2017年5月全球“想哭”勒索软件入侵后,人们对数据安全的担忧达到了历史最高水平,你可能想知道是否需要采取更多措施来保护员工和客户的个人信息。
Rawpixel Ltd / iStock / Getty Images Plu
在马萨诸塞州,数据安全漏洞可能引发广泛的报告要求和纠正措施。更糟糕的是,未能实施适当的数据安全协议的雇主可能会受到受影响方的诉讼。马萨诸塞州上诉法院最近的一个案例凸显了为什么你需要保持警惕,努力防止对机密数据的不当访问和使用。
她做了什么?!?
“Artemis”被国会汽车保险公司聘为客户服务经理。由于她的职位,她可以访问敏感的个人信息,包括机动车辆登记处(RMV)的记录和安全保险的索赔,该保险也为她的个人车辆投保。
2010年,阿尔忒弥斯和她的男友丹尼斯在爱荷华州被捕,警方在阿尔忒弥斯的钱包里发现了一把被盗的半自动枪支、一把未注册的枪支、弹药和一个“半脸”面具。阿尔忒弥斯向执法官员承认这些武器是她的。她获得保释,回到马萨诸塞州工作。
几个月后,美国法警在国会办公室逮捕了阿尔忒弥斯,但她告诉雇主,逮捕是一场“误会”,武器属于她的男朋友。国会没有进一步调查,因为它认为逮捕“与她的就业无关”。对她的起诉最终于2012年5月被驳回。
七周后,丹尼斯开着阿尔忒弥斯的奔驰车逃离警察时,与另一位驾车者“迈尔斯”发生了车祸。迈尔斯向安全部门提出了对阿尔忒弥斯保险单的索赔。在他的声明中,他指认了丹尼斯,并把他的联系方式提供给了安全局。阿尔忒弥斯还向安全部门提出了保险索赔,声称丹尼斯偷了她的车。然后,她使用国会的计算机门户网站,访问了她和迈尔斯对安全公司的索赔,这使她能够获得迈尔斯的姓名、地址、出生日期和手机号码。
阿尔忒弥斯把迈尔斯的名字和手机号码给了丹尼斯,丹尼斯打电话给迈尔斯,假装是马萨诸塞州的一名州警,威胁说如果他不自己修理汽车并放弃保险索赔,就会伤害他。当州警察后来在国会办公室询问阿尔忒弥斯时,该公司最终进行了调查。尽管进行了调查,但国会并没有限制阿尔忒弥斯接触敏感信息,直到4个月后,国会最终以盗用迈尔斯的机密信息为由解雇了她。
迈尔斯起诉国会玩忽职守,理由是未能保护他的个人信息。下级法院驳回了他的请求,迈尔斯提起了上诉。
一盎司的预防…
根据马萨诸塞州法律,国会制定了一项数据安全计划,以确保马萨诸塞州居民的个人信息得到保护。公司政策还明确禁止员工利用国会资源获取或出于个人或其他不正当目的使用司机的机密信息。所有员工均接受资料保安标准的培训,并签署确认表格,表明他们熟悉资料私隐规定。
国会定期在办公室会议上提醒员工其数据安全政策,公司总裁定期与员工进行检查,以强调数据安全的重要性。国会还在所有雇员电脑附近张贴色彩鲜艳的标志,提醒代理人他们的数据安全责任。
这些标志包括警告,如“不要与指定被保险人以外的任何人讨论任何保险事宜”和“不要……”使用我们的[电脑]获取[信息],用于任何‘保险工作以外’的目的。”最后,通过Safety门户访问RMV数据库的员工必须以电子方式同意他们将访问的信息仅用于四种合法的保险相关目的之一。
值得一磅治疗?
有了这么多的预防措施,你可能会认为国会能够避免责任是一个预料之中的结论。不幸的是,马萨诸塞州上诉法院不同意,并部分撤销了下级法院的驳回,允许迈尔斯的一些过失索赔继续进行。
为了证明过失,一个人必须证明(1)另一方对他负有注意义务,(2)该方违反了该义务,(3)违约与损害之间存在因果关系,以及(4)由于违约,他受到了损害。上诉法院的结论是,驳回此案是不恰当的,因为迈尔斯已经达到了对国会提起过失诉讼的门槛。
在辩护中,国会辩称,它不欠迈尔斯注意义务,因为他不是,也从来没有成为该公司的客户之一,他从未与该公司有过任何沟通。上诉法院不同意,认为国会有法律责任保护他免受雇员可预见的滥用他的信息。
法院在拥有电子记录访问权的员工和拥有房子钥匙的人之间做了类比:双方都有责任保护安全,员工有权访问机密数据的公司有责任采取合理措施防止数据被滥用。
接下来,国会辩称,它没有违反注意义务,因为泄露的信息不是马萨诸塞州法律定义的“个人信息”。根据马萨诸塞州的数据安全法规,“个人信息”被定义为个人的名和姓,或首字母和姓氏,加上他的(1)社会安全号码;(二)驾驶证号码或者国家颁发的身份证号码;或(3)财务账号,或信用卡、借记卡账号。
上诉法院的结论是,无论法律定义如何,一个合理的陪审团仍然有可能发现国会疏忽地允许阿尔忒弥斯获得迈尔斯的信息。
上诉法院随后责问国会,称陪审团可以得出结论,该公司没有采取合理行动保护亚当的信息。国会允许阿尔忒弥斯不受限制地获取机密信息,包括有关她自己的保险索赔的信息,这可能违反了国会的职责,而且在她2010年被捕后,国会没有调查她是否适合获取机密信息,这可能违反了国会的职责在它的办公室里。
在马萨诸塞州,如果雇主意识到或应该意识到雇员“不适合”获取机密信息的问题,但没有调查、解雇或重新分配雇员,则雇主可能对疏忽负责。
如果存在对他人造成严重伤害的风险,调查的责任就会更高。在这里,法院的结论是,阿尔忒弥斯对机密个人信息的广泛访问增加了她对第三方构成的潜在风险。因此,国会在2010年首次意识到她的犯罪活动时,可能有责任调查她是否适合获取这些信息。
如果国会进行调查,可能会发现一些事实,让人质疑阿尔忒弥斯的诚实,以及允许她获取他人的个人信息是否安全。公司也可能认定她没有完全说实话,她因非法持有枪支而被捕,她说谎是为了保护她的男朋友,甚至到了会犯罪的程度。
总之,法院的结论是,国会知道足够多的事实表明,阿尔忒弥斯不够值得信任,值得对她是否适合获取大量敏感的个人信息进行进一步调查。
国会还认为,即使它确实欠迈尔斯一项义务,他所遭受的伤害和这项义务之间也没有联系。公司认为自己不应该承担责任,因为对迈尔斯的任何伤害实际上都是由阿尔忒弥斯和丹尼斯的干预犯罪行为造成的——他们利用不正当获取的信息来威胁迈尔斯。
再次,上诉法院不同意,指出在这个案件中,信息的滥用——威胁保险索赔人——并没有远远超出“不可预见”的可能性范围,而且迈尔斯声称遭受的伤害类型——威胁带来的情绪困扰——并不是那么“特别”,以至于国会无法预料到这将是数据泄露的可能后果。
最后,国会认为迈尔斯没有提出足够的事实来证明丹尼斯的电话给他带来了精神上的痛苦。然而,上诉法院指出,迈尔斯声称,在电话之后,他被开了安眠药,做了噩梦,由于受到威胁,情绪和睡眠问题不断恶化。上诉法院恢复了他最初申诉的一项罪名,并允许他就另外两项索赔提出修改后的申诉。亚当斯诉康格汽车公司案。代理公司。(质量。应用Ct。, 2016)
经验教训?
国会已将马萨诸塞州上诉法院的裁决上诉至最高司法法院,由于没有进行审判,因此责任尚未确定。尽管如此,对于那些雇员有权获取敏感个人信息的雇主来说,这是一个警示。
幸运的是,国会有数据安全政策。马萨诸塞州的所有雇主都需要这样的政策,所以如果你没有数据安全政策,你应该立即联系劳动和就业顾问来制定一个。
如果您有数据安全策略,则需要确保严格执行,采取措施保护有关客户和员工的敏感信息。这至少包括定期审查你的数据安全实践和程序,以及适当的员工培训。
一些公司对数据安全进行分层,提供最强的保护,对最敏感的数据进行最少的访问;其他公司则从系统中清除未使用或不必要的数据。如果您收集和维护特别敏感的数据(如医疗保健提供者维护的信息),您可能还会考虑聘请外部供应商对您的安全系统进行“渗透测试”,这将帮助您了解潜在黑客能够访问多少受保护的数据。
就资料保安政策而言,雇主亦须备有书面的资讯保安计划。WISP是一份文档,它用通俗易懂的语言清楚地解释了每个员工在发生违规行为时的角色和责任。您应该对您的WISP进行测试运行,以练习在发生数据安全漏洞时应该做些什么,并在必要时识别和修复策略和过程中的任何潜在问题。
此外,如果你得知员工犯罪,尤其是当她接触到敏感或机密信息时,进行适当的调查是至关重要的。如果你的调查揭露了犯罪行为,使她的可信度、诚实度或正直受到质疑,那么限制她接触机密信息的权限。
最后,考虑您的员工在日常业务过程中可以访问的敏感信息的范围,并确定他们是否真的需要访问这些信息来完成他们的工作,或者更有限的访问是否合适。当员工接触到与自己或亲人有关的敏感信息时,要特别警惕,因为这可能会产生利益冲突。
上诉法院的裁决对允许其雇员获取有关被保险人、索赔人或任何其他第三方的机密信息的保险机构具有特别重大的影响。保险机构可能比其他公司有更高的注意义务,他们必须将充分的数据保护规则付诸实践。
保险公司还应积极监控有权访问敏感数据的员工的个人情况和个人诚信,并定期评估他们是否可以继续访问该信息。与往常一样,一定要与经验丰富的劳动和就业律师讨论有关数据安全和相关政策的问题。
 要了解有关如何保护公司免受数据安全漏洞侵害的更多信息,请加入奥萨马Kahf先生。的费雪菲利普斯律师事务所和卢卡斯医生, (C|EH), Esq。的Armstrong Teasdale LLP在他们进行分组讨论的时候——”你的电视在看你吗?物联网的网络安全保护——11月15日至17日在拉斯维加斯巴黎酒店举行的第22届年度高级就业问题研讨会(AEIS)上如是说。点击这里要学更多,还是要今天注册。 |
斯蒂芬妮·m·雷诺(Stefanie M. Renaud)是Skoler, Abbott & Presser, pc公司的助理,也是马萨诸塞州就业法信函。请拨打413-737-4753或srenaud@skoler-abbott.com。