数据突破类动作的扩展景观

过去十年来,联邦和州法院提出的违反集体诉讼的数据数量急剧增加,根据贝克霍斯特勒2023年的一份报告,仅在2020年至2023年,诉讼案件就激增了50%以上,2022年就提出了1,200多起新案件,引人注目的违反案件,如[ Equifax[]、 MarriottT-Mobile[和[SolarWinds——催化了数以千计甚至数百万原告的诉讼案件。 赎金软件袭击、供应链妥协和证据确凿事件增多,扩大了潜在阶级成员的范围,而数字健康记录和财务数据的扩散增加了原告和被告的利害关系。

另一个关键驱动因素是消费者对数据保护法下的权利的认识日益提高,倡导团体和律师事务所现在积极监测违反规定行为通知,并迅速组织大规模侵权案,其结果是:几乎每一次重大违反个人可识别信息(PII)或受保护健康信息(PHI)的行为,都会在公开披露后数日或数周内引发集体诉讼申诉,例如,2024年,[ 变更保健赎金软件袭击——该袭击披露了估计1亿个人的数据——至少在两个月内提起了50起集体诉讼。

为什么是大爆炸?

医疗已成为一个特别热点。 卫生和公众服务部报告说,2020年至2023年,影响到500人或更多人的医疗数据被破坏增加了60%。 这一部门的集体行动往往涉及对HIPAA违反、违反信托义务和疏忽的指控。 同样,由于银行和投资数据的敏感性,金融服务行业面临更大的风险,而教育部门(学校从社会保障号码到残疾记录收集一切数据)自2019年以来,与违反规定有关的诉讼增加了三倍。

共同法律理论和指控

数据违约类诉讼通常取决于若干核心法律理论,虽然具体索赔要求因管辖权和违约性质而异,但原告通常声称:

  • Negligence[——最常见的主张,指称未能执行合理、行业标准安全措施. 法院常常要参考NIST网络安全框架或联邦贸易委员会的数据安全准则来确定谨慎标准. 特别是,在关于目标公司客户数据安全侵犯诉讼[(第8Cir. 2022)中,强调公司如果不采取适当的预防措施,可以对可预见的第三方攻击承担责任。
  • 违反数据保护法——违反《加利福尼亚消费者隐私法》、《伊利诺伊州生物计量信息隐私法》或《纽约SHIELD法》等法规,可引发法定损害和律师费,使其对原告公司特别有吸引力。 例如,BIPA对过失违规行为处以1 000美元违约赔偿金,对每起蓄意或鲁莽违规行为处以5 000美元。
  • 代理和欺诈[——声称公司的隐私政策或安全表述具有误导性,例如,如果一个网站夸大了 " 银行级加密 " ,但没有加密某些数据库,原告可以辩称欺诈性诱导行为,案件在“万豪国际客户数据安全侵犯诉讼(D.Md. 2021)中允许根据“行业标准”安全的承诺进行这种索赔。
  • 违背信托义务——特别是在保健或金融服务方面,实体与数据主体之间有特殊关系. Doe诉Beth Israel Deaconess医疗中心(第1次Cir. 2023号)中,法院承认病人数据负有信托保密义务。
  • 不合理的增资[——关于公司从收集数据中获益但未能充分投资于保护的指控,例如,2023年号案的原告在Snap Inc. Data Breach Decreating[中认为Snap从用户数据中获益,同时故意在安全方面进行低价交易。
  • 侵犯隐私和侵入隔离——常见于涉及医疗记录、性取向或财务帐号等敏感数据曝光的情况。 在关于:TikTok, Inc. Data Privacy Ligation(N.D. Ill. 2024)中,基于该应用的数据收集做法侵扰用户的私人领域的说法,该应用软件的隐私诉讼正在进行中。

许多投诉还包括根据州消费者保护法规(例如,纽约一般商法第349节,《加利福尼亚不公平竞争法》)提出的投诉,但私人原告往往难以直接根据《联邦贸易委员会法》(第5节)提出投诉;法院通常要求公平贸易委员会事先采取强制执行行动,以确定侵权行为。

不断演变的常备和伤害标准

最重要的发展之一是对第三条地位的解释不断演变,特别是在美国最高法院在Spokeo, Inc.诉Robins[(2016年)案中的裁决之后,法院认为原告必须证明具体和具体的事实损害,而不仅仅是明显的程序性违反,这一裁决最初使原告在尚未发生身份盗窃或经济损失的情况下难以确立地位,但随后的下级法院的裁决大大放宽了这一标准。

许多联邦上诉法院现在承认,[] 增加的未来损害风险——例如增加易被打网或欺诈的风险——足以赋予资格,即使没有实际滥用被盗数据也是如此。

经济损失和数据估价

另一个关键的长期问题涉及经济损失. 法院越来越愿意接受以下观点:黑客在黑网上支付的费用或消费者要求他们分享的数据来衡量的个人信息价值的损失可构成伤害,同样,[ 专家关于数据估价的证词已成为阶级认证斗争的主要内容,例如,在[ (N.D.Ill. 2022)中,经济学家估计,儿童个人可识别的信息在黑市上每记录价值为100-200美元,支持父母因数据价值下降而遭受经济损害的说法,在未经授权使用用户信息时, " 数据作为财产 " 支持这一理论。

国家隐私法的影响

州一级的隐私法规已成为数据违反集体诉讼的有力工具。 2020年生效的《加利福尼亚消费者隐私法》[ 包括了因企业未能维护合理安全而导致的数据违反私人诉讼权。 在2023年案件中,[ Garcia诉Mars Petrie US公司 (N.D. Cal.)],法院认为,即使原告在违约之外未遭受任何“实际伤害”的,加利福尼亚州法院也可以受理CIPA索赔。

同样,Illinois生物计量信息隐私法 也引发了针对未经适当同意收集生物鉴别数据的公司的大规模集体诉讼,其中许多诉讼来自对生物鉴别数据库的数据的破坏. BIPA规定,过失违规者违约赔偿1 000美元,故意或轻率违规者违约者每人赔偿5 000美元. 在 Rosenbach诉六旗娱乐公司(2019年]中,伊利诺伊最高法院认为原告除了技术违规之外,没有必要指控实际伤害,使BIPA成为该国最原告的友好法规之一. 继伊利诺伊州最高法院在[ Tims诉黑马运输公司 中作出2023号裁决后,该裁决澄清说,生物鉴别数据的个别扫描或传输构成单独的违法行为,BIPA案件中的潜在暴露已经急剧,例如, Broughton诉Macys Retailies,[3024]。

其他国家——包括[ 维尔吉尼亚[(VCDPA)、Colorado[(CPA)和Connectut[(CTDPA)——颁布了全面的隐私法,其中包括对安全故障的私人诉讼权,尽管许多法律包括一个补救期或规定更窄的常设要求,州法律的拼凑继续给国家公司造成遵守方面的挑战,而原告公司则在最有利的法律框架的法域中战略性地存档。

突出的结算和趋势

数据违约类诉讼的结算金额近年来达到了创纪录的水平。 平等法公司的数据违约类结算[(2017-2022年)仍然是最大的,总回收额约为15亿美元,包括消费者补偿、信用监测服务和律师费。 最近,TXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

影响定居点动态的几种趋势:

  • 作为解决的一部分的循环安全补救:[法院越来越多地要求被告作为解决协议的一部分实施具体的安全升级——例如多要素认证、加密或独立审计——从而将重点从单纯的经济补偿转移到结构变化,例如,在“资本一个消费者数据安全突破诉讼”[(E.D.Va. 2021)中,银行要求采用一个附有年度外部评估的全面数据安全方案。
  • 信用监测作为主要补救: 许多定居点提供免费信用监测、身份盗窃保护以及有文件证明的损失的现金支付。 虽然批评者认为监测往往利用不足,但它仍然是最常见的救济形式。 在中,Yahoo! Inc.客户数据安全突破诉讼[ (N.D. Cal. 2020)为每个阶级成员提供高达358美元的自买自买自买的损失,加上两年的监测。
  • 正在审查的检察官费用: 法院正在更加关注收费要求的合理性,特别是在“担保和解”中,班级成员只收到监测或低价值的凭单。 在中,在“Rite Aid Corp. Data 突破诉讼案[”(E.D.Pa. 2023)中,法官在发现1 000万美元和解基金对班级成员的好处不大之后,将收费要求从30%降至20%。
  • 退出率和班级通知:[ 随着数字通知平台和社交媒体运动的兴起,一些引人注目的案件中的退出率上升,迫使被告重新评估曝光率,例如, 在《关于:万豪国际客户数据安全违反诉讼[(2023)》中,在1.33亿级会员中,选择退出率接近5%,迫使被告搁置了更大的债权池。

对企业网络安全和风险管理的影响

各组织现在正在加大对网络安全措施的投资,以避免法律责任。 集体诉讼风险的前景促使许多董事会将数据安全视为企业最高风险。 正在采取的关键步骤包括:

  • 执行强力事件应对计划:能够证明及时发现、遏制和通报违反情事的公司更有能力为过失索赔进行辩护。 违约前准备——包括桌面演习和第三方渗透测试——是现在的标准。 FTC的数据违约应对指南为较小的实体提供了一个有用的框架。
  • 保险商现在通常会排除某些类型的攻击(例如国家攻击、战争条款)或要求最低安全控制。 企业必须仔细审查保险范围,并确保其满足承保要求。 GAO的2023年网络保险市场挑战报告指出,2022年平均保费上升了30%以上。
  • 提高透明度和消费者沟通:[ 早期和明确的违约通知有助于减轻声誉损害,并可能减少集体诉讼得到认证的可能性。 一些国家现在要求在30天内发出通知,而证监会新的网络安全规则(生效的2023年)规定公共公司在4个工作日内披露重大事件。 证监会的最后规则[已经导致重大违约披露,可能增加公司的集体诉讼风险,如MGM 度假村[Clorox。
  • 将隐私化-by-设计原则: 将数据最小化、目的限制和严格的访问控制纳入产品开发,可以减少违反时暴露的敏感数据的数量,从而降低潜在赔偿责任。
  • 维吉利安供应商管理:第三方违约仍然是集体诉讼的主要媒介。 公司必须审查供应商的安全做法,并按合同要求对违约相关费用进行赔偿。 2023年证监会规则还要求公营公司披露影响登记人的系统的第三方违约事件。

除了防御措施外,公司还应保留具有数据违约诉讼专门知识的有经验的外部律师。 诉讼前战略——包括保全证据、避免欺诈和管理公开声明——能够对集体诉讼的结果产生重大影响。 路透社2024年数据违约诉讼调查[指出,在违约公告之后尽早进行和解谈判往往导致总费用低于长期诉讼。

数据破解诉讼的未来

展望未来,若干因素将决定数据突破类诉讼的轨道。 攻击者和捍卫者越来越多地使用人工智能[ 和机器学习将围绕安全措施的可预测性和合理性产生新问题。法院可能需要决定对AIQ驱动的安全工具的依赖是否达到谨慎标准,或公司是否也必须保持人的监督。2024年的案例在Re:Cloudflare, Inc. Data Breach litigation (N.D. Cal.) 已经在测试基于AIXLo的防火墙是否足以遮蔽客户数据。

虽然《美国数据隐私和保护法》在国会已经停滞,但持续的势头可能导致一项统一联邦标准,预先防止州法律——有可能减少私诉权的拼凑——然而,鉴于两党的关切,任何联邦法律都有可能包括个人对数据侵权的诉讼权,《美国数据隐私和保护法》草案允许每违反一项消费者每违反一项赔偿1,000美元的法定赔偿,类似于《美国数据隐私和保护法》。

2023年的“集体诉讼”[McKenna诉OpenAI公司(N.D.Cal.)提出了问题,即用于为ChatGPT提供动力的培训数据——据称有些数据是从被破坏的数据库中抽取的——是否造成了隐私损害,例如如果违反数据暴露出用于制造现实数字假冒的生物鉴别数据,则损害可能很深,但难以量化,法院将设法评估这种无形损害的价值。

最后,全球监管环境继续影响美国的诉讼. GDPR的巨额罚款和欧洲法院对损害索赔的广义解释(例如 OT诉Poste Italiane S.p.A.(2023年),认为担心滥用构成非 物质损害)在美国法院引起了类似的论点. 涉及多国公司的跨界集体诉讼越来越常见,特别是在欧盟居民的数据与美国消费者一起被损害时. 2024 在:TikTok, Inc.消费者隐私诉讼[ 中,美国和欧洲用户合并索赔,测试美国集体诉讼机制对国际损害的限度。

结论: 数据安全违约类诉讼领域是动态和复杂的,企业必须了解不断发展的法律标准,并积极投资于网络安全,以减少违约风险和随之而来的潜在破坏性法律后果,将数据保护视为核心业务责任——而不仅仅是信息技术合规负担——的公司最能够驾驭这一具有挑战性的局面。]