数据泄露事故诉讼：企业应该怎么做？

数据泄露事故是给企业带来持续影响的商业危机。当发现有数据泄露事故发生时，企业应该调查发生了什么事情、修复安全漏洞、配合执法部门工作以及遵守通知法规，认真遵循这些步骤可帮助企业减少影响。同时，面对数据泄露事故的企业还需要关注后续的诉讼。

这里的诉讼可能是政府执法部门诉讼的形式，也可能是来自雇员、消费者或第三方的私人诉讼形式。本文中我们将探讨企业可能面临的数据泄露诉讼类型、其中涉及哪些法律理论以及可采取哪些防范措施。
首先的问题是，谁起诉?
这通常是与企业签有合同以保护其个人机密信息或患者医疗信息的消费者、金融机构和第三方。我们会看到消费者起诉，而且也看到越来越多金融机构(银行和信用机构，数据泄露事故让他们不得不发行新的信用卡或者偿还消费者)提起集体诉讼来弥补其成本和业务损失。
最近的例子是Home Depot数据泄露诉讼以及美国佐治亚州北部联邦地区法院针对该公司的多区域诉讼，这里包括消费者集体诉讼和金融机构集体诉讼。
与金融机构集体诉讼相比，消费者集体诉讼案件可能处于不利地位，因为消费者可能很难证明其诉讼资格或者受到的损失。通常情况下，由于他们已经得到赔偿以及无法证明身份被盗，消费者可能无法在法庭保留其索赔权力。而金融机构则可能可以证明数据泄露之前、期间或者之后由于被告企业没有采取措施或因不合理的行为造成其经济损失。
其次，法院何时允许诉讼?
这可能取决于诉讼是在州立还是联邦法院。在联邦法院，原告必须符合诉讼资格要求。也就是说，根据联邦宪法第三条的要求，他们必须反驳被告的观点。即使他们克服这个障碍，他们还必须证明他们受到可被法庭认可的伤害。
这些可能是很困难的事情。在数据泄露集体诉讼案件中，原告是否有资格通常取决于原告是否有受到实际伤害，而不仅仅是受伤害的风险或可能性。
在2013年“克拉珀诉大赦国际”一案(Clapper v Amnesty International)中，美国最高法院认为，对于声称未来可能受到伤害的原告，要在联邦法庭获得诉讼资格，原告必须证明其声称的伤害即将到来。 这通常被成功地用来击败原告的控告，因为他们无法指出已经发生的任何特定的身份盗窃或其他伤害，只能说明发生这种伤害的可能性。
话虽如此，并非所有原告都注定会提起诉讼而无法证明实际损害。在2015年，美国第七巡回法院判决Remijas诉Neiman Marcus Group重要案件时指出，“Clapper没有排除任何未来伤害来支持联邦宪法第三条的诉讼资格要求”，以及伤害的“实质性风险”可能已经足够。
自从第七巡回法院判决以来，有些巡回法院也做出类似裁决：例如第六巡回法院在Galaria诉Nationwide Mutual Insurance Co.案件中认为原告的个人信息从后者公司计算机网络被窃取就有诉讼资格。尽管如此，第三条诉讼资格可能会特别繁琐。
那么，这样的伤害是否可以得到赔偿?虽然法律学对于外行来说可能很神秘，但我们在这里不会探讨这些学说，只是说，他们不仅要提出未来伤害的可能性，他们还必须证明他们所指称的伤害是法院可以听到的那种伤害，以及当诉讼成功时可实际补救的伤害。
这可帮助鼓励严格的数据安全管理和数据泄露通知合规性。越多的公司可保护消费者以及迅速对泄露事故作出响应，其诉讼辩护就会越强。这就是说，将对消费者的伤害降到最低既是好的企业做法也是很好的诉讼策略。