数据泄露后我会被起诉吗?D.C.电路扩大数据范围,导致身份盗用讽刺

In the latest sign that data breach class actions are here to stay—and, indeed, growing—the D.C. Circuit resuscitated claims against health insurer CareFirst BlueCross and Blue Shield, following a 2015 breach that compromised member names, dates of birth, email addresses, and subscriber identification numbers of approximately 1.1 million individuals. The决定将第二个最强大的联邦上诉法院对齐,前spokeo.决策Neiman Marcus.P.F.张和后spokeo.在其他电路中的决定(第三,第七和第十一)。简而言之,身份盗窃的风险增加构成了即将伤害的事实,未来伤害的风险足以支持第三条等等。

D.C.电路的控股是一个重要的发展。首先,D.C.电路超出了信用卡号和社会安全号码扩张为个人创造风险的数据类型的范围(IE。,名称,出生业,电子邮件和健康保险订阅者ID号)。其次,该决定明确表示,组织应仔细考虑加密(另外其他技术数据保护措施)与“危害风险”例外的通知的相互作用,包括可根据HIPAA和GLBA法定制度提供的例外情况。

数据违规和地区法院诉讼程序

2015年4月,Carefirst承认,安全审查未发现证据,即黑客已被盗名称,出生日,电子邮件地址和健康保险用户识别号。原告在D.C中迅速提起诉讼,然后上诉地区法院的命令解雇缺乏常产案件,因为原告的伤害过于投机。

申请spokeo.法院解释说,“[a]伤害实际上必须是具体的,特别是,最重要的是,我们的目的,”实际或迫在眉睫“而不是投机。”D.C.电路根据暴露的信息考虑了两个增加的身份盗窃风险。首先(和不出所料),法院认为,未经授权的社会保障和信用卡号码的获取建立了足以常设目的的身份盗窃风险。[1]第二个(更重要的是),法院发现,即使没有社会安全号码或信用卡信息的曝光,即使在没有曝光的情况下窃取了名称,出生日,电子邮件和用户识别号码 - 表明表格中的“实质性欺诈风险”“医学身份盗窃”。引用第七次电路的推理Neiman Marcus.法院解释说:“为什么否则黑客会闯入一个。。。数据库和窃取消费者的私人信息?据推测,黑客的目的迟早是欺诈性指控或承担这些消费者的身份。“

外带

医疗身份盗窃的概念是什么新鲜事。在过去的几年中,保健部门的攻击频率的增加表明,黑客已经确定了货币化保健信息的方法。As the D.C. Circuit explained, “a fraudster impersonates the victim and obtains medical services in her name,” which can “lead to inaccurate entries in victims’ medical records and can potentially cause victims to receive improper medical care, have their insurance depleted, become ineligible for health or life insurance, or become disqualified from some jobs.”

该决定有两个重要的影响。

首先,经历安全事件的公司将分析他们是否属于所谓的“危害风险”豁免通知。这些豁免可根据许多国家违约通知法和其他制度提供,包括HIPAA和GLBA。D.C.电路的决定将强迫组织非常仔细地思考引用所暴露的数据元素,总结出违规导致的消费者危害的风险低或不太可能。换句话说,从历史上看,像讽刺的数据违规(IE。,没有社会安全号码,没有信用卡号码,没有政府识别凭证)可能被视为低风险事件,这不太可能导致身份盗窃或阶级行动诉讼。哪里可以下载亚博D.C.电路的决定消除这种误解,并迫使组织思考他们在新光中保持的数据。所有组织,即使是没有收集或存储社会安全号码或信用卡信息的组织,也有可能将个体放置在暴露的情况下,所有这些都会让个人带来危害的风险,因此所有这些都是增加潜在阶级行动目标的风险。它只依赖于创新的黑客如何在货币化被盗数据中。

第二,讽刺对组织来说是他们可以(以及应该)使用数据保护工具和技术来管理法律风险的另一个警告。然而,许多组织使用社会安全号码和信用卡信息的加密,其他数据类型正在为身份盗窃和欺诈诈骗而占据中心阶段,包括医疗订阅ID号和出生日期,这通常是可用于验证的关键数据元素an individual’s identity, particularly for health-care providers. Broader use of encryption also allows organizations to take advantage of state data breach notification exemptions or “safe harbors,” such as North Dakota, which is the only state that requires notification to individuals if date of birth information is compromised in conjunction with first and last name. Of course, there are trade-offs and balances that apply to the deployment of encryption, the costs incurred to do so, and the impact on systems performance. Companies are well counseled to analyze these considerations together with the risk/litigation-mitigation benefits apparent in the wake of讽刺

[1]Even though CareFirst’s data breach announcement specified that the “database accessed by attackers contained no member Social Security numbers, medical claims, employment, credit card, or financial information,” the plaintiffs’ alleged credit card information and Social Security numbers were part of the stolen information. The court resolved the dispute by holding that the plaintiffs had satisfactorily alleged theft of Social Security numbers and credit card information.