（2）不作为犯罪。《刑法》第二百八十六条之一为“拒不履行信息网络安全管理义务罪”，根据此条规定，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户信息泄露造成严重后果的，或有其他严重情节的，处有期徒刑、拘役或者管制，并处或者单处罚金。

（二）实然状态下的法律责任

1、宽大行政处理

在证券期货监管及反不正当竞争等领域，我国在行政监管环节已经开始了以合规换取宽大处理的制度和实践。具体到个人信息保护领域，可在两个方面做好个人信息保护合规管理，以争取宽大行政处理。

积极的作为义务方面，一是面向用户遵守个人信息处理的规则。如采集个人信息应当具有合法性基础，允许用户撤回同意，为用户行使删除、更正的权利提供便利，告知用户必要事项，通知安全事件等。二是企业内部承担安全管理的义务。如个人信息分类管理，采取加密等技术措施，建立应急机制，设立组织机构，进行影响评估及合规审计等。

消极的不作为方面，《个人信息保护法》等相关条款是企业处理个人信息时的禁止性规范，包括不得窃取或者以其他非法方式收集数据，不得过度收集个人信息，不得公开处理的个人信息等。据此，若企业未从事上述违法行为，仅员工因个人行为遭受行政调查时，企业可以提出尽到了培训、惩戒等方面的合规管理义务，从而将单位责任与员工的个人责任进行切割。

特别的，无论是积极的作为义务还是消极的不作为义务，若企业因“未尽强制性的义务”或“从事了禁止性的行为”而受到行政调查时，企业可以通过合规承诺，说服履行个人信息保护的职责部门免除或减轻企业的行政法律责任。

2、宽大刑事处理

我国当前正在进行企业合规改革试点。根据最高检《关于开展企业合规改革试点工作方案》，开展企业合规改革试点工作，是指检察机关对于办理的涉企刑事案件，在依法做出“能不捕的不捕、能不诉的不诉、能不判实刑的提出适用缓刑”的量刑建议的同时，针对企业涉嫌具体犯罪，结合办案实际，督促涉案企业作出合规承诺并积极整改落实，促进企业合规守法经营，减少和预防企业犯罪的改革举措。

具体到个人信息保护领域，同样可以在两个方面做好个人信息保护合规管理，以争取宽大刑事处理。积极的作为义务方面即履行信息网络安全管理义务。消极的不作为义务方面即不允许员工在产品和服务中出售、提供、窃取、非法获取个人信息。