针对频发的个人信息安全事件，从法律界、学术界到社会层面，几乎一边倒地将防范和降低风险的期望寄托在制定法律法规上。2014年、2015年和2016年两会期间就有多位人大代表、政协委员连续呼吁，希望推动《个人信息保护法》的立法进程。与此同时，一些部门规章和地方法规也在紧锣密鼓地制定和发布，如《陕西省关于加强信息保护的若干规定》已于2014年3月18日出台实施，《上海市公共信息系统个人信息保护管理办法》正在制定……然而，实际上早在2009年2月出台的我国《刑法修正案（七）》在刑法第253条后增加1条，作为第253条之一，其中第一款规定：国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。这表明了我国要从刑法角度对严重侵犯个人信息者施以惩罚的决心，但是单一条文并不能涵盖这一罪状的全部，还存在着互联网公司、房地产公司、物业公司、宾馆酒店等掌握个人信息的机构和单位，仍然需要出台相关司法解释，否则孤掌难鸣。实践中的个案也表明这一条款无法统一各地法院对于类似案件的定罪量刑。今后也不能过于依赖刑法打击，长期来看将会造成相关执法者和执法工作的超负荷运转。现实中让人难以容忍的更多是那些达不到刑事立案标准的侵权行为没受到应有的处罚。2011年出台了修订的《中华人民共和国居民身份证法》，2012年底全国人大出台了《全国人民代表大会常务委员会关于加强网络信息保护的决定》，2013年工信部发布了《电信和互联网用户个人信息保护规定》，2014年1月26日国家工商行政管理总局公布的《网络交易管理办法》规定了网络商品经营者、有关服务经营者收集、使用消费者个人信息必须应当遵循的原则，2014年3月15日正式实施的《消费者权益保护法》加强了消费者个人信息保护，2014年10月最高人民法院颁布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》赋予了主体自由支配其个人信息之上的人格利益的地位。

目前我国已出台与网络相关的法律、法规和规章共计200多部，其中涉及个人信息保护方面的法律有将近40部，法规有30部。可见，目前的关键问题不是无法可依，而是有法难依。现行立法在司法实践中面临难以操作的窘境，相关条款过于宽泛，对相关服务提供者不存在约束力，公民往往难以判断个人信息安全侵权主体及造成的具体损失数额，现行民事诉讼“谁主张，谁举证”造成真正诉诸法律手段维权的案例少之又少。(www.daowen.com)

比如《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国消费者权益保护法》《电信和互联网用户个人信息保护规定》均指出，相关服务提供者在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施。但这些条款非常宏观，既没有对信息泄露、损毁、丢失所造成的可能损失进行明确界定，也没有对补救措施进行详细说明，更没有对违反这些条款的责任进行有关规定。这样的条款对相关服务提供者根本无法进行有效约束，从而出现“有法不依，有法难依”的尴尬局面。虽然《电信和互联网用户个人信息保护规定》指出，有关服务提供者在个人信息发生或者可能发生泄露、毁损、丢失所造成或者可能造成严重后果的，应当立即向有关主管部门报告，配合相关部门进行调查处理，但是《全国人民代表大会常务委员会关于加强网络信息保护的决定》和《中华人民共和国消费者权益保护法》均没有该项规定，并且这三项法律法规均无及时向当事人发出个人信息安全侵害通知的条款，这属于严重忽视当事人及时获得个人信息安全侵害通知权利的行为。这直接造成了发生类似12306网站、中国人寿等个人信息大规模泄漏的重大事件时，这些涉事机构并不对受害最为直接的当事人发出个人信息安全侵害通知，而当事人更处于不诉不告的麻木状态。