最近很多企業(yè)數(shù)據(jù)泄露事故最終導(dǎo)致集體訴訟，并且，這些數(shù)據(jù)泄露訴訟還揭示了令人不安的趨勢(shì)：現(xiàn)在安全問(wèn)題的成本正在不斷增加。

目前并沒有重大數(shù)據(jù)泄露事故進(jìn)入法庭受審，雖然有些仍然懸而未決，但很多其他數(shù)據(jù)泄露事故都是選擇庭外和解，這給企業(yè)帶來(lái)高昂的損失，所涉企業(yè)需要支付數(shù)百萬(wàn)美元給原告——無(wú)論是客戶、員工、銀行還是信用卡公司。

與所有法律和解一樣，數(shù)據(jù)泄露事故和解并沒有判定誰(shuí)是罪魁禍?zhǔn)谆蛘咄嘎队嘘P(guān)事件本身的實(shí)質(zhì)性的細(xì)節(jié)信息。但和解費(fèi)用暗示這些集體訴訟可能在不久的將來(lái)造成巨大的數(shù)據(jù)泄露成本，這涉及到泄露了什么數(shù)據(jù)、誰(shuí)收到了影響以及哪些類型的信息被泄露。

無(wú)論攻擊者嘗試從防御很差的POS系統(tǒng)挖掘信用卡數(shù)據(jù)還是從有漏洞技術(shù)（例如物聯(lián)網(wǎng)IOT）中搜尋個(gè)人身份信息（PII），數(shù)據(jù)泄露事故仍在繼續(xù)發(fā)生，這些訴訟也沒有顯示放緩的跡象。同時(shí)，企業(yè)正在以蝸牛的速度提高安全性，防御和處理安全事故的財(cái)務(wù)費(fèi)用似乎越來(lái)越高，因?yàn)閿?shù)據(jù)泄露事故和解費(fèi)用已經(jīng)達(dá)到驚人的水平。

本文中，讓我們來(lái)看看這些數(shù)據(jù)泄露事故訴訟與和解，了解為什么企業(yè)在很大程度上發(fā)現(xiàn)自己處在這些法律糾紛的劣勢(shì)以及這對(duì)未來(lái)企業(yè)安全意味著什么。

數(shù)據(jù)泄露事故訴訟的根源

沒有哪家公司可100%抵御網(wǎng)絡(luò)犯罪分子、黑客和民族國(guó)家攻擊者，即使部署適當(dāng)?shù)陌踩胧?，企業(yè)仍然需要謹(jǐn)慎行事。專家表示企業(yè)必須付出很大努力來(lái)保護(hù)他們的基礎(chǔ)設(shè)施，以及保護(hù)客戶及員工數(shù)據(jù)，否則將面臨嚴(yán)重后果。

安全風(fēng)險(xiǎn)評(píng)估公司NetDiligence總裁Dave Chatfiled表示，當(dāng)涉及到信息安全時(shí)，根本沒有什么保證。

“安全顧問(wèn)會(huì)讓企業(yè)客戶采取各種安全做法，并讓他們相信數(shù)據(jù)泄露的可能性會(huì)隨著時(shí)間的推移而減少，”Chatfiled表示，“但我不相信會(huì)有任何安全供應(yīng)商對(duì)你說(shuō)，‘我們將保證你永遠(yuǎn)不會(huì)遭到泄露。’”

然而，需要注意的是，遭遇數(shù)據(jù)泄露的Target等公司自身也有過(guò)錯(cuò)，因?yàn)樗麄兊男畔踩渴鸩⒉蛔銐颉０踩浾連rian Krebs獲取了一份內(nèi)部報(bào)告揭露Target公司IT系統(tǒng)中發(fā)現(xiàn)的問(wèn)題，執(zhí)行這個(gè)調(diào)查的Verizon安全顧問(wèn)能夠破解86% Target的密碼，這讓他們可訪問(wèn)內(nèi)部網(wǎng)絡(luò)。很多系統(tǒng)都已經(jīng)過(guò)時(shí)或者沒有修復(fù)安全漏洞，并且，通過(guò)利用明顯的漏洞，這些安全專家可完全訪問(wèn)包含所有敏感數(shù)據(jù)的網(wǎng)絡(luò)。

在過(guò)去幾年內(nèi)發(fā)生的很多重大數(shù)據(jù)泄露事故都面臨集體訴訟，然后庭外和解，從來(lái)沒有在法庭進(jìn)行審判。Chatfiled表示，這可能是因?yàn)樵庥鰯?shù)據(jù)泄露的公司沒什么可辯論，例如Target的案件，而庭外和解可讓企業(yè)快速向前發(fā)展，并可能躲過(guò)媒體的追逐。

“多年來(lái)，我們一直在等待這種集體訴訟可進(jìn)入法庭審判過(guò)程，但有很多原因讓所有各方都避免這種結(jié)果，可能因?yàn)檫@是最不可預(yù)知的結(jié)果，”Chatfiled說(shuō)道，“更有效的方法是在私下處理這些問(wèn)題，而不是推上法庭。”

數(shù)據(jù)泄露事故訴訟：新的先例？

信息管理律師Matthew Nelson表示，集體訴訟數(shù)據(jù)泄露有很高的庭外和解率，這是因?yàn)樵娑急仨氄故?ldquo;他們很可能因數(shù)據(jù)泄露而受到傷害”。但一張支付卡被盜并不足以支撐一個(gè)官司，因?yàn)榭蛻袈暦Q自己受到的傷害不能太投機(jī)。

今年我們看到一個(gè)先例：Neiman Marcus數(shù)據(jù)泄露事故案件。在這個(gè)案件中，原告認(rèn)為其財(cái)務(wù)數(shù)據(jù)被盜足以證明他們可能是受到2013年數(shù)據(jù)泄露事故的影響。最初，美國(guó)地方法院法官否決了這個(gè)訴訟，其理由是未經(jīng)授權(quán)信用卡收費(fèi)將會(huì)賠償給受影響的客戶，原告并沒有表現(xiàn)出受到明顯傷害或存在受傷害的風(fēng)險(xiǎn)。

但是，在今年夏天，美國(guó)第七巡回法院法官小組推翻了這一判決，并允許Neiman Marcus數(shù)據(jù)泄露事故訴訟案繼續(xù)向前推進(jìn)。該小組的判決表明，這里存在“客觀合理的可能性”，個(gè)人數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)被盜可能造成傷害，對(duì)欺詐性信用卡扣費(fèi)的報(bào)銷并不能保護(hù)原告免受其他潛在傷害，例如身份盜竊。Nelson表示，第七巡回法庭的判決對(duì)數(shù)據(jù)泄露事故訴訟可能產(chǎn)生重大影響。

“該法院讓這個(gè)集體訴訟案繼續(xù)向前推進(jìn)，因?yàn)榭蛻舨粦?yīng)該等到身份盜竊或信用卡盜竊發(fā)生后才讓原告受到懲罰，”Nelson表示，“這些事情可能會(huì)發(fā)生，這是非?？陀^合理的推測(cè)。”

在巡回法庭創(chuàng)下的先例可能意味著未來(lái)更多的數(shù)據(jù)泄露事故訴訟進(jìn)入法庭審判—無(wú)論是客戶還是員工的數(shù)據(jù)被泄露，這可能給企業(yè)帶來(lái)更高的數(shù)據(jù)泄露成本。