正文
比例关系上看,尽管处罚次数在2025年初后趋于稳定,罚款金额仍能保持上升,说明执法机关在案件遴选和金额裁量方面正向更高的处罚区间集中。整体趋势反映出2024–2025年期间GDPR执法已进入“高强度少量化”的成熟阶段,不仅在频率上保持活跃,也在经济惩戒层面持续放大信号效应。
二、与去年相比有哪些变化?
来看下同比数据。2024–2025年度几乎每个月的罚金总额都显著高于前一年同期,尤其是在2024年9月、10月以及2025年5月,单月处罚金额差距尤为突出。9月罚款金额接近5000万欧元,同期2023年不足500万欧元;2025年5月的处罚金额达到6000万欧元以上,是该阶段的峰值。尽管部分月份的处罚数量并未显著上升,但单案金额提升明显,监管机构在裁量罚金时整体尺度有所抬高。
图表右侧则呈现了处罚次数上的同比变化。2023–2024年度的处罚次数波动较大,整体明显高于同期的2024–2025年。2023年6月的处罚次数为61起,而2024年同期仅为35起;此后除个别月份外,2024–2025年每月的处罚数量基本维持在20起左右,并在2025年4月与5月降至个位数(受数据分析范围影响)。
如此来看,过去一年的监管似乎趋向于通过更少的处罚次数实现更大的惩戒效果。这种“少量、高额、标志性”的执法策略,不再以数量推动执行效果,而是依靠有代表性的高额案件释放执法信号,执法逻辑由广覆盖逐渐向重点突破过渡。
三、2024-2025年度排名前十的处罚
观察过去一年最高的处罚,可以发现数据跨境仍然为最大热点,与此同时在广告、人脸识别等高风险场景下的同意有效性和其他合规维度仍然处于纠结状态,此外明显的一大变化是新型AI厂商的出现,包括OpenAI在意大利的处罚(可以追溯到2023年3月)以及最近出现的Replika等特定AI场景应用的违规议题,值得关注。
从罚金数额上来看,TikTok以5.3亿欧元的罚款金额高居榜首,成为本年度乃至GDPR历史上最重的几起罚单之一(目前排名第三),处罚来自爱尔兰DPA,聚焦于短视频产品中的数据出境与儿童数据保护问题。紧随其后的是LinkedIn(3.1亿欧元)与Uber(2.9亿欧元),分别涉及社交平台和出行配送场景,显示出平台型企业在数据使用链条中更易触发高强度问责。前五名罚单中有四起来自爱尔兰,反映出爱尔兰作为主要跨国科技公司欧盟总部所在地,其数据保护委员会DPC在大型案件中仍占据核心执法地位。值得注意的是,这十起重大处罚均未通过EDPB争议解决机制,说明尽管案件金额高、影响范围广,程序路径上仍属主导DPA单边作出决定。行业分布来看,社交平台(Meta、LinkedIn、TikTok)占据半数席位,此外还涵盖AI(Clearview AI、OpenAI)、电商(Amazon France Logistique)、网络安全(Avast)及能源(Enel)等多元领域。高额罚款已不仅限于社交或广告领域,而正逐步扩展至涉及算法、基础设施及关键行业的数据处理行为。
