為何企業不需為資料外洩負責

(SeaPRwire) –   奧克拉荷馬州居民羅納德·艾倫是數十名受害者之一，他們表示，2022年韓國電子公司三星的客戶數據（例如姓名、電子郵件地址和出生日期）被盜後，他們的生活變得更加艱難。

艾倫在收到數據洩露通知後表示，有人企圖以他的名義開戶。一家銀行通知他，他的信用卡信息已在暗網上被發現，暗網是網絡犯罪分子經常買賣個人信息的網絡部分。艾倫說，從那以後，他花了許多時間打電話取消賬戶、爭議費用和更改密碼。他表示，他每周都會花一部分時間檢查他的金融賬戶，以防出現未經授權的活動。

該訴訟聲稱，一系列數據洩露事件表明安全措施鬆懈。但是，追究三星責任的努力卻未能成功。新澤西州地方法院法官克里斯汀·奧赫恩在1月3日的一份裁決中寫道，客戶沒有證明他們是因數據洩露而遭受損害的。奧赫恩認為，人們的信息總是會被盜，無法知道艾倫或其他人的身份是否因數據洩露而受到損害。

三星在法律文件中辯稱，由於社會安全號碼和信用卡號碼等信息在洩露事件中未被盜竊，並且無法得知數據洩露信息是否被用於惡意目的，因此原告沒有理由提起訴訟。「如果原告未能『充分指控』因數據洩露而產生的損害，法院必須駁回數據洩露集體訴訟，」該公司的律師在一項駁回動議中寫道。

隨著人們和公司在網上存儲更多信息，像三星數據洩露這樣的事件變得越來越普遍。根據身份盜竊資源中心 (ITRC) 的一份報告，2024年發生了3158起數據洩露事件，比2021年增加了70%，導致近17億份通知發送給可能受影響的個人。

根據ITRC的數據，2024年發生了六起大型數據洩露事件，受影響的受害者至少有1億人。ITRC表示，如果這些組織使用了多因素身份驗證（一種要求用戶提供多於一種身份驗證方式才能訪問帳戶的安全方法），其中四起洩露事件是可以避免的。參與大型數據洩露事件的公司之一，Optum (聯合健康公司子公司)，在2024年5月的一次國會聽證會上承認了這一點。

每一次數據洩露都會增加其他洩露事件發生的可能性。當黑客竊取個人信息時，他們可以使用這些信息入侵其他公司的系統並發起更多數據洩露事件。這可能是數據洩露事件數量激增的一個可能原因。但許多受損公司卻能逃過懲罰，即使有懲罰也只是輕微的。

儘管上市公司和其他受聯邦政府監管的公司面臨數據洩露的處罰，但根據ITRC的數據，只有約7%的數據洩露事件來自上市公司。沒有任何全國性法律規定其他組織在數據被洩露後應採取的措施。「我們沒有真正的隱私法，也沒有任何統一的最低標準，」ITRC總裁詹姆斯·李說。

當一家公司發現其客戶的數據遭到洩露時，甚至可能不必通知他們這個問題。州法律決定一家公司在未經授權的方訪問其信息時需要做什麼。李說，在大多數州，受損公司可以自行決定是否有損害個人的風險。如果它判斷沒有風險，則不必發出通知。即使他們發出通知，在許多州，公司也會決定通知的內容。它可以拒絕告知客戶信息是如何被洩露的，或者哪些個人信息被盜竊。

當然，向客戶發送通知對他們幫助不大。他們可以凍結他們的信用卡或密切監控他們的賬戶，但他們不會因為信息被洩露而獲得時間補償或退款。為此，他們必須提起訴訟，或者讓其他人代表他們提起訴訟。但李說，在數據洩露後成功起訴公司以獲得經濟補償非常困難。由於攻擊方式如此多樣，幾乎不可能知道哪一次攻擊導致了客戶的問題。

因此，很少有公司能因數據洩露而承擔經濟責任。佛羅里達州甚至通過了一項法律，規定如果公司證明已實施某些安全程序，則不得因數據洩露而被起訴。

然而，安全專家表示，公司可以做一些簡單的事情來保護信息，而許多公司卻沒有這樣做。這些步驟包括使用多因素身份驗證，確保員工經常更改密碼，以及確保與他們合作的供應商和其他公司也採取了適當的措施。

「這是一個循環，之前的洩露事件會導致未來的洩露事件，」安達保險公司網絡解決方案威脅情報團隊的負責人艾倫·庫克斯特拉說。「但我們沒有看到公司採取必要的措施來避免這可能成為他們未來的問題。」

ITRC的李正在期待一項全國性的隱私法，該法將設定公司需要具備的網絡安全防護措施的最低標準，以及在數據被洩露後必須採取的措施。由於黑客不斷變得更聰明，公司需要不斷更改其安全程序以確保信息安全，因此很難制定這些標準。但李說，即使說公司必須採取措施保護客戶的信息，也是朝著正確方向邁出的一大步。