美国信用局Equifax将支付大约6.5亿美元——或许更多——来解决2017年数据泄露导致的大部分索赔,此次泄露暴露了超过1.47亿消费者的敏感信息,显示出美国人对其个人数据的控制力有多小。
该解决方案的范围很广,解决了两个联邦机构和48个州总检察长的调查,涵盖了每一个数据被盗的美国消费者——或者说不到美国人口的一半。它不仅仅补偿损失金钱的受害者:那些饱受银行电话树和信用卡客户服务热线困扰的人可以为他们的时间收取每小时25美元的Equifax费用。
周一,一名联邦法官初步批准了该协议,一旦最终敲定,这将是一起数据泄露案件中金额最大、受害者人数最多的和解,超过了医疗保健公司Anthem为解决2015年7900万个人信息被盗索赔而支付的1.15亿美元。
“Equifax把利润置于隐私之上,把贪婪置于人们之上,必须对他们置于风险之中的数百万人负责,”纽约司法部长莱蒂西亚·詹姆斯说,他曾帮助领导美国的调查。
亚特兰大联邦法院提交的和解文件显示,将近一半的和解金额——3亿美元——将流向受到违约伤害的美国消费者。该公司还同意支付2.75亿美元罚款,以结束消费者金融保护局、联邦贸易委员会和48个州以及哥伦比亚特区和波多黎各的调查。
Equifax同意向美国违约的所有受害者提供长达10年的免费信贷监控服务,这一提议可能被证明代价高昂。Equifax向其竞争对手之一Experian支付头四年的服务费,但和解假设只有大约700万人会注册。
这意味着定居点的最终规模可能会改变。根据和解文件,每增加100万选择加入的消费者,Equifax的成本将超过1600万美元。如果所有1.47亿违规受害者都参加,监测服务的费用将超过20亿美元。
“如果人们想让Equifax支付更多,就注册信用监控,”在和解中代表消费者的律师诺曼·西格尔(Norman E. Siegel)说。 理查德·史密斯在违规后不久就辞去了Equifax首席执行官的职务。首席信息官和首席安全官也被迫离开。
理查德·史密斯在违规后不久就辞去了Equifax首席执行官的职务。首席信息官和首席安全官也被迫离开。《纽约时报》的皮特·马洛维奇 除了信贷监控的潜在成本外,Equifax表示,如果最初的3亿美元被耗尽,它将为索赔基金增加1.25亿美元。
消费者信息将发布在equifaxbreachsettlement.com,一个由该公司建立的处理索赔的网站上。据和解中代表消费者的主要律师之一艾米·凯勒说,该网站最早将于周二开始受理索赔。那些已经注册身份盗窃保护的人将有资格获得补偿。
这一违规行为不仅暴露了私人信息,也突显了信用局在美国人日常生活中扮演松散的监管角色。Equifax通过向汽车贷款、抵押贷款和信用卡发行商出售其大量信息来赚钱。消费者可以对他们的文件如何使用进行一些控制——例如,通过冻结它们来防止新的信用额度被打开——但是他们不能选择让这些机构停止收集他们的信息。
执法官员从未公开指出谁是黑客的幕后黑手。虽然窃贼没有偷Equifax的皇冠珠宝,即它的信用档案,但他们利用了一个不固定的漏洞进入了数十个数据库。根据一份政府报告,攻击者窃取信息约76天,直到Equifax在2017年7月下旬发现入侵。该公司等了一个多月才披露违规行为。
尽管失去了如此多敏感信息,但该公司拙劣的回应也激怒了消费者。Equifax创建了一个几乎不起作用的信息网站。它努力跟上焦虑消费者的大量电话和信息。有一次,它甚至不小心把那些寻求信息的人指向了一个假网站。
混乱导致Equifax首席执行官理查德·史密斯(Richard F. Smith)和公司首席信息官兼首席安全官被免职。去年,Equifax任命在私募股权领域工作的局外人马克·贝戈(Mark W. Begor)为新任首席执行官。
总部设在亚特兰大的Equifax公司几个月来一直在为最终解决方案进行谈判,并在上个季度留出6.9亿美元来支付预期的费用。贝格在一份声明中表示:“我们一直致力于为消费者解决这一问题,并拥有管理和解的财务能力。”
解决方案的某些方面——特别是谁会因为身份被盗而获得赔偿——还有待观察。
在和解协议中代表消费者的律师表示,在违约后成为欺诈受害者的人将有资格获得和解,即使他们不能证明Equifax盗窃事件直接导致了他们的损失。和解文件称,任何经历过“相当可追踪”被盗信息欺诈的人都可以提出索赔。但该定义的适用将取决于该定居点的管理人JND法律管理局,该管理局将遵循该定居点规定的详细书面协议。
很难确定这一违规行为对消费者造成了多大伤害,因为网络安全专家没有看到受害者被盗姓名、社会安全号码和地址出现在此类被盗信息经常被贩运的在线市场上。
马克·贝戈取代史密斯成为Equifax的首席执行官。Equifax通过向汽车贷款、抵押贷款和信用卡发行商出售大量信息来赚钱。《纽约时报》的信贷员林西·韦瑟斯庞 “我们继续监控黑网和身份盗窃,”贝戈在周一的新闻发布会上说。“迄今为止,我们还没有看到任何被盗数据被出售的实例。”
目前约6.5亿美元的结算数字略低于Equifax的典型季度销售额。去年,该公司销售额为34亿美元,同比收入下降49%。Equifax的股价在违约后暴跌,但此后收复了大部分失地。 一些消费者权益倡导者希望惩罚更加严厉。
世界隐私论坛的执行主任帕姆·迪克森说:“Equifax罚款非常低,特别是考虑到他们造成的身份问题的范围。”
犹他大学法学教授、消费者金融保护局前执法律师克里斯托弗·彼得森说,这个数字“并非微不足道”。他补充说,与多年的法律斗争相比,迅速解决这个案件对消费者来说可能是更好的结果。
彼得森表示:“我的观点是,这对于参与其中的各种消费者保护机构来说都是一场胜利,但从长期来看,这只会给大型信用报告机构加强数据安全带来相对温和的激励。”。“这里的基本法本身并没有提供我认为大多数美国人应该和想要的那么多保护。”
重大数据泄露几乎成了家常便饭。去年,万豪连锁酒店披露,窃贼窃取了大约5亿名客人的个人信息,这起袭击被认为是中国的情报收集工作造成的。今年5月,一名安全记者透露,一家主要的产权保险公司——第一美国金融公司——在网上留下了近9亿份与抵押贷款交易相关的文件,这些文件没有受到保护。
但是Equifax的漏洞是最有可能造成损害的。Equifax是美国三大信用机构之一,与Experian和TransUnion并列,拥有全球数亿人的档案,其中包含他们的金融账户和交易的大量详细信息。Equifax甚至会收到数百万份美国人的工资单,这些工资单被输入到它的工作号码数据库中。
在一系列激烈的国会听证会上,两党议员谴责了Equifax的失误——“我解决不了愚蠢问题,”俄勒冈州共和党众议员格雷格·瓦尔登(Greg Walden)在一次令人难忘的交流中对史密斯表示,议员们通过了对征信机构的新限制,包括一项让信贷冻结免费的法律。但是联邦法律没有重大变化,包括征信机构可以收集哪些信息,以及它们必须采取哪些措施来保护这些信息。
周一的和解仍不是违约索赔的最终结果。马萨诸塞州和印第安纳州分别起诉了Equifax。这些案件尚未解决。
网友评论