數據洩露事故訴訟：企業應該怎麽做？

數據洩露事故是給企業帶來持續影響的商(shāng)業危機。當發現有數據洩露事故發生(shēng)時，企業應該調查發生(shēng)了什麽事情、修複安全漏洞、配合執法部門工(gōng)作以及遵守通知(zhī)法規，認真遵循這些步驟可幫助企業減少影響。同時，面對數據洩露事故的企業還需要關注後續的訴訟。

 

這裏的訴訟可能是政府執法部門訴訟的形式，也可能是來自雇員(yuán)、消費(fèi)者或第三方的私人訴訟形式。本文中(zhōng)我(wǒ)們将探讨企業可能面臨的數據洩露訴訟類型、其中(zhōng)涉及哪些法律理論以及可采取哪些防範措施。

　　首先的問題是，誰起訴？

這通常是與企業簽有合同以保護其個人機密信息或患者醫療信息的消費(fèi)者、金融機構和第三方。我(wǒ)們會看到消費(fèi)者起訴，而且也看到越來越多金融機構(銀行和信用機構，數據洩露事故讓他們不得不發行新的信用卡或者償還消費(fèi)者)提起集體(tǐ)訴訟來彌補其成本和業務損失。

最近的例子是Home Depot數據洩露訴訟以及美國佐治亞州北(běi)部聯邦地區法院針對該公司的多區域訴訟，這裏包括消費(fèi)者集體(tǐ)訴訟和金融機構集體(tǐ)訴訟。

與金融機構集體(tǐ)訴訟相比，消費(fèi)者集體(tǐ)訴訟案件可能處于不利地位，因爲消費(fèi)者可能很難證明其訴訟資(zī)格或者受到的損失。通常情況下(xià)，由于他們已經得到賠償以及無法證明身份被盜，消費(fèi)者可能無法在法庭保留其索賠權力。而金融機構則可能可以證明數據洩露之前、期間或者之後由于被告企業沒有采取措施或因不合理的行爲造成其經濟損失。

　　其次，法院何時允許訴訟？

這可能取決于訴訟是在州立還是聯邦法院。在聯邦法院，原告必須符合訴訟資(zī)格要求。也就是說，根據聯邦憲法第三條的要求，他們必須反駁被告的觀點。即使他們克服這個障礙，他們還必須證明他們受到可被法庭認可的傷害。

這些可能是很困難的事情。在數據洩露集體(tǐ)訴訟案件中(zhōng)，原告是否有資(zī)格通常取決于原告是否有受到實際傷害，而不僅僅是受傷害的風險或可能性。

在2013年“克拉珀訴大(dà)赦國際”一(yī)案(Clapper v Amnesty International)中(zhōng)，美國最高法院認爲，對于聲稱未來可能受到傷害的原告，要在聯邦法庭獲得訴訟資(zī)格，原告必須證明其聲稱的傷害即将到來。 這通常被成功地用來擊敗原告的控告，因爲他們無法指出已經發生(shēng)的任何特定的身份盜竊或其他傷害，隻能說明發生(shēng)這種傷害的可能性。

話(huà)雖如此，并非所有原告都注定會提起訴訟而無法證明實際損害。在2015年，美國第七巡回法院判決Remijas訴Neiman Marcus Group重要案件時指出，“Clapper沒有排除任何未來傷害來支持聯邦憲法第三條的訴訟資(zī)格要求”，以及傷害的“實質性風險”可能已經足夠。

自從第七巡回法院判決以來，有些巡回法院也做出類似裁決：例如第六巡回法院在Galaria訴Nationwide Mutual Insurance Co.案件中(zhōng)認爲原告的個人信息從後者公司計算機網絡被竊取就有訴訟資(zī)格。盡管如此，第三條訴訟資(zī)格可能會特别繁瑣。

那麽，這樣的傷害是否可以得到賠償？雖然法律學對于外(wài)行來說可能很神秘，但我(wǒ)們在這裏不會探讨這些學說，隻是說，他們不僅要提出未來傷害的可能性，他們還必須證明他們所指稱的傷害是法院可以聽(tīng)到的那種傷害，以及當訴訟成功時可實際補救的傷害。

這可幫助鼓勵嚴格的數據安全管理和數據洩露通知(zhī)合規性。越多的公司可保護消費(fèi)者以及迅速對洩露事故作出響應，其訴訟辯護就會越強。這就是說，将對消費(fèi)者的傷害降到最低既是好的企業做法也是很好的訴訟策略。

應當指出的是，美國州立法院在這些問題上可以更寬容一(yī)些。由于他們是根據州法律來判決民事案件，他們不需要按照聯邦憲法的标準。假設原告将訴訟提交給州立法院(這對于集體(tǐ)訴訟可能很難，因爲數據洩露事故通常都會影響整個國家的消費(fèi)者)，那應該按照州法，而不是憲法或者聯邦法規的立場。

　　第三，原告會提出什麽控告？

他們越來越多地會提出疏忽、違反合約、消費(fèi)者保護和不正當競争等。事實上，我(wǒ)們對過去(qù)三年的案件調查顯示，疏忽主張越來越受歡迎。上面提及的Home Depot數據洩露訴訟就包括疏忽，疏忽本身，以及違反各種不公平和欺騙性貿易慣例法規。

原告通常不能轉向數據洩露通知(zhī)法規。雖然這些法規通常會爲州檢察長辦公室提供對違反這些法規的人的制裁權力，但很少向個人消費(fèi)者或州居民提供私人的行動權。

值得注意的是，數據洩露訴訟通常是以和解或解雇爲結果;很少有案件得到裁決。對于一(yī)般民事訴訟來說确實是這樣，大(dà)多數案件從未在審判中(zhōng)得到最終裁決。舉例來說，Home Depot訴訟有兩個集體(tǐ)訴訟和解：一(yī)個是消費(fèi)者集體(tǐ)訴訟，另一(yī)個是金融機構集體(tǐ)訴訟。

對于一(yī)家遭受數據洩露的公司來說，這可能看起來不公平，在淪爲犯罪活動的受害者後，該公司可能還不得不面臨監管合規和潛在訴訟。有迹象表明，美國各州和聯邦執法機構越來越多地将公司視爲受害者，而不是以某種方式參與數據洩露事故。

盡管如此，隻要企業收集、維護和使用機密的個人信息，他們就必須維持合理的安全策略以保護信息的安全，并在發生(shēng)數據安全事件時謹慎行事。合理的行動可增加後續訴訟的成功率，但并不能保證一(yī)定成功。最大(dà)限度減少對消費(fèi)者的傷害不僅是正确的做法，而且可在數據洩露訴訟中(zhōng)提高企業自身的辯護。