RELATEED CONSULTING
免费使用
下列产品全部免费使用
服务时间:9:30-18:00
你可能遇到了下面的问题
关闭右侧工具栏
消费者获得了寻求数据泄露损害赔偿的更多权力
  • 发表时间:2020-08-24 11:00
  • 来源:数度域

电子数据系统遭到破坏不会有好的结果。充其量,从事电子商务技术的公司面临着艰巨的任务和由此产生的维修成本。

除了必须修复信息技术系统之外,遭受违规的公司可能越来越容易受到个人数据受到影响的客户采取的法律行动的影响。本月早些时候宣布的一项联邦上诉委员会的决定强调了电子记录被黑客攻击的消费者可以利用的潜在法律杠杆。

总的来说,最近的判决和其他法院的类似裁决“极大地扩大了消费者对受到访问高度敏感个人信息的黑客攻击的公司提起集体诉讼的范围。”

该案件涉及黑客入侵健康保险公司carefirst维护的近100万份客户记录。该公司在2014年7月遭受了攻击,但直到2015年4月才发现漏洞。该公司在2015年5月通知了客户。此后不久,几名客户对carefirst提起集体诉讼,将违规行为归咎于该公司的粗心大意,并声称黑客攻击增加了客户身份被盗的风险。

上诉判决有利于消费者

carefirst赢了第一轮。一家联邦地区法院驳回了该投诉,裁定集体诉讼原告未能为其声称的违约对客户造成任何实质性损害提供充分的支持。法院认为伤害的断言是推测性的。

然而,美国哥伦比亚特区上诉法院本月早些时候推翻了地区法院的判决。上诉法院称,客户关于伤害wa的指控是正确的,因为地区法院误解了关于案件所涉及数据的性质的投诉,而且原告已经确定个人身份信息(pii)、受保护的健康信息(phi)和“敏感信息”遭到了黑客攻击。

这些类别包括社会保障和信用卡数据,chantal attias诉carefirst的上诉裁决说明。

上诉法院随后将黑客攻击所涉及的数据类型与随后身份盗窃的潜在可能性联系起来,并判定客户已经建立了“似是而非”的理由,证明自己因黑客攻击而遭受了伤害。

上诉法院法官托马斯格里菲斯写道:“没有人怀疑身份盗窃,如果它降临到这些原告之一,将构成具体和具体的伤害。”

根据该裁决,原告已经确定,由违约造成的任何伤害都可以“相当容易地”追溯到carefirst。

在提交给上诉法院的呈件中,carefirst辩称,客户未能证明“损害风险肯定即将发生或有发生的重大风险。”

carefirst通过发言人sarah wolf拒绝对此事发表评论。

[/h/

根据美国商会的说法,如果允许客户对那些在没有充分证据证明损害的情况下经历过违规行为的公司提起诉讼,对电子商务的影响可能是巨大的。该组织在上诉法院诉讼中支持carefirst。

商会在一份法庭之友书状中称,如果原告被允许继续像针对carefirst这样的案件,商会成员将会陷入诉讼的泥潭,这些诉讼并没有对原告造成任何实际的或迫在眉睫的伤害,然而这些ca却威胁要从遭受黑客或小偷侵害的企业中榨取巨额赔偿。

发言人lindsay bembenek在回应我们对这一决定的质疑时告诉《电子商务时报》:“我们没有什么要补充的,所以我们将让这份简报自己说话。”

遭遇黑客攻击的公司可能会对最近另外两起案件的结果感到不满,这两起案件在类似于carefirst事件的情况下加强了消费者的权利。

今年早些时候,美国第三巡回上诉法院在针对horizon healthcare services提起的诉讼中做出了有利于原告的裁决,该诉讼涉及违反记录,法院在该诉讼中支持伤害的主张。美国第七巡回上诉法院在2015年的一个案件中做出了有利于原告的判决,原告起诉了neiman marcus,理由与carefirst和horizon案相似。

然而,与carefirst和horizon的判决相反,美国第二巡回上诉法院今年春天在whalen诉michaels stores一案中对原告作出了不利裁决,裁定原告未能确定足以提起与侵犯私人数据有关的诉讼的具体损害。

确定损害或伤害因素对于受影响的客户获得提起诉讼的法律“地位”至关重要。

“最终,数据泄露的原告能否在因缺乏法律地位而被驳回的诉讼中存活下来,仍将是一个关键问题。”sidley austin的律师edward mcnicholas和grady nye写道:“巡回法院的分裂将会增加所有人的诉讼成本,并增加公司面临集体诉讼的潜在风险,集体诉讼的依据是数据泄露后身份盗窃风险增加的指控。”。

在这类数据泄露案件中,上诉法院判决的不同可能会将该问题提交美国最高法院。

ballard spahr的mcandrews告诉《电子商务时报》:“我认为,最高法院很有可能最终会考虑,在个人起诉涉及敏感个人信息的数据泄露的公司时,应如何适用法律地位原则。”

然而,他说,最高法院可能会等到下级法院出现各种相关的法律问题。

与此同时,商业公司必须比以往更加警惕——不仅要关注技术问题,还要关注与数据泄露相关的法律问题。

[/h/

“d . c . circuit的裁决以及类似的其他裁决可能会导致针对遭受个人信息数据泄露的组织提起的民事诉讼的类型和数量增加。首先,也是最重要的一点,组织必须建立一个合理行为的跟踪记录(可在法庭上证明),以保护敏感数据免受未经授权的访问。”

公司需要创建和实施一个完善的网络安全计划——包括适当的管理、技术和物理控制以及文档。他说,然后他们“实际上必须遵循该计划以及管理该计划的政策和程序。”

此外,mcandrew建议,组织“必须在预计诉讼的同时进行网络事件响应和内部调查。”

诉讼不可避免地不仅涉及为什么会发生违规,还涉及组织如何应对事件。

“在响应和调查阶段,不理解和管理与网络事件相关的法律风险,是我看到的所有类型的组织都会犯的最大错误之一。麦克安德鲁指出:“通常,事件响应活动仍停留在组织的信息技术和安全或合规层面,由没有专业知识或经验的个人来执行,他们不知道如何在随后的诉讼中使用正在形成的证据。”

他说:“以后再请律师是行不通的。”“除非律师帮助引导网络事件响应,否则在事件响应过程结束之前,很可能就要承担责任了。”

消费者获得了寻求数据泄露损害赔偿的更多权力 相关的文章:

  • visa寻求建立在线b2b生态系统
  • ota报告:消费者服务网站比。gov网站
  • 消费者已经准备好接受“未来”支付技术
  • epic声称谷歌在ftc投诉中侵犯了消费者隐私
  • 对alexa来说这是一个全新的世界
  • 消费者在隐私法律诉讼中赢了一些,输了一些