泄露超28万患者敏感信息,地方诊所赔偿7100万元
美国佛罗里达州的沃森诊所(Watson Clinic)已同意支付1000万美元(约合人民币7110万元),以解决针对其2024年1月数据泄露事件提起的集体诉讼。该事件影响人数高达280278位。黑客窃取了数字图像等用户敏感数据,并将其发布到暗网。
这家医疗集团每年为约100万名患者提供服务,拥有约1600名员工和350名医师。
数据泄露事件始末
2024年2月6日,沃森诊所发现其计算机网络遭到未经授权访问。后续的取证调查确认,黑客最早于1月26日入侵其网络。
对已暴露文件的审查显示,其中包含现任及前任患者的受保护健康信息,包括姓名、地址、出生日期、社会安全号码、政府身份标识、驾驶证号码、金融账号信息及医疗信息;医疗信息部分包括诊断、治疗、病历编号,以及术前和/或术后医学所需的图像。
沃森诊所在2024年7月收到第三方完成的文件审查结果,并于2024年8月宣布发生数据泄露事件,随后向受影响个人发出通知。不久之后,原告Charles Viviani在美国佛罗里达中区联邦地区法院提起首起集体诉讼。第二起集体诉讼由原告David Thorpe在同一法院提交,两起诉状随后合并审理,案名为“Viviani诉沃森诊所”。进一步调查数据泄露范围后,2025年2月寄出了额外通知。
沃森诊所被控存在过失、默示合同违约、受托责任违约,以及违反《佛罗里达欺诈性与不公平贸易行为法》的指控。沃森诊所否认诉讼中的所有重大指控和主张,并否认存在任何不当行为或责任。尽管其认为对所有指控均有强有力的抗辩理由,但考虑到诉讼可能旷日持久且费用高昂,加之任何诉讼本身都具有固有风险,因此决定选择和解。集体诉讼律师认为,此项和解符合所有集体成员的最佳利益。
单人最高赔偿7.5万美元
沃森诊所已同意设立一项1000万美元的和解基金,基金将用于扣除律师费用和支出、向指定原告支付奖励金,以及承担和解管理和通知成本。与许多集体诉讼和解相比,本案给予集体成员的补偿相当可观,包括向部分集体成员提供最高7.5万美元的现金赔偿,金额依据在暗网上被发布的数字图像类型而定。
在暗网上被发布一张或多张数字图像的集体成员,将直接收到支票,无需提交索赔。具体赔偿金额如下表所示。每位集体成员仅能领取表列赔偿项目中的一项,且取其最高金额。
| 已发布数字图像类型 | 赔偿金额 |
| 全脸且暴露敏感部位 | 75000美元 |
| 部分脸部且暴露敏感部位 | 40000美元 |
| 无脸部但暴露敏感部位 | 10000美元 |
| 全脸且敏感部位部分着装 | 10000美元 |
| 部分脸部且敏感部位部分着装 | 7500美元 |
| 无脸部且敏感部位部分着装 | 5000美元 |
| 非敏感 | 100美元 |
除一次性现金赔偿外,集体成员还可提交索赔申请以下福利:
| 附加福利(需提交索赔) | 最高金额 |
| 经证明且未获补偿的普通损失报销 | 500美元 |
| 经证明且未获补偿的重大损失及经宣誓的时间损失报销 | 6500美元(包括最多5小时按每小时25美元计算的时间损失) |
| 剩余现金支付 | 50美元 |
剩余现金支付将在从和解基金中扣除成本和费用,并支付数字图像暴露现金赔偿及损失报销索赔后,按比例分配给选择领取此项付款的集体成员。该付款最高为50美元,但可能更低,具体金额取决于有效索赔数量。
对和解提出异议或选择排除的截止日期为2025年1月6日;提交索赔的截止日期为2025年2月5日;最终公平性听证会定于2025年3月9日举行。
来源:安全内参,参考资料:hipaajournal.com
