用户隐私咋保护？卡地亚、迪奥、阿迪达斯接连曝出数据泄露

继Dior迪奥后再有奢侈品牌陷隐私风波，历峰旗下高级珠宝品牌Cartier卡地亚近日确认发生用户数据泄露事件，引发行业广泛关注。近年来，随着奢侈品牌加速数字化布局、增强线上客户体验，大量高净值人群的敏感数据正以沉浸式服务形式被整合，但高价值数据同时也成为网络攻击者的重点目标。对此，律师建议品牌方应构建纵深防御的数据安全体系，尤其注意强化第三方风险管理。

用户隐私咋保护？卡地亚、迪奥、阿迪达斯接连曝出数据泄露(图1)

卡地亚部分客户信息被泄露

但企业称未涉及敏感财务数据

根据卡地亚官方邮件披露，部分客户的个人信息已被未授权的外部人士获取，泄露内容包括客户姓名、出生日期等，但不涉及银行账户、支付卡信息等敏感财务数据。卡地亚母公司历峰集团尚未发布官方声明，也未透露此次数据泄露涉及的用户数量。南都记者向卡地亚公关服务商求证获悉，品牌目前暂无针对媒体问询的回复。

历峰集团5月16日公布截至3月31日的2025财年业绩报告显示，销售额同比增长4%至213.99亿欧元，除亚太市场外，所有区域市场均实现两位数增长。卡地亚、梵克雅宝、布契拉提及Vhernier所在的珠宝部门，销售额同比增长8%至153.3亿欧元。卡地亚为历峰集团贡献超过一半的销售收入，以及超过七成的利润。该品牌在中国市场承压被认为是集团在亚太市场失利的主要原因。

迪奥、阿迪达斯等品牌

也遭遇消费者数据泄露

近年来，随着奢侈品牌加速数字化布局、增强线上客户体验，大量高净值人群的敏感数据正以沉浸式服务形式被整合，但高价值数据同时也成为网络攻击者的重点目标。客户信任是品牌最宝贵的资产之一。一旦出现隐私安全危机，即使品牌声誉本身不被立即动摇，也会在消费决策中造成不利影响。

用户隐私咋保护？卡地亚、迪奥、阿迪达斯接连曝出数据泄露(图2)

今年5月13日，迪奥报告类似数据泄露事件，迪奥官方回复南都记者表示：迪奥在发现该事件后已第一时间采取措施，在网络安全专家的协助下，正持续对该事件展开调查并进行应对，以及向相关监管机构进行报备。“对于此次事件可能造成的困扰，我们向客户致以深切歉意”。迪奥官方亦表示，事件中被访问的数据库中可能包括客户姓名、性别、手机号码、电子邮箱地址、邮寄地址、消费水平、偏好，以及客户可能已向迪奥提供的其他信息。但不包含诸如银行账户详情、国际银行账户号码（IBAN）或信用卡信息等财务信息。

5月23日，德国运动服饰品牌Adidas阿迪达斯在一份声明中表示，未经授权的外部访问者通过第三方客户服务提供商获取了某些消费者数据。阿迪达斯在一份声明中表示，此次泄露的数据主要包括过去曾与其客户服务交流的消费者的联系信息，不包含密码或是信用卡数据。：“我们立即采取措施控制事件，并启动全面调查，同时与顶尖信息安全专家合作。”但未透露有关此事件的更多细节，包括受影响的服务提供商的名称、何时检测到该事件、有多少人受到影响，以及其官网是否在攻击期间受到损害。

用户隐私咋保护？卡地亚、迪奥、阿迪达斯接连曝出数据泄露(图3)

VF集团旗下The North Face则于今年4月通报遭遇“小规模”网络攻击。公司表示其官网（thenorthface.com）于4 月23日出现异常活动。公司迅速展开调查，确认当天网站遭遇小规模凭据填充攻击。这种攻击方式是黑客利用此前数据泄露中获取的用户名和密码组合，自动化尝试登录用户账户。该公司还表示，攻击之所以得逞，部分原因是用户在多个平台重复使用相同凭据，而未启用多重身份验证（Multi-Factor Authentication, MFA）的账户更容易被攻破。

律师观点

品牌方应构建数据安全体系

尤其注意强化第三方风险管理

中联律师事务所广州办公室吴迪律师对南都记者表示，根据我国现行法律框架，在上述用户数据泄露事件中，相关品牌方可能需要承担严格的法律责任。

吴迪律师具体分析道，品牌承担数据泄露责任需满足一定的法定要件：（1）违法行为：未履行法定安全保护义务构成根本性违法。（2）损害事实：个人信息泄露本身即构成损害。根据最高人民法院司法解释，个人信息权益侵害适用“损害推定”原则，消费者无需证明实际损失。（3）因果关系：品牌方安全措施缺失与信息泄露存在直接关联。即若品牌方实施了更严格的供应商审计制度或数据加密措施，完全可避免或减轻泄露后果。

此外，《消费者权益保护法》第二十九条进一步强化了经营者的责任，要求经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或非法提供；同时规定经营者应采取技术措施等必要手段确保信息安全。即品牌方不能以“第三方过失”作为免责事由，而需对整体数据处理活动负责。

品牌方应构建纵深防御的数据安全体系，尤其注意强化第三方风险管理。（1）建立覆盖准入、执行、退出的全周期管理机制，定期对供应商开展渗透测试与审计。（2）严格遵循《中华人民共和国个人信息保护法》第六条规定的“最小必要原则”，如非必要不收集身份证号、生物信息等敏感数据。（3）投入资金用于数据安全建设升级，提升数据的安全保障系数。（4）在发现信息泄露后第一时间通知相关用户，在黄金窗口期内完成威胁遏制、影响评估及监管报告；通过多途径（短信、邮件、官网公告）确保受影响用户全覆盖告知；提供免费信用监控服务等。

面对频发的数据泄露事件，吴迪律师亦建议政府监管部门从立法、执法、协同多维度提升强化治理能力。（1）加快制定“第三方数据处理安全规范”等配套细则，明确品牌方对供应商的连带责任标准。（2）针对高敏感行业开展“穿透式监管”，检查品牌方对第三方供应商的审计记录、数据流转日志及加密措施有效性。（3）建立多部门联合执法机制，统一数据泄露事件的立案标准与处罚尺度。（4）推广隐私计算技术在数据流通中的应用，资助建设数据安全靶场，模拟供应链攻击场景提升企业防御能力。