迪奥中国客户信息数据遭泄露，用户数据安全该如何保护？

近日，有网友爆料，自己收到迪奥的短信称近期发生了客户数据泄露事件。

短信内容显示，迪奥于2025年5月7日发现，曾有未经授权的外部人员获取了其持有的部分客户数据。在中国收集的受影响客户个人信息最大范围可能包括姓名、性别、手机号码、电子邮箱地址、邮寄地址、消费水平、偏好，以及客户可能已向迪奥提供的其他信息。迪奥方面在短信中强调，被访问的数据库中不包含诸如银行账户详情、国际银行账户号码(IBAN)或信用卡信息等财务信息。迪奥表示，目前已经在网络安全专家的协助下，持续对该事件展开调查并进行应对，以及向相关监管部门进行报备。

记者电话询问迪奥官方客服，迪奥客服称，该短信由迪奥官方发送，如果收到短信就证明信息可能受到影响。

迪奥短信截图。图源网络

迪奥短信截图。图源网络

这一事件也引起不少网友关注和疑惑，客户数据遭泄露，迪奥需要承担哪些责任？消费者又该如何维护个人合法权益？

康德智库专家、北京市京师（上海）律师事务所数据合规与交易研究中心主任杨振律师告诉潮新闻记者，根据《个人信息保护法》第57条和《数据安全法》第29条相关规定，迪奥发现数据泄露后延迟了几天、没有“立即”通知用户和监管部门，可能面临网信部门责令改正、警告或罚款（最高达上年度营业额5%或五千万元）。如果调查证实其安全措施存在重大缺陷（如未加密存储数据），或存在经监管部门责令采取改正措施而拒不改正情况的，可能触犯《刑法》第286条“拒不履行信息网络安全管理义务罪”，责任人或面临刑事追责。消费者还可依据《民法典》第1038条主张民事赔偿，迪奥需自证无过错，否则推定担责。

记者注意到，迪奥在短信中声称被访问的数据库不包含财务信息。

杨振指出，《个人信息保护法》将“敏感个人信息”定义为泄露可能危害人身、财产安全的信息。迪奥泄露的消费水平、地址等信息，结合后可能被用于精准诈骗或骚扰，已构成侵权。即使无直接财产损失，消费者也可以主张精神损害赔偿（《民法典》第1183条）或防范性支出（如更换联系方式）。如果信息被用于营销，可依据《消费者权益保护法》第29条维权。

杨振向记者介绍，客户得知自身信息泄露后，可以向网信部门或消协提交证据（如短信截图），要求对迪奥行政处罚；也可以利用《个人信息保护法》第69条过错推定原则，主张实际损失或精神损害。受害者可联合起诉或申请检察院介入提起公益诉讼。如果个人信息被用于犯罪，如诈骗等，可以向公安机关报案。

“对奢侈品行业这类掌握大量高净值客户敏感信息的企业，数据保护的法律要求和监管标准具有显著的严格性和特殊性。”

杨振介绍，在我国，《个人信息保护法》与《网络安全法》要求企业对个人信息处理遵循合法、正当、必要原则，明确数据分类分级保护制度，特别强调敏感信息（如消费偏好、地址、联系方式）的加密存储和传输义务。因管理不善导致泄露的企业可能面临最高上年度营业额5%的高额罚款。《网络数据安全管理条例》进一步细化重要数据的保护要求，明确企业需建立数据安全负责人制度，定期开展风险评估，并在数据跨境流动时申报安全评估。例如，涉及高净值客户的消费行为数据可能被认定为“重要数据”，需重点保护。

杨振指出，奢侈品企业多具全球化业务，需同时满足多国法律。例如，在中国收集的欧盟客户数据需符合GDPR（欧盟《通用数据保护条例》），而美国业务需兼顾CCPA（美国《加州消费者隐私法案》）与CDPA（美国《弗吉尼亚州消费者数据保护法》）等法规要求。另外，我国《网络数据安全管理条例》要求重要数据出境前需通过安全评估，企业需建立跨境数据合规框架。

“奢侈品客户信息（如消费金额、偏好、社交圈层）具有极高商业价值，易被用于精准诈骗或黑市交易。法律要求企业采取‘数据最小化’原则，仅收集必要信息，并对敏感字段（如消费记录）实施加密。数据泄露可能引发客户流失和股价波动。例如，本次迪奥事件后消费者会质疑品牌是否能保障数据安全，直接影响其市场竞争力。”

那么，数据泄露事件中，如何界定迪奥是否尽到合理的数据安全保障义务？

杨振表示，判定标准包括技术措施（如加密、访问控制）是否到位和管理制度（如应急预案、员工培训）是否完善等。若迪奥未采取“必要措施”（如未修复已知漏洞），则推定未尽义务。消费者索赔需证明因果关系（如泄露后收到诈骗信息），实际损失难以计算时，法院可酌情判决象征性赔偿，司法实践中多为数千元。