当地时间5月5日，爱尔兰数据保护委员会（Data Protection Commission，DPC）宣布针对中国跨境电商平台 SHEIN 位于爱尔兰的运营主体Infinite Styles Services Co. Ltd（SHEIN Ireland）展开调查，主要涉及欧盟用户个人数据是否被违规传输至中国。这是自2023年SHEIN在都柏林设立总部以来，首次遭遇来自该局的数据保护调查。

DPC发布声明。

DPC声明显示，此次调查依据爱尔兰《2018年数据保护法》第110条，将核查并评估SHEIN Ireland在相关数据传输场景下，是否遵守了欧盟《通用数据保护条例》（GDPR）规定的数据保护义务。

具体而言，调查涉及GDPR第5条规定的个人数据处理基本原则，包括处理行为是否合法、公平、透明，以及限制数据使用目的、数据处理最小化等核心要求。对于跨境平台而言，这往往涉及用户行为追踪、用户画像建立、算法推荐机制等。GDPR第13条要求企业向用户完整、准确披露数据收集使用的相关情况，或涉及对该公司所提供隐私政策、用户协议的核查。

另一重点调查方向源于GDPR第五章关于向第三国传输个人数据的限制性要求，包括当欧盟个人数据被传输到欧盟以外国家时，其必须获得“与欧盟内部基本等同的保护水平”。目前欧盟仅对英国、日本、韩国、加拿大、美国、乌拉圭等十余个国家和地区作出数据保护充分性认定，可自由接收欧盟用户数据，中国不在这一“白名单”内。

DPC副专员格雷厄姆·道尔（Graham Doyle）在调查开启时提到，此次调查将在与其他欧洲数据监管机构合作的基础上开展。SHEIN方面回应称，公司高度重视数据保护义务，将积极配合DPC的调查工作，严格遵守GDPR及所有适用的数据保护法规。根据GDPR第83条，若调查最终认为SHEIN Ireland违规，DPC可对企业处以最高2000万欧元或上一财年全球营业额4%的罚款，要求暂停数据传输行为等。

南都记者梳理发现，这是自TikTok之后，欧盟第二次针对中国背景的企业启动数据跨境合规调查。2025年，短视频平台TikTok因欧洲用户个人数据传输问题，被DPC处5.3亿欧元罚款，并被要求暂停将数据传输至中国。DPC此次举措，证明中国背景企业的数据跨境合规已成为欧盟监管的战略重点，未来执法力度或进一步升级。

采写·综合：南都N视频记者 樊文扬

编辑：李玲