文 / 巴九灵
“买个口红,结果把全家底儿都交了。”
这不是段子,而是许多迪奥(Dior)客户在经历数据泄露事件后的真实心声。
事情的起因,要追溯到今年5月,多名迪奥中国区客户收到官方发送的警示短信,称其姓名、性别、手机号码、电子邮箱地址、邮寄地址、消费水平、偏好,以及客户提供的其他信息可能遭到外泄,但不涉及银行账户详情、国际银行账户号码或信用卡信息等财务信息。
图源:小红书
消息一出,网络上立刻讨论了起来。虽说迪奥表示银行账户等敏感信息未遭泄露,但日常生活中最常用的姓名、联系方式、住址、消费偏好等,已经足以拼凑出一个人的画像。
有人抱怨:“掏的钱越多,信息泄露得越彻底。”也有人调侃:“看来奢侈的不是包,是个人隐私。”更多网友则表达了担忧:奢侈品品牌连最基本的隐私都保护不了,那平时留下的电商、外卖数据岂不是更危险?
图源:小红书
最终,公安网安部门对迪奥(上海)公司开展调查。结果显示,泄露的原因是,迪奥将中国用户数据传输到法国总部时,出现了严重的违规行为,才导致了用户信息的“裸奔”。
数据出境,是每一家跨国企业在中国经营时都绕不开的课题。它不仅关乎企业合规,也触及国家数据安全、个人隐私保护等敏感议题。为此,小巴咨询了多位律师,试图解答:
迪奥做错了什么?正确、合规的做法应该如何?跨国企业如何在“全球化业务需要”和“本土安全红线”之间找到平衡?
迪奥做错了什么?
首先,迪奥的第一项违法事实是个人信息违规出境,触犯了《个人信息保护法》第38条。按照我国法律,个人信息出境必须通过三条合法通道之一:
◎1.通过国家网信部门组织的数据出境安全评估;
◎2.通过国家网信部门认定的专业机构进行个人信息保护认证;
◎3.按照国家网信部门制定的标准合同与境外接收方订立个人信息出境标准合同。
图源:国家网络安全通报中心官方微信公众号
简单来说,企业想把中国用户的信息传到国外,要么接受官方安全评估,要么通过专业认证,要么签订合规合同。然而,迪奥把中国用户的数据传到法国总部时,三条路都没走,直接把数据传出去了,是典型的数据出境“裸奔”行为,也是其最根本、最严重的违法事实。
在合规操作中,企业应结合自身业务情况,如传输数据量、数据敏感程度等,选择上述合规路径中的一条或多条,完成申报、评估、认证或合同签订等程序,获得许可后方可启动数据出境。
根据国家互联网信息办公室发布的文件,截至2025年3月,国家互联网信息办公室共完成数据出境安全评估项目298个,其中,44个申报项目涉及重要数据,评估结果为不通过的7个,不通过率为15.9%。
图源:中华人民共和国国家互联网信息办公室
其次,迪奥的第二项违规,是未向用户告知且未获得单独同意,违反了《个人信息保护法》第39条。
法律规定,企业在向境外传输用户个人数据前,必须明确告知用户:是谁要接收这些数据、接收方的联系方式、这些数据会用来干什么、用户遇到问题该找谁维权等。
并且,企业还应在此基础上取得“单独同意”,这意味着不能将数据出境问题埋藏于冗长的用户协议中,而必须通过显著方式单独提醒,并征得用户的明确授权。例如,应以弹窗、勾选框等形式,让用户就该事项单独作出决定。
然而,迪奥在隐私政策中对此一笔带过,甚至使用模糊表述,显然未做到“充分告知”。
图源:Dior天猫旗舰店会员规则与隐私协议
最后,迪奥的第三项违规,是未采取必要的安全技术措施,违反《个人信息保护法》第51条,属于典型的内部数据安全管理缺失。
法律要求,信息处理者应依据数据敏感性采取相应措施,例如加密、去标识化,以降低泄露或滥用的风险。律师认为,迪奥很可能在收集和存储环节未建立有效的技术防护体系,从而显著增加了风险。
正确的做法,应当是建立完善的数据安全管理体系,根据不同类型和敏感程度的数据采取相应的技术防线。
综上,上海正策律师事务所律师董毅智表示,迪奥的这三项违法事实形成了完整的违规链条:既包括内部管理漏洞,也涉及对法律制度的无视,最终导致对用户权利的侵害。此案可谓“求锤得锤”,违法行为非常明显。
当数据“裸奔”到海外
然而,迪奥并非个案。今年以来,多家奢侈品品牌接连踩雷:
6月,卡地亚也向消费者发出类似通知,称其系统遭遇入侵,发生了数据泄露事件,部分客户的姓名、电子邮箱地址、所在国家/地区及出生日期被外泄,但不涉及密码、信用卡数据或其他银行信息资料等敏感数据。
紧接着,路易威登也失守防线,约42万香港客户的资料遭到泄露,包含姓名、电话号码、购物记录等。目前,香港个人资料隐私专员公署已展开调查。
香港个人资料隐私专员公署对LV数据泄露事件做出回应
但数据安全问题远不止于奢侈品行业。
前段时间,英伟达H20算力芯片被曝出存在严重安全隐患,国家互联网信息办公室随即约谈英伟达,要求其说明技术细节并提交证明材料。对此,黄仁勋亲自回应称,英伟达芯片不存在“后门”。
然而,路透社随后发文称,据知情人士透露,美国当局在戴尔、超微等厂商出货的服务器中安装了追踪器,用以检测是否被转运至中国等受美国出口管制的地区,而这些服务器包含了英伟达和AMD的芯片。
路透社还补充表示,目前尚不清楚追踪器在芯片调查中的使用频率,也不清楚美国当局何时开始使用它们来调查芯片走私。
图源:路透社
近年来,个人数据泄露至海外,使得恶意“开盒”事件层出不穷。据新华网报道,用以“开盒”的个人隐私信息大多来自海外“社工库”(一种由泄露数据打造的信息查询库),不法分子根据买家需求提供“有偿查询”。
一份由某卖家提供的“报价单”显示,500元可购买指定人员的“全家身份证号和照片关系”、3300元可购买“开房信息”、5000元则可获得指定人员的“日常生活轨迹信息”。一张外卖单、一个快递盒、一次街头活动随手填写的个人信息,都可能成为“被开盒”的素材……
早在2018年8月,华住旗下多个连锁酒店客户信息数据便遭遇过大规模泄露,涉及约1.3亿人的5亿条公民个人信息,被挂上暗网打包出售,售价8比特币或520门罗币……
守护数字国门
迪奥和多起数据泄露事件不仅暴露了跨国企业在数据出境和用户信息保护上的违规行为,在危及个人隐私安全的同时,更折射出一个宏大的问题:在数字化时代,国家如何保护自己的数据?换句话说,如何维护“数字主权”。
这个概念听上去有些抽象,其实可以用现实世界的“国门”做类比。国家主权在物理世界中,体现在疆土边界、法律制度等,而在数字世界中,则由数据、网络、算法、技术等构成。
所谓数字主权,就是国家主权在数字化空间的延伸,涵盖对数据、信息、技术及相关系统的所有权、控制权及独立决策权。例如,数据主权意味着中国有权决定境内公民和企业的数据如何被收集、存储、流通,以及能否被传输到境外。
董毅智表示:“数据作为新型生产要素,其主权属性正不断强化。我国正在系统性、全方位地构建数字主权与国家安全屏障。从采集、处理到传输、出境,整个生命周期都被纳入法律和监管框架,以确保安全可控。”
工作人员在检测记录数据运行机柜
迪奥被罚事件,是中国加强数据监管的一个清晰注脚,它不仅仅是一个单一的企业合规案例,更是对所有跨国企业的提醒和警示:数据合规是头等大事,不可轻视。
接下来,我们就来听听几位律师专家的看法。
大头有话说
常东岳
上海央法律师事务所首席合伙人
英伟达的后门疑虑与奢侈品迪奥(上海)的数据违规放在一起看,会发现其背后存在一致的政策信号:我国已经从过去的“发展优先”阶段,转向了“安全与发展并重”的新阶段,“数据主权”与“国家安全”已成为绝对红线,监管的范围不再局限于互联网科技公司,而是实现了全链条、全覆盖。
在新的形势下,跨国公司在华经营的合规压力必然加大,未来可能面临许多新的挑战和要求:
◎第一,合规成本急剧上升,需要投入大量资金和人力用于建设合规体系,如聘请专业团队、开展员工培训、申请安全评估与认证等。
◎第二,“中国数据本地化”要求可能深化,对于某些关键行业和数据类型,监管层可能会鼓励或要求将数据存储在中国境内,进行本地化处理和运营,出境将受到更严格的审查。
◎第三,审计与监督要求会更严格,企业可能会被要求定期接受第三方审计或监管部门的监督检查,以证明其持续合规。
鲍乐东
上海澜亭(杭州)律师事务所主任
浙商研究院浙商传承研究中心副主任
中国正在通过《网络安全法》《数据安全法》和《个人信息保护法》这“三驾马车”,全面构建起数据治理体系。这背后释放的信号很明确:所有在华运营的企业,无论内外资,都必须遵守中国的法律,在数据合规方面没有任何例外。
因此我国监管部门对迪奥事件的这类处罚,对普通消费者而言是绝对的利好,它倒逼企业更加重视我们的数据安全。
而作为个人,我们有三点可以做:
◎第一,提高警惕,不轻易同意App的所有权限请求。
◎第二,主动了解,在使用服务时,关注其隐私政策中关于数据收集和跨境传输的内容。
◎第三,勇敢维权,如果发现个人信息被不当处理,可以向企业、国家网信办、工信部、消费者协会或公安机关投诉。
董毅智
上海正策律师事务所律师
此类案例不仅提醒外企,也警示本土及出海企业必须高度重视数据安全问题。对于跨国公司而言,需要尊重中国法律的特殊性,给予在华子公司更多自主权与资源,而不能单纯坚持“全球统一标准”。
目前,我国对此类事件的执法已经常态化、严格化。监管机构已具备成熟的技术与执法能力,未来处罚可能常态化,罚款金额与威慑力也将显著提升。
