Shein 遭爱尔兰 DPC 正式调查！数据跨境传中国涉违 GDPR，最高罚 4% 全球营收

5 月 5 日，爱尔兰数据保护委员会（DPC）在官网发布公告，正式对 Shein 爱尔兰运营主体 Infinite Styles Services Co. Ltd. 启动数据保护调查。这次调查的核心直指一个所有在欧中企都绕不开的敏感问题：将欧盟用户个人数据传输至中国的行为，是否符合 GDPR 规定。

公告里写得很清楚，调查依据是爱尔兰《2018 年数据保护法》第 110 条，早在 4 月 30 日就已经正式通知了 Shein 爱尔兰公司。DPC 副专员格雷厄姆・多伊尔直接表态：“向中国传输数据的问题已成为 DPC 的重要战略优先事项，我们将与欧洲其他监管机构密切合作开展调查。”

这次 DPC 查得很细，重点盯着三个方面：一是 GDPR 第 5 条规定的个人数据处理基本原则，包括合法、公平、透明、数据最小化这些最基础的要求；二是第 13 条对用户的信息披露和透明度义务，说白了就是 Shein 有没有明确告诉用户，他们的数据会被传到哪里、用来做什么；三是 GDPR 第五章关于向第三国传输个人数据的限制性要求，这也是这次调查最核心、最致命的部分。

事情的导火索其实早在一年多前就埋下了。2025 年 1 月，欧洲知名隐私倡导组织 Noyb 向意大利隐私机构提交了针对 Shein 的投诉，指控其违规将欧洲用户数据传输至中国。后来这个案子转到了爱尔兰 DPC 手里，因为 Shein 在 2023 年把欧洲、中东和非洲（EMEA）地区的总部设在了都柏林。按照欧盟 GDPR 的 “一站式” 机制，所有在爱尔兰设立总部的公司，整个欧盟范围内的数据保护事务都由 DPC 统一监管。

这也是为什么 DPC 能成为欧盟最有影响力的数据保护监管机构 —— 谷歌、Meta、TikTok 这些科技巨头的欧洲总部都在爱尔兰，几乎所有重大的 GDPR 罚单都是从这里开出来的。

更值得注意的是，这已经不是 Shein 第一次在欧洲栽在数据合规上了。2025 年 9 月，法国国家信息与自由委员会（CNIL）刚给 Shein 开出过 1.5 亿欧元的天价罚单，理由是其 Cookie 设置违规，没有给用户提供拒绝非必要 Cookie 的便捷选项。按照 GDPR 第 83 条的规定，计算罚款时会考虑当事人先前是否有同类违规行为。有了这次 “前科”，如果这次 DPC 最终认定 Shein 违规，罚款金额只会更高不会更低。

根据 GDPR 的规定，最高罚款可以达到 2000 万欧元，或者上一财年全球营业额的 4%，两者取其高。对于 Shein 这种年营收规模巨大的公司来说，4% 的营业额罚款绝对是个天文数字。更严重的是，DPC 还可以直接要求 Shein 暂停将欧洲用户数据传输至中国，这对一家依赖中国供应链和后台系统的电商公司来说，几乎是致命的打击。

去年 TikTok 就是前车之鉴。2025 年 4 月，DPC 以同样的理由对 TikTok 罚款 5.3 亿欧元，并下令如果其数据处理不符合规定，必须立即暂停向中国传输欧洲用户数据。后来 TikTok 花了几十亿欧元在欧洲建数据中心，搞 “欧洲数据本地化”，才勉强过关，但至今还在 DPC 的严密监管之下。

其实不止 Shein 和 TikTok，所有把数据传回中国的中企，现在在欧洲都面临着同一个几乎无解的结构性困境。

欧盟判断数据跨境是否合规的核心逻辑，从来都不是看企业自己做了多少安全防护措施，而是看数据目的地国家的法律环境，能不能提供与 GDPR “实质等同” 的保护。中国不在欧盟的数据保护 “白名单” 里，欧盟至今只对英国、日本、韩国、加拿大、美国等 15 个国家和地区作出了充分性认定。

这就意味着，中企要想合法地把欧洲用户数据传回中国，只能走三条路，但每一条都走不通。

第一条是数据彻底匿名化。但欧盟对 “可识别性” 的标准定得极高，传统的去标识化方法根本没用，只要有任何可能通过其他数据交叉比对识别出个人身份，就不算匿名化。对于电商公司来说，订单、支付、物流这些核心数据天然就是可识别的，根本不可能做到完全匿名。

第二条是用 GDPR 第 49 条的 “克减条款”。但这个条款只适用于偶发性、一次性的数据传输，比如处理某个具体的用户投诉，根本支撑不了电商平台每天数百万笔订单的大规模商业运营。

第三条也是目前中企用得最多的，就是签标准合同条款（SCC）。但自从 2020 年欧盟法院的 Schrems II 案判决之后，这条路也基本被堵死了。法院明确规定，如果目的地国的法律允许政府无限制地访问个人数据，那么即使签了 SCC，也不能保证数据安全，这种传输就是违法的。

这就形成了一个死循环：企业需要代替中国政府向欧盟解释中国法律，证明中国政府不会访问欧盟用户的数据。但这根本就是不可能完成的任务 —— 没有任何一家企业有权代表国家作出这样的承诺。

有业内律师直言，欧盟现在其实就是把 “数据跨境流动合规” 当成了一个事实上的技术性贸易壁垒。对于谷歌、Meta 这些美国公司来说，因为有欧美数据隐私框架（DPF）的存在，数据传输基本不成问题。但对于中企来说，这个门槛却越设越高，大公司还能砸钱搞数据本地化，勉强维持运营，中小企业可能直接就被挡在欧洲市场之外了。

面对这次调查，Shein 在第一时间给出了官方回应：“我们极其重视数据保护义务，完全致力于遵守 GDPR 和所有适用的数据保护法律。确保客户个人数据的安全是我们业务的首要任务。近几个月来，我们一直在就数据保护方法与 DPC 积极沟通，包括一些正在进行的重要举措，这些举措反映了我们致力于保持最高数据处理标准的承诺。我们期待继续与 DPC 合作。”

但从目前的情况来看，这次调查恐怕不会轻易结束。DPC 已经把 “向中国传输数据” 列为战略优先事项，这次拿 Shein 开刀，很可能只是一个开始。接下来，会不会有更多在欧中企被卷入调查，谁也说不准。

对于所有出海的中企来说，这次 Shein 被查事件再次敲响了警钟。数据合规已经不是可有可无的选择题，而是关乎企业生死的必修课。在欧盟越来越严格的监管环境下，如何在业务发展和合规要求之间找到平衡，如何应对这种带有明显地缘政治色彩的监管压力，将是未来很长一段时间里，所有中企都必须面对的核心挑战。