卢森堡法院撤销亚马逊8.54亿美元隐私罚款

卢森堡上诉法院周四撤销了对亚马逊征收的7.46亿欧元（约合8.54亿美元）隐私罚款，废除了这项曾是欧洲数据保护法下最大罚款之一的处罚。法院指出，这并非因为基本违规行为不成立，而是因为监管机构在发出处罚前未能遵循必要的程序步骤。

程序性胜利，而非无罪判定

卢森堡行政法院认定，国家数据保护委员会（CNPD）在对亚马逊行为广告做法处以2021年罚款之前，跳过了两项法律强制要求的分析。具体而言，该监管机构从未审查亚马逊是故意违反《通用数据保护条例》（GDPR）还是仅仅存在过失——这是欧盟法院在2023年Deutsche Wohnen案和Nacionalinis案等里程碑式裁决中要求的步骤。法院还发现，CNPD没有适当评估罚款是否比其他纠正措施更合适的制裁手段。

“监管机构的相关分析必须在发回重审时首次进行，”法院在判决中表示，并将案件发回CNPD重新审理。该裁决确认，原始调查中发现的大部分GDPR违规行为是真实存在的。

亚马逊声称监管机构重新调整时获得平反

亚马逊发言人康纳·斯威尼表示，公司“很高兴卢森堡上诉法院推翻了CNPD的决定”，并补充说，在2018年欧盟隐私法规生效时，亚马逊曾“本着诚意”让客户能够控制个性化广告。双方在2026年1月的听证会上确认，亚马逊已经使其做法符合CNPD的要求。

CNPD方面表示，已注意到该裁决，并强调其执法行动“已促使亚马逊的做法完全符合”GDPR关于行为广告的要求。该监管机构表示将“继续以确保GDPR有效实施的方式处理此案”。

对欧盟隐私执法的广泛影响

该案经历了漫长的程序过程。CNPD于2021年7月作出原始决定。下级法院于2025年3月维持了罚款，但上诉法院于2026年3月12日的判决完全推翻了该结果。该裁决凸显了2023年12月的欧盟法院判例法如何重塑了整个欧洲的执法格局，要求数据保护机构在实施罚款前必须证明存在过错，而不是将违规行为视为近乎自动处罚的依据。与此同时，欧盟监管机构正在敲定关于GDPR与《数字市场法案》之间相互关系的联合指南，预计将于2026年底最终通过。