【程德杰/文】作为近年来因公民信息泄露，而引发的一系列网络信息犯罪问题的应对措施之一，2012年12月28日十一届全国人大常委会第30次会议，审议通过了《关于加强网络信息保护的决定》（以下简称《决定》）。

该《决定》一经公布，即获得了国内三大电信运营商的公开表态支持，运营商在表态支持之余，还列出了各自在保护用户信息安全方面的所作的工作以及取得的成绩，可谓反应迅速、态度积极。

仔细解读人大的《决定》，我们不难发现《决定》包含了以下要素：

1.明确了包括电信运营商在内的网络服务提供者，是确保用户信息安全的第一责任人：有确保用户信息安全和配合信息安全执法的义务；

2.明确了信息泄露受害人，有要求网络信息泄露者改正错误，并通过法律诉讼获取赔偿的权利；

3.明确了信息安全的公益性原则：对网络信息安全问题，任何组织和个人可以向主管部门举报和控告。

《决定》的颁布，彰显了最高权力机关对打击网络信息违法行为的决心，在打击网络信息违法行为的有力武器；但要真正遏制住当前网络信息违法行为不断上升的势头，仍有赖于包括电信运营商在内的网络服务提供者的切实遵守和执行。

首先，电信运营商应树立起保护用户信息安全的第一责任人意识。

纵观近期所发生的多起公民隐私信息泄露事件，有不少运营商的员工参与其中，这不仅反映出这些员工法律意识的淡漠，更反映出其极度缺乏用户信息安全保护的意识。

因此，强化运营商员工用户信息安全保护的意识教育，刻不容缓。

其次，电信运营商应建立规范的用户隐私信息管理使用，以及和安全保护监督审核机制。

用户的隐私泄露，除了运营商员工缺乏相应的用户信息安全意识外，更重要的还在于，运营商目前尚未建立起一套规范的用户信息安全分类管理，和安全保护监督审核机制。

为了更好地向用户提供网络服务，向用户征集必要的信息无可厚非，但在如何使用和存储保护这些信息方面，运营商的做法各不相同。用户信息的保护，多依赖于内部员工的自律，而缺乏规范的内部和外部审查监督机制。

这种机制的缺乏，其必然的结果就是：本来无权接触用户隐私信息的人，接触到了用户的信息；本来不该用到用户隐私信息的地方，用户的隐私信息却堂而皇之地被使用；出现了用户信息泄露，却很难找到信息泄露的源头，难以做到对信息泄露的防微杜渐，防患于未然。

因此，建立规范的用户隐私信息分类分级管理机制，以及用户信息安全监督审核机制，是运营商当前最为迫切的任务。

最后，电信运营商应投入必要的资源，以具备信息安全违法行为的识别和纠正能力。

正如《决定》中所提到的，主管和执法部门在履行保护用户信息安全职责时，网络服务提供者应提供相应的技术支持。

电信运营商向执法部门提供技术支持，显然必须具备相应的基础设施条件，和拥有相应的技术支撑团队。

在这方面，随着近年来电信运营商对网络信息安全的重视，以及网络运营管理水平的不断提升，电信运营商已经基本具备了配合执法和违法行为纠正的能力。

当前条件下，运营商现在所要做的，是将这种能力系统化和常态化，以对接信息安全执法部门的执法；同时在为用户服务的过程中，向用户提供普遍化和差异化的信息安全服务，这不仅是是运营商的责任，更能够为运营商带来安全增值服务收益。

综上所述，人大的《决定》要落到实处，电信运营商不仅要强化信息安全保护的意识，更要建立起规范的用户信息使用和安全保护分类监督审核机制，并投入必要的资源。只有这样，才能够真正遏制住网络信息安全违法蔓延的势头。

（via 移动LABS）