criminal-law
हाल के रुझान क्लास एक्शन लॉनसूट्स में डेटा सुरक्षा ब्रेचे से संबंधित
Table of Contents
डेटा ब्रीच क्लास एक्शन का विस्तार लैंडस्केप
पिछले दशक में, संघीय और राज्य अदालतों में दायर डेटा उल्लंघन वर्ग कार्रवाई की संख्या नाटकीय रूप से बढ़ी है। बेकरहोस्टेटलर द्वारा 2023 की रिपोर्ट के अनुसार, मुकदमेबाजी ने अकेले 2020 और 2023 के बीच 50% से अधिक बढ़कर 2022 में दायर 1,200 से अधिक नए मामलों के साथ। उच्च प्रोफ़ाइल उल्लंघन - जैसे कि ]]Equifax], , [[FLT:]], ], , और [[FLT:], जो लाखों लोगों के लिए उपयुक्त है।
एक अन्य प्रमुख ड्राइवर डेटा सुरक्षा कानूनों के तहत अधिकारों के उपभोक्ता जागरूकता बढ़ रहा है। एडवोकेसी समूह और कानून फर्म अब सक्रिय रूप से उल्लंघन अधिसूचनाओं की निगरानी करते हैं और बड़े पैमाने पर टॉर्ट फाइलिंग को व्यवस्थित करते हैं। परिणाम: लगभग व्यक्तिगत रूप से पहचान योग्य जानकारी (PII) या संरक्षित स्वास्थ्य सूचना (PHI) के हर महत्वपूर्ण उल्लंघन ने सार्वजनिक प्रकटीकरण के दिनों या सप्ताह के भीतर एक वर्ग कार्रवाई की शिकायत शुरू की। 2024 में, उदाहरण के लिए, Change हेल्थकेयर ransomware हमले - जो अनुमानित 100 मिलियन व्यक्तियों पर डेटा उजागर करता है - कम से कम 50 वर्ग कार्रवाई दो महीने के भीतर दायर की।
क्यों? उद्योग-विशिष्ट भेद्यता
हेल्थकेयर एक विशेष हॉटस्पॉट बन गया है। स्वास्थ्य और मानव सेवा विभाग ने बताया कि स्वास्थ्य देखभाल डेटा 500 या अधिक व्यक्तियों को प्रभावित करता है जो 2020 से 2023 तक बढ़ गया है। इस क्षेत्र में कक्षा के कार्यों में अक्सर HIPAA उल्लंघन, वित्तीय कर्तव्य का उल्लंघन और लापरवाही के आरोप शामिल होते हैं। इसी तरह, वित्तीय सेवा उद्योग बैंकिंग और निवेश डेटा की संवेदनशीलता के कारण जोखिम को बढ़ाता है, जबकि शिक्षा क्षेत्र-जहां स्कूल सामाजिक सुरक्षा संख्या से विकलांगता रिकॉर्ड तक सब कुछ इकट्ठा करते हैं-जिसने 2019 से उल्लंघन से संबंधित मुकदमाों की यात्रा देखी है।
सामान्य कानूनी सिद्धांत और आरोप
डेटा उल्लंघन वर्ग कार्रवाई आम तौर पर कई कोर कानूनी सिद्धांतों पर आराम करते हैं। जबकि विशिष्ट दावे अधिकार क्षेत्र और उल्लंघन प्रकृति के अनुसार भिन्न होते हैं, नियमित रूप से गठबंधन करते हैं:
- ]Negligence - सबसे आम दावा, उचित, उद्योग-मानक सुरक्षा उपायों को लागू करने में असफलता का आरोप लगाया। न्यायालय अक्सर देखभाल के मानक को परिभाषित करने के लिए NIST साइबर सुरक्षा फ्रेमवर्क या संघीय व्यापार आयोग के डेटा सुरक्षा दिशानिर्देशों की ओर देखते हैं। विशेष रूप से, ]Re: टारगेट कार्पोरेशन. ग्राहक डेटा सुरक्षा ब्रीच Litigation (8th Cir. 2022) ने प्रबलित किया कि अगर वे पर्याप्त सावधानी नहीं लेते थे तो कंपनियां पूर्ववर्ती तीसरे पक्ष के हमलों के लिए उत्तरदायी हो सकती हैं।
- ] डेटा संरक्षण कानूनों का उल्लंघन - कैलिफोर्निया उपभोक्ता गोपनीयता अधिनियम (CCPA), Illinois बॉयोमीट्रिक सूचना गोपनीयता अधिनियम (BIPA), या न्यूयॉर्क SHIELD अधिनियम, वैधानिक क्षति और वकीलों की फीस को ट्रिगर कर सकता है, जिससे उन्हें विशेष रूप से सादे फर्मों के लिए आकर्षक बना दिया जाता है। उदाहरण के लिए, BIPA ने लापरवाही उल्लंघन के लिए 1,000 डॉलर की तरल क्षति और प्रति व्यक्ति के जानबूझकर या लापरवाह उल्लंघन के लिए $5,000 की उपज प्रदान की है।
- ]Misrepresentation and धोखाधड़ी — दावा है कि एक कंपनी की गोपनीयता नीतियों या सुरक्षा प्रतिनिधित्व भ्रामक थे। उदाहरण के लिए, यदि किसी वेबसाइट में "बैंक-ग्रेड एन्क्रिप्शन" का दावा किया गया है लेकिन कुछ डेटाबेस को एन्क्रिप्ट करने में विफल रहा है, तो सादे दोष धोखाधड़ी के बहाव का तर्क दे सकते हैं। मामला In फिर से: Marriott अंतर्राष्ट्रीय ग्राहक डेटा सुरक्षा Breach Litigation] (D Md. 2021) ने इस तरह के दावों को "औद्योगिक मानक" सुरक्षा के वचनों के आधार पर आगे बढ़ने की अनुमति दी।
- ]फ़िडुइसरी कर्तव्य की पहुंच - विशेष रूप से स्वास्थ्य देखभाल या वित्तीय सेवाओं में, जहां इकाई और डेटा विषय के बीच एक विशेष संबंध मौजूद है। Doe v. Beth इज़राइल Deaconess मेडिकल सेंटर ] (1st Cir. 2023) में न्यायालयों ने रोगी डेटा के लिए गोपनीयता का एक वित्तीय कर्तव्य मान्यता प्राप्त की।
- ]Unjust richment[ — आरोपों कि कंपनी डेटा एकत्र करने से लाभान्वित हुई लेकिन इसके संरक्षण में पर्याप्त रूप से निवेश करने में विफल रहा। उदाहरण के लिए, 2023 में वादी ]In re: स्नैप Inc. डेटा ब्रीच Litigation]] ने उपयोगकर्ता डेटा से स्नैप लाभ का तर्क दिया जबकि जानबूझकर सुरक्षा पर स्कीम्परा करते हुए।
- ] गोपनीयता और संप्रदाय पर घुसपैठ - आम मामलों में ऐसे चिकित्सा रिकॉर्ड, यौन अभिविन्यास, या वित्तीय खाता संख्या के रूप में संवेदनशील डेटा के संपर्क शामिल हैं। In re: TikTok, Inc. डेटा गोपनीयता Litigation (N.D. Ill. 2024) उपयोगकर्ताओं के निजी क्षेत्रों में घुसपैठ के लिए एप्लिकेशन के डेटा संग्रह प्रथाओं पर आधारित है।
कई शिकायतों में राज्य उपभोक्ता संरक्षण विधियों (जैसे न्यूयॉर्क जनरल बिजनेस लॉ §349, कैलिफोर्निया अनफ़ेयर प्रतियोगिता कानून) के तहत भी दावा शामिल है। हालांकि, निजी सादे अक्सर संघीय व्यापार आयोग अधिनियम (धारा 5) के तहत दावों को लाने के लिए संघर्ष करते हैं; अदालतों को आम तौर पर उल्लंघन की स्थापना के लिए एक पूर्व एफटीसी प्रवर्तन कार्रवाई की आवश्यकता होती है।
स्थायी और हर्म के विकास मानकों
सबसे महत्वपूर्ण विकास में से एक अनुच्छेद III की विकसित व्याख्या है, विशेष रूप से अमेरिकी सुप्रीम कोर्ट के फैसले के बाद Spokeo, Inc. v. Robins]]] (2016)। न्यायालय ने यह निर्णय लिया कि एक वादी को एक ठोस और विशेष चोट-निर्माण का प्रदर्शन करना चाहिए, न केवल एक नंगे प्रक्रियात्मक उल्लंघन। इस सत्तारूढ़ ने शुरू में इसे सादे लोगों के लिए कठिन बना दिया ताकि कोई पहचान चोरी या वित्तीय हानि अभी तक हुई हो सके। हालांकि, बाद में कम अदालत के फैसले ने उस मानक को काफी हद तक आराम दिया है।
कई संघीय अपीलीय अदालतों को अब यह पता चलता है कि ] भविष्य के नुकसान का जोखिम बढ़ गया - जैसे कि फ़िशिंग या धोखाधड़ी के लिए बढ़ी हुई भेद्यता - खड़े होने के लिए पर्याप्त है, यहां तक कि चोरी हुए डेटा का वास्तविक दुरुपयोग। में नौवां सर्किट (FLT:2]]Inrepreneementary Data: Xappos.com, Inc. में अक्सर एक ही समय में पाया गया था।
आर्थिक हानि और डेटा मूल्यांकन
एक अन्य प्रमुख स्थायी मुद्दे में शामिल हैं आर्थिक हानि न्यायालयों को स्वीकार करने के लिए तैयार हैं कि व्यक्तिगत जानकारी के मूल्य का नुकसान - जो हैकर्स अंधेरे वेब पर भुगतान करते हैं या उपभोक्ताओं को उनके डेटा के साथ भाग लेने की मांग होगी - एक चोट का गठन कर सकते हैं। डेटा मूल्यांकन पर विशेषज्ञ गवाही वर्ग प्रमाणन युद्धों का एक प्रधान बन गया है। उदाहरण के लिए, ] में फिर से: VTech डेटा Breach Litigation (ND. Ill. 2022), अर्थशास्त्रियों ने अनुमान लगाया कि व्यक्तिगत रूप से प्रति व्यक्ति की जानकारी को कम करने के लिए एक समान मूल्य है।
राज्य गोपनीयता कानून का प्रभाव
राज्य स्तरीय गोपनीयता विधियों डेटा उल्लंघन वर्ग कार्रवाई के लिए शक्तिशाली वाहन बन गए हैं। कैलिफोर्निया उपभोक्ता गोपनीयता अधिनियम (CCPA) , प्रभावी 2020, डेटा उल्लंघन के लिए कार्रवाई का एक निजी अधिकार शामिल है जिसके परिणामस्वरूप व्यवसाय की उचित सुरक्षा बनाए रखने में असफलता होती है। प्रति उपभोक्ता प्रति घटना $ 750 से अधिक की स्थिति में वैध नुकसान (या वास्तविक क्षति, जो भी अधिक हो) और ये राशि जल्दी से बहु मिलियन डॉलर डॉलर के डॉलर के जोखिम में हो सकती है। कैलिफोर्निया अदालतों ने पहले ही CCPA आधारित वर्ग के कार्यों में एक अपटिक देखा है, और कैलिफोर्निया गोपनीयता अधिकार अधिनियम (CPRA) अभी तक दावा किया है।
इसी तरह, ]Illinois बॉयोमीट्रिक सूचना गोपनीयता अधिनियम (BIPA)] ने उन कंपनियों के खिलाफ वर्ग कार्यों की बाढ़ की घोषणा की है जो उचित सहमति के बिना बॉयोमीट्रिक डेटा एकत्र करते हैं- और इन मुकदमों में से कई बायोमेट्रिक डेटाबेस के डेटा उल्लंघन से उत्पन्न होते हैं। BIPA ने लापरवाही उल्लंघन के लिए $ 1,000 की तरल क्षति प्रदान की है और प्रति व्यक्ति के प्रति व्यक्ति को नुकसान पहुंचाने के लिए $5,000 प्रदान किया है। ]Rosenbach v. छह झंडे मनोरंजन निगम. [FLT: 3] (Ill.]
अन्य राज्यों- जिनमें ]Virginia (VCDPA), ]Colado (CPA), और Connecticut (CTDPA) - ने व्यापक गोपनीयता कानूनों को लागू किया है जिसमें सुरक्षा विफलताओं के लिए कार्रवाई के निजी अधिकार शामिल हैं, हालांकि कई में एक इलाज अवधि शामिल हैं या संकीर्ण स्थायी आवश्यकताओं को लागू करना शामिल है। राज्य कानूनों का पैचवर्क राष्ट्रीय कंपनियों के लिए अनुपालन चुनौतियों का निर्माण जारी रखता है, जबकि अधिकांश अनुकूल कानूनी ढांचे के साथ न्यायाधिकरण में रणनीतिक रूप से दायर की फर्में हैं।
उल्लेखनीय निपटान और रुझान
डेटा उल्लंघन वर्ग कार्रवाई में निपटान की मात्रा हाल के वर्षों में रिकॉर्ड स्तर तक पहुंच गई है। Equifax डेटा उल्लंघन निपटान] (2017-2022) सबसे बड़ा है, लगभग $1.5 बिलियन की कुल वसूली के साथ, उपभोक्ताओं, क्रेडिट निगरानी सेवाओं और वकीलों की फीस के लिए मुआवजा सहित। हाल ही में, T-मोबाइल डेटा उल्लंघन निपटान (2021) को $350 मिलियन पर मूल्य दिया गया था, फेसबुक / कैंब्रिज ऊपर की ओर सेटलमेंट (2022) $725 तक पहुंच गया।
कई रुझान निपटान गतिशीलता को आकार देने वाले हैं:
- ]Cybersecurity remediation as part of set: न्यायालयों को तेजी से विशिष्ट सुरक्षा उन्नयन को लागू करने के लिए बचावकर्ताओं की आवश्यकता होती है - जैसे कि बहु-फैक्टर प्रमाणीकरण, एन्क्रिप्शन, या स्वतंत्र लेखा परीक्षा - बस्ती समझौते के हिस्से के रूप में। यह केवल वित्तीय मुआवजा से संरचनात्मक परिवर्तन पर ध्यान केंद्रित करता है। उदाहरण के लिए, In फिर: कैपिटल वन उपभोक्ता डेटा सुरक्षा ब्रीच Litigation] (E.D. Va. 2021) ने बैंक को वार्षिक बाहरी आकलन के साथ एक व्यापक डेटा सुरक्षा कार्यक्रम को अपनाने की आवश्यकता है।
- ]Credit निगरानी प्राथमिक उपाय के रूप में: कई बस्तियों को मुफ्त क्रेडिट निगरानी, पहचान चोरी संरक्षण और दस्तावेजी हानि के लिए नकद भुगतान प्रदान करते हैं। जबकि आलोचकों का तर्क है कि निगरानी अक्सर कम हो जाती है, यह राहत का सबसे आम रूप है। फिर से: याहू! Inc. ग्राहक डेटा सुरक्षा Breach Litigation (ND Cal. 2020) ने प्रति वर्ग के सदस्य को बाहर-बंद नुकसान के लिए $358 प्रदान किया, साथ ही निगरानी के दो साल।
- ]Attorneys' शुल्क under scrutiny: न्यायालयों शुल्क अनुरोध की उचितता पर करीब ध्यान दे रहे हैं, विशेष रूप से "कूपन बस्तियों" जहां वर्ग के सदस्यों को केवल निगरानी या कम मूल्य वाउचर प्राप्त होता है। में फिर से: Rite Aid Corp. Data Breach Litigation](E.D. Pa. 2023), न्यायाधीश ने शुल्क अनुरोध को कम कर दिया है, जो कि वर्ग के सदस्यों को लाभ प्राप्त करने के बाद 10 मिलियन डॉलर के निपटान निधि का 20% तक कम हो गया था।
- Opt-out दरें और वर्ग नोटिस: डिजिटल नोटिस प्लेटफार्मों और सोशल मीडिया अभियानों के उदय के साथ, ऑप्ट-आउट दरें कुछ उच्च प्रोफ़ाइल मामलों में बढ़ी हैं, जो जोखिम को फिर से रोकने के लिए बचावकर्ता को मजबूर करती हैं। उदाहरण के लिए, In re: Marriott अंतर्राष्ट्रीय ग्राहक डेटा सुरक्षा Breach Litigation[FLT: 3]] (2023) ने 133 मिलियन वर्ग के सदस्यों के लगभग 5% की एक ऑप्ट-आउट दर देखी, एक बड़े दावे पूल के अलावा एक अतिरिक्त सेट करने के लिए प्रतिवादी को चला।
कॉर्पोरेट साइबर सुरक्षा और जोखिम प्रबंधन के लिए निहितार्थ
संगठन अब कानूनी देयताओं से बचने के लिए साइबर सुरक्षा उपायों में अधिक निवेश कर रहे हैं। वर्ग कार्रवाई के संपर्क की संभावना ने डेटा सुरक्षा को एक शीर्ष स्तरीय उद्यम जोखिम के रूप में इलाज के लिए कई बोर्डों को धक्का दिया है।
- ]] मजबूत घटना प्रतिक्रिया योजना को लागू करना: कंपनियां जो शीघ्र पहचान, रोकथाम और उल्लंघन की अधिसूचना को प्रदर्शित कर सकती हैं, लापरवाही के दावों के खिलाफ बचाव के लिए बेहतर स्थिति में हैं। प्री-ब्रीच तैयारी - टेबलटॉप व्यायाम और तीसरे पक्ष के प्रवेश परीक्षण सहित - अब मानक है। FTC's Data Breach Response Guide छोटी संस्थाओं के लिए एक उपयोगी ढांचा प्रदान करता है।
- ]Obtaining साइबर बीमा और समीक्षा नीति बहिष्कार: साइबर बीमा नीतियों अधिक महंगा और प्रतिबंधात्मक हो गया है। बीमाकर्ता अब आम तौर पर कुछ प्रकार के हमलों (जैसे राष्ट्र-राज्य के हमलों, युद्ध-परिचालन खंड) के लिए कवरेज को बाहर निकालते हैं या न्यूनतम सुरक्षा नियंत्रण की आवश्यकता होती है। व्यवसायों को सावधानीपूर्वक अपने कवरेज की समीक्षा करनी चाहिए और यह सुनिश्चित करना चाहिए कि वे अंडरराइटिंग आवश्यकताओं को पूरा करते हैं। GAO की 2023 रिपोर्ट साइबर बीमा बाजार चुनौतियों पर [[FLT: 3]]] ने कहा कि औसत प्रीमियम 2022 में 30% से अधिक बढ़ गया।
- ] पारदर्शिता और उपभोक्ता संचार को बढ़ाना: प्रारंभिक और स्पष्ट उल्लंघन अधिसूचनाएं प्रतिष्ठात्मक नुकसान को कम करने में मदद कर सकती हैं और एक वर्ग कार्रवाई की संभावना को प्रमाणित कर सकती हैं। कुछ राज्यों को अब 30 दिनों के भीतर अधिसूचना की आवश्यकता है, और एसईसी के नए साइबर सुरक्षा नियम (प्रभावी 2023) सार्वजनिक कंपनियों के लिए चार व्यावसायिक दिनों के भीतर सामग्री घटनाओं का प्रकटीकरण। SEC का अंतिम नियम [FLT: 3]] पहले से ही प्रमुख उल्लंघन प्रकटीकरण की आवश्यकता है, जो संभावित रूप से फर्मों के लिए वर्ग कार्रवाई के जोखिम को बढ़ा देता है ]MGM रिसॉर्ट्स[FLT]
- ]Adopting गोपनीयता-by-डिज़ाइन सिद्धांतों: डेटा को छोटा करने, उद्देश्य सीमा और उत्पाद विकास में मजबूत पहुंच नियंत्रण एक उल्लंघन में उजागर संवेदनशील डेटा की मात्रा को कम कर सकता है, जिससे संभावित देयता को कम किया जा सकता है। NIST गोपनीयता फ्रेमवर्क एक संरचित दृष्टिकोण प्रदान करता है।
- ]Vigilant विक्रेता प्रबंधन: तीसरे पक्ष के उल्लंघन वर्ग कार्रवाई के लिए एक शीर्ष वेक्टर रहते हैं। कंपनियों को अपने विक्रेताओं की सुरक्षा प्रथाओं को vet करना चाहिए और अनुबंध के रूप में उल्लंघन से संबंधित लागत के लिए क्षतिपूर्ति की आवश्यकता है। 2023 एसईसी नियमों को सार्वजनिक कंपनियों की आवश्यकता होती है जो तीसरे पक्ष की घटनाओं को उजागर करने के लिए जो रेजिस्ट्रेंट की प्रणालियों को प्रभावित करते हैं।
रक्षात्मक उपायों के अलावा, कंपनियों को डेटा उल्लंघन मुकदमेबाजी के विशेषज्ञ ज्ञान के साथ बाहर परामर्श का अनुभव बनाए रखना चाहिए। प्री-लिटिगेशन रणनीति - जिसमें सबूतों को संरक्षित करना, स्पोलेशन से बचना और सार्वजनिक बयानों का प्रबंधन करना - एक वर्ग कार्रवाई के परिणाम को काफी प्रभावित कर सकता है। Reuters 2024 डेटा उल्लंघन मुकदमेबाजी सर्वेक्षण ने उल्लेख किया कि एक उल्लंघन की सार्वजनिक घोषणा के बाद प्रारंभिक निपटान वार्ता अक्सर लंबे समय तक मुकदमेबाजी की तुलना में कम कुल लागत में होती है।
डेटा ब्रीच की देनदारी का भविष्य
आगे देख रहे हैं, कई कारक डेटा उल्लंघन वर्ग कार्रवाई के प्रक्षेपवक्र को आकार देंगे। कृत्रिम बुद्धि का उपयोग बढ़ाना और मशीन लर्निंग दोनों हमलावरों और रक्षकों के द्वारा पूर्ववर्तीता और सुरक्षा उपायों की उचितता के बारे में उपन्यास प्रश्न पैदा करेंगे। न्यायालयों को यह तय करने की आवश्यकता हो सकती है कि क्या AI संचालित सुरक्षा उपकरण पर निर्भरता देखभाल के मानक को पूरा करती है या क्या कंपनियों को मानव निगरानी बनाए रखना चाहिए। 2024 मामले ]In re: Cloudflare, Inc. डेटा Breach Litigation[FLT: 3] (ND Cal) पहले से ही एक AI-wall डेटा ढाल का परीक्षण कर रहा है।
]Federal गोपनीयता कानून एक संभावना बनी हुई है। जबकि अमेरिकी डेटा गोपनीयता और संरक्षण अधिनियम (ADPPA) ने कांग्रेस में ठोकराया है, जारी रखा गया है कि एक समान संघीय मानक का कारण बन सकता है जो राज्य कानूनों को प्राथमिकता देता है - संभावित रूप से कार्रवाई के निजी अधिकारों के पैचवर्क को कम करता है। हालांकि, किसी भी संघीय कानून में डेटा उल्लंघन के लिए कार्रवाई का एक निजी अधिकार शामिल होने की संभावना है, जिसे द्विभागी चिंता दी गई है। ADPPA का ड्राफ्ट प्रति उपभोक्ता के वैधानिक क्षति की अनुमति देगा, जो CCPA के समान है।
]] ]] ]] सिंथेटिक डेटा और डीपफैक के उत्पादन में खड़े और नुकसान की गणना कर सकते हैं। उदाहरण के लिए, यदि कोई उल्लंघन यथार्थवादी डिजिटल प्रतिरूपण बनाने के लिए इस्तेमाल किए गए बॉयोमेट्रिक डेटा को उजागर करता है, तो नुकसान को गहरा लेकिन मात्रात्मक रूप से बदलना मुश्किल हो सकता है। न्यायालयों को यह समझा जाएगा कि इस तरह की अमूर्त चोटों को कैसे मूल्य दिया जाए। 2023 वर्ग कार्रवाई McKenna v. OpenAI, Inc. [FLT: 3] (ND. Cal.) ने इस बात के बारे में सवाल उठाए हैं कि क्या जोखिम वाले डेटा को कैसे किया गया है।
अंत में, ग्लोबल नियामक वातावरण अमेरिकी मुकदमेबाजी को प्रभावित करना जारी रखता है। GDPR के भारी जुर्माना और यूरोपीय न्यायालय के न्याय के नुकसान दावों की व्याख्या (जैसे, OT v. Poste Italiane S.p.A. [FLT: 3]] (2023), जो अमेरिकी अदालतों में गलत तरीके से दावा करने का डर रखता है। क्रॉस-बॉर्डर वर्ग कार्रवाई बहुराष्ट्रीय निगमों को शामिल करती है, विशेष रूप से जब यूरोपीय निवासियों के डेटा को अमेरिकी कार्रवाई के लिए समझौता किया जाता है।
]]Conclusion: डेटा सुरक्षा उल्लंघन वर्ग कार्रवाई का क्षेत्र गतिशील और जटिल है। व्यवसायों को कानूनी मानकों को विकसित करने और साइबर सुरक्षा में सक्रिय रूप से निवेश करने के बारे में सूचित रहना चाहिए ताकि किसी उल्लंघन के जोखिम को कम किया जा सके और संभावित रूप से कानूनी परिणामों को नष्ट कर दिया जा सके। कंपनियां जो डेटा सुरक्षा को एक मुख्य व्यवसाय के लिए अनिवार्य रूप से व्यवहार करती हैं - केवल एक आईटी अनुपालन बोझ की तुलना में - इस चुनौतीपूर्ण परिदृश्य को नेविगेट करने के लिए सबसे अच्छी स्थिति होगी। ]