从边缘回归：地方法院澄清数据泄露案件中的个体化损害赔偿评估

2025年6月27日，佛罗里达中区地方法院（受第十一巡回法院发回重审）转变立场，驳回了一组原告的集体认证申请。这些原告声称受到2018年春季Brinker国际公司（知名连锁餐厅Chili’s的母公司）网络攻击的影响。

最近的集体认证命令遵循了漫长的程序历史，可追溯至2021年，当时地方法院罕见地在数据泄露诉讼中批准了原告的集体认证动议。法院此前认证了一个集体，包括（i）数据被网络犯罪分子访问的个人；以及（ii）“因减轻数据泄露后果而产生合理费用或花费时间的个人”。

Brinker提出上诉。2023年，第十一巡回法院撤销并发回地方法院的命令。它撤销了下级法院关于诉讼资格的裁决，结论是尽管三名原告均满足第十一巡回法院在数据泄露案件中确立具体损害所需的“实际滥用”标准，但仅有一名指定原告具备诉讼资格，因为其他两名原告的损害无法合理追溯至网络攻击。第十一巡回法院随后对现有集体定义表示担忧——担心其可能不当包括缺乏第三条宪法诉讼资格的个人。鉴于这些担忧，法院发回指示地方法院要么（i）“细化集体定义，仅包括经历欺诈性收费或其数据被发布在暗网上的个人，然后进行更彻底的主导性分析”；要么（ii）重新评估其主导性认定，因为更广泛的集体定义“可能包括未受损害的个人……”。

地方法院选择细化集体定义并进行新的主导性分析。它发现，一旦集体定义被细化为仅包括经历欺诈性收费或其信息被发布在暗网上的个人，“个体问题大量存在”——包括（1）每个推定集体成员在Chili’s餐厅交易的细节，以及（2）每个成员是否经历欺诈性收费或数据被发布在暗网——以至于无法满足《联邦民事诉讼规则》第23条的主导性要求。地方法院还发现，个体化的损害赔偿问题主导了共同问题。地方法院推理认为，第23条要求其考虑是否需要个体化证明来评估每个集体成员的减轻努力，而关于“每个集体成员在减轻方面花费的费用和时间”的证据（每个推定集体成员需要以此证明第三条宪法诉讼资格以索赔损害赔偿）将是高度个体化的。

鉴于集体认证被驳回，地方法院给予原告直至2025年7月25日提交通知，表明其是否打算单独 pursue 其索赔。如果她拒绝这样做，案件将被驳回。

地方法院的裁决对受网络攻击影响的公司来说是一次重大胜利，因为它突显了这些案件中原告索赔高度个体化性质对集体认证造成的重大障碍。随着数据泄露诉讼持续增多，地方法院的决定可能会对原告以集体为基础获得赔偿的能力产生广泛影响。