點(diǎn)擊上圖▲立即收聽

“‘?dāng)?shù)據(jù)主權(quán)’與‘國家安全’已成為絕對(duì)紅線，監(jiān)管的范圍不再局限于互聯(lián)網(wǎng)科技公司，而是實(shí)現(xiàn)了全鏈條、全覆蓋。”

文 / 巴九靈（微信公眾號(hào)：吳曉波頻道）

“買個(gè)口紅，結(jié)果把全家底兒都交了?！?/p>

這不是段子，而是許多迪奧（Dior）客戶在經(jīng)歷數(shù)據(jù)泄露事件后的真實(shí)心聲。

事情的起因，要追溯到今年5月，多名迪奧中國區(qū)客戶收到官方發(fā)送的警示短信，稱其姓名、性別、手機(jī)號(hào)碼、電子郵箱地址、郵寄地址、消費(fèi)水平、偏好，以及客戶提供的其他信息可能遭到外泄，但不涉及銀行賬戶詳情、國際銀行賬戶號(hào)碼或信用卡信息等財(cái)務(wù)信息。

圖源：小紅書

消息一出，網(wǎng)絡(luò)上立刻討論了起來。雖說迪奧表示銀行賬戶等敏感信息未遭泄露，但日常生活中最常用的姓名、聯(lián)系方式、住址、消費(fèi)偏好等，已經(jīng)足以拼湊出一個(gè)人的畫像。

有人抱怨：“掏的錢越多，信息泄露得越徹底?！币灿腥苏{(diào)侃：“看來奢侈的不是包，是個(gè)人隱私?！备嗑W(wǎng)友則表達(dá)了擔(dān)憂：奢侈品品牌連最基本的隱私都保護(hù)不了，那平時(shí)留下的電商、外賣數(shù)據(jù)豈不是更危險(xiǎn)？

圖源：小紅書

最終，公安網(wǎng)安部門對(duì)迪奧（上海）公司開展調(diào)查。結(jié)果顯示，泄露的原因是，迪奧將中國用戶數(shù)據(jù)傳輸?shù)椒▏偛繒r(shí)，出現(xiàn)了嚴(yán)重的違規(guī)行為，才導(dǎo)致了用戶信息的“裸奔”。

數(shù)據(jù)出境，是每一家跨國企業(yè)在中國經(jīng)營時(shí)都繞不開的課題。它不僅關(guān)乎企業(yè)合規(guī)，也觸及國家數(shù)據(jù)安全、個(gè)人隱私保護(hù)等敏感議題。為此，小巴咨詢了多位律師，試圖解答：

迪奧做錯(cuò)了什么？正確、合規(guī)的做法應(yīng)該如何？跨國企業(yè)如何在“全球化業(yè)務(wù)需要”和“本土安全紅線”之間找到平衡？

迪奧做錯(cuò)了什么？

首先，迪奧的第一項(xiàng)違法事實(shí)是個(gè)人信息違規(guī)出境，觸犯了《個(gè)人信息保護(hù)法》第38條。按照我國法律，個(gè)人信息出境必須通過三條合法通道之一：

◎1.通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評(píng)估；

◎2.通過國家網(wǎng)信部門認(rèn)定的專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證；

◎3.按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立個(gè)人信息出境標(biāo)準(zhǔn)合同。

圖源：國家網(wǎng)絡(luò)安全通報(bào)中心官方微信公眾號(hào)

簡(jiǎn)單來說，企業(yè)想把中國用戶的信息傳到國外，要么接受官方安全評(píng)估，要么通過專業(yè)認(rèn)證，要么簽訂合規(guī)合同。然而，迪奧把中國用戶的數(shù)據(jù)傳到法國總部時(shí)，三條路都沒走，直接把數(shù)據(jù)傳出去了，是典型的數(shù)據(jù)出境“裸奔”行為，也是其最根本、最嚴(yán)重的違法事實(shí)。

在合規(guī)操作中，企業(yè)應(yīng)結(jié)合自身業(yè)務(wù)情況，如傳輸數(shù)據(jù)量、數(shù)據(jù)敏感程度等，選擇上述合規(guī)路徑中的一條或多條，完成申報(bào)、評(píng)估、認(rèn)證或合同簽訂等程序，獲得許可后方可啟動(dòng)數(shù)據(jù)出境。

根據(jù)國家互聯(lián)網(wǎng)信息辦公室發(fā)布的文件，截至2025年3月，國家互聯(lián)網(wǎng)信息辦公室共完成數(shù)據(jù)出境安全評(píng)估項(xiàng)目298個(gè)，其中，44個(gè)申報(bào)項(xiàng)目涉及重要數(shù)據(jù)，評(píng)估結(jié)果為不通過的7個(gè)，不通過率為15.9%。

圖源：中華人民共和國國家互聯(lián)網(wǎng)信息辦公室

其次，迪奧的第二項(xiàng)違規(guī)，是未向用戶告知且未獲得單獨(dú)同意，違反了《個(gè)人信息保護(hù)法》第39條。

法律規(guī)定，企業(yè)在向境外傳輸用戶個(gè)人數(shù)據(jù)前，必須明確告知用戶：是誰要接收這些數(shù)據(jù)、接收方的聯(lián)系方式、這些數(shù)據(jù)會(huì)用來干什么、用戶遇到問題該找誰維權(quán)等。

并且，企業(yè)還應(yīng)在此基礎(chǔ)上取得“單獨(dú)同意”，這意味著不能將數(shù)據(jù)出境問題埋藏于冗長的用戶協(xié)議中，而必須通過顯著方式單獨(dú)提醒，并征得用戶的明確授權(quán)。例如，應(yīng)以彈窗、勾選框等形式，讓用戶就該事項(xiàng)單獨(dú)作出決定。

然而，迪奧在隱私政策中對(duì)此一筆帶過，甚至使用模糊表述，顯然未做到“充分告知”。

圖源：Dior天貓旗艦店會(huì)員規(guī)則與隱私協(xié)議

最后，迪奧的第三項(xiàng)違規(guī)，是未采取必要的安全技術(shù)措施，違反《個(gè)人信息保護(hù)法》第51條，屬于典型的內(nèi)部數(shù)據(jù)安全管理缺失。

法律要求，信息處理者應(yīng)依據(jù)數(shù)據(jù)敏感性采取相應(yīng)措施，例如加密、去標(biāo)識(shí)化，以降低泄露或?yàn)E用的風(fēng)險(xiǎn)。律師認(rèn)為，迪奧很可能在收集和存儲(chǔ)環(huán)節(jié)未建立有效的技術(shù)防護(hù)體系，從而顯著增加了風(fēng)險(xiǎn)。

正確的做法，應(yīng)當(dāng)是建立完善的數(shù)據(jù)安全管理體系，根據(jù)不同類型和敏感程度的數(shù)據(jù)采取相應(yīng)的技術(shù)防線。

綜上，上海正策律師事務(wù)所律師董毅智表示，迪奧的這三項(xiàng)違法事實(shí)形成了完整的違規(guī)鏈條：既包括內(nèi)部管理漏洞，也涉及對(duì)法律制度的無視，最終導(dǎo)致對(duì)用戶權(quán)利的侵害。此案可謂“求錘得錘”，違法行為非常明顯。

當(dāng)數(shù)據(jù)“裸奔”到海外

然而，迪奧并非個(gè)案。今年以來，多家奢侈品品牌接連踩雷：

6月，卡地亞也向消費(fèi)者發(fā)出類似通知，稱其系統(tǒng)遭遇入侵，發(fā)生了數(shù)據(jù)泄露事件，部分客戶的姓名、電子郵箱地址、所在國家/地區(qū)及出生日期被外泄，但不涉及密碼、信用卡數(shù)據(jù)或其他銀行信息資料等敏感數(shù)據(jù)。

緊接著，路易威登也失守防線，約42萬香港客戶的資料遭到泄露，包含姓名、電話號(hào)碼、購物記錄等。目前，香港個(gè)人資料隱私專員公署已展開調(diào)查。

香港個(gè)人資料隱私專員公署對(duì)LV數(shù)據(jù)泄露事件做出回應(yīng)

但數(shù)據(jù)安全問題遠(yuǎn)不止于奢侈品行業(yè)。

前段時(shí)間，英偉達(dá)H20算力芯片被曝出存在嚴(yán)重安全隱患，國家互聯(lián)網(wǎng)信息辦公室隨即約談?dòng)ミ_(dá)，要求其說明技術(shù)細(xì)節(jié)并提交證明材料。對(duì)此，黃仁勛親自回應(yīng)稱，英偉達(dá)芯片不存在“后門”。

然而，路透社隨后發(fā)文稱，據(jù)知情人士透露，美國當(dāng)局在戴爾、超微等廠商出貨的服務(wù)器中安裝了追蹤器，用以檢測(cè)是否被轉(zhuǎn)運(yùn)至中國等受美國出口管制的地區(qū)，而這些服務(wù)器包含了英偉達(dá)和AMD的芯片。

路透社還補(bǔ)充表示，目前尚不清楚追蹤器在芯片調(diào)查中的使用頻率，也不清楚美國當(dāng)局何時(shí)開始使用它們來調(diào)查芯片走私。

圖源：路透社

近年來，個(gè)人數(shù)據(jù)泄露至海外，使得惡意“開盒”事件層出不窮。據(jù)新華網(wǎng)報(bào)道，用以“開盒”的個(gè)人隱私信息大多來自海外“社工庫”（一種由泄露數(shù)據(jù)打造的信息查詢庫），不法分子根據(jù)買家需求提供“有償查詢”。

一份由某賣家提供的“報(bào)價(jià)單”顯示，500元可購買指定人員的“全家身份證號(hào)和照片關(guān)系”、3300元可購買“開房信息”、5000元?jiǎng)t可獲得指定人員的“日常生活軌跡信息”。一張外賣單、一個(gè)快遞盒、一次街頭活動(dòng)隨手填寫的個(gè)人信息，都可能成為“被開盒”的素材……

早在2018年8月，華住旗下多個(gè)連鎖酒店客戶信息數(shù)據(jù)便遭遇過大規(guī)模泄露，涉及約1.3億人的5億條公民個(gè)人信息，被掛上暗網(wǎng)打包出售，售價(jià)8比特幣或520門羅幣……

守護(hù)數(shù)字國門

迪奧和多起數(shù)據(jù)泄露事件不僅暴露了跨國企業(yè)在數(shù)據(jù)出境和用戶信息保護(hù)上的違規(guī)行為，在危及個(gè)人隱私安全的同時(shí)，更折射出一個(gè)宏大的問題：在數(shù)字化時(shí)代，國家如何保護(hù)自己的數(shù)據(jù)？換句話說，如何維護(hù)“數(shù)字主權(quán)”。

這個(gè)概念聽上去有些抽象，其實(shí)可以用現(xiàn)實(shí)世界的“國門”做類比。國家主權(quán)在物理世界中，體現(xiàn)在疆土邊界、法律制度等，而在數(shù)字世界中，則由數(shù)據(jù)、網(wǎng)絡(luò)、算法、技術(shù)等構(gòu)成。

所謂數(shù)字主權(quán)，就是國家主權(quán)在數(shù)字化空間的延伸，涵蓋對(duì)數(shù)據(jù)、信息、技術(shù)及相關(guān)系統(tǒng)的所有權(quán)、控制權(quán)及獨(dú)立決策權(quán)。例如，數(shù)據(jù)主權(quán)意味著中國有權(quán)決定境內(nèi)公民和企業(yè)的數(shù)據(jù)如何被收集、存儲(chǔ)、流通，以及能否被傳輸?shù)骄惩狻?/p>

董毅智表示：“數(shù)據(jù)作為新型生產(chǎn)要素，其主權(quán)屬性正不斷強(qiáng)化。我國正在系統(tǒng)性、全方位地構(gòu)建數(shù)字主權(quán)與國家安全屏障。從采集、處理到傳輸、出境，整個(gè)生命周期都被納入法律和監(jiān)管框架，以確保安全可控。”

工作人員在檢測(cè)記錄數(shù)據(jù)運(yùn)行機(jī)柜

迪奧被罰事件，是中國加強(qiáng)數(shù)據(jù)監(jiān)管的一個(gè)清晰注腳，它不僅僅是一個(gè)單一的企業(yè)合規(guī)案例，更是對(duì)所有跨國企業(yè)的提醒和警示：數(shù)據(jù)合規(guī)是頭等大事，不可輕視。

接下來，我們就來聽聽?zhēng)孜宦蓭煂＜业目捶ā?/p>

大頭有話說

常東岳

上海央法律師事務(wù)所首席合伙人

英偉達(dá)的后門疑慮與奢侈品迪奧（上海）的數(shù)據(jù)違規(guī)放在一起看，會(huì)發(fā)現(xiàn)其背后存在一致的政策信號(hào)：我國已經(jīng)從過去的“發(fā)展優(yōu)先”階段，轉(zhuǎn)向了“安全與發(fā)展并重”的新階段，“數(shù)據(jù)主權(quán)”與“國家安全”已成為絕對(duì)紅線，監(jiān)管的范圍不再局限于互聯(lián)網(wǎng)科技公司，而是實(shí)現(xiàn)了全鏈條、全覆蓋。

在新的形勢(shì)下，跨國公司在華經(jīng)營的合規(guī)壓力必然加大，未來可能面臨許多新的挑戰(zhàn)和要求：

◎第一，合規(guī)成本急劇上升，需要投入大量資金和人力用于建設(shè)合規(guī)體系，如聘請(qǐng)專業(yè)團(tuán)隊(duì)、開展員工培訓(xùn)、申請(qǐng)安全評(píng)估與認(rèn)證等。

◎第二，“中國數(shù)據(jù)本地化”要求可能深化，對(duì)于某些關(guān)鍵行業(yè)和數(shù)據(jù)類型，監(jiān)管層可能會(huì)鼓勵(lì)或要求將數(shù)據(jù)存儲(chǔ)在中國境內(nèi)，進(jìn)行本地化處理和運(yùn)營，出境將受到更嚴(yán)格的審查。

◎第三，審計(jì)與監(jiān)督要求會(huì)更嚴(yán)格，企業(yè)可能會(huì)被要求定期接受第三方審計(jì)或監(jiān)管部門的監(jiān)督檢查，以證明其持續(xù)合規(guī)。

鮑樂東

上海瀾亭（杭州）律師事務(wù)所主任

浙商研究院浙商傳承研究中心副主任

中國正在通過《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》這“三駕馬車”，全面構(gòu)建起數(shù)據(jù)治理體系。這背后釋放的信號(hào)很明確：所有在華運(yùn)營的企業(yè)，無論內(nèi)外資，都必須遵守中國的法律，在數(shù)據(jù)合規(guī)方面沒有任何例外。

因此我國監(jiān)管部門對(duì)迪奧事件的這類處罰，對(duì)普通消費(fèi)者而言是絕對(duì)的利好，它倒逼企業(yè)更加重視我們的數(shù)據(jù)安全。

而作為個(gè)人，我們有三點(diǎn)可以做：

◎第一，提高警惕，不輕易同意App的所有權(quán)限請(qǐng)求。

◎第二，主動(dòng)了解，在使用服務(wù)時(shí)，關(guān)注其隱私政策中關(guān)于數(shù)據(jù)收集和跨境傳輸?shù)膬?nèi)容。

◎第三，勇敢維權(quán)，如果發(fā)現(xiàn)個(gè)人信息被不當(dāng)處理，可以向企業(yè)、國家網(wǎng)信辦、工信部、消費(fèi)者協(xié)會(huì)或公安機(jī)關(guān)投訴。

董毅智

上海正策律師事務(wù)所律師

此類案例不僅提醒外企，也警示本土及出海企業(yè)必須高度重視數(shù)據(jù)安全問題。對(duì)于跨國公司而言，需要尊重中國法律的特殊性，給予在華子公司更多自主權(quán)與資源，而不能單純堅(jiān)持“全球統(tǒng)一標(biāo)準(zhǔn)”。

目前，我國對(duì)此類事件的執(zhí)法已經(jīng)常態(tài)化、嚴(yán)格化。監(jiān)管機(jī)構(gòu)已具備成熟的技術(shù)與執(zhí)法能力，未來處罰可能常態(tài)化，罰款金額與威懾力也將顯著提升。

本篇作者| 蔣紫涵|責(zé)任編輯|徐濤

主編|何夢(mèng)飛|圖源|VCG

南極，是世界的盡頭，也是內(nèi)心的起點(diǎn)。 對(duì)企業(yè)家來說，南極之行看似是一場(chǎng)遠(yuǎn)離商業(yè)場(chǎng)的 “極地之旅”，實(shí)則是一次深度的 “經(jīng)營認(rèn)知升級(jí)”。 11月29日—12月13日，跟激蕩商學(xué)一起前往南極，讓思維回歸本源。

點(diǎn)擊圖片▼立即報(bào)名