LVMH香港資料外洩事件：2025年網路安全的5個教訓

DQS 香港

DQS 創立於 1985 年，由德國標準化協會（DIN）及德國質量協會（DGQ）共同創辦，是全球最具資歷的獨立管理體系認證機構之一。DQS 現為國際認證聯盟（IQNet）創始成員，並持有德國認可委員會（DAkkS）及全球逾 100 項國際認可資質，業務遍及 60 多個國家及地區。

7月 22 , 2025

2025年7月21日，包括路透社、彭博社和《商業時報》在內的多家新聞媒體報道了路易威登香港（LVHK）發生的一起重大資料外洩事件，約41.9萬筆客戶記錄受到影響。本文由DQS HK撰寫，從公司治理的角度對該事件進行了深入分析，超越了新聞標題，為香港企業提供了切實可行的建議。

2025 年 7 月，LVHK 揭露，系統異常導致資料洩露，影響約 419,000 人，洩露的資料包括姓名、聯絡資訊和購買記錄。

據媒體報道明報， HK01以及其他一些情況，個人資料私隱專員公署（私隱專員公署）立即展開調查，重點關注：

LVHK隨後在多個平台上發布了更新聲明，引發公眾對香港當前資料保護系統和事件回應能力是否足夠的擔憂。

根據三個公開來源－（1）香港私隱專員公署的《2024年資料私隱年度報告》、（2）Verizon的《2024年資料外洩調查報告》和（3）香港資訊科技協會發布的《2023年香港資訊科技風險白皮書》－在香港中小企業中觀察到以下五個反覆出現的治理缺陷：

個人電腦及公共部門事務署 (PCPD) 2024 年年度報告指出，超過 33% 的本地資料外洩案件與薄弱的內部存取控制結構有關，通常缺乏分層權限等級或使用者行為日誌追蹤。

推薦：實施 ISO/IEC 27001 資訊安全管理系統 (ISMS)，以規範存取控制、稽核機制和資料分類流程。

根據《2023年香港資訊科技風險白皮書》，63%的受訪中小企業未與外部供應商簽署資料處理協議（DPA）。此外，47%的受訪者承認從未對第三方服務供應商進行過正式的網路安全審計。

推薦：進行安全風險評估與審計 (SRAA)，並定期評估外包服務提供者。

2024 年 Verizon DBIR 報告指出，全球平均資料外洩偵測窗口期為 205 天。對於香港那些沒有入侵檢測系統 (IDS) 或行為監控工具的中小企業而言，即時異常識別仍然是一個難題。

推薦：定期進行滲透測試，以補充監測系統，評估檢測和回應準備。

與歐盟《一般資料保護規範》(GDPR) 第 33 條規定在 72 小時內揭露資料外洩不同，香港《個人資料（私隱）條例》(PDPO) 目前沒有規定具有法律約束力的時間框架。

推薦：制定正式的違規通知政策，參考 GDPR 第 33 條（72 小時通知規則），以提高透明度和可信度。

國際隱私專業人士協會 (IAPP) 的研究表明，應用隱私影響評估 (PIA) 框架的機構可以將資料外洩風險降低高達 28%。然而，香港隱私專員公署 (PCPD) 的報告顯示，由於缺乏監管義務，香港的 PIA 採用率仍然很低。

推薦：將隱私影響評估 (PIA) 納入系統開發、流程重新設計或技術採用階段，以主動管理隱私風險。

香港現行的《個人資料（私隱）條例》為資料保護提供了法律架構。然而，與歐盟的《一般資料保護規範》（GDPR）和新加坡的《個人資料保護法》（PDPA）等主要司法管轄區相比，香港的《個人資料（私隱）條例》仍存在三個重大監管缺口：

違規通知截止日期：香港沒有規定法定時限，而 GDPR 和 PDPA 一般要求在 72 小時內通知。
PIA實施：在香港，隱私權影響評估（PIA）並非強制性要求；而在GDPR下，隱私權影響評估是法律要求的；在新加坡，對於高風險的處理活動，隱私權影響評估更是強制性的。
罰款上限：香港的最高罰款為 100 萬港元，而 GDPR 允許的罰款最高可達公司全球年收入的 4%。

儘管香港的監管框架相對靈活，但在日益嚴格的全球標準下，監管滯後可能會對企業聲譽、跨境合作和市場准入造成長期壓力。