中心研究 | 数据法案例（三）—White Castle指纹识别案（侵权损害赔偿请求权的发生和赔偿金的计算）

本文约10000字，细读约25分钟

姬祥|中国信息通信研究院互联网法律研究中心研究员

CIPP/US CIPP/E

笔者此前梳理的数据法案例，请见：

生物特征识别技术在商业和安全领域的应用日益增多。不同于社会保险号码等其他可以更改的唯一标识符，生物识别标识符在生物学上为个体独有，一旦泄露，导致身份盗窃的风险更高。为了有效保护生物识别信息，2008年美国伊利诺伊州颁布《生物识别信息隐私法》（Biometric Information Privacy Act，BIPA），针对私人实体收集、使用、保护、处理、存储、保留和销毁生物识别标识符和生物识别信息作出了规定，并设置了私人诉讼权。

Cothron（以下简称“原告”）自2004年起在White Castle（以下简称“被告”）工作。原告声称，自2007年起，被告要求原告使用指纹扫描系统访问工作电脑，每次扫描结果都会发送给第三方服务商进行验证。原告认为，自2008年BIPA生效之日起至2018年起诉时，被告未在事前获得满足BIPA要求的适当同意的情况下收集原告指纹并向第三方披露的行为，违反了BIPA的相关规定。案件经伊利诺伊州东区地方法院审理后上诉至美国联邦第七巡回上诉法院。

2004年：原告成为被告雇员

2007年：被告采用指纹识别系统

2008年：BIPA生效

2018年：原告提起诉讼

2020年8月：美国伊利诺伊州东区地方法院一审

2021年12月：美国联邦第七巡回法院上诉审理，并向伊利诺伊州最高法院请求进行意见确认（certification）。

2023年2月：伊利诺伊州最高法院对案件情况发布审判意见（opinion）。

2023年7月：伊利诺伊州最高法院驳回被告重审请求。

本案主要涉及的争议焦点如下：

争议焦点一：被告涉案行为是否对原告造成了BIPA和侵权法意义上损害？原告是否可以就被告涉案行为请求损害赔偿？

争议焦点二：是否被告每一次扫描、向同一第三方比对指纹的行为都构成BIPA所规定的收集、披露行为？是否都会独立地引起原告侵权损害赔偿请求权的发生？法定损害赔偿金是否严格按照（侵权行为发生次数*单次法定损害赔偿金）进行计算？

关于争议焦点一，联邦第七巡回上诉法院认为，BIPA规定的知情同意制度保护了个人对独有生物识别信息中的隐私权益。因此，不遵守义务的行为相当于侵犯个人的“私有领域”，[4]“类似于一种侵入行为（act of trespass）”，[5]人们必须“有机会就向谁以及出于何种目的放弃（relinquish）其生物识别信息控制权作出知情选择”，不遵守此类义务则会剥夺人们“在伴随风险的情况下考虑该等收集和使用数据的条款是否可以接受的机会”，而对于这种机会的剥夺，是一种实际的和具体的损害。并且，非法保留、披露、再次披露或传播生物识别信息就像非法收集生物识别信息一样，剥夺了一个人“在伴随风险”的情况下考虑谁可能持有其生物识别信息的机会，满足了事实上的损害的要求。第七巡回上诉法院认为，原告“无需证明除了法定权利被侵犯以外的其他损害（injury）”即取得适格原告资格（Standing）。[6]

【争议焦点一并非伊利诺伊州最高法院此次审判意见的重点，更具体的内容，请参见笔者此前针对本案的梳理，美国伊利诺伊州Cothron诉White Castle指纹识别信息侵权案】

原告认为，被告每一次扫描和传输原告指纹时，都独立构成了违反BIPA规定的违法行为，根据伊利诺伊州最高法院在Rosenbach案中的分析，被告的每一违法行为都使得原告感到被“伤害”（aggrieved）。因此，根据BIPA第20条，原告认为其对被告每一次违反BIPA的行为都具有损害赔偿请求权。

被告辩称，只有第一次扫描和传输原告指纹的行为才涉及原告损害赔偿请求权发生（accrual）与否的问题，由于第一次侵害行为发生在2008年，已经超过诉讼时效，这一损害赔偿请求权的存在已经没有意义。首先，被告援引了一项适用于诽谤和其他隐私侵权案件的请求权发生规则：一次公开规则（the single-publication rule）。其次，被告辩称，伊利诺伊州最高法院在Rosenbach案中的分析实际上指向了与原告论点相反的结论：原告仅因被告首次违反BIPA第15条（b）款和15条（d）款的行为受到“伤害”。

1、一次公开规则的适用

Winrod诉Time有限公司案确立了一次公开规则，[7]并于伊利诺伊州《统一一次公开法》（the Uniform Single Publication Act，USPA，请原谅笔者蹩脚的翻译水平…）为成文法所确认。一次公开规则指的是，基于广泛传播的诽谤性言论产生的侵权损害赔偿请求权仅发生一次，而不是在每次发布同一言论时重复产生，其目的在于“保护演讲者和作者免受诽谤性内容单一但大规模制作的出版物引起的重复诉讼”，[8]被告认为，根据伊利诺伊州最高法院在West Bend Mutual案中的说理，非法披露个人生物识别信息属于侵犯隐私的“公开”行为，[9]导致了个人对其生物识别信息的控制和保密性的丧失，应当适用一次公开规则。

第七巡回法院认为，一次公开规则在本案当中的适用可能存在疑问。USPA的管辖范围包括诽谤和其他传统的隐私侵权行为，该法以说明性清单的方式列举了涵盖报纸、书籍、电影、电视和广播在内的公开媒介，这可能表示一次公开规则不能适用于BIPA所指的“披露”行为。同时，由于West Bend Mutual案涉及的信息披露是保险合同意义上的公开，而非USPA意义上的公开，因此该案的审判逻辑并非可以当然地适用（slam dunk）至本案当中。

2、首次发生规则（first-time-only accrual rule）——对BIPA第15条（d）款的文义解释

第七巡回法院认为，即使一次公开规则不适用，从BIPA第15条（d）款的文义进行解释，被告所辩称的首次发生规则是有道理的。“披露”（disclose）的含义是“新的揭示”（new revelation），指向的对象是未取得生物识别信息的第三方，重复地向同一第三方传输相同的生物识别信息并不构成新的“披露”行为或“再次披露”（redisclose）行为。

原告认为，文义解释恰恰说明了BIPA对“再次披露”行为的规定否定了被告辩称的首次发生规则，“再次披露”行为应当包括向同一第三方披露相同的生物识别信息。被告则辩称，“再次披露”指的应当是持有生物识别信息的第三方对其他未持有该生物识别信息的“下游”（downstream）实体进行的“披露”。而原告认为，BIPA第15条（d）款适用于任何“持有生物特征标识符或生物特征信息的私人实体”，被告的观点会使“再次披露”的概念变得冗余，对下游实体进行披露的行为应当落入到“披露”的范畴当中，而不是“再次披露”。

法院认为，从文义解释来看，原告的观点不无道理，但“披露、再次披露或以其他方式传播”并没有明确排除一次发生规则（a single-time accrual rule）的适用，“披露”和“再次披露”后接“以其他方式传播”（other disseminate）的表述可能说明了本条的目的在于尽可能地确保所有类似“披露”的行为被涵盖在内。虽然BIPA第15条（d）款没有明确规定损害赔偿请求权只在首次披露时产生，但这是从文义上对法条表述的合理解读。

3、以Rosenbach案为基础对损害赔偿请求权发生问题的分析

Rosenbach案中，伊利诺伊州最高法院认为BIPA的目的在于保护个人对其生物识别信息的“隐私权和控制权”。被告认为，侵权行为第一次发生时就已经对该等权利造成侵害，同一侵害人的重复侵权行为不会进一步损害个人的隐私权或控制权。

法院认为，如果认为在侵权行为首次发生之后的违法收集或披露行为不会造成BIPA意图防止的伤害（harm），被告的首次发生理论（one-and-done theory）是有道理的，BIPA的表述某种程度上支持了这一观点，但这一观点也存在明显的瑕疵，因为其前提是两次违法行为的发生并不比一次违法行为更糟糕（worse）。这个前提可能是错误的，即使是同一实体重复违法收集数据，或者向同一实体重复违法披露数据，也可能增加生物识别信息被滥用或者错误处理的风险，因此，每一次违法行为的发生都会使原告受到独立地伤害。

第七巡回法院考虑到，“在解释一项成文法时，我们假设立法机关并未意图造成一种荒谬的结果”，[10]原告在工作中扫描指纹的频率非常高，如果将被告每一次收集和向第三方传输原告指纹数据的行为都视作独立的违法行为，且每一独立违法行为都能够产生请求赔偿1000美元或者5000美元法定损害赔偿金的损害赔偿请求权，最终被告所需承担的损害赔偿责任可能是惊人的（经计算约为170亿美元）。就此问题，原告认为，损害赔偿金的计算与损害赔偿请求权的发生应当分开，如果按照被告的观点，损害赔偿请求权仅在首次违法行为时发生，导致的结果就是，一旦受管辖实体违反了BIPA，如果之后的违法行为不会产生任何不利的法律后果，那么违法者就不会有动力纠正自己的违法行为，也不会有动力遵守法律。

鉴于此问题的新颖性和不确定性，联邦第七巡回法院请求伊利诺伊州最高法院进行意见确认（certification）。[11]

伊利诺伊州最高法院（以下简称“法院”）认为，应当首先从文义解释角度出发对成文法进行解释，只有在成文法表述存在模糊的情况下，才可以通过目的解释的方式，从其他方面了解立法机关的意图。

法院认为，正如原告所述，被告获取了员工的指纹并存储在其数据库中，员工必须使用自己的指纹访问工资单和工作电脑。在随后的扫描行为中，扫描的指纹需要与数据库中存储的指纹数据进行比较。

法院认为，在首次收集之后的指纹扫描和比对行为是否构成BIPA第15条（b）款的收集、获取行为这一问题上，被告的观点自相矛盾。被告认为，只有当实体首次获取且存储原告指纹时，才属于BIPA第15条（b）款的“收集”或“获取”的行为，随后的身份验证扫描不属于收集或获取行为的范畴。但被告又在抗辩中表明，原告的损害赔偿请求权在2008年BIPA生效后的第一次扫描行为时产生。而事实上的首次扫描行为发生在2007年，BIPA生效后的第一次扫描行为属于例行的身份验证扫描，只有该行为满足BIPA第15条（b）款的“收集”或“获取”行为，才能产生相应的损害赔偿请求权。也就是说，被告本身认可了“后续的扫描行为属于BIPA第15条（b）款的‘收集’或‘获取’行为”这一观点。

因此，法院认为，被告首次获取且存储原告指纹的行为，以及随后的身份验证扫描的行为，都属于BIPA第15条（b）款的“收集”或“获取”的行为。

法院认为，原被告均从文义解释的角度对“披露”和“再次披露”的词义进行了解释，但该条的其他表述——“以其他方式传播”——已经将“向同一方进行重复传输”的行为涵摄在内。也即，在未经事先知情同意的情况下，实体向第三方披露或者以其他方式传播个人的生物识别信息，违反了BIPA第15条（d）款的规定。

被告认为，Rosenbach案明确解释了BIPA保护个人对于其生物识别信息保密性和控制的权利。因此，一旦个人在首次侵权行为中失去对其生物识别信息的控制，保密性的丧失是不能被“重建”（recreate）的，因为个人不能对实体已经取得的信息进行保密。

法院认为，被告误解了伊利诺伊州最高法院在Rosenbach案中的说理，且法院并没有在该案中对损害赔偿请求权的发生问题进行直接分析。在Rosenbach案中，法院认为，当私人实体未能遵守BIPA第15条的要求时，违法行为造成了对个人法定权利的侵犯、损害或剥夺，根据BIPA第15条提出损害赔偿请求权的个人不需要证明实际损害的存在，法定的违法行为本身足以成为个人的法定诉由。因此，与被告的观点相反，损害赔偿请求权的发生并不以失去控制或者失去隐私为前提，Rosenbach案实际上明确的是，法定违法行为本身就属于“损害”（injury），根据BIPA第20条，个人因此获得了损害赔偿请求权。因此，BIPA没有被告声称的对损害赔偿请求权发生的限制，被告的抗辩不能成立。

法院进一步指出，虽然这样的理解可能会如被告所说，因为法定损害赔偿金的存在，（侵权行为发生次数*单次法定损害赔偿金）的计算方式会造成“天文数字”般的损害赔偿金（经计算约为170亿美元），产生立法机关在立法时未能预见到的“毁灭性责任”，还可能违宪。但是在成文法有明确规定的情况下，必须将其付诸实施，“即使后果可能是残酷的、不公正的、荒谬的或不明智的”。[12]法院还补充道，立法机关试图为没有遵守BIPA要求的私人实体承担重大的潜在责任（substantial potential liability），目的是以最大可能激励实体遵守法律，在问题发生之前就采取预防措施。但是，BIPA也并没有任何授权法院作出可能导致商业实体财政方面毁灭性损失的损害赔偿的立法意图。因此，法院拥有一定的自由裁量权，在对受损害者进行公平补偿且能震慑未来违法行为的同时，并不摧毁被告的商业活动。在此基础上，法院仍认为，损害赔偿金的计算问题最好交由立法机关而不是法院解决。

综上所述，伊利诺伊州最高法院给出了审判意见：根据BIPA第15条（b）款和（d）款，在未经事前同意的情况下，被告每次扫描或传输原告生物识别标识符或生物识别信息时，原告都取得独立的损害赔偿请求权。

值得注意的是，伊利诺伊州最高法院的不同法官间并未就此问题达成一致意见。

David K. Overstreet法官（以下简称“DO法官”）牵头发表了不同意见，Mary Jane Theis首席大法官和Lisa Holder White法官赞同DO法官的意见。DO法官认为，多数意见并未与BIPA的文义、立法目的以及此前伊利诺伊州最高法院的判例法一致，这将导致立法机关未曾预见的后果。并且，多数意见将使被告承担的责任过于繁重。

DO法官认为，要回答第七巡回法院的问题，需要明确两个问题：一是BIPA的目的在于保护何种利益；二是根据文义解释，违反BIPA第15条（b）款或（d）款的行为构成要件是什么。第一个问题，法院在Rosenbach案等系列案件中已经作出了明确，即BIPA赋予个人控制其生物识别信息的权利，目的在于保护个人对其生物识别标识符和生物识别信息的隐私权、控制权和“保密利益”（secrecy interest）。

就BIPA第15条（b）款而言，在被告销毁已获得的原告的生物识别标识符或信息之前，“获取”（obtain）行为只能发生一次，在随后的身份验证扫描行为中，被告没有获取任何它尚未持有的信息，只是与已有的指纹信息进行了比较，原告对自己的生物识别信息没有失去更多（no additional loss）控制，原告对生物识别信息的控制权和其生物识别信息的保密性在第一次进行扫描时就已经受到了侵害。

同样，就BIPA第15条（d）款而言，向同一第三方提供相同的生物识别信息不会进一步侵害原告的控制权和隐私。同时，考虑“披露”（disclose）一词的含义以及立法机关在法律表述中的一贯方式，“再次披露”（redisclose）显然指向的对象是下游第三方。原告认为任何向新一方的“揭示”（disclosure）都可以属于“披露”一词所指的行为。但原告只是证明了，“再次披露”一词在英语语言中可能是不必要的，立法机构可以使用“披露”而不是“再次披露”的表述，法条的含义不会因此改变。但原告没有注意到的是：一是立法机关一贯使用“再次披露”一词表示“向经披露者披露已披露的内容”；二是“再次揭示”（redisclosure）在逻辑上是不可能的。

DO法官认为，在考虑以不同方式解释BIPA每个表述的合理含义时，有两个重大后果不利于多数意见：首先，按照多数意见，原告将有动机尽可能地更多次进行扫描指纹，以获得更多的损害赔偿。第七巡回法院认为，如果不认为多次侵权行为的严重性更高，一旦实体违反了BIPA，将没有动力去纠正其错误，但BIPA第20条第（4）款的禁令救济能够解决这一问题。

其次，多数意见对BIPA的解释可能导致商业实体的毁灭性责任，将过度赔偿的问题交由立法机关解决的想法是不负责任的。DO法官特别指出，对商业实体施加惩罚性、严苛的责任并不是BIPA的目标，立法机关没有对商业实体施加远远超过任何合理预计的损害赔偿责任的意图。累加计算法定损害赔偿金的计算方式，将导致一个荒谬的结果：更为严重的、恶意的一次出售行为，可能被处以5000美元的损害赔偿金；而没有恶意的雇主未能以合规方式使用指纹进行工作场所的访问控制，可能会承担数百倍甚至数千倍的损害赔偿责任，这不可能是立法机关的意图。

DO法官总结道，BIPA的立法意图表明，立法机关认可生物识别技术的实用性，并希望通过规范生物识别技术的使用方式来促进私人实体的安全使用，因此BIPA要求在实体收集、披露生物识别信息前向个人进行告知并取得个人统一。为了鼓励合规、防止违法行为，BIPA规定了禁令救济和法定损害赔偿金，但并不能理解为，立法机关试图对同一生物识别标识符的重复扫描行为施加繁琐的要求或是惩罚性的严重责任。立法机关的目的在于保护生物识别信息的安全使用，而不是阻止对生物识别信息的使用。

2023年7月18日，伊利诺伊州最高法院裁定驳回了被告的重审请求，David K. Overstreet法官（以下简称“DO法官”）对此裁定发表了不同意见，Mary Jane Theis首席大法官和Lisa Holder White法官赞同DO法官的意见。

DO法官认为，应当重新审理此案。伊利诺伊州最高法院的审判意见强化了对于BIPA的错误理解，这种错误理解颠覆了伊利诺伊州议会的立法意图，威胁到了伊利诺伊州商业实体的生存，还引起了重大的宪法正当程序问题。立法机关没有意图使BIPA成为对商业实体施加特别损害的机制，也没有意图将BIPA作为诉讼当事人利用过高的法定损害赔偿金寻求高额和解金的工具，然而法院的审判意见却把BIPA解释为允许这类情况的存在，这种解释引发了BIPA有效性的问题。

DO法官首先讨论了补偿性法律（remedial statute）和刑法（penal statute）之间的区别。DO法官认为，立法机关将BIPA作为一项补偿性法律，通过预防性措施方式生物识别技术的使用带来损害。[13]而刑法的作用是“对不履行行为或实施非法行为的惩罚”，以及“在不考虑实际金钱性损失证据的情况下要求违法者支付罚款”。[14]BIPA第20条第（1）款规定，损害赔偿金以实际损害赔偿和法定损害赔偿金中的较大者为准。法定损害赔偿金适用于实际损失太小和难以证明的情况，而不是在每次使用生物识别技术时都需要累加计算，否则损害赔偿结果与危害程度之间的比例将大大超过合理限度，不能假设立法机构试图造成此种荒谬的结果。多数意见的解释削弱了BIPA的补偿性目的，转而将其解释成为一个具有刑罚性质而非补偿性质的法律。这种解释违反了法定解释的基本原则，还引发了严重的正当程序问题。

根据伊利诺伊州和美国联邦法律，立法机关制定法定处罚的权力受到正当程序原则的限制。[15]当一项成文法授权的处罚过于严厉，以至于与罪行完全不成比例且显然不合理时，它不利于合法的政府目标，违反正当程序条款且是违宪的。[16]多数意见将造成的影响是严重的，与BIPA涉及的违法行为严重性不成比例，即使是财务状况健康的商业主体也会因此“敲响丧钟”。

因此，DO法官认为，应当支持被告的重审请求，尤其是，正如被告所述，BIPA第20条对于什么情况下无需承担损害赔偿责任，什么情况下将承担“毁灭性”的责任，没有规定任何的标准。尽管多数意见认可，最终的损害赔偿金数额“似乎”（appear）是可以自由裁量的，但并没有向下级法院提供任何标准和指引。伊利诺伊州最高法院应当明确，法定损害赔偿金数额不得超过为达BIPA之补偿目的所需的数额，并应当指导下级法院如何就此作出裁决，而不是由个别主审法官自行决定。