免费的信用监测是否比好处更“伤害”吗?

第七巡回上诉法院发现,未来欺诈指控的风险增加,以及识别盗窃的可能性增加,足以让诉讼胜诉,因此恢复了对内曼·马库斯公司数据泄露的集体诉讼。

上周,第七次电路恢复了Neiman Marcus Data Breach级操作观点这不仅使最高法院与众不同克拉珀但是,该公司做了一件以前没有法院做过的事:将公司提供的免费信用监控和身份保护服务变成证据,证明消费者对这种违约行为造成伤害的担忧并非太“投机”而不能停止诉讼。公司在计划和应对数据泄露时,应该仔细考虑这一严重的事态发展。

背景

不幸的是,内曼•马库斯(Neiman Marcus)的数据泄露事件,反映了美国许多大型零售商在2013年假日购物季也遭遇过复杂的网络攻击的经历。2013年12月中旬,内曼·马库斯(Neiman Marcus)收到报告称,一些客户发现他们的信用卡存在欺诈收费。随后的调查发现,在2013年7月16日至2013年10月30日期间,由未经授权的入侵导致的恶意软件。这次攻击暴露了35万张信用卡,其中9200张确实被犯罪分子用于欺诈收费。没有证据表明社会安全号码或出生日期被泄露了。

出于谨慎考虑,内曼•马库斯(Neiman Marcus)针对2013年1月至2014年1月期间在其门店购物、并保留了实体地址或电子邮件地址的所有顾客,发布了关于这一事件的广泛通知。此外,虽然没有证据表明社会安全号码被盗,但内曼•马库斯向所有被通知的客户提供12个月的免费信用监控和身份盗窃保护服务。

法院区分拍板

在扭转地区法院的解雇时,第七次电路密切分析了轮廓Clapper v。AmnestyIntê¹l美国,133 S. Ct. 1138(2013),这是一个经常被引用的案例,公司利用该案例在全国各地的联邦法院获得了数据泄露集体诉讼的驳回,理由是原告未能声称即将发生的、非投机性损害,以满足第三条的有效要求。

根据法院的说法,克拉珀没有丧失“任何使用未来伤害”,而是要求所谓的“已经HA [D]造成的伤害或”肯定是即将到来的“,以建立足够的苏。与之不同唠唠叨叨的,在人权组织声称可能存在政府监视的投机风险的情况下,毫无争议的是(a)内曼•马库斯(Neiman Marcus)遭受了数据泄露,(b)信用卡信息被曝光,(c)信用卡属于35万名客户,(d)其中9200张卡被用于欺诈收费。第七巡回上诉法院(Seventh Circuit)在询问是否存在欺诈收费和身份盗窃的重大风险时,不时提出并回答了自己的问题:“不然黑客为什么要侵入一家商店的数据库,窃取消费者的私人信息?”据推测,黑客的目的迟早是为了进行欺诈性收费或盗用这些消费者的身份。”

信用监控的提供强化了“混凝土”损害的发现

除了迫在眉睫的欺诈和身份盗窃风险外,法院还考虑了原告为防范此类风险所花费的时间和费用。拒绝“通读”克拉珀,第七次电路再次将这些缓解费用联系起来的未争议事实,即内曼马库斯遭遇涉及信用卡的违规行为,推理如下:

它在这方面讲述了Neiman Marcus向所有客户提供了一年的信用监测和身份,对所有客户的信用监测和身份的保护,他们在2013年1月和2014年1月在他们的商店购物了。它不太可能做到这一点因此,由于风险是如此短暂的,可以安全地被忽视。这些信用的监控服务价格超过了De Minimis.。例如,705美元的Experian为第一个月为4.95美元提供信用监测,然后每月19.95美元。

换句话说,法院有效地使用了内蒙马马克斯的决定,以广泛地提供免费信用监测作为特许权,原告面临非投机性和迫在眉睫的危害风险,要求其缓解费用。根据第七个电路,“帽子容易获得具体伤害。”[1]

结论

在一个网络内人之后,公司由一系列法律,道德和公共关系考虑因素驱动,以命名为数少。提供信用监控和身份保护服务已成为网络账单中的标准练习,这主要是通过证明公司对其客户或员工的承诺来保护或赢得忠诚度。实际上,消费者和员工经常期望免费信用监测或身份盗窃保护,无论信息的性质或损害的信息范围如何。[2]

然而,提供这些服务可能会发送一个意想不到的信号,例如在哪里违反涉及用于身份盗窃的社会安全号码或其他数据(例如,医疗信息)。在这种情况下,公司可能会面临以下问题:“比公司报告的数据更具数据损害?”或者该公司有违反违规行为的证据吗?“或者“消费者是盗窃的真正风险?”这并不是说尺度应该提示支持上述信用监测补救措施。例如,如果法医调查确定了攻击者访问了社会安全号码或医疗保健信息的证据,那么信用监测可能是减轻未经授权的企图开放新信用或贷款的有价值的工具,以及预期拒绝个人可能的费用招致。但是在第七次电路的决定之后内曼•马库斯,公司得到了建议,了解提供此类补救措施的决定可能无意中帮助建立一个潜在的原告站立起诉,并在客户之间创造混乱。因此,这是内曼•马库斯决策至少需要事件响应团队在向受影响方提供补救措施之前进行更深思熟虑的成本效益分析,因为在某些情况下,这可能弊大于利。

[1]法院对原告的赔偿赔偿索赔的疑问表示怀疑,基于(1)为Neiman Marcus产品支付溢价(超额付款),因为商店未能投资足够的安全性,并且(2)违反丢失私人信息的权利。法院没有饰面Neiman Marcus的12(b)(6)(6)议案,未能说明索赔,该索赔将由地区法院审议。

[2]信用监控服务通常会监控三大信用机构(Experian、TransUnion和Equifax)中至少一家的信用报告活动,提醒消费者新的信用额度或被添加到信用记录中的催收金额,这需要社会安全号码。身份保护/监控服务因公司而异,但通常用于监控不同网站和在线服务的活动,包括所谓的“暗网”(darkweb)网站,这些网站买卖个人信息。