5月13日10點13分，小嵐收到了迪奧發來的短信。信息顯示，迪奧于5月7日發現，曾有未經授權的外部人員獲取了迪奧持有的部分客戶數據。

迪奧是法國時尚消費品牌，隸屬于全球奢侈品集團LVMH（路威酩軒），主要經營手袋、女裝、首飾、香水、化妝品等高檔消費品，小嵐在迪奧多次購買過包和鞋子。

迪奧的短信內容顯示，泄露的數據包括客戶姓名、性別、手機號碼、電子郵箱、郵寄地址以及消費金額和偏好等。迪奧還強調，被訪問的數據庫中不包含諸如銀行賬戶詳情、國際銀行賬戶號碼（IBAN）或信用卡信息等財務信息。

5月13日，迪奧官方客服向經濟觀察報就用戶數據泄露一事進一步介紹，目前并未接到用戶因數據泄露導致的財產損失報告，此次短信是對用戶的“預警”。另外，此次數據泄露的范圍以收到短信的用戶為準，不排除海外用戶同樣遇到數據泄露的可能性。

迪奧并未解釋用戶數據在哪一個環節遭到泄露。上海錦天城（鄭州）律師事務所律師賈帥告訴經濟觀察報，出于物流運輸或廣告營銷等目的，部分企業會將用戶數據委托給第三方數據公司，進行快遞配送或用戶畫像等數據信息化服務，這一過程中，數據可能會在儲存和傳輸兩個環節出現紕漏，從而導致用戶的個人信息泄露。

賈帥稱，保存用戶信息的數據庫相當于“倉庫”，保管“鑰匙”的是企業，無論是委托第三方數據公司，或是企業自營的線上旗艦店、小程序等官方渠道，數據收集的主體和責任人都是企業本身。若發生數據泄露或由此引發了用戶的財產損失，企業作為第一責任人，將被追究相應的法律責任。

財務信息還安全嗎？

從迪奧發布的短信內容來看，此次數據泄露的范圍主要為姓名、性別等個人基本信息，不包含個人的財務信息。但小嵐依然擔心，她的迪奧賬戶是在英國專賣柜購買香水時開通的，綁定了自己的VISA卡和手機號碼，也使用過迪奧的官方小程序積累積分，不知自己的賬戶信息是否安全。

經查詢，迪奧的確會收集用戶的銀行卡信息。在用戶使用其官方小程序時，要求用戶勾選的“我同意”頁面中，其《個人信息處理規則（標準版）》（下稱“《規則》”）的“提供產品和服務”一欄顯示，用戶在完成貨款支付時，需向其提供財務信息，如銀行賬戶或信用卡信息、支付記錄等。

數據治理高級工程師、泰和泰（武漢）律師事務所律師杜雙告訴經濟觀察報，用戶在線上支付貨款時，是通過跳轉第三方支付機構，如銀行、支付寶和微信來完成支付。因此，商戶只能掌握交易訂單號、銀行卡尾號等基本信息，并不掌握其他信息。

某銀行對公賬戶業務人員也向經濟觀察報稱，一般情況下，若消費者僅使用商戶提供的瀏覽、查詢服務，并不涉及消費及支付行為時，后臺無法調動用戶的銀行賬號信息。應當注意的是，微信“零錢”或支付寶“余額”屬于虛擬賬戶，用戶若使用這類賬戶支付貨款，商家也無法獲取用戶的銀行卡賬號信息。

結合迪奧回應的“不涉及銀行賬戶及財務信息”，杜雙判斷小嵐的銀行賬戶暫時安全，但他同時提醒，消費者仍需提高警惕，不法分子可能會利用已獲取到的細節信息，包括消費者的消費時間、消費物品及消費習慣來進行“定制化詐騙”。

兩個泄露環節猜測

杜雙介紹，數據的全生命周期分為產生與收集、儲存與管理、使用與加工、傳輸與共享、歸檔與銷毀。在這幾個環節中（排除黑客入侵情況下）出現數據泄露的可能在于數據儲存和數據傳輸。

在數據儲存環節，企業對數據訪問控制應遵循數據最小權限原則，只有少數擁有較高訪問權限的管理人員才能查看和處理用戶數據。一般來講，數據權限以數據分類、分級處理為前提，等級逐級遞增，訪問的權限更為嚴格，相應權限人員應有相應的加密手段，比如電子或實體加密工具。

杜雙在迪奧的《規則》中發現了其對上述訪問控制權限的管理手段：一方面是物理防護手段，比如加固存放數據的地方；另一方面，運用信息技術，如數據加密、訪問控制、防火墻等。此外，迪奧還強調，會為員工開展個人信息保護方面的專門培訓。

除此之外，在數據傳輸環節，企業也存在幾個數據泄露的風險：一是未在安全網絡環境下處理數據，如相關技術人員在咖啡廳、圖書館等公共網絡空間進行數據處理，或未使用安全協議，不法分子會通過這些漏洞攻擊截取數據；二是企業在與物流、營銷等外部第三方平臺進行數據交互時，會提供獲取數據庫的交互接口，這些接口若沒有完善的認證和授權機制，數據庫資源可能會被非法調用。

杜雙介紹，為完成精準推廣，企業通常會將線上各渠道收集到的用戶信息，授權給第三方數據分析機構，以分析用戶的設備型號、消費習慣等用戶畫像，這一過程中可能會出現數據保護不當的問題。

迪奧在《規則》中稱，數據收集是基于“數據統計、廣告及營銷效果評估”目的。用戶的信息包括搜索查詢內容、IP 地址、瀏覽器的類型、電信運營商、使用的語言、訪問日期和時間及用戶訪問、瀏覽、停留、下單操作的網頁記錄等。

迪奧的《規則》中同時披露了其委托的部分第三方機構，如神策網絡科技（北京）有限公司、騰訊云計算（北京）有限責任公司、北京數美時代科技有限公司等，使用目的多為“數據統計分析、業務安全和風控”，涉及的個人信息類型包括微信昵稱及頭像、設備的品牌及型號、用戶瀏覽動作等。

企業應履行安全保護責任

在全球奢侈品行業加速數字化轉型的背景下，迪奧在中國的數字化營銷動作頻繁：重視社交媒體、短視頻平臺的“種草”推廣活動；聯合明星、KOL（意見領袖）直播時裝秀等。

例如，迪奧美妝超級品牌開業盛典在2022年落地抖音商城時，迪奧對其美妝及護膚品展開了一系列營銷活動，數據顯示，迪奧此次抖音營銷活動商品交易總額（GMV）環比增長超900%。

杜雙推測，迪奧正是在積極的線上布局和頻繁的獲客營銷中收集到大量的用戶數據。對于如何管理和保護這些信息，迪奧在《規則》中介紹：一是定崗定責，定期檢查及合規審計；二是通過向其它服務器備份、對客戶密碼進行加密等，最大程度確保信息不丟失，不被濫用和變造；三是依法履行匯報及通知義務。

“迪奧作為個人信息處理的主體，應當采取合理、有效的技術措施和管理措施來保障用戶個人信息安全。”杜雙介紹，設置防火墻、加密用戶數據、嚴格訪問控制、定期審計、安全事件應急響應等，都可以對用戶數據進行有效保護。

杜雙稱，若企業保管的用戶數據發生泄漏情況，企業應立即作出響應，包括第一時間隔離被攻擊的存儲數據庫、定位漏洞位置、評估泄露范圍及流向、發出用戶警示通知、向網信辦等相關部門報備等。

杜雙介紹，根據《中華人民共和國個人信息保護法》，若迪奧存在數據安全運營和維護漏洞，致使用戶因個人信息泄露遭受重大財務損失，可能被認定為未充分履行安全保障義務，需在一定范圍內向用戶承擔相應責任。

迪奧在短信中稱，初步調查顯示，此次事件是由數據庫遭受未經授權的訪問所致。

迪奧建議客戶對任何可疑通信（短信、電話、電子郵件）都要保持警惕。不要打開或點擊來自不明來源的通信或鏈接，也不要透露驗證碼、密碼等敏感信息。若收到任何以迪奧名義發送的可疑信息或聯系，客戶要咨詢迪奧官方客服中心。

目前，迪奧尚未就數據泄露所涉及的客戶數量、出現紕漏的具體環節等展開說明，經濟觀察報向迪奧相關部門發送的相關問題，截至發稿也無回應。

（作者 羅文利）

免責聲明：本文觀點僅代表作者本人，供參考、交流，不構成任何建議。

羅文利

大消費新聞部記者 長期關注文娛行業、零售消費，專注探索產業和公司背后的人物和故事。新聞線索可聯系luowenli@eeo.com.cn