“买支口红却泄露全家信息”,这样的荒诞场景真实发生在迪奥(Dior)中国区客户身上。今年 5 月,多名迪奥客户收到官方警示短信,被告知姓名、手机号、住址、消费偏好等个人信息可能外泄,虽未涉及财务数据,但足以勾勒出完整的个人画像。这场看似普通的数据泄露事件,不仅引发消费者恐慌,更牵出一条隐秘却绝对的监管红线 —— 跨国企业数据出境合规,已然成为不可逾越的 “数字国门” 底线。
事件发酵后,公安网安部门迅速介入调查,结果令人震惊:迪奥将中国用户数据传输至法国总部时,未通过任何合法合规路径,完全处于 “裸奔” 状态。根据《个人信息保护法》第 38 条,个人信息出境需通过安全评估、合规认证或签订标准合同三种合法通道之一,而迪奥三条路径均未选择,直接违反法律规定。更严重的是,迪奥既未向用户充分告知数据出境细节,也未获得单独同意,仅在隐私政策中模糊带过,同时未采取加密、去标识化等安全技术措施,形成 “违规传输 – 告知缺失 – 防护不足” 的完整违规链条,上海正策律师事务所律师董毅智直言,此案 “违法行为非常明显,属于‘求锤得锤’”。
事实上,迪奥并非个例。今年 6 月,卡地亚曝出系统入侵导致客户姓名、邮箱等信息泄露;路易威登约 42 万香港客户资料遭泄露,涵盖购物记录等敏感内容,香港个人资料隐私专员公署已介入调查。这些奢侈品品牌接连 “踩雷”,暴露了跨国企业在华数据管理的普遍漏洞。而数据安全风险早已超出奢侈品行业,此前英伟达 H20 算力芯片被指存在安全隐患,路透社更披露美国在出口服务器中安装追踪器,监测芯片流向,凸显数据安全与国家主权的深度绑定。
随着数字化进程加速,“数据主权” 已成为国家主权在数字空间的核心延伸。我国通过《网络安全法》《数据安全法》《个人信息保护法》构建起全链条监管体系,截至 2025 年 3 月,国家网信办已完成 298 个数据出境安全评估项目,15.9% 的申报项目因不合规被驳回。上海央法律师事务所首席合伙人常东岳指出,我国已从 “发展优先” 转向 “安全与发展并重”,监管覆盖全行业,跨国企业合规成本将大幅上升,数据本地化存储、定期合规审计或成常态。
对于普通消费者而言,数据泄露的危害触手可及。不法分子利用海外 “社工库”,以 500 元售卖身份证信息、5000 元追踪生活轨迹,一张快递单、一次活动登记都可能成为 “开盒” 素材。上海澜亭(杭州)律师事务所主任鲍乐东建议,消费者应提高警惕,审慎授权 App 权限,主动关注隐私政策,发现信息滥用及时向监管部门投诉维权。
迪奥 “泄露门” 事件犹如一面镜子,映照出跨国企业在华经营的合规短板,也为全行业敲响警钟。在 “数字主权” 与 “国家安全” 的绝对红线下,无论是奢侈品品牌还是科技企业,唯有严格遵守本土法律,建立完善的数据合规体系,才能在全球化与本土化的平衡中稳健发展。这场数据安全风波,不仅是对企业的警示,更是我国守护 “数字国门”、维护公民隐私的重要实践,未来监管将更趋严格,合规经营已成为跨国企业在华立足的必答题。
发表回复