根據(jù)英國諾頓羅氏律師事務(wù)所對(duì)250多名法律顧問和內(nèi)部訴訟從業(yè)者進(jìn)行的年度訴訟趨勢(shì)調(diào)查，網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)將成為未來幾年新的法律糾紛的主要驅(qū)動(dòng)因素。三分之二的受訪者表示，他們?cè)?021年更容易受到此類糾紛的影響，而2020年這一比例不到一半，而同時(shí)更復(fù)雜的網(wǎng)絡(luò)攻擊、對(duì)遠(yuǎn)程環(huán)境中的員工/承包商的監(jiān)督更少，以及對(duì)客戶數(shù)據(jù)量的擔(dān)憂都被列為影響因素。

顯然，對(duì)于首席信息安全官及其企業(yè)而言，面臨的訴訟風(fēng)險(xiǎn)是非?，F(xiàn)實(shí)的，但他們最關(guān)心的問題是什么，能做些什么呢?

1.數(shù)據(jù)泄露引發(fā)訴訟

專門從事技術(shù)和合規(guī)法律事務(wù)的律師兼Cordery公司合伙人Jonathan Armstrong表示，在過去18個(gè)月到兩年中，企業(yè)因數(shù)據(jù)泄露而面臨訴訟的可能性顯著增加，尤其是當(dāng)企業(yè)被認(rèn)為沒有很好地處理數(shù)據(jù)泄露事件時(shí)。他補(bǔ)充說：“現(xiàn)在出現(xiàn)數(shù)據(jù)泄露事件的話，引發(fā)訴訟是必然的。”

eSentire公司戰(zhàn)略和企業(yè)發(fā)展副總裁Alex Jinivizian表示，雖然法律行動(dòng)的傾向由于所在的地理位置而有所不同，但網(wǎng)絡(luò)攻擊的持續(xù)規(guī)模已導(dǎo)致各國政府、行業(yè)和監(jiān)管機(jī)構(gòu)對(duì)安全性做出更明確的判斷，為采取更多法律行動(dòng)打開了大門。他說：“美國人事管理辦公室、Equifax、Marriott、Target公司的一些引人注目的數(shù)據(jù)泄露事件導(dǎo)致了針對(duì)這些公司的重大訴訟，涉及網(wǎng)絡(luò)安全標(biāo)準(zhǔn)較差導(dǎo)致的員工或客戶的機(jī)密數(shù)據(jù)丟失。”

Armstrong警告說，這對(duì)企業(yè)來說可能是相當(dāng)大的影響。他說，“目前在不同案件中尋求的損害賠償很高。例如TikTok公司在荷蘭面臨15億歐元的訴訟，其他國家也有類似的高額索賠，包括英國和德國。多年來，與數(shù)據(jù)相關(guān)的訴訟也一直是美國企業(yè)面臨的風(fēng)險(xiǎn)。”

首席信息安全官受到訴訟

網(wǎng)絡(luò)安全訴訟的風(fēng)險(xiǎn)不僅限于企業(yè)，也涉及個(gè)人。Signature Litigation公司合伙人Simon Fawell表示，如果沒有采取足夠的措施來防止數(shù)據(jù)泄露行為，或者違規(guī)的后果處理不當(dāng)，首席信息安全官本身將面臨因失職而受到法律訴訟。

Jinivizian對(duì)這一觀點(diǎn)表示認(rèn)同，他說：“首席信息安全官的角色對(duì)大中型企業(yè)來說從未像現(xiàn)在這樣重要，而且在安全事件和數(shù)據(jù)泄露事件中可能扮演著更重要的角色，在2020年毀滅性的供應(yīng)鏈攻擊之后，針對(duì)SolarWinds公司的首席信息安全官和其他高管的集體訴訟就是明證。”

Armstrong補(bǔ)充說，Uber公司的首席安全官涉嫌試圖掩蓋與2016年攻擊有關(guān)的勒索軟件的贖金，此次攻擊泄露了數(shù)百萬名用戶和司機(jī)的數(shù)據(jù)，這也證明了這一點(diǎn)。

Fawell表示，如果首席信息安全官擔(dān)任企業(yè)董事，那么他們可能會(huì)因?yàn)閿?shù)據(jù)和隱私泄露而面臨股東違規(guī)行為。他說，“在英國，股東對(duì)企業(yè)董事的訴訟一直在增加，在數(shù)據(jù)泄露導(dǎo)致股東利益受損的情況下，越來越多地考慮對(duì)企業(yè)董事提出索賠。這反映了其他司法管轄區(qū)的趨勢(shì)，例如在美國，首席信息安全官已經(jīng)成為因違反職責(zé)而備受關(guān)注的索賠對(duì)象?！?/p>

2.商業(yè)秘密丟失和聲譽(yù)受損

數(shù)據(jù)泄露或隱私訴訟的潛在后果包括巨額罰款、民事和刑事處罰、聲譽(yù)損害以及對(duì)股價(jià)的不利影響。所有這些都可以單獨(dú)或組合影響企業(yè)和首席信息安全官。Signature Litigation公司的合伙人Alasdair Marshall補(bǔ)充說，如果丟失了重要信息，損失可能會(huì)非常大。他說，“例如，如果中間人或代理人發(fā)生違規(guī)事件并丟失重要信息，可能對(duì)另一家公司的聲譽(yù)造成嚴(yán)重?fù)p害的商業(yè)機(jī)密或信息，這可能會(huì)導(dǎo)致重大訴訟。近年來，‘巴拿馬文件’和瑞士信貸事件凸顯了越來越多的個(gè)人尋求獲取敏感信息并將其發(fā)布到市場上?！?/p>

Marshall說，“此外，為訴訟辯護(hù)可能既昂貴又耗時(shí)。雖然英國的制度允許勝訴方從敗訴方那里收回訴訟費(fèi)用，但很少會(huì)全額收回用于法律費(fèi)用和輔助費(fèi)用的金額。訴訟還需要首席信息安全官和董事會(huì)層面的高度關(guān)注，這將更有成效地專注于發(fā)展和保護(hù)未來的業(yè)務(wù)。”

ForgeRock公司首席信息安全官Russ Kirby表示，訴訟也可能對(duì)網(wǎng)絡(luò)保險(xiǎn)事項(xiàng)產(chǎn)生直接影響，影響保險(xiǎn)、續(xù)約和新業(yè)務(wù)等事項(xiàng)。而不會(huì)受到訴訟影響的公司和首席信息安全官通常將客戶放在首位，他們致力保持透明，盡一切努力幫助客戶將影響降至最低，并分享他們計(jì)劃采取的步驟以確保不會(huì)再次發(fā)生這種情況。

3.法規(guī)和要求

專家一致認(rèn)為，地理因素對(duì)于首席信息安全官及其企業(yè)面臨的訴訟風(fēng)險(xiǎn)尤為重要。例如，英國最高法院在Lloyd訴谷歌案中做出裁決，終止了現(xiàn)有程序框架下的“選擇退出”集體訴訟，并強(qiáng)調(diào)了根據(jù)英國法律提起大規(guī)模數(shù)據(jù)索賠的困難，之后，大規(guī)模違規(guī)群體訴訟的威脅在英國有所減少。他補(bǔ)充說：“雖然這項(xiàng)裁決沒有完全阻止在數(shù)據(jù)隱私案件中提起集體訴訟的可能性，而且英國法院仍有許多不同的訴訟可能會(huì)取得成功，但這對(duì)索賠者來說是一個(gè)相當(dāng)大的挫折?！?/p>

話雖如此，受數(shù)據(jù)泄露影響的個(gè)人獲得賠償?shù)膲毫υ絹碓酱?，在相?duì)不久的將來看到針對(duì)數(shù)據(jù)隱私案件引入某種形式的選擇退出集體訴訟制度也就不足為奇了。Fawell說，“英國已經(jīng)針對(duì)競爭主張引入了退出機(jī)制，數(shù)據(jù)隱私將是類似方法的下一個(gè)合乎邏輯的領(lǐng)域。”他指出，盡管目前英國大規(guī)模集體訴訟的威脅已經(jīng)減弱，但個(gè)人訴訟的威脅仍然非常明顯，尤其是在高價(jià)值的數(shù)據(jù)可能受到損害的情況下。他說，“GDPR法規(guī)和英國相關(guān)的立法提高了人們對(duì)數(shù)據(jù)隱私問題的認(rèn)識(shí)，并更加關(guān)注商業(yè)交易中的合同條款?！?/p>

咨詢機(jī)構(gòu)Guidehouse公司的訴訟支持服務(wù)負(fù)責(zé)人、前首席信息安全官Jack O'Meara說，“就美國而言，這些事情可能會(huì)變得更加復(fù)雜。例如，在美國國防工業(yè)基地承包商工作的首席信息安全官需要遵守美國國防采購條例(DFARS)252.204-7012保護(hù)涵蓋的國防信息和網(wǎng)絡(luò)事件報(bào)告，而在紐約金融機(jī)構(gòu)工作的首席信息安全官需要遵守紐約州金融服務(wù)部23NYCRR500對(duì)金融服務(wù)公司的網(wǎng)絡(luò)安全要求?！?/p>

與此同時(shí)，一名法官最近批準(zhǔn)了由Kemper保險(xiǎn)公司的原告提起的1760萬美元的集體和解，該原告指控其違反了加州的《消費(fèi)者隱私法》，而美國證券交易委員會(huì)(SEC)已經(jīng)針對(duì)上市公司提出了新的強(qiáng)制性網(wǎng)絡(luò)安全披露規(guī)則，以及為私募股權(quán)和投資公司提供書面網(wǎng)絡(luò)政策和程序、增強(qiáng)的報(bào)告和記錄管理。

O'Meara補(bǔ)充說，最終，美國首席信息安全官需要了解其企業(yè)合同中包含的特定網(wǎng)絡(luò)安全要求，還需要了解適用于其行業(yè)和地理區(qū)域的法規(guī)和要求。

4.降低訴訟風(fēng)險(xiǎn)

Kirby表示，為了減輕和降低訴訟風(fēng)險(xiǎn)，首席信息安全官必須首先檢查他們的安全計(jì)劃在嚴(yán)格審查下是否“可防御”，是否能夠改變和適應(yīng)新的威脅。他說，“例如，如果它無法解決有關(guān)其協(xié)議是否符合當(dāng)?shù)胤珊托袠I(yè)標(biāo)準(zhǔn)的問題，那么需要迅速采取行動(dòng)解決這些問題?！?/p>

Fawell列舉了以下五個(gè)問題，這些問題有助于從訴訟的角度衡量違規(guī)響應(yīng)計(jì)劃的有效性：

(1)誰是需要聯(lián)系的主要服務(wù)提供商?

(2)內(nèi)部溝通渠道是什么?誰要求指導(dǎo)律師和其他主要顧問?是首席信息安全官還是需要其他高管批準(zhǔn)?

(3)如果系統(tǒng)宕機(jī)，處理漏洞的關(guān)鍵人員如何安全溝通?

(4)哪種類型的違規(guī)行為最有可能對(duì)企業(yè)造成影響?誰是最有可能受到影響的交易對(duì)手?

(5)與交易對(duì)手的合同中的數(shù)據(jù)隱私條款有什么要求?這些合同中是否有通知要求?

Fawell補(bǔ)充說，“計(jì)劃的范圍至少可以從確保上述問題和其他問題的答案得到考慮，并且處理違規(guī)行為的關(guān)鍵人員要知道答案，到完全模擬違規(guī)行為到壓力測試過程?！?/p>

O'Meara表示，首席信息安全官應(yīng)該能夠在需要時(shí)提供文件化的政策和程序，包括合規(guī)性文件、安全配置設(shè)置的屏幕截圖、防火墻日志、訪問審計(jì)日志、用戶計(jì)算機(jī)系統(tǒng)和應(yīng)用程序訪問請(qǐng)求表，以及員工安全培訓(xùn)記錄。

Armstrong建議首席信息安全官與習(xí)慣于在事件發(fā)生之前處理此類風(fēng)險(xiǎn)和訴訟的律師進(jìn)行接觸。他說，“當(dāng)確實(shí)發(fā)生了攻擊事件時(shí)，重要的是不要試圖把它當(dāng)作一個(gè)孤立的事件來處理?！?/p>

同樣，O'Meara建議美國的企業(yè)與內(nèi)部法律顧問合作，以了解訴訟風(fēng)險(xiǎn)以及相關(guān)的影響和后果。

Fawell指出，首席信息安全官熟悉企業(yè)網(wǎng)絡(luò)保險(xiǎn)政策的條款也很重要，主要是涵蓋/不涵蓋哪些內(nèi)容以及發(fā)生違規(guī)時(shí)的通知要求。他說，“保險(xiǎn)公司通常應(yīng)該是最早的聯(lián)系渠道之一。不僅確保承保范圍很重要，保險(xiǎn)公司通常也是有關(guān)如何處理某些方面違約的信息和建議的良好來源?！?/p>

此外，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者必須知道在違規(guī)后立即記錄哪些信息。他說，“重要的是要對(duì)所做出的決定及其原因保持清晰的審計(jì)跟蹤。然而，在處理立即具有挑戰(zhàn)性的情況時(shí)，以書面形式記錄判斷錯(cuò)誤的評(píng)論(通常來自高級(jí)人員)并不少見，這在以后的法律訴訟中可能沒有幫助。尤其重要的是，每個(gè)人都要了解哪些可能在相關(guān)司法管轄區(qū)受到法律特權(quán)的保護(hù)，以及哪些不會(huì)。”

Armstrong已經(jīng)看到了這種情況。他說，“特權(quán)至關(guān)重要。在通常情況下，訴訟當(dāng)事人很早就要求查看內(nèi)部備忘錄、通訊和報(bào)告。如果沒有正確設(shè)置特權(quán)，可能不得不披露所有材料。”

Fawell建議，在可能的情況下，明智的做法是在關(guān)鍵人員之間召開會(huì)議，以建立清晰的溝通渠道，并確保審計(jì)追蹤準(zhǔn)確而清晰地詳細(xì)說明響應(yīng)過程。