从边缘回归：地区法院澄清数据泄露案件中的个体化损害评估

2025年7月3日，作者：Gavin Reinke、Ashley Miller 和 Amanda Wellen

2025年6月27日，佛罗里达州中部地区法院在第十一巡回法院发回重审后，改变了立场，拒绝了一组原告的集体认证。这些原告声称受到2018年春季对Brinker International, Inc.（知名连锁餐厅Chili’s的母公司）的网络攻击的影响。

最近的集体认证命令遵循了漫长的程序历史，可追溯至2021年，当时地区法院发布了命令，批准了原告的集体认证动议——这在数据泄露诉讼中实属罕见。法院此前认证了一组个人（i）其数据被网络犯罪分子访问；以及（ii）那些“因减轻数据泄露后果而产生合理费用或花费时间”的人。

Brinker提出上诉。2023年，第十一巡回法院撤销并发回了地区法院的命令。它撤销了下级法院关于诉讼资格的裁决，结论是尽管所有三名原告均满足了第十一巡回法院在数据泄露案件中确立具体损害所需的“实际滥用”标准，但只有三名指定原告中的一名具有诉讼资格，因为其他两名原告的损害无法合理追溯至网络攻击。第十一巡回法院随后对现有的集体定义表示担忧——以及它是否会不当包括缺乏第三条诉讼资格的个人。鉴于这些担忧，它发回重审，指示地区法院要么（i）“细化集体定义，仅包括[经历欺诈性收费或其数据被发布在暗网上的人]，然后进行更深入的主导性分析”；要么（ii）重新评估其主导性发现，因为更广泛的集体定义“可能包括未受伤的个人……”。

地区法院选择细化集体定义并进行新的主导性分析。它发现，一旦集体定义被细化为仅包括经历欺诈性收费或其信息被发布在暗网上的人，“个体问题大量存在”——包括（1）每个潜在集体成员在Chili’s餐厅交易的细节，以及（2）每个成员是否经历欺诈性收费或有数据被发布在暗网上——以至于无法满足Rule 23的主导性要求。地区法院还发现，个体化的损害赔偿问题主导了共同问题。地区法院推理认为，Rule 23要求它考虑是否需要个体化证明来评估每个集体成员的减轻努力，并且关于“每个集体成员在减轻方面花费的费用和时间”的证据——这是每个潜在集体成员证明第三条诉讼资格以索赔损害赔偿所必需的——将高度个体化。

鉴于集体认证被拒绝，地区法院已给予原告直至2025年7月25日提交通知，表明她是否打算单独追索其索赔。如果她拒绝这样做，案件将被驳回。

地区法院的裁决对受网络攻击影响的公司来说是一次重大胜利，因为它突显了原告在这些案件中的索赔高度个体化性质对集体认证造成的重大障碍。随着数据泄露诉讼继续激增，地区法院的决定可能会对原告以集体为基础获得赔偿的能力产生广泛影响。