criminal-law
Последние тенденции в судебных исках по групповым искам, связанных с нарушениями безопасности данных
Table of Contents
Расширяющийся ландшафт действий класса нарушения данных
За последнее десятилетие количество групповых исков о нарушении данных, поданных в федеральные и государственные суды, резко возросло. Согласно отчету BakerHostetler за 2023 год, только в период с 2020 по 2023 год судебные разбирательства выросли более чем на 50%, с более чем 1200 новыми делами, поданными в 2022 году. Громкие нарушения, такие как Equifax , Marriott , T-Mobile и SolarWinds , вызвали волну судебных исков, которые объединяют тысячи или даже миллионы истцов. Рост атак вымогателей, компрометации цепочки поставок и инциденты с наполнением учетных данных расширили пул потенциальных членов класса, в то время как распространение цифровых медицинских записей и финансовых данных увеличило ставки как для истцов, так и для ответчиков.
Еще одним ключевым фактором является растущая осведомленность потребителей о правах в соответствии с законами о защите данных. Группы адвокатов и юридические фирмы в настоящее время активно отслеживают уведомления о нарушениях и быстро организуют массовые деликтные заявления. Результат: практически каждое значительное нарушение личной информации (PII) или защищенной медицинской информации (PHI) вызывает жалобу на групповые действия в течение нескольких дней или недель после публичного раскрытия. В 2024 году, например, атака вымогателей , которая выявила данные о примерно 100 миллионах человек, увидела по меньшей мере 50 групповых действий, поданных в течение двух месяцев.
Почему именно рост уязвимостей в отрасли
Департамент здравоохранения и социальных служб сообщил, что количество утечек данных о здоровье, затрагивающих 500 или более человек, увеличилось на 60% с 2020 по 2023 год. Действия в этом секторе часто связаны с обвинениями в нарушениях HIPAA, нарушении фидуциарных обязанностей и халатности. Аналогичным образом, индустрия финансовых услуг сталкивается с повышенным воздействием из-за чувствительности банковских и инвестиционных данных, в то время как сектор образования, где школы собирают все, от номеров социального страхования до записей об инвалидности, с 2019 года видел утроение судебных исков, связанных с нарушениями.
Общие правовые теории и утверждения
Классовые иски о нарушении данных обычно основываются на нескольких основных правовых теориях. Хотя конкретные претензии различаются в зависимости от юрисдикции и характера нарушения, истцы обычно утверждают:
- Небрежность — Наиболее распространенное требование, утверждающее, что не были реализованы разумные, стандартные для отрасли меры безопасности. Суды часто обращаются к NIST Cybersecurity Framework или к руководящим принципам безопасности данных Федеральной торговой комиссии для определения стандарта ухода. Примечательно, что В Re: Target Corp. Судебные разбирательства по нарушениям безопасности данных клиентов (8-й Cir. 2022) подтвердили, что компании могут нести ответственность за предсказуемые атаки третьих сторон, если они не предпримут адекватные меры предосторожности.
- Нарушение законов о защите данных — Нарушение законов о защите данных — Нарушение законов, таких как Калифорнийский закон о конфиденциальности потребителей (CCPA), Закон о конфиденциальности биометрической информации штата Иллинойс (BIPA) или Закон о конфиденциальности биометрической информации штата Нью-Йорк (BIPA), может привести к юридическим убыткам и гонорарам адвокатов, что делает их особенно привлекательными для фирм истцов. BIPA, например, приносит ликвидированный ущерб в размере 1000 долларов США за небрежные нарушения и 5000 долларов США за преднамеренные или безрассудные нарушения на человека за инцидент.
- Представление и мошенничество — Утверждает, что политика конфиденциальности компании или представления безопасности вводили в заблуждение. Например, если веб-сайт может похвастаться «шифрованием банковского уровня», но не шифрует определенные базы данных, истцы могут возражать против мошеннического стимулирования. Дело В Re: Marriott International Customer Data Security Breach Litigation (D. Md. 2021) позволило таким претензиям действовать на основе обещаний «отраслевого стандарта» безопасности.
- Нарушение фидуциарной обязанности — В частности, в сфере здравоохранения или финансовых услуг, где существуют особые отношения между организацией и субъектом данных. Суды в Doe против Медицинского центра Beth Israel Deaconess (1-й Cir. 2023) признали фидуциарную обязанность конфиденциальности данных о пациентах.
- Несправедливое обогащение — Утверждения о том, что компания извлекла выгоду из сбора данных, но не смогла адекватно инвестировать в их защиту. Например, истцы в 2023 году В Re: Snap Inc. Data Breach Litigation утверждали, что Snap получал прибыль от пользовательских данных, сознательно экономя на безопасности.
- Вторжение в частную жизнь и вторжение в уединение — распространено в случаях, связанных с воздействием конфиденциальных данных, таких как медицинские записи, сексуальная ориентация или номера финансовых счетов. В Re: TikTok, Inc. Судебные разбирательства по конфиденциальности данных (N.D. Ill. 2024)) продолжаются на основе утверждений о том, что методы сбора данных приложения вторглись в частные сферы пользователей.
Многие жалобы также включают в себя требования в соответствии с государственными законами о защите прав потребителей (например, Нью-Йоркское общее деловое право § 349, Калифорнийское законодательство о недобросовестной конкуренции). Однако частные истцы часто изо всех сил пытаются напрямую подать иски в соответствии с Законом о Федеральной торговой комиссии (раздел 5); суды обычно требуют предварительного судебного иска FTC для установления нарушения.
Развивающиеся стандарты поведения и вреда
Одним из наиболее значительных событий является меняющаяся интерпретация положения статьи III, особенно после решения Верховного суда США в деле Spokeo, Inc. против Робинса (2016). Суд постановил, что истец должен продемонстрировать конкретное и конкретное фактические травмы, а не просто чистое процессуальное нарушение. Это решение первоначально затруднило истцам установление статуса, когда еще не произошло кражи личных данных или финансовых потерь. Однако последующие решения суда низшей инстанции существенно ослабили этот стандарт.
Многие федеральные апелляционные суды теперь признают, что повышенный риск будущего вреда — такой как повышенная уязвимость к фишингу или мошенничеству — достаточен для предоставления статуса, даже при отсутствии фактического злоупотребления украденными данными. В Re: Zappos.com, Inc. Судебные разбирательства по нарушениям безопасности данных клиентов (2019) постановили, что время и расходы, которые потребители несут для мониторинга своего кредита, представляют собой конкретный ущерб. Седьмой округ в Lewert против P.F. Chang’s China Bistro, Inc. (2016) аналогичным образом обнаружил, что кража данных платежных карт сама по себе создает ощутимый вред. Между тем, Третий округ в В Re: Horizon Healthcare Services Inc. Судебные разбирательства по нарушениям данных (2017) постановил, что несанкционированное раскрытие данных само по себе создает ощутимый вред. Эта тенденция поощряла и
Экономические потери и оценка данных
Еще один ключевой вопрос, стоящий на повестке дня, касается экономических потерь . Суды все чаще готовы признать, что потеря ценности личной информации — измеряемая тем, что хакеры платят в темной сети или тем, что потребители потребовали бы расстаться со своими данными — может представлять собой травму. Экспертные показания по оценке данных стали основным элементом классовых битв. Например, в Re: VTech Data Breach Litigation (N.D. Ill. 2022) экономисты оценили, что личная информация детей имела за рекордную стоимость в 100–200 долларов на черном рынке, поддерживая утверждения о том, что родители понесли экономический ущерб из-за снижения стоимости их данных. Аналогично, в Re: WhatsApp Privacy Litigation (9th Cir. 2024) приняла теорию о том, что «данные как собственность» могут поддерживать статус, когда информация пользователей используется без разрешения.
Влияние законов о государственной конфиденциальности
Законы о конфиденциальности на государственном уровне стали мощным средством для действий класса нарушения данных. Калифорнийский закон о конфиденциальности потребителей (CCPA) , вступивший в силу в 2020 году, включает частное право на действия по нарушениям данных, возникающим в результате неспособности бизнеса поддерживать разумную безопасность. Законодательные убытки варьируются от 100 до 750 долларов США на одного потребителя за инцидент (или фактический ущерб, в зависимости от того, что больше), и эти суммы быстро объединяются в многомиллионные действия. Калифорнийские суды уже увидели всплеск в групповых действиях на основе CCPA, а поправки к Калифорнийскому закону о правах на конфиденциальность (CPRA) дополнительно разъяснили сферу этого частного права. В деле 2023 года Гарсия против Mars Petcare US, Inc. суд постановил, что иск CCPA может продолжаться даже там, где истец еще не испытал никакого «реального вреда» помимо самого нарушения.
Аналогичным образом, Закон о конфиденциальности биометрической информации (BIPA) Illinois Biometric Information Privacy Act (BIPA) породил поток групповых исков против компаний, которые собирают биометрические данные без надлежащего согласия — и многие из этих исков возникают из-за нарушений биометрических баз данных. BIPA предусматривает ликвидацию ущерба в размере 1000 долларов США за небрежные или безрассудные нарушения, за каждое нарушение. Rosenbach v. Six Flags Entertainment Corp. (Ill. 2019) Верховный суд Иллинойса постановил, что истцу не нужно указывать фактический вред помимо технического нарушения, что делает BIPA одним из самых дружественных истцам законов в стране. После решения Верховного суда Иллинойса 2023 года в Tims v. Black Horse Carriers, Inc. , в котором было разъяснено, что каждое отдельное сканирование или передача биометрических данных представляет собой отдельное нарушение, потенциальное воздействие в делах BIPA взлет
Другие государства, включая Вирджиния (VCDPA), Колорадо (CPA) и Коннектикут (CTDPA), приняли всеобъемлющие законы о конфиденциальности, которые включают в себя частные права на действия в случае сбоев в безопасности, хотя многие из них включают период лечения или налагают более узкие постоянные требования.
Известные поселения и тенденции
Сумма расчетов по групповым действиям по утечке данных достигла рекордных уровней в последние годы. Расчет по утечке данных Equifax (2017–2022) остается крупнейшим, с общим возмещением примерно 1,5 миллиарда долларов, включая компенсацию для потребителей, услуги кредитного мониторинга и гонорары адвокатов. Совсем недавно T-Mobile урегулирование утечек данных (2021) был оценен в 350 миллионов долларов, ] Расчет по Facebook / Cambridge Analytica (2022) достиг 725 миллионов долларов, а 2024 Ожидается, что он превысит 500 миллионов долларов. Эти цифры отражают четкую траекторию роста.
Несколько тенденций формируют динамику поселений:
- В рамках урегулирования: Суды все чаще требуют от ответчиков внедрения конкретных обновлений безопасности, таких как многофакторная аутентификация, шифрование или независимые аудиты, в рамках мирового соглашения. Это смещает акцент с простой финансовой компенсации на структурные изменения. Например, в Re: Capital One Consumer Data Security Breach Litigation (E.D. Va. 2021) потребовал от банка принять комплексную программу безопасности данных с ежегодными внешними оценками.
- Кредитный мониторинг как основное средство правовой защиты: Многие расчеты обеспечивают бесплатный кредитный мониторинг, защиту от кражи личных данных и денежные платежи за документально подтвержденные убытки. В то время как критики утверждают, что мониторинг часто используется недостаточно, он остается наиболее распространенной формой облегчения. В re: Yahoo! Inc. Судебные разбирательства по нарушениям безопасности данных клиентов (Калл N.D. 2020) предоставил до 358 долларов США на одного члена класса для внештатных потерь, плюс два года мониторинга.
- Суды уделяют более пристальное внимание обоснованности запросов о выплате гонораров, особенно в «расчетах купонов», где члены класса получают только мониторинг или ваучеры низкой стоимости.В В Re: Rite Aid Corp. Data Breach Litigation (E.D. Pa. 2023) судья сократил запрос на оплату с 30% до 20% от расчетного фонда в размере 10 миллионов долларов после того, как обнаружил, что выгода для членов класса была скромной.
- Ставки отказа и уведомление о классе: С ростом цифровых платформ уведомлений и кампаний в социальных сетях ставки отказа увеличились в некоторых громких делах, вынудив ответчиков пересмотреть экспозицию. Например, в В Re: Marriott International Customer Data Security Breach Litigation (2023) показатель отказа составил почти 5% из 133 миллионов членов класса, что заставило ответчика отложить больший пул требований.
Последствия для корпоративной кибербезопасности и управления рисками
Организации сейчас вкладывают больше средств в меры кибербезопасности, чтобы избежать юридических обязательств. Перспектива воздействия групповых действий подтолкнула многие советы рассматривать безопасность данных как риск высшего уровня. Ключевые шаги, которые предпринимаются, включают:
- Реализация надежных планов реагирования на инциденты: Компании, которые могут продемонстрировать быстрое обнаружение, сдерживание и уведомление о нарушениях, имеют лучшие возможности для защиты от претензий о халатности. Подготовка к прерывистой работе, включая настольные упражнения и тестирование на проникновение третьих сторон, теперь является стандартом. Руководство по реагированию на нарушение данных FTC обеспечивает полезную основу для небольших организаций.
- Получение киберстрахования и пересмотр исключений из политики: Политики киберстрахования стали более дорогими и ограничительными. Страховщики теперь обычно исключают покрытие для определенных типов атак (например, атак на национальные государства, оговорок о военной опасности) или требуют минимального контроля безопасности. Предприятия должны тщательно пересмотреть свое покрытие и убедиться, что они соответствуют требованиям андеррайтинга. В отчете 2023 года GAO о проблемах рынка киберстрахования отмечается, что средние премии выросли более чем на 30% в 2022 году.
- Повышение прозрачности и информирование потребителей: Ранние и четкие уведомления о нарушении могут помочь смягчить репутационный вред и могут снизить вероятность сертификации группового действия. Некоторые штаты теперь требуют уведомления в течение 30 дней, а новые правила кибербезопасности SEC (вступили в силу в 2023 году) предписывают раскрытие существенных инцидентов в течение четырех рабочих дней для публичных компаний. Окончательное правило SEC уже привело к раскрытию крупных нарушений, которые, вероятно, увеличили воздействие группового действия для таких фирм, как MGM Resorts и Clorox .
- Принятие принципов конфиденциальности по дизайну: Интеграция минимизации данных, ограничения целей и сильных средств контроля доступа в разработку продукта может уменьшить объем конфиденциальных данных, подвергшихся нарушению, тем самым снижая потенциальную ответственность.NIST Privacy Framework предлагает структурированный подход.
- Управление поставщиками: Нарушения третьих сторон остаются главным вектором для групповых действий. Компании должны проверять методы безопасности своих поставщиков и по контракту требовать возмещения расходов, связанных с нарушениями. Правила SEC 2023 также требуют, чтобы публичные компании раскрывали сторонние инциденты, которые влияют на системы регистранта.
В дополнение к защитным мерам, компании должны сохранить опытного внешнего консультанта со специальными знаниями о судебных разбирательствах по нарушениям данных. Стратегия предварительного судебного разбирательства, включая сохранение доказательств, предотвращение сполиации и управление публичными заявлениями, может значительно повлиять на результат группового иска. В опросе по судебным разбирательствам по нарушениям данных Рейтер 2024 отметил, что ранние переговоры об урегулировании после публичного объявления о нарушении часто приводят к более низким общим расходам, чем длительные судебные разбирательства.
Будущее судебных разбирательств по нарушениям данных
Заглядывая в будущее, несколько факторов будут определять траекторию действий класса по утечке данных. Расширение использования искусственного интеллекта и машинного обучения как злоумышленниками, так и защитниками создаст новые вопросы о предсказуемости и разумности мер безопасности. Судам, возможно, придется решить, соответствует ли зависимость от инструментов безопасности, управляемых ИИ, стандарту ухода или компании также должны поддерживать человеческий надзор. Дело 2024 года В re: Cloudflare, Inc. Data Breach Litigation (N.D. Cal.) уже проверяет, достаточно ли экранизированные данные клиентов на основе ИИ.
Федеральное законодательство о конфиденциальности остается возможной. Хотя американский Закон о конфиденциальности и защите данных (ADPPA) застопорился в Конгрессе, продолжающийся импульс может привести к единому федеральному стандарту, который упреждает законы штатов - потенциально сокращая лоскутное одеяло частных прав на действия. Однако любой федеральный закон, вероятно, будет включать частное право на действия для нарушений данных, учитывая двухпартийную озабоченность. Проект ADPPA позволил бы законный ущерб в размере 1000 долларов США на потребителя за нарушение, аналогично CCPA.
роль генеративного ИИ в производстве синтетических данных и глубокой подделки может усложнить вычисления стоя и ущерба. Например, если нарушение обнажает биометрические данные, используемые для создания реалистичных цифровых олицетворений, вред может быть глубоким, но трудно поддающимся количественной оценке. Суды будут бороться с тем, как оценить такие нематериальные травмы. В групповом иске 2023 года McKenna против OpenAI, Inc. (N.D. Cal.) возникли вопросы о том, были ли учебные данные, используемые для питания ChatGPT, некоторые из которых якобы были удалены из взломанных баз данных, привели к травме конфиденциальности. Хотя это дело было отклонено, будущие претензии могут быть успешными, где конкретный вред (например, мошенничество с глубокой подделкой) может быть доказан.
Наконец, глобальная нормативная среда продолжает влиять на судебные разбирательства в США. Огромные штрафы GDPR и обширная интерпретация требований о возмещении ущерба Европейским судом (например, OT против Poste Italiane S.p.A. (2023), утверждающая, что страх перед неправильным использованием представляет собой нематериальный ущерб) вдохновили аналогичные аргументы в американских судах. Трансграничные групповые действия с участием многонациональных корпораций становятся все более распространенными, особенно когда данные жителей ЕС скомпрометированы вместе с потребителями США. 2024 В Re: TikTok, Inc. Судебные разбирательства по защите конфиденциальности потребителей консолидированные претензии как от американских, так и от европейских пользователей, проверяя пределы механизма групповых действий США для международного вреда.
Вывод: Область действий по устранению нарушений безопасности данных является динамичной и сложной. Предприятия должны быть информированы об изменениях правовых стандартов и активно инвестировать в кибербезопасность, чтобы смягчить как риск нарушения, так и потенциально разрушительные юридические последствия, которые последуют. Компании, которые рассматривают защиту данных как основной бизнес-императив, а не просто бремя соблюдения ИТ-соответствия, будут лучше всего расположены для навигации по этому сложному ландшафту.