2021年12月20日，美国联邦第七巡回法院在Cothron诉White Castle指纹识别信息侵权案中就伊利诺伊州《生物特征信息隐私法》相关条款的适用问题请求伊利诺伊州最高法院进行意见确认（certification）。案件涉及对法定权利的侵害是否直接构成侵权法上的“损害”（injury）、法定损害赔偿请求权的发生规则以及法定损害赔偿金的计算方式等问题，对理论界和实务界进行相关研究有借鉴意义。

Cothron（以下简称“原告”）自2004年起在White Castle（以下简称“被告”）工作。原告声称，自2007年起，被告要求原告使用指纹扫描系统访问工作电脑，每次扫描结果都会发送给第三方服务商进行验证。原告认为，自2008年伊利诺伊州《生物特征信息隐私法》（以下简称“BIPA”）生效之日起至2018年起诉时，被告未在事前获得满足BIPA要求的适当同意的情况下收集原告指纹并向第三方披露的行为违反了BIPA的相关规定。

BIPA于2008年通过并生效。BIPA的立法调查结果认为，生物特征识别技术在商业和安全筛查领域的应用日益增多，似乎有望简化金融交易和安全筛查所需的程序，提高效率。而生物特征标识符不同于用于访问财务信息或其他敏感信息的其他唯一标识符，例如社会保险号码等标识符在泄露时可以更改，但生物特征在生物学上为个体独有，一旦泄露，个人遭受身份盗窃的风险更高，并且很可能不再使用生物识别辅助进行的交易。为了解决这些问题，BIPA规定了私人实体如何收集、使用、保护、处理、存储、保留和销毁生物特征标识符和生物特征信息，并设置了私人诉讼权。

本案存在两个争议焦点。第一，Cothron是否具备诉讼资格？第二，关于损害赔偿问题，是否被告每一违法行为都发生了独立的损害赔偿请求权？以及是否每一损害赔偿请求权都可以独立地计算法定损害赔偿金？

在美国，为防止滥诉，避免消耗过多的司法资源，原告需要取得诉讼资格（Standing）成为适格原告，所涉争议才是法院根据美国宪法第3条有权审理的案件。为此，原告需要在侵权案件中证明：

（1）事实上的损害（injury in fact）。原告遭受了事实上的损害，该等损害是实际的（concrete）、具体化的（particularized），且是实际存在的（actual）或即将发生的（imminent），不得是推测的（conjectural）或假想的（hypothetical）；

（2）因果关系。损害与被诉行为之间需存在因果关系，以使损害可公平地追溯（fairly traceable）至被告的被诉行为；

（3）可救济性。该等损害很可能能够通过有利的司法判决得到救济。

本案中，法官采用了两个不同的思路来说明原告具备适格原告资格。第一个思路仍从美国宪法第三条要求的诉讼资格出发，说明原告遭受了事实上的损害。第二个思路是从BIPA第20条的规定出发，认为只要被告的行为违反BIPA使得原告受到伤害（aggrieved），原告即有起诉被告获得救济的权利。具体说来：

法官援引了一系列判例，从无形损害、具体损害、和侵入行为的类比以及知情选择权的剥夺这四个方面来说明原告存在事实上的损害。首先，法官认为实际损害（concrete injuries）要求损害（harms）是“真实的而非抽象的”，^[2]除了易于辨明的有形损害（tangible harms），某些无形损害（intangible harms），尤其是那些与“传统上被认为是提供了在美国法院进行诉讼的根据”的损害，^[3]也符合实际损害的要件，包括名誉损害、私密信息被披露，以及对私生活的侵入（intrusion upon seclusion）。^[4]其次，法官认为具体损害（Particularized injuries）指的是“以一种私人化的和个人化的方式（a personal and individual way）对原告施加特定影响”。^[5]第三，法官援引了Bryant案判决中的分析，^[6]认为BIPA第15条（b）款规定的知情同意义务保护了个人独有的生物特征数据中的隐私权益，因此，不遵守关于收集生物特征数据的义务相当于侵犯个人的“私有领域”，“类似于一种侵入行为（act of trespass）”，^[7]人们必须“有机会就向谁以及出于何种目的放弃（relinquish）其生物特征数据控制权作出知情选择”，不遵守此类义务则会剥夺人们“在伴随风险的情况下考虑该等收集和使用数据的条款是否可以接受的机会”，而对于这种机会的剥夺，是一种实际的和具体的损害。第四，法官将Bryant案中有关BIPA第15条（b）款的分析扩展到BIPA第15条（a）款和第15条（d）款，认为非法保留、披露、重新披露或传播生物特征数据就像非法收集生物特征数据一样，剥夺了一个人“在伴随风险”的情况下考虑谁可能持有其生物特征数据的机会，满足了事实上的损害的要求。

法官援引了Rosenbach案中的分析，^[8]在该案中，伊利诺伊州最高法院认为，BIPA保护一个人对其生物特征数据的“隐私权和控制权”（right to privacy in and control over），在第15条定义了该等权利的“轮廓”（contours），违反第15条的行为即使得第20条所指的原告受到“伤害”（aggrieves），原告“无需证明除了法定权利被侵犯以外的其他损害（injury）”即取得适格原告资格。

原告认为，被告每一次扫描和传输原告指纹时，都独立构成了违反BIPA规定的违法行为，根据伊利诺伊州最高法院在Rosenbach案中的分析，被告的每一违法行为都使得原告感到被“伤害”（aggrieved）。因此，原告认为其对被告每一次违反BIPA的行为都具有损害赔偿请求权。

被告辩称，只有第一次扫描和传输原告指纹的行为才涉及原告损害赔偿请求权发生（accrual）与否的问题，由于第一次侵害行为发生在2008年，已经超过诉讼时效，这一损害赔偿请求权的存在已经没有意义。首先，被告援引了一项适用于诽谤和其他隐私侵权案件的请求权发生规则：一次公开规则（the single-publication rule）。其次，被告辩称，伊利诺伊、州最高法院在Rosenbach案中的分析实际上指向了与原告论点相反的结论：原告仅因被告首次违反BIPA第15条（b）款和15条（d）款的行为受到“伤害”。

根据该规则，基于广泛散布的诽谤性言论产生的侵权损害赔偿请求权仅在该等言论首次公开时产生，而不是在后续每次发布同一言论时重复产生。其目的在于“保护演讲者和作者免受诽谤性内容单一但大规模制作的出版物引起的重复诉讼”，^[9]这一原则已被编入伊利诺伊州通过的the Uniform Single Publication Act中。被告认为，根据伊利诺伊州最高法院在West Bend Mutual案中的说理，^[10]非法披露个人生物特征数据是侵犯隐私的“公开”行为，应当适用一次公开规则。

法院认为，应当质疑一次公开规则在本案当中的适用。the Uniform Single Publication Act的管辖范围包括诽谤和其他传统的隐私侵权行为，该法以说明性清单的方式列举了涵盖报纸、书籍、电影、电视和广播在内的公开媒介，这可能表示一次公开规则不能与BIPA兼容（fit）。同时，由于West Bend Mutual案涉及的信息披露是保险合同意义上的公开，而非the Uniform Single Publication Act意义上的公开，因此该案判决并非可以当然地适用（slam dunk）至本案当中。

被告认为，仅原告的指纹第一次被传输至第三方的行为可产生相应的损害赔偿请求权。法院认为，即使一次公开规则不适用，从BIPA第15条（d）款的文义上看，被告所辩称的首次发生规则是有道理的。BIPA第15条（d）款中“披露”指向的对象的是未取得生物特征数据的第三方，重复地向同一第三方传输相同的生物特征数据并不构成新的“披露”行为或“重新披露”（redisclose）行为。

原告认为，BIPA对“重新披露”行为的规定否定了被告辩称的首次发生规则，“重新披露”行为包括向同一第三方披露相同的生物特征数据。被告辩称，“重新披露”指的应当是持有生物特征数据的第三方对其他未持有该生物特征数据的“下游”（downstream）实体进行的“披露”。原告认为，BIPA第15条（d）款适用于任何“持有生物特征标识符或生物特征信息的私人实体”，被告的观点会使“重新披露”的概念变得冗余，对下游实体进行披露的行为应当落入到“披露”的范畴当中。

法院认为，从表述上看，“披露、重新披露或以其他方式传播”并没有明确排除一次发生规则（a single-time accrual rule）的适用，“披露”和“重新披露”后接“以其他方式传播”（other disseminate）的表述可能说明了本条的目的在于尽可能地确保所有类似“披露”的行为被涵盖在内。虽然BIPA第15条（d）款没有明确规定损害赔偿请求权只在首次披露时产生，但这是从文义上对法条表述的合理解读。

Rosenbach案中，伊利诺伊州最高法院认为BIPA的目的在于保护个人对其生物特征数据的“隐私权和控制权”。被告认为，侵权行为第一次发生时就已经对该等权利造成侵害，同一侵害人的重复侵权行为不会进一步损害个人的隐私权或控制权。

法院认为，如果认为在侵权行为首次发生之后的违法收集或披露行为不会造成BIPA意图防止的伤害（harm），被告的首次发生理论（one-and-done theory）是有道理的，BIPA的表述某种程度上支持了这一观点，但这一观点也存在明显的瑕疵，因为其前提是两次违法行为的发生并不比一次违法行为更糟糕（worse）。这个前提可能是错误的，即使是同一实体重复违法收集数据，或者向同一实体重复违法披露数据，也可能增加生物特征数据被滥用或者错误处理的风险，因此，每一次违法行为的发生都会使原告受到独立的伤害。

然而，法院还考虑到，原告在工作中扫描指纹的频率非常高，如果将被告每一次收集和向第三方传输原告指纹数据的行为都视作独立的违法行为，且每一独立违法行为都能够产生请求赔偿1000美元或者5000美元预定损害赔偿金的损害赔偿请求权，最终被告所需承担的损害赔偿责任可能是惊人的。就此问题，原告认为，损害赔偿金的计算与损害赔偿请求权的发生应当分开，如果按照被告的观点，损害赔偿请求权仅在首次违法行为时发生，导致的结果就是，一旦一个私人实体违反了BIPA，如果在第一次之后的违法行为不会产生任何不利的法律后果，那么违法者就不会有动力纠正自己的违法行为，也不会有动力遵守法律。

第七巡回法院认为，本案涉及的问题新颖且棘手，因此请求伊利诺伊州最高法院进行意见确认（certification）。^[11]

由于在个人信息保护侵权案件当中，受侵害人要证明实际损害存在难度，法定损害赔偿金制度逐渐被引入一些国家和地区的数据保护法中。例如，除了BIPA之外，美国加州《消费者权益保护法案》（以下简称“CCPA”）第1798.150条（a）（1）（A）项规定了对“任何消费者的未加密和未妥善处理（nonredacted）的个人信息遭受到未经授权的访问、渗透、盗窃的，或者由于企业违反了实施和维护与信息性质相适应的合理安全程序和实践的保护义务”而遭受个人信息安全事件影响的消费者适用的法定损害赔偿金制度，每次事件每位消费者可获得下限为100美元且上限不超过750美元的赔偿。我国台湾地区“个人资料保护法”第28条和第29条涵盖的侵害行为更为宽泛，包括非公务机关违反“个人资料保护法”规定，致个人资料遭不法搜集、处理、利用或其他侵害当事人权利的行为，并且特别规定，在被害人不易或不能证明其实际损害额时，得请求法院依侵害情节，以每人每一事件新台币五百元以上二万元以下计算法定损害赔偿金。

近年来，美国法院在信息隐私侵权案中倾向于认为受害人只要证明行为人存在“侵害法定权利的行为”或者“违反法定义务的行为”，就满足传统侵权案件事实上损害的证明要求，取得适格原告资格，类似于《德国民法典》“违反保护他人之法律”作为提起侵权之诉的诉因。^[12]在Robins诉Spokeo公司案中，^[13]联邦第九巡回法院认为，“国会为强制执行成文法条款而设立私人诉因，意味着国会有意为强制执行该条款设立法定权利，原告的法定权利受到侵犯时不一定受到真实伤害（actual damages），法定权利受到侵犯本身就满足了受害人取得适格原告资格所需要满足的事实上的损害（injury in fact）的要件。”如此一来，大大减轻了受害人的诉讼成本。再加上法定损害赔偿金制度的引入，受害人获得救济的难度大大降低。

通常而言，损害赔偿请求权旨在填补受害人的损害，故以补偿功能为基本功能。在没有规定法定损害赔偿金的国家或地区，法官通常将侵害行为的发生次数、严重性、持续时间，数据处理活动的性质、范围、目的，受影响数据主体的数量及遭受的损害程度纳入到侵权行为人损害赔偿责任的计算中。对于引入了法定损害赔偿金制度的国家和地区，如果损害赔偿请求权发生制度以及法定损害赔偿金计算方式设计得不合理，可能会导致侵权行为人承担过高的损害赔偿责任，从而使得这一制度的实际效果从“使得受害人所受损害更易获得补偿”转变为“使得侵权行为人面临严重的惩罚性赔偿后果”。个人信息保护法中的惩罚性法律后果应当主要体现在行政罚款、竞业限制等手段中，私力救济机制或许不应当担负如此功能。更何况，随着法定损害赔偿金的引入，对于个人而言，证明责任与诉讼成本降低，“滥诉”的风险增大，倘使侵权行为人面临集体诉讼，所需承担的损害赔偿金数额更是天文数字。

为解决这些问题，伊利诺伊州正考虑对BIPA进行修正，例如，2021年2月，伊利诺伊州众议院议员提出对BIPA的修正案（HB0559），引入了类似于CCPA下的30日合规补救期制度，要求受害人在向私人实体提起诉讼之前，向私人实体发送书面通知，说明受害人认为的私人实体已经违反或正在违反的BIPA下的具体规定，如果私人实体在30天内实际纠正了该违法行为且向受害人提供有关纠正违规行为的书面说明和不再发生违法行为的承诺，则受害人不得对私人实体提起法定损害赔偿之诉。如果私人实体后续作出了违反其书面声明和承诺的行为，受害人可对私人实体提起诉讼，可强制执行书面声明的内容并就私人实体每次违反书面声明的行为以及作出书面声明之后的其他任何违法行为追究法定损害赔偿金。^[14]目前，HB0559正重新提交众议院委员会审查。除此之外，2021年3月，伊利诺伊州众议院议员提交了另一份针对BIPA的修正案（HB0560），HB0560取消了BIPA规定的私人诉讼权，将诉讼权交由伊利诺伊州总检察长和州劳工部的执法部门。^[15]

我国台湾地区“个人资料保护法”也考虑到了法定损害赔偿金制度下侵权行为人承担的损害赔偿责任过重的问题。“个人资料保护法”第28条第3款规定：“如被害人不易或不能证明其实际损害额时，得请求法院依侵害情节，以每人每一事件新台币五百元以上二万元以下计算。”同时，又在该条第4款对同一事件多人请求损害赔偿的总额作出限制，规定“对于同一原因事实造成多数当事人权利受侵害之事件，经当事人请求损害赔偿者，其合计最高总额以新台币二亿元为限。但因该原因事实所涉利益超过新台币二亿元者，以该所涉利益为限”，在该条第5款在第4款总额限制的情况下对第2款每人每事件最低赔偿额作出克减，规定“同一原因事实造成之损害总额逾前项金额时，被害人所受赔偿金额，不受第三项所定每人每一事件最低赔偿金额新台币五百元之限制”。笔者认为，“个人资料保护法”第28条降低了被害人在“不易或不能证明其实际损害额时”的证明责任，同时，考虑到非公务机关所服务的个人资料当事人众多，一次事件影响范围难以估计，如果损害赔偿的数额过于巨大可能导致对非公务机关的正常运营造成影响，故而影响到个人资料当事人的利益，又以规定损害赔偿上限额的方式保障不会对非公务机关的运营造成致命打击。

目前，我国在个人信息保护领域仍以传统侵权法方式计算损害赔偿责任。《民法典》第1165条第1款、第1166条对原《侵权责任法》第6条第1款和第7条作出了修改，^[16]对侵害与损害、绝对权请求权与侵权损害赔偿请求权进行了区分，明确了损害赔偿责任的产生基于“损害”的发生而非“侵害行为”的发生。^[17]在《民法典》1165条表述中的“侵害”，指的是侵害行为，即行为人自主实施的侵害他人民事权益的行为，^[18]而在该条表述中的“损害”，指的是具有法律上的可补偿性的受害人遭受的任何物质利益或精神利益的非自愿丧失。^[19]

根据我国《个人信息保护法》（以下简称“《个保法》”）第69条规定，损害赔偿责任的发生仍以“是否造成损害”为准，而非“是否存在侵害行为”，是否将“侵害法定权利的行为”或者“违反法定义务的行为”认定为一种可能招致损害赔偿责任的“损害”，仍有待于我国立法机关、司法机关后续作出明确。此外，目前我国《个保法》尚未设置法定损害赔偿金制度，根据《个保法》第69条第2款的规定，损害赔偿责任的计算方式仍以“个人因此受到的损失”或者“个人信息处理者因此获得的利益”为准，在“完全赔偿”和“禁止得利”两项原则涵盖之下。为了克服个人在侵害个人信息权益中损害证明难的问题，或许可以考虑在未来引入法定损害赔偿金制度。同时，应当为法定损害赔偿金的适用设置合理的限制条件。例如，特定适用情形；合规补救期制度；赔偿金额的合理区间；同一违法行为造成多数人权利时的总额限制等，以更好地达到“保护”与“发展”的平衡。