乐于分享
好东西不私藏
当前位置:夜雨聆风 > 技术教程 > 软件教程 > 浙工商法科生友情提醒!百余款APP因违规收集个人信息被下架(附事例分析报告)

浙工商法科生友情提醒!百余款APP因违规收集个人信息被下架(附事例分析报告)

当前时间: 2026-04-22 14:19:11 更新时间: 2026-04-22 分类:软件教程 评论(0)

浙工商法科生友情提醒!百余款APP因违规收集个人信息被下架(附事例分析报告)

本事例分析报告由浙江工商大学法学院2023级本科生余昌瀚、吴安程、邴昊亮、林闲农、张沛瑜共同完成。报告内容仅代表作者个人观点,完成时间:2025年6月)
教师评阅意见:这是一篇工整、系统的优秀作业。这份事例分析报告紧扣APP 违规收集隐私被下架的社会热点,现实意义突出。报告能清晰梳理并展示事件背景、相关规范与宪法分析,体现出较强的案例分析能力和法学理论基础。(最终得分:98)

百余款APP因违规收集个人信息被下架

一、介绍:事例背景

(一)宪法事例介绍

2021年12月9日,工信部发布《关于下架侵害用户权益APP名单的通报》,对共计106款未按要求完成整改的APP进行下架处理。这些APP存在违规收集个人信息的行为,如超范围、高频次索取权限,非服务场景所必需收集用户个人信息,欺骗误导用户下载等,严重侵害了用户权益。工信部依据《个人信息保护法》《网络安全法》等相关法律要求,持续推进APP侵害用户权益专项整治行动,加大常态化检查力度,先后三次组织对用户反映强烈的重点问题开展“回头看”。此次下架行为并非“一刀切”,而是先通知整改,针对超期未整改或违规情节严重的APP才采取下架措施。

从时间线上来说,2019年1月,网信办、工信部、公安部和市场监管总局联合印发《关于开展APP违法违规收集使用个人信息专项治理的公告》,拉开了对APP收集使用个人信息问题专项治理的序幕。2019年11月,工信部印发《关于开展APP侵害用户权益专项整治工作的通知》,进一步细化整治方向,将相关行为具体分为四个方面的8类问题。2019年12月,工信部通报了第一批侵害用户权益行为的APP,共计41款。此后,工信部持续保持对APP的监督检查力度。2021年11月3日,工信部针对APP存在的超范围、高频次索取权限,非服务场景所必需收集用户个人信息,欺骗误导用户下载等违规行为进行了专项检查,并对未按要求完成整改的APP进行了公开通报。2021年12月9日,工信部通过其官方微信公众号“工信微报”发布《关于下架侵害用户权益APP名单的通报》。该通报指出,依据《个人信息保护法》《网络安全法》等相关法律要求,工信部组织对共计106款未按要求完成整改的APP进行下架处理。这些APP存在多种违规收集个人信息的行为,包括未公开收集使用规则、未明示收集使用个人信息的目的方式和范围、未经用户同意收集使用个人信息等。通报要求相关应用商店在通报发布后,立即组织对名单中的应用软件进行下架处理。对于部分违规情节严重、拒不整改的APP,属地通信管理局还需对APP运营主体依法予以行政处罚。2021年12月20日,媒体报道称,工信部已对未按要求完成整改的共计106款APP实施了下架措施。但其中仍有5款APP未按照工信部要求完成整改,工信部对此持续跟进处理。

表1 案例时间线梳理表

2019-01-01

网信办、工信部、公安部和市场监管总局印发《关于开展APP违法违规收集使用个人信息专项治理的公告》

2019-11-01

工信部印发《关于开展APP侵害用户权益专项整治工作的通知》

2019-12-01

工信部通报第一批侵害用户权益行为的APP,共41款

2021-11-03

工信部针对APP超范围、高频次索取权限,非服务场景所必需收集用户个人信息,欺骗误导用户下载等违规行为进行了检查

2021-12-09

工信部发布《关于下架侵害用户权益APP名单的通报》,对106款未按要求完成整改的APP进行下架处理

2021-12-20

媒体报道称,工信部已对未按要求完成整改的共计106款APP进行下架处理,被下架的APP后续仍有5款未整改

数字化时代,个人信息的收集与保护成为公众关注焦点。此案例涉及众多常见APP,集中体现了APP违规收集个人信息的典型问题,如未公开收集规则、未明示目的范围、未经用户同意等,具有代表性。案例涉及《宪法》《民法典》《网络安全法》《个人信息保护法》等多部法律法规,通过案例分析,可梳理我国个人信息保护法律体系,研究法律规范的协调衔接,为完善法治建设提供参考。案例背后还涉及公民人格尊严权等基本权利,以及国家权力边界等宪法学议题,推动宪法理论发展。案例引发了社会各界对个人信息保护的高度关注,促使政府、企业、社会组织和公众共同参与法治宣传与教育,提升全社会对个人信息权益的认知和尊重。众多APP因违规被下架,给企业带来损失的同时,也促使企业加强合规管理,完善隐私政策,推动行业自律规范制定,促进健康发展。案例解决过程体现了多方主体参与,政府部门加强监管,企业承担保护责任,用户增强自我保护意识,形成多方协同治理模式,为构建科学合理的治理体系积累经验,提升保护效能。在数字经济发展的背景下,个人信息保护与合理利用至关重要。分析该宪法案例,有助于保障公民权益,促进数据要素市场健康发展,增强公众对数字经济的信任,推动数字经济与实体经济融合,助力高质量发展,实现经济效益与社会效益的统一。

(二)相关案例分析

1.国内案例介绍

在对工信部下架侵害用户权益APP这一宪法事例进行分析后,我们能发现其背后折射出诸多值得探究的法律层面问题以及对整个社会的深远影响。而与此同时,在国内的司法实践中,也存在着一系列类似的、与个人信息保护紧密相关的案例,它们从不同角度诠释了个人信息权益的维护方式以及相关法律的适用情况。

(1)李永卓与北京抖音信息服务有限公司网络侵权责任纠纷案

李永卓向北京抖音信息服务有限公司(以下简称“抖音公司”)提出请求,要求查阅、复制其在使用抖音平台过程中产生的浏览记录,包括视频名称和视频发布者账号等信息。李永卓认为这些信息属于其个人信息范畴,他有权依据相关法律规定进行查阅和复制。北京互联网法院一审认为,原告要求查阅、复制的浏览记录信息,既属于原告的关联性信息,也涉及视频发布者的识别性个人信息。在某信息同属于多主体个人信息的情况下,查阅、复制权的行使应充分进行利益衡量,遵循以下原则:查阅、复制的主体应对个人信息享有合法合理利益;不应侵害其他主体合法权益,并尽可能对其他个人信息主体影响较小。综合考虑原告主张的查阅、复制事项属于原告个人账号下的浏览行为信息,其中视频创作者名称、视频名称系视频创作者已主动公开的个人信息且非敏感,原告要求提供的信息主要集中于自身知情,并无格外侵害第三方利益的动机,抖音公司应予提供原告要求的个人信息。北京第四中级人民法院二审维持了一审判决。

本案的争议点在于查阅、复制权的行使范围。原告主张其有权查阅和复制的浏览记录信息,是否超出了合理范围,是否侵犯了其他主体的合法权益;在某信息同属于多主体个人信息的情况下,如何平衡各方利益,确保查阅、复制权的行使既符合法律规定,又不侵害其他主体的合法权益;抖音公司提供的浏览记录信息形式(仅提供网页链接地址而非具体内容)是否满足了原告的查阅、复制需求,是否符合个人信息保护的相关要求。

案件明确了在涉及多方个人信息时,如何平衡各方权利,保障个人信息的合法合理使用。

(2)杭州市余杭区人民检察院诉某短视频平台未成年人保护民事公益诉讼案

公益诉讼起诉人在办理徐某某猥亵儿童刑事案件时发现,某科技公司运营的短视频App存在侵害众多不特定儿童个人信息的侵权行为。具体包括:未以显著、清晰的方式告知并征得儿童监护人有效明示同意的情况下,允许注册儿童账户,并收集、存储儿童网络账号、位置、联系方式,以及儿童面部识别特征、声音识别特征等个人敏感信息;在未再次征得儿童监护人有效明示同意的情况下,运用后台算法,向具有浏览儿童内容视频喜好的用户直接推送含有儿童个人信息的短视频;未对儿童用户采取区分管理措施,默认用户点击“关注”后即可与儿童账户私信联系,并能获取其地理位置、面部特征等个人信息。公益诉讼起诉人认为,某科技公司前述行为侵害了社会公共利益,遂提起民事公益诉讼。在法院调解下,公益诉讼起诉人与被告某科技公司达成调解协议,某科技公司对调解事项已经履行完毕。

本案的争议点在于儿童个人信息的保护。某科技公司是否在未获得监护人有效明示同意的情况下,非法收集和处理儿童用户的个人信息;某科技公司是否在未获得监护人再次同意的情况下,基于算法向用户推送含有儿童个人信息的短视频;某科技公司是否未对儿童用户采取区分管理措施,导致儿童用户的隐私信息被轻易获取;某科技公司的行为是否构成对社会公共利益的侵害,特别是对儿童这一特殊群体的保护不足。

案例首开我国未成年人网络保护民事公益诉讼之先河,以民事手段力拨千斤,推动短视频行业交易规则的全面完善,为数亿未成年人筑起个人信息保护的防火墙,为刑事手段介入的普适性不足作了重要补充,为保护儿童个人信息提供了司法实践范例。

(3)郑某等人脸信息保护民事公益诉讼案

2020年9月起,郑某向任某等三人出售大量公民身份证号码、照片等信息,用于制作虚假人脸动态识别视频,解封微信账号、验证工商类等政务APP的实名认证,从中非法获利。同时,郑某等四人利用“蝙蝠”软件“阅后即焚”功能删除大量信息和交易记录,导致受害人数量、身份、信息去向、用途均无法核实。广州市越秀区人民检察院认为郑某等的行为已侵害社会公共利益,遂提起民事公益诉讼,要求郑某等立即停止侵权、支付公益损害赔偿金等。广州互联网法院生效判决认为,郑某等的行为侵害了不特定公众的信息自决权,损害了社会公共利益,判决郑某等立即停止侵权,支付公益损害赔偿金10.3万元,并通过与个人信息保护相关的警示教育、公益宣传、志愿服务等方式进行行为补偿。

本案的争议点在于个人信息侵权的认定。郑某等人非法收集、买卖、使用不特定社会公众的人脸信息,是否构成对个人信息权益的侵害;郑某等人的行为是否损害了社会公共利益,特别是对不特定公众的信息自决权的侵害;在受害人数量、身份、信息去向、用途均无法核实的情况下,如何确定公益损害赔偿金的金额。

本案系全国首例涉人脸信息保护民事公益诉讼案件。其有效解决了大规模个人信息侵权中非物质性损害认定等审判实践中的难点问题,确立了非物质性损害的要件认定及救济导向,即侵权人造成的非物质性损害具有显著性及客观性,并可以证明产生个人信息泄露的外部风险与侵权行为存在因果关系的,应承担相应的损害赔偿责任。

(4)某国际酒店违法处理个人信息案

2021年,原告左某通过某高公司在中国的关联公司某琴公司运营的公众号购买会员卡,并通过某高公司的APP预订缅甸的一家酒店,提供了姓名、国籍、邮编、电话号码、电子邮箱地址和银行卡号等个人信息。某高公司的隐私政策规定,个人信息将被共享至多个境外地区和接收主体,但接收主体范围和地域范围不明确。原告认为某高公司未能依法告知境外接收方详细信息,且基于营销目的将个人信息共享给美国和爱尔兰的实体,超出了履行合同所必需的范围,未获得其单独同意,遂提起诉讼。广州互联网法院判决某高公司侵犯了原告的个人信息,应承担侵权责任,向原告赔礼道歉,赔偿财产损失2万元,并提供个人信息境外接收方的详细信息及删除所有个人信息。

本案的争议点在于告知义务的履行。某高公司是否依法向原告告知了境外接收方的详细信息,包括名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使权利的方式和程序;某高公司以“履行合同所必需”作为个人信息跨境传输的合法性基础是否成立,即个人信息范围、境外接收方范围和传输目的是否满足必要性要求;某高公司是否需要取得原告的单独同意,仅通过勾选“一揽子”隐私政策是否构成有效同意;直接向境内个人提供服务的境外公司是否应根据《个人信息保护法》承担法律责任。

案件为跨国公司根据中国法律开展个人信息合规工作提供了具体、明确的指导。

2.国外案例介绍

上文详细阐述了国内在个人信息保护方面的典型案例,从不同维度展现了国内法律对于个人信息保护的实践与探索。而将视角拓展至国外,其他国家在个人信息保护领域同样有着丰富的案例和独特的执法模式,通过对比分析国内外案例,能够更全面地了解全球在个人信息保护方面的共性与差异,为完善我国个人信息保护体系提供有益借鉴。

(1)美国联邦贸易委员会对Facebook罚款案

2019年7月24日,美国联邦贸易委员会(FTC)宣布对Facebook作出高达50亿美元的罚款。理由是Facebook违背了2012年与FTC达成的同意令,侵犯了用户的个人信息权利。2012年,Facebook因欺骗消费者、未能保持对用户隐私保护的承诺而与FTC达成了同意令,承诺在未来将维持一个全面的隐私保护计划、保护用户的隐私。但在Facebook未能按照同意令保护用户隐私、屡次侵犯用户个人信息安全时,FTC作出了这一巨额罚款。

本案的争议点在于监管模式的合法性。FTC对Facebook的监管模式是否符合美国的法律框架,是否合理;Facebook在获取用户同意时是否符合GDPR对用户同意明确度的要求;美国联邦层面缺乏全面的数据保护法,是否影响了对Facebook的处罚力度和合法性。

案件展现了美国司法“契约规制”和“诉辩交易”的模式,以及对隐私保护的重视。

(2)欧盟《通用数据保护条例》(GDPR)监管执法典型案例之一

2018年6月22日至9月5日,攻击者通过盗用英国航空(以下简称“英航”)第三方货运服务商的远程登录账号,进入英航内部系统并获得了访问权限,攻击者篡改了英航官网的脚本代码,将英航客户信息从“britishairways.com”网站传输到其所控制的外部第三方域名网站“www.BAways.com”上。遭受长达两个月的网络攻击后,英航才从第三方处获知此次攻击事件的发生。据调查,恶意攻击者大约访问了429,612个客户的个人信息,包括244,000名旅客的姓名、地址、卡号和CVV码(信用卡安全码);77,000名旅客的卡号和CVV码;108,000名旅客的卡号;英航员工账号和管理员账号的用户名及密码;至少612个英航会员俱乐部的用户名及密码。

本案的争议点在于技术与组织措施的充分性。英航是否采取了足够的技术和组织措施来保障信息安全,防止数据泄露事件的发生;英航在数据泄露事件发生后,是否及时向信息专员办公室(ICO)及相关监管机构进行了通报;英航是否及时、有效地将数据泄露事件通知了受影响的数据主体,以控制事件影响范围。

该案例凸显了企业在数据保护方面采取积极措施的重要性,以及在数据泄露事件发生后,与监管机构合作、及时通知数据主体的必要性,促使全球企业重视并加强数据保护合规工作。

(3)英国剑桥分析公司非法收集用户数据案

2018年3月,英国剑桥分析公司被曝非法收集了数百万Facebook用户的数据,用于政治广告投放。剑桥分析通过一款名为“this is your digital life”的Facebook应用,在用户不知情的情况下,收集了约270万用户的个人信息,包括他们的点赞、位置、性别、年龄等数据。这些数据被用于创建政治广告的目标受众模型,以影响选民的政治倾向。Facebook在得知数据泄露后,未及时向用户披露相关信息,也未采取有效措施防止数据进一步泄露。

本案的争议点在于数据收集的合法性。剑桥分析公司是否在用户不知情或未获得明确同意的情况下收集了Facebook用户的数据;Facebook用户是否清楚地了解其数据将如何被使用,尤其是在第三方应用中;剑桥分析和Facebook是否向用户充分披露了数据的使用目的和方式;非法收集和使用用户数据对选举过程和民主制度的影响程度。

案例揭示了社交媒体平台在数据隐私保护方面的漏洞,以及第三方应用可能对用户隐私构成的威胁,促使全球加强对数据隐私和保护的立法与监管。

3.案例比对分析

从主体角度来看,主要案例中的工信部作为行政部门,依据法律法规对违规APP进行下架处理,体现了行政监管职责和执法权力。而在比较案例中,法院通过审理具体案件实现司法保护,如“李永卓与抖音公司网络侵权纠纷案”判定抖音公司提供浏览记录,“某国际酒店违法处理个人信息案”判决酒店承担侵权责任;检察院通过民事公益诉讼监督追责,如“杭州余杭区人民检察院诉某短视频平台未成年人保护民事公益诉讼案”;国外监管机构如FTC通过罚款等手段处罚违规企业,如Facebook巨额罚款案。

从行为性质来看,主要案例中的违规APP普遍存在未经用户同意收集个人信息、过度收集等行为,违反了《个人信息保护法》《网络安全法》等法律法规。比较案例的行为性质更为多样,如“郑某等人脸信息保护民事公益诉讼案”涉及非法获取和出售个人信息用于虚假视频制作,“某国际酒店违法处理个人信息案”涉及未经同意将信息共享至境外,Facebook存在欺骗消费者行为,英国航空因技术漏洞导致信息泄露,剑桥分析公司非法收集数据用于政治广告投放。

从侵害客体而言,主要案例主要侵犯了用户对个人信息的控制权和隐私权。比较案例中还涉及儿童个人信息的特殊保护(如杭州余杭区人民检察院诉某短视频平台案)、信息主体的同意权(如某国际酒店案)、社会公共利益(如郑某等人脸信息保护民事公益诉讼案)以及民主政治过程(如剑桥分析公司案对选举的影响)等。

从法律后果来看,主要案例中工信部对违规APP采取下架措施,旨在制止侵权行为并促使整改。比较案例中的法律后果包括民事赔偿、行政处罚、刑事起诉等多种方式。例如,“李永卓与抖音公司网络侵权纠纷案”判决抖音公司提供信息,“郑某等人脸信息保护民事公益诉讼案”判决支付公益损害赔偿金;国外案例中,Facebook被处以罚款,英航被要求加强数据保护。

各案例都体现了在当今数字时代,个人信息面临着被非法收集、滥用等风险,需要得到有力的法律保护,反映出个人信息保护在全球范围内的共性需求。国内案例多集中于对个人隐私信息的查阅、复制权等具体权利的维护,例如李永卓案涉及用户浏览记录的合理查阅权,未成年人保护案关注儿童个人信息的特殊保护,以及人脸信息保护案等,体现了国内在特定领域对个人信息权益细化保护的实践探索,且大量案例涉及民事诉讼和公益诉讼,通过司法途径来纠正企业的侵权行为,维护个体及公共利益。国外案例则更倾向于对数据泄露事件的防范与应对,如英国航空因数据泄露被罚款,剑桥分析公司非法收集数据用于政治目的等,凸显了国外在数据安全防护方面的严格监管要求,且国外监管机构的处罚力度较大,例如美国FTC对Facebook处以巨额罚款,以此警示企业严格遵守隐私保护规定,维护市场秩序和用户信任。各国在个人信息保护的侧重点、执法方式和法律实践等方面存在差异,但都致力于为公民个人信息筑牢安全防线,保障数字社会的健康稳定发展,为我们多维度、全方面地完善个人信息保护体系提供了丰富的实践经验。

表2 国内外案例分维度对比表

维度

国内案例

国外案例

案例背景

涉及国内个人信息保护的法律实践,包括浏览记录查阅权、儿童信息保护、人脸信息侵权等。

涉及国外隐私保护的法律实践,包括Facebook隐私侵犯案、GDPR执法案例、剑桥分析公司数据泄露案等。

争议点

浏览记录查阅权的范围与合法性、儿童信息保护的合法性、人脸信息侵权的认定

用户同意的合法性、数据保护措施的充分性、数据泄露通报的及时性

法律依据

《个人信息保护法》、《网络安全法》、《App违法违规收集使用个人信息行为认定方法》

美国《联邦贸易委员会法》、欧盟《通用数据保护条例》(GDPR)、英国《数据保护法》

判决结果

支持合理范围内的个人信息查阅权、要求平台加强儿童信息保护、判决侵权者赔偿公益损害

对Facebook处以巨额罚款、要求英航加强数据保护措施、剑桥分析公司被认定非法收集用户数据

意义

明确了个人信息保护的法律边界、推动国内平台加强隐私保护措施。

展现了国际隐私保护的执法力度、强调数据保护措施的重要性、促进全球数据隐私立法与监管

二、发现:基本权利与基本规范

(一)宪法规范介入私法关系的依据

在运用宪法规范对“百余款APP因违规收集个人信息被下架”这一案例前,首先要对其合理性进行分析。平台与用户之间的关系属于私法关系,这种私法关系是否受到宪法的直接约束?国家权力因何可以介入这种私法关系?小组引入宪法基本权利的第三人效力这一概念进行解释。

所谓宪法基本权利的第三人效力,又叫水平效力、私人效力或基本权利在私法或私人法律关系中的效力。指在当事人之间是否存在涉及民事实体法律关系的宪法基本权利的第三人效力。也就是说,在私人主体之间的权利发生冲突时,宪法上规定的某项基本权利是否能穿越“国家-个人”的垂直化关系网络而直接干涉私法领域中的具体权利状态?因为法规范具有公法和私法属性,并且规定公民权利的基本法即为公法,在解释上自然会倾向于维护法规范本身的原生面貌,在没有排除宪法基本原则只约束于国家的时候,是否应该拓展为约束公民呢?这种法的体系扩张性决定要正面解决宪法基本权利的私人效力是宪法学应然的目的之一。

在公私二元结构下讨论第三人效力问题,就不能不谈公法和私法的功能区分。传统上认为,私法自治、契约自由是市民社会的基本理念,私法上的当事人出于自己的意思相互缔结合同并依照自己意志行使权利;然而一旦私法主体在社会权力结构中处于弱者地位,则强势一方就可能利用法律形式合意来达到侵害他人的效果。如果在这种背景下探讨第三人效力,国家是否有权基于宪法价值对私法进行干预,就是关于第三人效力的基本内容了。从德国法的发展史来看,并不是公法与私法截然二元对立,宪法可以直接通过“放射性效力”作用于私法秩序,其不是直接对私法主体创设宪法义务,也不是基于宪法价值直接赋予私法条款以宪法效力,而是经过法官释法的过程以及司法活动中利益衡量的方式将宪法的基本权利价值引入到私法条款中予以适用,在此过程中不干扰私法自体的内在自治,但是又能实现实质意义上的正义矫正。

基于基本权利客观法属性展开的基本权利第三人效力成为规范基础。作为宪法秩序的基本要素,基本权利不但能够为个体提供主观防御力,而且亦是法秩序的价值基础,在客观上具有对私法产生影响的意义。德国联邦宪法法院基于“吕特案”的判例确立了所谓“客观价值秩序”的基本权利公法属性具有对私法发生作用的效果,法院要通过对私法中的概括性条款进行合宪性解释,按照基本权利的作用范围限缩私法概括条款的具体适用范围;此外,当二者产生利益冲突时,应当根据正义价值在本案中的基本权重确定最终裁判结果,如《德国民法典》第138条“善良风俗”规则就是将宪法中的价值观带入私法的代表性案例,其基于契约自由和人格尊严之间的差异来化解上述矛盾。

从价值维度看,第三人效力的深层逻辑建基于宪法对于人类形象的预设。德国基本法上“社会性人格”的预设则意味着,人是兼具发展自我和遵从义务的二元主体。为协调这种二元性,在促进私人自治的同时要防止社会力量异化的结构性危害。例如,在劳动关系领域,出现了强迫劳动者服从用人单位的不合理工作要求情形,在商贸领域,大量使用标准化格式合同的商家可能出于自身利益损害消费人群的人格尊严。在此情形下,自由权的消极防御性已经难以对之作出有效的规制。小组成员认为,app违规收集个人信息就符合这一场景。平台方事先拟定了格式条款,事实上处于优势地位,用户在授权个人信息时可能根本没有仔细阅读过相关条款。因此,宪法可以一定程度上介入平台收集用户个人信息的私法关系。

国家保护义务的引入使第三人效力的义务范围得到扩张。根据德国宪法学说,除了需要遵守国家保护义务所指向的各种类型的消极义务,国家也负有防止第三方侵害的积极义务。不仅如此,一旦该消极义务或者积极义务被宣告,国家必须以立法、行政或司法的方式使其强制实现,在许多情况下还需要处于违宪监督或职权监督下的法院继续以裁判的方式予以保障。比如就包括在“堕胎案”“商业代理案”等判例之中形成的所谓“不足禁止”的宪法裁判说,也是通过对各种不同类型当事人所主张的具体案件的利益和宪法价值予以衡量的方式,要求裁判者能够以更加彻底的形式限制第三人造成损害的可能性,并且为其他更弱的一方当事人提供倾斜性的保护。国家不仅负有尊重基本权利的消极义务,还需通过立法、行政与司法手段积极防范第三方侵害。本事例就属于国家通过行政手段防范app过度收集个人信息,进而侵犯公民隐私权等基本权利。

基于方法论立场,把基本权利的取向解释解释为第三人效力的技术支撑,并且该解释方法还包含着规则取向以及结果取向两个层面的内容,即规则取向主张宪法解释为私法的价值导引,而结果取向关注意见中具体案件事实上的权利保障实效。“读者来信案”是典型的关于第三人效力的适用案例,在该案中,联邦宪法法院将一般人格权解释为《德国民法典》第823条中的“其他权利”,将宪法向私法的内容和要义输入侵权行为规范的具体适用,并且在此过程中保护了私法体系内所有的私主体之间的利益交换。此种解释技术的本质优势在于,运用法秩序之统一性原理把宪法规范转化成了私法推理的要素,从而使基本权利效力能够被“体系内适应”而不是“外部强加”。

从根本上说,第三人效力并不单是指第三人的效力规范本身,而是综合不同的规定而形成的一种结构化效力。一方面它体现出一种宪法是最高法秩序化的作用功能,另一方面也凸显出现代社会中公、私法领域之间的相互交错。一方面在规范面上是借助于客观法属性以及遵守法定义务等原理,建立了宪法与私法之间相互连接的桥梁;另一方面通过采取取向性的解释方法和个案化的衡平技术,达成了保障法安定性和实现个案正义的目标。这样的结构,既能够防止“私法帝国”的价值空洞化出现,也能够防止“宪法帝国主义”对私法自主性的冲击。从德国的实践情况来看,正确的第三人效力实践方式需要在司法权发挥作用的同时保持一定的克制,在个案中也要避免把私法的问题仅仅认定成宪法上的问题,更要防止在个案中只看到双方的表面平等而忽视背后的实质非公正。

(二)宪法基本权利的规范分析

我国宪法通过体系化的条款构建了个人信息保护的规范基础,其效力辐射至APP下架事件的争议焦点。

1.人格尊严权

《宪法》第38条规定:“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”

《宪法》第38条确立的人格尊严权是本案例中权利保护的逻辑原点,也是个人信息保护所涉及的最核心权利,该条款的“任何方法”为将“禁止侮辱、诽谤和诬告陷害的强制性规范延伸至数字化场景提供了基础——当APP未经同意收集生物识别信息、实时地理位置时,实质构成对“人格尊严”这一宪法价值的侵害。秦前红教授指出,此条款为个人信息保护提供了间接宪法依据,而杭州互联网法院在“郑某人脸信息案”中,正是通过对第38条的目的性解释,确立了生物识别信息需单独弹窗同意的裁判规则,使抽象的宪法人格尊严转化为可操作的司法标准。同时,个人信息保护所保护的是人格利益而不是对个人信息的支配。以姓名权为例,个人并不享有对于“姓名”本身的支配性权利(同名同姓者非常常见),姓名权所保护的是姓名背后对应的公民的人格利益。

2.通信自由与通信秘密

《宪法》第40条明确规定:“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”

部分APP可能存在因获取用户的通信记录而侵犯公民的通信秘密,《宪法》第40条对“通信自由和通信秘密”的保护,在APP强制获取通讯录、通话记录这一场景中将基本权利升格为客观法规则为部门法提供了法理依据,体现部门法对于宪法的价值吸收。一方面,《网络安全法》第22条要求APP提供者履行“明示并取得同意”的程序性义务;另一方面,《个人信息保护法》第13条将“通信信息”列“敏感数据”,增设了“单独同意”的特别要求。这种规范配置形成了宪法原则至部门法规则的层级传导,如某社交APP因未遵循该双重同意程序被下架时,其违宪性判定需回溯至第40条对通信秘密的核心保护意旨,即防止私人主体对公民通信自由的实质性干预。

3.财产权

《宪法》第13条规定:“公民的合法的私有财产不受侵犯。国家依照法律规定保护公民的私有财产权和继承权。”

当今是一个数据经济化、信息经济化的时代,财产权条款在这一背景下面临解释范围的变迁。由于个人信息可能具有财产属性,非法收集或滥用用户信息可能会间接侵害公民的财产权益。《宪法》第13条对“合法私有财产”的保护,在个人信息被商业化利用的当代社会中,衍生出信息主体对数据财产利益的主张权能。当企业未经授权将用户浏览记录用于精准营销、定向推广甚至数据交易时,这一行为既违反《个人信息保护法》第10条的禁止性规定,也可能构成对《宪法》第13条所确立的财产权的间接侵害。

4.平等权与权利行使限制

《宪法》第33条规定:“中华人民共和国公民在法律面前一律平等。”

《宪法》第51条规定:“中华人民共和国公民在行使自由和权利的时候,不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利。”

平等权在智能技术日益发达的当代,受到了较为严重的挑战,具体到本案例表现为有关的个人信息在使用过程中可能导致对某一特定种族、性别或年龄群体的算法偏见,导致不公平对待。这种算法偏见、算法歧视导致的实质不平等,违背了《宪法》第33条所确立的平等权以及平等精神。而第51条关于权利行使限制的规定,则为工信部下架APP这一行政行为提供了宪法层面的授权依据——当企业数据收集行为超出“不损害”的边界时,国家可依据该条款通过《个人信息保护法》第66条实施行政处罚,形成宪法限制条款至法律制裁措施的规范闭环,确保私权实现与公益无损的平衡。

(三)部门法规范的宪法衔接与体系整合

个人信息保护的法律体系是一种由高阶规范到低阶规范、由总括性的条文到具体的条款之间的多层次化的层次性规范结构。《个人信息保护法》第2条规定“个人信息受法律保护”,直接体现了《宪法》第38条有关保护人格尊严的基本要求。其次,该特别法第13条规定了7种合法性基础情形,不仅是APP违规收集个人信息所违反的最直接法律规范,亦是对宪法第51条有关权利限制的扩张解释。例如,《个人信息保护法》第13条第(3)项“履行法定职责所必需”是对宪法第51条“为公共利益需要”这一情形的具体展开,从而产生宪法与法律之间形成相互呼应的效果。同时,《个人信息保护法》第66条赋予监管部门责令下架的行政处罚权,是下架行为的直接依据。《网络安全法》第22条、第41条规定“明示同意”的内容是宪法第40条通信秘密权在网络空间规则化的内容。第64条规定下架程序没有设定听证程序要求,但是根据《行政处罚法》第44条的规定,仍然应当适用程序正当性原则,即最低限度的要求,也就是说应该实现赋予当事人陈述和申辩的权利,从而保证行政权能够遵守最低限度的正义。

部门规章与司法解释承担着宪法实施的技术细化功能。《APP违法违规收集使用个人信息行为认定方法》将“未公开收集规则”“过度收集”等抽象标准予以具体化,其规范目的在于落实《宪法》第38条对人格尊严的保护,为行政执法提供明确的操作指引。最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》则通过“单独同意”“禁止唯一验证方式”等规则设计,将宪法人格尊严转化为可操作的裁判标准。

所谓规范冲突的宪法解释机制亟待完善。《个人信息保护法》第13条和《网络安全法》第41条的“同意规则”存在规范竞合,《民法典》第1034条与《个保法》第4条规定的“个人信息”的范围有不同之处,均需借助合宪性解释方式加以解决。德国法上的“规范调适”理论可供参考,在遵循宪法第38条人格尊严的最高价值位阶的前提下,根据目的解释的方法原理对《个保法》、《网络安全法》中的“特别法”优先于“一般法”的适用规则加以确立;就《民法典》与《个保法》之间的概念争议而言,则可以运用“宪法价值辐射”的解释方法对私法的概念解释统一于宪法保护目的之下。例如,在“杭州儿童信息公益诉讼案”中,人民法院应以宪法平等权为指导,兼顾《未成年人保护法》及《个保法》两项法源,平衡《未成年人保护法》上实现未成年人的自我利益(同意)、《个保法》上规范网络的交互主体之间形成的意思合意而须达成某种形式的契约要件,以真正达成法秩序的协调一致。

比较法上的规范衔接模式为我国提供着多样性的样本参照。欧盟GDPR是通过“数据主体权利-企业义务-监管措施”的三元结构来实现宪法价值的传导的,在第1条规定了自己的立法依据为“人格尊严”,且在我国《宪法》第38条中形成了对应,基本权利为人格权时代的规定;美国《联邦贸易委员会法》通过“消费者权益保护”的方式间接实现了宪法价值,并没有具体的宪法价值衔接的表述,体现了实用主义。我国在APP下架事件上采取了“宪法原则—法律规则—行政措施”的方式,既不同于欧盟的“直接效力”模式,也不是美国的“诉讼驱动”的方式,而是利用立法转化以及合宪性解释的方式形成的独具特色的宪法实施路径,即在“某国际酒店案”中判决法院并没有直接适用宪法条款,在判决中虽然没有直接引用宪法的相关规定,但是通过《个人信息保护法》对该条款进行了系统性解释,保障了宪法第38条和第40条的相关保护。

三、分析:主要理论与主流观点

(一)比例原则

比例原则,作为行政法的核心原则之一,其渊源可回溯至19世纪初的德国警察法。它以定性定量相结合的目的正当性、适当性、必要性和均衡性为内涵构造,意在通过程序正义实现实质正义。现今,它在个人信息保护这一领域的适用变得愈加重要,并且还涉及到数据安全与数字经济发展的平衡问题,这与其宪法地位的影响力以及维护实质公平与利益平衡的本质有关。

监管部门下架APP、罚款等等种种做法都要保证“目的正当性”“手段必要性”和“损益平衡性”。不能为了罚而罚,不能缘木求鱼,也不能选择过重的处罚。如果企业积极配合监管部门做好整改,就要给予一定的减罚力度,帮助APP向好发展;监管手段不能滥用职权,要有保护个人信息安全或者公共利益的目的;监管措施带来的公共利益要明显大于监管对于企业的限制以及用户权利的损害,例如不可无故大面积下架APP破坏市场竞争秩序等。

虽然从内涵界定、适用范围的发展趋势、现有理论探讨和适用实践看,比例原则应该且可行地适用于个人信息保护领域。但是,鉴于个人信息纠纷的特殊性,比例原则的事件应用仍然面临着诸多困境。第一是不同法律规范之间衔接不畅。涉及个人信息保护的法律数量很多,如《民法典》《个人信息保护法》《网络安全法》这些法律在提到比例原则时各自为政,说法和用法都不统一,标准模糊,没有形成对比例原则的统一释义,使得应用和执行存在困难。第二是在实际应用时,比例原则受到的主观看法干扰较大,不同的人对同一案子的看法不一样,处罚力度成了难题。第三,对于比例原则的内涵构造和分析逻辑,学界没有形成统一的定论。我国学界通说为三阶理论,即适当性必要性和均衡性原则。但也存在二阶理论和四阶理论的说法,前者只包括必要性和均衡性,后者则多了一个正当性原则。另外,在理解分析和适用比例原则时,逻辑是依序逐步检索,不可以跳跃或是乱序,符合前置子原则后才可以进行下一阶内涵上的审查,否则就要终止审查。但随着比例原则适用范围的扩大,这种僵硬固化的使用办法会导致某些情势下不能实现利益的平衡。因为在个人信息保护领域中,除了传统的“权力-权利”和“权利-权利”的二元法律关系结构外,还有“权力-私权力”“私权力-权利”关系。所以,当前对比例原则分析框架、审查逻辑等问题存在较大分歧甚至误解,故而需要发挥比例原则在个人信息保护法域的广泛作用,适宜拓展其分析框架,调整其分析逻辑。第三,比例原则在个人信息保护领域适用上的特殊性和重要性没有凸显出来。个人信息保护法不同于其他传统法域,对于比例原则的适用有许多特殊之处,比如适用范围更为广泛、适用场合与对象更多元且复杂,适用力度和方式不能简单一刀切等等。但是现今的相关法律中,这些特殊性并没有被充分凸显。例如,在立法宗旨、立法目的和基本原则的规定里,比例原则应否融入、如何融入等问题尚需思考,法律规则供给的充分性、妥当性等也需完善。

为了实现比例原则所追求的数据正义,需要构建科学严密的规范体系,并衍生出相应的裁判规则。具体案情中,需要考虑违法行为的主体,不同规模的企业侵犯了个人信息与隐私,受到的处罚不应相同,大企业掌握的数据多,影响力大,所以要更严格地管控。还要考虑违法行为的具体情况,如动机和目的、过错大小、危害结果以及违法对象。同时,比例原则的适用也要依靠司法来细化和完善其具体规则,明确比例原则内容义务化条款并优先适用、针对性地细化子原则的司法审查规则。

(二)数字守门人

数字守门人是指数字平台在数字市场治理中的角色,涉及两种理论:传统守门人理论和新型守门人理论。传统守门人理论起源于证券领域,后扩展到互联网领域,它聚焦于中介机构履行第三方监管义务,阻止第三方违法行为;新型守门人理论随着数字平台反垄断兴起,强调超大型平台履行促进竞争义务,旨在通过事前监管约束超大型平台的市场力量。《个人信息保护法》的第58条特别针对超大型平台设立了“个人信息守门人”条款,旨在通过特定规则加强平台对个人信息的保护。但是当前研究常将两种守门人理论混为一谈,导致第三方监管义务的设立标准被提高了,反垄断义务成为了事前义务。《个人信息保护法》中的守门人条款就受到了新型守门人理论影响,致使实施效果不尽人意。

《个人信息保护法》第58条对个人信息守门人的角色定位并不清晰。第58条将个人信息守门人定义为“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”,虽然仍保留着“个人信息处理者”的角色外观,并且明确规定了制定平台规则与数字执法的准监管义务,但基于平台形态、用户数量和业务类型设立的主体界定标准,早脱离了对个人信息处理者的一般要求。这也使得有关个人信息守门人条款的讨论往往绕不开对欧盟《数字市场法》的经验借鉴,小到主体界定标准中具体指标的确立,大到守门人制度的平台反垄断语境,但是该法与《个人信息保护法》的立法目的、规制对象和义务设置存在显著差异,并且对主体界定标准的内在逻辑、行为违法性的分析范式均语焉不详,所以该借鉴实属错误,排除了将守门人界定为“准垄断者”的可能性。监管守门人理论揭示了私人主体作为守门人承担第三方执法义务的“准监管者”的义务,风险治理理论讲述了个人信息保护中公司合作的必要性,个人信息守门人作为超大型平台,具有信息和技术优势,职能与准监管义务相契合。

监管守门人理论揭示了私人主体作为守门人承担第三方执法义务的“准监管者”的义务,风险治理理论讲述了个人信息保护中公司合作的必要性,个人信息守门人作为超大型平台,具有信息和技术优势,职能与准监管义务相契合。

而守门人具体的义务内容有制定平台保护规则、监测严重违法行为并及时制止、建立合规体系,定期发布社会责任报告,接受社会公众的监督。监督机制中包括由外部成员组成的独立机构的专业监督、通过集中审查、反馈社会责任报告的社会监督以及在规则制定、合规内容和处罚方面发挥引导和约束作用的政府监督。

经由理论释义与论理解释,个人信息守门人准监管者的角色定位唯一性得以确准。围绕这一角色定位,个人信息守门人条款的制度运行机理也明朗起来。首先,个人信息守门人怎么界定呢?第一,将“重要互联网平台服务”限定为个人信息处理活动的关键卡口,比如应用分发平台、移动操作系统平台、应用型平台等。第二增添“用户数量巨大”的条件,在进行用户数量统计时,可以在计算活跃用户数量的基础上,通过应用使用频率、时长等指标综合考量。

(三)协同治理

协同治理是一种公共管理理论,它强调多元主体之间的合作与协调,以实现公共目标。它要求政府、企业、用户等多方主体共同参与规则制定,避免单一主体垄断话语权。要求充分发挥各主体在资源、知识、技术等方面的长处,以协同合作机制为基础构建一种协同治理的新模式,不断增进公共事务管理的效度和结果。

平台责任兼具公法和私法属性。在私法层面,平台作为市场主体,应承担相应的民事责任;在公法层面,平台作为社会管理的参与者,理应履行其监管义务。

面对APP的快速发展,单一的法律体系已难以应对复杂多变的市场环境。公私法协同治理成为了必然选择,通过政府监管与平台自律相结合的方式,实现部门利益、商业利益与个人利益的协调,创造出多维的公共价值。同时,随着人工智能和决策制定等领域的发展,数据处理的难度大幅提升,要做到数据提质和有效管理就要求政府、企业、用户组成三级长效运营机制。政府、企业和用户应当共同参与平台规则的制定。政府应提供法律框架和政策引导,企业则需要发挥行业自律作用,用户要通过反馈机制参与规则制定过程,积极维护规范与公平。

(四)数字人权

数字人权是伴随数字技术发展提出的新型权利概念,旨在保护个体在数字社会中的基本权益,其核心包含信息权利、数据权利和算法权利三重维度‌,代表了个人在数据空间中应享有的基本权利和自由。

在社会的数字化进程中,我们的人脸、指纹、虹膜等生物特征逐渐成为识别个人身份的重要信息,而应用也越来越普遍,比如刷脸支付、指纹解锁等等。而稍有不慎,这些信息就会被泄露或是滥用。为了降低其受到侵害的风险,首先要明确生物识别信息的权利属性和法律内涵。将个人生物识别信息仅仅纳入强调当事人意思自治的私法领域仍然不足以彰显和保护个人权益,应当将其提升至数字人权的高度,并以人权的力量和权威强化对数字科技开发及其运用的伦理约束和法律规制。第二处理个人生物识别信息时,需要比一般个人信息更谨慎,应该优先获得个人单独同意,让用户更加了解详细的处理目的、处理规则和权益影响等信息,并赋予其权利,可以单独选择是否同意信息的加工处理。通过加强同意要件,可以使同意内容更加具体和显著,有助于信息主体更加审慎地做出决策,并重视个人生物识别信息的风险防范和安全管理。

另外,在信息社会的数字化转型过程中,儿童、残疾人、老年人等群体在网络环境中面临着信息获取不便、数字技能缺乏以及隐私安全受威胁等方面的问题,因此成为数字弱势群体。弱势群体在享受数字技术带来的便利时面临诸多挑战,其数字人权保障成为亟待解决的问题。老年人作为“数字弱势群体”的代表,经常因对数字产品的不适应而无法充分享受互联网带来的便利,信息知情权、平等权等基本权益容易受损。

为了保障弱势群体的数字人权,需要从多个方面入手。第一,应树立“数字人权”与“共建共享”的融合理念,明确数字人权的具体内容,如隐私权、数据权、表达权等,并推动社会各主体共同参与数字建设,共享数字成果。其次,数字政府需要发挥公共服务的作用,通过无障碍改造、技能培训等措施,帮助弱势群体跨越数字鸿沟,提升他们的数字素养。另外,推动弱势群体参与立法程序也是关键一环。这不仅能让立法更加贴近弱势群体的实际需求,还能增强他们对法律的认同和信任感。同样的,社会层面的人文关怀同样重要,企业应研发适合弱势群体的数字产品,家庭成员和社会成员应给予他们更多的支持和帮助。

所以,数字人权的保障是一个系统工程,需要政府、企业、社会和个人等多方面的共同努力。只有这样,才能构建一个更加公平、公正和包容的数字社会,让每个人都能在数字时代中享有平等的机会和尊严。

四、运用:宪法分析与合宪审查

小组基于合宪性审查框架对“百余款app因违规收集个人信息被下架”这一宪法事例进行评析。合宪性审查作为宪法实施和监督的核心机制,承载着维护宪法权威、保障基本权利等功能。下文将从形式审查和实质审查两方面展开,对该宪法案例进行全面分析

(一)形式审查

形式审查是合宪性审查的前置程序。宪法作为我国法律体系的根本法,在我国法律体系中处于最高地位,其他的一般性法律均不得与宪法相抵触。小组将从主体、依据、授权三个主要方面进行形式审查,以确保下位法符合上位法的形式要件。

1.主体审查

立法主体方面,《个人信息保护法》与《网络安全法》均由全国人大常委会审议通过,符合《宪法》第58条“全国人民代表大会和全国人民代表大会常务委员会行使国家立法权”的规定,表明两部法律的立法主体具备宪法层面的合法性。在实际立法过程中,全国人大常委会广泛征求社会各界意见,经过多轮审议和论证,确保法律内容既符合国家战略需求,又能切实保障公民权益。以《个人信息保护法》为例,相关立法主体针对个人信息的界定、收集使用规则、安全保障措施等关键内容,深入调研了互联网行业的发展现状以及民众的真实需求,最终形成了具有广泛适用性和权威性的法律条文。

监管主体层面,工信部依据《个人信息保护法》第60条、《网络安全法》第8条的相关规定,对市面上的APP开展持续且严格的监管工作,属于国务院下属部门的法定职责,符合《宪法》第89条关于国务院行使行政管理职权的授权。工信部不断完善监管机制,运用先进的技术手段对海量APP进行定期筛查,能够精准定位在个人信息收集环节存在异常行为的APP,及时发现并处理违规行为。

执法主体方面,工信部作为国务院的重要组成部门,依据《个人信息保护法》第66条、《网络安全法》第64条的具体规定,对违规APP采取下架措施,属于法律授权的行政行为,并未超越法定职权范围。在具体的执法流程中,工信部严格遵循法定程序,在发现APP违规线索后,首先进行调查取证,在证据确凿的基础上依法向涉事APP运营主体下达整改通知。若对方超期未整改,则执行下架操作。

2.依据审查

《个人信息保护法》在第1条就旗帜鲜明地指出,“根据宪法,制定本法”,明确了该法属于宪法的下位法。其第6条所确立的“最小必要原则”和第13条规定的“知情同意规则”,要求APP收集个人信息应当限于实现处理目的的最小范围,且一般情形下处理个人信息应当取得个人同意,对APP收集个人信息的行为提出了明确且严格的规范要求。符合《宪法》相关条款对个人信息进行保护的精神。

同时,APP违规收集个人信息的行为,违反了《宪法》第51条“公民行使权利不得损害他人的合法权益”的规定,构成了对用户个人信息的实质侵害。为有效遏制此类违法行为,《个人信息保护法》第66条明确规定了“责令暂停或者终止提供服务”等一系列权利限制措施。旨在通过对违法APP运营主体的行为进行限制,来达到保护公民个人信息的目的,与宪法维护公民合法权益的精神高度一致,具有合宪性基础。

3.授权审查

《个人信息保护法》第66条第1款规定:“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务。”《网络安全法》第64条第1款规定:“网络运营者、网络产品或者服务的提供者侵害个人信息依法得到保护的权利,情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。”其中,“暂停相关业务”可以视为对工信部下架违规APP的授权。工信部正是依据这些具体的法律授权条款,对违规APP采取下架措施,以维护网络信息安全秩序。

前文提到,工信部的下架行为,本质上属于行政强制执行。因此,若APP运营方对下架行为不服,可以依据《中华人民共和国行政复议法》或《中华人民共和国行政诉讼法》的有关规定予以救济。原则上,复议和诉讼期间,原行政行为不停止执行,但相比传统行业,互联网行业竞争的特殊性在于其时效性。若一款互联网产品在竞争的关键时期被下架,而错过了推广的窗口期,由此造成的损失是不可弥补的。因此,考虑到互联网行业的特殊属性,行政相对人可以根据《行政复议法》第42条第三款和《行政诉讼法》第56条第二款,要求暂行执行,保留上架状态,最大程度减少行政行为可能带来的不必要的损失。

由此可见,工信部下架违规APP通过了合宪性审查中的包括主体、依据、授权等多方面在内的的形式审查,可以进一步进行实质审查。

(二)实质审查

工信部的下架行为涉及到国家权力的边界问题。数字化时代,个人信息的重要性日益凸显,公民在面对强大的市场主体时,往往在个人信息保护方面处于弱势地位。在此情形下,政府如何帮助个人对抗市场的力量?下架行为又是否会对市场造成过度干预?这些都需要在比例原则的科学框架下进行严格审查。比例原则能够帮助我们确立国家干预市场的宪法界限,《全国人民代表大会常务委员会关于完善和加强备案审查制度的决定》也将比例原则审查确立为备案审查工作的重点内容之一。小组运用比例原则对下架行为进行审查,旨在验证该行为是否同时具备目的正当性、适当性、必要性和均衡性。

1.目的正当性审查

工信部下架违规收集个人信息的APP,其目的并不是干预市场竞争,而是保护公民个人信息,维护公平竞争环境与市场秩序。如今,个人信息已成为公民权益的重要组成部分,大量APP违规收集个人信息,不仅严重侵犯了公民的个人隐私,还可能引发一系列诸如信息泄露、电信诈骗等社会问题,危害社会稳定。工信部通过下架违规APP,能够从源头上遏制此类侵权行为,切实保障公民的个人信息安全,进而营造一个安全、可信的网络环境,促进市场的健康发展。这一目的毫无疑问是正当的。

2.适当性审查

适当性审查的关键在于,这一措施能否有效促进既定目的的实现?工信部实施下架行为,能够迅速且直接地阻止涉事APP继续违规收集用户个人信息,从而减少市场中的无序竞争,提高社会整体的信息安全意识,有利地推动了保护公民个人信息、维护市场秩序这一正当目的的实现。尽管目前关于APP下架后已经违规收集的个人信息如何进行妥善处置,尚未有详细的公开报道,但工信部在有关通报中明确表示将“举一反三,认真排查、系统排查反复出现问题企业,严格落实企业主体责任,把好上架审核关”,可以合理推断出工信部对于APP下架后违规信息的处置工作必然有着较为全面的考量与规划,以减少违规收集的个人信息对用户可能造成的潜在风险。

3.必要性审查

根据《个人信息保护法》与《网络安全法》的相关规定,目前针对APP违规收集个人信息的处理方式有警告、通报批评、罚款、暂扣许可证件、吊销许可证件、限制开展生产经营活动等。其中,警告、通报批评作为较为轻微的处罚措施,在下架APP前就已经实施,被下架的APP都是属于超期未整改的,也从侧面说明警告和通报批评的威慑力相对有限,往往无法促使其真正重视并彻底整改违规行为。罚款作为常见的经济处罚手段,一是数额难以确定,二是罚款数额相对不高,对相关经营主体的震慑力度较小。而暂扣、吊销许可证件这些措施一旦实施,显然会对经营主体造成显著且难以挽回的影响。相较而言,下架并不意味着APP不能继续运营,只是不能从应用市场中继续下载,会影响品牌的声誉和新用户的增长速度,但不影响已有用户的正常使用。同时,在完成整改并通过审核后,APP仍可重新上架恢复运营,能够有效促使涉事企业尽快完成合规整改。因此,综合比较各种处理措施,相比于下架,目前确实难以找到同等有效且对企业和社会影响较小的替代措施。

4.均衡性审查

首先,深入分析下架违规APP在实现公共利益方面所发挥的作用。目前,APP违规收集个人信息已严重威胁到广大用户的个人信息安全与整个网络生态环境的健康稳定。通过对违规APP实施下架措施,能够有效遏制APP违规收集个人信息的不良行为,督促涉事APP运营主体严格遵循法律法规,合法处理相关数据,进而推动行业整体的合规整改。在工信部高强度的整治行动下,市面上的APP普遍对隐私条款较为谨慎,对于敏感信息收集,通常采取单独同意、弹窗同意的形式,充分保障用户的知情权和选择权。微信、抖音等行业头部APP也都陆续推出了“取消个性化推荐”的选项,用户可以根据自身需求自主决定是否接受个性化推送服务,极大地增强了用户对个人信息的掌控。可以清楚地看到,下架违规APP的行为在维护用户个人信息权益、构建安全可信的网络数字生态方面发挥了至关重要的作用,有力地推动了公共利益的实现。

其次,客观评估下架行为对公民个人权利的干预程度。下架并不影响已有用户的正常使用,已下载的用户可以继续使用APP的各项功能。而且,在互联网应用市场高度发达的今天,若某一款APP因违规收集个人信息被下架,用户也可选择同一领域的其他APP满足自身需求,对个人服务选择权的影响相对较小。虽然下架会给企业带来一定的经济损失,但从长远发展的角度来看,企业只要积极主动地进行合规整改,尽快达到相关标准要求,即可重新上架恢复运营。这反而有利于企业树立良好的品牌形象,实现可持续发展。

最后,对公共利益与个人权利进行综合权衡。个人信息涉及人格尊严,属于高位阶法益,其重要性不言而喻,而企业的经营自由和用户便利虽然也具有一定价值,但相对而言属于低位阶法益。工信部实施的下架违规APP的行为,能够有效保护公民个人信息。尽管下架行为在一定程度上会对企业的经营自由和用户的使用便利造成暂时的影响,但从整体和长远的角度来看,其对公共利益的实现程度显然大于对公民权利的干预程度,具备合宪性基础。

综上所述,通过运用比例原则,从目的正当性、适当性、必要性和均衡性等多个维度进行全面审查,可以得出工信部下架违规收集个人信息的APP的行为是符合比例原则的,可以通过实质审查。因此,小组一致认为,“百余款APP因违规收集个人信息被下架”这一宪法事例在经过严格的合宪性审查后,可以认定其是符合宪法规定的,是一次成功运用宪法原则维护公民权益和社会秩序的实践。

五、结语

工信部下架百余款违规收集个人信息APP的行为符合宪法基本规范。对个人信息的重视与保护如同数字时代宪法实践的鲜活注脚,以《宪法》第38条人格尊严权为轴心,通过基本权利第三人效力贯通公私法领域,构建了“宪法原则—法律规则—行政措施”的治理链条。

研究这一宪法案例时,小组成员更加深刻地体会到了宪法基本权利的数字化延伸。《宪法》第38条作为个人信息保护的逻辑原点,在APP违规收集生物识别信息、地理位置等场景中,通过“禁止任何方法侵害”的规范内涵,将人格尊严从传统物理空间延伸至数字空间。查阅资料后,我们对数字人权的三维构建有了更加清晰地认知。我们对宪法规范介入私法关系的理论“基本权利第三人效力”也有了更深的了解。在平台与用户的私法关系中,宪法通过“客观价值秩序”辐射效力介入治理。我国《民法典》第1034条通过人格尊严条款解释隐私权,实现宪法价值对私法的渗透。国家既负有防止企业侵害的消极义务,也需承担通过立法、行政构建保护框架的积极义务。通过对位阶法律的整理,我们明确了有关个人信息保护的层级规范体系的构建。从宪法到特别法再到部门规章,法律之间相互衔接,范形成了完整的金字塔结构。

本案如路标,指引宪法在数据确权、算法治理等新领域拓展保护维度,为构建中国特色数字人权保障体系锚定坐标:既要以宪法价值遏制技术异化,又需通过规范衔接为数字经济注入法治动能。宪法不仅是纸面上的权利宣言,更需通过第三人效力、比例原则等技术工具,在APP治理、算法规制等新领域构建合宪的治理链条,最终实现数字人权保障与数字经济发展的平衡。