“谁收集，谁负责”撑起个人信息“保护伞”

除了明确公民个人信息范围，划定“情节严重”标准等，网络安全法还明确了企业在网络信息安全的责任：“网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。”

同时，两高《解释》也规定，网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照拒不履行信息网络安全管理义务罪，追究其刑事责任。

在福建元一律师事务所律师郭承恩看来，确立“谁收集、谁负责”的基本原则，这将有效约束公民个人信息采集主体审慎使用公民个人信息，进而在信息采集源头建立“防护栏”。

公开报道显示，２０１６年，全国公安机关共侦破网络侵犯公民个人信息案件数量２１００多起，查获被侵害的公民个人信息５００多亿条，抓获犯罪嫌疑人５０００多人，其中属于各行业内部人员的达４５０多人。

业界人士指出，侵犯公民个人信息犯罪中，直接贩卖者只是链条的重要一环，却不是问题的全部，其背后是一些手机应用暗藏风险隐患，一些企业个别“内鬼”兴风作浪，一些互联网公司安全防范不足、信息管理粗放等“业内”问题。

华东地区一家互联网公司网络安全负责人宋宏宇说，企业的安全“缺口”是信息安全的重点，过去企业安全意识薄弱，精力更多投到产品上，导致企业安全“生态”不好。明确了企业的责任后，如果企业在安全防范上没有按照法律规定去做，过去用户数据泄露就只是发个声明了事的，现在要承担明确的法律责任。

为切实加大对行业“内鬼”参与公民个人信息泄露案件的惩治力度，《解释》还明确在认定“情节严重”时，对行业“内鬼”泄露信息的数量、数额标准都要减半计算，入罪门槛更加严格。