लैबएमडी उल्लंघन मामले ने चल रही नुकसान वाली बहस को और अधिक बढ़ावा दिया

एक प्रशासनिक कानून न्यायाधीश ने उपभोक्ता व्यक्तिगत डेटा खोने के आरोपी स्वास्थ्य देखभाल कंपनी के खिलाफ पिछले सप्ताह एफटीसी शिकायत को खारिज कर दिया यह यह निर्धारित करने की चल रही जटिलताओं पर प्रकाश डालता है कि डेटा उल्लंघन से उपभोक्ताओं को कैसे नुकसान होता है और कंपनियों की जवाबदेही क्या है शामिल।

मसला यह है कि क्या उपभोक्ता लगातार होने वाले नुकसान का दावा कर सकते हैं, जैसे कि उनके चुराए गए डेटा का उपयोग भविष्य में अतिरिक्त दिल का दर्द पैदा करने के लिए किया जा रहा है, ए उल्लंघन के बाद का अभ्यास कि है वर्षों से चल रहा है. अदालतें भविष्य के नुकसान पर विचार करने की अनुमति नहीं देने और विशिष्ट उल्लंघन की घटना तक निर्णयों को सीमित करने के बारे में अड़ी हुई थीं, लेकिन दरारें हाल ही में बननी शुरू हो गई हैं.

अब लैबएमडी के सात साल पुराने मामले और संघीय व्यापार आयोग (एफटीसी) द्वारा 2013 में लगाए गए आरोपों पर फैसला आया है कि कंपनी, जो व्यक्तिगत-स्वास्थ्य डेटा और मेडिकल रिकॉर्ड संग्रहीत करता था, पर्याप्त कंप्यूटर सुरक्षा बनाए रखने में विफल रहा और इसकी प्रथाओं से नुकसान होने की संभावना थी उपभोक्ता. एफटीसी के मुख्य प्रशासनिक-कानून न्यायाधीश माइकल चैपल ने पिछले सप्ताह लैबएमडी के खिलाफ मामले को खारिज कर दिया।

एक के अनुसार FTC.gov पर प्रेस विज्ञप्ति, चैपल ने पाया, अन्य मुद्दों के अलावा, एफटीसी ने यह साबित नहीं किया कि "कुछ लैबएमडी दस्तावेजों का एक्सपोजर या सीमित एक्सपोजर 2008 में उपभोक्ता को कोई बड़ी क्षति हुई हो या होने की संभावना हो (चाहे पहचान-चोरी से संबंधित नुकसान हो या) अन्यथा।)

उनके निर्णय का स्वर वर्ग-कार्रवाई मुकदमों सहित डेटा चोरी और उल्लंघन के मामलों में आदर्श रहा है।

हालाँकि, स्वास्थ्य देखभाल रिकॉर्ड काले बाज़ार में सबसे अधिक मांग वाले रिकॉर्ड में से कुछ हैं, जिनकी कीमत क्रेडिट कार्ड नंबर से 10 गुना अधिक है, रॉयटर्स के मुताबिक.

मांगे गए डेटा में नाम, जन्मतिथि और पॉलिसी नंबर शामिल हैं - जैसे कि 2008 में लैबएमडी से कथित तौर पर गायब हो गए थे। जब डेटा का उपयोग मेडिकल उपकरण या दोबारा बेची जाने वाली दवाओं को खरीदने के लिए फर्जी आईडी बनाने के लिए किया जाता है तो प्रदाताओं को धोखा दिया जाता है। बीमाकर्ताओं के पास फर्जी दावे दायर करने के लिए रोगी डेटा का उपयोग किया जा सकता है।

प्रारंभिक डेटा उल्लंघन के बाद इस प्रकार के हमले दूसरा (और लाभदायक) कदम हैं और हैकर्स के लिए वास्तविक भुगतान और डेटा मालिकों के लिए दर्द प्रदान करते हैं।

एफटीसी की शिकायत में आरोप लगाया गया कि एक लैबएमडी रिपोर्ट में 9,300 मरीजों के रिकॉर्ड शामिल हैं, जिनमें नाम भी शामिल हैं। जन्मतिथि, सामाजिक सुरक्षा नंबर, और स्वास्थ्य बीमा पॉलिसी नंबर - फ़ाइल-साझाकरण पर समाप्त हो गए साइट। एक दूसरी कथित घटना में, लैबएमडी कंप्यूटर नेटवर्क का डेटा उन व्यक्तियों के हाथों में पहुंच गया, जिन्होंने अंततः पहचान की चोरी के आरोपों के लिए "कोई प्रतिस्पर्धा नहीं" का अनुरोध किया।

हालाँकि, भविष्य में होने वाले नुकसान पर राय अलग-अलग है।

ए राष्ट्रीय कानून समीक्षा लेख कहा कि लैबएमडी मामले में जज का फैसला "एफटीसी को उस समय थोड़ा 'ब्रेक लगाना' पड़ सकता है, जब वह इस बात पर विचार करेगा कि कब कथित तौर पर ढीली डेटा सुरक्षा के आधार पर प्रवर्तन कार्रवाई की जाए।"

अगस्त में, इलेक्ट्रॉनिक गोपनीयता सूचना केंद्र के वकील एलन बटलर वायर्ड पत्रिका को बताया, "यह एफटीसी के लिए, बल्कि अमेरिकी उपभोक्ताओं के लिए भी एक बड़ी जीत है" जब एक अमेरिकी अपीलीय अदालत ने फैसला सुनाया 2008 में 600,000 ग्राहक रिकॉर्ड उजागर करने वाले कंप्यूटर सिस्टम हैक को लेकर FTC विंडहैम होटल्स पर मुकदमा कर सकता है और 2009.

LabMD और Wyndham Hotels एकमात्र ऐसी दो कंपनियाँ हैं, जिन्होंने संघीय व्यापार आयोग अधिनियम की धारा 5 के तहत FTC डेटा सुरक्षा प्रवर्तन कार्रवाई का सामना करते समय समझौता नहीं किया।

लैबएमडी के फैसले के खिलाफ अपील किए जाने की संभावना है और इसके नतीजे से भविष्य में एफटीसी और डेटा चोरी और उल्लंघन के मामलों में कानूनी कार्रवाई पर असर पड़ सकता है।

ड्रिंकर बिडल एंड रीथ के पार्टनर केन डॉर्ट ने बताया आधुनिक स्वास्थ्य सेवा वेबसाइट यदि न्यायाधीश का निर्णय पलट दिया जाता है तो यह "अधिक गतिविधि के द्वार खोल देगा।" उन्होंने कहा, अगर लैबएमडी के फैसले को बरकरार रखा जाता है, तो इसका मतलब है कि भविष्य के मामलों में नुकसान को सीमित रूप से परिभाषित किया जाएगा।

किसी भी तरह से, मूल बात यह है कि प्रवर्तन सटीक और तेज़ होना चाहिए। 2014 में, लैबएमडी सात साल के मामले के अंत में कारोबार से बाहर हो गया। यदि अंततः उन्हें गलत काम करने से बरी कर दिया जाता है, तो एफटीसी को अपनी रणनीति के लिए जवाब देना होगा। और उल्लंघनों के कानूनी निहितार्थों को परिभाषित करने की प्रक्रिया एक कदम पीछे चली जाएगी।

"वर्षों की जांच और प्रवर्तन कार्रवाई के बाद, एफटीसी ने कभी भी एक भी मरीज या डॉक्टर को पेश नहीं किया जो पीड़ित हो या जिसने पहचान की चोरी का आरोप लगाया हो या लैबएमडी की डेटा-सुरक्षा प्रथाओं के कारण नुकसान, "डैन एपस्टीन, कॉज़ ऑफ एक्शन के कार्यकारी निदेशक, एक सरकारी निगरानी संस्था जिसने प्रतिनिधित्व किया लैबएमडी वॉल स्ट्रीट जर्नल के एक लेख में लिखा।