2017年数据泄露诉讼报告：数据泄露后，公司很少面临用户诉讼

2016年是数据泄露事件继续占据新闻头条的一年，这不断提醒人们，他们的个人信息是脆弱的，是犯罪攻击的目标。然而，尽管数据泄露似乎并不会很快消失，但公司在数据泄漏后面临的诉讼风险仍然相对较低。原因很可能是，原告因遭遇数据泄漏而提起诉讼存在困难。

尽管如此，恐惧是一种强大的营销策略，我们持续看到向公众传播关于在数据泄露之后被起诉的可能性的错误信息。这并不是说，企业不应该继续投入大量资源为数据泄露、信息安全和应对泄露做准备。但我们坚信，资源分配与风险危害成正比，而且除了涉及大量高度敏感信息的公共漏洞外，一般不会提起诉讼。

Bryan Cave LLP五年前开始对数据泄露类诉讼进行调查，以弥补信息鸿沟，并为我们的客户以及更广泛的法律、司法、保险和安全团体，提供与数据泄露诉讼风险相关的准确可靠的信息。我们的年度调查报告是数据泄露类集体诉讼方面的权威报告，并在整个数据安全社群中被广泛引用。

我们2017年的报告涵盖了从2016年1月1日到2016年12月31日期间的联邦集体诉讼。我们的主要结论是：

• 诉讼请求小幅上升。在此期间提出了76项集体诉讼。相比2016年的报告，这类案件的数量增长了7%。

• 继续“避雷针”效应。与往年一样，许多此类诉讼围绕着备受瞩目的数据泄露事件。这表明，在先前报告中提到的“避雷针”效应继续存在。先前报告指出，原告的律师一般会向那些发生最大和最广为人知的数据泄露事件的公司提起诉讼，而通常绕开绝大多数发生数据泄露的其他公司。

• 诉讼比例略有下降。大约有3.3%公开报道的数据泄露事件导致集体诉讼。与前几年公开报道的泄露事件中，集体诉讼的比例相对稳定地保持在其中的4%或5%不同，2016年的诉讼数量相对于数据泄露事件量略有下降。

• 诉讼管辖法院围绕被告所在地进行。加利福尼亚北部地区，佛罗里达中部地区，以及亚利桑那地区是2016年最受欢迎的提起诉讼的辖区。然而，法院的选择仍然主要是由那些遭遇数据泄露的受害公司所在的州来推动的。

• 医疗行业不成比例地成为原告律师的目标，但比例可能仍然是偏低的。 和前一年一样，医疗行业成为原告律师的主要目标。尽管70%公开的数据泄露事件与医疗行业相关，但是只有34%的数据泄露集体诉讼针对医疗行业或医疗保险提供者。

• 信用卡泄露诉讼的比例是稳定的。与2016年的报告相比，涉及信用卡泄露的集体诉讼比例保持相对稳定，信用卡和借记卡的数据泄露占2016年数据泄露集体诉讼的21%，略低于先前报告期间的23%。这可能反映出，过去几年里缺乏备受瞩目的信用卡泄露事件，原告律师在这些泄露事件后证明经济损害存在困难，以及先前法院对与信用卡有关的诉讼中判决和处理相对较少。

• 原告继续尝试提出法律理由。原告的律师继续提出许多法律理由。在此期间，原告共提出了21种法律理由。

• 过失已成为明显的偏好理由。尽管过失行为是2016年（和2015年）报告中最受欢迎的法律理由，但它已经从案例中的75%增加到所有案例中的95%。

• 原告关注的是信息的敏感性。在这一时期，原告的律师主要关注涉及社会保险号、医疗信息、医疗保险信息和安全问答等信息的泄露，其中2016年有89%的案例涉及敏感数据的泄露。