既有诉讼储备金调整至更切合"per-person"上限的金额。

五、格知律所如何协助：BIPA 全周期合规与诉讼防御

格知律师事务所（Getech Law Firm）在伊州生物识别合规与 BIPA 集体诉讼防御中具备完整能力链。我们的服务涵盖：（一）BIPA 合规体检（compliance audit）——对企业在伊州的生物识别采集场景、员工/消费者同意档案、§ 15(a) 政策完备性、§ 15(d) 供应商披露链进行全面盘查；（二）生物识别知情同意文件的中英文双语起草与翻译（针对中资企业总部与美国子公司之间的沟通衔接）；（三）BIPA 集体诉讼应诉与早期调解——基于 Clay 单次救济新规重新评估和解区间与不予和解策略；（四）供应商合同（DPA / BAA / BIPA Rider）谈判与背对背义务回流；（五）从 BIPA 跨度至德州 CUBI、华盛顿州 HB 1493 / WAC、纽约市 Local Law 144（AEDT）、加州 CCPA/CPRA 中的生物识别"敏感个人信息"专章的多州协同合规框架设计；（六）跨境数据传输评估（EO 14117 / 28 CFR Part 202 与 BIPA 域外效力的衔接）。我们与中资客户在伊州 N.D. Ill.、伊州州级 Circuit Court 与第七巡回上诉法院的诉讼资源对接，可在被诉发生的 30 日内完成案件评估并提出三套响应路径。

六、结语 / Outlook：BIPA 不再是"灾难险"，但仍是"必修课"

Clay v. Union Pacific 并未减弱 § 15 的实体义务，仅校准了 § 20 的赔偿口径。BIPA 仍然是美国唯一对私权诉讼者授予 § 20 最低法定赔偿且无须证明实际损害的州级生物识别立法（参见 Rosenbach v. Six Flags，2019 IL 123186），其威慑力远未消退。展望未来 12 个月，可以预期：（1）伊州州级法院将很快在与 Clay 协同的州案中作出"溯及适用"的镜像判决；（2）"同一收集方式"的边界将催生新一轮中间上诉，特别是混合生物识别系统（如指纹 + 人脸双因子认证）；（3）德州 AG 在 CUBI（Texas Business & Commerce Code § 503.001）下与华盛顿州 HB 1493 / RCW 19.375 下的执法将参考 Clay 但更倾向于保留高位赔偿；（4）联邦层面 H.R. 8413（SECURE Data Act）与已有 ADPPA 草案可能将生物识别专章并入联邦统一框架，进而部分预占（preempt）州法。

对中资企业而言，Clay 提供了一个难得的"窗口期"：在赔偿暴露大幅收窄、保险市场重新开放、保险费率有望回调的当下，把 BIPA 合规从"应急止损"升级为"内嵌于产品与人力资源流程的常态化控制"。在生物识别技术加速渗透制造、物流、医疗、消费电子与跨境支付的下一阶段，今日完成的合规重构，将在未来五年内持续兑现安全、成本与品牌资产收益。