事件概述 - 特拉华州最高法院裁定，允许网络保险公司就其为客户支付的索赔，向软件和数据托管公司Blackbaud Inc.追偿 [1] - 事件源于2020年7月，网络攻击者侵入Blackbaud系统数月并窃取客户数据，以此勒索 [2] - Blackbaud的客户因不满公司对攻击的响应，自行进行调查和补救，并向其自身保险公司索赔相关费用 [3][4] 涉事方与索赔金额 - 四家保险公司为Blackbaud的97家教育和非营利客户提供了网络及犯罪事件保险 [5] - 其中，Philadelphia Indemnity向其被保险人支付了超过60万美元，Travelers Casualty and Surety支付了超过150万美元 [5] - 保险公司随后作为被保险人的代位求偿权人/受让人，对Blackbaud提起诉讼，指控其违约和过失 [5] 诉讼过程与法律争议 - 下级法院（高等法院）曾驳回保险公司的起诉，理由包括未能为每个客户的索赔提供事实支持，以及未能证明Blackbaud是损失的近因 [6] - 保险公司上诉，辩称特拉华州法律并未禁止代位求偿索赔的合并起诉，且在驳回动议阶段无需将损失与具体合同条款关联 [7] - 特拉华州最高法院本周支持了保险公司，推翻了高等法院的裁决并将案件发回重审 [7] 合同与起诉标准分析 - Blackbaud的合同受纽约实体法管辖，起诉要求受特拉华州法律管辖 [8] - 最高法院裁定，保险公司满足了纽约合同法关于违约索赔的四要素（合同存在、原告履约、被告违约、产生损害），也符合特拉华州的起诉标准 [8][9] - 保险公司指控Blackbaud违反了合同中的多项信息安全承诺，并忽视了网络安全措施过时等警告信号 [10] - 被保险人因违约遭受的损害包括聘请计算机取证公司、外部律师、打印邮寄通知公司以及提供信用监控等费用 [11] 最高法院的裁决理由 - 最高法院认为，在起诉阶段无需提供每个被保险人如何应对数据泄露及产生费用的具体细节，这些可在证据开示阶段探究 [12][13] - 最高法院指出，合理的陪审团可以认定Blackbaud的违约是被保险人调查和补救费用的近因 [14] - 一旦原告提出了损害由被告造成的合理推断，损害可以一般性地陈述 [14] Blackbaud的后续披露与处罚 - Blackbaud在2020年7月于官网披露了漏洞，最初告知客户无需采取行动，后于9月的8-K文件中承认攻击者可能访问了未加密的银行账户信息、社会安全号码等字段 [15] - 2023年，Blackbaud同意向美国证券交易委员会支付300万美元罚款，以了结关于其对网络攻击做出误导性披露的指控 [15] - Blackbaud还支付了4900万美元，以了结由全美50个州总检察长提起的州法律索赔 [15]