其次，用戶即使發現個人信息已遭泄露，想要取證也非常艱難。中國社會科學院法學所研究員呂艷濱指出，在大多數情況下，用戶連企業是否獲取、如何獲取、獲取了多少自己的個人信息都很難找到證據。

但很遺憾的是，我國尚缺乏此類嚴厲的行政處罰制度。“這樣就沒辦法把違法企業拉到談判桌上。”呂艷濱建議，主管部門應該從源頭治理入手，通過制度細則明確哪些企業可以以何種方式掌握用戶個人信息，以及這類信息可以怎么共享，應如何保障其安全，對個人信息獲取、共享、利用的全過程建立透明的、統一的規則。

據不完全統計，2018年每個季度都發生了規模巨大的數據泄露事件。3月，Facebook上至少700萬條用戶信息被泄漏；6月，圓通快遞10億條數據（含有收寄件人的姓名、電話、地址等隱私信息）在暗網上被以1比特幣的價格打包出售；8月，華住集團旗下多個連鎖酒店的用戶數據在暗網售賣，數據泄露總數接近5億條……

“我們面對的是很隱蔽的信息處理活動，究竟在哪個環節出的問題，究竟誰掌握了我們的信息，怎么處理的，怎么泄漏的，這些都很難知道。”呂艷濱認為，關于個人信息保護中企業的責任，比如如何獲取、如何處理、如何保護等問題，我國現有法律只有原則性規定，并沒有具體解釋和行動指南，這在客觀上給用戶維權帶來了困難。