手把手帮你计算GDPR罚金

GDPR的处罚金额本质是一道数学题：营业额乘以一个比例后上下浮动。要做好这道题就需要搞清楚三个大要素：营业额、比例、上下浮动要素。

营业额是处罚额的起点，非常重要。

关于营业额只需要记得三个要点：全球、全品类、全集团，aka“怎么贵怎么来”！

• 全球意味着，即便违法行为本身涉及人数极少、仅限于欧盟范围内，甚至不产生任何创收贡献，也可能因优秀的财务表现而收到高额罚单。
  

• 全品类意味着，违法行为并不和具体的产品/服务语境绑定，而是指所有创收的业务线。
  

• 全集团意味着，在计算营业额时，除了违法实体本人，还包括其上上下下的关联公司。在圈定罚金单位范围时，欧盟采用了反垄断领域“单一经济体”概念的计算方法。我画了一个图：

此外，年营业额对应的时间区间是指（牵头）监管机构作出最终处罚决定节点（既不是侵权行为发生时，也不是法院裁定时）的前一个日历年或财年。

比例是指的处罚金额的区间，非常复杂。这里又分为三步：法定最高处罚金额→罚金起算金额→具体处罚金额。

关于法定最高处罚金额，GDPR第83条提供了两档：

• 1千万欧元或年营业额2%（取较高者）
  

• 2千万欧元或年营业额4%（取较高者）
  

不同违法行为应当适用哪一个档次的法定最高罚款金额也有明确的规定：

但是，这一步的难点（我个人觉得是罚金计算最难的一点）在于，如何将一个事实行为翻译成违法行为，并且找到其对应的法条。

例如：收集和存储到底是一个事实行为还是两个事实行为？为预测购买意愿收集用户页面停留时间时既不告知数据主体也没有取得同意还不做RoPA,这算是三个违法行为吗？是否需要分别按照第13条（告知）、第6条（合法性基础）和第30条（RoPA）处罚？再如，controller没有和processor签订DPA要求processor报告数据泄露事件的时限，导致controller没能在72小时内通知监管机构发生了数据泄露事件，这又是一个行为还是两个行为？

由于这个问题太难了，我在下文第四部分做了单独讨论。目前，我们先按照已经确定了违法行为对应法条的设定往下看罚金的部分。

在基于法条确定了法定最高处罚金额后，需要根据个案情况确定该案的罚金起算金额。这个流程相当于从大区间中截取小区间，我愿称之为砍两刀。如何下刀主要考虑因素又有两个：(1) 违法行为的严重性；(2)企业营业额。

(1) 违法行为的严重性

违法行为的严重性是一个有迹可循的自由心证。“迹”包括：

1. 违法行为的性质、严重程度和持续时间：针对这三个小点EDPB指南中又分开做了论述。但我就不展开了，按照常识也能很好理解
   

2. 故意或过失：故意违法表现出对法律规定的蔑视，比非故意的更严重。EDPB对于“过失”圈定的范围为“违反了法律所要求的注意义务，但并无造成侵权的意图”。例如，没有隐私政策是故意，隐私政策没有更新个人信息处理活动可能是过失；没有内部合规政策可能是过失，有政策而不执行政策却是故意。
   

3. 受影响的个人数据类别：数据字段对于个人的可识别性越高，危害就越大。例如位置信息、通信数据、身份证号码、交易记录和银行卡号等的危害程度就高于性别、教育程度等信息。
   

4. 数据量：指每个数据主体被侵犯的数据字段体量。
   

评估完以上要素后，监管机构将对违法行为的严重程度作出定性判断：高、中、低。不同的严重程度将决定第一刀切在哪里。

• 严重程度高：适用的法定最高处罚金额的20%-100%之间某一数值
  

• 严重程度中：适用的法定最高处罚金额的10%-20%之间某一数值
  

• 严重程度低：适用的法定最高处罚金额的0%-10%之间某一数值
  

  以“营业额一个亿+严重程度中”组合为例：如果违规行为为“1千万欧元或年营业额2%（取较高者）”档，则适用的法定最高处罚金额为1千万欧元。第一刀切下去之后罚金起算金额应当为100万-200万之间的某一数值。
  

  再以“营业额为500亿+严重程度低”组合为例：如果违规行为为“2千万欧元或年营业额4%（取较高者）档”，则适用的法定最高处罚金额为20亿。第一刀切下去之后罚金起算金额应当为0-2亿之间的某一数值。
  

  实践中监管机构在这一阶段就已经决定了所选取的具体数值。但为了帮助大家更好的预估一个最低额和最高额，下文还是以“起算金额区间”来指代这一阶段的计算结果。
  
  

上下浮动要素是处罚额的终点，非常唯心主义。

上下浮动要素是指在已经确定的起算金额基础上，考虑GDPR第83（2）条所列出的加重和减轻情节，确定最终的处罚金额。

如上所见，第83（2）条中部分因素与第一刀严重程度的考虑因素有部分重叠。对于这些重叠部分仅需在第一刀时考虑即可。因此，在本环节更加重要的是考虑一些“事前”和“事后”因素：

最后再次强调，罚金的确定永远要符合有效性、相称性和威慑力。因此除了与案件本身强相关的要素外，监管还可以基于这个目标再做调整。例如，实施罚款将不可逆地危及企业生存（仅使企业财务状况不良是不够的）可以降低罚款；罚款数额不足以起到威慑效果的可以增加罚款。

最后，我们需要解决的其实是罚金计算的起点问题：如何将一个事实行为翻译成违法行为，企业的行为到底违反了哪条/几条法律？

例如：收集和存储到底是一个事实行为还是两个事实行为？为预测购买意愿收集用户页面停留时间时既不告知数据主体也没有取得同意还不做RoPA,这算是三个违法行为吗？是否需要分别按照第13条（告知）、第6条（合法性基础）和第30条（RoPA）处罚？再如，controller没有和processor签订DPA要求processor报告数据泄露事件的时限，导致controller没能在72小时内通知监管机构发生了数据泄露事件，这又是一个行为还是两个行为？

数据处理活动是由一系列的操作动作构成的，相同或者关联的操作被视为一个事实行为。

“相同”是很好理解的，企业既违法收集了A的数据，又违法收集了B的数据。对于A、B二人的个人信息收集活动并无区别，因此这是相同的事实行为，记成一个事实行为即可。

“关联”需要考虑行为在意志（是否是单一意志）、背景（特别是主体身份、处理目的和数据字段）、空间和时间上的关联程度。例如，收集和存储通常是很丝滑的连贯性动作，属于关联行为，记为一个事实行为；又如，为了预测用户的购买意愿收集用户页面停留时间时既不告知数据主体也缺少合法性基础还不做RoPA，但这些行为如果是基于单一意志形成的连贯行为单位，就属于同一个事实行为（但一个事实行为不代表只有一个违法行为哦~往下看）。我把这个点再拆解下：

• 单一意志：企业为了一次性商业决策而做出的行为，不是先收集页面停留时间用来预测购买倾向，后又决定把购买倾向数据和消费记录结合做行为广告推送
  

• 目的相同：一系列操作需要服务于同一个目标
  

• 对象相同：同一批消费者交易数据
  

• 时间空间相关：在同一时期、围绕同一处理活动展开。

第二步：确定违法行为   

锁定了事实行为，再来看看事实行为对应了哪些/几个违法行为。有时候可能一个事实行为触犯了几个法条（构成几个违法行为），有时候可能多个事实行为还是触犯的同一个法条，可能算作一个违法行为也可能分别独立（就是下文说的“平行违法行为”）。

接着上文的例子，为了预测用户的购买意愿收集用户页面停留时间时既不告知数据主体也缺少合法性基础还不做RoPA。虽然事实行为只有一个，但分别对应了第13条（告知）、第6条（合法性基础）和第30条（RoPA）三个违法行为，此外，由于缺少告知动作导致违反了第5条基本原则之透明度义务。

这一步是相对简单的，只需要按照GDPR的条款去一一对照即可。需要注意的是，一定不要漏掉第5条的原则、第25条设计和默认的隐私保护。

第三步：考虑违法行为之间是否竞合   

同一个事实行为对应的违法行为之间是存在竞合的，包括法条竞合和想象竞合两种（Let's 复习一些久远的刑法知识）。

法条竞合：法条冲突，用A法条就不用B法条了。通常是特别法优于一般法、主要违法条款优于附属条性违法条款、后置违法环节吸收前置违法环节。

• 【例1】缺少告知动作既违反第5条（透明度原则）又违反第13条（告知义务），但第5条是一般法，所以用第13条规制；

• 【例2】GDPR要求如果DPIA显示风险过高时需要事前咨询监管机构，但企业没有做DPIA（第35条义务），此时主要的违法条款是35条，因此不再单独处罚第36条；

• 【例3】因为系统设置缺陷（第24、32条）导致员工访问了不属于自己的数据，而员工的访问行为构成数据泄露（第32条），则用32条数据泄露条款去吸收24条的技术和组织措施条款（但如果系数据泄露并非由系统设置缺陷导致，则不能被吸收）。

想象竞合：一个行为触发多个互不重叠、目标不同的法条，择一重罪。还是经典的“为了预测用户的购买意愿收集用户页面停留时间时既不告知数据主体也缺少合法性基础还不做RoPA”场景：告知（吸收了透明度原则）、合法性基础以及RoPA是三个完全独立的法条，不存在法条竞合，那么这三个违法行为同时成立。

但计算罚金时，根据GDPR第83（3）条，同一事实行为对应多个违法行为且不存在法条竞合的情况的，罚款总金额不得超过最严重违法行为的法定罚金上限。因此，在这个示例中，三个独立法条中最严重的是合法性基础（第6条）违法，对应法定最高罚款额为“2千万欧元或年营业额4%（取较高者）”，因此这三个违法行为的罚金总计不能超过2千万欧元或年营业额4%（取较高者）。

除了法条竞合和想象竞合，还有一种是平行违法行为。例如，一月份非法群发邮件（违反 Art. 6），六月份又非法群发一次（违反 Art. 6）。虽然触犯的是同一条款，但两个行为在时间、意志、上下文上独立，就会被认定为平行违法行为；又如，controller没有和processor签订DPA要求processor报告数据泄露事件的时限（Art.28），导致controller没能在72小时内通知监管机构发生了数据泄露事件（Art.34），也会被认为是平行违法行为（两个行为之间的因果关系不能不能改变它们在目的和保护法益上的独立性）。

如果认定处理活动构成平行违法行为，那么罚金的计算就互不干涉，完全独立，甚至可以分几次作出处罚决定。

除了上述规则外，我觉得有必要单独说一下第五条。第五条规定了数据处理活动的几大原则，而这几大原则又分别在后续条款中作出详细要求（这个对应关系只是我的个人理解哈，用来说明一对多的结构）：

按照上文讨论的“特别规定优于一般规定”的原则，似乎第五条天然会被其他关联条款法条竞合掉，但事实并非如此。还是以透明度原则举例，作为一般规定，第5.1(1)条对于透明度要求的落脚点并非仅限于第12-14条规定的提供特定信息，还包括对于透明度原则的保障。在WhatsApp案中，EDPB对此有过详细分析，WhatsApp没有在隐私政策中告知合法性基础等第12-14条规定的内容，但同时隐私政策信息量巨大且分散的设置导致用户的知情权无法得到真正意义的保障，而这就属于透明度原则的核心目标，因此最后EDPB认为WhatsApp的行为构成对Art.5的侵犯且不能被法条竞合，应当被单独处罚。