美国的数据外泄集体诉讼案以8,000万美元和解,该案于2017年初起诉[1],对集体诉讼而言,相对较快地获得了令人满意的结局。

股东集体诉讼

该案牵扯两起大规模数据外泄事件,2013年第一起事件涉及超过10亿个用户帐户,2014年第二起事件涉及超过5亿个帐户。直到2016年底,这两起外泄事件才被公开。与大多数与网络外泄相关的集体诉讼不同,这些集体成员并非个人信息遭到黑客攻击的用户,而是看到公司股价因外泄的消息而应声下跌的雅虎股东。姗姗来迟的公告时间(雅虎正在与Verizon谈判被收购事宜)导致股价急剧下跌。[2]根据《1934年证券交易法》提起的诉讼是为了获得该法项下的损害赔偿和救济。[3]原告诉称,雅虎及其共同被告作出虚假和/或误导性陈述和/或未能透露:

(i) 雅虎未能加密其用户的个人信息和/或未能用最新和安全的加密方案加密其用户的个人数据;(ii)因此,造成超过10亿用户的敏感个人帐户信息易于遭到窃取;(iii) 导致个人用户数据遭窃的数据外泄可预见地会导致雅虎网站和服务的用户参与度大幅下降;和 (iv)因此,雅虎的公开声明在所有相应时间都具有重大虚假和误导性。[4]

该诉讼是代表“所有在集体诉讼期间[5]购买或以其他方式获得在纳斯达克上市交易的雅虎普通股并所谓的修正性信息披露而受到损失的那些人。”[6]

和解

尽管最近的一些数据外泄和解方案性质上具有效力,列明被告公司要采取的有意义的补救措施和积极主动措施的冗长清单[7],雅虎和解方案[8]对该等措施没有提及,而专注于和解方案的量化和机制。这8000万美元赔偿款令人为之侧目;这一定量与近期网络外泄集体诉讼和和衍生诉讼和解的赔款(1.15亿美元Anthem和解是个明显的例外)相形见绌。例如,2016年Home Depot Canada外泄客户个人信息的和解达成了52万美元非常温和的和解赔款(包括律师费)。[9]

股东网络外泄集体诉讼

雅虎集体诉讼案是美国证券集体诉讼首个重大和解,该案索赔的依据是未能披露网络外泄和/或网络风险。[10]在雅虎诉讼启动后,在美国提起了针对不同公司的八起类似诉讼;其中两起已被驳回,其余六起正在审理中。[11]

在网络外泄案件中,股东对外泄用户/客户隐私索赔的好处之一是,前者的损害赔偿更容易量化。正如Canadian Home Depot和解案中所看到的,倘若很少或没有证据表明集体成员遭受与泄露有关的实际损失,[12]而新的“隐私侵权”仅仅是名义上的[13](尽管这不是确认的障碍[14]),那么基于违反隐私的集体诉讼可能会站不住脚。另一方面,股东可以在修正性披露之前指出股票的价格,然后指出泄露的消息已经导致部分或全部股价下跌。

雅虎更多的坏消息

这一和解并不会终结雅虎与本次信息外泄有关的麻烦。在签署股东和解协议一周后,法官拒绝了Verizon提出的一项申请,该申请要求驳回雅虎用户对雅虎提起的集体诉讼中提出的许多诉讼请求,这些雅虎用户的个人身份信息在外泄事件中受到了损害。[15]这一诉讼指控数据外泄案件诸多更为典型的诉因,如违约、疏忽和欺诈。

与此同时,加拿大

就这些同样的网络外泄事件,雅虎身陷三起加拿大集体诉讼[16];魁北克省一案在中止诉讼后继续审理,正在等待确认,[17]BC省一案正在等待对确认和因安大略省一案中止的庭审,[18]而安大略省一案正在等待确认。然而,这些案件均非基于证券的集体诉讼(例如,安大略省集体诉讼是基于疏忽、侵犯隐私权、违反合同和《2002年消费者保护法》以及恢复原状[19])。因此,不应预期获得与雅虎证券索赔类似的和解。