數(shù)據(jù)泄露事故是給企業(yè)帶來持續(xù)影響的商業(yè)危機。當(dāng)發(fā)現(xiàn)有數(shù)據(jù)泄露事故發(fā)生時，企業(yè)應(yīng)該調(diào)查發(fā)生了什么事情、修復(fù)安全漏洞、配合執(zhí)法部門工作以及遵守通知法規(guī)，認(rèn)真遵循這些步驟可幫助企業(yè)減少影響。同時，面對數(shù)據(jù)泄露事故的企業(yè)還需要關(guān)注后續(xù)的訴訟。

這里的訴訟可能是政府執(zhí)法部門訴訟的形式，也可能是來自雇員、消費者或第三方的私人訴訟形式。本文中我們將探討企業(yè)可能面臨的數(shù)據(jù)泄露訴訟類型、其中涉及哪些法律理論以及可采取哪些防范措施。
首先的問題是，誰起訴?
這通常是與企業(yè)簽有合同以保護其個人機密信息或患者醫(yī)療信息的消費者、金融機構(gòu)和第三方。我們會看到消費者起訴，而且也看到越來越多金融機構(gòu)(銀行和信用機構(gòu)，數(shù)據(jù)泄露事故讓他們不得不發(fā)行新的信用卡或者償還消費者)提起集體訴訟來彌補其成本和業(yè)務(wù)損失。
最近的例子是Home Depot數(shù)據(jù)泄露訴訟以及美國佐治亞州北部聯(lián)邦地區(qū)法院針對該公司的多區(qū)域訴訟，這里包括消費者集體訴訟和金融機構(gòu)集體訴訟。
與金融機構(gòu)集體訴訟相比，消費者集體訴訟案件可能處于不利地位，因為消費者可能很難證明其訴訟資格或者受到的損失。通常情況下，由于他們已經(jīng)得到賠償以及無法證明身份被盜，消費者可能無法在法庭保留其索賠權(quán)力。而金融機構(gòu)則可能可以證明數(shù)據(jù)泄露之前、期間或者之后由于被告企業(yè)沒有采取措施或因不合理的行為造成其經(jīng)濟損失。
其次，法院何時允許訴訟?
這可能取決于訴訟是在州立還是聯(lián)邦法院。在聯(lián)邦法院，原告必須符合訴訟資格要求。也就是說，根據(jù)聯(lián)邦憲法第三條的要求，他們必須反駁被告的觀點。即使他們克服這個障礙，他們還必須證明他們受到可被法庭認(rèn)可的傷害。
這些可能是很困難的事情。在數(shù)據(jù)泄露集體訴訟案件中，原告是否有資格通常取決于原告是否有受到實際傷害，而不僅僅是受傷害的風(fēng)險或可能性。
在2013年“克拉珀訴大赦國際”一案(Clapper v Amnesty International)中，美國最高法院認(rèn)為，對于聲稱未來可能受到傷害的原告，要在聯(lián)邦法庭獲得訴訟資格，原告必須證明其聲稱的傷害即將到來。 這通常被成功地用來擊敗原告的控告，因為他們無法指出已經(jīng)發(fā)生的任何特定的身份盜竊或其他傷害，只能說明發(fā)生這種傷害的可能性。
話雖如此，并非所有原告都注定會提起訴訟而無法證明實際損害。在2015年，美國第七巡回法院判決Remijas訴Neiman Marcus Group重要案件時指出，“Clapper沒有排除任何未來傷害來支持聯(lián)邦憲法第三條的訴訟資格要求”，以及傷害的“實質(zhì)性風(fēng)險”可能已經(jīng)足夠。
自從第七巡回法院判決以來，有些巡回法院也做出類似裁決：例如第六巡回法院在Galaria訴Nationwide Mutual Insurance Co.案件中認(rèn)為原告的個人信息從后者公司計算機網(wǎng)絡(luò)被竊取就有訴訟資格。盡管如此，第三條訴訟資格可能會特別繁瑣。
那么，這樣的傷害是否可以得到賠償?雖然法律學(xué)對于外行來說可能很神秘，但我們在這里不會探討這些學(xué)說，只是說，他們不僅要提出未來傷害的可能性，他們還必須證明他們所指稱的傷害是法院可以聽到的那種傷害，以及當(dāng)訴訟成功時可實際補救的傷害。
這可幫助鼓勵嚴(yán)格的數(shù)據(jù)安全管理和數(shù)據(jù)泄露通知合規(guī)性。越多的公司可保護消費者以及迅速對泄露事故作出響應(yīng)，其訴訟辯護就會越強。這就是說，將對消費者的傷害降到最低既是好的企業(yè)做法也是很好的訴訟策略。