数据泄露事故是给企业带来持续影响的商业危机。当发现有数据泄露事故发生时,企业应该调查发生了什么事情、修复安全漏洞、配合执法部门工作以及遵守通知法规,认真遵循这些步骤可帮助企业减少影响。同时,面对数据泄露事故的企业还需要关注后续的诉讼。
这里的诉讼可能是政府执法部门诉讼的形式,也可能是来自雇员、消费者或第三方的私人诉讼形式。本文中我们将探讨企业可能面临的数据泄露诉讼类型、其中涉及哪些法律理论以及可采取哪些防范措施。
首先的问题是,谁起诉?
这通常是与企业签有合同以保护其个人机密信息或患者医疗信息的消费者、金融机构和第三方。我们会看到消费者起诉,而且也看到越来越多金融机构(银行和信用机构,数据泄露事故让他们不得不发行新的信用卡或者偿还消费者)提起集体诉讼来弥补其成本和业务损失。
最近的例子是Home Depot数据泄露诉讼以及美国佐治亚州北部联邦地区法院针对该公司的多区域诉讼,这里包括消费者集体诉讼和金融机构集体诉讼。
与金融机构集体诉讼相比,消费者集体诉讼案件可能处于不利地位,因为消费者可能很难证明其诉讼资格或者受到的损失。通常情况下,由于他们已经得到赔偿以及无法证明身份被盗,消费者可能无法在法庭保留其索赔权力。而金融机构则可能可以证明数据泄露之前、期间或者之后由于被告企业没有采取措施或因不合理的行为造成其经济损失。
其次,法院何时允许诉讼?
这可能取决于诉讼是在州立还是联邦法院。在联邦法院,原告必须符合诉讼资格要求。也就是说,根据联邦宪法第三条的要求,他们必须反驳被告的观点。即使他们克服这个障碍,他们还必须证明他们受到可被法庭认可的伤害。
这些可能是很困难的事情。在数据泄露集体诉讼案件中,原告是否有资格通常取决于原告是否有受到实际伤害,而不仅仅是受伤害的风险或可能性。
在2013年“克拉珀诉大赦国际”一案(Clapper v Amnesty International)中,美国最高法院认为,对于声称未来可能受到伤害的原告,要在联邦法庭获得诉讼资格,原告必须证明其声称的伤害即将到来。 这通常被成功地用来击败原告的控告,因为他们无法指出已经发生的任何特定的身份盗窃或其他伤害,只能说明发生这种伤害的可能性。
话虽如此,并非所有原告都注定会提起诉讼而无法证明实际损害。在2015年,美国第七巡回法院判决Remijas诉Neiman Marcus Group重要案件时指出,“Clapper没有排除任何未来伤害来支持联邦宪法第三条的诉讼资格要求”,以及伤害的“实质性风险”可能已经足够。
自从第七巡回法院判决以来,有些巡回法院也做出类似裁决:例如第六巡回法院在Galaria诉Nationwide Mutual Insurance Co.案件中认为原告的个人信息从后者公司计算机网络被窃取就有诉讼资格。尽管如此,第三条诉讼资格可能会特别繁琐。
那么,这样的伤害是否可以得到赔偿?虽然法律学对于外行来说可能很神秘,但我们在这里不会探讨这些学说,只是说,他们不仅要提出未来伤害的可能性,他们还必须证明他们所指称的伤害是法院可以听到的那种伤害,以及当诉讼成功时可实际补救的伤害。
这可帮助鼓励严格的数据安全管理和数据泄露通知合规性。越多的公司可保护消费者以及迅速对泄露事故作出响应,其诉讼辩护就会越强。这就是说,将对消费者的伤害降到最低既是好的企业做法也是很好的诉讼策略。
应当指出的是,美国州立法院在这些问题上可以更宽容一些。由于他们是根据州法律来判决民事案件,他们不需要按照联邦宪法的标准。假设原告将诉讼提交给州立法院(这对于集体诉讼可能很难,因为数据泄露事故通常都会影响整个国家的消费者),那应该按照州法,而不是宪法或者联邦法规的立场。
第三,原告会提出什么控告?
他们越来越多地会提出疏忽、违反合约、消费者保护和不正当竞争等。事实上,我们对过去三年的案件调查显示,疏忽主张越来越受欢迎。上面提及的Home Depot数据泄露诉讼就包括疏忽,疏忽本身,以及违反各种不公平和欺骗性贸易惯例法规。
原告通常不能转向数据泄露通知法规。虽然这些法规通常会为州检察长办公室提供对违反这些法规的人的制裁权力,但很少向个人消费者或州居民提供私人的行动权。
值得注意的是,数据泄露诉讼通常是以和解或解雇为结果;很少有案件得到裁决。对于一般民事诉讼来说确实是这样,大多数案件从未在审判中得到最终裁决。举例来说,Home Depot诉讼有两个集体诉讼和解:一个是消费者集体诉讼,另一个是金融机构集体诉讼。
对于一家遭受数据泄露的公司来说,这可能看起来不公平,在沦为犯罪活动的受害者后,该公司可能还不得不面临监管合规和潜在诉讼。有迹象表明,美国各州和联邦执法机构越来越多地将公司视为受害者,而不是以某种方式参与数据泄露事故。
尽管如此,只要企业收集、维护和使用机密的个人信息,他们就必须维持合理的安全策略以保护信息的安全,并在发生数据安全事件时谨慎行事。合理的行动可增加后续诉讼的成功率,但并不能保证一定成功。最大限度减少对消费者的伤害不仅是正确的做法,而且可在数据泄露诉讼中提高企业自身的辩护。