自《通用数据保护条例》（General Data Protection Regulation，简称GDPR）于2018年5月生效以来，企业合规治理层面，全球大型跨国企业均在应对该部法律带来的经营与合规挑战；公众意识层面，人们对数据保护问题的认识普遍提升；执法层面，欧盟给予了企业较长的宽限期，但进入2020年后，宽限期和指导期已经结束，“GDPR强执行时代”业已来临。执法案件数量呈急剧上升趋势，欧盟各国陆续开出巨额罚单，为企业（尤其是大型跨国企业）的数据保护合规建设带来更大压力。同时，欧盟成员国罚款实施细则的出台以及执法经验的积累，给各成员国监管机构判断具体执法金额提供了更明确的指导和标准，也为企业提供了合规建设的参考依据。

本报告旨在研究部分欧洲重点国家针对数据保护违法事件实施行政处罚的法律规定，并对重大、典型执法案例进行罚则适用的实证分析，从而了解监管机构的执法倾向和处罚逻辑，并针对监管机构重点关注的风险项设计风险管控措施。

（一）欧盟GDPR执法现状

近一年来欧盟国家陆续开出巨额数据保护执法罚单，这些国家包括英国、法国、意大利、奥地利、德国、瑞典等。前十大巨额罚款案例中，处罚金额占被执法企业上一年度收入的比例较低。根据这些案例，可以确定两个主要的被罚款事件类型：一是数据泄露案件；二是营销类案件，包括电话营销与定向广告推送。

（二）欧盟GDPR执法趋势

上述案例一定程度上反映了欧盟GDPR执法趋势 -- 数据保护领域的处罚力度和金额持续增加。在当前阶段，数据保护监管机构力图通过对违法行为处以高额罚款来加强数据保护执法。同时，围绕此类罚款的诉讼也越来越多，这有可能会抑制数据保护监管机构对高额罚款措施的偏好。尽管如此，在2020年至2021年期间，“执法浪潮”和高额罚款仍将继续。

（一）GDPR行政罚款规则概述

1、欧盟适用的统一规则

行政罚款作为惩罚措施之一，是监管机构严惩违法行为﹑强化数据保护法律要求的重要工具之一。欧盟法律中关于行政罚款的条款采用抽象原则性规定的立法模式，对罚款金额设置上限，通过罚款相关因素分析判断得出最终处罚金额。第29条工作组（The Article 29 Working Party，以下简称WP29） 发布《GDPR行政罚款适用和设定指引》(Guidelines on the Application and Setting of Administrative fines for the Purposes of the Regulation 2016/679)，提供罚款考虑因素指导建议。欧盟数据保护委员会（European Data Protection Board，以下简称EDPB）已批准通过该指引。

GDPR第83条规定了对企业处以行政罚款的一般条件，并划分了两类处罚标准，分别是：①Ⅰ类标准：对违法企业处以最高10,000,000欧元或上一财经年度全球营业总额2%的行政罚款（以较高者为准）；②Ⅱ类标准：对违法企业处以最高20,000,000欧元或上一财经年度全球营业总额4%的行政罚款（以较高者为准）。

具体处罚标准与处罚依据的对应情况如下：

表1 处罚标准-法律义务映射表

2、重点国家适用的规则

根据中兴通讯数据保护合规部于2019年12月进行的欧洲经济区GDPR国别风险等级评估结果，本节特选取德国、英国、奥地利、意大利、荷兰、西班牙及匈牙利的罚则规定进行重点分析。

（1）德国相关法律规定

德国主要适用GDPR和《德国联邦和州独立数据保护机构关于确定企业罚款数额的指南》（Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen）。德国遵从GDPR的原则性规定，对罚款金额设置上限，并且德国数据保护监管机构就罚款金额计算方式发布了统一标准的实施细则，提出了基于营业额的线性计算模型，但是该模型似乎没有考虑到不同业务类型的具体适用。

新的罚款金额计算模型将导致德国当局未来在GDPR领域中做出的罚款金额远高于迄今为止的罚款金额。以营业额为基础的线性计算方法很大程度上会导致严重的罚款风险。鉴于跨国企业将面临高额罚款，被处罚的相关企业很可能在诉讼中对这种新模式提出质疑并申诉到包括欧洲法院在内的高等法院。所以这种新的计算模型很可能在将来受到一定冲击。

（2）英国相关法律规定

英国主要适用《2018年数据保护法》（Data Protection Act 2018）、《数据保护、隐私和电子通信条例》（Data Protection, Privacy and Electronic Communications Regulations）、《2010年数据保护（罚金）（最高罚款额及通知）条例》（Data Protection (Monetary Penalties) (Maximum Penalty and Notices) Regulations 2010）、《1998年数据保护法》（Data Protection Act 1998）来规范数据保护相关的处罚措施。英国关于罚款金额的一般规定与GDPR相同，采用两种处罚等级。此外根据行为发生的时间，还有可能适用旧法规定，根据旧法规定，民事案件在数据保护方面的最高罚款为500,000英镑。

表2 英国处罚措施一览

（3）奥地利相关法律规定

奥地利主要适用GDPR、《联邦个人数据保护法》（Datenschutzgesetz，DSG）、《电信法》（Telecommunications Act 2003）。

在遵守GDPR罚款规定的前提下，奥地利对于特定违法行为的处罚分为两类：①依据《联邦个人数据保护法》对于5类特定违法行为，处以最高50,000欧元罚款，除非符合GDPR第83条的规定，或根据其他行政法律规定受到更严厉的惩罚；②依据《电信法》对于11类违法行为，处以最高37,000欧元罚款；对于1类违法行为——为营销目的进行广告推送，处以最高58,000欧元罚款。

表3 奥地利法处罚措施一览

（4）意大利相关法律规定

意大利主要适用GDPR、《意大利隐私法》（Italian Personal Data Protection Code ）（2003年6月30日）。意大利对于罚款金额的一般规定与GDPR相同。在遵守GDPR罚款规定的前提下，《意大利隐私法》对五类数据处理违法行为明确规定了罚款金额的范围：

《意大利隐私法》第13条规定，未向数据主体提供数据收集规则或提供信息不足，将被处以3,000至18,000欧元的罚款；涉及到敏感个人数据的，处以5,000至30,000欧元的罚款。根据违法者的经济实力，如果罚款无法达到惩戒效果的，则罚款金额可以增加至三倍；

违反《意大利隐私法》第16条第1款b项规定，违法传播个人数据的，处以5,000至30,000欧元的罚款；

违反《意大利隐私法》第84条第1款规定，非法披露健康状况数据的，处以500至3,000欧元的罚款；

违反职责，未能及时提交《意大利隐私法》第37条和第38条要求提供的信息或提供信息不完整的，处以10,000至60,000欧元的罚款；

未能提供信息或未出示意大利数据保护监管机构根据第150条第（2）款和157条要求的文件的，处以4,000至24,000欧元的罚款。

（5）荷兰相关法律规定

EDPB尚未与荷兰数据保护监管机构 (Autoriteit Persoonsgegevens，以下简称 AP) 建立联合执法机制。因此，出于监管目的，荷兰数据保护监管机构目前自行制定并实施一套计算罚款金额的政策。荷兰主要适用《GDPR实施法案》（Dutch GDPR Implementation Act，以下简称UAVG）。此外，对于违反《警察数据法》、《司法和犯罪记录信息法》的行为以及某些违反《电信法》、《eIDAS 法规》和《总行政法》的行为，AP也可以处以罚款。

1. 基础罚款：在违法事项所对应罚款金额范围内取中间值。这是确定罚款额时的“起点值”，为最终罚款金额的基础；

2. 累犯：在5年以内再次发生相同或相似的违法行为，针对累犯的罚款起点值将在基础罚款的数额上提高50%；

3. 多种违法行为的处罚：如果数据处理活动违反多个规定，罚款总额不得超过最高罚款金额；

4. 偿付能力：在确定罚款数额时，AP将视情况考虑违法行为人的经济状况。如果行为人偿付能力下降或不足，AP会在较低一档罚款范围内设定罚款数额。

AP制定的罚款政策中最高罚款金额为1,000,000欧元。然而，如果监管机构认为这种罚款力度不能够体现惩罚的相称性，可超出原罚款范围，最高罚款为GDPR规定的20,000,000欧元或者是全球年营业额的4%（以较高者为准）。

（6）西班牙相关法律规定

西班牙主要依据的法律为第3/2018号《关于数据保护和数字权利保障的组织法》（Spanish Fundamental Law on Data Protection and Digital Rights Guarantee，以下简称NLOPD）。西班牙采用抽象的原则性规定，在具体实施层面将数据保护侵权行为划分为三个等级，将不同的违法行为纳入不同的侵权等级中，分别处以相应额度的罚款。

西班牙对于罚款金额的一般规定与GDPR相同，NLOPD将数据侵权行为进一步分为轻微、