[Вклад] Иск Coupang рассматривается в прецеденте Sony, «управление безопасностью данных» вынесено на рассмотрение

В 2014 году федеральный суд Южного округа Калифорнии вынес историческое в истории исков по делу об утечке данных решение по делу «Судебное разбирательство по поводу нарушения безопасности данных Sony Gaming Networks (в отношении Sony Gaming Networks)». Это связано с тем, что в то время суд четко постановил, какие судебные иски останутся в силе, а какие будут отклонены, и представил «базовый учебник» для будущих подобных исков, на который можно было бы ссылаться. Ожидается, что в рамках продолжающегося коллективного иска Coupang, Inc. на основе этого прецедента развернется более детальное и сложное судебное разбирательство.

Самое важное различие между делами Sony и Coupang заключается в рамке, которая определяет эти дела. Инцидент с Sony возник в результате взлома сети PlayStation Network (PSN) в 2011 году, в результате чего произошла утечка информации около 77 миллионов пользователей и прерывание обслуживания. В то время весь иск был сосредоточен на «утечке данных». Основная проблема заключалась в том, имело ли место внешнее вторжение и приняла ли Sony технически обоснованные меры безопасности.

С другой стороны, инцидент в Купанге, по сути, имеет в качестве основной программы «провал управления». Помимо технической халатности, связанной с неспособностью предотвратить внешние атаки, речь идет об общем провале глобальной операционной системы и структуры управления безопасностью, сосредоточенной на корпорациях США. Уровень судебных разбирательств расширился до сферы ответственности руководства, которая проверяет, кто отвечал за принятие решений по безопасности и имело ли место структурное пренебрежение.

Первым препятствием в деле об утечке личной информации в федеральном суде США является признание статуса истца в соответствии с Конституцией. В предыдущем деле Sony суд сосредоточил внимание на объективном факте нарушения личной информации и широко открыл дверь для права истца на компенсацию, но применил очень строгие стандарты на этапе определения ответственности за компенсацию. Считалось, что сам по себе абстрактный риск нестабильности из-за утечки информации не отвечает требованиям компенсации. В то время суд отклонил ряд исков, в которых не было доказуемого «реального ущерба», такого как фактическое неправомерное использование личной информации или попытка мошенничества, а также конкретные затраты и потери времени. Иными словами, ключевой вопрос прецедента Sony заключается в том, что исход дела о личной информации зависит не от того, произошел ли инцидент с утечкой информации, а от того, как структурировать и доказать причиненный ею конкретный ущерб. Таким образом, успех или провал этого иска Coupang также можно рассматривать в зависимости от того, насколько логически определены реалистичные убытки, такие как затраты на управление кражей личных данных или убытки, вызванные утечками, такие как фактические денежные потери.

Правовой подход также должен измениться. На момент вынесения решения Sony суд отклонил большое количество исков о чистой халатности (Халатность) на том основании, что «в принципе, экономический ущерб является областью договорного права». С другой стороны, многие претензии, основанные на Законе Калифорнии о защите прав потребителей (UCL, FAL, CLRA), были признаны. Это связано с тем, что Закон о защите прав потребителей фокусируется на наличии мошеннических действий со стороны компаний. Суд вынес решение на основании того, какие заявления компания сделала об уровне своей безопасности, противоречили ли эти заявления статусу безопасности или восприятию риска, признанному в компании на тот момент, и были ли в результате этого обоснованно введены в заблуждение потребители. Ожидается, что эта тенденция сохранится и в иске Coupang. Ключевой вопрос будет заключаться в том, обманула ли компания потребителей, не выполнив своих обещаний по «стандартному шифрованию» или «разумной безопасности», а не в ответственности за халатность, вероятность выигрыша которой мала. Другими словами, связь между обманом потребителей и провалом управления безопасностью можно рассматривать как ключевое звено в этом иске.

Самое главное, что стоит отметить, это качественное расширение Discovery. Если раскрытие прошлого инцидента с Sony ограничивалось подтверждением адекватности технических мер безопасности, то масштаб инцидента с Coupang следует расширить, включив в него совет директоров и руководство. Это потому, что нам нужно выйти за рамки простого «существовала ли система безопасности» и выяснить, «кто оставил уязвимую систему без присмотра и в какой организационной структуре?» Ключевым моментом в этом иске будет четкое понимание порядка подчинения руководителей, распределения бюджета на безопасность и структуры принятия решений в штаб-квартире США.

В конце концов, иск Coupang, как ожидается, не только будет следовать хрестоматийному прецеденту дела Sony, но и будет использован в качестве трамплина для развития серьезной юридической борьбы, в которой ответственность возлагается на штаб-квартиру глобальной компании. Этот иск, который требует ответственности за управление, помимо технической халатности, станет новым судебным стандартом, который переопределит сферу ответственности глобальных компаний за безопасность данных в будущем.

● Материалы сторонних авторов могут отличаться от наших редакционных указаний.

Репортер Ким Дон Сик kds77@kyeonggi.com

[Посмотреть статью полностью]
[Вклад] Иск Coupang, основанный на прецеденте Sony, «управление безопасностью данных» на скамье подсудимых (ярлык)