域外执法盘点 | 2023年美国数据泄露五则执法案例汇总

Original 王捷资深出海法律顾问出海互联网法律观察

2024-08-25

文/ 王捷律师团队

W&W国际法律团队

专注互联网出海法律实务：

W&W国际法律团队深耕海外多地区多条业务线，通过多年来积累的出海法律服务经验以及资源优势，结合本土化的合规经验与国际化的思维，致力于为出海互联网企业提供专业的一站式法律解决方案，为逐鹿海外的互联网企业提供优质及多元化的法律服务，为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。

互联网前沿领域法律服务：

W&W国际法律团队深耕出海法律实务的同时，也紧跟互联网前沿动态，可以为互联网企业提供前沿领域的法律服务，为企业开拓新的业务领域保驾护航，比如AIGC产品全链路合规法律服务，包括AI与数据合规， AIGC与知识产权布局、侵权风险防范，内容审核标准制定等。

覆盖以下行业领域：

物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。

（此处仅展示部分内容，如有任何需求，请尽管与我们联系。）

引言

2023年全年，美国就数据泄露进行了多起执法活动，其中包含了黑客攻击、电子邮件服务器漏洞、与第三方共享数据等诸多数据泄露违法场景。整体上，美国针对数据泄露的执法活动呈现执法频繁、执法金额高、被执法者事后补救义务重的特点。

此外，在执法通告中，执法机关通常会附以综合性的网络安全保护义务的清单（包含制订网络安全计划、聘用数据安全合规官、进行数据处理记录、定期测试网络安全、优化数据处理行为、加密信息、实施合理的账户管理和身份验证等等），可以作为出海美国的企业完善自身网络安全管理体系的有效指导，协助企业落实事前合规工作，防止数据泄露事件发生。

本文节选了2023年美国五例较为典型的数据泄露执法案例，仅供参考。

FTC就影响250万消费者的数据泄露事件对Drizly作出最终裁决

美国联邦贸易委员会（“FTC”）于2023年1月10日宣布，由于Drizly的安全故障导致数据泄露，暴露了大约250万消费者的个人信息，FTC已对Drizly违反《联邦贸易委员会法》（“FTC法”）第5（a）条的行为做出了最终裁决。

案件背景

Drizly在漏洞发生前两年就已经被提醒系统存在安全漏洞，虽然当时Drizly公开声称其内部存在安全保护措施，但实际上Drizly并未采取措施保护消费者的数据免受黑客攻击。

调查结果

FTC发现，Drizly没有要求员工对GitHub使用双因素认证并限制员工对个人数据的访问，没有制定书面的安全政策，也未对员工进行相关数据安全的培训。

此外，联邦贸易委员会指出，Drizly在不安全的平台上存储了关键的数据库信息，并未监控潜在的网络的安全威胁，并未让高级管理人员负责Drizly的数据安全，也并未监控其网络是否有未经授权试图访问或删除个人数据的行为。为此，联邦贸易委员会得出结论，这些失误使黑客得以进入Drizly的数据库，窃取与250万消费者信息。

结果

因此，联邦贸易委员会要求Drizly：

销毁非必要的个人数据；
除非是为了特定目的所需，避免收集或储存个人信息；
在其网站上详细列举其收集的信息，以及这种数据收集行为是必要的原因；
实施一个全面的信息安全计划，并建立安全保障措施。

纽约：AG 同意与 HPMB律师事务所就数据泄露达成 200,000 美元的和解协议

Heidell, Pittoni, Murphy & Bach LLP （“HPMB”）律师事务所代表纽约市地区的医院，保护患者的敏感私人信息，例如出生日期、社会安全号码、健康保险信息、病史和健康治疗信息。

2021 年 11 月，攻击者能够利用 HPMB 的 Microsoft Exchange 电子邮件服务器中的漏洞来访问 HPMB 的系统。虽然微软已在几个月前发布了针对此漏洞的补丁，但 HPMB 并未及时应用这些补丁。2021 年 12 月，攻击者在 HPMB 的系统上部署了恶意软件，导致 HPMB 的电子邮件系统中断。网络攻击者从 HPMB 的系统中窃取了数万个文件，共计114,979 人（包括 61,438 名纽约居民）的电子健康信息和/或私人信息遭到泄露。2022 年 5 月，HPMB 开始通知受数据泄漏事件影响的主体、

AG认定 HPMB 在多个方面没有采取合理的做法来保护用户的个人信息，也没有落实 HIPAA 规定的几项数据安全措施，其中包括定期对其系统进行风险评估、加密其服务器上的私人信息以及采取适当的数据最小化处理措施。

由于上述违规行为，AG 与 HPMB 达成 200,000 美元的诉讼和解协议，并要求HPMB 必须：

制作全面的信息安全计划，包括定期更新安全技术，并向 HPMB 的领导层报告安全风险；
加密其收集、使用、存储的个人健康信息及其他个人信息；
集中监控并记录网络活动；
制定合理的补丁管理方案；
制定渗透测试计划，包括定期测试 HPMB 的网络安全；
更新其数据收集和存储行为，包括在业务所需的最小范围内收集数据，并在不需要此类数据时永久删除数据。

垦丁W&W简评

本案为数据泄露事件提供了新的触发原因：未及时应用电子邮件服务器中的补丁，更新服务器系统。值得注意的是，本案中，纽约州AG对HPMB附以综合性的网络安全保护义务（包含制订计划、数据处理记录、定期测试网络安全、优化数据处理行为、加密信息等等），受调查主体所面临的事后合规压力较大。建议类似情况的企业在美国运营时，落实事前合规工作，防止大规模的数据泄露事件发生，并在事件发生后及时履行报告义务，告知数据主体及监管方相关情况。

联邦贸易委员会提议对共享消费者敏感数据的 BetterHelp 罚款 780 万美元

联邦贸易委员会（“FTC”）于 2023 年 3 月 2 日宣布了一项拟议的同意令，禁止 BetterHelp, Inc. 共享消费者的健康数据，并要求其为违反联邦贸易法第 5(a) 条的行为支付 780 万美元。

案件背景

联邦贸易委员会强调，出于对BetterHelp违反联邦贸易委员会法案的担忧，它已对 BetterHelp 的某些行为展开调查。

调查结果

经过调查，联邦贸易委员会确定，尽管 BetterHelp 向消费者承诺不会使用或披露他们的个人健康数据，除非出于有限的目的（例如提供咨询服务），但 BetterHelp 实际上使用并将消费者的电子邮件地址、IP 地址和健康问卷信息透露给 Facebook、Snapchat、Criteo 和 Pinterest公司，以供此类公司将数据用于广告目的。

此外，联邦贸易委员会认为，BetterHelp 通过以下方式违反了联邦贸易委员会法案第 5(a) 条：

在收集、使用和披露信息时，未能采取合理措施来保护消费者的健康信息；
收集、使用、披露消费者健康信息前，未取得消费者明确的同意；
未能披露与第三方共享健康信息的情况；
未能披露 BetterHelp 使用消费者的健康信息向消费者和其他人投放广告的情况；
虚假陈述其不会将消费者的健康信息透露给第三方；不会将此类信息用于广告目的；不会与任何人分享这些信息（消费者的持牌治疗师除外）；
谎称政府机构或第三方已对BetterHelp进行审查，并确定公司的行为符合 1996 年健康保险流通与责任法案的要求。

结果

鉴于上述情况，联邦贸易委员会指出，它已同意与 BetterHelp 达成协议，并将其置于公共记录中，为期 30 天，以接收公众意见。此外，拟议的同意令包含旨在防止 BetterHelp 未来从事相同或类似行为的条款，即：

禁止 BetterHelp 与任何第三方共享与消费者身心健康有关的个人身份信息；
要求 BetterHelp 在出于任何目的向第三方披露个人信息之前获得个人明确的同意；
要求 BetterHelp 实施全面的隐私计划，其中包括保护消费者数据的措施；
要求 BetterHelp 命令第三方删除 BetterHelp 向他们透露的消费者个人数据；
要求 BetterHelp 根据数据保留时间限制保留消费者个人信息和健康信息。
值得注意的是，拟议的同意令还要求 BetterHelp 为消费者支付 780 万美元的赔偿款。

垦丁W&W简评

实践中，不少企业为第三方提供用户个人信息，以帮助其用于广告目的。企业需要注意是否做好第三方数据管理工作（如审查第三方资质、保障数据安全等），并需要在数据共享过程中，向数据主体履行告知义务，并取得他们的同意。

新泽西州：AG 与 Blackbaud 就数据泄露达成 4,950 万美元和解协议

2023年10月5日，新泽西州总检察长与其他 49 位总检察长共同发布了一份《自愿遵守保证书》，就 Blackbaud 公司在一次数据泄露事件中违反《1996 年健康保险可携性与责任法案》（HIPAA）、《新泽西州个人信息保护法》、《数据泄露通知法》和《消费者保护法》的行为，与Blackbaud 公司达成了4950万美元的和解协议。

和解的背景

数据泄露事件发生在 Blackbaud 于 2020 年 5 月发现勒索软件攻击导致敏感捐赠者信息被未经授权访问和外流之后，于 2020 年 7 月公开通报了这一事件。总检察长指出，此次数据泄露事件影响了 100 多万个文件，涉及 13,000 多名 Blackbaud 客户。

总检察长的调查结果

经过总检察长的调查，并在收到 Blackbaud 的通知后，总检察长认定 Blackbaud 没有实施合理的数据安全措施，也没有对已知的安全漏洞进行补救，从而允许未经授权的人员访问 Blackbaud 的网络，并且没有及时或准确地向客户提供有关数据泄露的信息。值得注意的是，向个人信息被暴露的 Blackbaud 客户发出通知的时间被严重延迟，甚至根本没有发出通知。

结果

由于 Blackbaud 的失误，除了 4950 万美元的和解金外，总检察长还要求 Blackbaud 加强其未来的数据安全和违规通知程序。具体包括：

禁止在处理、存储和保护个人信息方面进行虚假陈述；
实施并维持书面的安全事件响应计划，该计划至少应包括准备、检测和分析、遏制、消除安全事件，以及事件后的分析和补救措施；
实施漏洞响应计划，其中包含通知和协调执法部门以及受影响 Blackbaud 客户的政策和程序；
实施并维护全面的信息安全计划；
在信息安全计划内，确保首席信息安全官和业务信息安全官接受专门培训；
将个人信息和个人健康信息的存储限制在实现 Blackbaud 预期合法业务目的所需的最小范围内；
实施特定的技术保障和控制措施，例如符合国家标准与技术研究院 (NIST) 网络安全框架的风险评估计划；
访问控制和账户管理
记录和监控操作活动；
整理资产清单，对 Blackbaud 网络资产进行分类；
对 Blackbaud 遵守和解协议要求的情况进行为期七年的第三方评估。

纽约总检察长因安全漏洞与Healthplex达成40万美元和解

2023年12月9日，纽约总检察长发布了第23-062号终止保证，与Heatlhplex, Inc.就违反《行政法》、《一般商业法》、以及《1996年健康保险流通与责任法案》（the Health Insurance Portability and Accountability Act of 1996，以下简称HIPAA）达成和解。

和解的背景

2021年11月，Heatlhplex遭受网络攻击，一名身份不明的攻击者向Healthplex员工发送了一封网络钓鱼电子邮件，并获得了该帐户的访问权限。攻击者访问该帐户的时间不到一天，但在此期间他们访问从2009年5月起始到现在的电子邮件和附件，其中包含患者的个人信息（如地址、出生日期、信用卡号码、银行信息、社会安全号码、驾照号码、诊断代码、处方药名称等）。

总检察长的调查结果

经过调查，总检察长认定Healthplex在以下方面未能满足纽约数据安全和消费者保护法规的要求：

数据保留和记录：Healthplex在出于商业目的不再需要私人信息后，仍然保留了这些信息；
多重身份验证：事件发生时，Healthplex并未在所有登录活动中采用多重身份验证；
数据安全评估：Healthplex的数据安全评估未发现未采用多重身份验证的漏洞。

由于Healthplex的失误，除了向纽约州支付40万美元的罚款外，纽约总检察长还要求Healthplex必须执行合理的安全政策和程序来避免个人信息受到未经授权的使用或披露，其中包括：

聘用首席信息安全官；
实施一项全面的信息安全计划，该计划旨在合理地保护Healthplex收集、接收或处理的私人信息（包括受保护的健康信息）的安全性、保密性和完整性；
对Healthplex收集、存储、传输和维护的私人信息进行加密，在技术可行的情况下使用合理的加密算法或以其他方式实施补偿控制，避免此类信息未经授权的访问；
在缺少保留私人信息的商业目的时，需要进行删除处理；
对所有可能包含私人信息的员工电子邮箱账户实施电子邮件保留计划；
实施合理的密码政策和程序，要求使用复杂的密码，并确保妥善保护存储的密码，防止未经授权的访问；
实施合理的账户管理和身份验证，包括禁止使用共享账户，并要求所有管理或远程账户访问使用多因素身份验证。

垦丁W&W简评

本次执法活动延续了纽约州对于追责企业不良数据保护行为的严厉执法态度。截止到今年年末，纽约已累计开展了近十次针对企业数据泄露的执法活动，包括11月U.S. Radiology因未能保护患者数据而赔偿45万美元，10月Personal Touch公司因未能合法保护300,000名纽约自然人的数据而赔偿35万美元，10月Blackbaud公司导致数千名用户数据泄露而赔偿4950万美元等。企业可参考纽约州在今年四月发布的综合数据安全指南，帮助公司加强数据安全实践，更好地保护消费者个人信息。

主编介绍

王捷 律师

垦丁律师事务所合伙人、广州联合创始人、执行主任

W&W国际法律团队创始人

荣登律商联讯（LexisNexis）2023「40位40岁以下的法律精英」榜单

业务领域：

个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全

王律师持有CIPP/E（国际信息隐私专家认证/欧盟）、区块链应用操作员资格证书、数据安全师、数据合规官资格证书，是联合国世界丝绸之路委员会专家，中国国际贸易促进委员会深圳调解中心专家调解员，广东省法学会信息通讯法学研究会理事，荷兰RuG国际经济法与商法硕士。

王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验，具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务，行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。

王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地，包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局，已为各类涉互联网企业拓展全球市场提供法律支持，尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。

同时，王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》，在全球最高分的六篇论文中，荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖，该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。

联系方式：jie.wang@kindinglaw.com

+86 13650790754

推荐阅读：

垦丁荣誉｜王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单

开辟万象，OPEN你的AI｜垦丁W&W国际法律团队发布《AIGC产业发展与法律合规实务手册》（附下载）

冬至礼物 | 法律法规汇编大礼包V5.0 《个人信息保护数据合规法律汇编》

企业出海实务分享 | 2024年，如何布局AIGC出海？

挥毫泼墨谱合规 | 2023《全球数据合规法律观察报告》重磅发布

合规实务 | AIGC非知识产权领域的法律风险与合规应对

合规实务 | AIGC知识产权领域的法律风险与合规应对

要点分析 | 欧盟Artificial Intelligence Act 解读（二）

要点分析 | 欧盟Artificial Intelligence Act 解读（一）