" ‘数据主权’与‘国家安全’已成为绝对红线,监管的范围不再局限于互联网科技公司,而是实现了全链条、全覆盖。"
" 购买美妆产品竟导致个人信息全面泄露。"
这并非虚构情节,而是众多迪奥(Dior)消费者在遭遇数据安全事件后的真实反馈。
事件溯源至2025年5月,迪奥中国区用户陆续收到官方预警通知,称其个人信息包括姓名、性别、联系方式、通讯地址、消费能力、产品偏好及其他提交信息存在泄露风险,但银行账户、国际银行账号及信用卡等财务数据未受影响。
图源:小红书
该消息引发社会广泛关注。尽管品牌强调金融信息安全,但姓名、联系方式、住址及消费习惯等基础数据已足以构建完整用户画像。
消费者反映:" 消费层级越高,信息暴露越严重。" 更有用户质疑:" 奢侈品消费竟换不来隐私保障。" 多数网民担忧:连高端品牌都存在隐私漏洞,日常电商、外卖平台的数据安全更令人忧虑。
图源:小红书
经公安网安部门立案调查,确认泄露根源为迪奥(上海)公司在向法国总部传输中国用户数据过程中存在重大合规缺陷,导致用户信息处于无保护状态。
数据跨境流动是跨国企业在华运营的必答题,既关系企业合规经营,也涉及国家数据安全与个人信息保护。为此,我们专访法律专家团队,解析以下核心问题:
迪奥违规行为的法律定性?数据出境的合规操作流程?跨国企业如何平衡全球化运营与本土监管要求?
首要违法事实:个人信息跨境传输违规,违反《个人信息保护法》第38条。我国法律明确规定个人信息出境需通过以下合法途径之一:
◎ 1. 通过国家网信部门组织的数据出境安全评估;
◎ 2. 通过国家网信部门认定的专业机构进行个人信息保护认证;
◎ 3. 按照国家网信部门制定的标准合同与境外接收方订立个人信息出境标准合同。
图源:国家网络安全通报中心官方微信公众号
企业向境外传输中国用户数据,必须完成安全评估、专业认证或标准合同备案等法定程序。而迪奥在数据传输过程中未履行任何合规手续,属于典型的"裸奔"行为,构成严重违法。
合规操作要求企业根据数据量级、敏感程度等因素,选择适用的出境通道,完成申报评估、合同签订等流程后方可实施数据传输。
据国家互联网信息办公室公开数据,截至2025年3月,已完成298个数据出境安全评估项目,其中44个涉及重要数据,未通过评估项目7个,不通过率达15.9%。
图源:中华人民共和国国家互联网信息办公室
次要违法事实:未履行告知义务及获取单独同意,违反《个人信息保护法》第39条。
法律要求企业在数据出境前,必须明确告知用户境外接收方身份、联系方式、数据用途及维权途径等信息。
特别强调需获得用户"单独同意",禁止将数据出境条款嵌入冗长用户协议,必须通过显著方式单独提示并获取明确授权。例如采用弹窗提示、独立勾选框等形式供用户自主决策。
经查证,迪奥隐私政策中相关表述模糊简略,未达到"充分告知"法定要求。
图源:Dior 天猫旗舰店会员规则与隐私协议
第三项违法事实:未落实安全技术措施,违反《个人信息保护法》第51条,暴露内部数据安全管理缺陷。
法律明确规定,信息处理者应根据数据敏感级别采取加密、去标识化等防护措施,降低泄露风险。法律专家分析认为,迪奥可能未建立有效的数据安全防护体系,导致风险敞口扩大。
合规解决方案应包括构建分级分类的数据安全管理体系,针对不同敏感程度数据实施差异化技术防护。
上海正策律师事务所董毅智律师指出,迪奥的三项违法行为形成完整违规链条:涵盖内部管理漏洞、法律制度漠视及用户权利侵害,违法事实清晰明确。
值得注意的是,迪奥事件并非个案。2025年以来,多家国际奢侈品牌接连曝出数据安全问题:
6月,卡地亚通知用户系统遭入侵,部分客户姓名、邮箱、地区及出生日期信息泄露,但密码、信用卡等敏感数据未受影响。
随后,路易威登约42万香港客户信息遭泄露,包含姓名、联系方式及消费记录等,香港个人资料隐私专员公署已介入调查。
香港个人资料隐私专员公署对LV数据泄露事件做出回应
数据安全问题已突破奢侈品行业范畴。
近期,英伟达H20算力芯片被曝存在安全隐患,国家网信部门立即启动约谈程序,要求企业说明技术细节并提交合规证明。英伟达CEO黄仁勋回应称产品不存在"后门"程序。
然而路透社援引知情人士消息,美国当局在戴尔、超微等厂商出口的服务器中植入追踪装置,用于监测是否流向中国等受出口管制地区,涉事服务器包含英伟达及AMD芯片。
报道同时指出,目前追踪装置的使用频率及启用时间等细节尚未公开。
图源:路 · 透社
近年来,个人数据跨境泄露导致的"开盒"攻击频发。据新华网调查,此类犯罪主要利用境外"社工库"(整合泄露数据的查询平台)提供有偿信息查询服务。
地下市场报价显示,500元可获取指定人员"全家身份证信息及关系图谱",3300元可购买"酒店入住记录",5000元能获得"个人活动轨迹数据"。外卖订单、快递信息、活动登记表等日常数据均可能成为信息泄露源头……
2018年8月华住酒店集团信息泄露事件曾造成1.3亿用户、5亿条个人信息被暗网出售,标价8比特币或520门罗币……
迪奥及系列数据安全事件不仅暴露跨国企业在数据出境环节的合规缺陷,更引发深层思考:数字化时代,国家如何构建数据安全屏障?即如何维护"数字主权"。
这一概念可类比现实世界的"边境管理"。国家主权在物理空间体现为领土边界与法律体系,在数字空间则表现为对数据、网络、算法及技术系统的控制权。
数字主权作为国家主权在数字空间的延伸,涵盖数据所有权、控制权及决策自主权。例如中国对境内公民和企业数据的收集、存储、流通及跨境传输拥有管辖权。
董毅智律师强调:"数据作为新型生产要素,其主权属性持续强化。我国正构建全方位数字安全屏障,数据全生命周期均纳入法律监管框架,确保安全可控。"
工作人员在检测记录数据运行机柜
迪奥事件成为中国强化数据监管的标志性案例,不仅是企业合规警示,更释放明确信号:数据合规已成为跨国经营的首要前提。
以下为法律专家深度解读:
常东岳
上海央法律师事务所首席合伙人
将英伟达安全争议与迪奥数据违规事件并置分析,可清晰识别政策转向信号:我国已从"发展优先"阶段迈入"安全与发展并重"新阶段,"数据主权"与"国家安全"构成不可逾越的监管红线,监管范围实现全行业、全流程覆盖。
在此背景下,跨国企业在华合规成本显著上升,面临多重挑战:
◎ 第一,合规投入大幅增加,需配置专业团队、开展系统培训、实施安全评估认证等体系化建设。
◎ 第二,数据本地化要求深化,关键行业及敏感数据类型可能被要求境内存储处理,跨境传输审查将更趋严格。
◎ 第三,监管审计常态化,企业需定期接受第三方评估及监管检查,证明持续合规能力。
鲍乐东
上海澜亭(杭州)律师事务所主任
浙商研究院浙商传承研究中心副主任
中国通过《网络安全法》《数据安全法》《个人信息保护法》构建完整数据治理框架,释放明确信号:所有在华经营主体,无论内外资企业,均需遵守中国法律,数据合规领域不存在特殊例外。
监管部门对迪奥事件的处理,实质是维护消费者数据权益,倒逼企业强化安全保障能力。
个人信息保护建议:
◎ 第一,审慎授权App权限,避免过度开放敏感功能。
◎ 第二,主动查阅服务协议,重点关注数据收集及跨境传输条款。
◎ 第三,强化维权意识,发现信息滥用可向企业、网信部门、消协或公安机关投诉。
董毅智
上海正策律师事务所律师
此类案例对内外资企业均具警示意义,数据安全已成为企业运营的核心议题。跨国公司需尊重中国法律特殊性,赋予在华实体足够决策自主权与资源支持,避免简单套用"全球统一标准"。
当前我国数据执法已形成常态化机制,监管技术与执法能力日臻成熟,未来处罚力度与威慑效应将持续增强