雅诗兰黛惊爆客户信息泄露疑云

一、雅诗兰黛信息泄露事件始末

2020年2月11日，据安全研究人员耶利米·福勒​（Jeremiah Fowler）声称，自己于2020年1月30日发现了一个无密码保护的数据库，其中共有440,336,852条用户的敏感数据，与总部在纽约的零售巨头雅诗兰黛相关联。

该公开的数据库内容包含了客户和员工的未加密电子邮件地址记录，市场营销报告，内部文档，以及有关IP地址和数据存储路径的信息。发现信息泄露的情况后，他立即通知了雅诗兰黛（Estée Lauder）负责信息安全的区域。

接到报告后不久，雅诗兰黛证实了这一事件，并提到该数据库暴露了在在线平台上注册的有限数量的电子邮件地址（非客户成员）。该零售公司的信息安全团队还声称，到目前为止，尚未记录对数据库的不当访问。

随后雅诗兰黛立即关闭了对该数据库的访问通道，对数据进行保护。不过幸运的是，根据安全研究人员目前的取证数据，此次数据泄露事件中并没有用户支付数据或员工敏感信息被曝光。福勒认为，根据目前的分析结果，推测或假设这些电子邮件地址来自于雅诗兰黛的线上销售渠道。

KnowBe4的安全意识倡导者Erich Kron指出，此次的雅诗兰黛数据泄露事件，可能是一个简单的配置错误，例如，未在共享驱动器或数据库上设置权限。

但是，该公司的问题尚未解决，因为它仍需要进行调查以确定没有威胁者可以访问受到破坏的信息。此外，该版本还向客户提出了更多问题，因为有时数据泄露可被用作公司内部网络的访问点，从而损害了更大的内部和客户详细信息。

二、零售行业成为个人信息保护的下一个高危目标

随着化妆品日渐融入大众的日常生活，化妆品的受众范围日益扩大。在化妆品的销售过程中，商家往往通过邀请用户成为会员、在网站上进行注册等方式，不断扩大客户群体数量，同时客户为了一定的折扣、积分等回报，也十分乐意注册为商家的会员。在注册的过程中，客户的个人信息被收集并存储于商家的后台，从而形成了庞大的数据库，对于该数据库中的客户个人信息的保护，十分重要。

（一）保护客户的隐私权和财产权益

基于零售行业中的相关惯例，客户在化妆品柜台、相关APP或化妆品品牌官网上注册账号或进行会员信息登记时，往往会被要求填写一定的个人信息资料，一般而言包括但不限于以下内容：基础身份信息，如姓名、性别、电话号码、生日、所在地区等；家庭住址，或其他物流信息。客户在进行消费后，其个人的消费记录、信用账号等个人金融信息也会被记录在品牌后台数据库中。同时，通过大数据分析，根据客户的浏览习惯、购买记录等数据内容，可以推断出客户个人的购买习惯乃至生活习惯。这些信息一旦泄露或被滥用，一方面可能给客户的安宁带来极大的困扰，如常见的商业推销短信、电话、电子邮件等的骚扰；另一方面，也既有可能会给用户的人身和财产安全带来极大的威胁，近几年来，因客户个人信息泄露而使客户遭遇诈骗的案例也不在少数。

（二）黑客攻击、窃取数据现象频发

黑客攻击公司数据库，窃取公司及公司客户个人数据信息的现象已十分常见，早在2017年10月，就已出现一美国知名零售公司客户信息泄露事件。当时网络安全公司Kromtech研究人员Bob Diachenko发现，美国最受欢迎的零售公司Tarte因两台MongoDB数据库未设置加密权限，导致近200万用户信息在线泄露且被黑客组织Cru3lty的访问，其中包括客户姓名、地址、电子邮件、购买历史以及信用卡号码的最后四位数字。经调查显示，黑客组织Cru3lty于早期就已访问该公司数据库信息并对其进行删除与加密操作。该组织还在公司数据库中留下了一封勒索赎金信函，要求公司支付比特币后才能对其进行恢复。

未对公司的数据库进行高等级的防御体系建设，一方面如上文所述会对用户的隐私权、财产权益等造成危害；另一方面，也极大程度的威胁了公司持续经营的能力：首先，客户个人信息的泄露对于公司的形象、舆论方向都是极大的打击，同时公司极有可能遭遇黑客的勒索，若违反了相关的数据保护规定，还可能面临巨额的罚款。

三、主要零售市场已对客户个人信息保护提出法律门槛

（一）中国

中国目前对于个人信息保护的规定，主要散见于2017年6月1日起施行的《网络安全法》、《民法总则》、《电子商务法》等法律规范及各个行业立法中。

《网络安全法》是网络时代个人数据保护的专项立法，该法案共分为七个章节，其中第四章：网络信息安全，主要针对用户个人数据保护进行了详细的规定。根据《网络安全法》的规定：

a) 网络运营者必须建立健全用户信息保护制度；

b) 网络运营者收集、适用个人信息，需经被收集者同意，且需遵循合法、正当、必要的原则，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息；

c) 网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，及时告知用户并向有关主管部门报告。

2017年颁布的《民法总则》中也明确规定：自然人的个人信息受到法律保护，将个人数据作为一项重要的民事权益加以保护。

2018年施行的《电子商务法》使我国消费者个人信息权的法律保护得到了进一步的加强，其约束的主要义务主体为电子商务经营者。《电子商务法》第23条规定了总则式的保护原则，对消费者个人信息作出了宣示性的保护要求；第24条则对用户信息查询、更正、删除以及用户注销等内容进行了规定，电子商务经营者不得设置不合理条件，同时依照法律、行政法规的规定或双方约定，对用户信息进行妥善的保存。

在对个人信息数据泄露的刑事处罚方面，在2019年10月25日发布的《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》（下称“《解释》”）中，对于拒不履行信息网络安全管理义务罪的有关认定问题，作出了明确：《解释》第四条明确了“致使用户信息泄露，造成严重后果的”入罪标准，主要从用户信息数量和造成后果两个角度作了规定，将用户信息区分为高度敏感信息、敏感信息、一般信息，数量标准按照侵犯公民个人信息罪入罪标准的十倍掌握。

自2019年以来，国家网信办、工信部、公安部、市场监督管理局等政府主管部门加快了涉及个人数据保护和数据安全的部门规章及其他规范性文件指引的制定，先后发布了《数据安全管理办法（征求意见稿）》、《个人数据出境安全评估办法（征求意见稿）》、《App违法违规收集使用个人数据自评估指南》等文件。自此，我国基本上形成了以专项立法和行业立法为基础，相关规范指引为补充的个人数据保护法律监管体系，并仍在不断完善。其中，于2019年5月发布了《数据安全管理办法（征求意见稿）》，对个人信息与重要数据的安全进行具体的规定与约束。该征求意见稿第十九条明确指出：“网络运营者应当参照国家有关标准，采用数据分类、备份、加密等措施加强对个人信息和重要数据保护。”

（二）美国

美国采取分散的立法模式，截至目前并没有一部综合性的隐私保护法规。同时，美国从产业利益出发，对个人数据坚持自己及利用的态度，数据保护的法律规定较为宽松，坚持以市场为主导、以行业自律为主要手段。但由于美国近些年来频频发生的数据隐私泄露丑闻，美国各界对于加强个人数据保护和监管提出了不同的解决方案。

加州是美国第一个颁布数据泄露报告法的州（CIVIL CODE Section 1 798.82条），大多数其他州早期的数据泄露报告法都借鉴了该法律。2018年6月28日，加州又颁布了《2018年加州消费者隐私法案》（California Consumer Privacy Act，CCPA），旨在加强消费者隐私权和数据安全保护。CCPA被认为是美国国内最严格的隐私立法，将于2020年1月1日生效。

CCPA赋予了消费者若干新权利，其中包括：针对某些数据泄露，消费者可提起损害赔偿诉讼。目前，CCPA赋予消费者个人追究损害赔偿的诉讼权（或任何集体诉讼）仅限于针对泄露未加密或未被隐去相关信息的个人信息。如果消费者的个人信息在未经授权的情况下被访问、泄露、窃取或披露，是由于商业主体未能根据信息性质实施并维护合理的安全程序或做法而导致，消费者可以根据CCPA提起损害赔偿诉讼，金额为实际损害或者从100美元到750美元不等（取决于违法的严重程度和被告人的资产数额等）的法定损害，以孰高者为准。这里的法定损害标准是按照对于每个消费者的每次违反来计算。鉴于美国成熟的集体诉讼机制，一旦数据泄露事件涉及众多消费者，商业主体将面临巨额损害赔偿责任。

2018年5月，佛蒙特州通过了第171号法案，制定了全面的数据隐私保护方案。内华达州和明尼苏达州发布隐私法案，对网络运营商储存和共享消费者信息做出了规定。截至2018年3月28日，美国所有50个州以及哥伦比亚特区、波多黎各和美属维尔京群岛均已颁布法律，要求相关机构在发生涉及个人身份信息的数据泄露事件时，要及时通知用户。

2017年9月，美国最大的征信机构之一Equifax对外宣布了一起影响1.48亿用户的网络安全事件。这是美国历史上最大的一起数据泄露事件之一，影响几乎一半的美国人口。面对已知的数据库漏洞，Equifax未能及时修补，使其系统面临145天的安全风险。公司未能实现基本的安全协议，包括文件完整性监控、网络分隔，使得攻击者访问和获取了大量数据。在攻击者获取数据的过程中，安全设备的证书过期19个月，又使得可以提前发现的攻击行为被掩盖。根据华尔街日报报道，Equifax将支付近7亿美元的和解金，以了结联邦贸易委员会（FTC）对2017年数据泄露事件的调查。根据和解协议，Equifax将向美国政府支付1.75亿美元罚款，并向消费者金融保护局（CFPB）支付1亿美元民事罚款。Equifax还将设立一个3亿美元的赔偿基金，为受影响的客户提供信用监控服务，并在需要时将金额升至4.25亿美元。

（三）欧盟

欧盟是全球个人数据保护最为严格的地区，是世界上最早进行个人数据保护立法的地区，也是典型的采用统一立法、建立统一监管机构的地区。

欧盟地区个人信息保护的最新立法是2016年5月出台的《一般数据保护条例》（General Data Protection Regulation，GDPR），该条例取代了1995年的《关于涉及个人数据处理的个人保护及此类数据自由流动的指令》，作为所有成员国统一的个人信息保护标准，强制、无条件在各成员国同步实施，进一步将个人信息保护的监管范围扩张到一切在欧盟境内的数据处理行为和为欧盟居民提供产品和服务而进行的一切数据处理行为，是目前全球范围内要求最为严格、规定最详细的法律条例，该条例已于2018年5月正式实施。

针对个人数据泄露可能存在的问题，GDPR主要从以下几个角度进行了规定：

1.个人数据的权利

GDPR对个人具有重大影响的数据设置了数据保护影响评估条款，即数据控制者必须进行数据保护影响评估并采取数据保护措施，从而最大程度上降低数据处理可能给数据主体带来的风险，保护数据主体的权利。同时，GDPR规定数据主体拥有申请司法救济和赔偿的权利，数据主体拥有向监管机构提出异议、对监管决定申请司法救济以及对数据控制者的违规行为申请司法救济的权利。

2.明确相关主体的安全保护责任

GDPR明确了数据处理者的法律责任，规定数据处理者必须切实履行保护数据主体个人隐私权利不受侵犯的责任。并首次设立了数据保护官（DPO）制度，其职责主要体现与数据主体进行沟通，查找企业数据管理可能存在的问题并及时进行整改，并对企业是否违反GDPR的相关规定进行自我监督，并与数据监管机构开展合作。

3.完善数据资源的监管机制

GDPR优化了监管机制，提出了“一站式（one-stop-shop）”监管原则，强化集中监管。GDPR对各国数据监管机构的检查权、执法权、处罚权以及司法诉讼权进行了明确界定，同时相比1995年出台的《欧盟指令》，GDPR加大了处罚力度——在欧盟境内违规的公司将面临其全年经营额4%的罚款或2000万欧元的罚款。

万豪酒店在多达5亿客户的付款信息，姓名，地址，电话号码，电子邮件地址和护照号码遭到泄露后，集团面临被罚款9900万英镑（约合1.24亿美元）的处罚。罚款的事由来自于万豪的附属公司喜达屋酒店，黑客攻击者被认为在喜达屋网络上潜伏了长达四年的时间，而在万豪于2015年将其收购后，这种情况大约又持续了三年。

根据英国信息专员办公室（ICO）的声明，万豪“在收购喜达屋时未进行充分的尽职调查，还应该做更多的事来保护其系统”，并打算根据GDPR对其处以9900万英镑（1.24亿美元）的罚款。这家酒店连锁店还被土耳其数据保护机构（不在GDPR立法之下）处以150万里拉（约合265,000美元）的罚款，这也凸显了一次数据泄露行为可能导致全球范围内的多次罚款。

四、零售行业个人信息保护体系的建立

1. 收集用户个人信息时，必须遵循合法、正当、必要的原则

零售行业在对用户的个人信息进行收集时，应当遵循合法、正当、必要的原则，不过多收集与正常开展零售业务无关的用户个人信息，以最大程度减小当出现黑客攻击或系统瘫痪时，用户个人信息泄露对用户造成的风险。

2. 对收集的用户信息进行评估、分级

企业在对用户信息进行收集后，需第一时间对用户的个人信息进行评估并分级分类进行保护。重要个人信息数据应当在内网存储，同时，在向外网提供时应当进行全面、谨慎的安全评估。安全评估内容需包括：数据出内网的必要性；涉及个人信息情况，主要指个人信息的敏感程度；数据接收方的安全保护措施、能力和水平，以及所在信息系统的网络安全环 境等；数据出内网及再转移后被泄露、毁损、篡改、滥用等风险；其他需要评估的重要事项。

3. 向第三方提供数据时，保证重要数据的脱敏、去标识化

零售行业开展经营活动中收集的用户个人信息，企业可能使用用户年龄、地域等信息，以及用户浏览商品等使用行为记录进行用户画像，形成用户个人特征模型或其所属群体特征模型，为其进行个性化推荐或精准营销。该种情况下，要将用户数据分析结果提供给第三方进行精准营销等活动，需要特别关注向第三方提供的信息是否包含用户个人信息、是否脱敏和去标识化；同时需告知用户，并征得用户的授权。

4. 制定处突应急预案，做好应急处置演练

企业需制定大规模个人数据泄露突发事件的应急预案，不定期进行演练，从而保证发生数据泄露时，可以在最短时间内进行处置，将数据泄露的风险控制在最小范围、最低程度。

5. 加大数据库安全防护体系建设，升级数据库安全防护

从当前诸多大型企业或网络平台数据泄露原因来看，服务器互联网暴露与配置问题是主要原因，同时也是造成大规模数据泄露的主要原因。企业应该重视重要服务器的安全防护能力，采取及时更新软件补丁、定期进行漏洞扫描与检查等安全措施，遵循行业最佳实践。

6. 及时告知相关用户及主管部门

当大规模用户个人信息数据泄露事件发生时，企业在第一时间启动应急预案的同时，应当将数据泄露情况及时告知涉及的用户，提醒用户可能发生的风险，并建议其采取一定措施规避风险，另外也需及时告知有关主管部门。

我们认为，数字化的变革无疑也在改变零售行业的业态。企业研究线上、线下收集的大量客户个人信息、消费习惯、对产品功能的期待，对新产品的研发和销售至关重要。此外，零售行业是为客户创造对无限未来的想象，实现客户期待，从而为客户创造价值。

然而，客户个人信息特别是敏感信息的泄露，无疑与零售行业的上述商业逻辑相违背。从零售巨头雅诗兰黛信息泄露的疑云，我们看到强化零售企业内部客户信息保护体系的不仅是有关国家立法及监管的重点，也是企业在未来商业活动中保护客户权益很重要的体现。会员制零售行业也已成为下一个客户信息保护的重点，相信会有越来越多的零售企业会从升级、完善客户信息保护体系，实现企业对客户的承诺，提升自身软实力。（实习生王吉对本文亦有贡献）作者：陈国彧律师/北京德和衡（上海）律师事务所