GDPR的七年之癢：2024-2025GDPR處罰與執法資料全景分析

寫紀念時點的文章不禁仍會感嘆一聲時光荏苒，寫《GDPR五年記》時已然是兩年前的事。GDPR如今來到第七個年頭，已展現出完全不同的面貌和生態。

本文嘗試基於過去一年的執法、司法、上訴以及調查資料，儘可能拼湊出一個完整的全景概覽，分析的時間跨度為2024年5月至2025年5月。本文主要資料來源於CMS資料庫，但由於其原始標註在分類、補充資訊和行業識別等方面存在較大侷限，本文對其進行了必要的二次加工，及必要的清洗與補全。

需要說明的是，本文只關注GDPR的處罰動態，在歐盟法域之外尚有不少值得關注的發展（例如韓國）不在本文討論範圍。另外，除了GDPR，出海企業當然還需關注DSA、DMA、AIA等新進法律的執法情況，但不在此次考量範圍之內。

一、整體走勢

自GDPR生效以來，累計處罰金額呈持續上升趨勢，但增幅節奏存在明顯階段性。2021年下半年首次出現大幅躍升後，2023年中再次出現陡峭上漲。圖中以黃色陰影標示的2024–2025年區間內，增長趨勢更為密集和穩定，罰款總額從約50億歐元持續攀升至接近60億歐元，新增金額超過10億歐元。這一階段的增長曲線沒有明顯的間斷，說明在不到一年半的時間內，處罰頻率與處罰力度均保持較高水平。

與前期相比，這一階段罰款增長較為線性，反映出監管活動正趨於常態化、高頻化，且不再依賴個別天價罰單拉動總額，而是由多箇中高額案件疊加推動。截至2025年3月（CMS的cut-off時點），GDPR處罰總額已突破56.5億歐元，處罰案例達2,245起。GDPR執法在第七年後已進入制度成熟期，處罰機制更加持續、密集與系統化。

從累計處罰數額和次數來看，，左圖顯示處罰金額在年中（2024年7月和9月）和年末（2024年11月、2025年5月）出現幾次明顯的跳升，分別對應Meta和Uber等幾筆高額罰單，使得累計金額整體呈階梯式上揚。尤其是2025年5月，因TikTok資料跨境處罰落地，單月罰款再次顯著抬升，使總額突破16億歐元，成為本階段增長的關鍵節點。右圖所示的處罰次數增長更加平穩，整體分佈均勻，累計處罰數從2024年6月的40起左右上升至接近200起。多數月份的新增處罰次數保持在10至20起之間，且在2025年3月以後明顯趨緩。有一點需要說明，雖然在整體趨勢上，本分析補足了資料，但2025年5月尚未結束，因此5月份資料可能存在不全的情況，讀者需留意。

比例關係上看，儘管處罰次數在2025年初後趨於穩定，罰款金額仍能保持上升，說明執法機關在案件遴選和金額裁量方面正向更高的處罰區間集中。整體趨勢反映出2024–2025年期間GDPR執法已進入“高強度少量化”的成熟階段，不僅在頻率上保持活躍，也在經濟懲戒層面持續放大訊號效應。

二、與去年相比有哪些變化？

來看下同比資料。2024–2025年度幾乎每個月的罰金總額都顯著高於前一年同期，尤其是在2024年9月、10月以及2025年5月，單月處罰金額差距尤為突出。9月罰款金額接近5000萬歐元，同期2023年不足500萬歐元；2025年5月的處罰金額達到6000萬歐元以上，是該階段的峰值。儘管部分月份的處罰數量並未顯著上升，但單案金額提升明顯，監管機構在裁量罰金時整體尺度有所抬高。

圖表右側則呈現了處罰次數上的同比變化。2023–2024年度的處罰次數波動較大，整體明顯高於同期的2024–2025年。2023年6月的處罰次數為61起，而2024年同期僅為35起；此後除個別月份外，2024–2025年每月的處罰數量基本維持在20起左右，並在2025年4月與5月降至個位數（受資料分析範圍影響）。

如此來看，過去一年的監管似乎趨向於透過更少的處罰次數實現更大的懲戒效果。這種“少量、高額、標誌性”的執法策略，不再以數量推動執行效果，而是依靠有代表性的高額案件釋放執法訊號，執法邏輯由廣覆蓋逐漸向重點突破過渡。

三、2024-2025年度排名前十的處罰

觀察過去一年最高的處罰，可以發現數據跨境仍然為最大熱點，與此同時在廣告、人臉識別等高風險場景下的同意有效性和其他合規維度仍然處於糾結狀態，此外明顯的一大變化是新型AI廠商的出現，包括OpenAI在義大利的處罰（可以追溯到2023年3月）以及最近出現的Replika等特定AI場景應用的違規議題，值得關注。

從罰金數額上來看，TikTok以5.3億歐元的罰款金額高居榜首，成為本年度乃至GDPR歷史上最重的幾起罰單之一（目前排名第三），處罰來自愛爾蘭DPA，聚焦於短影片產品中的資料出境與兒童資料保護問題。緊隨其後的是LinkedIn（3.1億歐元）與Uber（2.9億歐元），分別涉及社交平臺和出行配送場景，顯示出平臺型企業在資料使用鏈條中更易觸發高強度問責。前五名罰單中有四起來自愛爾蘭，反映出愛爾蘭作為主要跨國科技公司歐盟總部所在地，其資料保護委員會DPC在大型案件中仍佔據核心執法地位。值得注意的是，這十起重大處罰均未透過EDPB爭議解決機制，說明儘管案件金額高、影響範圍廣，程式路徑上仍屬主導DPA單邊作出決定。行業分佈來看，社交平臺（Meta、LinkedIn、TikTok）佔據半數席位，此外還涵蓋AI（Clearview AI、OpenAI）、電商（Amazon France Logistique）、網路安全（Avast）及能源（Enel）等多元領域。高額罰款已不僅限於社交或廣告領域，而正逐步擴充套件至涉及演算法、基礎設施及關鍵行業的資料處理行為。

四、行業分佈（資料很糙，簡單看看）

原本還計劃基於CMS資料呈現一些行業洞察，仔細看過資料後發現不可行。CMS的行業部門細分也過於粗糙，基本上TMT領域涵蓋絕大部分資料，不具備分析空間。如果不對資料進行深度挖掘，也很難看出行業特徵。舉例而言，排名前十的處罰中雖然出現了電商平臺Amazon，但仔細觀察違規場景發現與電商本身非常不相關。Amazon近年來在人臉識別與員工監控上受到高度審查也反映出這家科技公司的複雜性（不僅僅是一家電商平臺），也很難代表電商平臺。因此，短期內無法透過資料收集形成具有解釋力的分析和行業洞見，如上文所述，這一不足將會在後續持續研究中不足。本文的分析僅以CMS提供的粗資料作為基礎，作為初步觀察。

不同行業在GDPR處罰中的總罰金與案件數量差異顯著。其中，“媒體、通訊與平臺類”行業的處罰總金額遠高於其他領域，罰金總額超過1250萬歐元，呈現出壓倒性優勢。這一資料基本由頭部平臺企業（如Meta、TikTok、LinkedIn等）構成，因資料處理量大、跨境傳輸頻繁以及涉及演算法推薦、廣告定向等複雜使用場景，成為GDPR執法的重點物件。排名其後的分別是“就業”“電商”和“交通能源”行業，雖總額遠低於前者，維持在200萬歐元上下的罰金水平。值得注意的是，“住宿與酒店業”在處罰總金額上也排名靠前，顯示出旅遊相關行業在客戶資料保護上的系統性薄弱。與此同時，金融保險、諮詢、公共部門、教育、醫療、房地產等行業的處罰金額和數量均偏低，大機率是這些領域並未進入監管優先序列。

五、不同國家監管機關的特點與活躍度

如上所述，CMS所提供的國別資料為聚合資料，抽離2024-2025年度資料來不及做，但在這個議題上聚合資料可能價值更高，可以反映不同監管機關在過去若干年內的偏好、關注點以及工具選擇，對出海企業開國策略上可以提供參考。

西班牙在GDPR執法中以壓倒性數量位居首位，累計處罰次數接近1000起，遠遠超過排名第二的義大利（約400起）和第三的羅馬尼亞（約200起）。西班牙資料保護局AEPD一直以“高頻小額”的執法風格著稱，日常監管節奏快，覆蓋面廣，罰單數量雖多，但多數金額較低，重在督促合規基礎建設。相比之下，義大利和羅馬尼亞雖處罰數量不及西班牙，也保持相對穩定的執法頻率，尤其在公共機構、地方企業和醫療系統中的處罰記錄較多，反映出其監管部門對中小型資料控制者的持續關注。德國、法國和挪威等傳統上在資料保護政策和法規推動中扮演重要角色的國家，處罰數量反而相對較少。

再加入罰金數量的維度來看看分佈，上圖分別展示了平均罰款金額（左圖）和累計罰款總額（右圖）。無論從哪一項指標看，愛爾蘭都穩居首位，平均罰金和累計金額均遠超其他國家，得益於其作為多家跨國科技企業（如Meta、TikTok、Google）的歐洲總部所在地，在“一站式機制”下承擔了大量跨境案件的主導角色，另一方面也反映出其集中處理了多個金額極高的系統性案件。

平均罰金排名中，荷蘭、英國、葡萄牙、瑞典緊隨其後。這些國家雖處罰次數有限，但每起案件金額較高，說明其執法策略傾向於選擇重點案件，圍繞高風險場景展開精準處罰。相比之下，德國、波蘭、丹麥等國則處於罰款金額與數量之間的中段區，反映出執法結構更為平衡。

法國雖在平均罰金排名中不靠前，但在累計罰金上位列第二，說明其處罰數量與金額均具規模，兼具廣度與強度。這種“重數量又重金額”的組合，也反映出其監管機構CNIL在平臺治理和使用者權利議題上始終保持高頻率的主動性。部分小國（如愛沙尼亞、列支敦斯登、斯洛伐克）雖位列統計榜末，但也說明GDPR在歐盟境內並未真正形成執行上的“絕對統一”，不同國家在監管能力、資源投入、案件選擇標準上的差距，仍構成合規實踐中不可忽視的制度變數。

六、主要被罰違規項（聚合資料）

不得不說CMS在違規型別上的設定過於粗糙，以至於資料難以真正展現違規重災以及執法重點中的細微之處。處罰型別來看，GDPR執法最常針對的違法行為集中於三個核心領域：一是第6條合法性基礎的問題，二是違反一般處理原則，通常涉及到資料生命週期管理的機制建設，三是缺乏充分的技術與組織安全措施，多由資料洩露事件觸發。這三類違規不僅出現頻率高，且平均罰金和累計罰金額度也均居前列。此外，透明度問題（隱私政策）以及監管機關配合問詢相關違規處罰數量雖少，平均罰金偏高，表明一旦企業在程式互動中表現為逃避或對抗，往往被認定為加重情節。而其他型別，如資料洩露通知延遲、DPO職責履行不到位等，目前仍屬低頻違規，平均罰款額度亦有限。

六、中國企業被罰情況

GDPR合規已成為中國企業進入歐洲市場的基本門檻，應被視為戰略投資而非成本負擔。隨著中國企業在歐洲市場份額增長，可能面臨與美國科技巨頭類似的監管審查，應提前做好準備。特別是在AI領域，中國企業需要在技術創新與資料保護合規之間找到平衡點。

與美國科技巨頭相比，中國科技企業在歐盟的GDPR執法中尚未成為主要目標，但隨著中國企業在歐洲市場份額的增長，這種情況正在發生改變。從2025年初的三大事件可以看出——noyb開始策略性關注中國企業合規，TikTok的第二個靴子落地，還有DeepSeek受到類似於Clearview AI的多頭監管——此前我都有撰文分析（見下）。

需要明確的是：針對中國企業的處罰和執法剛剛開始，排除此前TikTok在三個國家的四項處罰之外，其他已經進入GDPR執法範圍的案件都在2025年剛剛啟動。除TikTok外，SHEIN、華大基因、位元組、騰訊、TEMU、速賣通、小米等多家中國企業亦已進入歐盟各成員國監管機構的調查視野，其中法國對SHEIN的調查已接近尾聲，預計將給出1.5億歐元左右的高額罰單。調查覆蓋的法域涵蓋芬蘭、義大利、希臘、荷蘭、奧地利、比利時等多個國家，呈現出廣覆蓋、多點施壓的態勢，部分調查由noyb等民間組織發起，也說明民間合規訴訟機制在推動執法介入中的重要作用。

站在中國出海合規視角，如何來理解和消費這些處罰資料？有幾種方法，比如借鑑住要廠商GAFAM的整改思路，或者直接看中國企業被罰的直接證據。但是，目前很多案件都懸而未決，相關列表也在快速擴充，監管機關在未來五年是否會針對同一問題處罰不同公司也並不好說（目前尚未出現）。不過當下可以明確的是，與前述金字塔正好相反，中國企業合規無論行業還是部門，均需將資料出境問題視為第一要務，合規直接進入困難模式。目前既有的處罰和調查，絕大多數都是關於資料跨境，包括TiKTok5.3億歐元處罰，以及目前noyb針對六家網際網路企業的策略投訴，包括華大基因在芬蘭的調查等。