信息保有人指的是依法或约定取得公民个人电子信息的人，包括网络服务提供者、企事业单位和国家机关及其工作人员。《决定》的第3、4、5、6、10条规定了信息保有人的义务类型，主要由以下几个方面：

（1）对个人信息的善良保管义务，包括对信息不得“泄露、篡改、毁损，不得出售或者非法向他人提供”。虽然《决定》将出售和非法提供信息作为违法行为看待，但是，实践中存在大量信息保有者之间依据契约形式的转让方式，这些契约不仅存在于网站之间，而且大多数情况下还存在于“网民协议”之中。目前绝大多数的网站都将收集的信息转让权规定在网民协议中，并通过此主张事先已经得到网民的授权。对待这种问题，司法实践中尚未得到统一的判断标准。从比较法上看，美国与欧洲有两种立法模式，前者承认这种契约关系，并认为妥善地转让并不损害权利人利益，后者则一般不承认这种契约关系，将其作为隐私保护范围，未经额外授权的转让是变相侵害公民隐私权的体现。我国对此尚未有明确解释，不过，从互联网产业发展和市场化角度看，如果转让双方都具有同等隐私保护政策，转让行为将不会对公民人格利益造成额外损害，所以，应该得到法律的承认。

（2）强调事后补救措施的义务。《决定》将信息保有者的义务分为事先和事后两种，“事先”主要指技术上和伦理上的注意义务，“事后”指的是在出现“泄露、毁损、丢失”之后，保有者应采取的必要措施。《决定》并没有对保有人事后具体措施作出规定，仅规定“立即采取补救措施”。按一般意义理解，措施应该包括三个部分：从采取措施的时间上看应该具有即时性；从手段上看应“穷尽”现有技术手段；从程序上看应立即向有关部门报告。(www.daowen.com)

（3）强化了网络服务提供者的监管义务。《决定》强调了网站对用户上传非法信息的监管力度——应该在被侵权人和主管部门“提示”之前就采取必要措施，尽量减少有害信息和侵权信息的传送。《决定》强调了网站对此类信息的记录保存义务和向主管部门报告的义务。这是对现阶段部分网站滥用“避风港规则”的否定，是《侵权责任法》网络侵权责任部分必要的补充，是“红旗规则”具体适用情形的体现。

（4）强调了国家机关及其工作人员作为信息保有人的责任。从法理上说，公民信息权是一种“绝对权”和“对世权”，任何人都应该是义务主体。《决定》将国家机关及其工作人员单独规定在于强调两点，一是强调国家公权力对私权利的保障没有特殊性，二是强调在真实身份认证制度下，国家机关应该尽到更高的注意义务。