奢侈品客户数据泄露！迪奥被罚揭开行业个人信息跨境传输乱象

2025年9月9日，国家网络安全通报中心公布，公安网安部门对迪奥（上海）公司在跨境传输中国个人信息中的三项违法行为做出处罚。此次处罚源于今年5月，法国时尚消费品牌迪奥发生的数据泄露事件。

5月12日，迪奥品牌向用户发布短信，表示该品牌发生数据泄露事件。短信内容显示，品牌于2025年5月7日发现，曾有未经授权的外部人员获取了迪奥持有的部分客户数据。泄露的数据包括客户姓名、性别、手机号码、电子邮箱、邮寄地址以及消费金额和偏好及其他该品牌收集的用户信息。

值得注意的是，这并非奢侈品行业第一起数据泄露案件。2025年6月和7月，卡地亚（Cartier）和法国奢侈品牌路易威登（Louis Vuitton）在中国都分别发生了客户信息泄露事件。虽然，品牌都声称泄露数据并不包含客户的银行卡、密码等敏感信息。但这些事件足以说明，这些看似“高端”的品牌在数据化的管理上表现出出相对的粗放和落后。作为奢侈品的消费者，属于“高净值人群”，这些数据泄露很可能在未来对这些个人造成较大的财产损失。

中国向来是这些外国奢侈品品牌最青睐的市场，但在这一案例中，他们也应当分外注意，中国数据保护制度最具挑战性的方面之一，就是严格的跨境数据传输要求。在向中国营销和售卖奢侈品的同时，他们也应当将中国消费者的个人数据当作是“奢侈品”予以细致的维护。

一、迪奥的三重合规失守

经过公安网安部门对迪奥数据泄露事件的调查，证实其存在三项违法事实，因此根据《个人信息保护法》规定，迪奥（上海）公司依法予以行政处罚：

1、未通过数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证，违规向法国迪奥总部传输用户个人信息。

2、向法国迪奥总部提供用户个人信息前，未向用户充分告知其个人信息境外接收方的处理方式，未取得用户“单独同意”。

3、未对收集的个人信息采取加密、去标识化等安全技术措施。

二、个人信息跨境并非自由流动

在全球数据治理版图中，中国跨境数据监管体系以其精细化管理和高合规成本著称。根据《数据出境安全评估办法》，企业需根据数据类型（重要数据/个人信息）、数量级（10万+/100万+）、主体性质（CIIO/非CIIO）等维度选择合规路径。

迪奥这类奢侈品虽然并非关键信息基础设施运营者，但仍然需要对个人信息进行必要的保护：

（1）涉及大规模个人信息出境（100万+普通信息或1万+敏感信息），需通过安全评估；

（2）涉及10万-100万普通信息或不足1万敏感信息，允许通过标准合同或认证程序实现合规，标准合同备案要求披露数据流向全链条信息。2025年3月更新的《个人信息出境标准合同办法》新增"再转移限制"条款，进一步收紧数据出境后控制；

（3）少量数据出境或履行合同必需场景，虽免于备案但仍需完成个人信息保护影响评估。这种评估要求企业系统梳理数据处理全生命周期风险，并留存至少3年备查。

从公安局做出的处罚来看，虽然看不出迪奥客户的数据量级，但明显，迪奥对其客户信息的跨境传输并未做任何评估或认证。

值得注意的是，2025年4月9日，国家互联网信息办公室发布了《数据出境安全管理政策问答》（以下简称“《跨境数据传输问答》”），就企业如何遵守中国不断发展的跨境数据传输框架提供了切实可行的解读。

跨境数据传输问答指出，“不涉及个人信息和重要数据的一般数据可以跨境自由流动”。也就是说，个人信息和重要数据不可以跨境自由流动。

三、营销并不赋予个人信息出境的必要性

将一定数量的个人信息出境的其中一步是评估该出境是否对公司业务运营必要。更广泛地说，企业需要展示个人信息处理在任何处理活动中的必要性，而不仅仅是数据出境。

具体而言，《个人信息保护法》第六条规定：“处理个人信息应当有明确、合理的目的，与处理目的直接相关，并以对个人权益影响最小的方式进行。个人信息的收集应当限于实现处理目的所需的最小范围，不得过度收集个人信息。”

在今年4月发布的《跨境数据传输问答》解释称，判断个人信息出境是否“必要”有四个关键因素：

（1）是否与数据处理的目的直接相关；

（2）是否最大程度地减少对个人权益的影响；

（3）是否仅限于该目的所需的最小范围；

（4）数据保留期是否短到足以达到该目的。

值得注意的是，在2024年8月发布的中国首例涉及个人信息跨境传输的司法判决中，一家国际酒店因跨境传输并处理个人信息被判承担侵权责任。被告某高公司基于管理中央预订系统、处理个人预定、客户服务管理、营销等处理目的，将原告的个人信息传输给了六个国家的七个境外接收方。其中基于营销目的将原告的个人信息传输至了美国和爱尔兰。

然而在判决中，法院认为，基于营销目的将原告的个人信息传输至美国和爱尔兰不具有必要性，因为《个保法》允许个人拒绝商业营销。

而且当前实践中，网信部门可能对将个人信息传输至境外总部酒店中央预定系统的必要性，也同样持否定态度。

虽然在迪奥的案例中，公安部门并未对迪奥跨境传输个人数据的必要性做出违法认定。但如果迪奥在跨境传输数据之前，履行告知义务，并根据法律法规进行必要的评估或认证，这一必要性很可能会受到监管部门或个人的质疑。迪奥的客户完全可以以该品牌“未能真实、准确、完整地向原告告知其个人信息跨境传输的情况，也未获得原告的单独同意”，根据《民法典》直接提起侵权诉讼，而无需任何前置条件。

四、安全裸奔：去标识化缺失放大泄露风险

《个人信息保护法》第五十一条明确要求，个人信息处理者应采取去标识化等安全技术措施来履行安全保护义务。“去标识化”是对个人信息进行处理，使其在不借助额外信息的情况下无法识别或关联到特定的个人。这种处理通常是可逆的，意味着在某种程度上保留了信息的基本可用性，同时去除了直接或间接识别个人的信息。

这一技术措施之所以必要，是因为它降低了与数据泄露相关的风险——如果数据被去识别化，暴露的信息就不太可能伤害个人，减少了数据泄露的道德和财务影响。因此，能否实现个人信息的去标识化对于企业来讲是非常重要的合规义务，特别是在个人数据跨境传输的过程当中。

迪奥的数据泄露，是在完全没有“去标识化”这类安全技术措施的情况下发生的。因此，对于其客户的风险巨大。虽然泄露的信息本身并非敏感信息，但因为我们的个人数据开放和共享范围不同，潜在攻击者的背景知识、攻击能力和攻击动机也是不同的。攻击者很可能通过多个数据库集中分析和推断出一些相关的隐私和敏感信息。

值得注意的是，根据将于2025年11月1日起施行《数据安全技术敏感个人信息处理安全要求》，泄露的信息并非“敏感信息”，该标准仍保留了基于风险的方法：如果信息的泄露或滥用可能损害个人尊严、安全或财务安全，或者看似非敏感数据的聚合构成此类风险，则信息仍可被归类为敏感信息。

五、监管趋势：从“毛坯”到“精装修”

随着《网络数据安全管理条例》等配套细则陆续出台，2025年中国数据监管体系已进入"精装修"阶段。根据2025年上半年数据，中国网信办针对数据违规的行政处罚中，约72%涉及未落实等保要求或未完成出境评估等程序性违规。

不过，我国也正在简化企业个人信息出境流程的措施。获得认证的跨国集团将被允许在内部跨境传输个人信息，而无需与每个海外子公司签署单独的标准合同。这也降低了法律复杂性，加快了业务流程，并使中国公司与其海外子公司之间的合作更加高效。

因此，向中国境内提供产品或服务的跨国公司，应当对其基于全球隐私政策进行本地化调整，开展个人信息保护影响评估，审慎评估是否触发数据跨境传输监管机制，并建立符合中国法要求的定制化数据合规体系。

作者：《互联网法律评论》

【免责声明】本文撰写所需的信息采集自合法公开的渠道，我们无法对信息的真实性、完整性和准确性提供任何形式的保证。本文仅为分享、交流信息之目的，不构成对任何企业、组织和个人的决策依据。

声明：本文来自Internet Law Review，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。