法国10大数据泄露事件[2026年]

1. 简介#

法国已成为欧洲遭遇数据泄露最严重的司法管辖区之一。在2024年至2025年间，超过1.45亿条属于法国公民的记录在公共服务、医疗保健、电信和零售领域被暴露，从统计学上讲，每位法国居民都卷入了多次泄露事件。根据CNIL的数据，2024年收到了超过5600份违规通知，创下历史新高。

本文列举了法国近代史上最重要的10大数据泄露事件，从France Travail事件中暴露的4300万条记录到Cegedim Santé健康软件的泄露，并解析了适用于在法国运营的任何组织的CNIL报告规则、罚款和预防模式。

2. 为什么法国会成为数据泄露的诱人目标？#

法国高度数字化的公共部门、密集的医疗保健支付生态系统，以及三大电信运营商各自掌握的数千万用户记录，共同构成了一个巨大的攻击面。加上与其他国家相比在网络安全方面长期投资不足，以及针对一线顾问的社会工程学攻击，导致法国在2024-2026年经历了一系列破纪录的泄露事件。

2.1 高度数字化的公共部门#

法国拥有欧洲最先进的电子政府系统之一。国家身份联邦FranceConnect负责路由对税务、医疗保健、就业和家庭福利的访问。因此，一个受损的顾问账户可能会暴露跨越数十年的记录，如France Travail、Pass'Sport和OFII事件所示。公共部门掌握着公民从生到死的数据，形成了规模空前的敏感记录集中区。

2.2 密集的第三方处理者生态系统#

法国的健康保险依赖于少数几个“第三方支付”（tiers payant）平台（Viamedis、Almerys、Cegedim），这些平台为数十家互助保险公司处理数据。因此，一次入侵会波及数千万保单持有人。同样的模式也出现在电信领域（Bouygues Telecom通过第三方供应商发生2025年泄露）以及电子商务领域。即使是拥有成熟内部安全计划的组织，也会因其供应商网络而面临风险。

2.3 网络安全长期投资不足#

Edouard.ai等独立分析估计，法国的网络安全公共支出约占GDP的0.03%（这是一个估计值，非官方数据），明显低于欧洲同等国家。历史上，CNIL的平均罚款一直低于欧盟同行，降低了安全松懈的财务威慑力，但监管机构目前正通过对Free Mobile、France Travail等机构实施创纪录的制裁来弥补这一差距。

2.4 社会工程学与MFA漏洞#

法国几起最大的事件（France Travail、Viamedis、Free）都始于针对顾问或员工门户的网络钓鱼或账户接管，而这些门户并未强制实施抗钓鱼的MFA。在每种情况下，攻击者都针对边缘环节的人员，而不是核心基础设施。FIDO联盟将通行密钥（passkeys）归类为设计上抗钓鱼的，因为每个通行密钥都绑定到合法源，不能对攻击者控制的网站进行重放。尚未推出通行密钥或硬件支持身份验证的法国公共服务和电信公司仍然容易受到此类攻击的影响。

3. 法国10大数据泄露事件#

自2023年以来，法国最大的十起数据泄露事件总共暴露了至少1.45亿条记录，并截至2026年1月引发了总计4700万欧元的CNIL罚款。它们涵盖了公共服务（France Travail、Pass'Sport）、医疗平台（Viamedis、Almerys、Cegedim Santé）、电信（Free、Bouygues Telecom）和消费者零售（ManoMano、Sport 2000）。下表总结了范围、年份和监管结果；随后是详细的案例描述和预防模式。

3.1 France Travail 数据泄露事件 (2024)#

2024年3月，France Travail（前身为Pôle Emploi）和Cap Emploi披露了如今被认为是法国历史上最大规模的数据泄露事件。攻击者利用社会工程学劫持了Cap Emploi顾问（为残疾人提供支持的组织）的账户，并访问了过去20年内注册的所有个人的数据，以及在francetravail.fr上有资料的候选人数据。据CNIL称，可能有多达4300万人受到影响。

2026年1月22日，CNIL根据GDPR第32条对France Travail处以500万欧元罚款，而公共机构的法定最高罚款额为1000万欧元。监管机构指责其“无视基本安全原则”，并命令以每天5000欧元的罚金进行整改。这已经是France Travail的第二次泄露：2023年8月，与Cl0p勒索软件团伙利用MOVEit Transfer零日漏洞相关的第三方事件，已经暴露了1000万用户的数据。

预防方法：

• 对访问海量公民数据的所有顾问和管理员账户强制实施抗钓鱼的MFA（通行密钥）
• 在公民数据库中应用批量查询异常检测和严格的数据保留规则

3.2 ManoMano 数据泄露事件 (2026)#

2026年2月，法国DIY电子商务巨头ManoMano被威胁行为者点名参与了一场跨越多个法国网络安全跟踪器的数据销售。该行为者声称已窃取了多达3780万客户记录，包括身份数据、联系方式和管理信息。该声明的规模与平台的累计欧盟用户群相符，而非活跃的法国客户，但该事件仍是观察到的与法国相关的数据销售量最大的事件之一。

这次暴露突显出，法国大型消费者市场已与银行或电信公司一样，成为对攻击者具有同等吸引力的目标，特别是当这些数据可以与之前的泄露结合以构建欺诈性的“身份图谱”时。

预防方法：

• 持续监控地下论坛和违规市场中暴露的客户列表，并在客户终端上实施强大的API速率限制
• 尽量减少历史性、低活跃度客户资料的保留

3.3 Viamedis和Almerys 数据泄露事件 (2024)#

2024年1月和2月，法国两家负责补充健康保险的第三方支付处理商Viamedis和Almerys接连遭到入侵。CNIL确认，这两起事件合并影响了3300万人，接近法国人口的一半。

Viamedis的入侵被追溯为针对医疗保健专业人员的网络钓鱼攻击，使攻击者能够在提供商门户上重复使用窃取的凭据。Almerys涉嫌通过类似的医疗保健专业人员门户遭到攻击。

预防方法：

• 为每位访问受保成员数据的医疗保健专业人员部署抗钓鱼的MFA（通行密钥）
• 对第三方支付平台进行分段，以防一个受损门户暴露整个国家数据库

3.4 Free 数据泄露事件 (2024)#

2024年10月，Free（法国第二大ISP及Iliad集团的子公司）确认，攻击者入侵了内部管理工具并窃取了1946万份Free Mobile和517万份Freebox合同的数据，其中包括所有511万名Freebox客户的IBAN。这些数据很快被名为“drussellx”的威胁行为者在BreachForums上拍卖，最终出价达到17.5万欧元。

Free强调，密码、支付卡数据和通信内容未受影响，但IBAN、姓名全称和出生日期的组合足以进行直接借记欺诈和高质量的网络钓鱼。2026年1月13日，CNIL对Free Mobile和Free分别处以2700万欧元和1500万欧元的制裁（合计4200万欧元），原因是订户数据安全措施不足，这是法国有史以来针对数据泄露发出的最大合并GDPR制裁之一。

预防方法：

• 使用抗钓鱼的MFA和即时访问权限保护特权内部工具
• 对IBAN和支付标识符进行标记化处理，使订户记录不具备直接变现能力

3.5 Cegedim Santé (MLM) 数据泄露事件 (2025)#

2025年10月，攻击者入侵了“MonLogicielMedical.com”（MLM），这是一款由Cegedim Santé编辑并被数千名法国医疗保健专业人员使用的医疗实践管理软件。根据法国卫生部的数据，该事件暴露了约1500万法国患者的行政数据，跨越长达15年的历史，包含1900万条数字记录线。

在2026年2月的澄清中，Cegedim Santé表示，涉及的数据完全是行政数据（如姓氏、名字和性别等身份类型信息），结构化的临床记录、自由文本的医学评论以及如HIV状态等敏感诊断均未被卷入。2025年10月27日启动了针对“违反自动化数据系统”的刑事调查。

预防方法：

• 对每位访问云医疗软件的从业者强制实施强身份验证（通行密钥）
• 在SaaS医疗平台中，对行政身份数据和临床记录实施严格的数据最小化和隔离

3.6 France Travail MOVEit 泄露事件 (2023)#

在成为2024年头条新闻的事件之前，France Travail已经是一起与Cl0p勒索软件团伙利用Progress MOVEit Transfer软件中零日漏洞相关的第三方违规事件的受害者。这次攻击暴露了约1000万求职者的个人信息，包括姓名、NIR（社会安全号码）和联系方式。这是影响全球数百个组织的全球MOVEit供应链浪潮的一部分，并预示了同一机构2024年更大规模的泄露。

预防方法：

• 保持向互联网暴露的第三方文件传输软件清单的更新，并应用针对零日窗口期的虚拟补丁
• 将文件传输管道与核心HR及公民数据库分离开来

3.7 Bouygues Telecom 数据泄露事件 (2025)#

2025年8月4日，法国主要移动运营商之一的Bouygues Telecom（拥有约1450万移动订户，总客户群约2300万）发现针对其客户管理系统的网络攻击。两天后，该公司确认攻击者已访问640万客户的个人和合同数据，包括IBAN。密码和支付卡号未被泄露。

该泄露被认为源自第三方供应商，并已报告给CNIL和ANSSI。根据法国刑法典第323-1条，攻击者因未经授权访问自动化数据处理系统面临最高三年监禁，如果数据被更改或系统受损，则升至五年。Bouygues Telecom本身也因其第三方风险管理面临CNIL的GDPR审查。该事件是影响更广泛的模式的一部分，SFR（2025年9月，银行详细信息）和Free在2024-2025年也遭遇了类似情况。

预防方法：

• 将第三方供应商视为核心攻击面的一部分，并要求在所有连接的系统中实施抗钓鱼的MFA
• 对IBAN和其他支付标识符进行标记化处理，以限制批量数据盗窃的价值

3.8 Pass'Sport 数据泄露事件 (2025年12月)#

Pass'Sport是由法国体育部运营的法国政府项目，向符合条件的年轻人提供70欧元补贴（之前为50欧元）用于体育俱乐部会员。在2025年12月17日至18日晚，一份包含超过2200万行数据的15GB文件出现在网上。最初的媒体报道错误地将泄露归咎于Caisse d'Allocations Familiales (CAF)，后者公开否认对caf.fr的任何入侵。体育部随后确认，数据来源于Pass'Sport信息系统，涵盖约350万户家庭及受益人及其父母或监护人的640万个唯一电子邮件地址。

暴露的记录涵盖了2024年9月至2025年11月，包括完整的身份信息、邮政地址、电话号码和电子邮件地址，但不含银行数据或密码。该数据集对针对有未成年人家属的家庭进行精准网络钓鱼尤其有价值，且很大一部分已被Have I Been Pwned索引。

预防方法：

• 对处理未成年人数据的系统应用最严格的保护，包括对管理员强制实施抗钓鱼的MFA
• 在项目到期后，尽量减少保留受益人数据的持续时间

3.9 Sport 2000 数据泄露事件 (2024)#

2024年4月，法国体育用品零售商Sport 2000遭受了数据泄露，后来被Have I Been Pwned索引。化名为“ChatNoir7331”的威胁行为者在黑客论坛上发布了一个包含440万行、320万个唯一电子邮件地址的数据库以供出售，随后该数据集在2024年6月被免费重新发布。泄露包含姓名、电子邮件和邮政地址、电话号码、出生日期以及与特定门店位置关联的详细购买历史。

联系数据与每家门店购买历史的结合使得Sport 2000泄露对于高度精准的网络钓鱼（“您最近在Sport 2000里昂店的购买……”）非常有用，并说明了当营销数据库分段不足时，中型法国零售商如何产生消费者规模的泄露。

预防方法：

• 对营销和交易数据库进行分段，并轮换第三方营销工具使用的访问令牌
• 尽量减少与可识别客户相关联的历史购买数据的保留

3.10 Fédération Française de Football 数据泄露事件 (2025)#

在2025年，Fédération Française de Football (FFF)披露了一起暴露其注册会员个人数据的违规事件。FFF为2023-2024赛季公布了约238万注册会员。根据FFF自己的“数据盗窃（vol de données）”通知，事件涵盖了身份和联系数据（姓名、出生日期、执照号码和部分身份证件），并明确排除了健康数据。FFF事件也是波及Fédération Française de Voile、Fédération Française de Gymnastique、Fédération Française de Tir等机构的浪潮的一部分，证实了法国体育联合会因其庞大且具有历史存储的数据集和相对薄弱的IT安全预算，已成为有吸引力的目标。

预防方法：

• 优先投资掌握数十年会员数据的联合会和非营利组织的网络安全
• 删除操作执照不再需要的历史记录

4. 如何在法国报告数据泄露#

法国的数据控制者必须在意识到个人数据泄露后的72小时内，根据GDPR第33条向CNIL报告。如果泄露可能对个人的权利和自由造成高风险，GDPR第34条要求不得无故拖延地通知他们。重要目标运营商（OIV）和基础服务运营商（OSE）还需通知ANSSI；将NIS2指令全面转化为法国法律的工作到2026年仍在进行中。

4.1 GDPR 72小时规则 (第33条)#

根据GDPR第33条，数据控制者必须在意识到个人数据泄露后不超过72小时内向CNIL报告。如果延迟通知，控制者必须提供延迟的理由。通知必须描述泄露的性质、受影响个人的类别和大致数量、可能产生的后果以及已采取或提议采取的措施。

4.2 主管机构：CNIL#

与德国16个州级的DPA不同，法国只有一个国家监管机构：Commission Nationale de l'Informatique et des Libertés (CNIL)。CNIL对公共和私营部门控制者执行GDPR，并有权施加高达2000万欧元或全球年营业额4%（以较高者为准）的行政罚款。最近对Free Mobile和Free（共4200万欧元，其中2700万针对Free Mobile）和France Travail（500万欧元）的合并制裁表明，CNIL已从警告转向惩罚性执法。

4.3 OIV、OSE和NIS2的ANSSI报告#

重要目标运营商（OIV）和基础服务运营商（OSE）必须向法国国家网络安全机构ANSSI额外报告重大网络事件。NIS2指令将强制报告范围扩展到更多部门，包括数字服务提供商、制造业和废物管理。2026年，其转化为法国法律的工作仍在进行中，ANSSI表示将在此过程中进行沟通；欧盟委员会也针对不完全转化发布了合理意见。一旦生效，报告将遵循分阶段的时间表：24小时内早期预警，72小时内全面通知，以及一个月内提交最终报告。

4.4 个人通知 (第34条)#

当泄露很可能对个人的权利和自由产生高风险时，GDPR第34条要求以清晰易懂的语言直接通知受影响的人。France Travail、Viamedis、Free和Cegedim Santé等案件均触发了第34条义务。未进行通知通常是除了潜在泄露之外引发额外监管处罚的一个常见触发因素。

5. 法国数据泄露的趋势#

在十个案例中，反复出现了四种模式：公民数据高度集中在数字化的公共部门，第三方和供应链妥协作为主导入口，凭证填充将法国公共门户变为软目标，以及CNIL在执法上正在快速追赶。了解这些模式比记住个别事件更具操作性。

5.1 公共部门数字化创造了全国性的攻击面#

France Travail、OFII、FICOBA和Pass'Sport展示了有多少公民数据集中在少数公共平台上。Cap Emploi的一个受损顾问账户就足以暴露4300万条记录；一个泄露的Pass'Sport合作伙伴集成足以暴露350万户家庭。法国对FranceConnect和共享公共服务登录的依赖放大了这种风险：一个与NIR关联的受损密码即可同时解锁多个公共服务。

5.2 第三方供应商是关键的薄弱环节#

Viamedis、Almerys、Cegedim Santé、Bouygues Telecom和2023年France Travail MOVEit事件拥有相同的根本原因：即第三方受损，而不是主要品牌。即使内部安全措施成熟的组织，也可能通过其供应商网络暴露出弱点。第三方支付（tiers-payant）健康保险模式中，少数处理商为数十家互助保险公司处理数据，该模式特别容易受单点故障导致泄露的影响。

5.3 凭证填充让公共门户成为软目标#

每次法国泄露事件后，凭证填充就成为了默认的后续攻击方式。在2024年2月，黑客组织LulzSec声称通过密码重用在未对caf.fr发生任何技术入侵的情况下影响了多达60万个CAF账户。随后的2024年8月，在一个黑客论坛上曝光了另外60369个CAF登录组合（NIR + 密码）。只要法国的公共服务还接受密码登录，欧洲任何地方的新数据泄露都会成为针对它们开展凭证填充攻击的养料。

5.4 CNIL执法力度正在迎头赶上#

截至2026年1月，CNIL已从警告转向惩罚性执法。2026年1月13日，Free Mobile和Free被联合罚款4200万欧元（其中对Free Mobile为2700万，对Free为1500万），并且France Travail在2026年1月22日根据GDPR第32条被罚款500万欧元（公共机构法定最高限额为1000万欧元）。历史上，CNIL的平均罚款仍远低于GDPR上限。结合在第82条下越来越多的集体诉讼式损害索赔，法国已步入与德国、荷兰和爱尔兰相同的执法梯队。

6. 结论#

法国最近最严重的十大泄露事件讲述了一个一致的故事：凭证和第三方访问是共同特征。France Travail受到社会工程攻击的顾问账户，Viamedis受网络钓鱼的医疗保健专业人员，Free受损的内部工具，Pass'Sport泄露的合作伙伴集成，以及Bouygues Telecom的第三方供应商，这一切都指向同一个根本弱点：面对保存着数十年公民数据的系统时，员工和供应商却仍用密码进行身份验证。

相应的对策也同样一致：诸如通行密钥这类抗钓鱼认证方式、严密的第三方访问管理、持续的暗网监控以及针对72小时内通报CNIL的战备状态。随着CNIL如今开出数千万甚至上亿欧元的罚单，那些在2026年将上述措施列为董事会级别优先事项的法国组织，将能避免前三年发生在法国的数据泄露事件中所经历的监管处罚与名誉损害。

关于 Corbado

Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容：哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey，为什么注册没有转化为登录，WebAuthn 流程在哪里失败，以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品：Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey（与你的 IDP 并存）。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey（passkey 激活率 +80%）。 与 Passkey 专家交谈 →

常见问题解答#

2024年的France Travail数据泄露事件是什么？#

2024年3月，France Travail（前身为Pôle Emploi）和Cap Emploi披露了法国历史上最大规模的数据泄露事件。攻击者利用社会工程学劫持了Cap Emploi顾问的账户，并窃取了过去20年内多达4300万求职者的个人数据，包括姓名、出生日期、社会安全号码、France Travail ID和联系方式。2026年1月22日，CNIL根据GDPR第32条对France Travail处以500万欧元罚款，而公共机构的法定最高罚款额为1000万欧元。

如何在法国报告数据泄露事件？#

根据GDPR第33条，法国数据控制者必须在意识到个人数据泄露后的72小时内通知CNIL。如果该泄露可能对受影响个人的权益造成高风险，则第34条要求在没有无故延迟的情况下向其本人发出通知。根据现行法国法律，重要目标运营商（OIV）和基础服务运营商（OSE）须向ANSSI报告；有关将NIS2指令全面转化为法国法律的进程到2026年仍在进行中。

法国因数据泄露收到的最高CNIL罚款是多少？#

2026年1月13日，因安全措施不足导致2024年2460万份合同（含511万个IBAN）外泄，CNIL对Free Mobile和Free联合罚款4200万欧元（分别为2700万和1500万欧元）。这是法国针对数据泄露发布的最大的合并GDPR制裁案之一。同时，France Travail于2026年1月22日根据第32条被罚款500万欧元。

为什么法国会成为数据泄露的主要目标？#

法国不仅拥有高度数字化的公共部门（France Travail、CAF、DGFiP、OFII）和密集的医疗支付生态系统（Viamedis、Almerys、Cegedim），还聚集了各掌握数千万用户记录的三大电信运营商。与GDP相比，在网络安全方面长期投资不足、严重依赖第三方平台，加之针对面向公众的顾问开展的社会工程攻击，这些都解释了为何在2024至2025年间有超过1.45亿条法国民众信息遭到泄露。

法国的数据泄露如何助长凭证填充攻击？#

数据泄露暴露了通常在暗网论坛交易的电子邮件地址、社会安全号码以及密码。攻击者利用人们重用密码的习惯，将这些凭证反复在银行、公共服务平台及零售商进行验证。2024年2月发生的CAF事件，在未对caf.fr产生任何技术入侵的情况下，通过凭证填充导致了多达60万个账户遭到入侵；这证明在披露发生后很久，法国的数据泄露依然能持续助长后续攻击。