根据法国数据保护监管机构（CNIL）官网9月3日宣布，该机构于9月1日对中国跨境快时尚电商巨头Shein集团旗下爱尔兰子公司 INFINITE STYLES SERVICES CO. LIMITED处以1.5亿欧元（约合1.76亿美元）的罚款。处罚原因是其在网站和应用程序中违规设置Cookies，并在未获得用户事先同意的情况下进行数据收集与追踪。

数据显示，该罚款占Shein欧洲业务年营收的约2%。根据爱尔兰注册实体披露的数据，希音 2023年在欧洲营收达76.84亿欧元。这一罚款数额创下法国近年来针对非合规Cookies行为的最高记录之一，Shein与Google同日受罚，该案引发国际广泛关注。

Cookie 是网站保存到浏览器中的小文件，可以收集有关用户在线活动的数据，这对于在线广告和许多大型平台的商业模式至关重要。根据欧盟法规，通过Cookie收集的信息被视为个人数据，要求网站必须获得用户同意才能进行使用。

据CNIL调查，Shein自2018年以来在法国运营期间，持续在用户终端放置广告Cookies和追踪器，而未能事先获得用户明确授权。此外，Shein还在用户界面中设计复杂的操作路径，即使用户拒绝接受Cookies，部分技术仍然会自动加载，导致用户无法真实行使其隐私选择权。

在法律适用上，CNIL特别强调，Cookies的设置和读取问题并不直接适用GDPR，而是首先适用欧盟《电子隐私指令》（ePrivacy Directive）以及其在法国的国内转化规则，即法国《数据保护法》（Loi Informatique et Libertés）第82条。该指令明确规定，除非是“严格必要”的Cookies，否则在存储或访问用户设备中的信息前，必须获得用户的事先同意。换言之，电子隐私指令及法国国内法确立了对Cookie使用的基本约束规则。

与此同时，GDPR在这一框架中发挥补充作用。GDPR并不直接决定能否放置Cookie，但规定了“同意”的有效标准——同意必须是自由、具体、知情且明确的表示。因此，电子隐私规则决定了“是否可以使用Cookie”，而GDPR则界定了“同意应当具备何种形式和效力”。两者共同构成了欧盟Cookie合规监管的制度体系。

CNIL还将用户规模作为裁量罚款的重要考量因素。调查显示，Shein每月在法国约1,200万名用户的设备中设置了相关Cookie。监管机构认为，这一行为不仅损害了数百万用户的合法权益，也破坏了数字市场的公平性和消费者对平台的信任。

该裁决不仅是对Shein的直接打击，也释放出欧盟将在跨境电商和数字广告领域加大隐私合规执法力度的信号。欧盟对隐私保护和用户同意机制进行严格适用。根据《电子隐私指令》及GDPR的解释，任何Cookies（除技术必要性外）均需用户主动明确同意，否则即构成违法。CNIL在此案中对“暗模式”界面的认定，强调了同意应当“自由、具体、知情且明确”，这对平台设计具有约束力。

在未来，对于依赖用户数据驱动增长的企业而言，合规成本或将显著上升，尤其是在广告投放、精准营销与用户画像等场景下。