本报讯（记者 豆包） 2025 年 9 月，公安部网安局在 “护网 —2025” 专项工作通报中披露，上海公安机关依法对迪奥（上海）公司作出行政处罚，责令其限期改正个人信息保护违法行为。该案系《个人信息保护法》实施以来，公开披露的少数国际知名品牌数据出境违法案件，标志着我国数据跨境流动监管已进入常态化、精细化阶段。

经查，2025 年 5 月，多家媒体报道迪奥全球数据泄露事件，中国大陆地区用户陆续收到该公司安全警示短信。上海公安网安部门介入调查后发现，迪奥（上海）公司在处理中国大陆用户个人信息时存在三项明确违法行为：其一，未通过数据出境安全评估、未订立标准合同、未通过个人信息保护认证，擅自向法国总部传输用户信息，违反《个人信息保护法》第三十八条规定的合法出境路径要求；其二，未向用户充分告知境外接收方的信息处理方式，未取得用户 “单独同意”，而是采用模糊的一揽子授权协议，侵害用户知情权与同意权；其三，未对传输的个人信息采取加密、去标识化等安全技术措施，导致数据泄露风险显著增加。

“单独同意制度是个人信息出境的核心要求之一。” 公安部第三研究所黄道丽研究员解读称，法律明确禁止企业以概括授权替代特定同意，必须就数据出境事宜向用户作出清晰、明确的告知并获得主动认可。该案中，属地公安机关依据《个人信息保护法》相关规定作出处罚，既体现了严格执法的态度，也符合宽严相济的执法理念，对跨国企业合规运营具有正向引导作用。

记者了解到，我国已构建起 “安全评估 + 标准合同 + 保护认证” 三位一体的数据出境合规体系，国家网信办先后出台《数据出境安全评估办法》等多项配套制度，在筑牢安全底线的同时，通过自贸试验区数据出境负面清单等举措简化申报流程，便利合法合规的数据跨境流动。但监管部门明确表示，便利化不等于放松监管，公安、网信等多部门将形成协同监管合力，升级技术监管工具，实现事前事中事后全链条监管。

业内人士提醒，随着数字经济的发展，数据合规已从 “成本项” 转变为企业核心竞争力，跨国企业需主动适配中国法律要求，建立健全数据出境合规管理制度，才能真正赢得中国市场信任。