【图片来源自网络】

2.行政领域

我国工信部曾于2013年发布《电信和互联网用户个人信息保护规定》，明确约束了电信及互联网从业者对用户个人信息收集和使用。其他仍有很多的规章和其他规范性文件也涉及到个人信息的保护，但涉及的区域及行业都十分有限。

3.民事领域

我国已将个人信息的保护纳入民法范畴。《中华人民共和国民法总则》第一百一十一条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”

《民法总则》第一百一十一条专门规定个人信息保护规则，首次从民事基本法层面提出个人信息权，并明确了个人信息保护的基本行为规范。

（二）现阶段法律法规的不足

1.刑法领域个人信息保护的欠缺

我国刑法已将侵犯公民个人信息罪的犯罪主体从公共机构层面放宽，但仍面临着多重现实问题。

第一，侵犯公民个人信息的行为多是通过网络途径，公安部门立案有赖于受害群众报案；现阶段网络技术发达，犯罪分子通过伪造号码、私设基站等方式隐匿自身行踪，甚至自身躲到国外，给破案、抓捕行动造成了很大的困难。

第二，刑法不能规制因过失而导致信息泄露的情况。许多以合法途径收集个人信息的个人和单位，仅关注个人信息的商业价值，并不关注对提供人个人信息的安全保管，安全意识差，因黑客入侵、员工泄密等导致个人信息泄露的情况数不胜数。

刑法只惩罚入侵的黑客、泄密的员工，但是对疏于防范、违反安全管理义务的个人信息收集者并不追责。虽《中华人民共和国刑法》第二百八十六条之一规定了拒不履行信息网络安全管理义务罪，但是该罪存在“经监管部门责令采取改正措施而拒不改正”等苛刻条件，刑事司法实践中尚未有本罪的判例。

2.行政领域个人信息保护的不足

另一方面，各行政法规与规章虽对各地区及行业的个人信息收集与保管做出了规范，但其规制的区域及行业毕竟有限，其惩罚力度也限制在法律规定的范围之内。

以《电信和互联网用户个人信息保护规定》为例，其第二十三条规定：“电信业务经营者、互联网信息服务提供者违反本规定第九条至第十一条、第十三条至第十六条、第十七条第二款规定的，由电信管理机构依据职权责令限期改正，予以警告，可以并处一万元以上三万元以下的罚款，向社会公告。”相比泄露个人信息造成的巨大损失和消极影响，一至三万元的处罚简直如九牛一毛。