法国数据保护监管机构(CNIL)决定对在线快时尚零售巨头希音(SHEIN)处以 1.5 亿欧元罚款。原因是该公司系统且严重地违反了《电子隐私指令》(ePrivacy Directive)关于 Cookie 的相关规定。该决定(案号:SAN-2025-005)于2025年9月1日公布,是迄今为止因 Cookie 违规而处以的最高罚款之一,同时也向整个电子商务行业发出了明确的警示信号。
案情提要:完全失效的Cookie
CNIL对SHEIN的网站 shein.com展开调查,发现了一系列的违规情况。SHEIN辩称,由于涉及欧盟《通用数据保护条例》所规定的跨境数据处理,所以应当由爱尔兰数据保护机构监管。CNIL驳回了这一说法,并强调Cookie规则属于《电子隐私指令》的范畴,并不存在“一站式机制”。SHEIN在法国设有分支机构,足以确定CNIL的管辖权。
当局决定:违规行为的典型案例
CNIL认定,SHEIN就Cookie的处理在各方面均存在违法。核心违规行为是实施同理管理平台最常见的错误范例。
- Cookie设置在用户同意之前:用户访问网站首页时,多种Cookie(包括广告 Cookie)已被设置在其设备上,而用户甚至尚未与Cookie横幅进行任何交互行为。严重违反了事先同意原则(Prior Consent Principle)。
- 同意未被通知:Cookie横幅的内容模糊且不完整。未明确告知用户Cookie的具体用途或第三方供应商的身份。此外,横幅与弹窗同时显示会导致用户困惑,妨碍其做出知情选择。
- 拒绝操作无效:即便用户点击“全部拒绝”或事后撤回同意,网站仍继续设置 Cookie。用户的选择在技术上被完全忽略,整个同意收集机制形同虚设。
罚款金额的确定基于违规行为的数量与程度,以及SHEIN的核心市场地位(在法国平均每月有1,200万访问者)。
该处罚对企业有何启示?
- 违反《电子隐私指令》代价高昂且成员国可追责:该决定明确表明,欧盟成员国的数据保护监管机构对于Cookie违规可独立行使监管权,并采取严厉措施。《通用数据保护条例》规定的“一站式机制”无法提供豁免。
- “拒绝”意味着“拒绝”:技术实现至关重要。无效的“拒绝”按钮不仅损害用户体验,而且属于严重的违法行为。定期进行同意管理系统的技术审计必不可少。
- 透明度不可妥协:模糊的说明如“为了改善您的体验”是不够的。必须要明确用途,并列出所有设置Cookie的第三方。
- 罚款取决于企业规模: CNIL在确定罚款额度时,参考了竞争法中“企业”的概念。这意味着,罚款数额的确定基于母公司的全球营业额,而不仅限于当地子公司。
FAQ:Cookies&《电子隐私指令》——你当前需了解的内容
- 《电子隐私指令》和《通用数据保护条例》的区别是什么?
《电子隐私指令》(常被称为“Cookie法”) 专门规范电子通信中的隐私保护,包括设置Cookie。《通用数据保护条例》则规范个人数据的一般处理。两者并行适用。
- 合法的Cookie横幅的核心要求是什么?
- 在获得用户主动同意之前,不得使用非必要Cookie。
- 清楚明确地提供用途及供应商信息。
- 同意与拒绝的选项应当同样简单明了。
- 技术实现必须尊重用户选择。
- 网页同意管理工具提供商声称合规,是否足够?
否,网站运营者是主要责任人。您必须确保工具的正确配置和技术功能,并定期检查。
- 哪些Cookies不需要同意?
只有对网站的基本功能或用户明确请求的服务在技术上是必不可少的 Cookie (例如购物车 Cookie)。
- 哪里可以获得检查Cookie横幅的支持?
若您需要Cookie横幅检查,可以填写我们的联系表格sofortdatenschutz.de/kontakt
结论:关于技术与法律合规的警示
SHEIN案例不仅仅是又一次高额罚款,更是是对用户同意获取过程中可能出现的各种问题的详细分析。CNIL的决定表明,表面化的“Cookie横幅装饰”时代已经结束。监管机构会深入审查技术实现,并严厉处罚违法缺陷。处罚力度之大甚至可能会威胁到企业的生死存亡。如今,每家公司都被要求不仅从法律角度,还要从技术角度审查自身做法的合规性。
