近日，国家网络安全通报中心消息显示，公安网安部门依法对迪奥（上海）公司开展行政调查。调查认定其在个人信息跨境传输与安全保护方面存在多项严重违规，事件再次为跨境经营企业敲响数据合规警钟。

经查，迪奥（上海）公司存在以下违法事实：

1、未履行数据出境合规程序

未通过数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证，违规向法国迪奥总部传输用户个人信息。

2、未取得用户“单独同意”

向法国迪奥总部提供用户个人信息前，未向用户充分告知其个人信息境外接收方的处理方式，未取得用户“单独同意”。

3、未落实加密与去标识化技术措施

对已收集的用户个人信息未采取加密、去标识化等必要安全技术手段，导致数据在跨境传输与存储环节存在泄露风险。

公安机关指出，本案反映出在全球化业务背景下，企业对数据出境前置义务、用户知情与同意、技术安全措施等方面的薄弱环节，要求企业以此案为鉴，严格落实《个人信息保护法》等相关法规，切实保障用户合法权益。

一、用制度、技术、证据链，闭环跨境合规

针对上述三项违法事实，派拉软件建议以制度与技术双轮驱动，构建可审计、可追溯、可量化的合规体系：

制度层：建立明确且标准化的数据跨境规章制度，落实各项数据安全合规管理要求。
技术层：以多租户本地化部署与跨境身份认证、“单独同意”编排与证据留存、全链路加密与去标识化为基础能力。
证据链：让“合规可证”成为默认产物，做到事前有门槛、事中可监控、事后可追溯。

二、3大能力抓手,有效应对“三项违法”

为确保企业跨境经营“稳态运行、合规可证”，有效应对上述“三项违法”，派拉软件全球化身份基座建设方案很早就给出了答案。

以下重点就迪奥（上海）“三项违法”进行针对性方案阐述：

1、多租户本地化的跨境身份部署与认证

派拉软件提供多租户部署，将用户目录、认证服务、授权引擎模块化解耦，按地区法规（如数据本地化）分布式部署；本地就地处理、就地存储。

同时，通过统一的管理平面和控制平面实现集团总部的策略统控、配置管理和状态监控，确保总部能够统管统控。

以中国企业出海为例：中国总部建设全球化身份集群，在各区域节点建设子身份平台，总平台可对各业务系统的用户、认证、权限、审计、分析等统一纳管。

各子区域设独立的用户中心、认证中心、授权中心，只管理本地用户与权限，总部可统一下发控制策略。过程中，为满足合规要求，总部仅回收去标识化数据，确保本地用户数据隐私安全并进行本地化存储。

2、“单独同意”编排 + C端无密码认证

针对本案中第二项违规，派拉软件在C端身份治理中，把“充分告知 + 单独同意”做成系统化能力，同时以无密码认证提升安全与体验。

在登录注册与认证过程中，用户可自主选择是否同意收集敏感数据，并享有删除个人信息、注销账号等权利，满足隐私法规要求；结合国产加密技术，有效保障消费者数据安全。

当触发“向境外接收方提供个人信息”的新场景时，系统自动弹出二次明示同意卡，清晰呈现接收方信息、处理目的与方式、数据类别、保存期限与撤回渠道；不同意即默认拒绝，并提供本地化替代路径。

为提升服务体验，方案还支持微信/抖音/QQ/微博/Apple/Google/TikTok 等多触点登录，统一会话减少多账户、多口令的安全与体验成本；

配合基于 FIDO2/WebAuthn 的指纹、人脸等无密码方式，实现更高的安全性与更顺畅的登录体验。

3、加密、去标识化与审计全覆盖

针对第三项违规，派拉软件以加密、去标识化与精细化访问控制，构建端到端的安全防线。

通过严格的跨区域身份数据同步/交换机制，上承法律、下接标准，形成“数据目录—分级分域—最小化—留痕审计—处置销毁”的全生命周期治理与问责机制，确保组织职责清晰、流程闭环、风险可控。

跨域交换过程中，采用强加密、数据最小化、匿名化/假名化等技术与管理措施，并在 IAM 平台实施精细化访问控制与全流程审计，对数据收集、存储、传输、处理、使用、删除与销毁进行全方位、细粒度的安全管理与监控。

三、把合规做成默认，让安全可视

迪奥（上海）事件再度证明：跨境数据合规不是“善后工作”，而是“准入门槛”。

企业唯有以跨境身份认证 + 单独同意管理 + 无密码 C 端认证 + 全链路加密/去标识化等为基础能力，才能在多法域监管与全球运营之间取得平衡，重建用户信任、稳住品牌口碑、夯实长期增长。

现在开始，建议即刻自查你的企业全球化身份与访问控制管理，让“合规可证、安全可视”成为企业面向未来的核心竞争力。

更多完整出海企业全球数字身份基座与C端消费者身份与访问控制管理解决方案与资料获取，欢迎咨询！

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！