迪奥因数据问题被罚，遭遇数据泄露的公司该如何补救？

21世纪经济报道记者肖潇 

图片来源于网络，如有侵权，请联系删除

9月9日，“国家网络安全通报中心”宣布，因境外数据传输等问题，对迪奥（上海）公司作出行政处罚。

图片来源于网络，如有侵权，请联系删除

通告显示，今年5月迪奥发生全球客户数据泄露后，公安网安部门介入调查，发现三项违法事实：一，违规向法国迪奥总部传输用户个人信息；二，未取得用户“单独同意”并充分告知向境外传输信息；三，未落实个人信息加密、去标识化等安全措施。

本次处罚依据为个人信息保护法，具体金额和措施未公布。根据个人信息保护法，向境外提供个人信息须通过国家网信办的安全评估、专业机构的保护认证，或与境外签署标准合同。 

一位网安从业者向21记者分析，本次通告不能简单理解为处罚“数据泄露”。通过泄露事件，进一步发现了迪奥在跨境传输、用户同意和安全防护上的合规缺陷，这才成为处罚的直接事由。

迪奥是法国奢侈品巨头LVMH的核心品牌，旗下有成衣、化妆品、配饰等多条产品线。今年5月12日，包括中国在内的全球消费者收到迪奥短信，告知5月7日发现部分客户信息被未经授权人员获取。短信显示，受影响的信息涉及姓名、性别、手机号、邮箱、消费水平与偏好，但未包含银行账户等财务数据。

事实上，近年来国内对数据安全执法持续趋严。今年5月，北京市网信办曾对两起数据泄露案各处罚五万元。7月，成都一科技公司因系统漏洞导致信息泄露，也被四川网安部门开出了行政处罚。

从法律上看，我国数据安全法、网络安全法均明确规定了数据安全保护义务：企业需要健全全流程的数据安全管理制度，发现数据安全缺陷等风险时，应当立即采取补救措施，及时告知用户，并向有关主管部门报告。

按照规定，如果未履行数据安全保护义务，有重大数据泄露后果的，最高罚款可以达到两百万元。正在审议的网络安全法修订草案进一步加大了处罚力度，比如导致危害安全后果的，从原来的“1万～50万元”罚款调整为“5万～50万元”。

尽管迪奥的数据泄露并非直接处罚事由，但能为行业提个醒。

数据合规公司北京尚隐科技有限公司CEO张仁卓告诉21记者，数据泄露不能绝对避免，也并非处罚的必然触发点。除了事前的安全保护措施，如果能及时做出补救，通常也能被减轻或豁免行政处罚。

那么，企业如何应对数据泄露？多数大公司会有单独的应急响应流程，做法通常分为三步：首先是及时止损，避免更多数据泄露；然后评估受影响的群体，并迅速通知；后续是溯源原因，避免重发。

值得注意的是，今年5月以来，卡地亚、LV等多家奢侈品牌接连爆出客户信息泄露——6月，卡地亚确认部分用户数据泄露，涉及姓名和出生日期等，但未包含支付信息；7月，LV通报42万名香港客户资料外泄，包括护照号码、购物记录在内的大量信息。香港个人资料隐私专员公署已介入调查。

“外企通常采用类似的国外CRM（客户关系管理系统），如果一套系统有漏洞，黑客通常能举一反三，造成多家品牌同时中招。这可能是出现大面积数据泄露的原因。”网安公司北京汉华飞天信安科技总经理彭根向21记者分析。 

而奢侈品客户多为高净值人群，他们对数据泄露的容忍度远低于普通消费者。彭根对此建议，一方面，收集个人信息应该遵循“最小必要原则”，不采集与业务无关的个人信息。同时严格按照我国法律要求，强化跨境评估与数据合规管理。这是接下来外企在华运营不可回避的“硬门槛”。