更新时间:2025年9月8号
2025年9月,法国国家信息与自由委员会(CNIL)宣布,对快时尚电商巨头Shein处以 1.5 亿欧元的行政罚款。这起案件并非涉及数据泄露、黑客攻击或系统漏洞,而是一个在很多网站上依然大量存在、却被长期低估的问题:用户已经拒绝 Cookies,但网站仍然在继续追踪用户。
对所有面向欧洲市场的网站、广告主、数据分析人员而言,这起事件并不是“又一条 GDPR 新闻”,而是一记非常明确的警告:Cookie Banner不再是展示层合规,而是技术层合规。
这起处罚的本质问题是什么?
根据CNIL在2025年9月3日公布的调查结果,Shein 法国站存在以下行为:用户点击「拒绝所有 Cookies」或在Cookie管理界面中撤回同意,但网站仍然放置新的广告和追踪Cookies,继续读取已存在的Cookies,用于用户识别、行为分析和广告定向。(其实就是将Cookie Banner当摆设了)
同时,Shein并未清楚、完整地向用户说明:Cookies 的具体用途,是否涉及第三方。对用户隐私可能造成的影响
这些行为被CNIL认定为系统性违反GDPR与ePrivacy指令。
需要特别强调的是:这不是技术bug,而是合规机制失效。
为什么Cookie在欧盟是“高风险行为”?
在非欧盟市场,Cookies往往被视为“技术工具”;但在欧盟监管框架下,Cookies的法律地位完全不同。
- Cookies被视为个人数据的一部分:在 GDPR 和 ePrivacy 的解释体系中,广告 Cookies、分析 Cookies和跨站追踪 Cookies,均被视为可识别个人或可用于用户画像的数据,因此,它们必须满足GDPR的要求,必须获得用户明确、自由、知情的同意。
- “拒绝无效”是监管最严重的违规类型之一:就是用户拒绝,但照样跟踪,也就是Cookie Banner起到一个幌子的作用,监管当局视为对用户选择的系统性无视,合规机制的形式化应付
CNIL为什么会开出1.5亿欧元的罚单?
从金额上看,1.5 亿欧元已经接近“象征性执法”的级别,是CNIL历史上第二高的罚款(仅次于对Google的3.25亿欧元),但并非偶然。
- 影响用户规模极大:CNIL指出Shein 法国站每月有约1200万法国用户,在 GDPR 罚款裁量中,受影响用户数量是核心考量因素之一。
- Shein 的市场地位决定了示范效应:Shein 并非中小网站,而是欧洲电商的重要流量入口,快时尚行业的代表性平台,监管机构在此类案件中,必然考虑行业示范效应。
- 类似违规早已被反复警告:自 2020 年以来,CNIL 已多次针对 Cookie 合规问题,对Google、Amazon、Meta等公司作出高额罚款决定。这意味着:Shein 并不是“踩到新规则”,而是忽视了已反复强调的监管红线。
- 罚款比例并未脱离GDPR框架:1.5 亿欧元约占Shein2023年欧洲收入(76.84亿欧元)的约2%,在GDPR允许的最高4% 全球营收范围内,并不属于极端裁罚。
Shein的回应,说明了什么?
Shein在回应中提到:自2023年8月起配合CNIL调查,已在调查期间更新系,认为罚款“不成比例”,甚至带有政治动机,计划向法国国务委员会及欧盟法院上诉。
从合规视角来看,这传递出一个非常现实的信息:事后整改 ≠ 免责。
在GDPR框架下:违规期间已经发生,用户权利已经被侵害,即使系统后来修复,历史责任依然存在
面向欧洲市场的网站,真正需要警惕什么?
- Cookie Banner不能只是“展示层合规”:有Banner≠合规, 有“拒绝”按钮≠合规, 拒绝后仍然收数据=高风险
- 严格区分“必要”与“非必要” Cookies:在欧盟监管语境中,GA4、AA、Google Ads、Heatmap、A/B Testing,默认都不属于“严格必要 Cookies”。
- 技术层必须真正接入Consent逻辑:第三方跟踪基于Consent 状态触发,同意状态需可审计、可追溯
这起事件对数据与广告从业者的真正启示
安装Cookie Banner作为幌子的这种“看起来合规”的做法对于欧盟是不可接受的,公司可能会因此面临巨额罚款,需要做好合规。
延伸阅读:
- GTM+Consent Mode+Cookiebot:完整的Cookie Banner部署流程
- GTM+Consentmanager:从0到1的部署实战
- Google Ads在盲投,你安装CMP了吗?
- Google Tag Manager里的Consent Mode意见征求模式
- 「GDPR」德国法院裁决:需获得用户同意才可以加载GTM
