迪奥数据泄露被查，跨国企业岂能漠视用户信息安全？

近日，国际奢侈品牌迪奥（Dior）因数据跨境传输违规及个人信息保护不力，在华遭到行政处罚，引发广泛关注。据国家网络安全通报中心消息，今年5月，多家媒体报道迪奥发生数据泄露事件，中国大陆地区用户也陆续收到迪奥官方警示短信。

随后，公安网安部门对迪奥（上海）公司依法开展行政调查。调查结果显示，迪奥（上海）公司存在三项违反《个人信息保护法》的行为。其一，在未通过数据出境安全评估、未订立个人信息出境标准合同或通过个人信息保护认证的情况下，擅自将用户个人信息传输至法国迪奥总部。其二，向法国迪奥总部提供用户个人信息前，未向用户充分告知境外接收方的处理方式，也未取得用户的“单独同意”。其三，未对收集的个人信息采取加密、去标识化等安全技术措施。

新京报记者就此事多次致电迪奥（上海）公司，均未能接通。迪奥官方客服人员表示，将上报公司并给予回复。记者进一步登录迪奥官网咨询个人信息安全问题，客服回应称，建议用户“对任何通信保持警惕”，但对于是否会将客户信息传送至国外总部，客服称“涉及全球数据管理政策，暂时无法提供说明”。

早在5月12日，迪奥就向用户发布短信，承认于5月7日发现有未经授权的外部人员获取了部分客户数据。受影响的数据范围包括姓名、性别、手机号码、电子邮箱、邮寄地址、消费水平、偏好等个人信息，不过据称不包含银行账户等财务信息。然而，即便没有财务信息，这些泄露的个人信息也足以让不法分子实施精准诈骗、隐私骚扰甚至身份冒用。

事件发生后，迪奥方面的回应显得轻描淡写、避重就轻。客服仅以“未存储任何金融信息”来回应，试图大事化小，但用户的安全焦虑和隐私被侵犯的感受却无法被如此简单地安抚。

迪奥作为路威酩轩（LVMH）集团旗下的高端品牌，在中国市场拥有众多消费者，赚得盆满钵满，却在个人信息保护方面如此漠视，实在令人失望。这并非技术问题，而是态度问题，也不是偶然疏忽，而是系统性的漠视。《个人信息保护法》实施已有数年，国家三令五申强调数据出境安全、用户知情同意、信息加密保护，迪奥不可能不知道相关规定，但其行为却表明它根本没把中国的法律和用户的隐私当回事。

此次迪奥被查，给所有跨国企业都提了个醒。在中国运营的企业，无论规模大小、来自哪里，都必须遵守中国的法律法规，尊重中国用户的个人信息权利。用户可以支持一个品牌，也能让其因不尊重用户而摔得很惨。公民个人信息受法律保护，个人信息处理者应以此案为鉴，遵循合法、正当、必要和诚信原则，切实保护用户个人信息安全。否则，若还有企业对用户信息安全装睡，等待它们的必将是监管的重拳。