加拿大金融业史上最贵和解:公司因泄露420万人数据赔2亿

南方都市报APP • 隐私护卫队课题组
原创2022-06-23 21:44

据悉,近日,加拿大最大信用合作社Desjardins就此前的数据泄露事件与多位集体诉讼原告达成和解协议,决定向受到影响的加拿大人共支付最高约2.009亿美元的和解金,受害者可根据其蒙受的损失向Desjardins寻求赔偿。此外,尚未使用过美国信用评分报告公司Equifax服务的受害者可免费获得五年使用期限。索赔通道将于7月21日起逐步向公众开放。

canadas-desjardins-settles-data-breach-lawsuit-for-155m-showcase_image-6-a-19399.jpg

Desjardins相关网站

公开资料显示,Desjardins是一家加拿大金融服务公司,也是加拿大最大的信用合作社。Desjardins集团由293个地方信用社组成,有1032个服务点在运营,为超过700万主要分布在魁北克和安大略的加拿大用户提供服务。

2019年6月,Desjardins公开宣布其遭遇了数据泄露事件,并向加拿大隐私专员办公室(OPC)和魁北克隐私监管机构进行报告,两家监管机构遂联合展开调查。

2020年12月,OPC在一份调查报告中表示,发现Desjardins的一名前员工在此前至少26个月的时间内不断窃取用户数据,后在暗网或其他网络犯罪论坛进行出售,其中包括用户姓名、出生日期、社保号码、住址、电话号、邮件地址和交易记录。Desjardins承认,约有420万活跃用户的个人数据遭到泄露。

OPC的报告显示,考虑到Desjardins所掌握的用户数据数量和敏感性,OPC认定其未对数据采取适当的安全保护措施,在管理策略与程序,员工培训和安全意识,数据的访问、控制、隔离以及监督监测四个方面存在不足,违反了相关法律法规。据报道,某隐私专员曾对此表示“Desjardins并未对其掌握的敏感数据予以足够的重视。”

OPC调查结果显示,Desjardins营销部门的某些员工会在履行职责的过程中将用户数据从信贷数据仓库和银行数据仓库复制到营销部门的共享目录中,给原本没有权限接触到这些数据的其他人提供了访问和盗取的机会。在2017年3月至2019年5月期间,不法分子违反保密协议,从共享目录中复制大量用户数据到其工作电脑上后进行出售。

2019年,加拿大律师事务所Siskinds DesmeulesKugler Kandestin代表数据泄露事件的受害者对Desjardins提起集体诉讼。近日,该事务所发表声明,称魁北克高级法院批准了由Desjardins提出的和解协议,Desjardins将向位于全国任何地区、所有受到数据泄露影响的加拿大人共支付最高约2.009亿美元的和解金,索赔通道将于7月21日逐步向符合条件的个人开放。

不仅如此,该事件受害者还可以通过证明自己因数据泄露事件花费了时间而向Desjardins索赔,最多可索赔五个小时的损失,每小时18美元。如果受害者还遭遇了身份冒用,可以向Desjardins提交最高1000美元的索赔申请。

Desjardins在为解决此事件而专门建立的网站中声称,达成和解协议的目的是通过向集体成员提供赔偿而取消相关诉讼,也是为了一次性解决所有赔偿问题。加拿大新闻界在报道中将此事件称为“加拿大金融服务行业有史以来达成的最大的数据泄露和解协议”。

综合/编译:南都记者 樊文扬

编辑:蒋琳

对这篇文章有想法?跟我聊聊吧
蒋琳4.67亿
南方都市报记者
南都新闻,未经授权不得转载。授权联系方式:
banquan@nandu.cc,020-87006626。