2012年12月，多家国家权威媒体（人民日报、中央电视台等）连续5天发布重磅评论——“网络不是非法之地”，呼吁国家对网络进行立法监管。全国人大常委会对此迅速作出回应，并于当月28日审议通过并发布实施《关于加强网络信息保护的决定》（以下简称《决定》），《决定》对泄漏网络用户隐私、网络信息传播等行为进行了规范。《决定》绝大多数内容都涉及网络服务商（ISP）的责任与义务，给ISP带来的影响不可小觑，特别是《决定》火速通过的背后动因，更应该引起ISP的重视。

一、《决定》的性质

按照《立法法》的规定，人大常委会属于国家立法机关，负责制定和修改应当由全国人民代表大会制定的法律以外的其他法律。通常情况下，全国人大作出的具有法律性质的规范性文件，一般都称为“决定”，比如《关于维护互联网安全的决定》、《关于禁毒的决定》、《关于严惩严重破坏经济的罪犯的决定》、《关于惩治侵犯著作权的犯罪的决定》等等。通常来说《决定》是针对某一亟待解决的严重社会问题而在相关立法又阙如的情况下由最高权力机关所作的补充性立法，相对于人大常委会的“决议”而言（大都是提出指令性意见，有时还作一些理论的阐述，原则性内容多，有关部门在贯彻执行时，多数还要根据“决议”制定相应的具体办法或实施意见），“决定”着重是就某一事项提出措施、要求，内容一般比较明确、具体，措施更实，约束力更强，并可为司法机关处理相关案件中直接作为法律依据加以引用。实践中，绝大多数“决定”都是对某种急需立法予以规范的事项作出针对性很强的规定（包括对政府的授权性规定），为应急性、阶段性出现的公共事务管理提供法律支撑，具有“短、平、快”的特点。因此从法律性质来看，《决定》虽然未使用“XX法律”的名称，但实质上仍属于具有法律性质的规范性文件。

二、《决定》的立法目的

《决定》开篇就明确了立法目的，即保护网络信息安全，保障公民、法人和其他组织的合法权益，维护国家安全和社会公共利益，三重立法目的之间的优先顺位如何，《决定》未予明确。值得提示的是，尽管《决定》的十一条实体规定中有九条都是规范公民信息保护，但尚不能得出保障公民的合法权益是《决定》通过的根本性目的，毕竟与其他条文格格不入的第五条更像是制定《决定》更为重要的初衷。

三、ISP的法律义务与责任

1. 公民个人信息的保护原则

《决定》第一条是对公民个人信息的原则性规定，即国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息，系宣示性的条款。对ISP而言，《决定》要求在经营活动中，不得以非法手段获取公民个人电子信息，也不得出售或者非法向他人提供公民个人电子信息。电子信息通常包括，姓名、年龄、身份证号码、家庭住址、工作单位、个人隐私等。通常情况下，如果不是出于国家法律强制性要求，ISP在向社会公众提供如BBS、微博、邮箱、博客、微信等服务的过程中，不能也不应主动收集或要求提供涉及能够识别公民个人身份特别是涉及公民个人隐私的数据信息，更不能向第三方披露其所收集或通过提供网络服务过程中所获取的他人信息。

2. 公民个人的信息收集与使用限制

2.1 收集、使用条件：必要、正当、合法，即ISP在业务活动中需要收集或依法应当收集、使用公民个人电子信息的，应当遵循合法、正当、必要的原则；

2.2 事先告知义务：收集公民个人信息时，ISP应当通过用户协议、通告、通知等形式明确告知网络用户其需要收集、使用个人信息的目的、方式和范围；

2.3 用户同意：ISP在告知用户其需要收集、使用个人信息的目的和范围时，应取得被收集者的同意或确认。

值得提示的是，在网络实名制正式为立法确认之前，ISP收集网络用户个人信息，尚缺乏明确的法律依据。

3. 保密义务

ISP应当对业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。值得提示的是，该条内容也规定了ISP工作人员的保密义务。所以，如果ISP工作人员非法泄漏公民个人电子信息，也可能会给ISP带来法律风险。

4. 信息安全防范义务

对ISP而言，安全防范义务分为三项，即事前防范：采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失；事中监督：在可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施；事后防范：在发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施，防止损害的发生和扩大。 

安全防范义务是ISP通常所需承担的基本责任，但本条规定并未过多增加ISP从事日常经营活动的法律责任。就民事责任而言，《决定》第4条内容也不影响《侵权责任法》第36条以及《信息网络传播权保护条例》相关条款的实施。

5. 非法信息监督义务

《决定》第5条规定了ISP对网络用户发布信息的实时审核义务，也是整个《决定》的核心内容之一。就具体内容而言，该条规定极其严格，提供网络空间服务的ISP必须予以重视。

本条规定的主要义务可细分为：

5.1 实时审核用户信息：即ISP应当加强对其用户发布的信息的管理，发现法律、法规禁止发布或者传输的信息的，应当立即停止传输该信息；

5.2 采取必要措施删除非法信息：采取消除等处置措施，删除或屏蔽相关信息，并且留存有关记录；

5.3 及时主动报告非法信息发布：如出现本条规定的情形，ISP需及时向有关主管部门报告。

值得提示的是，本条的执行或落实须注意几个方面的问题：比如，哪些属于“法律、法规禁止发布或者传输的信息”？通常情况下，淫秽、暴力、色情、宣扬邪教等信息尚容易判断，但法律、法规禁止的有些信息（比如泄露个人隐私信息、诽谤政府官员名誉的信息等等），现实中并不易把握非法与合法的标准，并且，在信息发布时，也不可能有司法机关、权威部门等及时予以认定。此外，主管当局的政策变化也会使得判断标准难以准确把握。这些都会给ISP在实际执行中如何遵循好该条规定造成困难。

此外，如何把握公众的网络监督权、知情权与网络侵权之间的界限，以及在具体执行时向哪一主管机关报告，如何报告？等等，都有待于配套法律、法规的支撑。

    6. 网络实名制的协助义务

《决定》第6条规定了ISP应当在向用户提供信息发布服务时，应当在与用户签订协议或者确认提供服务时，要求用户提供真实身份信息。本条规定的初衷是将2011年各地已经开展的网络实名制法律化，进一步实现国家对网络用户行为的有效监督。在网络实名制的具体执行中，监管层必须依赖ISP的配合，所以，该条入法当属必然。但是，具体何时执行，如何执行，行政管理机构应该会发布进一步指导意见，ISP对此应当保持密切关注。

不过，对于国内比较大的ISP如新浪、腾讯（微博、博客）而言，该条规定不会过多增加自己的法律责任。

7.侵权信息的删除义务

《决定》第8条规定，公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息，或者受到商业性电子信息侵扰的，有权要求ISP删除有关信息或者采取其他必要措施予以制止。

该条规定与侵权责任法的相关规定一致，即我们常说的通知删除规则。在实际操作中，可能会给ISP带来影响的还是如何判断哪些信息属于个人隐私，以及如何把握社会监督与个人隐私保护之间的平衡。如，在披露官员非法信息时，涉及个人隐私应该如何处理？如何回应当事方的删除通知？等等。

8.法律责任

为了保证《决定》的执行，《决定》第11条规定了相应的法律责任，主要包括：依法给予警告、罚款、没收违法所得；吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚，记入社会信用档案并予以公布，以及治安处罚、民事、刑事责任等。

本条规定的法律责任较为严厉，其中，吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚主要都是针对ISP设置。

不过，责任虽然严苛，但行政处罚必须有配套的明确法律规定予以配合，即主管部门必须明确实施处罚的条件、程序等。所以，仅就目前《决定》本身而言，第8条法律责任的规定尚不太会很快会影响到目前ISP的正常经营和行政监管。

总体而言，尽管全国人大常委会解读《决定》出台初衷时，突出了对公民个人电子信息的保护、对垃圾信息的打击以及为打击犯罪和控制网络信息传播而推行网络实名制，不过更多的舆论却指向略显突兀的第5条，即ISP对网络信息的监督。虽然之前ISP也需要审核（具体原因不再详述）网络用户发布的信息，但迅速出台的《决定》（特别是第5条）已经成为高悬于提供空间服务ISP头上的一把利剑，即主管机关已获得以法律之名合法行使网络信息监督权和处罚权的立法基础与关键授权。对此相关ISP应该引起高度重视。