像Indigo这样的数据泄露是针对员工，而不是客户你能起诉吗?

靛蓝公司(Indigo)发生了一起影响现任和前任员工的重大数据泄露事件，这引发了一个问题:如果加拿大员工的个人信息可能在泄露中暴露，他们有什么权利?

但律师和隐私专家在接受《环球新闻》采访时表示，加拿大几乎没有立法规定雇主对员工数据负有何种义务，对那些可能受到影响的人来说，赔偿途径也很少。

Indigo本周表示，将不会向参与此次攻击的黑客支付赎金，受影响的员工数据最早可能于周四开始出现在“暗网”上。《环球新闻》(Global News)看到了该书商在早些时候致受影响个人的一封信，信中说，可能被泄露的数据包括员工姓名、电子邮件地址、社会保险号码和银行信息。

Indigo并不是最近唯一一家面临可能影响员工数据泄露的知名公司。

Telus上周告诉《环球新闻》，它正在调查员工数据被泄露并发布在“暗网”上的说法，但没有回应有关可能被泄露的信息类型的后续询问。

索贝斯的母公司帝国公司、安大略省酒类管制局(LCBO)和多伦多患病儿童医院是最近遭受网络安全事件打击的其他企业和公共机构。

总部位于多伦多的McCarthy Tétrault LLP的高级律师巴里·苏克曼(Barry Sookman)表示，近几个月来，该公司的律师接到了越来越多关于数据泄露的电话。

他告诉《环球新闻》，这类案件曾经很少发生，但现在“很猖獗”。

他说:“对于数据泄露案件，我们几乎每天都有新的案件发生。”“这太普遍了。”

在个人数据被泄露后，雇员可以起诉雇主吗?

苏克曼说，像Indigo这样的事件和Telus可能的泄漏事件的区别在于，通常情况下，被泄露的是客户数据，而不是员工数据。他笼统地谈到了类似的情况，但没有直接对《环球新闻》发表评论。

他补充说，对于员工数据被泄露的事件，没有太多的判例法可以借鉴，但安大略省上诉法院最近的一项裁决使此类案件的集体诉讼前景变得黯淡。

McCarthy Tétrault的律师写道，去年年底的一系列决定，包括涉及Equifax Canada和万豪国际(Marriott International)数据泄露的案件，“坚定地关上了”对受到数据泄露影响的公司发起集体诉讼的“大门”。

苏克曼解释说，在公司自身受到攻击后，很难追究公司的责任。他说，如果该公司本身在不当行为中发挥了作用，情况就会有所不同。

苏克曼说，有人认为雇主对员工的敏感信息负有保密义务，但他补充说，这些也很难成为确立责任的依据。

“问题是，如果有第三方黑客入侵，雇主是否违反了保密义务?这是一个艰难的论点，”他说。

联邦个人信息保护和电子文件法案(PIPEDA)确实为员工信息提供了一些保障措施。但苏克曼指出，这只适用于联邦政府监管的行业，如银行业或运输业，而不适用于私营行业。

• 法院对莫某减刑骑警杀手贾斯汀·布尔克
• 卑诗省总理誓言调查大麻公司批准生产和销售可卡因的报道

当数据泄露发生在PIPEDA范围内时，可以向隐私专员办公室提出投诉。如果专员调查并找到诉讼原因，就可以寻求赔偿，但苏克曼说，这个数额通常不是“很大”。

英国隐私专员办公室上周在一份声明中向《环球新闻》证实，他们已经收到了来自Indigo的数据泄露通知，目前正在与该公司沟通下一步措施。

隐私专员的发言人周三再次证实，该办公室没有收到任何关于此事的投诉。

加拿大涉及工作场所的隐私立法往往因省而异，所以很难就法律允许什么、不允许什么做出笼统的陈述。

Samfiru Tumarkin LLP驻卡尔加里的雇佣律师凯伦·特雷波斯基(Karen Tereposky)代表艾伯塔省表示，隐私立法倾向于保护公司免受“善意”的侵犯。

“除非是恶意的，否则他们就不会受到法律诉讼。很难知道这个标准在哪里。这是非常主观的，”她说。“但总的来说，艾伯塔省的隐私立法保护组织免受这类事件的影响。”

特雷波斯基说，美国南部的情况就不一样了，那里的公司在泄露用户数据时更容易面临诉讼。

她怀疑，如果要推动立法改革以应对最近的违规行为，那应该是对受影响方的赔偿进行监管和标准化，而不是让公司面临更多的法律诉讼。

她说:“在加拿大，我们倾向于对事物进行监管，而不仅仅是诉讼。”

在你的数据被泄露后，你有什么选择?

数据泄露后，Indigo向可能受影响的员工提供了信用监控服务。

苏克曼说，除非这一提议附带明确的语言，在接受这些服务或任何其他赔偿后放弃起诉损害赔偿的权利，否则接受这样的服务不会影响个人参与未来潜在法律诉讼的权利。

安省前隐私专员安·卡沃吉安(Ann Cavoukian)表示，除了修改账户密码等典型的网络安全卫生措施外，受影响的个人还应该监控他们的网络空间，以防钓鱼企图等可疑活动。

Cavoukian告诉《环球新闻》，当数据在雇主手中时，员工几乎无法主动保护自己的数据，因为很少有雇佣合同在条款中包含这种保护措施。

但这并不意味着你不能试着让他们对他们处理数据的方式负责。

“我会敦促他们与自己的老板和Indigo的负责人谈谈，问问他们，‘你们在保护我的数据方面做了什么?你正在做什么来确保我的数据不被滥用或不适当地访问?’”她说。

Tereposky说，对于雇主在你离职后可以保留你的信息多长时间并没有规定——就像许多隐私法一样，这归结为一个“合理”的标准。

她补充说，如果你要求删除你的数据，然后数据遭到黑客攻击，这可能有助于在未来的案件中证明你的主张。

同样，如果你发现自己的账户在数据泄露后被泄露，或者你的身份被窃取，Cavoukian说，通知警方记录这一事件并为未来的索赔奠定基础是很重要的。

“这是人们必须非常注意的。你必须……以某种方式证明你所声称的是真实的，”她说。

苏克曼说，虽然许多公司花了大量时间来保护客户数据，但像Indigo这样的案例可能表明，对员工的保护并不经常达到同样的水平。

他说:“公司应该审视他们的政策和流程，确保他们考虑到可能会有影响员工数据的恶作剧，他们应该对员工数据采取至少与对待其他数据相同的措施。”

Cavoukian希望最近的入侵事件能给那些需要加强内部网络安全实践的公司敲响警钟。她认为，预先建立强有力的流程可以阻止黑客试图突破一家公司的防御，就像安全公司在为你的家提供安全保护后，会在你的窗户上留下贴纸一样。

她说:“确保你的公司是黑客想要离开的地方，因为保护措施太强大了。”

“你们有强有力的隐私政策和安全措施吗?如果你不喜欢，那就去做吧。放下其他一切。制定一个非常严格的隐私政策来保护你的数据，你员工的数据，你客户的数据。所有这些都必须得到保护。”

——还有《环球新闻》记者肖恩·博因顿的文件