消费者权益保护法规定,经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。国务院网络交易管理办法第十八条规定:在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
2016年11月,网络安全法正式出台,明确了对侵害公民个人信息行为的惩处措施。网络运营者、网络产品或服务提供者以及关键信息基础设施运营者如未能依法保护公民个人信息,最高可被处以50万元罚款,甚至面临停业整顿、关闭网站、撤销相关业务许可或吊销营业执照的处罚,直接负责的主管人员和其他直接责任人员会被处以最高十万元的罚款。
“企业的信息安全管理不到位,政府主管部门可以对其进行行政处罚,公民个人如果权益受到侵害,也可以要求其进行民事赔偿。实施过程中的难点在于,网络信息泄露具有隐蔽性、追查困难、查处难度大,由于缺乏系统性、可操作性,现有立法难以满足实践需求。”王新亮介绍。记者注意到,虽然信息泄露、数据安全事件频出,却从未见到企业负责人被追责。