首页

关于我们

律所简介

服务客户

党建引领

业务领域

律师团队

新闻动态

专业研究

联系我们
专业研究
专业研究
首页 专业研究
朋说丨迪奥数据泄露法律观察:品牌责任与合规边界
2025-05-14
朋说丨迪奥数据泄露法律观察:品牌责任与合规边界(图1)

迪奥数据泄露法律观察

品牌责任与合规边界


· 2025年5月13日,LVMH奢侈品集团旗下品牌迪奥( Dior )向中国区客户披露,2025年5月7日,公司发现其数据库遭到外部人员未经授权访问,泄露数据包括姓名、性别、手机号、地址、消费水平、偏好等敏感信息,但未涉及银行账户或信用卡等财务数据。通知中迪奥表明已采取积极措施应对,同时提示客户警惕可疑通信。


朋说丨迪奥数据泄露法律观察:品牌责任与合规边界(图2)



·对此次事件,笔者从法律角度做以下解读:


Q

此次数据泄露,迪奥涉及的法律责任?


A

1.安全保障义务的缺失带来的民事责任
根据《中华人民共和国个人信息保护法》(下称“《个保法》”)第51条,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
迪奥在其中国区官网已披露完整的《Christian Dior Couture 个人信息处理规则(标准版)》,详细说明了Dior 对收集、使用、保存、共享、跨境转移及保护个人信息的方式,但此次的数据泄露包含的姓名、性别、手机号、地址、消费水平、偏好等敏感信息显然未经匿名化处理,可能会被认定为“未履行合理的安全保障义务”。
根据《个保法》第69条,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
迪奥作为个人信息处理者,若其未能证明自己采取了必要安全措施(如加密、去标识化、限制操作权限等)而导致消费者的个人信息泄露,使消费者遭受损失的,迪奥可能需对用户损失(如诈骗导致的财产损失)承担侵权责任。
2.通知时效性存在的法律争议
根据《个保法》第57条,发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;
(三)个人信息处理者的联系方式。
个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。
根据迪奥向中国区客户披露的信息,5月7日发生数据泄露事件后,直至5天后的5月13日才通知到客户。迪奥延迟5天通知的行为,若无法证明其在发生后已立即采取法律规定的相关补救措施,通知职责部门和个人,则可能面临承担相应的民事侵权责任。还可能会受到相关行政机关的行政处罚,如罚款、没收违法所得等。
3.相应可能的行政处罚
根据《个保法》第66条,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
4.潜在的刑事风险
根据《中华人民共和国刑法》第253条,本次个人信息泄露事件如果涉及企业内部工作人员或操作流程上的明确漏洞,迪奥相关责任人员可能构成侵犯公民个人信息罪。

Q

数据泄露是常见事件吗?


A

此次事件并非孤例。英国玛莎百货今年遭到黑客组织 Scattered Spider 的攻击,致使公司业务大面积中断,曾引发了广泛关注。

笔者在今年2月收到Tonya Owens, et al. v. MGM Resorts International et al. 集体诉讼和解的邮件通知,美国美高梅度假村(MGM Resorts International)因两次大规模数据泄露事件引发集体诉讼,两次数据泄露分别发生于2019年7月和2023年9月,共影响约3700万客户。此项诉讼最终以美高梅同意向所有受影响用户支付总计4500万美元和解金告终。案件反映了美高梅对客户数据保护的失职,尤其是在敏感信息加密和系统安全维护方面的漏洞。美高梅的和解金额高达4500万美元也凸显了数据泄露事件可能带来的巨额经济责任与品牌声誉风险。
朋说丨迪奥数据泄露法律观察:品牌责任与合规边界(图3)

Q

从此次事件出发,对企业是否有相关建议?


A

针对“迪奥数据泄露事件”,企业应引以为戒,从以下几个方面加强数据合规与安全管理:

一是严格落实《个保法》要求,确保信息收集和使用合法、正当、必要,定期开展合规审查和隐私影响评估,特别是在使用第三方系统或发生跨境传输时。
二是加强技术和组织保障,落实数据分级保护、权限控制、加密存储和审计,完善数据泄露应急响应机制,确保突发事件可控、可溯、可整改。
三是强化员工和第三方的合规培训与管理,防范内部操作失误或权限滥用。
四是建议设立数据合规负责人,统筹制度建设与风险治理,建立持续改进的合规机制。唯有将数据保护落到日常管理实处,企业方能有效防控法律风险,维护用户信任。
#迪奥  #个人信息保护 #数据泄漏 #信息保护法 #可疑通信 #个保法 #玛莎百货 #美高梅

作者介绍

朋说丨迪奥数据泄露法律观察:品牌责任与合规边界(图4)

刘琪

上海道朋律师事务所

律师

刘琪,上海道朋律师事务所律师,华东师范大学法律硕士。

主要业务领域包括银行与金融;证券与资本市场;法人治理与合规及金融案件争议解决等。刘律师参与办理了大量中资城投企业发行境外债券业务及衍生业务,为多家企业发行外币债券项目担任承销商或发行人律师,为承销商及发行人提供境内专业法律服务。同时为多家商业银行提供不良资产处置及金融案件争议解决法律服务。刘律师也为多家商业地产及电商企业提供专业的企业顾问法律服务。


作者介绍

朋说丨迪奥数据泄露法律观察:品牌责任与合规边界(图5)

蔡沁珂

上海道朋律师事务所

律师

蔡沁珂律师毕业于华东理工大学,获得法学及经济学双学士学位,具有法学和金融学的双重学术背景。主要从事银行与非银金融机构的金融诉讼业务、不良资产处置业务及境外债券发行等非诉业务。

蔡沁珂律师为多家商业银行及非银金融机构提供法律服务,曾代理多起重大及新型金融诉讼案件、为多家银行的专项业务出具法律意见,并对上述机构的新型业务进行法律风险论证及提出产品设计建议。同时,蔡律师参与办理了大量中资企业发行境外债券业务,为多家企业提供境内专业法律服务,多次作为项目签字律师。此外,蔡律师在商业地产租赁、共有纠纷等争议解决案件中也颇有心得及经验。

END


朋说丨迪奥数据泄露法律观察:品牌责任与合规边界(图6)

返回列表
下一条
朋说丨劳动关系知识库第33期:人力资源合规月刊(2025年4月第26期)
其他动态