数据泄露常设在全国范围内;第六巡回法院称原告有权起诉

常设Galaria等人的数据违规课程行动。v。全国范围内保险公司第六次循环意见

第六巡回上诉法院加入了越来越多的上诉法院的行列,认为原告在Galaria等。v。全国范围内保险公司。在最近的订单中,第六次电路突出显示了支持站立的另一个事实,即客户应该考虑其后违反的努力:一个建议,消费者在没有随附的报告的情况下冻结信用报告的建议为了安全冻结自己。

背景

今年春天,最高法院签署了协议Spokeo诉罗宾斯是一个非常有影响力的决定,要求原告声称伤害,实际上不仅“统治着”,而且“具体而言”。先于Spokeo在过去的15个月里,第七巡回上诉法院(Seventh Circuit)曾两次认定,消费者原告已经确立了对数据泄露提起集体诉讼的资格。首先在内曼•马库斯,然后进去P.F.昌,第七巡回上诉法院认为,在数据泄露发生后,欺诈和身份盗窃风险的增加实际上构成了伤害,因为数据泄露已经发生,没有其他原因黑客会窃取这些数据。值得注意的是,在每一起案件中,法院都以该公司在被入侵后的声明和行为作为证据,在答辩阶段推断损害。在内曼•马库斯自由信贷监测的广泛提供被认为是Neiman的特许权,原告面临非投机性和迫在眉睫的伤害风险,要求其缓解费用。在P.F.该公司对消费者的建议监测他们的信用报告以及早期(和跨越)通知,表明所有商店可能受到影响,同样允许缓解费用合理的推断。

第六圈的台阶Spokeo

虽然在全国范围内是首批申请上诉的案件吗Spokeo到数据违约课程,该意见并未标志着诉讼景观中的海洋变化。The Sixth Circuit acknowledged that “[t]o establish injury in fact, a plaintiff must show that he or she suffered ‘an invasion of a legally protected interest’ that is ‘concrete and particularized’ and ‘actual or imminent, not conjectural or hypothetical.’” However, the Sixth Circuit’s reasoning relied more heavily on the Supreme Court’s earlier decision inClapper v。大赦国际美国。该案件确立了一个立场,即存在“可能发生损害的‘重大风险’,这可能促使原告合理地支付费用以减轻或避免这种损害。”

就像在内曼•马库斯P.F.昌美国联邦第六巡回上诉法院(Sixth Circuit)的结论是,据报道,全国保险公司(Nationwide)泄露了约110万消费者的姓名、社保号码和其他个人数据,可能会带来巨大的损害风险。法院认为,他们的个人数据被盗使他们面临更大的欺诈和身份盗窃风险。就像在内曼P.F.昌,法院依靠全国保险公司提供的信用监测作为减轻费用合理性的证据。但是,法院进一步指出,全国保险公司已经建议消费者考虑冻结信用报告,并解释说,这种冻结可能阻碍获得信用的能力,并可能需要支付5到20美元的费用来实施和取消这种冻结。尽管一些州要求公司向消费者提供信贷冻结的可用性(例如,马萨诸塞州要求信贷冻结过程的大量细节),第六巡回上诉法院指出,全国抵押贷款协会的信贷冻结建议,这些成本,以及全英房屋抵押贷款协会(Nationwide)在为原告作出裁决时未能为这些费用提供保险。根据法院的说法,有一个“合理的推断”,即黑客将使用窃取的数据进行欺诈,因此,“存在足够大的损害风险,因此承担减轻损失的成本是合理的。”

这是什么意思?

首先,我们回顾了过去的经验教训内曼•马库斯P.F.昌仍然持有。

  • Credit monitoring should not be offered as a matter of due course, but rather in those situations where it truly may provide value to consumers (i.e., in a breach of Social Security information) or where it is required by state law (e.g., Connecticut). Companies should at least be aware of the collateral litigation consequences before signing up a vendor to cover an entire affected population with credit monitoring.
  • 应注意描述消费者应该服用的保护措施 - 甚至在法规授权的地方 - 以避免创造安全问题或问题比实际更广泛的推断。
  • 过早宣布是有风险的。尽管许多州的法规要求在一定天数内通知(例如,佛蒙特州要求在发现泄密事件后不迟于14天通知司法部长),但公司在与公众沟通时应保持耐心,同时,也要平衡及时告知消费者,避免在消费者通知信中包含过于宽泛(甚至是无用的)信息的危险。

第二,在全国范围内强调规定所需通知要素可能是棘手的重点,并且公司在通知信中的必要陈述可以在数据违约诉讼中使用。正如我们之前讨论的那样,组织应认识到与单规范所有通知方法相关的风险,这些方法旨在将各种法定要求与行政便利的目的相结合。在某些情况下,值得其值得为某些州的个人发出量身定制的通知。

第三,虽然在违约后的组织对消费者的无收费提供了一些标准化的做法,但如果在社会安全号码被妥协的情况下妥协的2年的免费信用监测),但实践需要进一步考虑。全国范围内为更广泛的信贷监测支付或提出赔偿个人在冻结其报告中所产生的费用,第六次循环可能更加困难得出结论,减缓费用是合理的,足以建立代理。