GDPR罚款与处罚:完整指南(2026年)

GDPR第83条规定了两级处罚标准:对于组织性违规行为,最高可处以1000万欧元或全球年营业额2%的罚款(以较高者为准);对于违反核心处理原则、数据主体权利或数据跨境传输要求的行为,最高可处以2000万欧元或全球年营业额4%的罚款(以较高者为准)。
GDPR赋予欧洲各国数据保护机构对违反其规定的组织实施高额行政罚款的权力。自该法规于2018年5月25日生效以来,欧盟各监管机构已开出超过2800笔罚款,总额超过71亿欧元。
本指南详细介绍了处罚结构、欧洲数据保护委员会(EDPB)计算罚款的方法、具有里程碑意义的Deutsche Wohnen案关于企业责任的裁决、迄今为止最大的几笔罚款及其最新状态,以及罚款之外的其他后果,包括依据第82条提起的民事赔偿请求。有关该法规本身的概述,请参阅我们的什么是GDPR指南。
本文仅供参考,不构成法律意见。如需针对您的具体情况提供指导,请咨询具备资质的数据保护律师或隐私专业人士。
快速解答:GDPR的处罚标准是什么?
GDPR的处罚依据第83条分为两个等级。
对于更为严重的违规行为(违反核心处理原则、数据主体权利、同意规则以及国际数据传输要求),最高处罚为2000万欧元或该组织全球年营业额的4%,以较高者为准。
对于组织性和程序性违规行为(未能保存记录、未按要求任命数据保护官、违规通知不充分),最高处罚为1000万欧元或全球年营业额的2%,以较高者为准。
对于大型跨国公司而言,按比例计算的上限远远高于固定的欧元金额。一家年营业额达300亿欧元的公司,在4%这一档下最高可能面临12亿欧元的处罚上限,这恰好正是2023年对Meta所处罚款的金额。
除罚款之外,监管机构还可以禁止数据处理、责令删除数据、下达合规整改令,并暂停国际数据传输。个人还可以依据第82条直接向控制者和处理者主张因物质及非物质损害而产生的赔偿。

第83条项下的两级行政罚款结构
GDPR第83条确立了两级最高罚款框架。适用哪一级完全取决于所违反的具体条款。
较低等级:最高1000万欧元或全球营业额的2%
较低等级适用于违反第8条、第11条、第25条至第39条、第42条及第43条中规定的控制者与处理者义务的行为。这些主要是组织性和程序性要求,包括:
- 未能保存处理活动记录(第30条)
- 未按要求开展数据保护影响评估(第35条)
- 在需要时未任命数据保护官(第37条)
- 数据泄露通知程序存在缺陷(第33条)
- 认证机构和监督机构未履行相应职责
这些违规行为固然严重,但相较于违反规范个人数据使用方式的基本原则的行为,其严重程度被认为较低。
较高等级:最高2000万欧元或全球营业额的4%
较高等级适用于违反构成GDPR数据保护框架核心条款的行为,包括:
- 处理的基本原则及合法处理的条件(第5条、第6条、第7条、第9条)
- 数据主体权利:访问权、更正权、删除权、限制权、可携带权及反对权(第12条至第22条)
- 国际数据传输规则(第44条至第49条)
- 依据第九章制定的国内法条款
- 未遵守监管机构的具有约束力的命令
**罚款金额始终取相关等级下较高的数值。**对于全球年营业额达100亿欧元的公司而言,4%将产生4亿欧元的上限,是2000万欧元固定上限的二十倍。
过错要件:Deutsche Wohnen案的裁决
在GDPR执法早期,一个重要争议是:罚款是否可以基于严格责任标准对公司实施,还是仅限于故意或过失的违规行为。
欧洲法院在2023年12月5日审理的**C-807/21号案件(Deutsche Wohnen案)**中的判决对此作出了解答。该案源于柏林数据保护机构对一家不动产公司处以的1450万欧元罚款,原因是该公司在不再需要租户数据后仍继续保留这些数据。
欧洲法院作出了三项重要裁决。
第一,适用过错要件:只有在违规行为系故意或过失所致时,才可以对其处以GDPR行政罚款。严格责任与第83条不相容。这终结了此前一种论点,即公司可能因其无合理手段识别或防止的违规行为而受到处罚。
第二,无需确定具体自然人:监管机构在对法人实体处以罚款之前,无需将违规行为归责于组织内某个被明确认定身份的自然人。公司可以直接基于其机关、员工或代理人的行为而受到处罚,无需另行对某个被指名的个人作出认定。
第三,公司作为'企业'受到处罚:在计算罚款上限时,控制者按照竞争法意义上的'企业'加以对待。这意味着上限的计算基础是整个经济单元的全球营业额,而不仅仅是作为直接控制者的子公司或实体本身。母公司的营业额也被计入在内。
该裁决在实践中具有重要意义,因为它既影响监管机构调查罚款案件的方式,也影响公司为自身抗辩的方式。证明某项违规行为并非出于过失(通过留有文件记录的合理合规努力予以证明)现已成为一种可行的抗辩理由。

GDPR罚款如何计算:欧洲数据保护委员会《04/2022号指南》
欧洲数据保护委员会《关于计算行政罚款的04/2022号指南》确立了欧盟各成员国监管机构均须遵循的五步方法。该指南于2023年6月经公开征询意见后最终定稿。
该方法并非一套自动化公式。在各步骤范围内,罚款金额的确定仍属于监管机构自由裁量的事项,但该框架有助于在各法域之间实现一致性。
第一步:识别处理活动及适用条款
监管机构首先识别涉及哪些处理活动,以及违反了GDPR的哪些条款。当同一组处理活动引发多项违规行为时,适用第83(3)条:对最严重的违规行为处以单一罚款,而非对每项违规行为分别处罚。这可以防止针对实质上同一行为过程而人为地重复叠加处罚。
第二步:确定起始金额
起始金额取决于三个变量。
违规行为的性质:适用第83条中的哪一等级?所违反的条款是否关乎数据主体的基本权利,还是仅属于组织性程序?
严重程度:违规行为在具体层面上有多严重,包括受影响数据主体的数量、所涉数据的敏感程度(如健康或生物特征等特殊类别数据将被更严肃地对待)、所造成的经济或其他损害,以及地理范围。
持续时间:违规行为持续了多长时间?在数日内被发现并整改的违规行为,与持续多年的违规行为,处理方式有所不同。
起始金额还会根据企业的营业额加以调整。对中小企业而言具有威慑力的罚款,对跨国公司而言可能微不足道,因此绝对金额会随组织规模而相应调整。
第三步:评估加重和减轻情节
第83(2)条列出了监管机构必须权衡的具体因素。这些因素会使计算出的金额上下浮动:
| 因素 | 加重情节 | 减轻情节 |
|---|---|---|
| 故意程度 | 蓄意违规 | 过失疏忽 |
| 补救措施 | 未采取任何措施 | 及时、有效地补救 |
| 既往行为 | 此前存在GDPR违规记录 | 执法记录清白 |
| 配合程度 | 阻碍调查 | 全面、主动配合 |
| 数据类别 | 特殊类别数据或儿童数据 | 非敏感的一般数据 |
| 自我披露 | 由监管机构发现问题 | 组织主动上报 |
| 认证情况 | 未遵循任何行为准则 | 遵循经批准的行为准则或认证 |
| 损害后果 | 对数据主体造成重大损害 | 几乎或完全没有实际损害 |
配合程度是实践中最具影响力的因素之一。相较于拖延或阻挠的组织,那些以透明方式积极配合、迅速实施补救并充分回应信息请求的组织,所受罚款持续更低。
第四步:适用法定上限
计算出的金额需与相关等级适用的上限进行核对。无论情节多么严重,罚款都不得超过该上限。
第五步:评估有效性、比例性及威慑力
依据第83(1)条,最终确定的金额必须满足三项要求:有效(能够确保合规)、适度(相对于违规行为及组织自身情况而言不过度)、具有威慑力(能够遏制未来的违规行为)。如果金额未能同时满足这三项要求,监管机构可对其进行调整。
2026年3月对亚马逊罚款的撤销案例,正说明了这一步骤的重要性:卢森堡法院认定卢森堡国家数据保护委员会(CNPD)跳过了比例性分析,仅此一点便足以使该罚款被完全撤销。
第83(2)条:完整的考量因素清单
第83(2)条列出了监管机构必须考量的十一项因素。这些因素与组织可以留存的证明文件直接对应:
- 违规行为的性质、严重程度及持续时间
- 违规行为是否出于故意或过失
- 为减轻损害而采取的行动
- 责任程度,需考虑第25条及第32条规定的技术与组织措施
- 控制者或处理者此前的相关违规记录
- 与监管机构的配合程度
- 受影响个人数据的类别
- 监管机构获知违规行为的方式(主动上报还是通过投诉发现)
- 是否曾根据第58(2)条对同一控制者下达过整改措施
- 是否遵循经批准的行为准则(第40条)或认证机制(第42条)
- 其他任何适用的加重或减轻因素

迄今为止最大的GDPR罚款及其最新状态
下表列出了迄今为止开出的十笔最大GDPR罚款。上诉状态截至2026年5月核实有效。
| 排名 | 公司 | 罚款金额 | 监管机构 | 年份 | 违规行为 | 状态 |
|---|---|---|---|---|---|---|
| 1 | Meta(Facebook) | 12亿欧元 | 爱尔兰数据保护委员会 | 2023年 | 未采取充分保障措施的欧美数据传输 | 罚款维持有效;上诉正在欧盟普通法院审理中 |
| 2 | Amazon | 7.46亿欧元 | 卢森堡国家数据保护委员会 | 2021年 | 行为定向广告缺乏有效法律依据 | 2026年3月已被撤销;案件已发回卢森堡国家数据保护委员会重新处理 |
| 3 | TikTok | 5.3亿欧元 | 爱尔兰数据保护委员会 | 2025年 | 将欧洲经济区用户数据传输至中国 | 罚款已生效;正在爱尔兰高等法院上诉;数据传输中止令已被暂缓执行 |
| 4 | Meta(Instagram) | 4.05亿欧元 | 爱尔兰数据保护委员会 | 2022年 | 处理儿童数据未采取充分保护措施 | 已成为最终决定 |
| 5 | Meta(Facebook/Instagram) | 3.9亿欧元 | 爱尔兰数据保护委员会 | 2023年 | 行为定向广告缺乏有效法律依据 | 已成为最终决定 |
| 6 | TikTok | 3.45亿欧元 | 爱尔兰数据保护委员会 | 2023年 | 儿童数据及默认隐私设置问题 | 已成为最终决定 |
| 7 | 3.1亿欧元 | 爱尔兰数据保护委员会 | 2024年 | 行为定向广告的同意及法律依据无效 | 已向爱尔兰高等法院提起上诉 | |
| 8 | Uber | 2.9亿欧元 | 荷兰数据保护局 | 2024年 | 未采取保障措施将欧盟司机数据传输至美国 | 已提起上诉;程序可能耗时长达四年 |
| 9 | Meta(Facebook) | 2.65亿欧元 | 爱尔兰数据保护委员会 | 2022年 | 安全漏洞导致5.33亿条记录被抓取 | 已成为最终决定 |
| 10 | Meta(Facebook) | 2.51亿欧元 | 爱尔兰数据保护委员会 | 2024年 | 影响2900万个全球账户的安全漏洞 | 已成为最终决定 |
重点案例说明
**Meta,12亿欧元(2023年5月)。**爱尔兰数据保护委员会依据欧洲数据保护委员会的一项具有约束力的决定开出了这一创纪录的罚款。Meta依据标准合同条款将欧盟Facebook用户数据传输至美国,但欧洲数据保护委员会认定,鉴于美国的监控法律,标准合同条款无法充分保护欧盟数据。Meta已向欧盟普通法院提起上诉;该上诉在2026年初欧洲法院作出程序性裁决后正式得以推进,目前仍在审理中。Meta此后已采用欧美数据隐私框架作为其数据传输机制,但这并不能追溯性地弥补历史违规行为。
**Amazon,7.46亿欧元(2021年,2026年3月被撤销)。**卢森堡国家数据保护委员会曾就Amazon以'合法利益'作为行为定向广告法律依据一事处以此项罚款。2026年3月12日,卢森堡行政法院撤销了该罚款。法院认定,卢森堡国家数据保护委员会未能按照Deutsche Wohnen案的要求进行过错分析,也未能恰当评估比例原则,具体而言即是否存在更轻微的替代措施。法院认可了Amazon所依据的法律基础无效这一实质性结论。案件已发回卢森堡国家数据保护委员会重新处理。Amazon在经过符合要求的重新评估后,仍可能面临新的罚款。
TikTok,5.3亿欧元(2025年5月2日)。爱尔兰数据保护委员会对TikTok处以罚款,其中4500万欧元是因未告知欧洲经济区用户其数据可能被中国方面访问(违反第13条),另外4.85亿欧元是因在未依据第46条采取有效保障措施的情况下,将欧洲经济区用户数据传输至中国。爱尔兰数据保护委员会还责令TikTok在六个月内停止相关数据传输。TikTok已于2025年5月向爱尔兰高等法院提起上诉。2025年11月,法院暂缓执行了数据传输中止令,这意味着在诉讼程序进行期间,TikTok无需停止向中国的数据传输。而5.3亿欧元的罚款本身并未被暂缓执行。
**LinkedIn,3.1亿欧元(2024年10月)。**爱尔兰数据保护委员会认定,LinkedIn在行为分析及广告投放中依赖无效的同意、不合法的利益以及不合法的合同必要性作为法律依据。LinkedIn已向高等法院提起上诉,主张该罚款不成比例。该上诉仍在审理中。
Uber,2.9亿欧元(2024年8月)。荷兰数据保护局对Uber处以罚款,原因是Uber在长达两年多的时间里,在未采取任何传输机制的情况下,将欧盟司机数据(包括犯罪记录、医疗数据及位置信息)传输至Uber设在美国的总部。Uber已提起上诉,相关程序可能耗时长达四年。
为何爱尔兰在最大罚款榜单中占据主导地位
十大罚款中有六笔由爱尔兰数据保护委员会开出。GDPR的一站式机制将主要监管职责分配给公司在欧盟设有主要机构所在成员国的监管机构。Meta、Google、Apple、TikTok、LinkedIn及Microsoft均选择将都柏林作为其总部所在地,这使得爱尔兰数据保护委员会成为它们的主要监管机构。自2022年起,在欧洲数据保护委员会及其他欧盟监管机构持续施压(这些机构认为大型科技平台一直未受到充分执法)之后,爱尔兰数据保护委员会的执法步伐明显加快。

罚款之外的其他后果
行政罚款是最引人注目的GDPR执法手段,但监管机构依据第58(2)条还拥有一整套广泛的纠正性权力工具,个人也依据第82条享有独立的民事赔偿权利。
第58(2)条项下的纠正性权力
监管机构可以单独或在罚款之外,另行下达以下任一措施:
- 警告与训诫:适用于较轻微的违规行为或初次违规者
- 责令整改:要求控制者或处理者在规定期限内使处理活动符合规定
- 暂时或永久性处理禁令:禁止特定的处理活动
- 责令删除数据:要求删除违反GDPR规定收集的个人数据
- 暂停数据传输:禁止向第三国传输个人数据
- 责令通知数据主体:在控制者未履行通知义务的情况下,要求其通知相关个人
对于业务依赖相关活动的公司而言,处理禁令和传输中止令可能是生死攸关的。TikTok之所以获得法院对爱尔兰数据保护委员会传输中止令的暂缓执行,正是因为停止向中国传输数据被认为在运营层面比5.3亿欧元的罚款造成的损害更大。该命令本身不涉及金钱,真正推动诉讼的是其带来的运营层面后果。
第82条项下的民事赔偿
第82条赋予因GDPR违规行为而遭受物质或非物质损害的任何人向负有责任的控制者或处理者寻求赔偿的权利。控制者和任何相关处理者均须承担连带责任;处理者只有在证明自身没有过错的情况下,才能免除责任。
欧洲法院在2023年5月审理的**C-300/21号案件(Österreichische Post案)**中的判决,进一步明确了第82条的适用范围。由此确立了三项原则。
必须同时满足三个条件:存在GDPR违规行为、遭受实际损害,以及违规行为与损害之间存在因果关系。仅存在违规行为而未能证明损害,并不足以使索赔人获得赔偿。
非物质损害不设最低严重程度门槛:第82条并不要求情绪困扰或焦虑达到特定的严重程度才能获得赔偿资格。成员国不得自行设定严重程度门槛。
赔偿金额由各国国内法确定,但须遵循欧盟对等原则和有效性原则。各成员国之间的判赔金额差异较大。
在实践中,第82条项下的索赔可与监管执法行动同时提起,也可通过代表性诉讼程序或单独的民事诉讼提出。监管罚款与民事赔偿请求可以针对同一GDPR违规行为同时进行,形成双轨责任。
执法趋势:2024年至2026年
2025年统计数据与欧洲数据保护委员会年度报告
欧洲数据保护委员会于2026年4月发布了其2025年年度报告。各国数据保护机构在2025年期间合计开出了11.5亿欧元的罚款,其中绝大部分源于爱尔兰数据保护委员会对TikTok作出的决定。自2018年5月以来的累计罚款总额已超过71亿欧元,涉及2800多起处罚案件。
欧洲数据保护委员会2025年的协调执法框架(CEF)行动重点关注第17条项下的删除权。三十二个监管机构参与其中,对欧洲各地从中小企业到大型企业及公共机构在内的764家控制者进行了审查。
2026年协调执法行动聚焦于第13条和第14条项下的透明度与信息义务,审查各组织是否向数据主体提供了清晰、完整且易于理解的隐私声明。使用通用或不完整隐私政策的组织在2026年将面临更严格的审查。
执法重点领域
从2024年到2026年,执法呈现出若干特点。
**国际数据传输仍是风险最高的领域。**价值排名前三位的罚款均涉及向不具备充分性认定的国家传输欧盟个人数据的行为。2023年7月通过的欧美数据隐私框架为已认证的公司提供了合法的传输机制,但其有效性在欧盟法院中仍存在争议。对于向中国及其他国家的传输,目前并不存在任何充分性认定,审查也异常严格。
行为定向广告与无效的法律依据。'合法利益'和'合同必要性'无法为行为分析及定向广告提供支持,这一认定已经导致Meta、Amazon、LinkedIn等公司受到重大罚款。除非获得具体、有效的同意,否则依赖行为定向广告作为收入模式的公司将持续面临处罚风险。
**人工智能与数据处理。**欧洲数据保护委员会2025年4月发布的意见明确指出,大型语言模型很少能够实现符合GDPR要求的匿名化处理。部署处理个人数据的第三方人工智能工具的控制者,必须评估其法律依据,并在适用情况下记录合法利益评估。
**治理层面的失职,而不仅仅是事件结果。**执法重点已转向处罚结构性缺陷本身(例如缺乏加密、供应商管理薄弱、访问控制不足),无论是否实际发生了数据泄露事件。
GDPR综合改革方案第四批(Omnibus IV):拟议改革
2025年11月,欧盟委员会发布了综合改革方案第四批(Omnibus IV),提出了旨在减轻行政负担的针对性修正案。主要提案包括:将第30条项下的记录保存豁免范围从250人以下的组织扩大至750人以下的组织,并将适用于中小企业的特定条款扩展至'小型中型市值企业'。
欧洲数据保护委员会及欧洲数据保护监督员对部分内容表示欢迎,同时要求作出进一步澄清。该方案预计最早也要到2026年底才有可能正式通过。第83条项下的罚款结构不受当前提案的影响。
如何降低GDPR罚款风险
监管机构在计算罚款时会权衡合规状况、配合程度及补救措施。以下步骤既有助于防止违规行为,也有助于在发生违规时降低处罚力度。
记录一切
GDPR的问责原则(第5(2)条)要求组织证明其合规性,而不仅仅是实现合规。应保存处理活动记录、已完成的数据保护影响评估、法律依据评估、员工培训记录、载有第28条相关条款的供应商合同,以及最新的隐私政策。文件记录是善意的证明,同时也直接构成一项减轻情节。
立即应对事件
一旦发生数据泄露或合规失误,速度至关重要。72小时数据泄露通知期限是一项法定义务,但快速响应本身也是一项减轻情节。及时补救、迅速通知监管机构以及透明沟通,均对组织有利。有关完整的报告流程,请参阅我们关于GDPR 72小时数据泄露通知规则的指南。
配合监管机构的调查
相较于每一步都拖延或诉诸法律程序的组织,那些及时回应信息请求、允许现场检查并落实建议整改措施的组织,所受罚款持续更低。第83(2)(f)条明确将全面配合列为一项减轻情节。
审查国际数据传输情况
鉴于三笔最大的GDPR罚款均涉及跨境传输问题,梳理每一条对外数据流并核实其传输机制的有效性,是一项高优先级的合规任务。对于向不具备充分性认定的国家进行的传输,标准合同条款必须辅以传输影响评估。
核实广告与分析活动的法律依据
Meta、Amazon、LinkedIn等公司因行为定向广告缺乏有效法律依据而遭受的一系列罚款表明,'合法利益'并非用户画像和定向广告的安全港条款。依赖该依据开展分析或广告活动的组织,应让熟悉GDPR执法实践的法律顾问对其评估进行审查。
加强员工培训并践行隐私设计理念
许多违规行为源于员工失误,或源于在产品设计之初未遵循数据最小化原则。定期、留有记录的培训,以及对新产品和新功能进行隐私设计审查,既能降低违规发生的可能性,也能降低根据Deutsche Wohnen案原则可能构成加重情节的过失认定。
使用GDPR合规检查清单
我们的GDPR合规检查清单以结构化的方式涵盖了所有关键义务。拥有留有文件记录的合规计划的组织,更有能力向监管机构证明其所要求的问责能力。
更多GDPR指南
- 什么是GDPR:全面了解该法规及其适用范围
- GDPR合规检查清单:面向组织的分步合规指南
- GDPR数据主体权利:了解全部八项个人权利及应对方式
- GDPR同意要求:了解第7条下何为有效同意
- GDPR 72小时数据泄露通知规则:了解数据泄露报告义务及时限
- 中小企业的GDPR合规指南:面向中小企业的专门合规指导
- 欧盟数据隐私法:了解欧盟数据保护框架全貌
Frequently Asked Questions
GDPR的最高罚款金额是多少?
GDPR的最高罚款为2000万欧元或该组织上一财政年度全球总营业额的4%,以较高者为准。这一较高等级的处罚适用于违反核心处理原则、数据主体权利、同意规则及国际传输要求(依据第83(5)条)的行为。对于较低等级的违规行为,例如未保存记录或未任命数据保护官,最高罚款为1000万欧元或全球营业额的2%。
迄今为止开出的最大一笔GDPR罚款是多少?
迄今为止已确认的最大GDPR罚款为12亿欧元,由爱尔兰数据保护委员会于2023年5月对Meta Platforms Ireland Limited开出,原因是其在未采取充分保障措施的情况下将欧盟Facebook用户数据传输至美国。该罚款源于欧洲数据保护委员会的一项具有约束力的决定。Meta已向欧盟普通法院提起上诉,截至2026年该上诉仍在审理中。此前排名第二的亚马逊7.46亿欧元罚款已于2026年3月被卢森堡法院撤销并发回监管机构重新评估,亚马逊仍可能面临新的罚款。
公司在没有任何违规意图的情况下,是否会被处以GDPR罚款?
不会。欧洲法院在2023年12月Deutsche Wohnen案(C-807/21)判决中确认,GDPR罚款的适用要求违规行为系出于故意或过失。严格责任与第83条不相容。但是,过失的认定门槛较低:未采取合理的合规措施通常即可满足这一要求。真诚地、留有记录地努力实现合规但仍出现失误的组织,可以就减轻罚款提出可行的抗辩理由。
GDPR罚款是如何计算的?
监管机构遵循欧洲数据保护委员会《04/2022号指南》,该指南确立了五个步骤:识别违规行为并评估第83(3)条关于多重违规的规定;根据违规的性质、严重程度、持续时间及组织的营业额确定起始金额;评估加重和减轻因素,包括故意程度、配合程度、既往违规记录、数据类别及补救措施;适用相关等级的法定上限;并评估最终金额是否有效、适度且具有威慑力。
GDPR罚款是否适用于欧盟以外的公司?
适用。GDPR适用于全球任何处理欧盟境内个人数据的组织,罚款对非欧盟公司同样适用。TikTok(中资企业,经爱尔兰数据保护委员会处以5.3亿欧元罚款)、Amazon(美国企业,经卢森堡国家数据保护委员会处以7.46亿欧元罚款,现已在上诉中被撤销)以及Uber(美国企业,经荷兰数据保护局处以2.9亿欧元罚款),尽管总部均设在欧盟以外,仍均受到了重大罚款。
亚马逊7.46亿欧元的GDPR罚款结果如何?
亚马逊因在行为定向广告中使用无效法律依据,于2021年被卢森堡国家数据保护委员会处以7.46亿欧元罚款,该罚款已于2026年3月12日被卢森堡行政法院撤销。法院认定,卢森堡国家数据保护委员会未能分析亚马逊的行为是否出于故意或过失(这正是欧洲法院在Deutsche Wohnen案中确立的过错要件),也未考虑是否存在更轻微的替代措施。法院维持了亚马逊所依据的法律基础无效这一实质性结论。案件已发回卢森堡国家数据保护委员会重新分析,亚马逊仍可能面临新的罚款。
个人能否就GDPR违规行为提起诉讼?
可以。第82条赋予个人就GDPR违规行为造成的物质及非物质损害向控制者或处理者寻求赔偿的权利。欧洲法院在2023年5月的Österreichische Post案(C-300/21)中确认,此类索赔不设最低严重程度门槛:任何经证实的困扰均有资格获得赔偿。但索赔人必须证明存在实际违规行为、实际损害以及二者之间的因果关系。监管执法与民事索赔可同时进行。
哪个欧盟国家开出的GDPR罚款最多?
西班牙数据保护局(AEPD)开出的单笔罚款数量最多,自2018年以来已超过1000笔,大多是针对本国公司的较小额处罚。爱尔兰数据保护委员会则以累计罚款金额领先,总额超过40亿欧元,原因是包括Meta、TikTok、LinkedIn、Google及Apple在内的多家大型科技公司均将其欧洲总部设在都柏林,这使得爱尔兰数据保护委员会依据一站式机制成为它们的主要监管机构。
导致罚款的最常见GDPR违规行为有哪些?
最常导致罚款的违规行为包括:在没有第6条规定的有效法律依据的情况下处理数据;技术安全措施不足导致数据泄露;在未采取充分保障措施的情况下进行非法的国际数据传输;未能在法定期限内响应数据主体权利请求;以及隐私声明透明度不足。最大的几笔罚款主要集中在国际数据传输以及行为定向广告的无效法律依据问题上。
Sources and References
- GDPR全文,第82条及第83条(eur-lex.europa.eu).gov
- 欧洲数据保护委员会《04/2022号指南:行政罚款的计算》(2023年6月正式版)(edpb.europa.eu).gov
- 欧洲数据保护委员会:对Facebook处以12亿欧元罚款(具有约束力的决定,2023年5月)(edpb.europa.eu).gov
- 欧洲数据保护委员会:爱尔兰监管机构对TikTok处以5.3亿欧元罚款(2025年5月)(edpb.europa.eu).gov
- 爱尔兰数据保护委员会:对TikTok作出的5.3亿欧元决定(2025年5月)(dataprotection.ie).gov
- 荷兰数据保护局:对Uber处以2.9亿欧元罚款(2024年8月)(autoriteitpersoonsgegevens.nl).gov
- 爱尔兰数据保护委员会:对LinkedIn处以3.1亿欧元罚款(2024年10月)(dataprotection.ie).gov
- 欧洲法院:C-807/21号案(Deutsche Wohnen案)判决(2023年12月)(curia.europa.eu).gov
- 欧洲法院:C-300/21号案(Österreichische Post案)判决(2023年5月)(curia.europa.eu).gov
- 欧洲数据保护委员会2026年协调执法行动:关于透明度的联合执法(edpb.europa.eu).gov
- 欧盟委员会:执法与处罚说明(commission.europa.eu).gov
- 欧洲数据保护委员会及欧洲数据保护监督员关于GDPR综合改革方案第四批简化提案的意见(2025年)(edpb.europa.eu).gov
- GDPR执法追踪:实时罚款数据库(enforcementtracker.com)
- DLA Piper《2026年1月GDPR罚款及数据泄露调查报告》(dlapiper.com)