虽然2009年2月出台的《刑法修正案（七）》在刑法第253条后增加1条，作为第253条之一，其中第一款规定：国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。这表明了我国要从刑法角度对严重侵犯个人信息者施以惩罚的决心。但是单一条文并不能涵盖这一罪状的全部，仍然需要出台相关司法解释，否则孤掌难鸣。实践中的个案也表明这一条款无法统一各地法院对于类似案件的定罪量刑［11］。更重要的是，2005年国务院有关部门曾委托专门机构形成了《个人信息保护法（专家建议稿）及立法研究报告》，但至今此项立法仍被束之高阁。我国目前尚未出台一部完整独立的《个人信息保护法》，个人信息的保护仍然是各部门、各地区分别制定法律，分别管理和救济。个人信息保护的主要范围是个人隐私信息，且仅仅是提供了有限的、间接的隐私保护，与国外相比，远不能达到提供有效保护的程度，且主要表现为当个人隐私信息受到违法行为侵害时的一种事后救济机制。虽然由中华人民共和国工业和信息化部发布的《互联网电子公告服务管理规定》第12条规定，电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意，不得向他人泄露，违反此规定者，由省、自治区、直辖市电信管理机构责令改正，给用户造成损害或者损失的，依法承担法律责任［12］。《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》第18条规定：用户应当服从接入单位的管理，遵守用户守则，不得擅自进入未经许可的计算机网络、篡改他人信息；不得在网络上散发恶意信息、冒用他人名义发出信息、侵犯他人隐私；不得制造传播计算机病毒及从事其他侵犯网络和他人合法权益的活动［13］。但这些规定都缺乏有效的约束力，更不具备操作性。(www.daowen.com)