近日，国内安全漏洞监测平台乌云发布报告称，如家等酒店使用了某网络公司开发的酒店wifi管理、认证管理系统，并且酒店客户的信息被存储在该网络公司的服务器上，但是，由于该系统存在漏洞，酒店客户个人信息面临被泄露的风险。关于个人信息被滥用、被侵犯的消息屡见报端，但是各方都积极呼吁的有关个人信息保护的综合性、基础性立法，即个人信息保护法却一直难以出台。

    北京航空航天大学法学院副教授、商法与经济法研究中心副主任周学峰指出，我国目前尚未有个人信息保护法之类的专门性法律，而且在短期内该法也可能难以出台，但是，这并不意味着我国不存在保护个人信息的实质意义上的法律规范。而在专门的立法出台之前，在现行法律框架下，一旦个人信息被人侵犯，还是可以有救济手段的。如果公民发现其个人信息遭到了泄露或被滥用，可以在现有的法律框架下，通过法律解释的方法，来维护自己的合法权益。

    个人信息保护立法进程慢原因多

    周学峰分析认为，个人信息保护法一直难以出台，主要有以下原因：首先，一项立法草案需要达到一定的成熟程度才能顺利通过。从这个角度来讲，个人信息保护还有一些问题需要进行研究、协调和解决。例如，数据挖掘技术是近些年才出现的一项信息技术，它的出现对于个人信息的采集和使用规则亦提出了挑战。

    其次，个人信息保护法是一部个人信息保护的基础性法律，它不仅规范金融机构、电信机构等对个人信息的获取和使用，政府机构对个人信息的获取和使用亦应受其约束。因此，在立法时需要征集多部门的意见并进行协调，这些亦会导致立法进程缓慢。

    虽未有单独立法但仍有救济途径

    周学峰指出，网络公司负有保障其提供的信息系统具备安全性的义务。当然，这种安全性应当是一种合理的安全性，而不是绝对的安全性。在判断网络公司是否尽到了安全保障义务时，可以参照工业和信息化部于2013年7月制定的《电信和互联网用户个人信息保护规定》。除此以外，《信息安全技术、公共及商用服务信息系统个人信息保护指南》作为我国首个个人信息保护的国家标准，虽然不具有法律上的强制约束效力，但具有指南性，亦可作为衡量互联网企业是否有过失的参考性标准。

    受害人可依据现行法律进行索赔

    针对仍在不断持续发酵的酒店客户个人信息存在泄露风险一事，周学峰分析认为，仅就这一个案而言，即便现在我国尚无专门的个人信息保护法，也并不存在“无法可依”的情况。如果真的发生了酒店客户个人信息泄露事件，受害人是可以依据现行法律进行索赔的。

    首先，在酒店住宿的客户与酒店之间存在合同关系，酒店负有保障其客户的人身和财产安全的义务，这其中应包括酒店所收集的客户个人信息的安全。此种义务属于合同当事人的附随义务，即使合同中未对此明确地约定，当事人亦可主张。因此，当酒店违反了合同义务时，客户可依据合同法向酒店主张违约责任。

    其次，客户可依据侵权责任法主张酒店未尽到安全保障义务，从而要求损害赔偿。酒店的这一义务是法定的。酒店有义务采取技术措施和其他必要措施，确保信息安全。