文/李汶龙、张月明
之前写TikTok处罚分析的时候发现很多人对于罚款回收的情况很感兴趣。这次就系统来看一下这个经常会被忽视的环节。
GDPR的七年之痒:2024-2025 GDPR处罚与执法数据全景分析
根据CMS的GDPR Enforcement Tracker提供的数据,截至2025年10月,GDPR处罚总金额已经突破57亿欧元大关。
公众对于GDPR的关注集中在高额罚金,但却很少有人关注处罚决议作出之后发生的事情。实际上从监管机关作出处罚决议,到最后控制者缴纳罚金进入国库,中间还有很长的链条,但凡提起司法审查就会中止处罚效力,如果涉及多个案件又会彼此交织,复杂性不言而喻。因此不是监管机关官方宣布处罚多少,最终就会回收多少。从当下欧盟的司法倾向上来看,宣布处罚和处罚回收这两端之间的链条会越来越长,有可能就拉断了——也即罚金的确认、减少、免除,甚至宣告无效,后续我会触及一些。
本文仅关注回收,暂不讨论罚金减免和确认的动态——后者见科技利维坦“GDPR处罚全息透视分析”系列(后续可能改版)。
进行全量的处罚回收相关数据的收集和非常困难。考虑到欧盟27个成员国在处罚频率、透明度以及监管成熟度上差别很大,即便有足够的研究精力和资源也很难操作。这里我只做几个典型的小样本分析。
一、Top 10
做科技利维坦“全息透视分析”过程中,偶然发现CMS数据库实际上更新速度不高,经常漏放,实际的处罚金额要高于此。
另外需要说明一下,这个小研究项目拖延了好几个月,导致Top 10发生了变化。2025年法国CNIL对谷歌处罚3.25亿,跻身前10。为了便于分析,这里还是基于该处罚之前的格局(见下)。
如果把近7年所有的GDPR处罚排个序,前10大处罚金额达到47.32亿欧元,占比 47.32/67.35=70.26%(按照GDPR Enforcement Tracker的数据),但是回收为0。
有点儿惊讶对吧,事实即是如此。
回收率低的原因,主要源于企业挑战处罚行政决议的救济权利。由于处罚金额跟企业年收入成正比,跻身罚金Top10的公司均为全球领先科技公司——Meta5次、亚马逊1次、TikTok2次、LinkedIn1次、Uber1次【注:如果按照2025年10月后的新格局,Meta减少1次,谷歌跻身前10】——因此这些企业自然有经济实力在纠纷上多耗几年。
当然回收率为零并不意味着最后不会处罚。借用Malcolm M. Feeley的“程序即惩罚” (The Process is the Punishment) 的概念,在GDPR执法中“程序即不惩罚”:如果能拖个3-5年,可能整个行业都已经更新换代,原来的业务也可能不复存在了。做一个简单统计可以发现,在Top10样本中,超过1000天尚未回收的处罚超过40%,而超过两年的达到60%。
最终罚款金额多少还会受到法官的重新评估。例如, 1&1 AG公司因身份核验措施不足,导致第三方获取用户手机号,被控违反GDPR第32条而被监管机关罚款900万欧元。2021年,德国法院作出决议,否定了以公司营业额为核心的GDPR罚款计算模式,最终将900万罚金降低到90万欧元,直接减少了一个零。
进一步观察案件拖慢的原因和今年的进展,可以发现一些规律。Top10的所有罚金都予以上诉,自2025年以来至少5个案件有所更新,多数是程序性的,意味着司法程序仍在缓慢推进:
1.2023年,英国信息专员办公室ICO针对儿童数据处理不合规,对TikTok开出1270万罚单,TikTok提起上诉。诉讼阶段TikTok的思路清奇,指出部分数据处理属于“艺术目的“,因此适用特定豁免,ICO无权作出处罚决定。2025年7月,英国初审法院认为TikTok处理儿童数据的行为主要是面向普通商业和服务用户提供互联网平台,不属于”特殊目的“和面情形,因此驳回TikTok初步抗辩,案件随后进入实质性问题的全面审理。
2.2024年9月,爱尔兰DPC对Meta处以9100万欧元罚款,因为Meta将部分社交媒体用户的密码以明文方式存储在内部系统,违反数据安全和技术组织措施要求。根据今年年初1月份的报道,Meta对该罚款表示不服,向爱尔兰高等法院发起司法复审(judicial review),寻求撤销DPC罚款决定。该案目前正处于法律审查和诉讼阶段。
3.2021年,卢森堡数据保护机关对亚马逊开出的7.46亿欧元罚单创下当时的“史上最贵罚单”,企业不服予以上诉。2025年3月18日,卢森堡行政法院作出判决,驳回亚马逊的上诉。但是,如果亚马逊选择继续上诉至高级法院,原行政处罚决定效力仍可被中止。
4.此前有多个帖子详细讨论过TikTok数据回传中国被罚5.3亿欧元的案件,在2025年也有新进展。2025年7月,爱尔兰高等法院(法官为J Mary Rose Gearty)批准了TikTok提出的司法复审(judicial review),并在审理期内暂停该处罚效力,后续听证定于10月。
拆解TikTok5.3亿处罚裁决(下):TT的跨境教训与出海企业合规的未来
5.Meta的案子程序比较复杂。2021年4月,爱尔兰DPC对Meta进行调查,起因是533万用户信息被第三方抓取并在黑市上销售。2022年11月27日,爱尔兰DPC基于GDPR第25条对Meta处以2.65亿欧元罚款,并要求一系列整改。此案后续打到爱尔兰高等法院,Meta提出司法挑战,认为DPC对第25条解读过于宽泛。但是与此同时,Meta还有另外一个案件正在审理(即WhatsApp案),高等法院同意将Meta上诉于欧盟法院CJEU审理的WhatsApp案挂钩,所以暂缓审理,罚款不进入法律生效阶段。但此案后续又有反转:2025年3月13日,爱尔兰上诉法院裁定,高等法院不应该延迟审理,Meta案上诉必须推进,不能等欧盟法院Whatsapp案审结。
6.上述的WhatsApp案也有了新进展。该案可追溯到2021年8月,爱尔兰DPC认为Whatsapp在向Facebook集团传递用户数据时对透明度要求不合规,处以2.24亿欧元创纪录罚款。WhatsApp不服裁决,先后向爱尔兰及欧盟普通法院提起法律挑战。2022年底,欧盟普通法院认为Whatsapp直接对EDPB裁定提起诉讼不可受理(inadmissible),因为EDPB基于一致性机制的裁决不具有可诉性,而DPC最终决定才是可诉行政行为。2025年3月,佐审官AG Tamara Ćapeta发表意见(C-97/23 P),认为EDPB裁决具有“直接影响”企业权利和义务的行为,因此企业有权对EDPB裁决提起欧盟层面的司法审查。如果欧盟法院采纳该建议,将确立企业可以直接挑战EDPB的权利。
二、DPC在7年内作出的所有处罚
顺着Top10的思路,由于80%处罚都来自于爱尔兰数据保护委员会DPC,可以以爱尔兰作为一个典型法域案例,看看这个欧盟监管核心近7年的表现。
继续以CMS数据库作为基础,发现了一个混淆entry (ETid-875),少了一个处罚的 (Kildare City Council),确实非常不靠谱。修正后可以发现,截至2025年10月28日,DPC在GDPR执法7年内共处罚35起,总计金额达到4,038,157,900欧元,占GDPR总量罚金的59.96%。
选择爱尔兰的另外一个好处是相关流程更为规范透明,从数据验证角度要省不少心,相较于法国、德国这些国家做得已经算好了。
按照爱尔兰国内法的要求,如果DPC决定处以行政罚款,且受罚者没有对该决定提出上诉,则DPC将根据爱尔兰《2018年数据保护法》第143(1)条,以简易方式向巡回法院提出申请,以确认其处罚决定。第143(2)条规定,除非有充分理由认为DPC做法有误,巡回法院应确认DPC的决定。处罚决定被确认后,DPC将根据第141(5)条向相关控制者或处理者发出正式通知,要求其付款。该控制者/处理者有28天的时间付款。根据第141(7)条,所有DPC罚款均须在收到后汇至财政部 (The Exchequer),并通知公共支出和改革部 (Department of Public Expenditure and Reform)。
有人会问,你怎么知道处罚有没有被司法确认呢?这里主要通过监管机关发布的年报,其中有一部分是关于行政处罚司法确认。一般来说,DPC的年报会在年初或者上半年间发布上一年的报告,例如目前最新的年报为2024年年报,在2025年6月19号发布。
DPC每份年报在披露方式上也存在较大差异,例如2021-2022年在DPC网站专门发布过一份官方声明,但其他年份却没有。因此,大部分数据主要是来自于年报中的罚款司法确认版块。此外,2021和2022年这两年的年报还会存在重复披露。
接下来来看我整理的数据。我按照报告中每年司法罚款确认的方式来排列上述罚款,可见35项处罚中,有20项已经确认回收,占比57.1%(其中2020年作出的几项早期处罚决议*回收情况在年报中表述不明确,这里推定已回收)。
如此来看,爱尔兰的情况还不错对吧,至少数据已经过半。但是魔鬼在细节。
上述20项处罚金额总共2500万,占比0.629%。20项处罚中,公共部门和第三部分占据半壁江山,而私有部门中,类似爱尔兰银行(已完全私有化)和信用社又占一半。DPC每年基本上能确认4-6项罚款,但2024年很奇怪,只有爱尔兰健康部的2.25万欧元被确认。
我们再来看另外一半——也即目前尚未回收的重头戏。图中标蓝底的是与Top10重合的部分,可以发现但凡是高罚金基本上都集中在这部分。少数绿底的高罚金虽然没有跻身前10,但也有不少进入了前20,后面详述。
下面这半边的特征很明显,绝大多数都是能叫得上名字的互联网大厂,除了上述Top10提到的之外还有沃达丰和LinkedIn,剩下四个叫不出名字的都是爱尔兰本土的公共机构(已经标黄),而这四项罚金之所以还没有确认是因为最早的一项罚金作出时间为2024年11月,距今还不满一年。
由此可见,爱尔兰罚金回收情况存在明显的特征:公共部门一般都会老老实实交罚金(回收率近乎9/9高达100%,剩下4项因为较新仍在走程序),私有部门一般都是大型互联网国际企业选择直接上诉拖时间(回收率11/21大约52.38 %)。这里需要注意,回收率是按照处罚决定数量,而非处罚金额设定——而且还要考虑到时间因素,即很多罚金确认刚走流程。如果按照后者处罚金额为准,公共部门回收率43.68%,私有部门0.615%。
有趣的是,为什么私有部门回收率不是0?我们来仔细看一下这3个早期案件。
Meta被DPC处罚1700万欧元的案件涉及12项数据泄露。在排名前20的处罚中,Meta占8起,而其中只有本案的1700万欧元,以及下述Whatsapp的500万成功回收。在我看来,原因有几个维度。首先,本案聚焦数据泄露,DPC认定Meta没有充分证明其技术和组织安全措施,并非制度性合规或者核心商业逻辑——例如定向广告、数据跨境传输等(相关案件Meta均有上诉)。其次,罚金1700万虽跻身前20,但远低于近年来动辄数亿甚至十亿级别欧元处罚。企业从成本收益和舆论影响角度,可能倾向于今早结案,避免长期诉讼带来的负面披露和资源消耗。再者,本案触发一站式机制,决策过程中各国监管机关意见趋于一致(有两家监管机构提出异议但最终达成共识)因此在现有框架和事实基础上上诉胜算较小。
排名前20的处罚中,涉及Whatsapp的有两个,其中金额较大的目前正在上诉过程中,如上所述这个案件目前的走向对于该企业而言很有利。另外一个案件Whatsapp已经交了罚金。后案源自于2018年5月25日,Whatsapp更新用户同意条款,否则不可继续使用服务。从合规角度,WhatsApp认为这是用于与公司签订合同,相关数据处理属于履行合同所必需。但noyb作为投诉者认为是WhatsApp以强制同意的方式获取用户同意。最终欧盟数据保护委员会EDPB介入并裁定,Whatsapp不能以合同履行为依据处理除IT安全之外的个人数据,DPC采纳EDPB意见作出550万欧元罚款。Whatsapp选择在该案认缴道理也不难理解。此案罚金较低,约550万欧元,远低于此前针对Whatsapp开出的2.25亿欧元罚单。此外Meta集团遭受的高额处罚中,此类技术型合规案件通常不会对平台主营业务或者核心数据流动构成威胁。更为重要的是,将合同作为数据处理基础本身就是一招险棋。彼时关于合法性基础的判例尚且不多,法律确定性大,所以可以理解WhatsApp此举只是为了形式上合规来购买一些时间而已,所以此后处罚没有恋战。
最后一个认缴的高额罚金来自前Twitter(现在称为X)。2018年底,Twitter发现安卓用户更换邮箱时,受保护推文会变为公开,约8.9万欧盟用户受到影响。该案是作为数据泄露处理的,DPC认为Twitter在通报时存在延时、相关文档也不充分(该bug始于2014年但日志保存只能确认2017-2019年受影响用户),属于“低至中等”严重程度,最终处罚45万欧元。该案触发一站式机制,多国监管提出异议,最终由EDPB作出由法律约束力的裁决。如上所述,这是另外一个相对技术型合规且罚金较低的示例,考虑到罚金对企业财政造成压力有限,而且胜诉概率低,上诉成本要远高于认罚带来的声誉损失和业务影响。此外EDPB通过一致性机制以听取各方意见,企业也难以提出有利的抗辩事由。
三、排名10-20区间
做到这里我还是感觉前两个样本因为DPC一家独大而不具有代表性。因此最后一个部分我把样本适当扩大到Top20,然后再来看看回收情况。样本扩张50%,就能够成功涵盖一些其他国家的监管机构,包括法国、意大利以及德国。
值得一提的是,在10-20名区间里,法国成为了新的主角,大概有5项罚金来自这个国度,其中包括打乱我最初计划跻身前十的谷歌案 (€3.25亿),此外还有同期的SHEIN案、另外2起早期谷歌案,还有1起Meta案。此外爱尔兰占3起,意大利1起,德国1起。即便不考虑2025年10月两起新法国案件(谷歌和SHEIN),排名21-22的两起处罚也分别来自法国(广告公司科韬)和德国(H&M)。
这一区间的罚款回收情况不好验证,因为每个国家程序要求不同,监管机构披露的程度和方式也有异,验证所需的精力消耗最大。
严谨的说,这一区间能够确定是否回收的只有两起案件:在Enel Energia SpA案中,Garante 做了7900万欧元处罚后,该能源公司不服上诉,2024年2月29日Garante在其官网上发布了一份声明,称罗马民事法庭作出了有利于Garante的判决,但具体细节却并未披露。
针对谷歌的5000万罚款案中,法国国务委员会(Conseil d’État) 发布官方声明明确上诉被驳回,因此理论上在法国也是存在罚款确认,虽然不是由司法机构作出。但是剩下4起来自法国的处罚都没有找到由国务委员会作出的声明,也有可能还在程序中尚未作出。翻看CNIL的报告,可以发现关于国务委员会确认部分的信息高度聚合,无法识别个案,在这一点上差评CNIL。
类似地,德国的案件也很难找到罚款作出后的司法或行政确认信息。还有3起爱尔兰的处罚落入10-20名区间,目前均未回收。
另从时间维度来看,这一区间的案件相对较新,2025年作出处罚的有2起,2024年3起,剩下的4起均为2021年前的陈年旧案,还有一起2019年的谷歌案已确认回收。
总体来看,10-20区间回收情况也并不理想,受到监管机关个人特色影响较大。假定CNIL年报所言为真,每年都能确认近乎所有案件(虽然看不到证据),那么排名10-20区间的回收率相对可观。但是眼见为实,这里还是推定并未回收,回收率因此达到20%(按照罚金数额算回收率11.72%)。
余论
GDPR为世界所知源于高罚款——全球总收入4%比例的创举。通过重罚形成威慑,迫使数据实践/商业改进,形成隐私良好的文化。
关于GDPR处罚吹的天花乱坠,实际上罚金回收却是另外一方光景。如果罚款最后无法回收,舆论中激起的波浪就都是叙事而已,当然会在商誉和市场投资层面带来应激影响,但上述提到的规范效果实际上并未发生。
这一法律现实主义的图景也引发我们关于“为什么要处罚”的思考。记得ICO的官员提到早就放弃了高罚金的思路,认为罚款没有实际效果。当然这里的没效果有两种解读,一种是认为罚款作为一种手段本身无效,另外一种是质疑罚款整个流程过于繁琐,考虑到现实无法实现预期效果。我不想这样一种研究把我们引向虚无,认为一切都是没有意义的,欧盟监管就是草台班子云云。
但真正的出路和思考需要带着这些冷峻的现实往前走。
