DIOR（迪奥）中国客户手机号码、邮寄地址、消费水平等敏感个人信息遭到外泄事件持续发酵中。更让公众感到质疑的是，迪奥并没有在发现客户信息外泄的5月7日第一时间就紧急通知客户，而是等到了12日才陆续短信通知客户。

对此，广东星辰律师事务所律师周斐斐认为，此次迪奥事件中，消费水平、消费偏好信息，结合具体的一般个人信息，可能已经足够认定为敏感个人信息。敏感个人信息泄露可能造成的人身财产危害更大。比如这些敏感信息可能被不法分子用于筛选作案对象，甚至有可能为不当目的来获取信任，或者投其所好等。

另外，按照《个人信息保护法》第五十七条规定，发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施。

周斐斐律师分析称，此次迪奥是在发现客户敏感信息泄露5天后才陆续发送短信通知，虽然法律中的“立即”并没有明确具体的天数或者小时，可以结合迪奥的信息泄露安全预案、考虑泄露的程度以及结果和影响来综合判断。

此外，《个人信息保护法》第六十九条也规定，处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。也就是说如果迪奥不能自证无过错，也就是不能证明已经采取了足够的保护措施和补救措施，则推定迪奥对信息泄露造成的损害应当承担责任。

截至发稿前，迪奥并未针对此次客户信息外泄事件发布进一步处理方案。但在接下来的一段时间经相关主管部门调查后，如迪奥存在个人信息收集和处理不当，可能面临行政处罚。此外，如果确实因为延误，造成了部分被泄露用户遭受损失，迪奥可能面临民事侵权索赔。这里举证的关键在于需证明损失。目前客户的敏感个人信息被泄露了，即使还没有遭受具体的个案损失，但不知道也不排除哪一天会因为这个泄露而遭受损失。如果针对该情形，客户为了防范因信息泄露增加的风险而采取升级个人信息防护的措施，且实际支出相应的费用（包括合理的维权费用），应当可以认定为损失。但如果没有实际的损失，只有受害风险的增加，则不一定能被实务认定为损失。

奢侈品行业的客户个人信息遭到外泄事件并非个案，此前也时有发生。在网络上也有网友反映，除了此次迪奥的数据库遭受未授权的访问以外，在该行业内工作人员或是品牌互相泄露客户个人信息以达到销售目的的情况也成行业内的公开秘密。针对这一现象，周斐斐律师称，工作人员及品牌方泄露个人信息，侵犯了用户隐私权，依据情节的严重程度，可能需要承担停止侵害、赔偿损失等民事责任，以及罚款、没收违法所得等行政责任；严重者还可能构成侵犯个人信息罪，需承担相应的刑事责任。