因泄露超23.5万患者数据，美国一地方医疗机构赔偿150万美元

文摘 2024-11-18 22:40 北京

2024年11月8日，美国纽约州一家法院已初步批准一项150万美元（约合人民币1086万元）的和解协议，用于解决针对One Brooklyn Health健康系统的修订后合并拟议集体诉讼。该诉讼源于2022年11月的一次网络攻击事件，该事件导致超过23.5万人的敏感健康数据遭到泄露。

此次事件波及One Brooklyn Health旗下位于纽约市布鲁克林区的三家医院，包括Brookdale医院医疗中心、Interfaith医疗中心和Kingsbrook犹太医疗中心，以及多个护理院和健康诊所。

在2023年4月26日，Shub & Johns LLC对One Brookyln Health提起了集体诉讼，理由是数据泄露可能对受影响的个人可能产生或已经产生的影响。2023 年 12 月 15 日，在法官下令合并针对 OBH 的所有事项后，该案的原告提交了一份合并的修改起诉书。

诉讼指控之一是，One Brooklyn Health未能合理地保护、保障或存储原告和集体成员的个人身份信息和受保护健康信息，导致相关人员面临身份盗窃和欺诈犯罪的风险。

诉讼指控One Brooklyn Health未能合理保护、保障或存储原告及集体成员的个人身份信息和受保护的健康信息，导致相关人员面临身份盗窃和欺诈风险。

诉讼还指控One Brooklyn Health违反了纽约州消费者保护法，并未及时向受影响人员通报数据泄露事件。

One Brooklyn Health否认了所有指控。

人均最高获赔2600美元

2024 年 9 月 5 日，原告提交了一项动议，要求初步批准集体诉讼和解，并获得了150万美元的和解金2024年10月23日，律师 Benjamin F. Johns 和 Samantha Holbrook 前往纽约州金斯县，参加法院关于原告和解动议的听证会。在2024年11月8日，法官卡罗琳· E·韦德发布了一项命令，批准了原告初步批准集体诉讼和解的动议，并任命Shub & Johns LLC为联合首席集体法律顾问。受违规影响的个人将收到通知，并有机会在 2025 年 3 月 23 日之前提交索赔，以参与集体诉讼和解。法院已安排在 2025 年 2 月 26 日举行最终批准听证会。有关拟议和解的更多细节仍有待公布。

根据拟议的和解协议，符合条件的集体诉讼成员可以提交索赔，最高可获得2500美元的实际自付损失赔偿，以及处理数据泄露后果所花费的时间补偿（最高4小时、每小时25美元）。

此外，和解协议允许集体诉讼成员申请两年的信用监控服务。

作为替代选择，集体诉讼成员可以放弃文件损失赔偿和信用监控服务的申请，直接领取一笔固定金额的现金补偿。这笔补偿金额将在扣除其他索赔和费用后由和解基金决定。

和解协议还建议向八名原告每人支付1000美元的服务奖励。根据法院文件，原告律师计划从和解基金中提取高达三分之一的金额（约50万美元），并申请补偿不超过5万美元的诉讼费用。

此外，该协议要求One Brooklyn Health增强数据安全措施。这些改进的费用将由One Brooklyn Health自行承担，与和解基金无关。法院文件并未具体说明One Brooklyn Health将实施哪些安全措施。

纽约州最高法院（位于国王县）计划于2025年2月26日召开和解协议最终批准听证会。

数据泄露详情

此次合并拟议集体诉讼的核心是One Brooklyn Health于2022年11月首次检测到的网络攻击。当时，该医疗机构发现其网络中存在可疑活动。这一事件导致其IT系统，包括电子健康记录和患者门户网站，长达一个多月无法正常访问。该公司在网络攻击后进行了调查。通过调查，OBH 发现未经授权的一方获得了对公司信息系统的访问权限。通过进一步调查，OBH 发现大约 235,000 人的 PII 和 PHI 受到影响。尽管数据泄露发生在 2022 年 11 月，但 OBH 直到 2023 年 4 月才提醒消费者。

2023 年 4 月 20 日，One Brooklyn Health（OBH）开始通知个人，他们的信息涉及数据泄露事件，暴露了个人的个人身份信息（“PII”）和私人健康信息（“PHI”）。受影响的信息包括姓名、社会安全号码、驾照或州身份证号码、出生日期、金融账户信息、医疗治疗记录、处方信息、诊断信息以及健康保险信息等。

根据One Brooklyn Health于2023年发布的数据泄露通知，调查显示，2022年7月9日至2022年11月19日期间，一名未经授权的行为者从其IT系统中获取了“一定数量”的数据。

调查进一步发现，网络犯罪分子在此次攻击中未经授权访问并窃取了超过23.5万人的个人身份信息，其中包括患者、员工及其配偶、受抚养人和受益人。

截至目前，One Brooklyn Health尚未公开声明此次事件是否涉及勒索软件。

One Brooklyn Health于2023年1月18日向美国卫生与公众服务部（HHS）报告了此次数据泄露，描述为涉及网络服务器的黑客事件，并称影响了500人。这一数字似乎是初步估算。

截至2023年11月8日，HHS民权办公室的《健康保险流通与责任法案》(HIPAA)数据泄露报告工具中仍显示此事件的受影响人数为500人。而根据One Brooklyn Health于2023年4月20日向缅因州总检察长提交的报告，实际受影响人数为235251人。

代表One Brooklyn Health处理数据泄露诉讼的律师未立即回应外媒信息安全媒体集团（ISMG）的置评请求。

原告律师事务所Shub & Johns LLC的律师本杰明·约翰斯（Benjamin Johns）在声明中表示：“我们对法院初步批准和解协议感到满意，并期待进行最终批准。”他未就该案的其他问题作进一步评论。

来源：安全内参，稍有扩写。

http://mp.weixin.qq.com/s?__biz=MzUwOTkwNzEwNg==&mid=2247514135&idx=2&sn=8cf6eea2310d97f37d586aac93254b4a

清华大学智能法治研究院

发布清华大学法学院、清华大学智能法治研究院在“计算法学”（Computational Law）前沿领域的活动信息与研究成果。

最新文章

第七届计算法学国际会议通知

李强主持召开国务院常务会议研究推动平台经济健康发展有关工作等

意大利骑手算法案的最新处罚决定

《纽约时报》律师团队指责OpenAI意外删除了版权侵权行为的取证数据

四部门开展“清朗·网络平台算法典型问题治理”专项行动

美国FCC因数据安全漏洞拟对视频门铃制造商处以70多万美元罚款

关于发布《网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》的通知

常州3人非法抓取小红书数据获刑

国家数据局印发《可信数据空间发展行动计划（2024—2028年）》（附图解、媒体解读）

美国政府问责署建议成立新机构来规范政府保护公民数据的方式

ICO关于共享个人信息以支持防范欺诈和诈骗的工作建议

工业和信息化领域数据安全合规指引（全文）发布

美国发布关键基础设施人工智能安全建议

NIST发布后量子密码学转型战略草案：网络安全的未来之路

卡巴斯基2025年犯罪软件和金融网络威胁的趋势预测

《国家数据基础设施建设指引（征求意见稿）》发布

《重庆市公共数据资源登记管理实施办法（试行）》《重庆市公共数据资源授权运营管理实施办法（试行）》｜公开征求意见

公安机关依法处罚快手公司

《中国互联网发展报告2024》和《世界互联网发展报告2024》发布

斯坦福李飞飞：《AI Agent：多模态交互前沿调查》论文全文翻译

《杭州市功能型无人车管理运行指南（1.0版）》公开征求意见

ICO关于养老营销业务的的数据保护声明

全球数据跨境流动合作倡议（全文）

英国ICO负责人：对大型科技公司征收巨额罚款并不是最有效的监管方式

美国司法部可能迫使谷歌出售Chrome

澳大利亚发布人脸识别技术隐私风险评估指南

香港私隐专员公署检视十个网上旅游平台收集个人资料的情况

美国17州总检察长致函国会支持《儿童网络安全法案》

数字化转型：海湾合作委员会法律的未来

隐私设计的数字权力风险与多元优化路径

因泄露超23.5万患者数据，美国一地方医疗机构赔偿150万美元

主播离职后，公司还能继续使用其出镜拍摄的视频吗？

美国零售商泄露5700万用户数据

上海市通信管理局关于侵害用户权益行为APP的通报（2024年第二批）

吉林省农业农村厅就《吉林省农村集体经济数字监管平台管理办法》征求公众意见

河南省市场监管局等八部门联合印发《河南省数据知识产权登记办法（试行）》

最高人民法院、最高人民检察院联合发布《关于办理拒不执行判决、裁定刑事案件适用法律若干问题的解释》

中国将发布《全球数据跨境流动合作倡议》

澳大利亚议会发布关于拟议隐私改革的报告

欧洲数字治理政策的未来趋势

ChatGPT允许访问底层沙箱操作系统

美国律所因泄露用户个人信息赔偿超5700万元，人均最高7.2万元

网络攻击扰乱美国超市药房运营，超2000家门店受影响

黑客声称近5亿Instagram用户的数据被抓取

零日漏洞已经成为黑客最常利用的漏洞类型

英国：使用隐私增强技术（PET）负责任地释放数据价值

上海市数据产品知识产权登记存证暂行办法

欧盟发布《通用人工智能实践准则草案（第一稿）》

网信办《移动互联网未成年人模式建设指南》全文及官方解读

江苏法院判决一起AI图片版权案，附判决书全文

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉