Elkjop 被罚 180 万欧元：会员同意不能再当营销门票

2021 年，一名 Elgiganten Kundklubb 会员想退订营销邮件，发现自己只有一个选择：退出会员。

五年后，这个按钮背后的设计，换来挪威 Datatilsynet 一张 2000 万挪威克朗罚单，约 180 万欧元。问题不在一封促销邮件，而在一个老套路：用户名义上可以拒绝，实际上要用会员权益来付费。

发生了什么：一张会员卡，绑住了营销同意

这案子从瑞典开始。投诉人向瑞典 IMY 投诉，案件后来按 GDPR 一站式机制转给挪威 Datatilsynet。最终处罚落在 2026 年 6 月。

核心事实很短：

投诉人早在 2021 年 7 月就写信给 Elkjop 的 DPO，点明了问题：GDPR 第 21(2) 条给用户反对直接营销的权利；电子邮件营销也应当有简单退订方式。

企业不能说：想退订可以，请先退出会员。

Elkjop 后来的回复反而把争议钉死了。它把接收营销和优惠，写成成为会员的条件。监管最后认定，这种同意不够自由。

这里要守住边界。本文材料针对的是 Elkjop 的会员营销捆绑和数据再利用，不是说欧盟已经全面禁止所有 pay-or-consent 模式。别把案子读大，也别把信号读小。

为什么重要：forced consent 最怕藏在“权益”里

很多公司会觉得委屈：会员本来就是为了发优惠，优惠要通过邮件、广告和转化追踪才能闭环。

这话有商业逻辑。也正因为有商业逻辑，才危险。

会员体系、CRM、营销自动化、广告归因，本来就天然想连成一根管子。注册拿权益，邮件推优惠，像素看转化，数据再进广告优化。业务看起来很顺，法律上却可能每一步都要拆开问：用户到底同意了什么？拒绝会失去什么？数据换用途时有没有重新评估？

Elkjop 的问题卡在两层。

一层是退订权。用户要拒绝直接营销，不该被迫退出会员。拒绝营销和失去会员权益之间，不能画等号。

另一层是数据再利用。会员数据从“提供会员服务”流向“广告和转化追踪”，用途已经变了。GDPR 第 6(4) 条要求看新用途和原用途是否兼容，不能默认“进了会员池就是我的数据”。

“天下熙熙，皆为利来。”放到今天，就是复购率、转化率、归因率，都比一个用户的拒绝权更容易进 KPI。问题不在企业想增长，问题在增长目标把用户选择挤成了装饰。

对两类读者，这个案子最有用。

做隐私合规和 GDPR 执法观察的人，要看的是监管口径：罚点不只在营销邮件，还在同意质量和数据用途迁移。以后类似案件，不能只盯退订按钮，要一起看会员条款、数据流向和广告系统接口。

做会员体系、营销自动化和数据广告的产品/法务负责人，要马上做三件事：

这会带来成本。系统要改，字段要拆，自动化链路要重配，转化归因可能变钝。现实约束就在这里：合规不是给业务免费加一个勾选框，而是要让业务少拿一点原本拿得太顺的数据。

但延后采购、推迟上线、重做 consent flow，都比五年后拿一份公开处罚书便宜。尤其是跨境经营的零售、电商和消费电子渠道商，不能只按本地营销习惯设计会员。

真正难看的地方：企业拖，监管也慢

我更在意的，不是 Elkjop 少放了一个按钮，而是这类错误为什么能拖五年。

企业的算盘很清楚。用户来信，交给 DPO；DPO 回隐私政策；业务继续跑；邮件继续发；广告继续投。只要投诉没有变成处罚，合规成本就被延后。

这就是坏激励。短期看，拖延像省钱。长期看，是把一个小改动攒成执法记录。

监管这边也不体面。投诉人称，自己不是从瑞典 IMY 或挪威 Datatilsynet 得知处理结果，而是从 GDPRhub 这个志愿者维护的 wiki 上看到。GDPR 第 77(2) 条要求监管机构告知投诉进展和结果。

这里不能替法院下结论。目前只能说，这是投诉人的主张，并且他准备追责。

但尴尬已经足够清楚：一家企业因为不尊重用户选择被罚，启动案件的用户却可能没有被监管机构好好告知。

接下来最该看两件事。

第一，Elkjop 或同类企业会不会把会员权益和营销同意真正拆开。不是换一段文案，而是让用户在保留会员的同时，单独拒绝邮件、广告追踪或其他营销用途。

第二，监管机构会不会把投诉处理透明度补上。隐私执法如果只在处罚书里现代，在沟通流程里老旧，用户仍然会被耗在系统外。

这案子给行业的信号并不玄。会员体系不是 consent 漏斗，DPO 也不是客服缓冲垫。把拒绝权做成退出成本，迟早会被监管按住算账。