近日,有网友爆料,自己收到迪奥的短信称近期发生了客户数据泄露事件。
短信内容显示,迪奥于2025年5月7日发现,曾有未经授权的外部人员获取了其持有的部分客户数据。在中国收集的受影响客户个人信息最大范围可能包括姓名、性别、手机号码、电子邮箱地址、邮寄地址、消费水平、偏好,以及客户可能已向迪奥提供的其他信息。迪奥方面在短信中强调,被访问的数据库中不包含诸如银行账户详情、国际银行账户号码(IBAN)或信用卡信息等财务信息。迪奥表示,目前已经在网络安全专家的协助下,持续对该事件展开调查并进行应对,以及向相关监管部门进行报备。
记者电话询问迪奥官方客服,迪奥客服称,该短信由迪奥官方发送,如果收到短信就证明信息可能受到影响。
迪奥短信截图。图源网络
迪奥短信截图。图源网络
这一事件也引起不少网友关注和疑惑,客户数据遭泄露,迪奥需要承担哪些责任?消费者又该如何维护个人合法权益?
康德智库专家、北京市京师(上海)律师事务所数据合规与交易研究中心主任杨振律师告诉潮新闻记者,根据《个人信息保护法》第57条和《数据安全法》第29条相关规定,迪奥发现数据泄露后延迟了几天、没有“立即”通知用户和监管部门,可能面临网信部门责令改正、警告或罚款(最高达上年度营业额5%或五千万元)。如果调查证实其安全措施存在重大缺陷(如未加密存储数据),或存在经监管部门责令采取改正措施而拒不改正情况的,可能触犯《刑法》第286条“拒不履行信息网络安全管理义务罪”,责任人或面临刑事追责。消费者还可依据《民法典》第1038条主张民事赔偿,迪奥需自证无过错,否则推定担责。
记者注意到,迪奥在短信中声称被访问的数据库不包含财务信息。
杨振指出,《个人信息保护法》将“敏感个人信息”定义为泄露可能危害人身、财产安全的信息。迪奥泄露的消费水平、地址等信息,结合后可能被用于精准诈骗或骚扰,已构成侵权。即使无直接财产损失,消费者也可以主张精神损害赔偿(《民法典》第1183条)或防范性支出(如更换联系方式)。如果信息被用于营销,可依据《消费者权益保护法》第29条维权。
杨振向记者介绍,客户得知自身信息泄露后,可以向网信部门或消协提交证据(如短信截图),要求对迪奥行政处罚;也可以利用《个人信息保护法》第69条过错推定原则,主张实际损失或精神损害。受害者可联合起诉或申请检察院介入提起公益诉讼。如果个人信息被用于犯罪,如诈骗等,可以向公安机关报案。
“对奢侈品行业这类掌握大量高净值客户敏感信息的企业,数据保护的法律要求和监管标准具有显著的严格性和特殊性。”
杨振介绍,在我国,《个人信息保护法》与《网络安全法》要求企业对个人信息处理遵循合法、正当、必要原则,明确数据分类分级保护制度,特别强调敏感信息(如消费偏好、地址、联系方式)的加密存储和传输义务。因管理不善导致泄露的企业可能面临最高上年度营业额5%的高额罚款。《网络数据安全管理条例》进一步细化重要数据的保护要求,明确企业需建立数据安全负责人制度,定期开展风险评估,并在数据跨境流动时申报安全评估。例如,涉及高净值客户的消费行为数据可能被认定为“重要数据”,需重点保护。
杨振指出,奢侈品企业多具全球化业务,需同时满足多国法律。例如,在中国收集的欧盟客户数据需符合GDPR(欧盟《通用数据保护条例》),而美国业务需兼顾CCPA(美国《加州消费者隐私法案》)与CDPA(美国《弗吉尼亚州消费者数据保护法》)等法规要求。另外,我国《网络数据安全管理条例》要求重要数据出境前需通过安全评估,企业需建立跨境数据合规框架。
“奢侈品客户信息(如消费金额、偏好、社交圈层)具有极高商业价值,易被用于精准诈骗或黑市交易。法律要求企业采取‘数据最小化’原则,仅收集必要信息,并对敏感字段(如消费记录)实施加密。数据泄露可能引发客户流失和股价波动。例如,本次迪奥事件后消费者会质疑品牌是否能保障数据安全,直接影响其市场竞争力。”
那么,数据泄露事件中,如何界定迪奥是否尽到合理的数据安全保障义务?
杨振表示,判定标准包括技术措施(如加密、访问控制)是否到位和管理制度(如应急预案、员工培训)是否完善等。若迪奥未采取“必要措施”(如未修复已知漏洞),则推定未尽义务。消费者索赔需证明因果关系(如泄露后收到诈骗信息),实际损失难以计算时,法院可酌情判决象征性赔偿,司法实践中多为数千元。
“转载请注明出处”