黄子河举例说，一些网站本是办一个很小的事，却让用户填包括家庭住址、手机号在内等很多信息，这就不符合“最少使用”原则。
　　
　　“安全保障”则是要个人信息管理者一旦收集了个人信息，就必须建立一套个人信息保护制度，明确责任人和内部管理流程，以及应对个人信息泄露的风险。
　　
　　中国软件测评中心的副主任高炽扬估计，个人信息泄露中70%-80%属内部作案，这是“安全保障”原则没能落实好所致。
　　
　　他介绍说，一些商业公司掌握大量个人信息，由于管理制度疏漏，一些内部员工未经授权就能获取客户信息。
　　
　　依照《个人信息保护指南》，在收集个人信息阶段告知的“使用目的”达到后应立即删除个人信息。
　　
　　高炽扬说，有次，他在某航空公司网站购买机票，使用电话支付的时候，工作人员搜集了他的支付信息：姓名、身份证号、信用卡号和信用卡的最后三位支付号码。购票成功。
　　
　　但是，过段时间他再去购票时，对方问他，“您还是使用卡号末四位是****的信用卡支付吗？如果是，只要告诉我就可以了。”
　　
　　“(这家公司)存储了我的信息。”3月26日，高炽扬一边讲述一边摇头。
　　
　　高炽扬说，他所经历的航空公司电话订票的经历，就是航空公司在达到此次订票目的后，未能及时删除客户信息。
　　
　　信息保护指南非强制标准
　　
　　“为了经济效益，无利不起早。”高炽扬估计，目前没有哪个行业不存在信息泄露。
　　
　　比如孕妇生完孩子刚回家，卖奶粉的电话就过来了，病人检查完身体，检查单还没看懂，相应的医药公司就已经打电话卖药来了。
　　
　　中国软件评测中心研究员刘陶把个人信息比喻成“很多钱装在纸糊的银行里，很容易被黑客破解。”据他们调查，公众最关心的金融、电信等领域的个人信息安全。
　　
　　而让人担忧的是，这个指南标准不是强制性标准，甚至也不是推荐性标准，标准通过会对行业起到多大的规范效力，仍待观察。
　　
　　中国软件评测中心主任助理朱璇说，此次个人信息安全国家标准“属于技术指导文件”。
　　
　　国家标准分为三种，一个是强制性标准，一个是推荐性标准，一个是指导性技术文件，标准可以作为参考。而国家强制性标准多在食品安全领域。
　　
　　不过，黄子河认为，标准适用于除了政府机关等行使公共管理职能以外的各类组织和机构，特别是电信、医疗等涉及个人敏感信息比较多的服务机构。
　　
　　-现状
　　
　　40部法律难约束个人信息泄露
　　
　　工信部电子科技情报研究所副所长刘九如统计，目前有近40部法律、30余部法规，以及近200部规章涉及个人信息保护，其中包括规范互联网信息规定，医疗信息规定，个人信用管理办法等。
　　
　　“针对个人信息的法律法规并不少，然而内容较为分散、法律法规层级偏低。”刘九如说。
　　
　　刑法修正案(七)被认为是个人信息立法的标志性事件之一。
　　
　　2009年，刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名，首次将公民个人信息纳入刑法保护范畴，规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。