根據(jù)英國諾頓羅氏律師事務(wù)所對250多名法律顧問和內(nèi)部訴訟從業(yè)者進行的年度訴訟趨勢調(diào)查,網(wǎng)絡(luò)安全和數(shù)據(jù)保護將成為未來幾年新的法律糾紛的主要驅(qū)動因素。三分之二的受訪者表示,他們在2021年更容易受到此類糾紛的影響,而2020年這一比例不到一半,而同時更復(fù)雜的網(wǎng)絡(luò)攻擊、對遠程環(huán)境中的員工/承包商的監(jiān)督更少,以及對客戶數(shù)據(jù)量的擔憂都被列為影響因素。
顯然,對于首席信息安全官及其企業(yè)而言,面臨的訴訟風(fēng)險是非?,F(xiàn)實的,但他們最關(guān)心的問題是什么,能做些什么呢?
1.數(shù)據(jù)泄露引發(fā)訴訟
專門從事技術(shù)和合規(guī)法律事務(wù)的律師兼Cordery公司合伙人Jonathan Armstrong表示,在過去18個月到兩年中,企業(yè)因數(shù)據(jù)泄露而面臨訴訟的可能性顯著增加,尤其是當企業(yè)被認為沒有很好地處理數(shù)據(jù)泄露事件時。他補充說:“現(xiàn)在出現(xiàn)數(shù)據(jù)泄露事件的話,引發(fā)訴訟是必然的。”
eSentire公司戰(zhàn)略和企業(yè)發(fā)展副總裁Alex Jinivizian表示,雖然法律行動的傾向由于所在的地理位置而有所不同,但網(wǎng)絡(luò)攻擊的持續(xù)規(guī)模已導(dǎo)致各國政府、行業(yè)和監(jiān)管機構(gòu)對安全性做出更明確的判斷,為采取更多法律行動打開了大門。他說:“美國人事管理辦公室、Equifax、Marriott、Target公司的一些引人注目的數(shù)據(jù)泄露事件導(dǎo)致了針對這些公司的重大訴訟,涉及網(wǎng)絡(luò)安全標準較差導(dǎo)致的員工或客戶的機密數(shù)據(jù)丟失。”
Armstrong警告說,這對企業(yè)來說可能是相當大的影響。他說,“目前在不同案件中尋求的損害賠償很高。例如TikTok公司在荷蘭面臨15億歐元的訴訟,其他國家也有類似的高額索賠,包括英國和德國。多年來,與數(shù)據(jù)相關(guān)的訴訟也一直是美國企業(yè)面臨的風(fēng)險。”
首席信息安全官受到訴訟
網(wǎng)絡(luò)安全訴訟的風(fēng)險不僅限于企業(yè),也涉及個人。Signature Litigation公司合伙人Simon Fawell表示,如果沒有采取足夠的措施來防止數(shù)據(jù)泄露行為,或者違規(guī)的后果處理不當,首席信息安全官本身將面臨因失職而受到法律訴訟。
Jinivizian對這一觀點表示認同,他說:“首席信息安全官的角色對大中型企業(yè)來說從未像現(xiàn)在這樣重要,而且在安全事件和數(shù)據(jù)泄露事件中可能扮演著更重要的角色,在2020年毀滅性的供應(yīng)鏈攻擊之后,針對SolarWinds公司的首席信息安全官和其他高管的集體訴訟就是明證。”
Armstrong補充說,Uber公司的首席安全官涉嫌試圖掩蓋與2016年攻擊有關(guān)的勒索軟件的贖金,此次攻擊泄露了數(shù)百萬名用戶和司機的數(shù)據(jù),這也證明了這一點。
Fawell表示,如果首席信息安全官擔任企業(yè)董事,那么他們可能會因為數(shù)據(jù)和隱私泄露而面臨股東違規(guī)行為。他說,“在英國,股東對企業(yè)董事的訴訟一直在增加,在數(shù)據(jù)泄露導(dǎo)致股東利益受損的情況下,越來越多地考慮對企業(yè)董事提出索賠。這反映了其他司法管轄區(qū)的趨勢,例如在美國,首席信息安全官已經(jīng)成為因違反職責而備受關(guān)注的索賠對象。”
2.商業(yè)秘密丟失和聲譽受損
數(shù)據(jù)泄露或隱私訴訟的潛在后果包括巨額罰款、民事和刑事處罰、聲譽損害以及對股價的不利影響。所有這些都可以單獨或組合影響企業(yè)和首席信息安全官。Signature Litigation公司的合伙人Alasdair Marshall補充說,如果丟失了重要信息,損失可能會非常大。他說,“例如,如果中間人或代理人發(fā)生違規(guī)事件并丟失重要信息,可能對另一家公司的聲譽造成嚴重損害的商業(yè)機密或信息,這可能會導(dǎo)致重大訴訟。近年來,‘巴拿馬文件’和瑞士信貸事件凸顯了越來越多的個人尋求獲取敏感信息并將其發(fā)布到市場上。”
Marshall說,“此外,為訴訟辯護可能既昂貴又耗時。雖然英國的制度允許勝訴方從敗訴方那里收回訴訟費用,但很少會全額收回用于法律費用和輔助費用的金額。訴訟還需要首席信息安全官和董事會層面的高度關(guān)注,這將更有成效地專注于發(fā)展和保護未來的業(yè)務(wù)。”
ForgeRock公司首席信息安全官Russ Kirby表示,訴訟也可能對網(wǎng)絡(luò)保險事項產(chǎn)生直接影響,影響保險、續(xù)約和新業(yè)務(wù)等事項。而不會受到訴訟影響的公司和首席信息安全官通常將客戶放在首位,他們致力保持透明,盡一切努力幫助客戶將影響降至最低,并分享他們計劃采取的步驟以確保不會再次發(fā)生這種情況。
3.法規(guī)和要求
專家一致認為,地理因素對于首席信息安全官及其企業(yè)面臨的訴訟風(fēng)險尤為重要。例如,英國最高法院在Lloyd訴谷歌案中做出裁決,終止了現(xiàn)有程序框架下的“選擇退出”集體訴訟,并強調(diào)了根據(jù)英國法律提起大規(guī)模數(shù)據(jù)索賠的困難,之后,大規(guī)模違規(guī)群體訴訟的威脅在英國有所減少。他補充說:“雖然這項裁決沒有完全阻止在數(shù)據(jù)隱私案件中提起集體訴訟的可能性,而且英國法院仍有許多不同的訴訟可能會取得成功,但這對索賠者來說是一個相當大的挫折。”
話雖如此,受數(shù)據(jù)泄露影響的個人獲得賠償?shù)膲毫υ絹碓酱?,在相對不久的將來看到針對?shù)據(jù)隱私案件引入某種形式的選擇退出集體訴訟制度也就不足為奇了。Fawell說,“英國已經(jīng)針對競爭主張引入了退出機制,數(shù)據(jù)隱私將是類似方法的下一個合乎邏輯的領(lǐng)域。”他指出,盡管目前英國大規(guī)模集體訴訟的威脅已經(jīng)減弱,但個人訴訟的威脅仍然非常明顯,尤其是在高價值的數(shù)據(jù)可能受到損害的情況下。他說,“GDPR法規(guī)和英國相關(guān)的立法提高了人們對數(shù)據(jù)隱私問題的認識,并更加關(guān)注商業(yè)交易中的合同條款。”
咨詢機構(gòu)Guidehouse公司的訴訟支持服務(wù)負責人、前首席信息安全官Jack O'Meara說,“就美國而言,這些事情可能會變得更加復(fù)雜。例如,在美國國防工業(yè)基地承包商工作的首席信息安全官需要遵守美國國防采購條例(DFARS)252.204-7012保護涵蓋的國防信息和網(wǎng)絡(luò)事件報告,而在紐約金融機構(gòu)工作的首席信息安全官需要遵守紐約州金融服務(wù)部23NYCRR500對金融服務(wù)公司的網(wǎng)絡(luò)安全要求。”
與此同時,一名法官最近批準了由Kemper保險公司的原告提起的1760萬美元的集體和解,該原告指控其違反了加州的《消費者隱私法》,而美國證券交易委員會(SEC)已經(jīng)針對上市公司提出了新的強制性網(wǎng)絡(luò)安全披露規(guī)則,以及為私募股權(quán)和投資公司提供書面網(wǎng)絡(luò)政策和程序、增強的報告和記錄管理。
O'Meara補充說,最終,美國首席信息安全官需要了解其企業(yè)合同中包含的特定網(wǎng)絡(luò)安全要求,還需要了解適用于其行業(yè)和地理區(qū)域的法規(guī)和要求。
4.降低訴訟風(fēng)險
Kirby表示,為了減輕和降低訴訟風(fēng)險,首席信息安全官必須首先檢查他們的安全計劃在嚴格審查下是否“可防御”,是否能夠改變和適應(yīng)新的威脅。他說,“例如,如果它無法解決有關(guān)其協(xié)議是否符合當?shù)胤珊托袠I(yè)標準的問題,那么需要迅速采取行動解決這些問題。”
Fawell列舉了以下五個問題,這些問題有助于從訴訟的角度衡量違規(guī)響應(yīng)計劃的有效性:
(1)誰是需要聯(lián)系的主要服務(wù)提供商?
(2)內(nèi)部溝通渠道是什么?誰要求指導(dǎo)律師和其他主要顧問?是首席信息安全官還是需要其他高管批準?
(3)如果系統(tǒng)宕機,處理漏洞的關(guān)鍵人員如何安全溝通?
(4)哪種類型的違規(guī)行為最有可能對企業(yè)造成影響?誰是最有可能受到影響的交易對手?
(5)與交易對手的合同中的數(shù)據(jù)隱私條款有什么要求?這些合同中是否有通知要求?
Fawell補充說,“計劃的范圍至少可以從確保上述問題和其他問題的答案得到考慮,并且處理違規(guī)行為的關(guān)鍵人員要知道答案,到完全模擬違規(guī)行為到壓力測試過程。”
O'Meara表示,首席信息安全官應(yīng)該能夠在需要時提供文件化的政策和程序,包括合規(guī)性文件、安全配置設(shè)置的屏幕截圖、防火墻日志、訪問審計日志、用戶計算機系統(tǒng)和應(yīng)用程序訪問請求表,以及員工安全培訓(xùn)記錄。
Armstrong建議首席信息安全官與習(xí)慣于在事件發(fā)生之前處理此類風(fēng)險和訴訟的律師進行接觸。他說,“當確實發(fā)生了攻擊事件時,重要的是不要試圖把它當作一個孤立的事件來處理。”
同樣,O'Meara建議美國的企業(yè)與內(nèi)部法律顧問合作,以了解訴訟風(fēng)險以及相關(guān)的影響和后果。
Fawell指出,首席信息安全官熟悉企業(yè)網(wǎng)絡(luò)保險政策的條款也很重要,主要是涵蓋/不涵蓋哪些內(nèi)容以及發(fā)生違規(guī)時的通知要求。他說,“保險公司通常應(yīng)該是最早的聯(lián)系渠道之一。不僅確保承保范圍很重要,保險公司通常也是有關(guān)如何處理某些方面違約的信息和建議的良好來源。”
此外,網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者必須知道在違規(guī)后立即記錄哪些信息。他說,“重要的是要對所做出的決定及其原因保持清晰的審計跟蹤。然而,在處理立即具有挑戰(zhàn)性的情況時,以書面形式記錄判斷錯誤的評論(通常來自高級人員)并不少見,這在以后的法律訴訟中可能沒有幫助。尤其重要的是,每個人都要了解哪些可能在相關(guān)司法管轄區(qū)受到法律特權(quán)的保護,以及哪些不會。”
Armstrong已經(jīng)看到了這種情況。他說,“特權(quán)至關(guān)重要。在通常情況下,訴訟當事人很早就要求查看內(nèi)部備忘錄、通訊和報告。如果沒有正確設(shè)置特權(quán),可能不得不披露所有材料。”
Fawell建議,在可能的情況下,明智的做法是在關(guān)鍵人員之間召開會議,以建立清晰的溝通渠道,并確保審計追蹤準確而清晰地詳細說明響應(yīng)過程。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。
京公網(wǎng)安備 11010502049343號