自由信贷监控是否弊大于利?

第七次电路在发现未来欺诈费用的风险增加以及识别盗窃的更大易感性的增加之后,恢复了Neiman Marcus Data Breach课程诉讼。

上周,第七巡回法院重启了内曼·马库斯数据泄露集体诉讼的意见这不仅尊重最高法院的法庭梆子决定,但是,在此之前没有做过一些法院的事项:将公司提供的免费信用监测和身份保护服务提供给消费者对这段违规行为的伤害的恐惧并非“投机”,以停止诉讼。公司应由公司仔细考虑这一严重的开发,规划和响应数据违规行为。

背景

Neiman Marcus的数据泄露不幸的是,在美国在2013年假日季节期间也遭遇了许多大型零售商的经验。2013年12月中旬,Neiman Marcus收到了一份报告,其中一些客户在信用卡上看到欺诈费用。随后的调查确定了归属于2013年7月16日和2013年10月30日期间未经授权入侵的恶意软件。该袭击公开了350,000张信用卡,其中9,200人确实被犯罪分子用于欺诈性指控。没有证据表明社会安全号码或出生日期受到损害。

Neiman Marcus在2013年1月至2014年1月期间购物的所有客户发出了关于该事件的广泛通知,以至于在2014年1月至2014年1月在其商店购物,并为其维护了物理或电子邮件地址。此外,虽然没有证据表明社会安全号码受到损害,但内曼马克斯向所有通知客户提供了在12个月内提供的机会,以便在互补的信贷监测和身份盗窃保护服务中注册。

法院区分克拉珀

在推翻地方法院的驳回判决时,第七巡回上诉法院仔细分析了克拉珀诉大赦Intʹl美国,133秒CT。1138(二零一三年)是一个被引用的被引用的案例,公司习惯于在全国范围内获得联邦法院的数据泄露课程行动,原告未能屈服于满足第三条常设要求所必需的迫在眉睫的,非投机性危害。

根据法院,梆子并没有取消“对未来伤害的任何使用”,而是要求所谓的伤害要么“已经发生”,要么“肯定即将发生”,以建立足够的地位来起诉。不同于拍手,人权组织所谓的有关可能的政府监督的推测风险,没有争议(a)Neiman Marcus遭受了数据违约,(b)信用卡信息暴露,(c)该卡属于35万客户,(d这些卡片的9,200张被用来欺诈。第七个电路通过询问和回答自己的问题,将欺诈性指控和身份证盗窃的关键查询标点:“为什么黑客闯入商店的数据库并窃取消费者的私人信息?据推测,黑客的目的迟早是欺诈性指控或承担这些消费者的身份。“

提供信用监测强化发现“具体”伤害

除了欺诈和身份证盗窃的迫在眉睫的风险外,法院还考虑了已经产生的时间和费用,以防止赋予原告的这种风险。拒绝“overread”梆子,第七巡回法院再次将这些缓解费用与毫无争议的事实联系起来,即Neiman Marcus遭受了涉及信用卡的违约,理由如下:

在这方面,内曼•马库斯(Neiman Marcus)向所有拥有其联系方式、并在2013年1月至2014年1月期间在其门店购物的客户提供了为期一年的信用监控和identity‐防盗保护服务。它不太可能这么做,因为风险是如此短暂,可以安全地忽略它。这些credit‐监控服务的价格高于微量允许。例如,益百利在第一个月提供每月4.95美元的信用监控服务,之后每月19.95美元。

换句话说,最高法院有效地利用了内曼•马库斯的决定,广泛提供免费信贷监控,作为原告面对非投机性和迫在眉睫的损害风险的让步,从而保证了他们减轻损失的费用。根据第七巡回法院的说法,“这很容易被认定为混凝土伤害。”[1]

结论

在遭受网络攻击之后,公司会受到法律、道德和公共关系等诸多因素的影响。提供信用监控和身份保护服务已成为网络游戏的标准做法,主要是通过展示公司对客户或员工的承诺,来维护或赢回客户的忠诚度。事实上,无论信息的性质或范围如何,消费者和雇员通常都希望得到免费的信用监控或身份盗窃保护。[2]

但是,提供这些服务可能会发送意外信号,例如违规行为不是涉及社会保险号码或其他用于身份盗窃的数据(例如,医疗信息)。在这种情况下,公司可能会面临这样的问题:“被泄露的数据是否比公司报告的还要多?”或“公司是否有证据表明该漏洞导致了身份盗窃?”或者“消费者真的有身份被盗用的风险吗?”这并不是说,规模应该朝着有利于放弃信贷监控补救措施的方向倾斜。例如,如果法医调查识别出攻击者访问社会安全号码或医疗保健信息的证据,那么信用监视可以成为一种有价值的工具,用于减少未授权的新信贷或贷款尝试,并预先偿还个人可能招致的费用。但在第七巡回法院的判决之后Neiman Marcus.在美国,公司应该明白,提供这种补救措施的决定可能会在无意中帮助潜在的原告建立起诉地位,并在客户中造成混淆。因此,Neiman Marcus.决定至少呼吁事故响应小组在为受影响的各方提供补救措施之前运动,因为它可能在某些情况下做得更多的“伤害”而不是好处。

[1]法院对原告提出的其他损害赔偿要求表示怀疑,这些要求是基于(1)内曼·马库斯(Neiman Marcus)为其产品支付了溢价(过高),因为该商店没有投资于足够的安全措施,(2)侵犯了以丢失私人信息为基础的权利。法院没有受理Neiman Marcus提出的12(b)(6)项不提出索赔的动议,该动议将被地区法院继续审理。

[2]信用监测服务通常监测信用报告的活动,以便至少为三大信用局(Experanion,Equifax)中的至少一个,以提醒消费者对新的信用额度或收集金额加入信用记录,这需要社会安全号码。公司的身份保护/监控服务由公司差异,但通常旨在监控不同网站和在线服务的活动,包括购买和销售个人信息的所谓的“DarkWeb”网站。