知名律所因泄露用户个人信息赔偿超5700万元(附文件)
11月8日,美国加利福尼亚州北区法院正式批准了针对奥睿律师事务所(Orrick, Herrington & Sutcliffe)的集体诉讼和解协议,总金额达800万美元(约合人民币5782万元)。
超律志注:
美国奥睿律师事务所(Orrick, Herrington & Sutcliffe LLP)于1863年在旧金山创立,是全球最大的律所之一。在亚洲、欧洲和北美各地提供全面的法律服务并拥有25个办公室和总数超过1100人的律师队伍。2024年,奥睿律师事务所关闭上海与台北办事处,并将重新整合在亚洲的北京、新加坡、日本办事处资源。
该诉讼涉及一起黑客攻击事件,受影响者包括多个客户和超过63.8万名个人。根据协议,集体诉讼成员可获得最高2500美元的可证明自付费用补偿,以及最高7500美元的额外损失赔偿。此外,九位主要原告每人将获得2500美元的服务奖励。
美国加利福利亚州北区法院和解协议的通知 (超律志在文末附本通知的下载方式):
奥睿在数据泄露事件发生后曾为受影响者提供了24个月的信用监控服务。然而,根据和解协议,集体诉讼成员现在可以申请额外三年的信用监控服务,该服务由三大信用局提供,并包含100万美元的身份盗窃保险。
和解协议还要求奥睿加强其数据安全措施,实施并维持“有意义的数据安全增强措施”,以防止集体诉讼成员因未来可能发生的数据泄露事件受到损害。
法院文件显示,这些措施包括改进奥睿的检测和响应工具,增强网络及应用层面的持续漏洞扫描,部署额外的端点检测与响应软件,并与第三方网络安全供应商合作,进行全天候的托管检测与响应。
代表集体诉讼成员和原告的律师预计将获得200万美元的律师费,占800万美元和解金额的约四分之一。
超60万用户个人信息泄露
此次诉讼合并了四起针对奥睿的集体诉讼,焦点是2023年3月13日奥睿发现的一起黑客事件。
调查显示,一名网络犯罪分子自2022年11月19日至2023年3月13日期间,未经授权访问了奥睿的网络,时间长达将近四个月。最终,奥睿通知了63.8万名个人,告知其信息可能在此次事件中被访问并窃取。
被泄露的信息可能包括个人姓名、地址、出生日期、社会安全号码、健康信息及其他个人身份信息。
此次数据泄露事件中,受影响的奥睿客户还包括多个医疗保健领域的实体,如视力福利计划EyeMed和加州牙科保险计划Delta Dental。
最初,奥睿向监管机构报告称数据泄露影响了约15.3万人,但随后多次更新了其泄露报告,最终确认受影响人数超过63.8万。
美国多家律所发生数据泄露问题
在奥睿数据泄露诉讼和解的同一周,美国密苏里州的Thompson Coburn律所向美国卫生与公众服务部报告了一起黑客事件,称事件影响了305088名个人的受保护健康信息。
Thompson Coburn在公告中表示,受影响的个人是新墨西哥州长老会医疗服务公司的患者,该公司是其法律服务客户。目前尚不清楚Thompson Coburn的其他医疗保健或其他行业客户是否也受到了此次黑客事件的波及。
尽管如此,Thompson Coburn的数据泄露事件已经引起了其他律所的关注。11月12日,首起针对Thompson Coburn和长老会医疗服务公司的拟议集体诉讼在密苏里联邦法院提起,预计未来还会有更多类似的诉讼。
与此同时,几家律所也宣布正在调查Thompson Coburn的黑客事件,以便对其发起潜在的集体诉讼。其中包括代表奥睿数据泄露案原告和集体诉讼成员的Federman & Sherwood律所。
讽刺的是,Thompson Coburn和奥睿都为客户提供包括数据泄露诉讼援助在内的多种法律服务。
Thompson Coburn和奥睿的事件是律所对其医疗保健客户构成数据泄露风险的典型案例,尤其是在有第三方供应商参与时,风险会变得更加复杂。
今年6月,提供医疗记录检索及诉讼支持的Compex Legal Services公司向监管机构报告了一起数据外泄事件,并通知了未公开数量的客户。该事件于4月被发现,影响了近3万名个人,包括员工及其家属的过往和当前记录。
Compex表示,可能泄露的信息包括个人姓名、社会安全号码、金融账户信息、诊断信息、医疗记录号及健康保险信息。
目前,至少有四起联邦集体诉讼已由受影响个人提起,指控Compex在未能保护原告和集体诉讼成员的敏感信息方面存在过失。
如需下载美国加利福利亚州北区法院和解协议的通知的英文原文,请在公众号后台发送关键词“ 和解”获取英文原文。
本文综合安全内参,美国加利福利亚州北区法院等,感谢分享。
往期涉外热点汇总(文中都有法律文件下载方式):
TikTok诉美国拜登政府案最新进展:special master
欧盟对中国电动汽车反补贴调查发布重大终裁披露(附全文+问答)
欧盟“反补贴”出招,中企“忍痛割爱”30亿光伏订单(附声明全文)