1、事件导读
5月12日晚,某全球知名奢侈品牌向中国用户发布紧急通知,表明其客户数据库遭遇未经授权的外部访问,部分中国用户个人信息被泄露。
该品牌称本次客户数据泄露于2025年5月7日发现,未经授权的外部人员获取了该品牌持有的部分客户数据。目前受影响的数据主要涉及姓名、性别、联系方式等个人信息,被访问的数据库中不包含诸如银行账户详情、国际银行账户号码(IBAN)或信用卡信息等财务信息。客户信息泄露的事件发生后,该品牌已立即启动调查并聘请专业网络安全专家协助。
该品牌用户数据泄露事件为企业数据安全与合规再次敲响警钟,随着用户数据的应用价值凸显,数据泄露也呈现多发趋势,尤其是手握海量用户数据的零售企业必须将数据合规与安全防护升级至战略高度。
2、基本情况
泄露的数据类型:中国客户的姓名、性别、手机号码、电子邮箱地址、邮寄地址、消费水平、偏好,以及可能向该品牌提供的其他信息。
该品牌目前已采取的措施
1)立即启动调查;
2)通过发送警示短信将个人数据泄露的事实通知数据主体;
3)向相关监管部门报备;
4)聘请专业网络安全专家团队协助;
5)加强信息安全防护系统,对受影响信息持续监控;
6)建议客户避免打开或点击来自不明来源的通信或链接,透露验证码、密码等敏感信息等。
3、中国&欧盟个人信息泄露处理的法律规定
个人信息保护法
第五⼗七条 发⽣或者可能发⽣个⼈信息泄露、篡改、丢失的,个⼈信息处理者应当⽴即采取补救措施,并通知履⾏个⼈信息保护职责的部门和个⼈。通知应当包括下列事项:
(⼀)发⽣或者可能发⽣个⼈信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(⼆)个⼈信息处理者采取的补救措施和个⼈可以采取的减轻危害的措施;
(三)个⼈信息处理者的联系⽅式。
个⼈信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个⼈信息处理者可以不通知个⼈;履⾏个⼈信息保护职责的部门认为可能造成危害的,有权要求个⼈信息处理者通知个⼈。
《欧盟通用数据保护条例》(GDPR)
1)第三十三条:向监管机构报告对个人数据泄露的义务
在个人数据泄露的情形中,控制者在知悉后应当及时——最迟在72小时内——将个人数据泄露告知监管机构,除非个人数据泄露对于自然人的权利与自由不太可能会带来风险。不能在72小时以内告知监管机构的,应当提供延迟告知的原因。其中,告知内容应当至少包括:
(a)描述个人数据泄露的性质,在可能的情形下,描述包括相关数据主体的类型和大致数量,以及涉及到个人数据的类型与大致数量;
(b)告知数据保护官的姓名与详细联系方式,或者可以获取更多信息的其他联系方式;
(c)描述个人数据泄露的可能后果;
(d)描述控制者应对个人数据泄露已经采用或计划采用的措施。
2)第三十四条:向数据主体告知个人数据泄露的事实和内容
当个人数据泄露很可能给自然人的权利与自由带来高风险时,控制者应当及时向数据主体传达对个人数据泄露。本条所规定的向数据主体传达,应当以清晰和平白的语言传达个人数据泄露的性质,告知内容应当至少包括:
(a)告知数据保护官的姓名与详细联系方式,或者可以获取更多信息的其他联系方式;
(b)描述个人数据泄露的可能后果;
(c)描述控制者应对个人数据泄露已经采用或计划采用的措施。
数据泄露的监管差异引发合规思考
综合上述法律规定,中国《个人信息保护法》与欧盟《通用数据保护条例》(GDPR)针对个人数据泄露的响应时间、告知事项存在明显差异。即欧盟GDPR明确要求数据控制者最迟在72小时内告知有权监管机构数据泄露情况,而中国《个人信息保护法》仅概括性规定数据处理者应立即采取补救措施并通知履⾏个⼈信息保护职责的部门和个⼈,这种缺乏明确时间期限规定意味着监管机构对报告时间拥有裁量空间,对于数据处理者提出了更高更严格的要求,即对于更敏感的数据类型例如个人银行账户信息等将可能会要求数据处理者在更短时间内报告/通知数据泄露事实。
而该品牌于2025年5月7日发现数据泄露,于5月12日向中国用户、监管机构报告/通知数据泄露事实,超出欧盟《通用数据保护条例》规定的72小时,后续相关监管部门可能要求该品牌解释说明延迟报告/通知的理由。
4、合规建议
1.事前预防
1)加强数据安全防护措施。企业数据泄露源于多种安全隐患,导致在系统受到攻击时被读取明文数据。应在数据库加密、访问权限控制、自动预警和拦截等多个领域部署和加强数据安全防护能力。部署AI驱动的异常访问监测系统,如非工作时间查询预警、批量导出阻断等。
2)完善企业数据全生命周期保护制度体系。企业应制定全面的数据保护制度,明确数据管理各环节的职责和流程,确保数据在收集、存储、使用、传输和删除等过程中有章可循,发生数据安全事件时可高效追溯,提高响应速度和对策准确性。同时,企业用户如果涉及多个国家和地区,由于每个国家地区的数据保护政策和要求不同,应定期关注当地数据保护法规和处罚案例动态,以便及时调整数据跨境的合规方案。
3)定期进行数据安全检查和审计评估。应每年至少开展一次对涉及收集、存储、传输、使用个人信息的信息系统进行安全检查或安全评估。定期举办数据泄露演练与测试,验证防护措施的有效性。发生过数据安全问题的企业更应提高安全审计和渗透测试的频率,及时发现和修复系统漏洞,评估数据安全风险,以便提前采取防范措施。
4)设立数据保护官(DPO)。任命专职DPO(也可外聘律师团队),负责监督企业内部数据合规制度执行;对接网信部门等监管机构,定期提交合规报告;参与企业内部重大决策,如引入新业务系统时的数据风险评估。
5)加强供应商数据安全合规监督管理。对于拥有会员体系的中大型零售企业来说,客服系统和会员管理系统的数据安全与合规至关重要。在选择供应商前,进行全面的尽职调查,要求供应商提供其数据安全管理体系的相关认证。同时,审查和完善与第三方供应商的合作协议,明确双方在数据保护方面的权利和义务,要求供应商遵守企业的数据安全标准,对因供应商原因导致的数据泄露要求其承担相应法律责任。当发生数据泄露事件时,要求供应商在规定的时间内(如 2小时内)向企业报告,以便企业及时启动自身的应急响应程序。
6)定期进行数据安全与合规培训并应急演练。企业应定期组织员工参加数据保护培训,包括法律法规解读、数据安全操作规范、安全意识提升等内容,提高员工对数据保护重要性的认识和操作技能。定期组织应急演练,模拟数据泄露场景,检验应急预案的有效性,提高员工在应急情况下的响应能力和处理效率,确保在真实事件发生时能够迅速、有效地应对。
2.事后响应
1)确认泄露范围,启动应急响应流程
一旦发生数据泄露安全事件,零售企业应迅速确认数据泄露范围、数量、种类等,准确判断出事件性质,评估风险等级,立即采取补救措施。成立由技术、法务、公关组成的联合工作组,明确分工,例如技术团队修复漏洞,法务评估法律责任,公关起草对外声明。
2)信息安全专家介入清除安全隐患
快速定位泄露源头(如数据库、第三方接口),立即关闭受攻击的系统或网络通道,暂停相关服务,防止数据进一步外流。聘请第三方安全团队进行渗透测试与漏洞扫描,重点排查SQL注入、弱口令、未授权访问等高风险漏洞,并进行系统加固,更新补丁、修复代码缺陷,并重新部署防火墙、入侵检测系统(IDS)等防护工具。
3)及时报告监管部门及通知用户
综合中国《个人信息保护法》欧盟GDPR等主要国家和地区的数据泄露管理规定,面向海内外消费者的国内零售企业,应尽量在数据泄露事实发生后48小时-72小时内向监管部门、用户同步告知数据泄露事实,避免遭受巨额行政罚款、停产停业等行政处罚。
例如,欧盟GDPR要求向监管部门报告的内容包括事件性质(如攻击类型、漏洞来源),泄露的数据类型及预估受影响的个人数量,可能造成的后果(如身份盗用、欺诈风险),已采取或计划采取的补救措施(如加密、系统修复),数据保护官DPO的联络方式等。在数据泄露可能对个人权利和自由造成高风险(如身份盗用)的情况下,要求通知用户数据泄露的性质及可能影响,建议用户采取的措施(如修改密码、监控账户),企业联系方式和后续处理计划,并避免使用技术术语,确保语言通俗。
中国《个人信息保护法》则要求当企业评估数据泄露可能对个人权益造成损害时,向用户告知被泄露、篡改、丢失的信息种类、原因和可能造成的危害,企业采取的补救措施(如聘请安全专家、系统修复)和个⼈可以采取的减轻危害的措施(警惕诈骗、避免点击不明链接),企业的联系⽅式等。
4)规范证据固定流程
信息安全团队应配合法务团队采用符合司法取证标准的技术手段,完整保存服务器日志、数据传输记录、供应商操作痕迹等电子证据,必要时邀请公证机构介入,确保证据链完整,为后续法律纠纷和监管调查提供支持。
5)整改优化及舆情管理
将数据安全与合规整改措施及成效形成书面材料,报送监管部门,必要时通过官网公告向公众展示改进成果,重塑客户信任。
5、总结
数据安全与合规工作的重点在于日常,核心价值在于“将法律义务转化为可落地的管理规则和技术手段”:事前通过技术措施、合同条款、合规审计将风险隔离;事后通过证据管理、舆情处理、策略性沟通平衡处罚与赔偿。尤其对零售企业而言,需将合规成本视为“品牌信任的护城河”——平时安全合规的工作投入越重视,危机时的责任可控性越强。企业应将应急响应视为持续优化的起点,而非终点,实现从被动防御到主动治理的转型。
来源:数据法识堂
本文仅作分享,作品版权归原作者及机构所有,如有侵权请联系,我们立即更正/删除
