韩国个人信息保护委员会11日召开2026年第3次全体会议，认定Louis Vuitton Korea、Christian Dior Couture Korea和Tiffany Korea违反《个人信息保护法》，决定合计处以360.33亿韩元罚款、1080万韩元罚金，并责令三家公司在官网公示受处罚事实。

韩国个人信息保护委员会表示，上述三家企业在使用SaaS客户管理服务过程中均发生了个人信息泄露事件。

其中，Louis Vuitton Korea因员工终端感染恶意软件，导致SaaS账户信息被黑客窃取，约360万人的个人信息先后发生三次泄露。

调查显示，Louis Vuitton Korea自2013年起引入并使用相关SaaS，用于购买客户管理等业务，但未通过IP地址等方式限制访问来源，相关个人信息处理人员从外部接入系统时也未采取安全认证措施。基于此，韩国个人信息保护委员会决定对Louis Vuitton Korea处以213.85亿韩元罚款，并要求其在公司官网公示受处罚事实。

Christian Dior Couture Korea方面，客服人员遭黑客冒充来电诈骗，误将SaaS访问权限提供给对方，导致约195万人的个人信息泄露。调查认定，该公司自2020年起引入并运营相关SaaS，用于购买客户管理等业务，但未通过IP地址等方式限制访问来源，也未限制可批量下载数据的工具使用；同时，未按规定至少每月一次检查是否存在个人信息下载等访问记录，致使泄露事件在事发3个多月后才被发现。

此外，Christian Dior Couture Korea于去年5月7日知悉个人信息泄露后，在无正当理由的情况下超过72小时才履行通知义务。韩国个人信息保护委员会决定对其处以122.36亿韩元罚款和360万韩元罚金，并要求其在官网公示受处罚事实。

Tiffany Korea的泄露路径与Christian Dior Couture Korea类似，同样是客服人员遭冒充来电诈骗后，误将SaaS访问权限提供给黑客，导致约4600人的个人信息泄露。调查显示，Tiffany Korea自2021年起引入并运营该SaaS，用于营销活动，但未通过IP地址等方式限制访问来源，也未限制可批量下载数据的工具使用。

韩国个人信息保护委员会还确认，Tiffany Korea于去年5月9日获悉个人信息泄露后，在无正当理由的情况下超过72小时才报告并通知。对此，委员会决定依法对其处以罚款和罚金，并要求其在官网公示受处罚事实。

韩国个人信息保护委员会指出，近年来，不少企业出于降低初期建设成本、提高运营效率等考虑，引入并使用全球企业提供的SaaS服务。对于以客户管理等目的引入SaaS并处理个人信息的企业而言，相关SaaS属于个人信息处理系统，企业应按照业务需要在最小范围内差异化分配访问权限，同时通过限制IP地址等方式控制未经授权的访问；在从外部接入个人信息处理系统时，还应启用安全认证措施，如一次性密码（OTP）、证书或安全令牌等。

韩国个人信息保护委员会强调，企业引入SaaS并不意味着个人信息安全管理责任被免除或转移。个人信息处理者仍应充分启用服务所提供的各项个人信息保护功能，以防范信息泄露事故发生。