但是，這一犯罪主體是“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員”。除此之外，還存在著互聯網公司、房地產公司、物業公司、汽車廠商、賓館酒店、會計師事務所等掌握個人信息的機構和單位。
　　
　　諸多法律界人士認為，刑法未明確該罪的具體界定標準，這一條款還有進一步改進和完善的空間。
　　
　　另外，專家認為法律中對信息泄露者懲罰機制不夠。
　　
　　前段時間，警方破獲CSDN(即中國軟件開發聯盟)的600多萬條用戶名和密碼泄露案件，“目前為止對網站的處罰只是提出行政警告，太輕了，這種處罰幾乎沒有威懾力。”北京科技大學經管學院教授梅紹祖說。
　　
　　梅紹祖認為，如果在國外，這樣的大規模用戶信息泄露，至少應該有經濟處罰。
　　
　　2009年，《侵權責任法》的通過，使“人肉搜索”侵犯受害人權利的責任認定有了法律的統一規制，如果網站無視受害人提出的屏蔽、刪除要求，就要承擔連帶責任。
　　
　　但是，社科院法學所研究員周漢華說，《刑法》和《侵權責任法》都屬于事后救濟，在網絡時代要對網絡安全以及個人信息進行全流程的監管才更為有效。
　　
　　個人信息安全法未入立法程序
　　
　　《個人信息安全法》并非從未嘗試破冰。
　　
　　工業和信息化部副部長楊學山回憶，2003年的4月，國務院信息化辦公室專門對個人信息立法研究課題進行部署，2005年《個人信息保護法》專家意見稿已經提交。不過這項立法建議一直未能進入正式的立法程序。
　　
　　參與此次專家意見稿的梅紹祖說，當時文本已從國務院信息化辦公室上報到國務院法制辦，此次未能進入正式立法程序的原因很復雜，主要是“從緊迫性上講還沒太關注這個問題”。
　　
　　梅紹祖承認，凡事總有輕重緩急，有關部門會綜合考慮，但考慮到目前我國發生的個人信息泄露和被盜、個人隱私侵犯以及個人信息交易的事件愈演愈烈的現實，再發展下去可能會影響到整個社會經濟活動，“我覺得緊迫性早就有了，可能各個層面感覺不一樣，有人覺得沒那么緊迫”。
　　
　　工信部副部長楊學山力主加快立法。
　　
　　他說，個人信息保護實行面廣，一定要從法的角度規范，才能使這項工作在法律上有依據。
　　
　　“這幾年我們和大家一起在個人信息立法盡快進入正式程序正在努力。”楊學山說，在大家的努力下，“尤其是在今天個人信息保護已經成為社會迫切的問題，立法的進程就會加快”。