亚马逊7.46亿欧元GDPR罚款被撤销:程序瑕疵成关键
文/麻策律师
2021年7月15日,卢森堡国家数据保护委员会(CNPD)以违反GDPR多项条款为由,对亚马逊欧洲核心有限公司处以7.46亿欧元罚款,并附加每日74.6万欧元强制履行金,要求六个月内完成整改。该金额系当时GDPR史上第二高罚单,仅次于Meta于2023年因非法向美国传输用户数据被罚的12亿欧元。
违规核心指向亚马逊在线行为广告实践:CNPD认定其将“合法利益”作为处理用户个人数据、投放定向广告的法律依据,不符合GDPR第6条关于合法处理基础的规定;同时,其信息告知程序亦未满足GDPR相关条款要求。该案源于2018年5月法国公民自由组织La Quadrature du Net提出的投诉。
亚马逊于2021年10月29日提起行政司法审查申请。卢森堡行政法院(一审)于2025年3月18日裁定驳回,维持CNPD全部决定。亚马逊随即上诉。2026年1月8日上诉审庭审中出现关键转折:双方代理人一致确认,亚马逊已就涉案数据保护问题完成整改,CNPD代理人当庭认可,并宣布每日74.6万欧元强制金因失去执行对象而终止。
2026年3月12日,卢森堡行政上诉法院以第52757C号判决撤销CNPD原处罚决定,并发回重审。尽管判决全文尚未公开,但主流媒体普遍定性为:亚马逊7.46亿欧元GDPR罚款已被撤销。
“故意或过失”是罚款前提,非可选考量
本案核心法律焦点在于GDPR处罚程序中对“故意或过失”的认定。法院撤销罚款的首要理由,是CNPD在作出处罚决定时从未分析亚马逊是否存在主观过错。
GDPR第83条第2款(b)项明确将“侵权的故意或过失性质”列为八项法定量刑因素之一;欧洲数据保护委员会(EDPB)第04/2022号指南亦将其列为加减重要素。WP 253指南进一步指出:“故意”指明知违法仍实施,“过失”则指未尽法律所要求之注意义务。典型故意行为包括最高管理层授权非法处理、无视数据保护官建议、篡改数据或未经同意交易个人信息;典型过失则包括政策未落实、人为失误、技术更新滞后等。
CJEU统一判例确立过错要件的强制性
卢森堡法院援引欧盟法院(CJEU)2023年12月5日两项关键判例:Deutsche Wohnen案(C-807/21)与Nacionalinis案(C-683/21)。
Deutsche Wohnen案明确:GDPR第83条下的行政罚款并非严格责任;只有当数据控制者“intentionally or negligently”(故意或过失地)实施违规,监管机构方可据此施以罚款。缺乏该分析即构成程序性瑕疵,足以导致处罚决定被撤销。
Nacionalinis案进一步确认:无论案件事实差异多大,只要适用GDPR第83条,就必须确立控制者存在故意或过失。马耳他信息与数据保护专员(IDPC)2024年9月就银行误寄客户对账单一案的裁决亦体现该逻辑——区分员工层面的“无意人为错误”与控制者层面的“系统性预防缺失”,最终认定不构成需处罚的组织性过失。
整改不等于免罚,但影响量刑
亚马逊在诉讼过程中完成整改,仅使每日强制金失去执行基础,未自动豁免罚款本身。法院撤销罚款系基于CNPD程序违法,而非整改行为有效。CNPD发回重审后,须重新开展过错分析并评估处罚工具,届时亚马逊整改情况将作为减轻情节纳入考量。
GDPR第83条第2款(c)项与(f)项分别将“为减轻损害所采取的行动”及“与监管机构合作、纠正违规的程度”列为量刑参考。EDPB执法实践表明,主动、及时、结构性的整改通常可实质性降低罚款金额,但并非免责条件。
法国Conseil d'État于2025年12月就亚马逊法国仓储子公司另案裁定,将罚款从3200万欧元降至1500万欧元,显示整改效力依赖于违规类型的具体认定;LinkedIn爱尔兰3.1亿欧元罚款案(2024年10月)同样以“合法利益”为由被罚,DPC虽同步发出整改令,但罚款未予豁免——印证GDPR执法逻辑:处罚针对历史违规,整改是合规义务,非追责交换条件。