9月9日，据国家网络安全通报中心消息，迪奥（上海）公司收到一则行政处罚，起因是客户数据安全防线“失守”，存在三项违规行为。

　　而这在行业内并非个例。今年以来，包括卡地亚（Cartier）、路易威登（Louis Vuitton）在内的奢侈品品牌都发生过数据安全泄露事件。奢侈品品牌在加速数字化的同时，面临严峻的数据安全挑战。

　　品牌营销专家路胜贞对《华夏时报》记者表示，迪奥数据泄露事件背后逻辑是企业对消费者信息数据的采集、使用门槛太低，违法成本太低，也暴露了消费认知、社会监管等综合层面对消费者信息的不规范采集、使用容忍度太高，整个社会个人信息保护意识不成熟。

　　北京瀛和律师事务所高级合伙人、数据要素中心主任陈双对本报记者分析认为，从公安网安部门查明的三项违法事实来看，迪奥（上海）公司的行为并非偶然，而是跨国企业在数据管理中常见的合规缺位，其本质是数据合规意识薄弱，未建立起全流程的数据合规管理体系。

　　迪奥数据安全防线失守

　　据国家网络安全通报中心消息，公安网安部门依法查处迪奥（上海）公司未依法履行个人信息保护义务案。今年5月，多家媒体报道法国时尚消费品牌迪奥发生数据泄露事件，中国大陆地区用户也陆续收到迪奥官方警示短信。对此，公安网安部门组织对迪奥（上海）公司依法开展行政调查。

　　经查，迪奥（上海）公司存在三项违法事实：一是未通过数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证，违规向法国迪奥总部传输用户个人信息；二是向法国迪奥总部提供用户个人信息前，未向用户充分告知其个人信息境外接收方的处理方式，未取得用户“单独同意”；三是未对收集的个人信息采取加密、去标识化等安全技术措施。

　　属地公安机关依据个人信息保护法规定，对迪奥（上海）公司依法予以行政处罚。

　　据此前报道，自5月12日晚间起，迪奥品牌向用户发布短信，表示该品牌发生数据泄露事件。短信内容显示，品牌于2025年5月7日发现，曾有未经授权的外部人员获取了迪奥持有的部分客户数据。泄露的数据包括客户姓名、性别、手机号码、电子邮箱、邮寄地址以及消费金额和偏好及其他该品牌收集的用户信息。被访问的数据库中不包含诸如银行账户详情、国际银行账户号码（IBAN）或信用卡信息等财务信息。

　　5月13日，迪奥官方客服回应表示，确有未经授权的外部方获取含客户信息的部分数据，但涉事数据库中未存储任何金融信息。

　　上海市海华永泰律师事务所高级合伙人、律师孙宇昊对本报记者表示，奢侈品牌长期依赖“高端形象”和“客户尊享服务”建立信任，但在数据治理方面投入不足。许多企业仍将数据合规视为“后台支持职能”，而非战略级风险管控环节，导致合规响应滞后。

　　“这显示出迪奥全球化运营模式与本地合规意识脱节。”孙宇昊指出，迪奥作为跨国奢侈品牌，其业务系统高度集中于总部（法国），客户数据常被统一归集至全球数据中心进行用户画像、精准营销和会员管理。这种“总部主导、区域执行”的管理模式，导致中国子公司在数据处理上缺乏独立决策权，往往被动执行总部指令，忽视中国法律的特殊要求。

　　北京市京师律师事务所律师卢鼎亮对本报记者表示：“迪奥数据泄露事件凸显了全球化运营与数据集中管理需求的冲突，系全球化运营需求与本土数据合规要求之间的矛盾。”

　　卢鼎亮认为，迪奥总部公司在精准营销、供应链协调以及品牌战略制定等方面均需要全球市场用户数据的支撑，但是个人信息保护法、数据出境安全评估办法等法律法规对数据出境设置了严格的安全评估标准和条件。集团及本地企业内部应当建立完善的数据安全管理制度，加强对数据出境，信息告知，加密、去标识化等安全技术措施等环节的有效监督与管控。

　　如何守住用户数据安全防线？

　　事实上，今年奢侈品行业已发生多次数据安全泄露事件。

　　比如，6月有消费者在社交平台反馈，收到了卡地亚发送的邮件通知，称其系统遭入侵后发生数据泄露事件，导致客户个人信息外泄，涉及姓名和出生日期等，但未包含支付信息；7月，法国奢侈品牌路易威登发客户信称发生客户资料外泄事件，近42万名香港客户受影响。

　　“滥用消费者信息是当代商业的公害，具有普遍性，迪奥的事件不是个别现象。”路胜贞认为，发生在迪奥身上，不仅仅是用户信息被侵害，或者用户信任度降低造成客户流失这么简单，它背后潜藏着更敏感的商业经营和法律风险。

　　那么，相关品牌该如何去维护买单人的隐私安全？

　　卢鼎亮认为，针对频繁发生的数据安全泄露事件，奢侈品行业需从合规管理、技术防护、内部管控、消费者沟通等多个层面入手，构建完善的个人信息保护体系。企业在收集、使用、传输消费者个人信息前，企业需以清晰、易懂的方式向消费者充分告知信息处理的目的、方式、范围，以及境外接收方的名称、地址、处理方式、安全措施等关键信息，确保消费者能够全面了解自身信息的去向和风险。同时，应严格遵循“单独同意”原则，对于数据出境、敏感个人信息处理等特殊场景，需单独向消费者获取同意，不得通过“一揽子协议”“默认勾选”等方式强制获取同意，保障消费者的知情权和选择权。

　　陈双对本报记者分析认为，结合个人信息保护法、数据出境安全评估办法等法规要求，相关品牌需从“合规体系搭建、数据全流程管控、应急能力建设”三方面构建数据保护机制。在筑牢数据出境合规底线方面，明确数据出境合规路径，建立数据出境分级管理机制；在完善用户授权与告知机制方面，明确“单独同意”的内容与形式，留存授权证据以备监管核查；在强化技术防护与应急响应方面，部署全生命周期技术防护措施，建立数据泄露应急响应机制。此外，还要夯实内部合规管理基础，明确合规责任体系，定期开展合规培训。

　　路胜贞指出，从技术上保护用户信息安全并没有难度，只要严格遵守消费者信息加密、内部流转管控、外发和离线管理等数据管理流程，消费者信息是很容易被保护的。消费者信息的流失往往是品牌方从意识上就缺乏对消费者的尊重所造成的。

　　“剔除监管因素，单从品牌方来讲，一定要对消费者信息的采集和使用采取慎重的和严格的态度，非必要不采集，消费者隐私数据不采集，违背消费者意愿不采集。”路胜贞提醒，尤其在使用上，一定要严格传送范围和信息流转流程，对于可能越界使用和传播的消费者信息提前给自己划好红线。