News Detail Banner
All News & Events

2015年2月:應對侵權:對於資料侵權,為何需要提前準備及如何準備

商事訴訟報告

“在每壹個董事會會議上,無論是月度還是季度會議,網絡安全都應該出現在[議程]之上。如果沒有,那麽最後的結果就是在麻煩發生時需要匆忙地召開緊急會議。您需要壹個計劃。您需要有專門的法律顧問,公關專家,通信人員,IT技術人員以及安全專家對於數據侵權問題,這些人需要共同協商出壹個周密的計劃予以應對。”- Howard Schmidt, former White House Cybersecurity Czar, Wall Street Journal, Feb.  9,  2015.  (參見http://www.wsj.com/ articles/what-business-and-the-feds-should-do-about- cybersecurity-1423540851.)

壹個已經形成數年的商業共識是,“所有的公司都是科技公司”,因為所有的公司都在利用科技提升他們產品的效率、智能和消費者體驗,從而將自己與其他公司區別開來。必然的結果是,所有的公司都是數據公司。在壹個交易依賴數據展開、公司商業決策由數據分析驅動的時代,數據正快速地成為公司最重要的財產。幾乎所有公司都關心的壹個問題是:將更多的信息存放於數據銀行。

不幸的是,由於近期壹系列備受關註的數據安全侵犯 - Target,Sony和Anthem –已經明確聲明,數據與日俱增的價值伴隨著以同樣速度遞增的風險。正如美國FBI主管James Comey在壹個近期的采訪中評論道,“網絡犯罪正在所有的領域中發生……因為人們已經將他們的整個生活與互聯網相連接,那裏正是那些希望盜竊、襲擊孩子或進行欺詐的人欲以下手的地方。”(參見http:// www.cbsnews.com/news/fbi-director-james-comey-on-threat-of-isis-cybercrime/.) 數據安全除了是壹個技術問題之外,也變成了壹個同等復雜的法律問題,企業正面臨著聯邦法、州法和國際法關於網絡安全監管、隱私權和違法行為的復雜交錯的法律規定。在這壹快速發展的趨勢下,企業從技術和法律兩個層面仔細審查其應對侵權的防護工作勢在必行。

企業面臨日益增加的數據侵權風險  日益增加的數據安全侵權令消費者和企業遭受了巨大的威脅。2014年,波耐蒙研究所研究發現43%的美國公司在過去的壹年遭受了數據侵權,而這壹數據在2013年是33%。此外,波耐蒙發現,在最近的幾次襲擊之前,數據侵權已經讓美國公司平均遭受了590萬美元的損失,平均每份檔案導致了201美元的損失。對近期最為嚴重的幾次數據侵權的粗略研究顯示了侵權行為的行業廣度,和潛在損失的巨大範圍。

•    2月3日,Anthem,國家第二大醫療保健保險公司,宣布其遭受了壹項數據襲   擊,被泄漏的個人信息包括8000萬消費者和雇員的社會保障編號。Anthem遭受的襲擊是至今醫療保健保險領域最為嚴重的。2014年8月,Community Health Systems 公司宣布其遭受了壹項數據襲擊,450萬病人記錄被泄漏。專家預測,數據侵權平均每年將給醫療保健保險行業造成56億美元的損失。

•    近期最臭名昭著的數據侵權恐怕是2014年11月黑客盜竊並泄漏了Sony Pictures Entertainment上百萬兆字節的數據,包括令公司尷尬的文件和47,000個索尼雇員的社會保障數據。另外,據報道索尼多個服務器上的所有數據都已經被銷毀。該項攻    擊預計導致索尼遭受7000-8000萬美元的直接損失,和潛在的1億美元的商業間接損失。2月4號,Sony Pictures的聯名主席辭職,很大程度上因為此次數據襲擊。

•    2014年9月,Home Depot披露,壹項數據侵權導致其5600萬消費者借記卡和信用卡帳號遭受泄漏,並隨即宣布5400萬消費者電子郵箱地址也遭到了泄漏。在其向SEC提交的第三季度報告中,Home Depot披露道它因為這項襲擊遭受了4300萬美元的損失。

•    2014年8月, JPMorgan Chase披露道近幾個月內有黑客壹直在從其電腦網絡中竊取數據,並正使得7600萬家庭和700萬小企業的聯系方式遭到泄漏。隨後,其宣布將平均每年投入2.5億美元實施安全舉措從而保護其免受未來的黑客襲擊。

•    在近期其中壹起最大的襲擊中,2013年12月,Target披露道黑客已經竊取了近1.1億名用戶的姓名,信用卡數據,電子郵箱地址和電話號碼。緊隨著這壹公告,Target的利潤暴跌40%。2月,據報道由此次襲擊帶來的損失已經達到將近2億美元。

多個領域的企業都遭受到的襲擊–包括醫療保健,娛樂,金融和零售公司–顯示了數據安全是所有公司都面臨的重要問題,而不僅限於互聯網公司。隨著新型移動支付技術的興起和各個企業不斷將數據遷移到BYOD 和雲計算系統,數據侵權的風險預期將在2015年繼續增加,進壹步警示公司需要謹慎地對其網絡和數據安全進行審查。

公司遭受的法律風險和承擔的數據安全義務正日益加劇

目前的法律框架
遭受數據侵權的公司不僅僅在聲譽、客戶損失和技術損失上遭到損害,它們同樣承擔嚴重的法律責任。目前監管數據隱私的法律框架由州法、聯邦法和國際法交錯混合而成的龐大的拼湊物構成。集體訴訟律師和州、聯邦與全球監管者們正變得越來越嚴苛和激進。壹個公司可能會因為壹項數據侵權而發現其陷於四面楚歌的窘境之中。

在聯邦層面,聯邦交易局、證券交易局和其他監管機構已經變得非常激進。作為其保護消費者的義務的壹部分,FTC已經非常積極地調查公司的數據隱私和采集政策、施加金錢懲罰和要求公司采取受獨立監管的強化安全政策。FTC還在消費者信用歷史和金融數據遭到泄漏後基於《公平信用報告法案》和《格雷姆-裏奇-比利雷法》提起訴訟。SEC的公司金融部發布了關於網絡安全事故公共匯報要求的指引。Commissioner Luis Aguilar 已經確認SEC將會讓董事會為他們公司的網絡安全風險管理政策負責。同時,金融行業監管局和SEC合規檢查與審核辦公室已經開始審查被監管公司的數據安全防護工作,兩個機關都發布了他們的調查成果,並在2月初提供了實踐方面的建議。 

在州層面,檢察官在數據侵權調查和隱私保護執行中扮演著越來越積極的角色,伴隨著目前正在進行的關於Target,Home Depot 和JPMorgan Chase的跨越多個州的調查程序。在這些案件中,這些州並不僅僅調查對消費者數據的保護是否充分,同時,還調查在發現侵權之後,這些公司是否為給予受影響的消費者必要的通知。47個州在過去十年已經制定了某種程度上的數據侵權通知法例,每壹個都有不同的時間和門檻要求,對這些通知法例的遵守為擁有廣闊消費者基礎的公司施加了巨大的挑戰。這些問題對國際公司來說更為嚴峻,因為其他國家的通知法例–包括歐盟–甚至施加比美國法律更為嚴格的披露要求。

最後,每壹項嚴重的數據侵權都回導致洪水般的消費者集體訴訟,通常包括過失、合同、州消費者保護和聯邦隱私權請求的結合。在數據侵權被披露的數小時內,已經有多個訴訟針對Anthem 和Sony 發起,Home Depot 披露道它已經在至少44起消費者訴訟中作為被告。歷史上,很多公司曾經通過質疑訴訟資格成功地防禦消費者訴訟,通過論證沒有對實際竊取人作出準確的指控,原告無法論證單純的數據泄漏會導致集體損失。然而,最近法院已經顯示出受理這些訴訟請求的更強的意願。2014年9月,加利福利亞北區法院受理了壹起針對Adobe提起的數據侵權集體訴訟,法院認為未來的“實際和緊迫的確切威脅”已經足夠滿足第三條對訴訟資格的要求。In re Adobe Sys., Inc. Privacy Litig., No. 13- cv-051126, 2014 WL 4379916, at *6-*9 (N.D. Cal. Sept. 4, 2014).

最新立法進展.   隨著數據安全進壹步受到來自全國範圍內的關註,聯邦和州的立法人員都加快進度更新關於隱私權的法律。白宮已經把數據因素放在了極高的優先級上,並提議創設壹項統壹的規定數據侵權通知的聯邦法律,以協調各州相關法律之間的不壹致。與此同時,加州、紐約和其他州也正持續地修改和擴充它們關於通知的法律,從而覆蓋更多的主體和更多類型的數據。在金融領域,州監管人員也正在頒布他們自己的指引,紐約的金融服務局最近宣布其將開啟針對銀行和保險公司的評估和準備工作。隨著新法的起草和生效,壹個企業理解其在相關業務領域內的法律義務變得至關重要。

企業必須采取積極的措施以減少隱患和確保合規 

眾所周知,企業必須采取必要的措施確保消費者的隱私安全,並降低數據侵權的風險。然而,隨著網絡犯罪的頻率和復雜程度進壹步提高,和遵守通知要求變得更為顯著,當侵權不可避免地發生時,與解決糾紛相比,企業必須把未雨綢繆的預防工作放在同等重要的位置上。這已經從壹項明智的舉措變成了行業的正常標準。

考慮到所涉技術和法律問題的復雜性,數據侵權防護的實施可能會讓企業感到焦慮。Ponemon在2014年的調查顯示,73%的公司報道它們擁有數據侵權應對措施和相關的團隊,但只有30%的企業相信它們的措施是有效的。如下企業在評估其侵權防護措施時可以參考的指引。

開展就緒性審查.   壹個公司至少應當通過就緒性審查評估其法律合規程度和對壹項將要發生的侵權的應對能力。作為審查的壹部分,公司應當:

及時備份數據.  數據的性質決定了安保的程度和侵權發生後的法律義務,壹個企業需要清楚它擁有的數據和這些數據的存放地。簡單地說:數據越重要,需要的安保程度就越高。此外,在侵權發生時,知道什麽數據被盜取以及它在什麽地方被盜取/存放將與壹些主要的法律義務息息相關。最後,壹個企業必須擁有壹套現實可行的方法去恢復數據或將其部分系統下線並確保不會造成更多的問題。壹項使其成為可能的備份措施必不可少。

實施網絡安全評估.壹旦系統圖繪制完成,必須開展常規的“滲透測試(penetration  testing)”去識別系統的潛在弱點。這包括了讓企業的雇員參與網絡釣魚測試以保證密碼不會被不恰當地泄露。充分的教育非常必要,所有的雇員都應當認識到如何遵守安保註意事項並避免接受未被授權的訪問。

審查保單和合同.隨著侵權的高頻發生,覆蓋到數據侵權損失的保單已經出現,覆蓋範圍包括通知、公共關系和伴隨而來的法律和賠償開銷。壹些保單甚至覆蓋公司評估數據侵權防護措施所花費的成本。

監控法律進程.面對著不斷變化的法律,企業應當讓其法律顧問識別和評估對州法、聯邦法和國際法規範的合規程度。因為,甚至壹向簡單的商業決策(例如,更換物數據存放地或變更存放方式)都會在不同的領域觸發新的法律義務。法律顧問必須持續性地提供建議,確保公司被及時地告知其當下的風險和義務。

維持執法聯系.  在嚴重侵權發生時,執法的介入對於識別侵權人並將其繩之於法必不可少。企業應當與州和聯邦的相關行業領域或地理位置內的執法人員建立聯系。在侵權發生時,法律顧問應當與這些執法人員開展聯系和溝通。

準備壹個網絡事故應對計劃.  在開展就緒性審查之外,企業必須擁有壹項在侵權發生時將潛在損失最小化、及時向客戶提示風險和避免進壹步法律責任的周密的計劃。任何壹項應對措施都必須假設所有的內部系統都受到了攻擊。在制定這項計劃時,企業應當:

準備法律應對和提示策略.  企業必須擁有壹項遵守所有通知規範的法律應對和通知計劃。法律顧問應當在考慮提示義務何時何地可能會觸發的前提下深度參與計劃的起草和實施。

準備通訊策略.企業不僅僅需要壹個滿足通知要求和客戶預期與需求的外部通訊策略,企業同時還需要壹項內部的通訊策略。所有的人員都必須意識到未被保護的通訊都可能會在訴訟和調查中接受證據開示的披露。雇員或電話接聽員應當擁有壹個清晰的有關侵權的交流指引。

準備法庭和技術的應對措施.  企業應當識別在侵權發生時的所有被保存和竊取的數據。這些數據不僅僅被用於故障排除、監控和恢復,它們同時還作為壹項記錄在侵權發生後被監管者、律師和執法者所用。法庭技術人員應當作為內部IT團隊的壹部分參與到數據的采集和審查中,並專註於系統恢復。為了使工作成效和隱私保護最大化,律師應當負責聘任並指引相關的法庭技術人員。

委派應急人員.  企業必須識別在關鍵領域有豐富知識並且會負責執行應急計劃的核心雇員。法律顧問,企業高管,通訊人員,IT技術人員和人力資源代表(如果問題涉及到雇員行動或信息)都至少應該被包括在核心雇員的範圍內。

分發呼叫清單和書面應急計劃.壹旦壹項詳細的計劃準備就緒,它應當被書面描述並分發到企業所有相關的人員手中。書面的計劃應當包含壹個包括所有被委派的核心雇員的呼叫清單,以確保該計劃能夠立即實施。

網絡事故應急計劃是壹個重要事項,企業必須調查和修復任何侵權並同時保證客戶得到提示、保存證據並與可能評估公司安保政策和應急程序的權力機關開展合作。要識別和把控所有潛在的法律後果並保護律師-客戶的保密義務與相應的工作成果,讓法律顧問參與計劃的準備和實施至關重要。

昆鷹擁有壹支由具備豐富的知識、經驗和關系網絡的律師組成的團隊,它可以協助您的企業把控數據事故發生時涉及的各種復雜的難題。此外,完善的國際網絡使得昆鷹可以隨時根據指示進行響應並立即參與問題的應對,無論事故發生在什麽地方。