英國新授權的互聯網內容監管機構已經發布了首批草案實施規範,這是根據上月生效的《網絡安全法》制定的。隨後還將有更多的規範,但這第一批規範主要關注用戶對用戶(U2U)服務對不同類型非法內容的回應,為 Ofcom 在關鍵領域塑造和執行英國全面新互聯網規則提供了指引。
Ofcom 表示,“網絡安全監管機構”的首要任務是保護兒童安全。
關於非法內容的草案建議包括建議較大和風險較高的平台應避免向兒童呈現建議的朋友列表;不應讓兒童用戶出現在其他人的連接列表中;不應使兒童的連接列表對其他人可見。
此外,還建議在兒童的連接列表之外的帳戶不應該向他們發送直接消息;兒童的位置信息不應該對其他用戶可見,這是為了保護兒童在線安全而提出的一些風險緩解建議。
Ofcom 首席執行官 Melanie Dawes 女爵士在一份聲明中表示:“規範已經到來,我們立即闡述了我們期望科技公司如何保護人們免受在線非法傷害,同時維護言論自由。兒童向我們講述了他們面臨的危險,我們決心為年輕人創造一個更安全的在線生活。”
《網絡安全法》對數字服務提出了法律責任,無論是大型還是小型服務,都要保護用戶免受非法內容(如兒童性虐待材料、恐怖主義和詐騙)帶來的風險。雖然法律中列出了優先犯罪行為的清單,包括親密影像濫用、跟蹤和騷擾以及網絡性騷擾等。
法律並未明確規定在範圍內的服務和平台需要採取哪些措施以達到合規。Ofcom 也沒有規定數字企業應該如何應對各種類型的非法內容風險。但它正在制定詳細的實施規範,旨在提供建議,幫助企業決定如何調整其服務,以避免違反規定,因違反規定可能面臨高達全球年營業額 10% 的罰款。
Ofcom 避免了一刀切的方法,對於一些較昂貴的建議,只提供給較大或風險較高的服務。
它還指出,它“可能與最大和最有風險的服務建立最密切的監督關係”,這對初創企業來說應該是一個安慰(通常不需要實施與更成熟服務相同數量的建議緩解措施)。根據 OSA 的定義,“大型”服務指的是擁有超過 700 萬月度用戶(約佔英國人口的 10%)的服務。
它在新聞稿中寫道:“公司將被要求評估平台上的非法內容對用戶造成的風險,並採取適當措施保護用戶免受此類內容的傷害。法律中明確列出了“優先犯罪行為”,如兒童虐待、誘拐和鼓勵自殺;但也可能是任何非法內容。”它還補充說:“考慮到新法律適用範圍內的各種服務的範圍和多樣性,我們不會采取 ‘一刀切’ 的方法。我們為適用範圍內的所有服務提出了一些措施,其他措施則取決於服務在其非法內容風險評估中確定的風險和服務的規模。”
監管機構在承擔新職責方面似乎相對謹慎,草案規範中經常提到缺乏數據或證據來證明初步決策不建議某些類型風險緩解措施的正當性,例如 Ofcom 不建議使用哈希匹配來檢測恐怖主義內容,也不建議使用人工智能來檢測以前未知的非法內容。
儘管它指出這些決策可能會隨著它收集到更多證據(並且無疑會隨著可用技術的變化)而改變。
它還承認這一努力的新奇性,即試圖監管如此廣泛和主觀的在線安全/傷害,並表示希望其第一批規範成為基礎,包括通過定期審查的過程來進一步發展和變革,這表明指導方針將隨著監管過程的成熟而發生變化。
總的來說,這些首批建議看起來相對沒有爭議,例如,Ofcom 傾向於建議所有 U2U 服務都應該擁有“設計用於迅速刪除已知非法內容的系統或流程”(注意限制);而對於“多風險”和/或“大型”U2U 服務,則提供了一個更全面和具體的要求列表,旨在確保它們擁有運作良好且資源充足的內容審核系統。
它還提出了一項諮詢建議,即所有一般搜索服務應確保已識別為托管兒童性虐待材料(CSAM)的 URL 不會被索引。但目前尚未正式建議封鎖共享 CSAM 的用戶,原因是缺乏證據(以及現有平台政策對用戶封鎖的不一致)。儘管草案表示,它“計劃在明年初探索與 CSAM 相關的用戶封鎖建議”。
Ofcom 還建議,將自己定位為中等或高風險的服務應為用戶提供工具,讓他們可以封鎖或靜音服務中的其他帳戶(這對於幾乎所有人來說都是沒有爭議的,除了可能是特斯拉所有者 Elon Musk)。
在建議某些更具實驗性、不準確(和/或侵入性)的技術方面,Ofcom 也避免了建議。因此,雖然它建議較大和/或風險較高的 CSAM 服務應該進行 URL 檢測,以檢測並封鎖已知 CSAM 網站的鏈接,但它不建議對 CSAM 進行關鍵詞檢測。
其他初步建議還包括主要搜索引擎在與 CSAM 相關的搜索上顯示預測警告;並為與自殺相關的搜索提供危機預防信息。
Ofcom 還建議服務使用自動關鍵詞檢測來查找和刪除與出售盜竊憑證(如信用卡)相關的帖子,以解決網絡詐騙帶來的眾多問題。然而,它建議不要將相同的技術用於檢測特定的金融促銷詐騙,因為它擔心這將檢測到大量合法內容(如真實金融投資的促銷內容)。
隱私和安全觀察者在閱讀草案指南時應該會松一口氣,因為 Ofcom 似乎正在遠離《網絡安全法》最具爭議的元素,即對端到端加密(E2EE)的潛在影響。
這一點一直是英國網絡安全法的一個主要爭議點,受到許多科技巨頭和安全消息傳遞公司的強烈反對。但儘管公開批評,政府並未修改該法案,將 E2EE 從 CSAM 檢測措施的範圍中刪除,而是一位部長在法案通過國會的最後階段提供了口頭保證,表示 Ofcom 不能要求進行掃描,除非“存在適當的技術”。
在草案規範中,Ofcom 對於較大和風險更高的服務使用一種稱為哈希匹配的技術來檢測 CSAM,避免了爭議,因為它僅適用於“在 U2U 服務上公開傳遞的內容,並且在技術上可以實施它們”的情況(強調它)。
它還明確規定:“根據法律的限制,它們不適用於私人通信或端到端加密通信。”
Ofcom 現在將就其今天發布的草案規範進行諮詢,並邀請對其提案提供反饋。
有關如何減少服務風險的數字企業指南將在明年秋季之前確定,對這些方面的合規性要求預計至少在此之後三個月才會生效,以便給數字服務和平台有足夠的時間適應新的制度。
同時,隨著 Ofcom 進一步明確具體細節(以及引入任何必要的次級立法),法律的影響將分批進行。
儘管 OSA 的某些元素(例如 Ofcom 可以對範圍內服務發出的信息通知)已經是可執行的義務。未遵守 Ofcom 的信息通知的服務可能面臨制裁。
OSA 為範圍內服務制定了一個時間表,要求他們進行首次兒童風險評估,這是確定他們可能需要採取哪些緩解措施的關鍵步驟。因此,數字企業應該已經開始為新制度做好準備。
Ofcom 的發言人告訴 TechCrunch:“我們希望看到服務盡快采取行動保護人們,並且我們認為我們今天的提案是一套可以改善用戶安全的實用措施。儘管如此,我們正在對這些建議進行諮詢,並且我們注意到在諮詢過程中提供的證據可能會改變它們的某些要素。”
在被問及如何確定服務風險時,發言人表示:“Ofcom 將根據我們對其用戶規模以及其功能和業務模式可能帶來的潛在風險的觀點來確定我們監管的服務。我們已經表示,在皇家同意書簽署後的前 100 天內,我們將通知這些服務,我們還將在對行業的了解和新證據出現時對此進行審查。”
關於非法內容規範的時間表,監管機構還告訴我們:“在我們在監管聲明中最終確定我們的規範之後(計劃在明年秋季,根據諮詢回應),我們將將其提交給國務大臣在國會提出。它們將在通過國會後的 21 天內生效,並且我們將能夠從那時開始採取執法措施,並且希望服務至少在那時開始採取行動以達到合規性。然而,一些緩解措施可能需要時間來實施。我們將根據實際限制對何時採取執法措施做出合理和相應的決定,以解決緩解措施的問題。”
Ofcom 在諮詢中還寫道:“對於非法內容和兒童安全職責,我們預計在制度的最早階段僅對嚴重違規行為進行執法行動,以便服務有合理的機會達到合規。例如,這可能包括存在對英國用戶,尤其是兒童,存在非常重大和持續傷害風險的情況。雖然我們將根據個案進行合理的評估,但所有服務都應該期望在相關安全職責生效後的六個月內達到完全合規。”
