隨著個人信息在買房、買車、通訊設備購買及安裝、家裝等領域的廣泛采集，個人信息越來越被信息采集者濫用甚至用以買賣牟利……南京師范大學法學院姜濤博士認為，面對市場主體追逐高額利益、忽視社會公共利益情勢，國家有關信息安全保護方面的法律需要更多地采用傳統(tǒng)公法的手段對市場進行必要的干預，實現(xiàn)社會公共利益的最大化，保護公民的個人信息。從這個意義來看，《江蘇省信息化條例》在我國信息安全法律制度上邁出了突破性的一步。

　　《條例》的第24條備受關注：任何單位和個人不得非法披露所采集的信息，不得將獲取的公民、法人和其他組織的信息出售或者以其他方式非法提供給他人，不得以竊取、購買等方式非法獲取上述信息。

　　劉克希解釋說，個人信息的買賣是嚴格禁止的，不論是國家機關還是單位、個人，只要有買賣個人信息的行為，都是違法的，都要受到法律制裁。劉克希介紹，《條例》24條本來是《草案修改稿》的23條第三款，考慮到國家機關掌握大量個人信息，同樣具有依法使用個人信息的責任，因此最終將其單獨成條，國家機關和非國家機關共同適用。劉克希表示，國家機關有責任保護公民個人信息，國家機關也應當為侵犯個人信息的違法行為承擔法律責任。

　　針對第24條內(nèi)容，條例的43條規(guī)定了相關法律責任：非法披露、出售、提供信息，或者以竊取、購買等方式非法獲取信息的，由縣級以上政府信息化管理部門責令其刪除信息，沒收違法所得，對單位處以10萬以上50萬元以下罰款，對個人處以1萬元以上5萬元以下罰款；構成違反治安管理行為的，由公安機關給予治安管理處罰；構成犯罪的，依法追究刑事責任。

　　姜濤認為，《江蘇省信息化條例》構筑了一個由行政處罰與刑事處罰為后盾的銜接點和安全網(wǎng)，但這一立法并沒有規(guī)定與信息非法泄露或取得相關的民事救濟途徑。劉克希表示，條例中的責任條款主要是行政處罰，至于對信息被采集人的民事賠償?shù)葐栴}，被采集人完全可以依據(jù)《侵權責任法》等法律通過民事訴訟來解決。