Shein因违规使用Cookies被法国监管机构罚款1.5亿欧元

违反GDPR及ePrivacy指令，影响超1200万法国用户

CNIL（法国国家信息与自由委员会）于2025年9月3日宣布，因Shein在用户拒绝或撤回同意后仍放置并读取Cookies，对其处以1.5亿欧元罚款。该行为违反了欧盟《通用数据保护条例》（GDPR）和ePrivacy指令，因Cookies被视为个人数据，必须获得用户明确、自由且知情的同意方可使用。

• 调查背景：CNIL在2023年8月对Shein法国网站测试发现，即便用户点击“拒绝所有”或撤回同意，平台仍部署广告与跟踪类Cookies，用于用户识别、浏览行为追踪及定向广告投放，涉及约每月1200万法国用户。
• 违规行为：
  • 在未获得有效同意的情况下设置Cookies；
  • 未尊重用户拒绝选择，opt-out机制形同虚设；
  • 未充分披露Cookies的用途及其对用户隐私的影响。
• 处罚依据：CNIL限制委员会综合考量违规严重性、Shein在在线服饰领域的市场地位、受影响用户规模以及过往类似判例（如对Google的多次处罚），最终裁定1.5亿欧元罚款。该金额约占Shein 2023年欧洲收入（76.84亿欧元）的2%，为CNIL历史上第二高罚款，仅次于对Google的3.25亿欧元罚单。
• 企业回应：Shein表示自2023年8月起已配合CNIL并升级系统以符合合规要求。公司认为此次处罚“明显不成比例”，并质疑其背后存在政治动机，计划向法国国务委员会及欧盟法院提起上诉。

此次处罚与早年德国对GTM（Google Tag Manager）的判决逻辑相似，均基于监管机构在违规行为发生阶段所获取的证据作出裁决。