中国保险监督管理委员会


关于印发《保险业信息系统灾难恢复管理指引》的通知

保监发〔2008〕20号


各保险公司、保险资产管理公司：

　　为加强保险信息安全基础设施建设，推进信息系统灾难恢复工作，根据《中华人民共和国保险法》和国家有关信息安全法律法规，我会制订了《保险业信息系统灾难恢复管理指引》，现印发给你们，请遵照执行。

　　 　　　 　　　 　　　 　　　 　　二○○八年三月二十一日

保险业信息系统灾难恢复管理指引

第一章　总则

　　 第一条　为规范并指导我国保险业信息系统灾难恢复工作，提高防范灾难风险的能力，保障持续运营，保护客户和股东的合法权益，根据《中华人民共和国保险法》、国家信息安全法律法规及有关规定，制定本指引。

　　第二条　保险业信息系统灾难恢复工作应坚持“统筹规划、资源共享、平战结合、等级灾备”的原则，平衡成本与风险，确保工作的有效性。

　　第三条　本指引所称保险机构是指，经中国保险监督管理委员会（以下简称“中国保监会”）批准设立，并依法登记注册的保险公司、保险资产管理公司、外国保险公司分公司及港、澳、台地区保险公司在大陆地区的分公司。

　　第四条　本指引所称灾难恢复为信息系统灾难恢复。灾难恢复工作是指，为保障信息系统持续运营，防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作，包括：组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。

　　本指引所称区域性灾难是指，造成所在地区或有紧密联系的邻近地区的交通、电讯、电力及其它关键基础设施受到严重破坏，关键信息网络设备毁损、重大故障或大规模人口疏散的事件，将会导致信息系统无法正常运行。例如：地震、大型公共卫生事件、恐怖袭击、区域性通信网故障、区域性电网故障、机房内关键设备毁损等。

　　本指引所称同城灾备是指，生产中心与灾难备份中心处于同一地理区域，面临同一区域性灾难风险，能够抵御小范围区域内的灾难，例如小面积停电、火灾、设备故障等，距离通常在数十公里左右。

　　本指引所称异地灾备是指，生产中心与灾难备份中心处于不同地理区域，一般不会同时面临同一区域性灾难风险，能够抵御较大范围区域内的灾难，例如大面积停电、地震、战争等，距离通常在数百公里以上。

　　本指引所称自建是指，自行出资建设和拥有灾难备份中心，为自身提供灾难恢复服务。

　　本指引所称共建是指，多个机构共同出资建设和拥有灾难备份中心，为参与单位提供灾难恢复服务。

　　本指引所称外包是指，选择外部资源来承担或协助完成信息系统灾难恢复的规划、实施、运营维护，以及应急响应和恢复工作。

　　第五条　中国保监会负责对保险业信息系统灾难恢复工作实施监督和管理。

　　第六条　《信息安全技术 信息系统灾难恢复规范》（GB/T 20988-2007）中的条款通过本指引的引用而成为本指引的条款。

第二章　总体工作要求

　　 第七条　保险机构应统筹规划信息系统灾难恢复工作，自本指引生效起五年内至少达到本指引规定的最低灾难恢复能力等级要求。

　　保险机构新建信息系统时，应同步规划和实施灾难备份系统建设。本指引生效后新成立的保险机构应在成立五年内达到本指引规定的最低灾难恢复能力等级要求。

　　第八条　保险机构应持续开展灾难恢复工作，以保障灾难恢复策略、灾难备份系统和灾难恢复预案的适用性。

　　灾难恢复的需求应定期进行再分析。灾难恢复需求再分析周期最长为三年。当信息系统及相关业务流程发生重大变更时，应立即启动灾难恢复需求的再分析，并根据最新的灾难恢复需求分析重审和修订灾难恢复策略。

　　保险机构应根据灾难恢复策略定期复审和调整灾难恢复技术方案、灾难恢复预案，并定期开展灾难恢复预案培训和演练工作。

　　第九条　保险机构应加强与其业务密切相关的机构间的协调，共同评估面临的风险，协同制定灾难恢复策略，提高整体风险防范和灾难恢复能力。

　　第三章　组织机构　　

　　第十条　保险机构法定代表人或主要负责人是灾难恢复工作的责任人。

　　保险机构董事会或最高决策层应参与制定和审核灾难恢复策略，保证灾难恢复策略与经营目标的一致性。

　　第十一条　灾难恢复的组织机构由保险机构的管理、业务、技术、财务和行政后勤等相关人员组成。

　　保险机构应设立灾难恢复管理委员会，统一负责灾难恢复的规划、实施、运营维护、应急响应和恢复的管理和决策工作。

　　保险机构应设立或依托现有部门设立灾难恢复工作办公室作为灾难恢复管理委员会的常设办公机构，负责处理灾难恢复工作的具体事务。

　　第十二条　保险机构灾难恢复组织机构在灾难恢复规划、实施和运营维护阶段的主要职责：

　　（一）灾难恢复需求分析和策略制订；

　　（二）资源准备和经费审批；

　　（三）灾难备份中心的选择和建设；

　　（四）灾难备份中心的日常运行和维护；

　　（五）灾难恢复预案的制订、维护和演练；

　　（六）人员的教育和培训；

　　（七）监督检查和审计。

　　保险机构灾难恢复组织机构在应急响应和恢复阶段的主要职责：

　　（一）应急响应和预警报告；

　　（二）事件通报和沟通；

　　（三）损害评估、抢修拯救和敏感数据保护；

　　（四）灾难恢复工作的重大决策；

　　（五）生产中心的恢复、重建和回退；

　　（六）业务恢复和客户服务；

　　（七）资源保障和供应；

　　（八）媒体公关和信息通报；

　　（九）恢复成效评估和总结。

　　第十三条　从事灾难恢复的专业工作人员应符合以下要求：

　　（一）具备良好的职业道德和风险意识，掌握履行灾难恢复相关岗位职责所需的专业知识和技能；

　　（二）未经岗前培训或培训不合格者不得上岗；经考核不适宜的工作人员，应及时进行调整。

第四章　需求分析和策略制定

　　 第十四条　灾难恢复需求分析包括风险分析和业务影响分析。保险机构的风险分析和业务影响分析应符合以下要求：

　　（一）应全面分析、识别可能影响信息系统正常运行的灾难风险以及来自内部和外部的威胁。根据风险发生的概率和可能造成的损失，评估风险可接受的程度，针对不可接受的风险，制定相应的风险防范措施；

　　（二）应根据信息系统支持的业务区域范围，分析信息系统面临的灾难风险。应充分考虑残余风险导致的灾难事件发生在最不利的时间和地点，以及影响范围的广泛性；

　　（三）应根据业务经营范围确定关键业务功能。关键业务功能包括但不限于承保、理赔、投资和财务管理等。采用定量和/或定性的方法分析关键业务功能的经济和非经济损失。

　　第十五条　保险机构应根据风险分析和业务影响分析的结果，确定信息系统的灾难恢复目标，包括：

　　（一）信息系统的灾难恢复范围；

　　（二）信息系统的灾难恢复顺序；

　　（三）信息系统的灾难恢复能力等级。

　　第十六条　保险机构应加强重要数据的备份和传输安全管理，保证数据的完整性。重要数据应异地备份，防范区域性灾难风险。重要数据包括但不限于：客户数据、承保数据、赔付数据、资金运用数据、财务数据及相关日志等。

　　第十七条　保险机构应根据风险分析和业务影响分析的结论，将直接或间接支持关键业务功能的信息系统分成三种类别：

　　第一类：信息系统短时间中断会造成重大社会影响；或影响保险机构关键业务功能，并造成重大经济损失。

　　第二类：信息系统短时间中断会造成较大社会影响；或影响保险机构部分关键业务功能，并造成较大经济损失。

　　第三类：信息系统间接支持关键业务功能；或保险机构对系统中断具有一定容忍度的系统。

　　第十八条　信息系统的最低灾难恢复能力等级要求：

　　（一）第一类

　　1、第4级电子传输及完整设备支持

　　2、RTO<=36小时，RPO<=8小时

　　（二）第二类

　　1、第3级电子传输和部分设备支持

　　2、RTO<=72小时，RPO<=24小时

　　（三）第三类

　　1、第2级备用场地支持

　　2、RTO<=7天，RPO<=36小时

　　第十九条　保险机构应制定统一的灾难恢复策略。灾难恢复策略包括灾难恢复建设计划、灾难恢复资源要素的具体要求和灾难恢复建设模式。

　　保险机构应根据各信息系统的灾难恢复目标，确定灾难恢复所需的七个方面的资源要素：

　　（一）数据备份系统；

　　（二）备用数据处理系统；

　　（三）备用网络系统；

　　（四）备用基础设施；

　　（五）专业技术支持能力；

　　（六）运行维护管理能力；

　　（七）灾难恢复预案。

　　第二十条　保险机构应编写风险分析报告、业务影响分析报告、灾难恢复策略报告。灾难恢复策略经决策层审查和批准后，按本指引要求备案。　　

　　第五章　灾难备份中心的建设与运行维护　　

　　第二十一条　保险机构的灾难备份中心应设置在中华人民共和国境内（不包括港、澳、台地区）。

　　保险机构应根据风险分析的结果，确定同城和/或异地灾备建设方案。灾难备份中心应具备接替运行后持续运作至生产中心正常运转的能力。

　　第二十二条　灾难备份中心的基础设施应符合以下要求：

　　（一）根据信息系统和数据分布特点，选择或建设专业的灾难备份中心；

　　（二）灾难备份中心与生产中心之间距离合理，应避免灾难备份中心与生产中心同时遭受一定的同类风险；

　　（三）灾难备份中心应便于灾难恢复工作的开展，考虑灾难恢复所需的数据、人员等资源可及时到达；

　　（四）灾难备份中心应具有业务恢复座席等灾难恢复工作所需的辅助设施，灾难备份中心或其周边应具备所需生活设施；

　　（五）灾难备份中心机房环境至少应达到《GB/T 9361-88计算站场地安全要求》B类机房标准，并通过当地消防部门验收；

　　（六）灾难备份中心应具有两种或两种以上的电力供应或接入方式，只有一种电力供应或接入方式的必须配备能够维持灾难备份中心持续稳定运行的供电设备；

　　（七）灾难备份中心与生产中心应保持两种以上的网络通讯接入线路服务。

　　（八）灾难备份中心机房应具备门禁系统、监视系统和报警系统。

　　第二十三条　灾难备份系统的建设应符合以下要求：

　　（一）根据灾难恢复策略制定灾难备份系统技术方案，建立数据备份系统、备用数据处理系统和备用网络系统等。技术方案中所涉及的系统应获得同信息系统相当的安全保护，具有可扩展性；

　　（二）应确保技术方案满足灾难恢复策略的要求，组织开展灾难恢复技术方案和业务功能恢复的测试，并记录和保存测试结果，以保证灾难恢复时最终用户能正常使用灾难备份系统；

　　（三）应充分考虑到灾难备份中心接替生产中心运行后，灾难备份系统的处理能力、存储容量、网络带宽能否满足业务运作要求；

　　（四）应根据灾难恢复策略的要求，建立灾难备份系统的技术支持体系。

　　第二十四条　灾难备份中心的运行维护应符合以下要求：

　　（一）建立完善的灾难备份中心运行维护管理制度和流程，包括：灾难备份的流程和管理制度，灾难备份中心机房的管理制度，硬件系统、系统软件和应用软件的运行管理制度，灾难备份中心信息安全管理制度，灾难备份系统的变更管理流程，灾难恢复预案以及相关技术手册的保管、分发、更新和备案制度等；

　　（二）灾难备份中心专业运行维护队伍包括基础设施和灾难备份系统运行维护和技术支持人员，保障设备和系统正常稳定运行；

　　（三）定期检测维护灾难恢复设施，保持备份数据的一致性、可用性和完整性，保障数据备份系统、备用数据处理系统、备用网络系统在灾难恢复和运行阶段的正常运作，保障能提供切换和运行时的技术支持；

　　（四）支持关键业务功能恢复的灾难备份中心应实行7×24小时监控。记录灾难备份系统运行过程中输出的相应记录表单与统计信息；记录机房环境、系统运行和网络状态等监控信息。

第六章　资源和专业服务的获取和保障　　

　　第二十五条　灾难恢复建设可以采用自建、共建和外包等模式，并按有关要求向中国保监会备案。

　　第二十六条　保险机构在进行灾难恢复外包时，应根据灾难恢复策略确定外包服务范围，认真分析和评估外包存在的风险，制定相关的风险管控措施。应与外包服务商签署服务水平协议，并定期验证灾难恢复服务商的服务水平和能力，加强外包系统的安全和保密管理。中国保监会采纳国家认可的有关测评机构对灾难恢复服务商的评估结果。涉密信息系统的灾难恢复工作应符合国家有关保密规定。

　　灾难恢复外包服务商应至少符合以下要求，国家另有规定的应从其规定：

　　（一）在中华人民共和国境内注册的法人机构；

　　（二）具备三年以上灾难恢复外包服务经验，服务的灾难恢复外包客户不少于三家；

　　（三）具备完整的服务质量保证体系和信息安全管理体系，通过相关权威认证；

　　（四）基础设施应达到本指引的要求，灾难恢复能力等级应在四级以上；

　　（五）中国保监会规定的其他要求。

　　第二十七条　采用共建模式的灾难恢复建设应至少满足各参与单位的最低灾难恢复能力等级要求，并明确权责，签订相关的合同或协议。

第七章　灾难恢复预案的管理　　

　　第二十八条　保险机构应制订灾难恢复预案，预案应包含：灾难恢复组织机构各工作岗位的职责、灾难恢复的整个过程以及灾难恢复所需的资料和配套资源等。预案的结构、内容和步骤清晰明确，适合在紧急情况下使用。

　　保险机构应加强灾难恢复预案与其它应急预案体系的有机结合。

　　第二十九条　保险机构所制定的灾难恢复预案，应按照由模拟到实际、从易到难、从局部到整体的原则进行测试和演练，及时总结评估，完善灾难恢复预案，通过演练使得相关人员熟练灾难恢复操作及流程。

　　灾难恢复预案的演练包括但不限于桌面演练、模拟演练、实战演练、部分演练和全面演练。保险机构应定期组织开展灾难恢复预案的演练工作。灾难恢复预案每年至少演练一次，演练类型可以是模拟演练、实战演练、部分演练和全面演练。

　　演练工作文档应包含演练计划、现场记录和结论评估，演练工作文档应存档保管。

　　第三十条　保险机构应安排专人负责灾难恢复预案的日常维护管理，预案可以以多种形式的介质拷贝保存在不同的安全地点，并确保在生产中心以外的安全地点存放灾难恢复预案。灾难恢复预案的调用需进行严格授权。

　　灾难恢复预案涉及的内容发生重大变更后，应立即更新灾难恢复预案；演练后应根据演练评估结论，立即更新灾难恢复预案；每年应至少组织一次灾难恢复预案的审查和批准工作。

　　第三十一条　灾难恢复预案的教育和培训应贯穿灾难恢复规划和实施的全过程。保险机构应定期组织预案培训，并保存培训文档。　　

第八章　应急响应和灾难恢复　　

　　第三十二条　保险机构针对信息系统的风险应建立科学的预警机制，在信息系统发生紧急事件后，应建立应急指挥中心，统一领导、协调和指挥所有应急响应工作，加强信息沟通和跨部门协调，提高机构整体的应急响应和应急处置能力；组织灾难恢复专业人员尽快对事件进行响应和评估；采取相应的风险处置和弥补工作，降低可能造成的损失，防范事态恶化；根据对紧急事件的处置和评估结果，决策是否对灾难备份中心发出灾难预警或灾难宣告。

　　保险机构应加强媒体公关和客户服务工作，避免造成恶劣的社会影响。发生重大灾难事件，应根据有关要求，及时向中国保监会报告。

　　第三十三条　灾难恢复工作人员应根据灾难恢复预案执行相关的指挥和操作工作，并及时跟踪事态变化和恢复进程，加强沟通，加强恢复工作的统一指挥和管理。

　　保险机构应保证并合理配置恢复所需的各项资源，确保灾难恢复工作的顺利实施。

　　第三十四条　保险机构应明确信息系统的重建方案，在进行信息系统重建前应评估灾难造成的损失。根据损失评估情况，结合灾难备份系统运行可接受的最长时间，确定修复或者重新建设方案，执行信息系统的重新建设和功能恢复。

　　信息系统的回退是指将灾难备份系统的功能转移到新建或恢复的信息系统，各项业务恢复到正常运行状态的过程。加强信息数据安全处理，防止重要信息的泄漏，将灾难备份系统恢复为备用状态。

　　第三十五条　灾难恢复之后，应及时组织相关人员进行总结，修订灾难恢复策略和灾难恢复预案。

第九章　审计和备案　　

　　第三十六条　灾难恢复工作的审计分为内部审计和外部审计。内部审计由保险机构内部人员组织实施。外部审计由具有国家相应监管部门认定资质的中介机构组织实施。

　　中国保监会可依据法律法规，委托并授权具有资质的中介机构对保险机构进行外部审计。中介机构根据保监会或其派出机构委托或授权对保险机构进行审计时，应出示委托授权书，并依照委托授权书上规定的委托和授权范围进行审计。中介机构根据授权出具的审计报告经中国保监会审阅确定后具备法律效力，被审计保险机构应对该审计报告在规定时间内提出整改意见，并按审计报告中提出的建议进行及时整改。

　　审计报告应作为风险管控措施的成果进行存档，审计过程所涉及的资料调阅应有交接手续，严格控制审计过程中的涉密资料的保管和发放，中介机构应保守被审计保险机构的商业秘密和风险信息。

　　第三十七条　审计工作主要包括以下内容：

　　（一）灾难恢复项目的建立和管理；

　　（二）风险评估和管控；

　　（三）组织协作和授权机制；

　　（四）业务影响分析；

　　（五）灾难恢复策略；

　　（六）应急管理和操作；

　　（七）灾难恢复预案；

　　（八）培训和认知；

　　（九）演练和维护；

　　（十）公共关系和危机通讯。

　　第三十八条　保险机构应根据信息系统的灾难恢复工作情况，确定审计频率，每三年至少进行一次审计。

　　第三十九条　保险机构灾难恢复工作报告和审计报告应在中国保监会进行备案。灾难恢复工作报告备案工作在每年的第一季度进行，审计报告备案工作在审计结束后的三个月内进行。灾难恢复工作报告主要内容包括：

　　（一）短期和中长期灾难恢复规划和策略；

　　（二）上年度灾难恢复工作以及重大变更情况。

　　第四十条　中国保监会根据工作需要，可对保险机构的信息系统灾难恢复规划、建设、运营等进行不定期抽查、现场检查。　　

第十章　附则

　　第四十一条　本指引由中国保监会负责解释、修订。

　　第四十二条　本指引自颁布之日起施行。
民间“网络通缉”不能逾越法律的底线

张雨林


该文刊发于《青年记者》06年19期

一、民间“网络通缉”的现状

自今年2月“虐猫事件民间追缉令”事件以来，“诈骗犯网络追缉令”、“武校少女功夫色情照片通缉”、“独立调查人的网络救助追查”、“追杀网络情人”、“通缉南宁欠债女大学生”等接踵而来，民间“网络通缉”大有逾演逾烈之势。最近，湖南章某被“天涯杂谈”某网友“误杀”公布了隐私，一怒之下把天涯在线网络科技有限公司告上法庭。

2005年8月，北京市第一中级人民法院曾对“网络通缉令”被判名誉侵权第一案作出终审判决：北京某教育中心构成对高某名誉权的侵犯，赔偿高某精神抚慰金2万元和公证费800元。然而，这个案件似乎并没有引起“发令者”们的警觉；今年4月，“铜须事件”中，数百人在未经事实验证的前提下，轻率地加入网络攻击的战团，令当事人与家人的身心受到严重伤害，并导致海外媒体激烈抨击中国网民的“暴民现象”；7月，“通缉南宁欠债女大学生”事件中，陈某的电话号码、QQ号码、学校住址、家庭住址、照片以及她男朋友的照片全部被曝光在网上，陈某受尽骚扰无奈报案；涉及湖南章某被“误杀”的通缉事件中，章某的手机、家庭住址、连8岁女儿是领养的隐私都被人公布在网上，甚至称其被上海公安拘留15天。章某年仅8岁女儿从骚扰电话里得知了自己被领养的身份，这给她的心灵留下巨大的创伤。而这一切的起因竟然是“XX妹妹”在天涯社区读到某网友认为其是女扮男装的帖子大为恼火，在“通缉”中误认章某为该网友；现今，民间“网络通缉”形成滥发之势，笔者以为民间“网络通缉”应引起新闻与法律工作者的深思。

二、民间“网络通缉”的法律性质与特点

通缉是指公安机关或人民检察院通令缉拿应当逮捕而在逃的犯罪嫌疑人归案的一种侦查行为。而通缉令是刑事诉讼中的一种法律文书，只有公安机关才有权依照法定程序发布，并且只能针对特定的对象即对于罪该逮捕而在逃的犯罪嫌疑人使用，其他任何机关、团体、单位、组织和个人都无权发布。也就是说民间“网络通缉”不是真正意义上的通缉行为。民间“网络通缉令”只是借用通缉令的名称以达到引起广大网民注意的目的。根据“网络通缉令”的内容和目的，可以将“网络通缉令”的性质分为两类：一类是发布人当自己的某种利益受到侵害，为维护自己的利益、引起公众关注，并要求侵权方停止侵犯行为而发布的声明；另一类是发布人针对某个具体的社会事件，为达到某种谴责、批评目的而发布的告示。“网络通缉令”表明了发布人的立场、观点、态度，以起到警告、警示作用。

目前，我国尚未对这种“网络通缉”行为进行明确规范，而且其也不具有专门法律调整的必要性和可能性。但从已经发生的“网络通缉”事件中，可以看出发布“网络通缉令”的行为不都是合法行为，有的行为已经明显触犯了法律。虽然不可否认的是：“网络通缉”在某种意义上体现了社会公众道德的进步，网民的自发地对某个事件进行评论与追查，实质上形成了一种舆论监督，对那些尚不构成违法却严重违反道德规范的行为以谴责，在一定程度上通过聚集广泛的网络民间力量实现了对丑恶行径的“惩办”。但是，这并不能成为其逾越法律底线的借口、理由。如果“网络通缉”中含有攻击性的内容，侵害了他人的合法权益，即使发布者的出发点是善意的，也构成侵权。而事实上，在已经发生的某些“网络通缉”事件中，“通缉”不同程度的“成为一些别有用心的人打击报复别人的工具”。

现阶段，我国网民言论存在这样几种不理智的特性：情绪化、粗俗化、偏激性、群体盲从性。大部分网民很少质疑信息的真实性，也没有进行成熟的思辨，仅凭主观的冲动对信息发表意见，带有很严重的感情色彩，易导致真相的掩盖、言论的失实。若形成具有一定负面影响的情绪形舆论形态，这种自发型舆论的非理性，就容易造成不良的社会影响。这在“铜须事件”中得到很好的体现。从法学角度讲，当人处于没有社会约束力的匿名状态下容易做出宣泄原始本能冲动的行为。在“网络通缉”中，网民言论处于匿名性与虚拟性交织的状态，这使得发言者不考虑承担社会责任的问题，从而使一些攻击性语言广泛出现。“网络通缉”大都标榜以“道德谴责”、“道德审判”的名义，合理的评论是受到法律的保护，但借网络泄愤，侮辱、诽谤他人，则应承担相应的民事责任。若仅从道德层面出发，以这种不道德的手段来谴责不道德的行为，这本身就存在谬误。实际上，“通缉”过程中，某些行为已经逾越了法律的底线。仅就被冠以“网络人道力量胜利”的“虐猫事件”来看，尽管谴责虐猫行为人的残忍行为的出发点可以肯定，但“通缉”参与者们在言论中不仅使用了大量侮辱性词语，并且发布了虐猫女子的年龄、籍贯、工作单位、家庭成员信息、域名注册公司的办公地址、办公电话、法定代表人联系方式、法定代表人的车牌号码、私人手机、履历表、网络购物记录等信息。将大量的非公开信息公之于众，则直接侵犯了他人的合法权益。

三、“网络通缉”的民事侵权内容分析

“网络通缉”中的不当行为易侵犯他人民事权利，最容易遭受这种侵害的民事权利为精神性人格权 。在“通缉”行为中对精神性人格权的侵犯集中表现为对名誉权、肖像权、隐私权的侵犯：

1.名誉权。指公民或者法人对自己在社会生活中所获得的社会综合评价依法所享有的不可侵犯的权利。恶意或者过失的“网络通缉”行为可能造成被“通缉”者的社会评价降低，因此这种行为大多侵害了名誉权。就“通缉令”内容而言，如果发布的内容与事实相符合，对他人的名誉评价是适当、真实，那么不侵犯名誉权。如果发布的内容是捏造的、虚假的或者存在侮辱性语言，那么就构成对名誉权的侵犯。“通缉”参与者在事件评论中对被“通缉”者的诽谤、侮辱等行为也构成对名誉权的侵犯。

2.隐私权。指自然人享有的对与公共利益无关的个人信息、私人活动和个人领域进行支配的人格权。基于该项权利，公民个人的，与社会公共利益无涉的正常生活可以不受他人非法干涉，涉及个人的有关事项可以不受他人擅自公开。在“网络通缉”中公布他人信息、私密活动及因“通缉”行为导致的私人生活遭受骚扰，都是侵害隐私权的行为。这里需要强调的是：现阶段，我国民法体系没有把隐私权确认为一种独立的民事权利，对隐私权采取的是间接保护，对隐私权的保护包含在名誉权里面。即对侵害他人隐私权，造成名誉损害的，认定为侵害名誉权追究民事责任，名誉权是否被侵害成为隐私权是否被侵害的前提条件。然而最高院《关于确定民事侵权精神损害赔偿责任若干问题的解释》中虽没有将隐私权作为一项独立的民事权利，却将隐私作为一项独立的人格利益加以保护：违反社会公共利益、社会公德侵害他人隐私或者其他人格利益，受害人以侵权为由向人民法院起诉请求赔偿精神损害的，人民法院应当依法予以受理。

3.肖像权。指自然人享有的以其肖像所体现的人格利益为内容的权利，基本内容包括：肖像制作专有权、肖像使用专有权、利益维护权。“网络通缉”中使用被“通缉”者的肖像虽然没有以盈利为目的，不符合《民法通则》对侵犯公民肖像权的认定。但是，法律保护公民的肖像权，最主要的是保护公民肖像权所体现的精神利益。所以，在“通缉令”中擅自公布他人的肖像，只要没有经过本人的同意，就构成对肖像使用专有权的侵害。

在“网络通缉令”中，即使没有侵害上述3项具体人格权，若侵害了被“通缉”人的人格尊严或其他人格利益的，也构成侵权行为。

我国《计算机信息网络国际联网安全保护管理办法》规定：任何单位和个人不得利用国际联网制作、复制、查阅和传播公然侮辱他人或者捏造事实诽谤他人的信息。为避免对他人合法权益的侵害，网民应该做到不发布、不轻信、不传播没有正式消息来源的网络言论与侵犯他人合法权益的内容。这样才能令“网络通缉”在法律与道德允许的范围内，充分发挥它的活力与积极意义。我国《互联网信息服务管理办法》规定：互联网信息服务提供者不得制作、复制、发布、传播含有侮辱或者诽谤他人，侵害他人合法权益的信息。网站作为互联网内容提供商对“网络通缉”内容应当承担必要的注意和审查义务。

四、对“网络通缉”的防范与维权方式

由于无法很好的对事件真相进行认定，“通缉令”帖子所描述的内容真伪很难确证。言辞激烈的“通缉”很容易煽动网友情绪，增加行为的盲目性，使本应很好发挥作用的网络舆论监督变成“网哄”甚至是“网络暴力”。若网民遭遇“网络通缉”应该怎样维护自己的合法权益？

首先，网民若要远离“网络通缉”，一定要加强对个人信息保护。通过现在的搜索引擎技术，只要某人在网上留下信息，那么一定可以查找到该人，需要的只是耐心。引用一句网络上的话就是：“你不仅可以知道和你聊天的是不是一只狗，还可以知道它是一只什么品种的狗”。这话虽然不雅，却在一定程度上说明对个人信息搜寻的快速、便捷、准确。所以，网民在上网时，对可能涉及个人信息的泄露的情况一定要谨慎对待。例如：不要在陌生网站留下自己的真实信息；对陌生邮件尽量不要回复；与陌生人聊天要保持警惕；重视对密码的保护。

其次，要规范自己的言论，。在网络进行留言、聊天、评论、发帖时，尽量使用避免过激的语言、不要在不知真相的情况下对他人妄自评论、不要对他人进行人身攻击，理性讨论以避免和网友关系紧张遭到报复性“通缉”。

最后，如果在网络上遭遇到“网络通缉”，第一件事就是立即通知“通缉令”网站的管理者立即删除有关的侵权内容，避免不良影响进一步扩大。若已经造成不良的社会影响或生活遭受骚扰，应马上对采取侵权证据进行公证，同时要求网站提供侵权人的相关资料，以便进行维权举证。若发现网站在“通缉”事件中存在过错，可以要求网站共同承担民事侵权责任。若网络上的侵权内容在某种程度上已经达到治安处罚或刑事处罚标准，被侵权人、相关权利人或者普通网民都可以向公安机关报案，寻求法律救济。

通过对民间“网络通缉”的思考，我们可以得出结论：言论自由是宪法赋予公民的权利，但权利和义务永远是统一的。目前，网民言论所呈现的情况是权利本位的无限扩张和义务本位的缺失。网络是虚拟的，而它产生的社会影响却是实实在在的。所以在推行网络自律的同时，有必要由外部力量介入，让网民在发表言论时考虑到发言应该承担的责任，令其客观的对信息进行思辨，尊重事实、尊重他人合法权益。笔者以为，在网络推行实名制将会使网民在发表言论时考虑到“言责自负”，在即将逾越法律的底线时有所顾忌，对自己的行为进行约束。这不仅能提升网络道德水平，并且可以净化网络空间的法治环境。绝对的言论自由与真正的言论自由之间有着天壤之别，我们期待有理性、有社会责任感的网民参与网络秩序的建设和网络言论的表达。

最后想和“网络通缉”的参与者和广大网民说的一句话是：在您充分行使自由表达权时，请尊重他人合法权益，不要逾越法律的底线。