医疗厂商泄露近240万客户健康信息，赔偿超1.1亿元

安全内参5月27日消息，美国马萨诸塞州的医学影像服务提供商希尔兹医疗集团（Shields Healthcare Group）同意支付1535万美元（约合人民币1.1亿元），以和解因2022年黑客事件引发的拟议集体诉讼，该事件影响近240万人。

希尔兹医疗集团是一家家族企业，运营着美国新英格兰地区最大的医学影像服务网络，拥有30家医疗机构，提供磁共振、PET扫描以及门诊手术等服务。根据和解协议，希尔兹同意持续投资并执行数据安全改进措施。

一位波士顿联邦法官于5月20日批准的初步协议，解决了2022年针对希尔兹医疗集团提起的七起诉讼所合并的两个案件。

原告方表示，此次数据泄露事件涉及受保护的健康信息与个人信息，包括姓名、住址、出生日期、社会安全号码、保险信息、账单信息，以及医疗和治疗记录。

希尔兹在关于此次事件的泄露通知中指出，从2022年3月7日前后至3月21日，一名身份不明的攻击者曾入侵其网络，并在该时间段内获取了部分数据。

合并后的起诉书写道：“未经授权的第三方黑客在至少两周时间内持续访问希尔兹患者的敏感信息，涵盖原告及集体诉讼成员。”起诉书指出，黑客从希尔兹的计算机系统中窃取了原告及其他集体成员的信息，并将这些数据暴露在可供其他网络犯罪分子购买的平台上。

在拟议和解协议中，希尔兹否认所有不当行为的指控，包括其在数据安全方面的疏忽、未能妥善保护个人信息、以及未能及时充分地通知相关人员。该公司还主张，原告并未因本事件遭受任何实际损失。

根据拟议的和解条款，集体诉讼成员可以报销因应对此次数据泄露事件而产生的最多2500美元的自付费用。

对于那些认为自己因该事件遭遇身份盗窃、欺诈或其他重大损失的和解成员，可提交索赔申请，申报“重大损失和/或经认证的重大时间成本”，每人最高可获得25000美元的赔偿。

作为申报普通费用或重大损失赔偿的替代方案，符合条件的和解成员也可选择一次性领取50美元的现金赔偿。代表原告及集体诉讼成员的律师团队将向法院申请，从和解金中提取最多约三分之一的金额（约510万美元），作为律师费及相关费用。

和解文件指出：“自事件发生以来，被告已在补救措施、网络安全强化以及扩大IT人力方面投入了大量资源，并承诺在可预见的未来继续维持这些投资和措施。”

参考资料：govinfosecurity.com