写纪念时点的文章不禁仍会感叹一声时光荏苒，写《GDPR五年记》时已然是两年前的事。GDPR如今来到第七个年头，已展现出完全不同的面貌和生态。

本文尝试基于过去一年的执法、司法、上诉以及调查数据，尽可能拼凑出一个完整的全景概览，分析的时间跨度为2024年5月至2025年5月。本文主要数据来源于CMS数据库，但由于其原始标注在分类、补充信息和行业识别等方面存在较大局限，本文对其进行了必要的二次加工，及必要的清洗与补全。

需要说明的是，本文只关注GDPR的处罚动态，在欧盟法域之外尚有不少值得关注的发展（例如韩国）不在本文讨论范围。另外，除了GDPR，出海企业当然还需关注DSA、DMA、AIA等新进法律的执法情况，但不在此次考量范围之内。

一、整体走势

自GDPR生效以来，累计处罚金额呈持续上升趋势，但增幅节奏存在明显阶段性。2021年下半年首次出现大幅跃升后，2023年中再次出现陡峭上涨。图中以黄色阴影标示的2024–2025年区间内，增长趋势更为密集和稳定，罚款总额从约50亿欧元持续攀升至接近60亿欧元，新增金额超过10亿欧元。这一阶段的增长曲线没有明显的间断，说明在不到一年半的时间内，处罚频率与处罚力度均保持较高水平。

与前期相比，这一阶段罚款增长较为线性，反映出监管活动正趋于常态化、高频化，且不再依赖个别天价罚单拉动总额，而是由多个中高额案件叠加推动。截至2025年3月（CMS的cut-off时点），GDPR处罚总额已突破56.5亿欧元，处罚案例达2,245起。GDPR执法在第七年后已进入制度成熟期，处罚机制更加持续、密集与系统化。

从累计处罚数额和次数来看，，左图显示处罚金额在年中（2024年7月和9月）和年末（2024年11月、2025年5月）出现几次明显的跳升，分别对应Meta和Uber等几笔高额罚单，使得累计金额整体呈阶梯式上扬。尤其是2025年5月，因TikTok数据跨境处罚落地，单月罚款再次显著抬升，使总额突破16亿欧元，成为本阶段增长的关键节点。右图所示的处罚次数增长更加平稳，整体分布均匀，累计处罚数从2024年6月的40起左右上升至接近200起。多数月份的新增处罚次数保持在10至20起之间，且在2025年3月以后明显趋缓。有一点需要说明，虽然在整体趋势上，本分析补足了数据，但2025年5月尚未结束，因此5月份数据可能存在不全的情况，读者需留意。

比例关系上看，尽管处罚次数在2025年初后趋于稳定，罚款金额仍能保持上升，说明执法机关在案件遴选和金额裁量方面正向更高的处罚区间集中。整体趋势反映出2024–2025年期间GDPR执法已进入“高强度少量化”的成熟阶段，不仅在频率上保持活跃，也在经济惩戒层面持续放大信号效应。

二、与去年相比有哪些变化？

来看下同比数据。2024–2025年度几乎每个月的罚金总额都显著高于前一年同期，尤其是在2024年9月、10月以及2025年5月，单月处罚金额差距尤为突出。9月罚款金额接近5000万欧元，同期2023年不足500万欧元；2025年5月的处罚金额达到6000万欧元以上，是该阶段的峰值。尽管部分月份的处罚数量并未显著上升，但单案金额提升明显，监管机构在裁量罚金时整体尺度有所抬高。

图表右侧则呈现了处罚次数上的同比变化。2023–2024年度的处罚次数波动较大，整体明显高于同期的2024–2025年。2023年6月的处罚次数为61起，而2024年同期仅为35起；此后除个别月份外，2024–2025年每月的处罚数量基本维持在20起左右，并在2025年4月与5月降至个位数（受数据分析范围影响）。

如此来看，过去一年的监管似乎趋向于通过更少的处罚次数实现更大的惩戒效果。这种“少量、高额、标志性”的执法策略，不再以数量推动执行效果，而是依靠有代表性的高额案件释放执法信号，执法逻辑由广覆盖逐渐向重点突破过渡。

三、2024-2025年度排名前十的处罚

观察过去一年最高的处罚，可以发现数据跨境仍然为最大热点，与此同时在广告、人脸识别等高风险场景下的同意有效性和其他合规维度仍然处于纠结状态，此外明显的一大变化是新型AI厂商的出现，包括OpenAI在意大利的处罚（可以追溯到2023年3月）以及最近出现的Replika等特定AI场景应用的违规议题，值得关注。

从罚金数额上来看，TikTok以5.3亿欧元的罚款金额高居榜首，成为本年度乃至GDPR历史上最重的几起罚单之一（目前排名第三），处罚来自爱尔兰DPA，聚焦于短视频产品中的数据出境与儿童数据保护问题。紧随其后的是LinkedIn（3.1亿欧元）与Uber（2.9亿欧元），分别涉及社交平台和出行配送场景，显示出平台型企业在数据使用链条中更易触发高强度问责。前五名罚单中有四起来自爱尔兰，反映出爱尔兰作为主要跨国科技公司欧盟总部所在地，其数据保护委员会DPC在大型案件中仍占据核心执法地位。值得注意的是，这十起重大处罚均未通过EDPB争议解决机制，说明尽管案件金额高、影响范围广，程序路径上仍属主导DPA单边作出决定。行业分布来看，社交平台（Meta、LinkedIn、TikTok）占据半数席位，此外还涵盖AI（Clearview AI、OpenAI）、电商（Amazon France Logistique）、网络安全（Avast）及能源（Enel）等多元领域。高额罚款已不仅限于社交或广告领域，而正逐步扩展至涉及算法、基础设施及关键行业的数据处理行为。

四、行业分布（数据很糙，简单看看）

原本还计划基于CMS数据呈现一些行业洞察，仔细看过数据后发现不可行。CMS的行业部门细分也过于粗糙，基本上TMT领域涵盖绝大部分数据，不具备分析空间。如果不对数据进行深度挖掘，也很难看出行业特征。举例而言，排名前十的处罚中虽然出现了电商平台Amazon，但仔细观察违规场景发现与电商本身非常不相关。Amazon近年来在人脸识别与员工监控上受到高度审查也反映出这家科技公司的复杂性（不仅仅是一家电商平台），也很难代表电商平台。因此，短期内无法通过数据收集形成具有解释力的分析和行业洞见，如上文所述，这一不足将会在后续持续研究中不足。本文的分析仅以CMS提供的粗数据作为基础，作为初步观察。

不同行业在GDPR处罚中的总罚金与案件数量差异显著。其中，“媒体、通信与平台类”行业的处罚总金额远高于其他领域，罚金总额超过1250万欧元，呈现出压倒性优势。这一数据基本由头部平台企业（如Meta、TikTok、LinkedIn等）构成，因数据处理量大、跨境传输频繁以及涉及算法推荐、广告定向等复杂使用场景，成为GDPR执法的重点对象。排名其后的分别是“就业”“电商”和“交通能源”行业，虽总额远低于前者，维持在200万欧元上下的罚金水平。值得注意的是，“住宿与酒店业”在处罚总金额上也排名靠前，显示出旅游相关行业在客户数据保护上的系统性薄弱。与此同时，金融保险、咨询、公共部门、教育、医疗、房地产等行业的处罚金额和数量均偏低，大概率是这些领域并未进入监管优先序列。

五、不同国家监管机关的特点与活跃度

如上所述，CMS所提供的国别数据为聚合数据，抽离2024-2025年度数据来不及做，但在这个议题上聚合数据可能价值更高，可以反映不同监管机关在过去若干年内的偏好、关注点以及工具选择，对出海企业开国策略上可以提供参考。

西班牙在GDPR执法中以压倒性数量位居首位，累计处罚次数接近1000起，远远超过排名第二的意大利（约400起）和第三的罗马尼亚（约200起）。西班牙数据保护局AEPD一直以“高频小额”的执法风格著称，日常监管节奏快，覆盖面广，罚单数量虽多，但多数金额较低，重在督促合规基础建设。相比之下，意大利和罗马尼亚虽处罚数量不及西班牙，也保持相对稳定的执法频率，尤其在公共机构、地方企业和医疗系统中的处罚记录较多，反映出其监管部门对中小型数据控制者的持续关注。德国、法国和挪威等传统上在数据保护政策和法规推动中扮演重要角色的国家，处罚数量反而相对较少。

再加入罚金数量的维度来看看分布，上图分别展示了平均罚款金额（左图）和累计罚款总额（右图）。无论从哪一项指标看，爱尔兰都稳居首位，平均罚金和累计金额均远超其他国家，得益于其作为多家跨国科技企业（如Meta、TikTok、Google）的欧洲总部所在地，在“一站式机制”下承担了大量跨境案件的主导角色，另一方面也反映出其集中处理了多个金额极高的系统性案件。

平均罚金排名中，荷兰、英国、葡萄牙、瑞典紧随其后。这些国家虽处罚次数有限，但每起案件金额较高，说明其执法策略倾向于选择重点案件，围绕高风险场景展开精准处罚。相比之下，德国、波兰、丹麦等国则处于罚款金额与数量之间的中段区，反映出执法结构更为平衡。

法国虽在平均罚金排名中不靠前，但在累计罚金上位列第二，说明其处罚数量与金额均具规模，兼具广度与强度。这种“重数量又重金额”的组合，也反映出其监管机构CNIL在平台治理和用户权利议题上始终保持高频率的主动性。部分小国（如爱沙尼亚、列支敦士登、斯洛伐克）虽位列统计榜末，但也说明GDPR在欧盟境内并未真正形成执行上的“绝对统一”，不同国家在监管能力、资源投入、案件选择标准上的差距，仍构成合规实践中不可忽视的制度变量。

六、主要被罚违规项（聚合数据）

不得不说CMS在违规类型上的设定过于粗糙，以至于数据难以真正展现违规重灾以及执法重点中的细微之处。处罚类型来看，GDPR执法最常针对的违法行为集中于三个核心领域：一是第6条合法性基础的问题，二是违反一般处理原则，通常涉及到数据生命周期管理的机制建设，三是缺乏充分的技术与组织安全措施，多由数据泄露事件触发。这三类违规不仅出现频率高，且平均罚金和累计罚金额度也均居前列。此外，透明度问题（隐私政策）以及监管机关配合问询相关违规处罚数量虽少，平均罚金偏高，表明一旦企业在程序互动中表现为逃避或对抗，往往被认定为加重情节。而其他类型，如数据泄露通知延迟、DPO职责履行不到位等，目前仍属低频违规，平均罚款额度亦有限。

六、中国企业被罚情况

GDPR合规已成为中国企业进入欧洲市场的基本门槛，应被视为战略投资而非成本负担。随着中国企业在欧洲市场份额增长，可能面临与美国科技巨头类似的监管审查，应提前做好准备。特别是在AI领域，中国企业需要在技术创新与数据保护合规之间找到平衡点。

与美国科技巨头相比，中国科技企业在欧盟的GDPR执法中尚未成为主要目标，但随着中国企业在欧洲市场份额的增长，这种情况正在发生改变。从2025年初的三大事件可以看出——noyb开始策略性关注中国企业合规，TikTok的第二个靴子落地，还有DeepSeek受到类似于Clearview AI的多头监管——此前我都有撰文分析。

需要明确的是：针对中国企业的处罚和执法刚刚开始，排除此前TikTok在三个国家的四项处罚之外，其他已经进入GDPR执法范围的案件都在2025年刚刚启动。除TikTok外，SHEIN、华大基因、字节、腾讯、TEMU、速卖通、小米等多家中国企业亦已进入欧盟各成员国监管机构的调查视野，其中法国对SHEIN的调查已接近尾声，预计将给出1.5亿欧元左右的高额罚单。调查覆盖的法域涵盖芬兰、意大利、希腊、荷兰、奥地利、比利时等多个国家，呈现出广覆盖、多点施压的态势，部分调查由noyb等民间组织发起，也说明民间合规诉讼机制在推动执法介入中的重要作用。

站在中国出海合规视角，如何来理解和消费这些处罚数据？有几种方法，比如借鉴住要厂商GAFAM的整改思路，或者直接看中国企业被罚的直接证据。但是，目前很多案件都悬而未决，相关列表也在快速扩充，监管机关在未来五年是否会针对同一问题处罚不同公司也并不好说（目前尚未出现）。不过当下可以明确的是，与前述金字塔正好相反，中国企业合规无论行业还是部门，均需将数据出境问题视为第一要务，合规直接进入困难模式。目前既有的处罚和调查，绝大多数都是关于数据跨境，包括TiKTok5.3亿欧元处罚，以及目前noyb针对六家互联网企业的策略投诉，包括华大基因在芬兰的调查等。

整体来看，涉中企业正逐步进入GDPR执法的焦点区，处罚趋势从个案扩散至体系性风险识别阶段，未来是否会出现连锁式执法或典型案例定向打击，值得持续关注。这对中国平台出海战略而言，不仅是合规问题，更是全球治理结构变化下的技术政治问题。

此次全景分析只是一个起点，鉴于公开数据库的有限性，科技利维坦将在未来按月展开贴合场景和部门的深入动态分析，期待来年的全景分析会更有洞见。2026年5月见！

下载本文数据可在公众号“科技利维坦”中输入GDPR7（即GDPR生效七周年，注意拼写，不是“GPDR”“GDPRD”、“7GDPR”）

声明：本文来自科技利维坦，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。