“‘數據主權’與‘國家安全’已成為絕對紅線，監管的範圍不再局限於互聯網科技公司，而是實現了全鏈條、全覆蓋。”

文 / 巴九靈

“買個口紅，結果把全家底兒都交了。”

這不是段子，而是許多迪奧（Dior）客戶在經曆數據泄露事件後的真實心聲。

事情的起因，要追溯到今年5月，多名迪奧中國區客戶收到官方發送的警示短信，稱其姓名、性別、手機號碼、電子郵箱地址、郵寄地址、消費水平、偏好，以及客戶提供的其他信息可能遭到外泄，但不涉及銀行賬戶詳情、國際銀行賬戶號碼或信用卡信息等財務信息。

圖源：小紅書

消息一出，網絡上立刻討論了起來。雖說迪奧表示銀行賬戶等敏感信息未遭泄露，但日常生活中最常用的姓名、聯係方式、住址、消費偏好等，已經足以拚湊出一個人的畫像。

有人抱怨：“掏的錢越多，信息泄露得越徹底。”也有人調侃：“看來奢侈的不是包，是個人隱私。”更多網友則表達了擔憂：奢侈品品牌連最基本的隱私都保護不了，那平時留下的電商、外賣數據豈不是更危險？

圖源：小紅書

最終，公安網安部門對迪奧（上海）公司開展調查。結果顯示，泄露的原因是，迪奧將中國用戶數據傳輸到法國總部時，出現了嚴重的違規行為，才導致了用戶信息的“裸奔”。

數據出境，是每一家跨國企業在中國經營時都繞不開的課題。它不僅關乎企業合規，也觸及國家數據安全、個人隱私保護等敏感議題。為此，小巴谘詢了多位律師，試圖解答：

迪奧做錯了什麽？正確、合規的做法應該如何？跨國企業如何在“全球化業務需要”和“本土安全紅線”之間找到平衡？

迪奧做錯了什麽？

首先，迪奧的第一項違法事實是個人信息違規出境，觸犯了《個人信息保護法》第38條。按照我國法律，個人信息出境必須通過三條合法通道之一：

◎1.通過國家網信部門組織的數據出境安全評估；

◎2.通過國家網信部門認定的專業機構進行個人信息保護認證；

◎3.按照國家網信部門製定的標準合同與境外接收方訂立個人信息出境標準合同。

圖源：國家網絡安全通報中心官方微信公眾號

簡單來說，企業想把中國用戶的信息傳到國外，要麽接受官方安全評估，要麽通過專業認證，要麽簽訂合規合同。然而，迪奧把中國用戶的數據傳到法國總部時，三條路都沒走，直接把數據傳出去了，是典型的數據出境“裸奔”行為，也是其最根本、最嚴重的違法事實。

在合規操作中，企業應結合自身業務情況，如傳輸數據量、數據敏感程度等，選擇上述合規路徑中的一條或多條，完成申報、評估、認證或合同簽訂等程序，獲得許可後方可啟動數據出境。

根據國家互聯網信息辦公室發布的文件，截至2025年3月，國家互聯網信息辦公室共完成數據出境安全評估項目298個，其中，44個申報項目涉及重要數據，評估結果為不通過的7個，不通過率為15.9%。

圖源：中華人民共和國國家互聯網信息辦公室

其次，迪奧的第二項違規，是未向用戶告知且未獲得單獨同意，違反了《個人信息保護法》第39條。

法律規定，企業在向境外傳輸用戶個人數據前，必須明確告知用戶：是誰要接收這些數據、接收方的聯係方式、這些數據會用來幹什麽、用戶遇到問題該找誰維權等。

並且，企業還應在此基礎上取得“單獨同意”，這意味著不能將數據出境問題埋藏於冗長的用戶協議中，而必須通過顯著方式單獨提醒，並征得用戶的明確授權。例如，應以彈窗、勾選框等形式，讓用戶就該事項單獨作出決定。

然而，迪奧在隱私政策中對此一筆帶過，甚至使用模糊表述，顯然未做到“充分告知”。

圖源：Dior天貓旗艦店會員規則與隱私協議

最後，迪奧的第三項違規，是未采取必要的安全技術措施，違反《個人信息保護法》第51條，屬於典型的內部數據安全管理缺失。

法律要求，信息處理者應依據數據敏感性采取相應措施，例如加密、去標識化，以降低泄露或濫用的風險。律師認為，迪奧很可能在收集和存儲環節未建立有效的技術防護體係，從而顯著增加了風險。

正確的做法，應當是建立完善的數據安全管理體係，根據不同類型和敏感程度的數據采取相應的技術防線。

綜上，上海正策律師事務所律師董毅智表示，迪奧的這三項違法事實形成了完整的違規鏈條：既包括內部管理漏洞，也涉及對法律製度的無視，最終導致對用戶權利的侵害。此案可謂“求錘得錘”，違法行為非常明顯。

當數據“裸奔”到海外

然而，迪奧並非個案。今年以來，多家奢侈品品牌接連踩雷：

6月，卡地亞也向消費者發出類似通知，稱其係統遭遇入侵，發生了數據泄露事件，部分客戶的姓名、電子郵箱地址、所在國家/地區及出生日期被外泄，但不涉及密碼、信用卡數據或其他銀行信息資料等敏感數據。

緊接著，路易威登也失守防線，約42萬香港客戶的資料遭到泄露，包含姓名、電話號碼、購物記錄等。目前，香港個人資料隱私專員公署已展開調查。

香港個人資料隱私專員公署對LV數據泄露事件做出回應

但數據安全問題遠不止於奢侈品行業。

前段時間，英偉達H20算力芯片被曝出存在嚴重安全隱患，國家互聯網信息辦公室隨即約談英偉達，要求其說明技術細節並提交證明材料。對此，黃仁勳親自回應稱，英偉達芯片不存在“後門”。

然而，路透社隨後發文稱，據知情人士透露，美國當局在戴爾、超微等廠商出貨的服務器中安裝了追蹤器，用以檢測是否被轉運至中國等受美國出口管製的地區，而這些服務器包含了英偉達和AMD的芯片。

路透社還補充表示，目前尚不清楚追蹤器在芯片調查中的使用頻率，也不清楚美國當局何時開始使用它們來調查芯片走私。

圖源：路透社

近年來，個人數據泄露至海外，使得惡意“開盒”事件層出不窮。據新華網報道，用以“開盒”的個人隱私信息大多來自海外“社工庫”（一種由泄露數據打造的信息查詢庫），不法分子根據買家需求提供“有償查詢”。

一份由某賣家提供的“報價單”顯示，500元可購買指定人員的“全家身份證號和照片關係”、3300元可購買“開房信息”、5000元則可獲得指定人員的“日常生活軌跡信息”。一張外賣單、一個快遞盒、一次街頭活動隨手填寫的個人信息，都可能成為“被開盒”的素材……

早在2018年8月，華住旗下多個連鎖酒店客戶信息數據便遭遇過大規模泄露，涉及約1.3億人的5億條公民個人信息，被掛上暗網打包出售，售價8比特幣或520門羅幣……

守護數字國門

迪奧和多起數據泄露事件不僅暴露了跨國企業在數據出境和用戶信息保護上的違規行為，在危及個人隱私安全的同時，更折射出一個宏大的問題：在數字化時代，國家如何保護自己的數據？換句話說，如何維護“數字主權”。

這個概念聽上去有些抽象，其實可以用現實世界的“國門”做類比。國家主權在物理世界中，體現在疆土邊界、法律製度等，而在數字世界中，則由數據、網絡、算法、技術等構成。

所謂數字主權，就是國家主權在數字化空間的延伸，涵蓋對數據、信息、技術及相關係統的所有權、控製權及獨立決策權。例如，數據主權意味著中國有權決定境內公民和企業的數據如何被收集、存儲、流通，以及能否被傳輸到境外。

董毅智表示：“數據作為新型生產要素，其主權屬性正不斷強化。我國正在係統性、全方位地構建數字主權與國家安全屏障。從采集、處理到傳輸、出境，整個生命周期都被納入法律和監管框架，以確保安全可控。”

工作人員在檢測記錄數據運行機櫃

迪奧被罰事件，是中國加強數據監管的一個清晰注腳，它不僅僅是一個單一的企業合規案例，更是對所有跨國企業的提醒和警示：數據合規是頭等大事，不可輕視。

接下來，我們就來聽聽幾位律師專家的看法。

大頭有話說

常東嶽

上海央法律師事務所首席合夥人

英偉達的後門疑慮與奢侈品迪奧（上海）的數據違規放在一起看，會發現其背後存在一致的政策信號：我國已經從過去的“發展優先”階段，轉向了“安全與發展並重”的新階段，“數據主權”與“國家安全”已成為絕對紅線，監管的範圍不再局限於互聯網科技公司，而是實現了全鏈條、全覆蓋。

在新的形勢下，跨國公司在華經營的合規壓力必然加大，未來可能麵臨許多新的挑戰和要求：

◎第一，合規成本急劇上升，需要投入大量資金和人力用於建設合規體係，如聘請專業團隊、開展員工培訓、申請安全評估與認證等。

◎第二，“中國數據本地化”要求可能深化，對於某些關鍵行業和數據類型，監管層可能會鼓勵或要求將數據存儲在中國境內，進行本地化處理和運營，出境將受到更嚴格的審查。

◎第三，審計與監督要求會更嚴格，企業可能會被要求定期接受第三方審計或監管部門的監督檢查，以證明其持續合規。

鮑樂東

上海瀾亭（杭州）律師事務所主任

浙商研究院浙商傳承研究中心副主任

中國正在通過《網絡安全法》《數據安全法》和《個人信息保護法》這“三駕馬車”，全麵構建起數據治理體係。這背後釋放的信號很明確：所有在華運營的企業，無論內外資，都必須遵守中國的法律，在數據合規方麵沒有任何例外。

因此我國監管部門對迪奧事件的這類處罰，對普通消費者而言是絕對的利好，它倒逼企業更加重視我們的數據安全。

而作為個人，我們有三點可以做：

◎第一，提高警惕，不輕易同意App的所有權限請求。

◎第二，主動了解，在使用服務時，關注其隱私政策中關於數據收集和跨境傳輸的內容。

◎第三，勇敢維權，如果發現個人信息被不當處理，可以向企業、國家網信辦、工信部、消費者協會或公安機關投訴。

董毅智

上海正策律師事務所律師

此類案例不僅提醒外企，也警示本土及出海企業必須高度重視數據安全問題。對於跨國公司而言，需要尊重中國法律的特殊性，給予在華子公司更多自主權與資源，而不能單純堅持“全球統一標準”。

目前，我國對此類事件的執法已經常態化、嚴格化。監管機構已具備成熟的技術與執法能力，未來處罰可能常態化，罰款金額與威懾力也將顯著提升。

切換到網頁版

迪奧“泄露門”，牽出一條隱秘的監管紅線

吳曉波頻道 2025-09-13 00:32:50