当消费者安全意识觉醒：网安领域将面临全新考验

研究人员估算，捷豹路虎遭遇的网络安全事件造成的损失约达19亿英镑。这也使其成为英国有记录以来损失最为惨重的网络攻击事件。然而，相较于未来可能发生的网络入侵，此次的损失规模或许不值一提。

英国各地的广播电台和社交媒体广告中，都在号召消费者“加入索赔行列”。索赔的对象包括玛莎百货、合作社集团、捷豹路虎等多家发生过重大数据泄露事件的机构。

这些并非监管机构的公告，也不是面向股东的最新通报，而是以消费者为目标的行动倡议。其目的在于将数据泄露事件转化为集体性的法律维权行动。

我们都曾接触过这类令人厌烦的广告、邮件和短信。它们往往宣称，只要你在过去五年内遭遇过车祸、受过人身伤害或办理过汽车贷款，就能获得高额赔偿。如今，律师事务所将目光投向了那些受重大数据泄露事件波及的消费者群体。

那句古老的法谚——“有错必有赔”——再次焕发生机。由消费者发起的集体诉讼，带来了一种截然不同的风险形式。这种风险的走向往往受到公众情绪和媒体关注度的左右。

网络风险模式发生的新变化

如今，遭遇数据泄露的企业很可能陷入进退两难的境地。若企业未能及时上报数据泄露事件，最高将面临2000万欧元的罚款，罚款金额也可能是其全球年营业额的4%，两者取其高。

但如果企业主动披露数据泄露的事实，反而可能扩大自身的法律风险敞口，而非降低风险。

借助资格核验工具、定向广告投放以及“不成功不收费”的承诺，理赔管理公司和律师事务所能在短短数天内，迅速集结起数万名索赔者。

整个线上流程十分简便：消费者只需回答几个问题，并同意共享个人数据，就能加入由合作律所预先审核筛选的集体诉讼。对消费者而言，这个过程更像是注册一项线上服务，而非启动一场法律诉讼。

接到数据泄露通知后，加入索赔大军或许会成为消费者的本能反应，而非经过深思熟虑的理性抉择。对企业来说，这无疑加重了压力。

因为在舆论情绪的推动下，数据泄露事件沦为诉讼律所的营销契机，而非基于确凿证据的追责行为。

法院很快将面临一项新挑战，即如何判定个人数据失控所应对应的赔偿金额，而不仅仅是作出罚款处罚。一旦上万名索赔者蜂拥而至，争相分一杯羹，企业因一次数据泄露付出的代价将极为高昂。

值得注意的是，在玛莎百货与合作社集团的数据泄露事件初期，两家企业均表示没有证据显示客户数据遭到侵害。

但随着调查的深入，客户数据被访问的事实得到确认，企业不得不对先前的声明进行修正。

在法律诉讼中，这种情况会被视为企业存在不当拖延行为。同时，这也被认为是企业剥夺了消费者采取自我保护措施的机会。

根据英国的数据保护相关法律，及时、准确地履行数据泄露通知义务，是企业必须承担的责任，而非可做可不做的善意之举。这一现状，将彻底改变企业发布公开声明的措辞方式。

毫无疑问，企业在事件初期给出的过度保证，在后续的调查结果浮出水面后，很可能会被认定为误导性陈述。

首席信息安全官

如何在数据泄露事件中控制法律风险

在遭遇数据泄露时，企业及其首席信息安全官首先要接受一个事实：事件初期出现技术层面的不确定性是常态。但若在毫无把握的情况下故作笃定，只会给企业带来长期的法律风险。

企业在发布“目前尚无相关证据”这类早期回应时，必须提供同等详尽的背景信息。比如要说明已经掌握的情况、正在开展的调查工作，以及预计何时发布后续进展。这些信息的披露要求，与其他类型的声明并无二致。

相关各方，包括法院、监管机构和原告律师，都会对企业的初始声明进行核查。核查的重点在于，声明内容是否与发布时企业内部的实际研判情况相符，进而判断声明是否准确无误。

应对数据泄露，速度固然至关重要，但绝不能以牺牲可信度为代价。与一份延迟发布、但能清晰解释延迟原因的声明相比，一份前后矛盾的早期声明造成的损害会更大。

首席信息安全官制定的事件响应预案中，必须纳入“诉讼导向沟通机制”。在发布公开声明前，法务、安全和客户服务团队需要共同商定对外措辞、发布时间以及升级上报流程。

企业对每一次声明延迟都要做好记录，每一次信息更新都要标注日期和时间戳，每一项决策都要明确记录负责人及执行时间。

因为这些文件很可能在数月后，成为诉讼中证明企业是否存在疏忽、是否履行客户关怀义务的关键证据。

声誉、情绪与舆论势头：风险的放大器

集体索赔行动一旦启动，其声势大小取决于公众的情绪倾向。几篇煽动性的报道、关于数百万用户受影响的新闻标题、与勒索软件团伙相关的逮捕行动，或是持续多日的服务中断，都会让消费者产生集体受害的认知。

这种认知，将为日后主张精神损害赔偿提供有力支撑。

零售业发生的数据泄露事件，往往更容易引发轩然大波。因为这类事件会直接扰乱人们的日常生活。

与金融服务或企业软件领域的泄露事件不同，零售业的数据泄露会以具体的形式呈现：收银系统瘫痪导致门店排起长队、手机应用程序故障或下线、企业发送自相矛盾的邮件通知。

种种乱象，都会让公众认为企业对事件处理失当。这种高关注度必然会激化消费者的情绪，推动集体诉讼的势头。消费者会用维权的方式，向企业发起反击。

线上“逐利式索赔”兴起

理赔管理公司凭借成熟的营销手段，能够迅速提升自身代理案件的关注度。搜索引擎广告、社交媒体推广和广播宣传，可以轻松捕捉到那些心怀不满、希望以最小成本获得赔偿的消费者。

一些批评人士将这种行为称为“数字化逐利式索赔”。他们指责这类公司利用公众的焦虑和不安情绪牟利，将人们对数据泄露的模糊担忧，转化为源源不断的丰厚收入。

不过，英国信息专员办公室等监管机构，在没有确凿证据证明企业存在过失的情况下，很少会对其处以罚款。对许多消费者而言，集体诉讼是他们就个人数据失控问题寻求赔偿的唯一途径。

一场全新的考验

如今，网络安全事件的影响早已不再局限于企业的应急指挥中心。

广播电台里，铺天盖地的广告号召消费者对涉事企业提起索赔；收件箱中，塞满了承诺提供法律救济的虚假信息；社交媒体平台上，公众的愤怒情绪一触即发。网络安全事件就此演变为公众热议的话题。

对企业和首席信息安全官而言，网络安全风险的来源不再局限于黑客攻击者和监管机构。那些企图利用信息混乱、大肆招揽索赔客户的律师团队，也成为了新的风险制造者。

企业的每一次拖延、每一份言过其实的声明、每一次漏洞百出的客户通知，都可能成为对自己不利的证据。

一旦广播广告和逐利索赔机构主导了舆论走向，企业从深陷舆论漩涡到被送上法庭接受审判的过程，会比大多数企业预想的要快得多。

文章来源：安在