第一类是黑客攻击网站盗取用户个人信息。北京警方不久前披露的CSDN网站数据库泄露调查结果显示，犯罪嫌疑人都是通过入侵网站服务器而盗取的信息，而入侵的主要方式就是寻找网站的漏洞。根据《第28次中国互联网发展状况统计报告》显示，2011年上半年，有过账号或密码被盗的网民达到1.21亿人，占网民总数的24.9％。业内人士指出，黑客在盗取网站的用户信息库后，会把这些信息倒卖、分销给“黑公关”或“钓鱼公司”，这些单位则可能向这些用户发送垃圾广告、传播电脑病毒、发布诈骗信息甚至通过试探用户的网上支付密码来盗取支付账户中的余额。

 

    第二类是互联网企业在用户信息数据安全方面意识淡薄，甚至利用用户信息牟取商业利益。互联网安全企业“奇虎360”公司副总裁石晓虹表示，有些网站由于用户数据安全意识欠缺，曾经明文保存过用户密码，而明文密码是最不安全的数据保存方式，一旦数据库泄露，所有密码一览无余。也有一些网站随意收集个人信息后，把过期的或者多余的个人信息随意丢弃，造成数据泄漏。

 

    第三类是用户个人对网络信息安全的轻视。石晓虹表示，当CSDN遭遇“泄密门”之后网民掀起了一股“今天你改密码了吗？”的行动，在一定程度上也反映了用户个人平时对于网络账户管理和信息安全不够重视。例如，一些网民出于方便，对网络账户密码的设置非常简单，或使用单一重复的数字密码、或使用自己名字的拼音等等，使得不法分子可以轻易盗取。

 

    业内人士指出，即使知道网络个人信息保护存在上述三种“溃堤之穴”，但由于监管和追查的各种困难，就算知道信息被泄露了，也很难查到在何处泄露。工业和信息化部科学技术情报研究所副所长刘九如表示，当前涉及个人信息保护的法规制度中，金融、电信等新领域的相关规定最为具体，而职业中介等一些机构引入的个人信息，保护规定则比较缺失。法律专家及业内人士普遍认为，尽快出台专门性、统一性的个人信息保护的专门法律，将个人信息的使用、信息泄露的取证以及执法力度进行统一，是堵住上述“溃堤之穴”最紧迫也最有效的途径。