9月9日，国家网络安全通报中心公布调查结果，公安网安部门确认迪奥（上海）公司存在三项违法事实，并依法予以行政处罚。

01 迪奥的三宗罪

调查显示，迪奥（上海）公司的违法事实包括：未通过数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证，违规向法国迪奥总部传输用户个人信息。

在向法国迪奥总部提供用户个人信息前，公司未向用户充分告知其个人信息境外接收方的处理方式，未取得用户“单独同意”。同时，公司还未对收集的个人信息采取加密、去标识化等安全技术措施。

这些违法行为直接导致了今年5月的数据泄露事件，受影响客户的信息包括姓名、性别、联系方式、地址以及消费金额和偏好等敏感数据。

02 化妆品行业的数据挑战

迪奥案例暴露了化妆品行业在数据处理上的普遍问题。作为营销驱动型行业，化妆品公司收集大量用户信息，包括生物识别和健康生理信息等敏感数据。

通过肌肤检测设备、虚拟试妆工具收集的面部特征信息属于生物识别信息；用户的皮肤类型、过敏史、肌肤问题、孕期信息则属于健康生理信息。

这些信息一旦泄露或非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。

化妆品行业正面临数字化转型带来的数据安全挑战。品牌们积极布局线上营销、私域流量与高端CRM客户关系管理系统，频繁触达消费者的“精细运营”使其收集了大量用户数据。

03 合规之路与未来展望

迪奥被罚事件释放了强烈的监管信号，表明中国在数据保护领域的执法力度和严格程度正在向欧盟看齐。跨国企业需要同时满足全球多个司法管辖区的严苛要求，合规复杂性大大增加。

对于化妆品企业来说，合规不是选择题而是必做题。他们需要重新思考与消费者的关系：不再是数据的占有者，而是用户信任的受托者。

那些能率先做好合规、透明地使用数据、真正赢得用户信任的品牌，将在未来的竞争中占据更有利的位置。

迪奥不是第一个遭遇数据安全问题的奢侈品牌——卡地亚和路易威登今年也先后发生了客户信息泄露事件。

但迪奥被罚事件，无疑是一个分水岭。它宣告了“数据裸奔”时代的结束，所有企业必须将数据合规提升至战略高度。

在数字化与隐私保护的天平上，化妆品行业需要找到新的平衡点。