个人信息控制者是指保管一定数量个人信息的组织机构，包括政府机关、事业单位、私营企业等。在个人信息安全侵害的案例中，个人信息控制者作为过错方的比重正在不断增大。个人信息安全侵害事件会对个人信息控制者的健康发展和信誉造成较大负面影响。

中国互联网协会联合网络营销服务和互联网用户数据研究服务领域的29家企业在2013年4月发布并签署了国内首份《网络营销与互联网用户数据保护自律宣言》，对网络信息收集和Cookie做出约束。2013年2月1日中国《信息安全技术公共及商用服务信息系统个人信息保护指南》对信息系统个人信息处理过程各个阶段所涉及的行为提出了明确的规范和要求，适用于除了政府机关等行使公共管理职能以外的各类组织和机构，特别如电信、医疗等涉及我们个人敏感信息比较多的服务机构。我国的个人信息保护工作已经进入“有标可依”阶段，该指南可以给有关机构提供个人信息保护手段借鉴，加大信息安全建设与管理的力度，确保一旦收集了市民个人信息，就必须建立一套个人信息安全保护制度，明确责任人和内部管理流程，以及应对个人信息泄露的风险。但该标准属于非强制性标准，并没有被有关个人信息控制者导入到组织机构安全运营过程中。

本来个人信息控制者需要承担个人信息安全保护义务。这些义务涉及个人信息的收集、保存、利用、传输、处理等各个方面和过程，内容非常广泛。比如在收集个人信息之前，应征得个人信息所有人同意或告知本人；在收集个人信息后，应制作“个人信息登记簿”对个人信息进行分类、归档并保存；要保证个人信息的准确、完整；不得向第三方提供信息；采取必要措施保障信息安全等。但在具体实践中，大部分个人信息控制者并没有深刻意识到个人信息安全保护的重要性，没有完全履行保护个人信息安全的职责。(www.daowen.com)

有些组织机构一方面利用游戏积分奖励、优先享受新功能等引诱、误导方式，鼓励用户填写用户真实姓名、性别、年龄、家庭住址、E－Mail地址、学历、经历、手机号码等个人信息，甚至过度收集用户个人信息，另一方面却没有投入充足经费建设专业安全管理团队，没有能力防范黑客入侵。比如一般网站的用户密码都是以密文加密后的形式存在的，例如用户密码是123，但是经过系统数据库加密后可能是以xyz的形式存储在数据库里面，这样即便是站长也不知道用户的原始密码（部分弱口令可以反算回来），但是有些网站居然违反操作规范和管理规定，使用明文存储密码。在2013年10月汉庭、如家等酒店住房个人信息泄露事件中，为上述酒店提供数字化服务的浙江慧达驿站网络有限公司在其服务器上实时存储了这些住房客户的记录，且这些客户信息在数据同步时所使用的认证用户名、密码都是明文传输，很容易被专业人员从其数据服务器上获得各家酒店上传的客户信息。