2025年9月3日,法国国家信息与自由委员会(CNIL)对跨境快时尚电商平台SHEIN处以1.5亿欧元(约1.756亿美元)的罚款,原因是其网站未能遵守欧盟数据保护法规中关于用户同意的规定。调查显示,即使用户在SHEIN法国站点上选择拒绝或关闭Cookie,该平台仍会在用户设备中植入部分Cookie,用于识别用户身份并跟踪其浏览行为,以便网站或广告商实施个性化广告投送。
具体而言,CNIL认定SHEIN此次存在多项违规行为,主要包括(如下图):在未获用户同意的情况下放置广告Cookie、提供的Cookie通知内容不完整、次级信息披露不充分,以及拒绝或撤回同意的机制实际失效。CNIL在声明中指出,SHEIN的上述做法违反了对Cookie使用的多项法律义务,被认定为对用户隐私权的严重侵害,因为用户未被赋予真实有效的选择权,其浏览数据在不知情或未同意的情况下被持续收集并用于商业目的,明显违背了“知情同意”这一个人信息保护基本原则。
图源:CNIL截图
面对巨额罚单,SHEIN做出了强烈回应。据法新社报道,SHEIN计划向法国最高行政法院(国务委员会)以及欧洲司法体系提起上诉,挑战CNIL的裁决合法性。SHEIN官方声明中强调,认为此次判决“完全不成比例”,与所涉问题的性质及公司目前的合规状态不相称,并质疑此举的公正性,暗示其背后可能存在政治动机。不仅如此,SHEIN对于监管程序也提出异议,称在此次正式罚款前,从未收到任何警告通知,认为监管方本可以先给予整改警示而非直接重罚。
▌CNIL处罚是否过重?
面对如此高额罚款,以及SHEIN强烈的回应,不禁让人产生好奇,此次处罚是否真的“过重”。
CNIL针对SHEIN处罚,所依据的核心法律是欧盟《通用数据保护条例》(GDPR,以下统一用该简称)及法国国内相关实施细则。根据GDPR,用于追踪用户行为和标识个人身份的网络Cookie被视为个人数据,其处理必须符合法定条件。根据GDPR和《ePrivacy指令》的要求,网站在设置广告、分析等非必要Cookie之前,必须事先获得用户自由、明确且知情的选择同意,否则即构成违法。
法国已将《ePrivacy指令》第5条关于Cookie同意的规定纳入本国《数据保护法》(即《信息与自由法》)第82条。CNIL在本次执法中直接援引了这一条款对SHEIN作出处罚。该机构强调,自2020年以来已多次依据该法处罚违规使用广告Cookie的企业,相关判例和合规要求已公开,SHEIN作为在欧洲市场活跃的电商平台,理应充分知悉并遵守此类规定。
值得注意的是,尽管SHEIN创始于中国、总部位于新加坡,但其欧洲业务由爱尔兰子公司“Infinite Styles Services Co. Limited”实际运营,并在法国设有分支机构。由于GDPR具有域外效力,任何向欧盟用户提供商品、服务或监测其行为的企业均受其约束。SHEIN通过本地实体面向法国用户经营,因此明确适用GDPR及法国《数据保护法》。而此次针对Cookie的违规,由于涉及电子通信隐私范畴,不适用GDPR的“一站式监管”机制,CNIL有权直接对发生在法国用户设备上的Cookie操作行使管辖权。并且该公司在法国的业务运营也符合法国《数据保护法》第3条规定的属地管辖条件,因此,CNIL有权对此进行调查和处罚。
同时,关于裁量罚款的金额,CNIL下属的制裁委员会综合考虑了多重因素。一方面,SHEIN未能履行多项法定义务,表现出对合规要求的系统性漠视。CNIL特别强调,自2020年起已多次对类似违规行为的机构进行制裁,并已公开其决定。而SHEIN理应知晓合规要求却仍然违规,显示出明显的主观过失。另一方面,CNIL称由于该公司在在线成衣领域的中心地位,平均每月有1200万居住在法国的居民访问SHEIN网站,其涉案数据处理的规模也被纳入考量。
基于以上情况,CNIL决定处以创纪录的1.5亿欧元罚款。这一金额大约相当于SHEIN在2023年欧洲区年营收的2%。相比之下,GDPR允许监管机构对严重违规处以最高相当于企业全球年营业额4%的罚款。因此,尽管1.5亿欧元绝对值巨大,但相对于SHEIN的业务规模仍在GDPR惩戒幅度之内,并非上限。这体现出监管者在平衡处罚力度:既要对违法行为给予足够严厉的惩戒和警示,又考虑到罚款应与违规程度和企业规模相称。
此外,CNIL表示,鉴于SHEIN已在程序进行中整改,监管机构没有再附加整改期限命令,而是给予经济处罚以起到警示作用。这表明此次罚款不仅在于惩戒过去的违法行为,更在于促使SHEIN这样的大型跨境企业重视欧洲数据合规,在未来严格遵守相关法律。
▌中国跨境平台杀向欧洲,合规是“生命线”
近年欧洲通胀高企,居民购买力受压制,这使得价格因素在购物决策中变得更重要。SHEIN以“物美价廉”著称的平台正好迎合了这一需求。调查数据显示,德国消费者中有43%已经使用过亚洲商品直购平台(如SHEIN、Temu等),在18-29岁的年轻人中更达51%。SHEIN在德国家喻户晓的程度从2023年的10%用户购买率提升到2024年的22%,一年内用户渗透率翻倍。而在西班牙等南欧国家,由于平均收入较低,这种价格驱动更明显,据eMarketer统计,2023年西班牙来自中国跨境平台的销售额占当地线上零售的9%,比2022年提升了3%。另外,法国时尚学院调查显示,2025年上半年SHEIN和Temu已占法国服装线上购买额的23%,这对传统服装零售是重大冲击。可见,中国平台正在抢占市场份额,许多欧洲消费者的网购习惯正在向“跨境淘货”迁移。
不过,不同平台在欧洲消费者心中的口碑和偏好存在显著差异。西欧(如德国、法国)消费者整体更注重数据隐私和品质声誉,对新兴平台的警惕性略高;德国消费者组织对SHEIN、Temu的批评报道较多,而南欧(如西班牙、意大利)消费者相对更注重价格优惠,对SHEIN、AliExpress接受度较高。东欧和中欧市场,由于本地电商相对不如西欧发达,外来平台更容易站稳,但这些地区消费者也逐渐面临同样的质量和信任问题,会在尝鲜后回归本地可靠渠道。
而SHEIN此次因数据隐私违规遭到重罚,不仅冲破了欧洲用户的心理信任防线,也为其他跨境平台敲响了合规警钟。更重要的是,这一事件清晰折射出欧洲乃至全球范围内监管环境的几个新趋势:
执法力度空前强化:欧洲监管机构在数据隐私领域频频开出巨额罚单,此次SHEIN和谷歌同日分别被罚1.5亿(约1.756亿美元)和3.25亿欧元(约3.51亿美元)就是明证。巨额罚款不再只针对传统科技巨头,任何行业的跨境网络平台只要触犯法规都可能成为靶子,这预示未来类似的执法将常态化、持续化。
监管领域更全面:除了数据保护,消费者权益、反不正当竞争、环境责任等方面的监管也在同步加强。例如欧盟近年来密集立法,推出《数字服务法》(DSA)、《数字市场法》(DMA)以及各项针对商品安全和可持续发展的指令,目的都是规范在线市场的种种乱象。法国针对超快时尚的立法和呼吁欧盟赋予下架违规网站的权力,则体现了监管者正寻求更直接有效的手段来震慑违规者。可以预见的是,“重罚+严规+新工具”将成为监管机关治理跨境电商的新常态。
SHEIN数据隐私事件是一枚投石,激起欧洲电商湖面的阵阵涟漪。可以预见,未来欧洲电商市场将进入一个洗牌期:合规和信誉将成为竞争的决定性因素,过去那种野蛮生长、游走灰色地带的模式将难以为继。可以肯定的是,任何平台若想在欧洲长久立足,都必须赢得监管者和消费者的信赖。正如欧盟官员所言:“我们不会阻止创新和实惠,但这一切必须在规则之内进行。”
相关文章
