继续阅读:站立肯定,但Barnes&Noble Data Breach课程持续停止

现在是数据泄露被告获胜的时候了。伊利诺斯州北部地区法院发表一个到Barnes&Noble的长期运行阶级行动,这些行动源于2012年遭受违规行为。原告的案件完全被驳回,以便在第12(b)(b)(6)条下解雇。这个发展 - 第六次电路后的几天在全国范围内与第七巡回法院结盟了吗内曼•马库斯P.F.昌对违约原告提起诉讼的判决表明,关于“损害”的法律之争可能始于诉讼,但由于所谓的损害赔偿与每一项索赔的实质内容紧密匹配,因此不会有任何进展。

背景

2012年,犯罪分子篡改了大约63个巴恩斯&贵普斯特的“针脚码头”,位于九个州,据称授权数十万客户的支付卡信息。在发现这一事件后,巴恩斯&贵族通知受影响的人约六周。原告起诉,涉及伊利诺伊州和加利福尼亚州法律的责任违反(暗示)合同,伊利诺伊州欺骗性做法规约,侵犯隐私,违反法定数据违约通知规则和不公平竞争。

集体原告在最初因缺乏诉讼资格而被解雇后修改了他们的诉状。最新的关键指控如下:(a) Barnes & Noble可以获得被盗的支付款卡数据,(b)黑客犯罪已经披露被盗的信息,(c)违约导致原告为解决身份盗窃而承担合理的可预见成本,(d)一位原告已经是用户身份盗窃保护服务一直把钱花在得知此事后,身份盗窃保护服务,和(e)原告高价购买他们的书,因为他们否认Barnes & Noble的隐私保护承诺,但没有提供。巴诺(Barnes & Noble)因依据第12(b)(1)条缺乏资格以及未能根据第12(b)(6)条陈述索赔而(再次)动议驳回。

分析

常设

引用第七次电路的决定内曼•马库斯P.F.昌,地方法院认为原告已确立起诉资格。具体地说,原告充分地宣称“伤害事实上”。黑客篡改了客户的PIN码以窃取客户的PII;原告在受影响的巴诺书店使用了他们的信用卡;黑客在未经授权的情况下对偷来的信用卡进行收费;原告花费时间和金钱来防止身份盗用。总的来说,这些指控表明,原告在采取措施保护自己免受欺诈性指控的“重大风险”时,出于合法目的招致了可认知的伤害。

未能说明索赔

虽然原告赢得了站立的战斗,但在法院在第12(b)(b)(6)规定的情况下,他们将失去案件。简而言之,尽管所谓的危害达到了常设要求,但在各种被证明的法律理论下,原告涉嫌危害都没有得到认识。

具体而言,原告未能恳求违约造成的任何经济或口袋损失。“例如,对于违反合同索赔,法院向该理论中没有先例,即在Barnes&Noble的货物或据称在个人信息中的价值损失,在合同行动中可以予以回放。在违反合同索赔的情况下,没有法庭在违反合同索赔的背景下赔偿“焦虑”。同样,伊利诺伊州的欺骗性措施索赔失败,因为(a)欺诈费用下没有“实际损害”(因为银行偿还它们),或(b)未来身份盗窃的风险增加(因为两者都没有“威胁自己”)。法院还拒绝了原告的论点,即购买身份盗窃保护服务就足以授予站立。虽然法院似乎承认这样的便宜费用可能构成足以授予授权的赔偿金,但法院指出,被称为原告在违约前购买了身份盗窃保护服务。因此,这些费用不能因违规而导致归因于违规行为。最后,在巴恩斯&贵族没有通知个人“在最有利的时间内,”法院认为,在加州法律下,通知个人的六周延迟“不充分迅速”,但仍然驳回了索赔没有指控原告由于通知延迟而受到伤害。

这是什么意思?

该决定以及第三巡回赛最近拒绝审查在数据违规行为中解雇疏忽索赔(也在经济损失原则下),在迄今为止,不仅仅是银衬的被告。随着Barnes&Noble的决定明确,满足常设的伤害不会为嵌入的实质性损害要求的实际伤害要求“双重”,原告通常是断言。这意味着虽然一些后违规行为(例如,提供信用监测)可能会对基于站位的集体诉讼造成挑战,也可能不会对基于更实质性的理由获得提前解雇的能力产生负面影响。换句话说,对数据泄露原告来说,站立并不是最终的战场。

然而,这项决定确实是一项非常令人关切的发展。在大多数州,通知的时间要求是相当灵活的——从“切实可行的尽快”到“尽可能合适的时间,没有不合理的拖延”。尽管许多州规定了必须发出通知的上限截止日期,但大多数州也允许组织在确定违约范围的时间上有一定的灵活性。在本案中,最高法院在答辩阶段认为,巴诺花了“近六周”时间才提供所需的通知,不足以满足加州法律规定的“尽可能最方便的时间”标准。这表明,法院可能没有意识到一项法医调查需要多长时间,或者他们认为六周是作出合理通知的上限。也就是说,组织不应该急于通知;这本身就产生了潜在的问题。它真正的意思是,组织应该专注于准备工作,例如创建事件响应计划和定期进行模拟,以便当事件发生时,他们的响应尽可能高效。