黃子河舉例說(shuō)，一些網(wǎng)站本是辦一個(gè)很小的事，卻讓用戶(hù)填包括家庭住址、手機號在內等很多信息，這就不符合“最少使用”原則。
　　
　　“安全保障”則是要個(gè)人信息管理者一旦收集了個(gè)人信息，就必須建立一套個(gè)人信息保護制度，明確責任人和內部管理流程，以及應對個(gè)人信息泄露的風(fēng)險。
　　
　　中國軟件測評中心的副主任高熾揚估計，個(gè)人信息泄露中70%-80%屬內部作案，這是“安全保障”原則沒(méi)能落實(shí)好所致。
　　
　　他介紹說(shuō)，一些商業(yè)公司掌握大量個(gè)人信息，由于管理制度疏漏，一些內部員工未經(jīng)授權就能獲取客戶(hù)信息。
　　
　　依照《個(gè)人信息保護指南》，在收集個(gè)人信息階段告知的“使用目的”達到后應立即刪除個(gè)人信息。
　　
　　高熾揚說(shuō)，有次，他在某航空公司網(wǎng)站購買(mǎi)機票，使用電話(huà)支付的時(shí)候，工作人員搜集了他的支付信息：姓名、身份證號、信用卡號和信用卡的最后三位支付號碼。購票成功。
　　
　　但是，過(guò)段時(shí)間他再去購票時(shí)，對方問(wèn)他，“您還是使用卡號末四位是****的信用卡支付嗎？如果是，只要告訴我就可以了。”
　　
　　“(這家公司)存儲了我的信息。”3月26日，高熾揚一邊講述一邊搖頭。
　　
　　高熾揚說(shuō)，他所經(jīng)歷的航空公司電話(huà)訂票的經(jīng)歷，就是航空公司在達到此次訂票目的后，未能及時(shí)刪除客戶(hù)信息。
　　
　　信息保護指南非強制標準
　　
　　“為了經(jīng)濟效益，無(wú)利不起早。”高熾揚估計，目前沒(méi)有哪個(gè)行業(yè)不存在信息泄露。
　　
　　比如孕婦生完孩子剛回家，賣(mài)奶粉的電話(huà)就過(guò)來(lái)了，病人檢查完身體，檢查單還沒(méi)看懂，相應的醫藥公司就已經(jīng)打電話(huà)賣(mài)藥來(lái)了。
　　
　　中國軟件評測中心研究員劉陶把個(gè)人信息比喻成“很多錢(qián)裝在紙糊的銀行里，很容易被黑客破解。”據他們調查，公眾最關(guān)心的金融、電信等領(lǐng)域的個(gè)人信息安全。
　　
　　而讓人擔憂(yōu)的是，這個(gè)指南標準不是強制性標準，甚至也不是推薦性標準，標準通過(guò)會(huì )對行業(yè)起到多大的規范效力，仍待觀(guān)察。
　　
　　中國軟件評測中心主任助理朱璇說(shuō)，此次個(gè)人信息安全國家標準“屬于技術(shù)指導文件”。
　　
　　國家標準分為三種，一個(gè)是強制性標準，一個(gè)是推薦性標準，一個(gè)是指導性技術(shù)文件，標準可以作為參考。而國家強制性標準多在食品安全領(lǐng)域。
　　
　　不過(guò)，黃子河認為，標準適用于除了政府機關(guān)等行使公共管理職能以外的各類(lèi)組織和機構，特別是電信、醫療等涉及個(gè)人敏感信息比較多的服務(wù)機構。
　　
　　-現狀
　　
　　40部法律難約束個(gè)人信息泄露
　　
　　工信部電子科技情報研究所副所長(cháng)劉九如統計，目前有近40部法律、30余部法規，以及近200部規章涉及個(gè)人信息保護，其中包括規范互聯(lián)網(wǎng)信息規定，醫療信息規定，個(gè)人信用管理辦法等。
　　
　　“針對個(gè)人信息的法律法規并不少，然而內容較為分散、法律法規層級偏低。”劉九如說(shuō)。
　　
　　刑法修正案(七)被認為是個(gè)人信息立法的標志性事件之一。
　　
　　2009年，刑法修正案(七)確定了“出售、非法提供公民個(gè)人信息罪”、“非法獲取公民個(gè)人信息罪”罪名，首次將公民個(gè)人信息納入刑法保護范疇，規定要追究泄露、竊取和售賣(mài)公民個(gè)人信息行為的刑事責任。