个人信息控制者是指获取和保存一定数量个人信息的组织机构，包括政府机关、事业单位、国有企业、私营企业等。随着移动互联网渗透到各个行业，越来越多的组织机构在国内各大应用程序平台推出应用程序来提供服务，比如银行、证券、电子商务、教育、医疗、公共事业缴费等程序，这些组织机构在提供服务的同时也获得了大量用户个人信息。虽然据第37次《中国互联网络发展状况统计报告》显示，截至2015年12月，有91.4%的企业安装了杀毒软件、防火墙软件，其中有超过1／4的企业为此付费［10］，但这仅仅表明中国企业已具备基本的信息安全防护意识，离良好的信息安全管理水平还存在较大差距。比如有些组织机构并未对用户名、电话号码等用户个人信息的存储进行加密处理，也没有对有关个人信息的访问启用高级别的访问权限；有些组织机构的网站发生了严重的“拖库”事件导致大量个人信息发生泄露。虽然不少组织机构按照《信息安全等级保护管理办法》出台了相应的信息安全管理制度，并对有关信息安全管理工作进行了部署，但通过对现有的信息安全管理制度文本进行分析后可发现，其中一般只针对个人信息处理环节出台了规定，而严重忽视了个人信息收集、储存、利用等环节的保护，也没有进行个人信息安全风险评价。隐私条款是个人信息控制者与用户的沟通渠道，承担着告知用户其个人信息收集和使用规则的作用，但2017年7月中央网信办、工业与信息化部、公安部、国家标准委等四部门开展了个人信息保护提升行动之隐私条款专项工作时发现，微信、支付宝等App的隐私条款或多或少存在以下一些问题：隐私条款笼统不清，未明确说明收集使用个人信息的目的、方式、范围、保存期限和地点；不主动向用户展示隐私条款；隐私条款晦涩冗长；以默认勾选、“一揽子打包”授权等形式征求用户授权，未充分保障用户选择权等［11］。虽然我国首个个人信息保护标准已于2013年2月1日起开始实施，但由于该标准属于非强制性标准，并没有被很多个人信息控制者引入到组织机构的个人信息安全管理运营中来。(www.daowen.com)