“谁收集，谁负责”撑起个人信息“保护伞”

除了明确公民个人信息范围，划定“情节严重”标准等，网络安全法还明确了企业在网络信息安全的责任：“网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。”

同时，两高《解释》也规定，网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照拒不履行信息网络安全管理义务罪，追究其刑事责任。

在福建元一律师事务所律师郭承恩看来，确立“谁收集、谁负责”的基本原则，这将有效约束公民个人信息采集主体审慎使用公民个人信息，进而在信息采集源头建立“防护栏”。

公开报道显示，２０１６年，全国公安机关共侦破网络侵犯公民个人信息案件数量２１００多起，查获被侵害的公民个人信息５００多亿条，抓获犯罪嫌疑人５０００多人，其中属于各行业内部人员的达４５０多人。

业界人士指出，侵犯公民个人信息犯罪中，直接贩卖者只是链条的重要一环，却不是问题的全部，其背后是一些手机应用暗藏风险隐患，一些企业个别“内鬼”兴风作浪，一些互联网公司安全防范不足、信息管理粗放等“业内”问题。

华东地区一家互联网公司网络安全负责人宋宏宇说，企业的安全“缺口”是信息安全的重点，过去企业安全意识薄弱，精力更多投到产品上，导致企业安全“生态”不好。明确了企业的责任后，如果企业在安全防范上没有按照法律规定去做，过去用户数据泄露就只是发个声明了事的，现在要承担明确的法律责任。

为切实加大对行业“内鬼”参与公民个人信息泄露案件的惩治力度，《解释》还明确在认定“情节严重”时，对行业“内鬼”泄露信息的数量、数额标准都要减半计算，入罪门槛更加严格。

个人信息的系统化保护还待构建

随着信息化建设的推进，信息资源成为重要的生产要素和社会财富。宋宏宇等人认为，网络安全法和两高《解释》向公众传递一个信号：信息很重要，法律已经开始保护了。

不过，李承蔚也表示，有法可依只是促进个人信息保护的第一步，是否落实到位，还需要相关部门相互联动，做到有法必依，执法必严。

此外，个人信息保护硬件和软件整体环境的改变也还需要一个连锁的递进过程。李承蔚表示，侵犯个人信息已成社会公害，还需市场和社会共治：一方面，提高行业的透明度，防止个人信息被过度采集、不当加工和非法使用，防范对个人隐私和商业秘密的侵害；另一方面，依靠行业的自律，通过建立全面、细致、先进技术手段的行业标准和企业自律规范，构建一个良性竞争环境，避免劣币驱逐良币现象。

宋宏宇等专家强调，信息的安全保障需要合作，法律法规出台了，随后的沟通和管理也要跟上，需建立一个更好的协同联络平台，帮助有关部门、企业间协调沟通，避免过去出问题了企业自己闭门造车处理的情况。

还有业内人士指出，发挥个人信息保护立法的基础性作用，管理部门也要跟上技术发展的脚步，及时出台标准规范引导企业合法合规的数据需求，既要斩断非法利益链条，也要依托行业发展不断提升信息数据的保障能力。