大手跨国企业因数据泄露被处罚-【NEW】-
2025年9 月9日,国家网络安全通报中心通过了一起备受社会关注的案件:法国时尚消费品牌迪奥(Dior)因其中国现地公司存在下述违反《个人信息保护法》等法规的情形,被属地公安机关依法予以行政处罚。
(1)未履行数据跨境传输的程序要求(数据出境安全评估、订立标准合同或个人信息保护认证)。
(2)未取得个人信息用户的“单独同意”、未告知用户境外数据接收方等信息;
(3)未对收集的个人信息采取加密、去标识化等安全技术措施,导致数据泄露。
该事件对企业(尤其是跨国企业)进行数据和个人信息的跨境传输及合规管理具有重大警示意义。敝所本次对企业值得企业关注和留意的内容简要介绍如下,供各企业参考。
1.强化对个人信息及数据处理的合规化
结合上述迪奥事件,企业有必要加强个人信息及数据出境的合规化。例如:
①履行告知义务并取得个人的单独同意
②开展个人信息保护影响评估
③采取必要的加密、匿名化等技术措施减少信息泄露风险。
④根据自身行业及数据跨境传输等实际情况,选择并履行法定的“跨境”程序。
在上述④中,对企业来说,进行少量个人信息或数据跨境传输,相对便利的是与境外接收方签订标准合同。进行个人信息保护认证或者数据出境安全评估的程序相对来说复杂一些。
另外,并非所有的个人信息跨境数据传输都需要履行法定程序,也有一些例外情形。
2.做好数据合规体系建设和合规记录留存的重要性
近年来,由数据泄露引发的巨额罚单并不少见,但是最终的处罚依据大多数是基于企业未能采取充分的措施履行保护个人数据的义务。因此,企业有必要考虑采取以下对策:
(1)内部合规流程及制度的建立
建立从个人信息及其他数据收集、存储、使用、提供到销毁的全流程的合规管理制度和实施细则,并且由各部门按照内部规则实施。
(2)留意相关合规记录的留存
企业需留意保存好在履行个人信息及数据收集、存储、使用过程中的企业合规决策记录,规章制度、风险评估报告、告知并取得员工或者用户同意处理个人信息的等有关文件记录。这样的话,不仅可以做好内部的合规监察,而且面临政府当局的监管监察时,还可以据此进行抗辩和交涉,主张企业已履行相关合规义务。
◆对日系企业的建议
随着数据信息化时代的到来,个人信息及企业数据等将成为未来社会的重要资源,政府当局也在不断加强对数据及个人信息保护的监管及执法力度。对于现地企业来说,其可能会面临网信部门、公安部门、行业主管部门的监管和调查。因此,建立能够应对来自不同监管机构问询和调查的合规体系将十分重要,必要时可以委托现地律师对应政府当局的调查。
对于跨国企业来说,其可能面临不同国家、地区的用户和不同的法律规制。因此,跨国企业有必要考虑预先梳理并理解其业务所涉各国家、地区的法律约束,制定灵活应对不同监管要求的数据应急预案,避免违反各地法规。
作成日:2025年09月19日
