美国律所因泄露用户个人信息赔偿超5700万元，人均最高7.2万元

文摘 2024-11-17 16:53 北京

2024年11月8日，美国一家地方法院最终批准了针对奥睿律师事务所（Orrick, Herrington & Sutcliffe）的集体诉讼和解协议，总金额达800万美元（约合人民币5782万元）。该诉讼涉及一起黑客攻击事件，受影响者包括多个客户和超过63.8万名个人。

根据美国加利福尼亚北区联邦地区法院批准的和解协议，集体诉讼成员可获得最高2500美元的可证明自付费用补偿，以及最高7500美元的额外损失赔偿。此外，九位主要原告每人将获得2500美元的服务奖励。

奥睿在数据泄露事件发生后曾为受影响者提供了24个月的信用监控服务。然而，根据和解协议，集体诉讼成员现在可以申请额外三年的信用监控服务，该服务由三大信用局提供，并包含100万美元的身份盗窃保险。

和解协议还要求奥睿加强其数据安全措施，实施并维持“有意义的数据安全增强措施”，以防止集体诉讼成员因未来可能发生的数据泄露事件受到损害。

法院文件显示，这些措施包括改进奥睿的检测和响应工具，增强网络及应用层面的持续漏洞扫描，部署额外的端点检测与响应软件，并与第三方网络安全供应商合作，进行全天候的托管检测与响应。

代表集体诉讼成员和原告的律师预计将获得200万美元的律师费，占800万美元和解金额的约四分之一。

超60万用户个人信息泄露

此次诉讼合并了四起针对奥睿的集体诉讼，焦点是2023年3月13日奥睿发现的一起黑客事件。

调查显示，一名网络犯罪分子自2022年11月19日至2023年3月13日期间，未经授权访问了奥睿的网络，时间长达将近四个月。最终，奥睿通知了63.8万名个人，告知其信息可能在此次事件中被访问并窃取。

被泄露的信息可能包括个人姓名、地址、出生日期、社会安全号码、健康信息及其他个人身份信息。

此次数据泄露事件中，受影响的奥睿客户还包括多个医疗保健领域的实体，如视力福利计划EyeMed和加州牙科保险计划Delta Dental。

最初，奥睿向监管机构报告称数据泄露影响了约15.3万人，但随后多次更新了其泄露报告，最终确认受影响人数超过63.8万。

代表奥睿处理该集体诉讼的律师，没有立即回应媒体关于和解协议的置评请求。

美国多家律所发生数据泄露问题

在奥睿数据泄露诉讼和解的同一周，美国密苏里州的Thompson Coburn律所向美国卫生与公众服务部报告了一起黑客事件，称事件影响了305088名个人的受保护健康信息。

Thompson Coburn在公告中表示，受影响的个人是新墨西哥州长老会医疗服务公司的患者，该公司是其法律服务客户。目前尚不清楚Thompson Coburn的其他医疗保健或其他行业客户是否也受到了此次黑客事件的波及。到目前为止，Thompson Coburn尚未发布任何其他数据泄露公告，律所也未回应媒体关于黑客事件的置评和澄清请求。

尽管如此，Thompson Coburn的数据泄露事件已经引起了其他律所的关注。11月12日，首起针对Thompson Coburn和长老会医疗服务公司的拟议集体诉讼在密苏里联邦法院提起，预计未来还会有更多类似的诉讼。

与此同时，几家律所也宣布正在调查Thompson Coburn的黑客事件，以便对其发起潜在的集体诉讼。其中包括代表奥睿数据泄露案原告和集体诉讼成员的Federman & Sherwood律所。

讽刺的是，Thompson Coburn和奥睿都为客户提供包括数据泄露诉讼援助在内的多种法律服务。

Thompson Coburn和奥睿的事件是律所对其医疗保健客户构成数据泄露风险的典型案例，尤其是在有第三方供应商参与时，风险会变得更加复杂。

今年6月，提供医疗记录检索及诉讼支持的Compex Legal Services公司向监管机构报告了一起数据外泄事件，并通知了未公开数量的客户。该事件于4月被发现，影响了近3万名个人，包括员工及其家属的过往和当前记录。

Compex表示，可能泄露的信息包括个人姓名、社会安全号码、金融账户信息、诊断信息、医疗记录号及健康保险信息。

目前，至少有四起联邦集体诉讼已由受影响个人提起，指控Compex在未能保护原告和集体诉讼成员的敏感信息方面存在过失。

Compex尚未立即回应媒体关于诉讼及黑客事件更多细节的置评请求。

参考资料：govinfosecurity.com

http://mp.weixin.qq.com/s?__biz=MzUwOTkwNzEwNg==&mid=2247514092&idx=5&sn=9c6793195d8434228de5b9d7dd60cd98

清华大学智能法治研究院

发布清华大学法学院、清华大学智能法治研究院在“计算法学”（Computational Law）前沿领域的活动信息与研究成果。

最新文章

第七届计算法学国际会议通知

李强主持召开国务院常务会议研究推动平台经济健康发展有关工作等

意大利骑手算法案的最新处罚决定

《纽约时报》律师团队指责OpenAI意外删除了版权侵权行为的取证数据

四部门开展“清朗·网络平台算法典型问题治理”专项行动

美国FCC因数据安全漏洞拟对视频门铃制造商处以70多万美元罚款

关于发布《网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》的通知

常州3人非法抓取小红书数据获刑

国家数据局印发《可信数据空间发展行动计划（2024—2028年）》（附图解、媒体解读）

美国政府问责署建议成立新机构来规范政府保护公民数据的方式

ICO关于共享个人信息以支持防范欺诈和诈骗的工作建议

工业和信息化领域数据安全合规指引（全文）发布

美国发布关键基础设施人工智能安全建议

NIST发布后量子密码学转型战略草案：网络安全的未来之路

卡巴斯基2025年犯罪软件和金融网络威胁的趋势预测

《国家数据基础设施建设指引（征求意见稿）》发布

《重庆市公共数据资源登记管理实施办法（试行）》《重庆市公共数据资源授权运营管理实施办法（试行）》｜公开征求意见

公安机关依法处罚快手公司

《中国互联网发展报告2024》和《世界互联网发展报告2024》发布

斯坦福李飞飞：《AI Agent：多模态交互前沿调查》论文全文翻译

《杭州市功能型无人车管理运行指南（1.0版）》公开征求意见

ICO关于养老营销业务的的数据保护声明

全球数据跨境流动合作倡议（全文）

英国ICO负责人：对大型科技公司征收巨额罚款并不是最有效的监管方式

美国司法部可能迫使谷歌出售Chrome

澳大利亚发布人脸识别技术隐私风险评估指南

香港私隐专员公署检视十个网上旅游平台收集个人资料的情况

美国17州总检察长致函国会支持《儿童网络安全法案》

数字化转型：海湾合作委员会法律的未来

隐私设计的数字权力风险与多元优化路径

因泄露超23.5万患者数据，美国一地方医疗机构赔偿150万美元

主播离职后，公司还能继续使用其出镜拍摄的视频吗？

美国零售商泄露5700万用户数据

上海市通信管理局关于侵害用户权益行为APP的通报（2024年第二批）

吉林省农业农村厅就《吉林省农村集体经济数字监管平台管理办法》征求公众意见

河南省市场监管局等八部门联合印发《河南省数据知识产权登记办法（试行）》

最高人民法院、最高人民检察院联合发布《关于办理拒不执行判决、裁定刑事案件适用法律若干问题的解释》

中国将发布《全球数据跨境流动合作倡议》

澳大利亚议会发布关于拟议隐私改革的报告

欧洲数字治理政策的未来趋势

ChatGPT允许访问底层沙箱操作系统

美国律所因泄露用户个人信息赔偿超5700万元，人均最高7.2万元

网络攻击扰乱美国超市药房运营，超2000家门店受影响

黑客声称近5亿Instagram用户的数据被抓取

零日漏洞已经成为黑客最常利用的漏洞类型

英国：使用隐私增强技术（PET）负责任地释放数据价值

上海市数据产品知识产权登记存证暂行办法

欧盟发布《通用人工智能实践准则草案（第一稿）》

网信办《移动互联网未成年人模式建设指南》全文及官方解读

江苏法院判决一起AI图片版权案，附判决书全文

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉