阮晨欣：法益衡量视角下互联网可信身份认证的法律限度(12)

《欧洲cookie指令》的核心内容，是对电子商务中cookie的使用加以规范和必要的信息披露管理。欧洲通用数据保护规定（europe’s general data protection regulation “gdpr”）于2018年5月生效，它针对个人隐私、安全标准等作出规范。其中，“数据主体的同意是指，数据主体依照其意愿自由作出的、特定的、知情的、明确的指示。通过以声明或清晰肯定的行为作出的该等指示，数据主体表明其同意处理与其相关的个人数据。”
目的限制原则，也即尊重目的规范原则。它的基本内涵是数据的收集不能超出其目的，也受限于时间。目的限制原则包含明确与限制利用两方面。目的明确原则是指个人信息在收集时必须有明确的特定目的，禁止超出目的范围收集、处理和利用个人信息。限制利用是指个人信息在利用时应该严格限定在收集的目的范围内，不应作收集目的之外使用。以新浪微博账号删除为例，尽管微博账号已经删除了，但是搜索引擎如google或百度，还存在着原账号的搜索镜像数据。搜索引擎是否有义务配合把所有相关的搜索数据一并删除，值得思考。删除网络账号，与公民的互联网可信身份认证息息相关。网络账号内通常包含用户注册时填写的个人信息，其中可能还包括身份证号码、银行卡号、手机号码等敏感信息，如果不允许用户注销账号，这些信息仍然保存在网络服务商的服务器上，一旦遭到黑客攻击，后果非常严重。
用户注销app后，平台有可能会留存两类信息：一是用户注册信息，如用户名、密码、身份证号、手机号、邮箱等基本信息；二是用户的历史操作信息，比如，用户的访问信息、消费信息及支付信息等。用户的注册信息和历史操作信息大多会被保存在app后台数据库。《网络安全法》对个人信息的界定超越了隐私，包含了公开的归属于个人身份的可识别信息，但对个人信息犯罪以转移型侵害为核心的规制思路却仍然延续了隐私权的防范保护思路，与隐私保护以防范个人信息不当泄露转移为核心的逻辑相同。

四、互联网可信身份认证之实践构想