LVMH 香港資料外洩事件：2025 年企業資安治理五大啟示

系統異常引發危機：LVHK資料外洩事件概覽

2025年7月，LVHK公開披露其系統出現異常，導致大約419,000名人士的個人資料外洩，涉及姓名、聯絡方式及購物記錄等敏感信息。

據《明報》、HK01 等本地媒體報導，個人資料私隱專員公署（PCPD）已即時介入調查，重點包括：

1. 供應鏈資訊安全控制是否存在疏漏；
2. 員工存取權限設計是否恰當；
3. 系統是否具備異常監測與預警機制。

LVHK其後於多個平台更新聲明，引發公眾對香港現行資料保障制度與事故應變能力的關注與討論。

香港企業常見的五大網絡安全治理風險

根據以下三份權威報告——（1）《2024香港個人資料保障年報》（PCPD）、（2）《Verizon 2024全球資料外洩調查報告（DBIR）》、（3）《2023香港IT風險白皮書》（HKIT協會）——本港中小企普遍存在以下五項治理弱點：

1.權限控制鬆散，缺乏審計紀錄

PCPD指出，逾33%的資料外洩個案涉及企業內部缺乏多層次權限管理與用戶操作留痕機制。

• 建議：導入國際標準 ISO/IEC 27001 資訊安全管理系統（ISMS），制度化權限設計、審計追蹤及資料分類機制。

2.第三方供應風險缺乏監控

根據IT白皮書，63%的受訪企業未與外判廠商簽署資料處理協議（DPA），更有47%表示從未對外判方進行任何資安審計。

• 建議：定期進行 SRAA（安全風險評估與稽核），全面檢視供應鏈風險。

3.欠缺異常偵測與預警能力

DBIR報告顯示，全球平均發現資料外洩的時間為205日。許多香港中小企未部署入侵偵測系統（IDS）或行為分析工具，難以即時識別異常。

• 建議：除強化監測工具外，應定期進行 滲透測試（Penetration Testing），評估偵測與應變能力。

4.資料外洩通報機制不一致

相比歐盟GDPR第33條規定的「72小時內強制通報」，香港《私隱條例》並未設下明確法定時限。

• 建議：建立公司層級的資料外洩通報政策，以GDPR為參考標準，提升透明度與聲譽。

5.PIA（私隱影響評估）制度未普及

IAPP指出，採行PIA框架的機構平均可降低28%資料外洩風險。但根據PCPD，香港對PIA仍屬自願性質，實施率偏低。

• 建議：將PIA制度化，納入新系統開發、程序優化或科技引入等階段，主動識別與管理私隱風險。

與國際標準對照：香港制度的三項落差

雖然香港現行《個人資料（私隱）條例》提供了法律框架，但與歐盟GDPR及新加坡PDPA相比，尚存三大制度性差距：

• 通報時限缺失：本港未設強制通報時限，GDPR與PDPA則多要求72小時內申報；
• PIA執行非強制：PIA於香港為建議性質，GDPR為法定，新加坡針對高風險處理亦屬強制；
• 罰則上限過低：香港最高罰款為港幣100萬元，而GDPR可達企業全球營收的4%。

在全球監管趨嚴的大環境下，香港若不加快制度更新，未來將在跨境合作、品牌信譽與市場準入方面面臨長期壓力。

全球趨勢與應對策略：資訊安全的三層防禦

根據 Cybersecurity Ventures 預測，到2027年，全球因資料外洩造成的經濟損失將超過10.5萬億美元，亞太區將成重災區。

Deloitte 指出，單靠技術工具無法防堵內部人為錯誤與社交工程攻擊，企業應建構三層防禦策略：

1. 风险预测：定期進行內部評估與趨勢預測；
2. 管理框架：導入 ISO/IEC 27001、PIA、滲透測試等制度性保障；
3. 组织文化：推動全員參與的資安意識與應變演練。

常見問題解答（FAQ）

Q1：為何LVHK事件引起如此大迴響？

答：根據《經濟日報》報導，事件涉及約41.9萬筆資料，且為國際知名品牌，引發社會對企業資訊披露與問責機制的廣泛討論。

Q2：香港是否強制要求實施PIA？

答：目前並非強制，PIA在港屬建議性質。

Q3：中小企如何預防類似事件？

答：可導入ISO/IEC 27001、定期進行滲透測試、部署異常監控系統，並在流程中制度化PIA機制，以提升整體資安韌性。

結語：資料外洩是一場制度與文化的壓力測試

資訊安全不再是IT部門的專屬議題，而是整個數位營運核心的一環。儘管LVHK事件屬個案，但其所引發的公眾反應已暴露出本地制度的關鍵壓力點。

要提升香港整體資安競爭力，企業與政策層面宜聚焦：

1. 加強執法與更新法規架構；
2. 培養企業文化中的資料保障意識與行動；
3. 建立以 ISO 27001、PIA 及 SRAA 為核心的治理結構。

這些行動不僅是符合法規，更是打造信任、提升抗壓性與實現永續經營的基石。

DQS HK 的相關服務

• 隱私影響評估 (PIA)
• ISO 27001 認證
• 滲透測試
• 資訊安全事故響應
• 安全意識培訓