吴涵表示,依据爱尔兰法律规定,上诉审理终结前DPC无权收取罚款,这一规则使得提起上诉成为被处罚企业的常规应对策略。
过去几年,爱尔兰监管机构给跨国科技大厂开出几十张罚单,罚金却迟迟未能兑现。第一财经记者查询爱尔兰数据保护委员会(DPC)年报发现,2020年至2025年间,DPC对跨国科技公司共开出超40亿欧元的巨额罚款,但仅有2000万欧元落袋。DPC表示,这些案件大多正在爱尔兰法院上诉审理。
北京金杜律师事务所合伙人吴涵律师在网络安全和数据合规领域执业多年,他在接受第一财经记者采访时表示,依据爱尔兰法律规定,上诉审理终结前DPC无权收取罚款,这一规则使得提起上诉成为被处罚企业的常规应对策略。
他表示,由于DPC并不具备独立的执行权,而需依赖法院的强制执行,因此即使涉及Meta、WhatsApp等核心案件的终审支持DPC的处罚决定,罚款回收率也并非一定可观。
案件拉长的多重压力
法律及税务机构CMS的《通用数据保护条例》(GDPR)执法追踪器统计,爱尔兰数据保护委员会虽然迄今开出35张罚单,罚款总额达40亿欧元,雄踞欧盟榜首。第一财经记者梳理DPC年报发现,在已向科技大厂开出的罚单中,DPC仅确认收到了两笔罚款,一笔是社交媒体平台“推特”(现“X”)因未能及时通知监管机构数据泄漏于2020年被罚的45万欧元,另一笔是Facebook因数据泄露于2022年被罚的1700万欧元。
当被问及是否有任何罚款因某种原因被视为“不可收回”时,DPC予以否认。
吴涵分析,从案件调查、DPC作出处罚决定,到企业启动上诉程序,每个环节的程序耗时都可能拉长整体处理周期,进而对企业、DPC及行业其他主体形成多重影响。具体来看,调查企业需要随时调配大量人力物力配合DPC的问询。在核心上诉案件判决结果落地前,其他企业多数会采取观望保守态度,缺乏主动推进合规建设的动力,一旦监管突袭调查,往往陷入“措手不及”的被动局面。
他补充称,对DPC来说,其现有员工规模与科技巨头动辄数百人的专业法务团队、外部律师团相差较大,单个案件的久拖不决会持续加重工作人员负荷,形成“旧案未结、新案积压”的循环,执法迟缓可能直接减损GDPR的监管威慑力。
DPC给出的解决方案之一是增加预算和人手。预算前文件显示,DPC正寻求将其2026年预算提高30%至3980万欧元,以招聘更多员工,应对欧盟的审查和人工智能监管准则出台后新增的工作量。
美欧博弈
近一年来,随着《数字服务法》(DSA)和《数字市场法》(DMA)相继对美国科技巨头开出首张罚单,美欧之间在数字监管上的分歧日益尖锐。
近日,美国总统特朗普再度转发一则称“欧盟从对美国科技公司的罚款中获得的收入,比所有欧洲上市科技公司缴纳的税款还要多”的帖子,并评论称,这对美国以及美国科技公司“实在太不公平”。
此前,特朗普政府多次批评欧盟的科技监管为“变相征税”,并威胁或将启动“301调查”,美国贸易代表办公室(USTR)上月点名多家欧洲跨国公司,威胁欧盟不改变其对美国科技巨头的监管方式,美方将进行反制。
尽管如此,在欧盟内部,爱尔兰经常被其他国家的数据监管机构批评“过于偏袒大厂”,在多起案件中,由于欧盟数据保护委员会(EDPB)的介入,DPC最初提起的罚款最终被强行提高。双方矛盾也日益突出。在一起涉及Meta处理个人敏感数据的案件中,欧洲数据保护委员会(EDPB)令DPC进行新一轮调查,却反遭DPC起诉。
吴涵分析,DPC之所以能成为欧洲数据保护领域的核心监管力量,核心源于爱尔兰低于欧盟平均水平的优惠税收政策,叠加灵活的企业运营环境、优越的地理位置与完善的基础设施。在欧盟全域统一适用GDPR的背景下,只要其他成员国无法提供更具竞争力的入驻条件,欧盟外科技企业将爱尔兰作为欧盟总部首选地的策略就难以发生根本性转变。
他称,为规避被美国政治压力绑架、摆脱“监管双重标准”的质疑,DPC可定期发布监管透明度报告,彰显独立监管立场,也增强民众与企业对其监管公正性的信任。
