GDPR的七年之癢:2024-2025 GDPR處罰與執法數據全景分析
責編:gltian |2025-05-27 14:29:16寫紀念時點的文章不禁仍會感嘆一聲時光荏苒,寫《GDPR五年記》時已然是兩年前的事。GDPR如今來到第七個年頭,已展現出完全不同的面貌和生態。
本文嘗試基于過去一年的執法、司法、上訴以及調查數據,盡可能拼湊出一個完整的全景概覽,分析的時間跨度為2024年5月至2025年5月。本文主要數據來源于CMS數據庫,但由于其原始標注在分類、補充信息和行業識別等方面存在較大局限,本文對其進行了必要的二次加工,及必要的清洗與補全。
需要說明的是,本文只關注GDPR的處罰動態,在歐盟法域之外尚有不少值得關注的發展(例如韓國)不在本文討論范圍。另外,除了GDPR,出海企業當然還需關注DSA、DMA、AIA等新進法律的執法情況,但不在此次考量范圍之內。
一、整體走勢
自GDPR生效以來,累計處罰金額呈持續上升趨勢,但增幅節奏存在明顯階段性。2021年下半年首次出現大幅躍升后,2023年中再次出現陡峭上漲。圖中以黃色陰影標示的2024–2025年區間內,增長趨勢更為密集和穩定,罰款總額從約50億歐元持續攀升至接近60億歐元,新增金額超過10億歐元。這一階段的增長曲線沒有明顯的間斷,說明在不到一年半的時間內,處罰頻率與處罰力度均保持較高水平。
與前期相比,這一階段罰款增長較為線性,反映出監管活動正趨于常態化、高頻化,且不再依賴個別天價罰單拉動總額,而是由多個中高額案件疊加推動。截至2025年3月(CMS的cut-off時點),GDPR處罰總額已突破56.5億歐元,處罰案例達2,245起。GDPR執法在第七年后已進入制度成熟期,處罰機制更加持續、密集與系統化。
從累計處罰數額和次數來看,,左圖顯示處罰金額在年中(2024年7月和9月)和年末(2024年11月、2025年5月)出現幾次明顯的跳升,分別對應Meta和Uber等幾筆高額罰單,使得累計金額整體呈階梯式上揚。尤其是2025年5月,因TikTok數據跨境處罰落地,單月罰款再次顯著抬升,使總額突破16億歐元,成為本階段增長的關鍵節點。右圖所示的處罰次數增長更加平穩,整體分布均勻,累計處罰數從2024年6月的40起左右上升至接近200起。多數月份的新增處罰次數保持在10至20起之間,且在2025年3月以后明顯趨緩。有一點需要說明,雖然在整體趨勢上,本分析補足了數據,但2025年5月尚未結束,因此5月份數據可能存在不全的情況,讀者需留意。
比例關系上看,盡管處罰次數在2025年初后趨于穩定,罰款金額仍能保持上升,說明執法機關在案件遴選和金額裁量方面正向更高的處罰區間集中。整體趨勢反映出2024–2025年期間GDPR執法已進入“高強度少量化”的成熟階段,不僅在頻率上保持活躍,也在經濟懲戒層面持續放大信號效應。
二、與去年相比有哪些變化?
來看下同比數據。2024–2025年度幾乎每個月的罰金總額都顯著高于前一年同期,尤其是在2024年9月、10月以及2025年5月,單月處罰金額差距尤為突出。9月罰款金額接近5000萬歐元,同期2023年不足500萬歐元;2025年5月的處罰金額達到6000萬歐元以上,是該階段的峰值。盡管部分月份的處罰數量并未顯著上升,但單案金額提升明顯,監管機構在裁量罰金時整體尺度有所抬高。
圖表右側則呈現了處罰次數上的同比變化。2023–2024年度的處罰次數波動較大,整體明顯高于同期的2024–2025年。2023年6月的處罰次數為61起,而2024年同期僅為35起;此后除個別月份外,2024–2025年每月的處罰數量基本維持在20起左右,并在2025年4月與5月降至個位數(受數據分析范圍影響)。
如此來看,過去一年的監管似乎趨向于通過更少的處罰次數實現更大的懲戒效果。這種“少量、高額、標志性”的執法策略,不再以數量推動執行效果,而是依靠有代表性的高額案件釋放執法信號,執法邏輯由廣覆蓋逐漸向重點突破過渡。
三、2024-2025年度排名前十的處罰
觀察過去一年最高的處罰,可以發現數據跨境仍然為最大熱點,與此同時在廣告、人臉識別等高風險場景下的同意有效性和其他合規維度仍然處于糾結狀態,此外明顯的一大變化是新型AI廠商的出現,包括OpenAI在意大利的處罰(可以追溯到2023年3月)以及最近出現的Replika等特定AI場景應用的違規議題,值得關注。
從罰金數額上來看,TikTok以5.3億歐元的罰款金額高居榜首,成為本年度乃至GDPR歷史上最重的幾起罰單之一(目前排名第三),處罰來自愛爾蘭DPA,聚焦于短視頻產品中的數據出境與兒童數據保護問題。緊隨其后的是LinkedIn(3.1億歐元)與Uber(2.9億歐元),分別涉及社交平臺和出行配送場景,顯示出平臺型企業在數據使用鏈條中更易觸發高強度問責。前五名罰單中有四起來自愛爾蘭,反映出愛爾蘭作為主要跨國科技公司歐盟總部所在地,其數據保護委員會DPC在大型案件中仍占據核心執法地位。值得注意的是,這十起重大處罰均未通過EDPB爭議解決機制,說明盡管案件金額高、影響范圍廣,程序路徑上仍屬主導DPA單邊作出決定。行業分布來看,社交平臺(Meta、LinkedIn、TikTok)占據半數席位,此外還涵蓋AI(Clearview AI、OpenAI)、電商(Amazon France Logistique)、網絡安全(Avast)及能源(Enel)等多元領域。高額罰款已不僅限于社交或廣告領域,而正逐步擴展至涉及算法、基礎設施及關鍵行業的數據處理行為。
四、行業分布(數據很糙,簡單看看)
原本還計劃基于CMS數據呈現一些行業洞察,仔細看過數據后發現不可行。CMS的行業部門細分也過于粗糙,基本上TMT領域涵蓋絕大部分數據,不具備分析空間。如果不對數據進行深度挖掘,也很難看出行業特征。舉例而言,排名前十的處罰中雖然出現了電商平臺Amazon,但仔細觀察違規場景發現與電商本身非常不相關。Amazon近年來在人臉識別與員工監控上受到高度審查也反映出這家科技公司的復雜性(不僅僅是一家電商平臺),也很難代表電商平臺。因此,短期內無法通過數據收集形成具有解釋力的分析和行業洞見,如上文所述,這一不足將會在后續持續研究中不足。本文的分析僅以CMS提供的粗數據作為基礎,作為初步觀察。
不同行業在GDPR處罰中的總罰金與案件數量差異顯著。其中,“媒體、通信與平臺類”行業的處罰總金額遠高于其他領域,罰金總額超過1250萬歐元,呈現出壓倒性優勢。這一數據基本由頭部平臺企業(如Meta、TikTok、LinkedIn等)構成,因數據處理量大、跨境傳輸頻繁以及涉及算法推薦、廣告定向等復雜使用場景,成為GDPR執法的重點對象。排名其后的分別是“就業”“電商”和“交通能源”行業,雖總額遠低于前者,維持在200萬歐元上下的罰金水平。值得注意的是,“住宿與酒店業”在處罰總金額上也排名靠前,顯示出旅游相關行業在客戶數據保護上的系統性薄弱。與此同時,金融保險、咨詢、公共部門、教育、醫療、房地產等行業的處罰金額和數量均偏低,大概率是這些領域并未進入監管優先序列。
五、不同國家監管機關的特點與活躍度
如上所述,CMS所提供的國別數據為聚合數據,抽離2024-2025年度數據來不及做,但在這個議題上聚合數據可能價值更高,可以反映不同監管機關在過去若干年內的偏好、關注點以及工具選擇,對出海企業開國策略上可以提供參考。
西班牙在GDPR執法中以壓倒性數量位居首位,累計處罰次數接近1000起,遠遠超過排名第二的意大利(約400起)和第三的羅馬尼亞(約200起)。西班牙數據保護局AEPD一直以“高頻小額”的執法風格著稱,日常監管節奏快,覆蓋面廣,罰單數量雖多,但多數金額較低,重在督促合規基礎建設。相比之下,意大利和羅馬尼亞雖處罰數量不及西班牙,也保持相對穩定的執法頻率,尤其在公共機構、地方企業和醫療系統中的處罰記錄較多,反映出其監管部門對中小型數據控制者的持續關注。德國、法國和挪威等傳統上在數據保護政策和法規推動中扮演重要角色的國家,處罰數量反而相對較少。
再加入罰金數量的維度來看看分布,上圖分別展示了平均罰款金額(左圖)和累計罰款總額(右圖)。無論從哪一項指標看,愛爾蘭都穩居首位,平均罰金和累計金額均遠超其他國家,得益于其作為多家跨國科技企業(如Meta、TikTok、Google)的歐洲總部所在地,在“一站式機制”下承擔了大量跨境案件的主導角色,另一方面也反映出其集中處理了多個金額極高的系統性案件。
平均罰金排名中,荷蘭、英國、葡萄牙、瑞典緊隨其后。這些國家雖處罰次數有限,但每起案件金額較高,說明其執法策略傾向于選擇重點案件,圍繞高風險場景展開精準處罰。相比之下,德國、波蘭、丹麥等國則處于罰款金額與數量之間的中段區,反映出執法結構更為平衡。
法國雖在平均罰金排名中不靠前,但在累計罰金上位列第二,說明其處罰數量與金額均具規模,兼具廣度與強度。這種“重數量又重金額”的組合,也反映出其監管機構CNIL在平臺治理和用戶權利議題上始終保持高頻率的主動性。部分小國(如愛沙尼亞、列支敦士登、斯洛伐克)雖位列統計榜末,但也說明GDPR在歐盟境內并未真正形成執行上的“絕對統一”,不同國家在監管能力、資源投入、案件選擇標準上的差距,仍構成合規實踐中不可忽視的制度變量。
六、主要被罰違規項(聚合數據)
不得不說CMS在違規類型上的設定過于粗糙,以至于數據難以真正展現違規重災以及執法重點中的細微之處。處罰類型來看,GDPR執法最常針對的違法行為集中于三個核心領域:一是第6條合法性基礎的問題,二是違反一般處理原則,通常涉及到數據生命周期管理的機制建設,三是缺乏充分的技術與組織安全措施,多由數據泄露事件觸發。這三類違規不僅出現頻率高,且平均罰金和累計罰金額度也均居前列。此外,透明度問題(隱私政策)以及監管機關配合問詢相關違規處罰數量雖少,平均罰金偏高,表明一旦企業在程序互動中表現為逃避或對抗,往往被認定為加重情節。而其他類型,如數據泄露通知延遲、DPO職責履行不到位等,目前仍屬低頻違規,平均罰款額度亦有限。
六、中國企業被罰情況
GDPR合規已成為中國企業進入歐洲市場的基本門檻,應被視為戰略投資而非成本負擔。隨著中國企業在歐洲市場份額增長,可能面臨與美國科技巨頭類似的監管審查,應提前做好準備。特別是在AI領域,中國企業需要在技術創新與數據保護合規之間找到平衡點。
與美國科技巨頭相比,中國科技企業在歐盟的GDPR執法中尚未成為主要目標,但隨著中國企業在歐洲市場份額的增長,這種情況正在發生改變。從2025年初的三大事件可以看出——noyb開始策略性關注中國企業合規,TikTok的第二個靴子落地,還有DeepSeek受到類似于Clearview AI的多頭監管——此前我都有撰文分析。
需要明確的是:針對中國企業的處罰和執法剛剛開始,排除此前TikTok在三個國家的四項處罰之外,其他已經進入GDPR執法范圍的案件都在2025年剛剛啟動。除TikTok外,SHEIN、華大基因、字節、騰訊、TEMU、速賣通、小米等多家中國企業亦已進入歐盟各成員國監管機構的調查視野,其中法國對SHEIN的調查已接近尾聲,預計將給出1.5億歐元左右的高額罰單。調查覆蓋的法域涵蓋芬蘭、意大利、希臘、荷蘭、奧地利、比利時等多個國家,呈現出廣覆蓋、多點施壓的態勢,部分調查由noyb等民間組織發起,也說明民間合規訴訟機制在推動執法介入中的重要作用。
站在中國出海合規視角,如何來理解和消費這些處罰數據?有幾種方法,比如借鑒住要廠商GAFAM的整改思路,或者直接看中國企業被罰的直接證據。但是,目前很多案件都懸而未決,相關列表也在快速擴充,監管機關在未來五年是否會針對同一問題處罰不同公司也并不好說(目前尚未出現)。不過當下可以明確的是,與前述金字塔正好相反,中國企業合規無論行業還是部門,均需將數據出境問題視為第一要務,合規直接進入困難模式。目前既有的處罰和調查,絕大多數都是關于數據跨境,包括TiKTok5.3億歐元處罰,以及目前noyb針對六家互聯網企業的策略投訴,包括華大基因在芬蘭的調查等。
整體來看,涉中企業正逐步進入GDPR執法的焦點區,處罰趨勢從個案擴散至體系性風險識別階段,未來是否會出現連鎖式執法或典型案例定向打擊,值得持續關注。這對中國平臺出海戰略而言,不僅是合規問題,更是全球治理結構變化下的技術政治問題。
此次全景分析只是一個起點,鑒于公開數據庫的有限性,科技利維坦將在未來按月展開貼合場景和部門的深入動態分析,期待來年的全景分析會更有洞見。2026年5月見!
下載本文數據可在公眾號“科技利維坦”中輸入GDPR7(即GDPR生效七周年,注意拼寫,不是“GPDR”“GDPRD”、“7GDPR”)