2026年5月21日,爱尔兰高等法院公布了Meta Platforms Ireland Ltd.诉爱尔兰数据保护委员会(DPC)案的判决,驳回了Meta对于DPC处罚的申诉,判决维持DPC作出的3.6亿–4.3亿欧元拟罚款和整改决定。
面临如此巨额罚款!Meta做了什么?
此案源于2018年7月,一名用户向爱尔兰DPC投诉Meta,称Meta拒绝提供存储在其内部数据仓库中的用户个人数据,拒绝满足用户的全面访问权和数据可携带权。在诉状中,投诉人要求Meta提供原始的、基础的、未加工的完整个人信息(而非信息摘要)和相关的上下文信息,以方便该用户了解其个人信息的处理流程,但都被Meta以GDPR下的技术不可行性豁免和比例限制豁免为由拒绝了。
2025年10月,DPC发布有关此案行政决定的草案, 认定 Meta违反了GDPR 第12、15和20条,发布了纠正措施,并提出3.6亿至4.3亿欧元的罚款。随后11月,Meta正式反对DPC的行政决定,认为DPC已将调查范围扩大至原投诉之外,实际上将其转变为监管机构主动发起的自愿调查。Meta请求DPC撤回该决定草案,并重新发布一个仅限于投诉人案件的版本。2025年12 月,DPC驳回了Meta的异议,Meta向高等法院提起诉讼,寻求对DPC 行为的司法审查。
爱尔兰高等法院的司法裁决是什么?
爱尔兰高等法院经调查,最终认定DPC的行政行为合法合规,未超出法律授权范围;同时批准DPC的行政决定,间接认定了Meta行为违反GDPR。
【法律依据】
爱尔兰DPC行政决定的法律依据——🇪🇺 GDPR第12条、第15条、第20条。
第12(2)条:数据控制者应对数据主体行使第15条至第22条的权利提供帮助。(有提供协助的义务)
第15条:数据主体应当有权从数据控制者处得知关于其的个人数据是否正在被处理;如果正在被处理,其应当有权访问个人数据和获知包括处理目的、相关个人信息的类型、存储期限、个人信息的接受者等信息。(可访问权)
第20条:数据主体有权获得其提供给数据控制者的相关个人数据,且其获得个人数据应当是经过整理的、普遍使用的和机器可读的,数据主体有权无障碍地将此类数据从其提供给的控制者那里传输给另一个控制者。(数据可携带权)
爱尔兰高等法院司法裁判的法律依据——🇪🇺 GDPR第57条、第58条、第83条。
第57条:各国调查机构具有一系列义务,包括监控和执行GDPR的实施、接受数据主体的申诉、为确保GDPR的适用开展调查等。
第58条:各国调查机构具有一系列调查权力,包括要求数据控制者提供调查所需的所有信息、要求数据控制者在限期内纠正其行为等。
第83条:对数据控制者的违法行为可处以罚款。
【调查结果】
爱尔兰高等法院全面驳回了Meta的申诉,确认DPC 在其职权范围内行事。同时高等法院特别说明, GDPR 在第57条、第58条赋予监管机关广泛的调查和纠正权时,并未强调需在执行时明确区分投诉触发调查还是自愿调查,法律并未限制监管机构的调查权力只能限制在投诉的范围内。
因此,高等法院驳回了Meta提出的“基于投诉的调查范围必须限于投诉范围”的主张。高等法院确认,投诉可以提出系统性问题,尤其是投诉涉及的行为反映了公司整体惯例的情况下,监管机构可自由裁量调查的“适当范围”。
此外高等法院确认,根据GDPR第83条处以行政罚款时,必须考虑受影响数据主体数量和处理规模等因素,这意味着即使诉讼起因于单一投诉,罚款仍可合法反映欧盟范围内的影响。因此,DPC提出基于更广泛用户群体而处以重大罚款的行政决定,符合GDPR要求制裁有效、相称且具有威慑力的要求。
最后,法院驳回了Meta关于程序不公和违反合法预期的主张,认定DPC在行政过程中都已向Meta依法通知了所有行政程序与行政权力,并且Meta也实际上在系统范围内为其做法进行了辩护。因此,调查没有非法延伸范围,也没有侵犯正当程序,DPC有权因所识别到的侵权行为而采取更广泛的纠正措施。
综上所述,高等法院驳回了Meta的所有申诉,维持了DPC的行政决定。根据DPC此前公布的行政决定草案,Meta将面临3.6亿至4.3亿欧元的罚款,并需按照要求纠正违法行为。
此案件对出海企业有哪些风险警示?
本案并非爱尔兰DPC与高等法院近期因个人信息保护作出高额处罚的首例案件。在2025年5月,DPC就对TikTok开出5.3亿欧元的罚款。该案的处罚理由如下:
1、TikTok涉及违法跨境数据传输
DPC认定TikTok将欧洲经济区的用户数据传输至中国的做法不符合GDPR第5章有关跨境传输的要求。TikTok使用标准合同条款(SCCs)作为传输机制被认定为不充分,原因在于TikTok未对中国的法律框架进行传输影响评估,特别是未考量中国《国家情报法》及相关法规所规定的配合义务。
2、TikTok数据处理的透明度缺失
同时TikTok在2023年承诺 “欧盟数据仅存储于欧美服务器”,但被发现曾有少量数据临时存储于中国境内服务器,且未及时向监管机构报告。
DPC认定TikTok的隐私政策“晦涩难懂”,用户难以理解数据的具体流向。同时TikTok也未能向欧盟用户充分披露其数据被传输至中国的情况,尤其是在2022年12月TikTok修订隐私政策之前的这段时期。
虽然两起案件在时间、案由、主体上略有差异,但仍然能够在其中看出欧盟监管机构近期的执法趋势。对于出海的中企而言,从上述案件中反映的法律风险值得重点关注。
1、用户权利成为监管重点,权利机制透明度不足、可执行性不高都可能成为处罚理由。
事实上,欧盟各国监管机构的审查重点早已从宏观层面的制度设计转向具体处理用户个人信息的操作机制。而个人用户的投诉也成为欧盟各国监管机构重要的案由来源。
在两个案件中都涉及到了企业未充分保障GDPR赋予用户的具体权利,Meta案是用户的可携带权与可访问权,而Tiktok案是用户的知情权。观察有关案件,以下行为日后存在极大可能性被认定违反GDPR,出海企业应重点注意:
只给数据适用的摘要,不给原始数据;
隐私政策复杂晦涩、不透明;
不提供机器可读格式的可携带导出
不主动披露跨境数据的传输方向
2、个人信息跨境传输具有极大法律风险。
Tiktok案中,DPC与法院均认定数据跨境传输的实体条件与程序环节都同等重要。
实体条件:企业需证明其欧洲用户数据在被他国访问时得到与欧盟同等水平的保护。
程序环节:数据跨境传输需建立在充分的风险评估和透明机制之上,而非依赖企业单方面承诺。
3、试图以程序抗辩难奏效,司法支持主动监管企业。
在Meta案中,Meta多次试图以“超出个人投诉范围”为由抗辩DPC的执法程序违法,但有关申诉均被法院驳回。这反映了当下欧盟各国监管机构的享有较大的自由裁量权,并不采取“不告不理”的监管态度;相反,监管机构还会主动根据个人用户的投诉延伸审查企业的其他经营行为。
同时根据Meta案中的司法判决可看出,欧盟司法机构当前态度更偏向于支持监管机构主动监管企业。欧盟司法审查的重点更偏向于考察监管机构是否履行了告知义务、是否遵守了正当程序。
总体而言,当前欧盟有关个人信息保护的合规监管更偏向于用户权利的保护,企业难以仅通过程序抗辩就取得豁免。
参考资料:
https://www.dataguidance.com/news/ireland-high-court-publishes-decision-dpc-decision
https://www.toutiao.com/article/7501987513838469658/
爱尔兰高等法院公布对Meta不利判决的裁决
作者:王捷 王子系 钟浩辉来源:出海互联网法律观察

2026年5月21日,爱尔兰高等法院公布了Meta Platforms Ireland Ltd.诉爱尔兰数据保护委员会(DPC)案的判决,驳回了Meta对于DPC处罚的申诉,判决维持DPC作出的3.