爱尔兰DPC调查SHEIN，聚焦欧盟用户数据跨境传输合规

当地时间5月5日，爱尔兰数据保护委员会（Data Protection Commission, DPC）宣布对快时尚电商SHEIN在爱尔兰的运营主体——Infinite Styles Services Co. Ltd.（以下简称“SHEIN爱尔兰公司”）启动数据保护调查。

本次调查的核心是审查该公司向中国传输欧盟及欧洲经济区（EEA）用户个人数据的行为，是否严格符合欧盟《通用数据保护条例》（GDPR）的相关规定。

根据DPC发布的官方声明，本次调查依据《2018年数据保护法》第一百一十条发起，调查决定已于4月30日送达SHEIN爱尔兰公司。DPC将全面评估SHEIN数据跨境传输全流程的合规性，重点核查三大核心义务：一是GDPR第5条规定的个人数据处理基本原则，包括合法、公平、透明、目的限制、数据最小化、准确性、存储限制、完整性与保密性等要求；二是GDPR第13条明确的透明度义务，即企业是否向数据主体充分、清晰地告知数据收集、使用及跨境传输的相关信息；三是本次调查的焦点，GDPR第五章关于向第三国传输个人数据的限制性要求。

DPC副专员格雷厄姆·多伊尔在声明中表示，当个人数据被传输至欧盟以外国家时，GDPR明确要求这些数据必须获得与欧盟境内基本同等水平的保护。同时，多伊尔指出，近期DPC开展的一系列监管行动，以及欧洲其他监管机构收到的相关投诉，已使向中国传输数据的合规问题成为关注焦点。

GDPR全称为《通用数据保护条例》，是目前全球规定最严格、处罚最严厉的数据保护法规之一，为欧盟/欧洲经济区的个人数据提供高标准保护，其核心原则是数据跨境流动不得削弱这一保护水平。

根据GDPR第45条第1款，充分性决定制度是指欧盟委员会认定某第三国、第三国的特定区域、特定部门或国际组织具备充分保护水平后，个人数据可转移至该对象，且此类转移无需特别授权。

截至目前，欧盟已对英国、日本、韩国、加拿大、乌拉圭等十余个国家和地区作出充分性决定。值得注意的是，中国尚未被纳入这一“白名单”。这意味着，在未获得充分性决定的情况下，SHEIN等企业若需将欧盟用户数据传输至中国，需借助GDPR规定的替代方案（如采用欧盟标准合同条款SCCs），并自行证明中国的法律与实践足以保障数据获得等效保护。

针对此次调查，SHEIN方面回应称，公司高度重视数据保护义务，严格遵守GDPR及所有适用的数据保护法规，并将积极配合DPC的调查工作。

此次调查是欧盟监管机构针对中国科技及互联网企业数据合规的又一重要行动。当前全球数据治理规则趋严、跨境数据流动监管壁垒持续升高，在此背景下，对于在欧运营的中国企业而言，如何在业务运营与数据合规间取得平衡、构建符合GDPR标准的数据治理体系，正成为必须直面的核心挑战。DPC的调查结论及后续可能出台的处罚措施，也将为中企在欧的数据合规实践提供重要的监管指引。

参考来源｜DPC，路透社

声明：本文来自赛博研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。