中国版“天空之镜”茶卡盐湖景区开园

在出现上述两种不能删除的情形下，法律规定个人信息处理者只能采取存储及其他保护措施。

《政府组织法》第7条第10项规定，中央人民政府委员会筹备并召开全国人民代表大会。[1]七届二中全会决议是《共同纲领》的政策基础，而此决议是以毛泽东为核心的中国共产党人依据新民主主义理论制定的。

针对《共同纲领》作为建国初宪法正当性欠缺的观点，有学者指出，1954年全国人大一届一次会议确实是由选举产生，但根据邓小平对1953年《全国人民代表大会及地方各级人民代表大会选举法》（以下简称《选举法》）的说明，该《选举法》是采用直接选举与间接选举相结合的方式，是个过渡办法，一个由过渡办法产生的全国人大，意味着什么？[16]106 2、新中国→全国人大一届一次会议→1954年宪法 制宪会议→宪法→国家（政权），是建国的一般模式，新中国也不例外，1954年宪法是在建国后5年由作为宪制机关的全国人大一届一次会议通过，这决定了此次会议通过1954年宪法并不是行使制宪权。中国人民由被压迫的地位变成为新社会新国家的主人，而以人民民主专政的共和国代替那封建买办法西斯专政的国民党反动统治。会议还选出中华人民共和国中央人民政府委员会和中国人民政治协商会议第一届全国委员会。有学者认为《共同纲领》是由《共同纲领》所创设的中国人民政治协商会议这一组织形式所通过。[21]如上所述，《政协组织法》也具有双重性质，既是政协章程，又是建国宪章。

中国人民政治协商会议第一届全体会议发挥了统一战线组织、制宪会议和国家最高政权机关三种机构的功能。当初共同纲领所以成为临时宪法，是因为政治协商会议全体会议执行了全国人民代表大会职权。〔20〕参见夏伟：《新型权利入民法典对刑法犯罪评价的影响》，载《法学评论》2021年第3期。

有学者指出，隐私权、个人信息权与个人数据权存在权利竞合，并呈现出人身属性逐次弱化、其他属性强化的态势。与其他层级的个人信息在收集、存储、使用、加工、传输、提供、公开等方面形成相区别的授权同意、技术安全、信息处理之规范等。〔44 〕《信息安全事件分类分级指南（征求意见稿）》附录A规定，某个信息安全事件的严重级别不仅取决于业务，还取决于该事件的性质，诸如故意性、目标性、时机、量级。收集该类信息数据必须获得权利主体明示同意，个人信息的处理目的、处理方式等要符合合法、正当、必要原则。

〔47 〕在对侵犯敏感个人信息法益的行为进行刑事违法性评价，必须先进行民事违法性判断，即双层违法性判断。个人信息权益在民法典中的规定，为刑法填补了前置法根据。

比较来说，敏感个人信息所蕴含的法益性质与一般个人信息并无不同，主要是公民个人的人格、财产权益和人身安全。敏感个人信息保护法益的多元化决定了法益识别判断的复杂性。按照《刑案解释》的规定，财产信息属于刑法上的高度敏感信息，交易信息则属于一般敏感信息，但在有的情形下两者难以界分。〔35〕参见李惠宗：《行政法要义》（第六版），台湾元照出版有限公司 2012年版，第132页。

〔14〕See Paul Ohm，supra note 69，1161. 〔15〕参见同前注〔6〕，宁园文。因此，不能因为间接个人信息的间接性而忽视对其进行规制和保护，只不过不再像以往一样依赖隐私权保护模式，而是要通过个人信息权的保护加以实现。〔23〕[德]约阿希姆·福格尔：《纳粹主义对刑法的影响》，喻海松译，载《刑事法评论（第26卷）》，法律出版社2010年版，第300页。对于侵犯敏感个人信息法益的犯罪，选择适用何种罪名，则离不开数据安全法、网络安全法等前置法律规范的参照系作用。

司法实践中对于手机位置信息的认定存在困惑。因此，个人信息保护有必要在界定个人、社会、国家法益层级的基础上，实行分类分级保护，以实现个人信息法益的一体化保护和法秩序的统一。

或者说，无论个人信息主体是否愿意为他人知晓，都不影响某一信息客观上是否属于敏感个人信息。在不同层级的立法中，不同类型个人信息的法益属性和保护重心是不一样的，个人信息分类分级具有重要的法益识别和风险防范功能。

〔40〕参见曲广娣：《论法律体系的概念及其构建的一般条件——综合系统论和分析法学视角》，载《中国政法大学学报》2015年第3期。（二）敏感个人信息的强化保护规则 从国外立法来看，许多国家立法都以禁止处理敏感个人信息为原则，但禁止范围及法律效力存在差别。从域外立法来看，许多国家均规定了敏感个人信息的定义，并采取列举方式限定个人信息的范围。〔43〕《个人信息安全规范》第3.6条规定，明示同意个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。有学者指出：个人信息保护法中设置了大量的私法规范，确立了知情同意的原则性架构、过错推定侵权责任及公益诉讼等私法性救济机制，体现了公私法融合的立法趋势。〔28 〕相关法律法规也针对敏感个人信息规定了强化保护规则和分类分级保护制度。

如果攻击者非法获取、泄露或未经授权访问生物特征参考样本、模板或模型，如护照上的面部图像，必须撤销和更新受侵害者的参考，并将合法的数据主体与新的生物特征参考联系起来。（三）敏感个人信息的分类分级保护 我国立法机关先后颁布实施了网络安全法、数据安全法和个人信息保护法，分别承担着保护网络安全、数据安全、信息安全的基本法职能，彼此之间也存在交叉重合关系。

〔39 〕个人信息保护法就是这样一部保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用的行业法、单行法和综合法。美国2015年消费者隐私权利法案（草案）（CPBR）规定了敏感个人可识别信息，并将保障其安全作为该立法的主要任务。

〔37〕参见同前注〔28〕，石佳友文。具体来说：其一，以禁止处理敏感个人信息为原则。

〔25〕参见孙笑侠：《人脸识别触及哪种权利？具有何种正当性？》，载《中国法律评论》2020年第6期。〔31〕参见黄忠：《民法如何面对公法：公、私法关系的观念更新与制度构建》，载《浙江社会科学》2017年第9期。弱主要体现在数据控制者收集该类数据只需获得数据主体默示同意即可。〔27 〕随着生物信息资源的跨境转移和利用，一些国家通过多种途径收集个人生物信息，进行人类遗传信息资源的控制与争夺，输出国遗传信息资源流失的风险不断增大，个人生物识别信息也被赋予了公共秩序和国家安全的法益属性。

〔11 〕隐私权保护强调个人私生活的安宁不被干扰。〔48〕参见周光权：《转型时期刑法立法的思路与方法》，载《中国社会科学》2016年第3期。

与一般个人信息处理采取概括同意不同，对于个人敏感信息的处理应当取得个人的单独同意。〔54〕参见陈兵、王骐：《公民个人信息的类别判断及数量认定方法》，载施伟东主编：《上海法学研究》2020年第23卷。

相比之下，私密信息的范畴较为宽泛，可涵盖所有未公开的个人信息，而敏感信息的对象范围更为明确具体，在比较法上属于通行概念。而在动态过程中着重认定难度还可能会增大，需要发挥司法的裁量权进行实质解释和利益衡量，以实现个案公正，而不能一味依赖国家司法机关通过制定规范性司法解释条文将变量固化为定量。

人脸识别民案规定第3条规定，法院认定信息处理者承担侵害自然人人格权益的民事责任，应当适用民法典第998条的规定，并结合案件具体情况综合考量受害人是否为未成年人、告知同意情況以及信息处理的必要程度等因素。〔42 〕在我国，除了民法典、网络安全法、个人信息保护法等法律法规之外，《生物信息保护要求》《个人信息安全规范》等行业规范文件对于敏感个人信息的强化保护发挥着重要的参考作用。（一）公私法融合与一体化保护理念 在一国法律体系中，根据所调整法律关系的不同、保护法益的差别等标准，部门法可分为公法与私法。在对公私法领域的个人信息进行分类的基础上，应综合考虑影响分级的各种定级要素，确定不同的保护层级，并有针对性地选择不同法律、采取不同方式加以保护。

〔36 〕个人信息保护法同时包含公法规范与私法规范，具有公法与私法的混合法属性。本文系国家社会科学基金重大项目网络时代的社会治理与刑法体系的理论创新（项目批准号：20ZD199）、数字经济的刑事安全风险防范体系建构研究（项目批准号：21ZD210）、国家社科基金一般课题大数据背景下公民个人信息刑法保护体系研究（项目批准号：19BFX074）、2021年度山东省人文社会科学课题大数据背景下个人生物识别信息的刑法保护研究（项目批准号：2021-TCFX-04）的阶段性研究成果。

由于敏感性的主观性较强，敏感度完全可能因不同的主体而完全不同，但并非完全无法认识和把握，可以社会一般人的认识标准加以判定，减少和消除其不确定性因素。〔24 〕有学者指出，民法典第1034条规定的个人信息权涉及身体的信息，如生物识别信息、健康信息、行踪信息等，与身体权有交叉和重叠。

个人信息权利保护的法益既包括防御性的隐私权益，也包括人格尊严、财产权益、安全权益以及增强个人便利或个人信息能力的信息控制权。而离开了信息组合的关联性，就不能成为间接个人信息。