逾百万患者病历数据泄露，医疗软件供应商赔偿超1.37亿元

前情回顾·网络安全事故和解赔偿

• 医疗数据泄露屡现天价赔偿！一大型医院泄露患者隐私赔偿1.28亿元

• 违规传输用户隐私数据，这家地方医院赔偿超1.2亿元

• 违规共享用户隐私数据，这家知名地方医院赔偿超3700万元

• 泄露上百万患者健康信息，美国医药巨头赔偿2.87亿元

安全内参11月3日消息，美国电子健康记录及诊所管理软件供应商NextGen Healthcare近日提出高达1937.5万美元（约合人民币1.37亿元）的和解方案，以解决一宗合并集体诉讼。此前该公司在2023年遭遇勒索软件攻击，影响逾100万人，引发了多起集体诉讼。

NextGen同意支付超1.37亿元以和解

这起攻击事件于2023年4月28日被发现，首份起诉书于2023年5月5日在美国佐治亚州北区联邦地区法院亚特兰大分院提交。此后，又有十余起类似诉讼相继提起，并最终在同一法院合并为一宗集体诉讼。

合并后的诉讼指控NextGen存在过失及推定过失，未能采取适当防护措施以保护敏感患者信息；侵犯隐私/非法侵入私人领域；违反默示合同；违反寄托义务；违反信托义务；不当得利；以及未按规定进行泄露通报，违反美国联邦及州法律，例如《佐治亚州法典汇编》（O.C.G.A）。

NextGen Healthcare否认诉讼中的所有指控与主张，坚持认为其并无任何不当行为或法律责任。NextGen曾提出驳回诉讼的动议，但法院允许案件继续审理（如下所述）。在2025年6月25日及8月6日的调解会议后，各方考虑到若继续诉讼将耗费大量时间与成本，且存在相应风险，最终决定达成和解。

根据和解条款，NextGen Healthcare同意设立一个金额为1937.5万美元的和解基金，用于支付律师费用及开支、通知成本、和解管理费用、服务奖励，以及向集体成员提供的赔偿。集体成员可就因数据泄露造成的、有凭证且尚未获得赔偿的损失提出索赔，每位成员最高可获赔7500美元；另可就事件所耗费的时间索赔，最高250美元（按每小时25美元、最多10小时计算）。此外，成员也可选择领取现金补偿，预计为50美元，具体金额将按比例调整。若在数据泄露发生时居住于加利福尼亚州，成员可选择领取150美元的替代现金补偿。

除上述赔偿外，集体成员还可申请为期三年的信用监控及身份盗窃防护服务。如和解基金有剩余资金，将用于延长身份与信用监控服务，或依据“力求近似”原则（cy pres）分配给非营利性网络安全机构。该和解协议目前正等待法院批准。

NextGen集体诉讼案细节

据悉，黑客在2023年3月29日至4月14日期间入侵NextGen的计算机系统，并从NextGen Office系统中外传了大量敏感数据。该数据泄露事件于2023年5月5日报告给缅因州司法部长，涉及1049375名个人。这是NextGen在短短数月内遭遇的第二起勒索软件攻击，前一次为当年1月的Blackcat勒索软件事件。

多次遭受勒索攻击的情况并不罕见。网络安全公司Semperis的一份最新报告指出，约四分之三的企业在经历一次勒索攻击后会再次成为攻击目标。攻击者通常会在首次攻击中植入恶意软件，使其能在数周或数月后再次发动攻击。

数据泄露事件发生后，NextGen遭遇十余起诉讼。原告请求获得补偿性、法定及惩罚性损害赔偿、额外的信用监控服务，以及禁止性救济，要求NextGen实施进一步的安全措施，以确保所存数据的隐私与安全。上述诉讼最终合并为一案，即“Damon X. Miller诉NextGen Healthcare Inc.”，并在美国佐治亚州北区联邦地区法院审理。

合并诉讼指控称，若NextGen实施合理且适当的安全措施，本可完全防止此次数据泄露，但其未能做到这一点，尽管公司在2023年1月已遭遇过一次勒索攻击。合并诉讼共提出25项主张，包括过失、不当得利、非法侵入私人领域、违反默示合同、违反寄托义务、违反信托义务，以及违反加利福尼亚、佐治亚、伊利诺伊等多个州的相关法律。

NextGen试图以“未能充分陈述诉由”为由，要求驳回其中22项主张。美国地方法官Thomas Thrash驳回了大部分诉讼主张，但对5项主张的驳回请求予以否决，使原告得以继续诉讼。这些主张包括：违反信托义务、诉讼费用、违反《佐治亚州统一欺骗性贸易行为法案》（GUDTPA）、违反《加利福尼亚州消费者隐私法案》（CCPA），以及关于违反《加利福尼亚州不正当竞争法》（UCL）的主张。针对后一项主张，在涉及一名原告及其所属拟议子集的部分，法院同样否决了NextGen的驳回请求。

NextGen辩称，作为医疗机构的服务提供商，其对原告不负有信托义务，因为双方并无直接关系，且仅接收与存储机密数据并不会自动构成信托关系。然而，Thrash法官不同意这一观点，认为在某些情况下，患者在寻求医疗服务时所提供的私人信息若被保存，根据佐治亚州法律可构成信托义务。Thrash法官在裁决中指出，本案是否符合该标准尚无法在驳回动议阶段确定。

Thrash法官进一步裁定，原告就恶意行为产生的诉讼费用提出的主张具有合理性；并指出，NextGen针对GUDTPA主张的抗辩依赖于对一份“未被采纳的报告与建议”的牵强解读，因此驳回了该驳回动议。关于CCPA的主张同样获准继续，尽管NextGen辩称自己是CCPA定义下的“服务提供者”，但原告提出了相反主张，Thrash法官在此阶段接受了这些指控为真。至于UCL主张，法院认为，被告收取费用以安全保存数据却未采取合理安全措施的行为，足以构成请求返还救济的依据，因此同样驳回了NextGen的驳回动议。

参考资料：https://www.hipaajournal.com/nextgen-class-action-data-breach-lawsuit-proceeds/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。