对于因违反《伊利诺伊州生物识别信息保护法》(BIPA)而面临生物识别隐私诉讼的雇主而言,近期出现了一项重大利好:第七巡回上诉法院一致裁定,2024年对BIPA损害赔偿条款的立法修订将追溯适用于正在审理的案件。这一裁决极大地降低了伊利诺伊州雇主可能面临的数十亿美元赔偿风险,同时也标志着所谓“每次扫描”赔偿制度的终结。
正如我们之前讨论过的,伊利诺伊州最高法院在 拉特里娜·科特伦诉怀特城系统公司案 一案中作出的裁决,给伊利诺伊州的雇主带来了难以承受的后果。该裁决认定,雇主每次在未遵守《生物识别信息隐私法案》(BIPA)的通知和同意要求的情况下收集个人生物识别信息,即构成一次BIPA违规。科特隆案意味着,雇主每次在未充分通知并获得同意的情况下收集员工的生物识别信息,都可能面临赔偿(金额在1,500美元至5,000美元之间)。 例如,若一名每周工作五天的员工使用非法收集的生物识别数据,每天进行四次打卡(即开始/结束班次以及午休打卡),其雇主每年可能需为每位员工承担1,500,000至5,000,000美元的赔偿责任。
在科特伦案判决 之后,伊利诺伊州议会于2024年8月通过了《伊利诺伊州生物识别信息隐私法》(BIPA)的修正案,州长J.B.普利兹克随后签署了该修正案。该修正案取消了“按次扫描”的赔偿标准,改为“按人”赔偿,即通过同一方法多次违规收集同一人的生物识别信息,仅构成一次BIPA违规行为。
第七巡回上诉法院现已一致裁定,2024年《伊利诺伊州生物识别信息隐私法》(BIPA)修正案对修正案生效前提起的任何未决诉讼具有溯及力。 这一裁决可能预示着规模较小的个人《伊利诺伊州隐私法案》(BIPA)索赔案件将面临所谓的“丧钟”,因为第七巡回上诉法院既强调了BIPA损害赔偿的裁量性质,也指出了其对待决案件管辖权可能产生的影响——这些案件可能不再满足75,000美元的争议金额门槛。 尽管第七巡回上诉法院的裁决并未消除雇主在《伊利诺伊州隐私法案》(BIPA)下的法律风险,但它为正在处理诉讼和和解谈判的雇主提供了更大的可预测性,并进一步缓解了雇主在BIPA下曾一度不断膨胀的法律风险。
随着生物识别相关技术(包括某些人工智能系统)在就业领域的兴起,伊利诺伊州的雇主若目前正在使用或计划使用这些工具收集员工的生物识别信息,应立即起草并实施符合《伊利诺伊州生物识别信息隐私法案》(BIPA)的通知与同意政策。尽管BIPA带来的风险可能有所降低,但并未完全消除,因此遵守BIPA仍是必不可少的。
