要筑牢网站防护网，真正保障公民的个人信息安全，一方面用户要多些自我防范意识，增强自我保护能力，另一方面要对窃取者依法惩处，但更要让网站担负起自我责任来。

　　购买了别人在各种网站上使用过的支付宝账户及密码信息近千万条，再通过发红包、充话费、买车票机票等方式窃取现金超过12万元。而将含有他人在各大网络论坛和第三方支付平台的账户和密码的约400万余条数据，仅以1000元卖出。昨日，记者从珠海市中级人民法院获悉，7名被告因非法贩卖个人信息、盗窃支付宝账户等多项罪名被法院判处数月至四年不等有期徒刑。（3月24日《广州日报》）

　　我国刑法修正案（七）确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名，首次将公民个人信息纳入刑法保护范畴，规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。由此比照，贩卖个人信息、盗窃支付宝账户等以谋取利益完全符合构成要件，因而获刑实乃咎由自取。嫌疑人以“网站存在支付漏洞”试图逃避惩罚，这是问罪于刀而不问捅人者的逻辑，不值一辩，但其疑问恰恰提出了一个严肃问题：谁才是网络信息安全责任主体？

　　从法律角度看，不管是商业网站还是政府网站，用户一旦在其注册之后，便与之形成了契约关系，彼此都必须恪守法定的责任和义务。对于网站来说，这个责任和义务就是要“妥善保管”好用户信息，保障公民的合法权利。通过“支付宝探测器”扫号软件，就能批量比对正确，这表明网站保密措施或者保密级别不够，甚至存在低级漏洞。兜售信息贱如白菜，皆因得来太易。这个责任，用户有，窃取者有，但主要责任则在网站无疑。

　　事实上，网站并非不认可这一点，一般网站在用户信息泄露后都会及时提醒补救。譬如要求用户提高密码复杂度或者定期修改等，这本身就表明了自己态度。然而，提高网络信息的安全性能，这些外围手段总归是扬汤止沸，隔靴搔痒，根本还是取决于网站运营与管理方的安全水平。而要构筑一道结实的安全防盗墙，不仅需要技术支持，更需要资金投入。这要靠网站自律自觉，现实案例屡屡证明，比登天还难。

　　网络越发达，泄露个人信息的手段就越五花八门。因此，要筑牢网站防护网，真正保障公民的个人信息安全，一方面用户要多些自我防范意识，增强自我保护能力，另一方面要对窃取者依法惩处，但更要让网站担负起自我责任来。这就需要对目前的《个人信息保护指南》提档升级，做出调整。尽管指南已落地五年，但从实践看，现实作用有限到几同鸡肋。这表明有必要将呼吁已有11年的《个人信息保护法》再次摆上议事日程。倘能把所有可能泄露公民个人信息的主体和渠道都纳入法律的笼子并及时亮剑，让权利与责任各归其位，这样的恣意妄为虽未见得绝迹，但至少会大大收敛。