前情回顾·网络安全事故和解赔偿
安全内参10月27日消息,美国康涅狄格州最大的医疗机构耶鲁纽黑文健康系统(Yale New Haven Health System)已同意支付1800万美元(约合人民币1.28亿元),以和解一宗与今年3月黑客事件相关的拟议集体诉讼。该事件影响了近560万人。截至目前,这是2025年向美国联邦监管机构报告的最大医疗数据泄露事件。
10月21日,联邦法院对这项和解协议给予了初步批准,最终批准听证会定于2026年3月3日举行。
耶鲁纽黑文健康系统拥有超过1.2万名员工及4500名大学和社区医生,涵盖100个医疗专科,在康涅狄格州各地提供医疗服务。其旗舰医院耶鲁纽黑文医院,是耶鲁大学医学院的教学医院。
超555万名患者个人信息泄露
此次合并后的拟议集体诉讼和解进展相对迅速。耶鲁纽黑文健康系统于3月11日公开披露事件,仅约7个月后便达成了和解协议。该机构当时表示,其于3月8日发现IT系统出现“异常活动”,随后确认有“未经授权的第三方”访问了其网络。
到4月11日,耶鲁纽黑文健康系统已向美国卫生与公众服务部报告了一起涉及被黑客入侵的网络服务器的泄露事件,违反了《健康保险可移植性和责任法案》(HIPAA),受影响人数超过555万人。
在泄露通知中,该机构指出,黑客并未访问其Epic电子病历系统或治疗信息,也未涉及任何金融账户或支付数据。
耶鲁纽黑文健康系统表示,被攻击者访问或窃取的信息因患者而异,但可能包括人口统计信息,如姓名、出生日期、地址、电话号码、电子邮箱、种族或民族、社会安全号码、患者类型及病历号等。
诉讼和解详情
黑客事件发生后数周内,多起诉讼相继被提起。原告方随后于6月提交了一份合并的集体诉讼,指控耶鲁纽黑文健康系统存在过失、违反默示合同、不当得利等多项行为。
根据和解条款,耶鲁纽黑文健康系统同意设立一笔总额为1800万美元的不可回收现金和解基金。集体成员可申请最高5000美元的赔偿,以补偿因数据安全事件造成的可证明损失;或选择约100美元的替代现金赔偿。
此外,集体成员还可申请为期两年的医疗数据监测服务。
集体代表将各获得2500美元的服务奖励。原告律师团请求获得和解基金三分之一的律师费,即600万美元,并另行报销相关费用。
同时,法院文件显示,耶鲁纽黑文健康系统还同意另行出资,实施“有意义的数据安全措施”,以更好地保护个人隐私信息,防范未来的数据安全事件。
监管律师、Hales律师事务所(未参与本案)的Paul Hales表示:“集体诉讼的原告通常能较快达成和解,因为像耶鲁纽黑文健康系统这样声誉卓著的被告,往往希望尽快止住声誉上的流血。”
他补充说:“被告方也希望限制经济损失。在此案中,耶鲁纽黑文健康系统的损失被限制在1800万美元,其中三分之一归原告律师所有。受害者获得100美元替代赔偿的前景,只是‘按比例分配’的虚幻承诺。”
“在扣除律师费和费用后,分配给555万名受影响个人的金额不足1200万美元。按比例计算,每人实际可获得的金额略高于2美元。”
参考资料:https://www.govinfosecurity.com/yale-new-haven-health-will-pay-18m-to-settle-hack-lawsuit-a-29827
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
