应对加州集体诉讼淘金热

基萨尔、杨与洛根律师事务所的斯泰西·加勒特阐述了未来的发展方向。

CCPA 博客文章标题

加州消费者隐私法案》(CCPA)已于 2020 年 1 月 1 日生效,该法案可谓重拳出击。

就像 1948 年被吸引到加州希望发财的探矿者一样,在 2020 年的前五个月里,律师们已经提起了至少 19 起集体诉讼,指控违反了 CCPA。

母矿

为什么这么快就有这么多集体诉讼?因为 CCPA 大幅提高了数据泄露的 潜在后果,允许加州消费者就每起事件向每位消费者寻求 100 美元至 750 美元的法定损害赔偿或实际损害赔偿,以数额较大者为准。

法定损害赔偿是一个强大的激励机制。尽管根据加利福尼亚州的数据泄露法,消费者已经有权提起诉讼,但消费者往往发现很难证明数据泄露造成的实际损失。法定损害赔偿消除了这一障碍。

.vc_do_cta3{padding-top:28px;padding-right:28px;padding-bottom:28px;padding-left:28px;margin-bottom:35px;}.vc_custom_1607563524444{padding-bottom: px !important;}.vc_custom_1607563353786{margin-bottom: 0px !important;}.vc_custom_1630020306058{margin-bottom: 0px !important;background-image: url(https://mitratech.com/wp-content/uploads/background-2.png?id=32473) !important;background-position: center !important;background-repeat: no-repeat !important;background-size: cover !important;}

满足企业需求的 TAP 工作流程自动化

为企业用户提供灵活、直观、无需代码的解决方案。

法定损害赔偿可能会迅速增加。例如,如果将 CCPA 的法定损害赔偿适用于加利福尼亚州总检察长数据泄露网站上报告的 2014 年至 2016 年的数据泄露事件,那么被告将面临总额达 375 亿美元的法定损害赔偿(按每位消费者每次违规 750 美元计算)¹。

努力发财

在 CCPA 集体诉讼中提出的索赔也是狂野西部的产物。尽管从技术上讲,CCPA 将私人诉讼限制在因企业未能实施和维护合理的安全措施而导致敏感个人信息泄露所引起的索赔上,但迄今为止提起的早期 CCPA 诉讼却超出了这一范围,反映出原告律师已准备好测试 CCPA 的限制。援引 CCPA 的消费者诉讼一般分为两类:

  • 指控数据泄露的案件(由于企业未能实施和维护合理的安全措施,导致敏感个人信息遭到未经授权的访问和外流、盗窃或泄露)。这些索赔得到了 CCPA 的明确授权。
  • 指控违反 CCPA 数据隐私相关程序的案件。在这些案件中,原告指控企业未遵守 CCPA 的程序要求(如未通知正在收集的个人信息和与之共享信息的第三方,或未给予消费者选择不出售信息的权利),并以此为依据提出索赔,指控企业违反了 CCPA 和其他法律,如加州不公平竞争法、其他消费者保护法规和普通法索赔。这类索赔一般要求实际损害赔偿和禁令救济。鉴于 CCPA 明确规定,其中的任何内容都不得被解释为根据任何其他法律提起私人诉讼的依据,因此这些类型的索赔能否经受住驳回动议的考验还有待观察。

提出要求

企业可以采取四个步骤来降低成为 CCPA 集体诉讼和法定损害赔偿目标的风险:

1.尽量减少数据。如果你不需要这些数据,也不需要保留这些数据,那就把它们处理掉。如果它不在你的系统中,就不会被攻破。(但请记住,加利福尼亚州和其他州都有数据处理法律,要求以安全的方式处理包含个人信息的记录)。

2 加密敏感数据。CCPA 的数据泄露私人诉讼权和法定损害赔偿仅适用于未加密和未编辑的敏感个人信息的泄露。

3.实施并维护合理的安全程序。CCPA 要求泄密事件的发生必须是 "由于企业违反了实施和维护合理安全程序和实践的义务"。虽然 CCPA 没有定义 "合理的安全程序",但有许多公认的安全框架。

4.解决问题。消费者权益保护法》规定,要求法定损害赔偿的原告必须提前 30 天向企业发出书面通知,指出消费者声称违反的《消费者权益保护法》的具体条款。如果企业在 30 天内纠正了违规行为,并向消费者提供了一份书面声明,说明违规行为已得到纠正,并且不会再发生违规行为,那么消费者就不能提起法定损害赔偿诉讼。当然,《消费者权益保护法》并没有界定 "纠正 "违规行为的含义。

无论 "治愈 "是什么意思,如果加州选民在 2020 年 11 月通过新的加州隐私权法--《 加州隐私权法》,"治愈 "可能会变得更加困难。CPRA 由 CCPA 的作者撰写,经常被称为 "CCPA 2.0"。但 CPRA 将使企业更难 "治愈 "数据泄露,因为 CPRA 明确规定,在数据泄露实施和维护合理的安全程序和实践并不构成对该数据泄露的治愈。如果选民批准 CPRA(早期民意调查显示支持率为 90%),CPRA 将于 2023 年 1 月 1 日生效。

只是开始

消费者集体诉讼只是 CCPA 执法框架中的第一步。此外,自 2020 年 7 月 1 日起,加州总检察长可启动执法行动,总检察长办公室已明确表示,执法程序将包括早在 2020 年 1 月发生的事件。

对于每次违反 CCPA 的行为,总检察长办公室可要求最高 2,500 美元的民事处罚;对于每次故意违反 CCPA 的行为,最高可要求 7500 美元的民事处罚。为了了解这些数字的严重性,如果对总检察长办公室 2014 - 2016 年数据泄露报告的每起事件中的每位消费者处以 7500 美元的罚款,那么总检察长办公室的执法风险总额将达到 3750 亿美元。

这将是一次狂野之旅。

¹资料来源Perkins Coie, LLP 隐私与安全部合伙人兼广告技术隐私与数据管理联合主席 Dominique Shelton Leipzig 在 "今日数据泄露 "网站上发布的 7 分钟视频中估计(2020 年 3 月 11 日)。

²Id.