5月13日10點(diǎn)13分�����,小嵐收到了迪奧發(fā)來的短信����。信息顯示,迪奧于5月7日發(fā)現(xiàn)���,曾有未經(jīng)授權(quán)的外部人員獲取了迪奧持有的部分客戶數(shù)據(jù)����。
迪奧是法國(guó)時(shí)尚消費(fèi)品牌,隸屬于全球奢侈品集團(tuán)LVMH(路威酩軒)����,主要經(jīng)營(yíng)手袋、女裝���、首飾����、香水���、化妝品等高檔消費(fèi)品�����,小嵐在迪奧多次購(gòu)買過包和鞋子����。
迪奧的短信內(nèi)容顯示���,泄露的數(shù)據(jù)包括客戶姓名��、性別���、手機(jī)號(hào)碼��、電子郵箱��、郵寄地址以及消費(fèi)金額和偏好等���。迪奧還強(qiáng)調(diào),被訪問的數(shù)據(jù)庫(kù)中不包含諸如銀行賬戶詳情�����、國(guó)際銀行賬戶號(hào)碼(IBAN)或信用卡信息等財(cái)務(wù)信息�����。
5月13日����,迪奧官方客服向經(jīng)濟(jì)觀察報(bào)就用戶數(shù)據(jù)泄露一事進(jìn)一步介紹�����,目前并未接到用戶因數(shù)據(jù)泄露導(dǎo)致的財(cái)產(chǎn)損失報(bào)告,此次短信是對(duì)用戶的“預(yù)警”�����。另外�,此次數(shù)據(jù)泄露的范圍以收到短信的用戶為準(zhǔn),不排除海外用戶同樣遇到數(shù)據(jù)泄露的可能性��。
迪奧并未解釋用戶數(shù)據(jù)在哪一個(gè)環(huán)節(jié)遭到泄露��。上海錦天城(鄭州)律師事務(wù)所律師賈帥告訴經(jīng)濟(jì)觀察報(bào)���,出于物流運(yùn)輸或廣告營(yíng)銷等目的���,部分企業(yè)會(huì)將用戶數(shù)據(jù)委托給第三方數(shù)據(jù)公司,進(jìn)行快遞配送或用戶畫像等數(shù)據(jù)信息化服務(wù)�����,這一過程中���,數(shù)據(jù)可能會(huì)在儲(chǔ)存和傳輸兩個(gè)環(huán)節(jié)出現(xiàn)紕漏�����,從而導(dǎo)致用戶的個(gè)人信息泄露�。
賈帥稱,保存用戶信息的數(shù)據(jù)庫(kù)相當(dāng)于“倉(cāng)庫(kù)”���,保管“鑰匙”的是企業(yè)�,無論是委托第三方數(shù)據(jù)公司�����,或是企業(yè)自營(yíng)的線上旗艦店���、小程序等官方渠道�����,數(shù)據(jù)收集的主體和責(zé)任人都是企業(yè)本身。若發(fā)生數(shù)據(jù)泄露或由此引發(fā)了用戶的財(cái)產(chǎn)損失�����,企業(yè)作為第一責(zé)任人����,將被追究相應(yīng)的法律責(zé)任��。
財(cái)務(wù)信息還安全嗎����?
從迪奧發(fā)布的短信內(nèi)容來看�����,此次數(shù)據(jù)泄露的范圍主要為姓名��、性別等個(gè)人基本信息�����,不包含個(gè)人的財(cái)務(wù)信息����。但小嵐依然擔(dān)心,她的迪奧賬戶是在英國(guó)專賣柜購(gòu)買香水時(shí)開通的�����,綁定了自己的VISA卡和手機(jī)號(hào)碼,也使用過迪奧的官方小程序積累積分���,不知自己的賬戶信息是否安全����。
經(jīng)查詢�����,迪奧的確會(huì)收集用戶的銀行卡信息�����。在用戶使用其官方小程序時(shí)�,要求用戶勾選的“我同意”頁(yè)面中,其《個(gè)人信息處理規(guī)則(標(biāo)準(zhǔn)版)》(下稱“《規(guī)則》”)的“提供產(chǎn)品和服務(wù)”一欄顯示����,用戶在完成貨款支付時(shí),需向其提供財(cái)務(wù)信息��,如銀行賬戶或信用卡信息��、支付記錄等���。
數(shù)據(jù)治理高級(jí)工程師����、泰和泰(武漢)律師事務(wù)所律師杜雙告訴經(jīng)濟(jì)觀察報(bào)�����,用戶在線上支付貨款時(shí)�,是通過跳轉(zhuǎn)第三方支付機(jī)構(gòu),如銀行����、支付寶和微信來完成支付。因此��,商戶只能掌握交易訂單號(hào)�、銀行卡尾號(hào)等基本信息,并不掌握其他信息����。
某銀行對(duì)公賬戶業(yè)務(wù)人員也向經(jīng)濟(jì)觀察報(bào)稱,一般情況下����,若消費(fèi)者僅使用商戶提供的瀏覽�����、查詢服務(wù)�����,并不涉及消費(fèi)及支付行為時(shí)�,后臺(tái)無法調(diào)動(dòng)用戶的銀行賬號(hào)信息���。應(yīng)當(dāng)注意的是��,微信“零錢”或支付寶“余額”屬于虛擬賬戶�,用戶若使用這類賬戶支付貨款����,商家也無法獲取用戶的銀行卡賬號(hào)信息。
結(jié)合迪奧回應(yīng)的“不涉及銀行賬戶及財(cái)務(wù)信息”�����,杜雙判斷小嵐的銀行賬戶暫時(shí)安全�,但他同時(shí)提醒,消費(fèi)者仍需提高警惕���,不法分子可能會(huì)利用已獲取到的細(xì)節(jié)信息��,包括消費(fèi)者的消費(fèi)時(shí)間����、消費(fèi)物品及消費(fèi)習(xí)慣來進(jìn)行“定制化詐騙”����。
兩個(gè)泄露環(huán)節(jié)猜測(cè)
杜雙介紹,數(shù)據(jù)的全生命周期分為產(chǎn)生與收集�、儲(chǔ)存與管理、使用與加工����、傳輸與共享、歸檔與銷毀����。在這幾個(gè)環(huán)節(jié)中(排除黑客入侵情況下)出現(xiàn)數(shù)據(jù)泄露的可能在于數(shù)據(jù)儲(chǔ)存和數(shù)據(jù)傳輸。
在數(shù)據(jù)儲(chǔ)存環(huán)節(jié)����,企業(yè)對(duì)數(shù)據(jù)訪問控制應(yīng)遵循數(shù)據(jù)最小權(quán)限原則,只有少數(shù)擁有較高訪問權(quán)限的管理人員才能查看和處理用戶數(shù)據(jù)����。一般來講����,數(shù)據(jù)權(quán)限以數(shù)據(jù)分類��、分級(jí)處理為前提��,等級(jí)逐級(jí)遞增����,訪問的權(quán)限更為嚴(yán)格,相應(yīng)權(quán)限人員應(yīng)有相應(yīng)的加密手段���,比如電子或?qū)嶓w加密工具���。
杜雙在迪奧的《規(guī)則》中發(fā)現(xiàn)了其對(duì)上述訪問控制權(quán)限的管理手段:一方面是物理防護(hù)手段,比如加固存放數(shù)據(jù)的地方��;另一方面��,運(yùn)用信息技術(shù)���,如數(shù)據(jù)加密����、訪問控制、防火墻等�。此外,迪奧還強(qiáng)調(diào)��,會(huì)為員工開展個(gè)人信息保護(hù)方面的專門培訓(xùn)���。
除此之外,在數(shù)據(jù)傳輸環(huán)節(jié)����,企業(yè)也存在幾個(gè)數(shù)據(jù)泄露的風(fēng)險(xiǎn):一是未在安全網(wǎng)絡(luò)環(huán)境下處理數(shù)據(jù),如相關(guān)技術(shù)人員在咖啡廳���、圖書館等公共網(wǎng)絡(luò)空間進(jìn)行數(shù)據(jù)處理�,或未使用安全協(xié)議��,不法分子會(huì)通過這些漏洞攻擊截取數(shù)據(jù)�;二是企業(yè)在與物流、營(yíng)銷等外部第三方平臺(tái)進(jìn)行數(shù)據(jù)交互時(shí)��,會(huì)提供獲取數(shù)據(jù)庫(kù)的交互接口���,這些接口若沒有完善的認(rèn)證和授權(quán)機(jī)制�,數(shù)據(jù)庫(kù)資源可能會(huì)被非法調(diào)用。
杜雙介紹��,為完成精準(zhǔn)推廣���,企業(yè)通常會(huì)將線上各渠道收集到的用戶信息����,授權(quán)給第三方數(shù)據(jù)分析機(jī)構(gòu)�����,以分析用戶的設(shè)備型號(hào)��、消費(fèi)習(xí)慣等用戶畫像�����,這一過程中可能會(huì)出現(xiàn)數(shù)據(jù)保護(hù)不當(dāng)?shù)膯栴}�。
迪奧在《規(guī)則》中稱,數(shù)據(jù)收集是基于“數(shù)據(jù)統(tǒng)計(jì)���、廣告及營(yíng)銷效果評(píng)估”目的�����。用戶的信息包括搜索查詢內(nèi)容�、IP 地址、瀏覽器的類型�、電信運(yùn)營(yíng)商、使用的語(yǔ)言��、訪問日期和時(shí)間及用戶訪問�、瀏覽��、停留�、下單操作的網(wǎng)頁(yè)記錄等。
迪奧的《規(guī)則》中同時(shí)披露了其委托的部分第三方機(jī)構(gòu)����,如神策網(wǎng)絡(luò)科技(北京)有限公司、騰訊云計(jì)算(北京)有限責(zé)任公司�����、北京數(shù)美時(shí)代科技有限公司等�,使用目的多為“數(shù)據(jù)統(tǒng)計(jì)分析、業(yè)務(wù)安全和風(fēng)控”���,涉及的個(gè)人信息類型包括微信昵稱及頭像��、設(shè)備的品牌及型號(hào)��、用戶瀏覽動(dòng)作等���。
企業(yè)應(yīng)履行安全保護(hù)責(zé)任
在全球奢侈品行業(yè)加速數(shù)字化轉(zhuǎn)型的背景下�,迪奧在中國(guó)的數(shù)字化營(yíng)銷動(dòng)作頻繁:重視社交媒體����、短視頻平臺(tái)的“種草”推廣活動(dòng);聯(lián)合明星��、KOL(意見領(lǐng)袖)直播時(shí)裝秀等���。
例如�����,迪奧美妝超級(jí)品牌開業(yè)盛典在2022年落地抖音商城時(shí)�����,迪奧對(duì)其美妝及護(hù)膚品展開了一系列營(yíng)銷活動(dòng)�����,數(shù)據(jù)顯示�����,迪奧此次抖音營(yíng)銷活動(dòng)商品交易總額(GMV)環(huán)比增長(zhǎng)超900%�。
杜雙推測(cè),迪奧正是在積極的線上布局和頻繁的獲客營(yíng)銷中收集到大量的用戶數(shù)據(jù)���。對(duì)于如何管理和保護(hù)這些信息�,迪奧在《規(guī)則》中介紹:一是定崗定責(zé)���,定期檢查及合規(guī)審計(jì);二是通過向其它服務(wù)器備份�、對(duì)客戶密碼進(jìn)行加密等,最大程度確保信息不丟失�,不被濫用和變?cè)欤蝗且婪男袇R報(bào)及通知義務(wù)���。
“迪奧作為個(gè)人信息處理的主體����,應(yīng)當(dāng)采取合理、有效的技術(shù)措施和管理措施來保障用戶個(gè)人信息安全�����?�!倍烹p介紹��,設(shè)置防火墻����、加密用戶數(shù)據(jù)、嚴(yán)格訪問控制�、定期審計(jì)、安全事件應(yīng)急響應(yīng)等�����,都可以對(duì)用戶數(shù)據(jù)進(jìn)行有效保護(hù)��。
杜雙稱�����,若企業(yè)保管的用戶數(shù)據(jù)發(fā)生泄漏情況,企業(yè)應(yīng)立即作出響應(yīng)��,包括第一時(shí)間隔離被攻擊的存儲(chǔ)數(shù)據(jù)庫(kù)����、定位漏洞位置、評(píng)估泄露范圍及流向�、發(fā)出用戶警示通知、向網(wǎng)信辦等相關(guān)部門報(bào)備等�。
杜雙介紹,根據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》�,若迪奧存在數(shù)據(jù)安全運(yùn)營(yíng)和維護(hù)漏洞,致使用戶因個(gè)人信息泄露遭受重大財(cái)務(wù)損失����,可能被認(rèn)定為未充分履行安全保障義務(wù),需在一定范圍內(nèi)向用戶承擔(dān)相應(yīng)責(zé)任�����。
迪奧在短信中稱���,初步調(diào)查顯示,此次事件是由數(shù)據(jù)庫(kù)遭受未經(jīng)授權(quán)的訪問所致�。
迪奧建議客戶對(duì)任何可疑通信(短信���、電話、電子郵件)都要保持警惕����。不要打開或點(diǎn)擊來自不明來源的通信或鏈接,也不要透露驗(yàn)證碼���、密碼等敏感信息��。若收到任何以迪奧名義發(fā)送的可疑信息或聯(lián)系�����,客戶要咨詢迪奧官方客服中心��。
目前��,迪奧尚未就數(shù)據(jù)泄露所涉及的客戶數(shù)量�����、出現(xiàn)紕漏的具體環(huán)節(jié)等展開說明���,經(jīng)濟(jì)觀察報(bào)向迪奧相關(guān)部門發(fā)送的相關(guān)問題���,截至發(fā)稿也無回應(yīng)。
(作者 羅文利)
購(gòu)物車
微信注冊(cè)或登錄
訂閱
