阮晨欣：法益衡量视角下互联网可信身份认证的法律限度(11)

换句话说，我国的法律并没有将个人信息权建立在彻底的个体主义基础之上，相反，我国的立法结合了信息合理流通与各方合理预期来确定法益衡量的选择。
（三）法益衡量之标准：数据收集基于目的限度原则
针对不法分子利用互联网可信身份认证以达到非法目的的行为，法律监管原则应当对数据收集活动明确目的。目的明确原则是指个人信息在收集时必须有明确的特定目的，禁止超出目的范围收集、处理和利用个人信息。首先，应当厘清利用互联网可信身份以达到的目的合法与否。在科技发展及新技术的普及和创新浪潮中，互联网可信身份之数据流动已经十分普遍。“企业进行个人数据转移也可能是为了规避本国保护个人数据方面的法律，并滥用这些数据侵害相关主体的个人数据权或隐私权，甚至，这些数据可能被第三国政府用于跨国情报监听。”互联网可信身份认证作为参与网络空间活动的数字凭证认证行为，主要在于利用身份进行个人及群体的合法活动。不法分子利用他人互联网身份数据进行诈骗、盗窃等犯罪行为，或者从身份入手，伪造、变造、买卖、盗用他人身份信息，进行违法犯罪活动，不利于互联网的认证体系的信任支撑，更造成公民利益被侵犯的严重后果。
厘清利用互联网身份的目的，能推动法律介入的主动性，更好地预防违法犯罪活动。其次，要在互联网可信身份认证的数据收集活动中思考传统法律新适用。《网络安全法》第41条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。在数据收集活动中，公民个人的互联网可信身份数据受到公司、企业的关注和收集。这也造成了双方地位的不平等，单靠公民个人无法消减数据收集活动的不合法性。因此，让数据收集者和数据使用者承担保护、监测和滥用责任，应当是法律关注的重点。一方面，数据收集者和数据使用者必须保护公民个人互联网可信身份数据的安全性和隐私性。另一方面，在数据泄露和违法使用时，必须承担相应的责任。例如，在肖某某、孙某某、王某某侵犯公民个人信息罪一案中，2017年2、3月份，肖某某、王某某利用微信倒卖公民个人信息。
同年5月，被告人王某某在河北省承德市公安局交警支队担任协警期间，将持有的他人的“警务通”（移动警务终端）提供给肖某某使用。肖某某伙同孙宏建利用“警务通”查询公民个人信息2万余条，出售并非法获利共计16余万元。最终，各被告人违反国家规定，向他人出售或提供公民个人信息，情节特别严重，构成侵犯公民个人信息罪。再次，监管原则必须在法律限度之目的限度的把控下对数据收集进行规范。基于其他国家及组织的实践研究，经济合作与发展组织（经合组织）发布了“理事会关于保护个人数据隐私和跨境流动指南的建议”，其中包括目的原则，即数据仅应用于所述目的，不得用于任何其他目的。由此发展，欧盟于1995年通过《数据保护指令》的规定处理欧盟内部的个人数据。2009年11月25日，欧盟对个人数据保护措施又进行了一次重要修正，通过了《欧洲cookie指令》(eu cookie directive，directive 2009/136/ec)，并确定其于2011年5月25日在欧盟正式启用。