【投稿】Coupang诉讼见索尼先例，“数据安全治理”待判决

2014年，加州南区联邦法院在“索尼游戏网络数据安全违规诉讼（In re Sony Gaming Networks）”中做出了数据泄露诉讼史上历史性的裁决。这是因为，当时的法院明确裁定了哪些法律主张能够成立，哪些法律主张应当被驳回，并为今后类似诉讼提供了可供参考的“基本教科书”。在正在进行的 Coupang, Inc. 集体诉讼中，预计将基于此先例展开更详细、更复杂的法律斗争。

索尼案和 Coupang 案之间最关键的区别在于定义案件的框架。索尼事件源于2011年PlayStation Network（PSN）遭到黑客攻击，导致约7700万用户信息泄露、服务中断。当时，诉讼的焦点全部集中在“数据泄露”上。主要担心的是本身是否存在外部入侵以及索尼是否实施了技术上合理的安全措施。

另一方面，库庞事件实质上以“治理失败”为核心议程。除了未能防范外部攻击的技术疏忽之外，还涉及到以美国企业为中心的全球操作系统和安全管理架构的整体失败。诉讼层面已扩展到管理责任领域，该领域审查谁负责做出安全决策以及是否存在结构性疏忽。

美国联邦法院处理个人信息泄露案件的首要障碍是原告的地位是否得到宪法承认。在此前的索尼案中，法院着眼于个人信息被侵犯的客观事实，广泛地为原告资格敞开了大门，但在确定赔偿责任阶段却采用了非常严格的标准。认为仅因信息泄露造成不稳定的抽象风险不符合赔偿要求。当时，法院驳回了一些缺乏可证明的“现实损害”的索赔，例如实际滥用个人信息或企图欺诈，以及具体的成本支出和时间损失。换句话说，索尼先例给出的关键问题是，个人信息案件的结果不取决于是否发生泄露事件，而是取决于如何构造和证明该事件造成的具体损害。因此，这起Coupang诉讼的成败也可以被视为取决于如何从逻辑上指定现实损害，例如身份盗窃管理成本或泄密造成的损害，例如实际金钱损失。

法律方法也需要改变。在索尼判决时，法院驳回了大量纯粹过失（Negligence）索赔，理由是“原则上，经济损失属于合同法的范畴”。另一方面，许多基于《加州消费者保护法》（UCL、FAL、CLRA）的索赔得到了承认。这是因为《消费者保护法》重点关注公司是否存在欺骗行为。法院的判决依据是该公司对其安全级别做出了哪些陈述，这些陈述是否与该公司当时认定的安全状况或风险认知相冲突，以及消费者是否因此受到合理误导。预计这一趋势在 Coupang 诉讼中也将继续有效。关键问题将是该公司是否因未能遵守“行业标准加密”或“合理安全”的承诺而欺骗消费者，而不是因疏忽而承担责任，而后者获胜的可能性很低。换句话说，将消费者欺骗与安全治理失败联系起来，可以被视为这起诉讼的关键环节。

最值得注意的是Discovery的质的扩张。如果说过去索尼事件的发现仅限于确认技术安全措施的充分性，那么Coupang事件的范围应该扩大到包括董事会和管理层。这是因为我们需要超越简单的“安全系统是否到位”，并调查“谁让易受攻击的系统无人看管，在什么组织结构下？”密切了解美国总部的执行报告关系、安全预算分配和决策结构将是这起诉讼的关键。

最终，Coupang诉讼预计不仅会遵循索尼案的教科书先例，还将以此为垫脚石，发展成为一场高级法律斗争，追究一家跨国公司总部的责任。这起诉讼寻求超越技术过失的治理责任，将成为新的司法标准，将重新定义未来全球企业的数据安全责任范围。

● 外部作者的贡献可能与我们的编辑方向不同。

记者 金东植 kds77@kyunggi.com

[查看全文]
[投稿]基于索尼先例的Coupang诉讼，法官席上的“数据安全治理”（快捷方式）