DIOR（迪奧）中國客戶手機號碼、郵寄地址、消費水平等敏感個人信息遭到外泄事件持續發酵中。更讓公眾感到質疑的是，迪奧并沒有在發現客戶信息外泄的5月7日第一時間就緊急通知客戶，而是等到了12日才陸續短信通知客戶。

對此，廣東星辰律師事務所律師周斐斐認為，此次迪奧事件中，消費水平、消費偏好信息，結合具體的一般個人信息，可能已經足夠認定為敏感個人信息。敏感個人信息泄露可能造成的人身財產危害更大。比如這些敏感信息可能被不法分子用于篩選作案對象，甚至有可能為不當目的來獲取信任，或者投其所好等。

另外，按照《個人信息保護法》第五十七條規定，發生或者可能發生個人信息泄露、篡改、丟失的，個人信息處理者應當立即采取補救措施。

周斐斐律師分析稱，此次迪奧是在發現客戶敏感信息泄露5天后才陸續發送短信通知，雖然法律中的“立即”并沒有明確具體的天數或者小時，可以結合迪奧的信息泄露安全預案、考慮泄露的程度以及結果和影響來綜合判斷。

此外，《個人信息保護法》第六十九條也規定，處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。也就是說如果迪奧不能自證無過錯，也就是不能證明已經采取了足夠的保護措施和補救措施，則推定迪奧對信息泄露造成的損害應當承擔責任。

截至發稿前，迪奧并未針對此次客戶信息外泄事件發布進一步處理方案。但在接下來的一段時間經相關主管部門調查后，如迪奧存在個人信息收集和處理不當，可能面臨行政處罰。此外，如果確實因為延誤，造成了部分被泄露用戶遭受損失，迪奧可能面臨民事侵權索賠。這里舉證的關鍵在于需證明損失。目前客戶的敏感個人信息被泄露了，即使還沒有遭受具體的個案損失，但不知道也不排除哪一天會因為這個泄露而遭受損失。如果針對該情形，客戶為了防范因信息泄露增加的風險而采取升級個人信息防護的措施，且實際支出相應的費用（包括合理的維權費用），應當可以認定為損失。但如果沒有實際的損失，只有受害風險的增加，則不一定能被實務認定為損失。

奢侈品行業的客戶個人信息遭到外泄事件并非個案，此前也時有發生。在網絡上也有網友反映，除了此次迪奧的數據庫遭受未授權的訪問以外，在該行業內工作人員或是品牌互相泄露客戶個人信息以達到銷售目的的情況也成行業內的公開秘密。針對這一現象，周斐斐律師稱，工作人員及品牌方泄露個人信息，侵犯了用戶隱私權，依據情節的嚴重程度，可能需要承擔停止侵害、賠償損失等民事責任，以及罰款、沒收違法所得等行政責任；嚴重者還可能構成侵犯個人信息罪，需承擔相應的刑事責任。