CareFirst 数据泄露诉讼不合并为集体诉讼

关键要点

针对保险巨头 CareFirst的三起持续数据泄露诉讼未能合并为集体诉讼。华盛顿特区巡回法院法官拒绝了将案件合并的请求，认为这将“非法地将”那些未遭受实际伤害的个体纳入诉讼。

地方法院于3月28日的裁定重申了经常被忽视的2021年6月最高法院在 TransUnion LLC 诉 Ramirez案中的裁决，指出只有那些“确实受到伤害”的个体才有资格对实体寻求损害赔偿。

尽管遵循最高法院的裁决，过去一年医疗数据泄露诉讼有所上升，其中许多案件并未提供遭受伤害的个体证据。

根据本周的备忘录，自2015年6月以来起诉 CareFirst的个体“在此时并未主张”…“记录也未表明”在2015年5月报告的安全事件中，威胁行为者是否访问了任何敏感患者数据。

当前的诉讼源于2014年4月对 CareFirst内部数据系统的攻击，入侵是由于一场基于电子邮件的定向钓鱼活动，该活动旨在在网络中安装后门。一名员工上当受骗，导致攻击者获得系统访问权限。当时，110万患者收到了潜在数据影响的通知。

值得注意的是，此事件发生的时间比医疗数据泄露成为常态早整整两年，增加了该行业的整体网络安全意识。

这些诉讼指控“CareFirst造成了一系列错误，使黑客得以访问公司的数据并长时间未被发现，包括未对某些公司账户进行密码重置、未禁用地方管理员账户、未执行密码重置、未安装双重身份验证”等其他失误。

由于这些失误，攻击者可能已经获取了订阅者ID号码、出生日期、电子邮件地址和 CareFirst 在线会员门户的用户名。CareFirst为所有受影响的个体提供了两年免费的信用监测和身份盗窃保护。

随之而来的诉讼逐渐增加，并进行了修订，加入了关于 CareFirst如何处理事件的诉因，以及违反合同和马里兰州与弗吉尼亚州消费者保护法的指控。许多指控围绕身份盗窃的潜在风险以及复原需求进行。

由于假设性风险，2016年法院支持 CareFirst 的动议，裁定驳回诉讼，理由是被破坏的受害者“仅提出了来自泄露的身份盗窃的虚构风险。”

“在复发阶段，CareFirst提出了再次驳回诉讼的动议，因未能根据联邦民事诉讼规则提出有效索赔。”法院同意了这一请求，因为个体“未能指控因其违反合同和消费者保护索赔所需的实际损害。”

案件对除两名具名原告 Kurt 和 Connie Tringler 之外的所有人都有驳回，他们提供了伤害的证据。

本周的裁决重申了证明具体伤害的必要性，具体描述为“声称的伤害”必须与美国法院传统上认定的诉讼基础的伤害“具有紧密关系”。因此，任何原告均必须识别出“他们声称的伤害有紧密的历史或普通法类比。”

正如最高法院在2021年的裁决中所发现的，只有那些“伤害与‘名誉损害’相关的侵权行为相似”的集体成员构成具体伤害。尽管“暴露于未来伤害风险的人可以寻求前瞻性禁令救济以防