“漏洞门”再次显现出网站作为数据保有者是否适格的问题。从我国网络实名制发展来看，当初的制度设计是，将网络个人信息分成身份信息和注册信息两大类，涉及用户现实身份，以及诸如身份证号码、家庭信息、银行卡信息等核心隐私的数据将保存于第三方机构储存。注册信息网站可以自行保存。不过，当时制度设计考虑并未想到网络经济发展如此迅速，甚至已经无法割裂个人信息中的身份信息和注册信息，如果不给予网站保留或使用用户身份信息的权利，那么，很多诸如支付、预定、消费等活动就无法进行。

那么，如果用户的身份信息在现实情况下已经无法交由第三方平台保存，势必就要强调网站作为储存终端的注意义务和法律责任，而恰恰这两者正是现在网站所缺少的。一方面，网站作为经营者会因成本增加忽略安全性建设，另一方面，现行法律甚至互联网协会也未将网站注意义务和法律责任真正落实到位。如此一来，“漏洞门”事件其实并不是偶然，大规模泄露用户数据的情况很可能再次发生。

因此，强调数据保有者责任必须提到最显著位置，主要有三方面构成：

第一，政府监管部门需要对数据保有者的安全性作出明文规范，并进行常态化巡查制度。各级网络协会应该承担起相应义务，主导规范性建设，并保证切实将网站作为常态化监管对象。(www.daowen.com)

第二，完善网络数据泄露危机处理应急机制，政府应建立专门部门针对各类木马、病毒、黑客攻击等事件做到常态化通告和协同应对机制。从国外比较法看，一些国家判例中将病毒出现作为“不可抗力”使得网站免责。不可抗力的构成是“不能预见、不能避免、不能克服”，在网络安全领域中适用的前提是，网站已经尽到了所有可能的安全保障义务，而且泄露之后，网站也尽到了最大限度的善后事宜。如果政府建立专门部门对涉及数据安全的隐患及时发布，那么，隐患信息发布后网站如不及时采取必要措施，就不能以不可抗力免责。同时，专门机构对网站数据保护机制还有必要的监管责任，制定必要的安全制度。

第三，我国应尽快出台一部《个人数据保护法》。虽然目前我国在个人电子数据保护领域存在《侵权责任法》《合同法》《刑法》《关于加强网络信息保护的决定》等十几部法律法规，但是，这些立法过于庞杂，缺少针对性的专门立法。在很大程度上，漏洞门事件可能成为“无法可依”的悬案：被泄露信息用户的赔偿无法有效计算，网站注意义务法律责任无法衡量，网站存储和利用数据范围无法明确界定，善后工作处理无法正确评估等等。

《个人数据保护法》的意义并不单纯是确定网站法律责任或义务，还在于协调我国目前十几部关于个人信息保护法律法规的基本法，也是其他立法部门在日后订立新法、修改旧法的基本渊源。