SHEIN 被 CNIL 罚 1.5 亿欧元:Cookie 违规拆解
2025年9月1日,法国数据保护局(CNIL)对 SHEIN 集团爱尔兰子公司 INFINITE STYLES SERVICES CO. LIMITED 处以 1.5 亿欧元罚款,理由是 “shein.com” 未遵守《法国数据保护法》第 82 条关于 Cookie 的规则。这笔罚款与同期对 Google 的处罚同属 CNIL 自 2019年起针对高流量网站的 Cookie 合规战略,量罚考量了违规项数与影响规模:法国平均每月约 1200 万人访问 shein.com。
TL;DR
- 2025年9月1日,CNIL 依《法国数据保护法》第 82 条对 SHEIN 爱尔兰子公司处以 1.5 亿欧元罚款,针对 shein.com 的 Cookie 实践。
- CNIL 认定四项违规:用户进入网站即被植入广告 Cookie(未等待同意)、第二个弹窗仅有“接受”按钮无拒绝路径、二级页面未披露第三方身份、点击“全部拒绝”或撤回同意后网站仍继续放置并读取 Cookie。
- 罚款金额考量了违规项数与影响规模:SHEIN 在成衣电商占据核心地位,法国每月约 1200 万人访问其网站。
- CNIL 强调,出海企业不能仅参照 GDPR 与 ePrivacy 指令,执法落点往往在成员国数据保护法及监管机构的具体解释。
CNIL 认定的四项违规
CNIL 于 2023年8月对 shein.com 开展检查,限制委员会(CNIL 负责处罚的机构)据此认定该公司多处违反第 82 条。第 82 条要求:在写入或读取用户终端设备信息(如 Cookie)前,须以清晰完整的方式告知具体目的及反对手段,并在用户明确同意后方可进行。SHEIN 的实际操作与之背离:
- 未获同意即植入:用户一进入网站,多个广告用途 Cookie 直接被植入设备,网站未等待用户通过信息横幅表达同意。
- 拒绝路径缺失:网站显示两个 Cookie 界面,第一个含“Cookie 设置/全部拒绝/接受”但未说明广告用途,第二个仅有“接受”按钮,缺乏拒绝入口。
- 第三方身份未披露:点击“Cookie 设置”进入的二级页面未披露可能设置 Cookie 的第三方身份。
- 拒绝与撤回失效:用户点击“全部拒绝”或事后撤回同意后,网站仍继续放置新 Cookie,已有 Cookie 仍被读取。
由于 SHEIN 在程序进行中已修改网站,限制委员会未另行发布整改命令。CNIL 官方通报见 https://www.cnil.fr/fr/cookies-deposes-sans-consentement-la-cnil-sanctionne-shein-dune-amende-de-150-millions-deuros 。
第 82 条与 CNIL Cookie 指南的合规基线
CNIL 2020年10月发布的修订版 Cookie 指南与实践建议,把第 82 条的原则落成可操作要求,几条与本案直接相关:拒绝必须和接受一样简单,若有“全部接受”按钮,界面须有同等大小、同等层级的“全部拒绝”按钮;用户沉默或不作选择应视为拒绝;知情同意所需信息至少包括数据控制者身份、使用目的、撤回权及接受/拒绝的后果;第三方跨站追踪 Cookie 建议单独获取同意。同意界面的常见设计陷阱可参考比利时 DPA 的 Cookie 检查清单。
值得注意的是,CNIL 的执法立场并非一成不变,其曾在另一案中调整对 Google Cookie 同意的禁令(见法国 CNIL 取消对谷歌 Cookie 同意的禁令),这更说明企业需持续跟进监管机构的具体裁决而非只读法条。
对出海企业的启示
对计划进入欧盟市场的运营商,Cookie 及追踪器不是前端设计细节,而是涉及透明度与用户权利的系统性义务。实践中需要:把使用目的、第三方身份、接受后果等信息完整告知用户;在植入 Cookie 前取得同意,并让拒绝和撤回与同意同样便捷;定期审查测试网站设置,避免“设计合规、实际违规”。
更关键的是法域层级问题:出海企业不能仅参照 GDPR 与 ePrivacy 指令等框架性法律来规避风险,实践中的执法落点往往在成员国的数据保护法及其监管机构的操作性指南与裁决。跨境数据合规为何需要在多法域之间持续维护,可参考数据跨境企业隐私合规的重要一环。合规方案除满足欧盟层面要求外,还须同步跟进各国监管机构的执法趋势。

