东北放射学泄露诉讼因缺乏具体损害而被驳回 媒体
- 1
北东放射学及其供应商联盟医疗服务的数据泄露诉讼被裁定驳回
关键要点
美国纽约南区法院驳回了对北东放射学及其供应商联盟医疗服务的数据泄露诉讼,原因是缺乏即将发生的欺诈或实际伤害的证据。法官引用了2021年6月的最高法院裁决,强调必须存在确凿的伤害才能主张索赔。诉讼指出,供应商对电子保护健康信息ePHI的粗心处理违反了联邦和州法律,导致受害者受到直接伤害。在这起案件中,法院判定数据泄露的受害者未能证明存在实际伤害,因而案件被驳回。法官指出,受害者必须提供成为受害者的确凿证据和合理的历史或法律类比,但这些不必是完全一模一样的。
法官强调:“关于法定伤害,仅仅指控被告违反法律是不够的。只有那些因被告的法定违规行为而受到确凿伤害的原告才有资格提出诉讼。”
这起 集体诉讼 于2021年7月提出,来源于一起长达九个月的数据泄露事件,该事件源自供应商的图像存档和通信系统的长期漏洞。医院系统利用PACS与合作伙伴分享病历资料,同时用于数据归档。
然而,该技术具有明显的漏洞,极易导致未授权访问敏感数据。这起诉讼随后跟随了一份 SC媒体报告,详细说明了这些漏洞的风险,以及卫生与公共服务部的警报,发现130家医院系统通过这些漏洞actively exposing images。
在数据泄露中,北东放射学与联盟健康的PACS漏洞使得一名威胁行为者获得了对遗留技术的访问权限,暴露了298532名患者的数据,其中包括姓名、出生日期、检查描述、服务日期、医疗图像和细节,以及社会安全号码。
联盟健康于2020年3月开始通知这些患者,集体诉讼于2021年7月8日提出。诉讼称供应商对电子保护健康信息的处理不当违反了联邦和州法律,北东放射学和联盟健康未能遵守 健康保险流通与责任法案,直接造成了受害者的伤害。
受指控的伤害包括持续、即将发生的身份盗窃和欺诈风险,“因为与信用卡不同,无法取消电子保护健康信息。”诉讼认为,受害者能够证明供应商的安全政策、提供者沟通及已披露的漏洞将能体现伤害主张的真实性。
法官裁定未来伤害风险过于不确定
然而,法官不支持这些主张,并解释称,寻求强制救济以防止未来伤害的受害者“如果能够证明‘未来伤害的风险足够迫在眉睫且重大’,可以确立实际伤害。”正如最高法院所判决的,寻求赔偿时“未来伤害的单纯风险不能单独构成确凿伤害除非未来伤害的风险本身造成了单独的、确凿的伤害。”
因此,法官裁定受害者未能“声称出足够的实际伤害以授予原告的立场。”
需要注意的是,诉讼并未声称受影响的患者数据遭到滥用。法官随后确定,关于未授权行为者“可能查看”患者数据的指控在文件名单中下载副本将“极不可能”,且“过于遥远,无法建立[患者]因身份盗窃而面临的未来伤害风险的显著性或迫切性。”
此外,法官驳回了关于被破解的PACS系统被明确用于身份盗窃的观点,因为受害者未能提供有关数据滥用的指证或怀疑。
免费加速器永久免费版排行榜法官裁决称,患者
