英國新授權的互聯網內容監管機構已根據上月底成為法律的《在線安全法》(OSA)發佈第一套業務守則草案。更多的守則將陸續公佈,但這第一套守則的重點是用戶對用戶(U2U)服務應如何應對不同類型的非法內容,它為英國通信管理局打算如何在一個關鍵領域制定和執行英國全面的新互聯網規則提供指導。
通信管理局表示,作為"網絡安全監管機構",其首要任務是保護兒童。
關於非法內容的建議草案包括:大型和高風險平臺應避免向兒童展示推薦好友列表;不得讓兒童用戶出現在他人的連接列表中;不得讓他人看到兒童的連接列表。
它還建議,兒童連接列表之外的賬戶不能向他們發送直接消息;兒童的位置信息不應該被其他用戶看到,以及其他一些旨在保護兒童上網安全的建議風險緩解措施。
"監管已經到來,我們將毫不遲疑地規定我們期望科技公司如何在維護言論自由的同時保護人們免受網絡非法傷害。"通信管理局首席執行官梅蘭妮-道斯女士(Melanie Dawes)在一份聲明中說:"孩子們告訴我們他們所面臨的危險,我們決心為年輕人創造更安全的網絡生活。"
"我們的數據顯示,大多數中學生都曾在網上受到過可能讓他們感到不舒服的接觸。對許多人來說,這種情況反復發生。如果這些不受歡迎的接觸經常發生在外部世界,大多數父母幾乎都不會希望自己的孩子離開傢。然而,不知何故,在網絡空間裡,這些事情幾乎成傢常便飯。這種情況不能再繼續下去。"
OSA 規定,無論數字服務規模大小,都有法律義務保護用戶免受非法內容帶來的風險,如 CSAM(兒童性虐待材料)、恐怖主義和欺詐。盡管立法中列出的重點罪行清單很長--還包括親密形象濫用、跟蹤和騷擾以及網絡閃光等等。
立法中並未規定范圍內的服務和平臺需要采取哪些具體步驟來遵守。通信管理局也沒有規定數字企業應如何應對各類非法內容風險。但其正在制定的詳細《業務守則》旨在提供建議,幫助企業決定如何調整其服務,以避免被發現違反該制度的風險。
通信管理局正在避免"一刀切"的做法--守則草案中一些成本較高的建議僅針對規模較大和/或風險較高的服務。
它還寫道,它"有可能與"規模最大、風險最高的服務機構"建立最密切的監管關系"--這應該會在一定程度上緩解初創企業的壓力(它們一般不會像更成熟的服務機構那樣實施許多建議的緩解措施)。OSA 將"大型"服務定義為月用戶超過 700 萬(約占英國人口的 10%)的服務。
"公司將被要求評估其平臺上非法內容對用戶造成傷害的風險,並采取適當措施保護用戶免受其害。立法特別關註'重點罪行',如虐待兒童、誘騙和鼓勵自殺;但也可能是任何非法內容,"該公司在一份新聞稿中寫道,並補充道:"鑒於新法律涉及的服務范圍廣泛且多種多樣,我們不會采取'一刀切'的做法。我們針對所有范圍內的服務提出一些措施,而其他措施則取決於服務在其非法內容風險評估中確定的風險以及服務的規模。"
監管機構在履行其新職責時似乎相對謹慎,關於非法內容的守則草案經常提到缺乏數據或證據來證明不建議采取某些類型的風險緩解措施的初步決定是合理的--例如,Ofcom 不建議使用哈希匹配來檢測恐怖主義內容;也不建議使用人工智能來檢測以前未知的非法內容。
盡管它指出,隨著它收集到更多證據(毫無疑問,隨著可用技術的變化),這些決定將來可能會改變。
它還承認這項工作的新穎性,即嘗試監管像網絡安全/危害這樣廣泛而主觀的內容,並表示希望其首批準則能夠成為其發展的基礎,包括通過定期審查流程--這表明隨著監督流程的成熟,指導意見也將隨之轉變和發展。
Ofcom 寫道:"我們認識到,我們正在為一個以前沒有此類直接監管的行業制定一套新穎的法規,而且我們現有的證據基礎目前在某些領域還很有限,因此,這些首批準則是我們通過後續的準則迭代和即將開展的保護兒童咨詢而建立起來的基礎。本著這一精神,我們首次提出的《準則》包括旨在對在線安全進行適當治理和問責的措施,這些措施旨在將安全文化融入組織設計,並隨著時間的推移不斷迭代和改進安全系統和流程"。
總體而言,這第一步的建議看起來還算沒有爭議--例如,通信管理局傾向於建議所有 U2U 服務都應擁有"旨在迅速刪除其所知曉的非法內容的系統或流程"(註意註意事項);而"多風險"和/或"大型"U2U 服務則被提出一份更全面、更具體的要求清單,旨在確保它們擁有一個正常運行且資源充足的內容審核系統。
它正在咨詢的另一項建議是,所有普通搜索服務都應確保被識別為托管 CSAM 的 URL 被取消索引。但目前還沒有正式建議屏蔽分享 CSAM 的用戶--理由是缺乏證據(以及現有的平臺用戶屏蔽政策不一致)。盡管草案稱其"計劃在明年初探討與 CSAM 相關的用戶屏蔽建議"。
通信管理局還建議,被認定為中度或高度風險的服務應向用戶提供工具,讓他們屏蔽或靜音服務上的其他賬戶。(這對幾乎所有人來說都是沒有爭議的--也許 X 的所有者埃隆-馬斯克除外)。
此外,它還避免推薦某些更具實驗性和/或不準確(和/或侵入性)的技術--因此,雖然它建議規模較大和/或 CSAM 風險較高的服務執行 URL 檢測,以獲取並阻止已知 CSAM 網站的鏈接,但並不建議它們對 CSAM 進行關鍵詞檢測等。
其他初步建議包括:主要搜索引擎對可能與 CSAM 有關的搜索顯示預測性警告;對與自殺有關的搜索提供危機預防信息。
通信管理局還建議各服務機構使用自動關鍵詞檢測來查找和刪除與銷售信用卡等被盜憑證有關的帖子,以應對網絡欺詐帶來的各種危害。不過,它建議不要使用同樣的技術來專門檢測金融促銷騙局,因為它擔心這樣會抓取大量合法內容(如真正的金融投資促銷內容)。
隱私和安全觀察人士在閱讀指南草案時應該特別松一口氣,因為通信管理局似乎正在擺脫《開放式網絡安全法案》中最具爭議的內容--即其對端到端加密(E2EE)的潛在影響。
這一直是英國網絡安全立法的主要爭議點,受到包括一些科技巨頭和安全信息公司在內的強烈反對。但是,盡管公眾批評聲浪很大,政府還是沒有修改法案,將 E2EE 從 CSAM 檢測措施的范圍中刪除--相反,在法案通過議會的最後階段,一位部長提供口頭保證,稱除非存在"適當的技術",否則不能要求通信管理局下令進行掃描。
在法規草案中,通信管理局建議規模較大、風險較高的服務使用一種名為哈希匹配的技術來檢測 CSAM,這避免爭議,因為它隻適用於"與 U2U(用戶對用戶)服務上公開傳播的內容有關,且在技術上可行的情況下"。
該法還規定:"根據該法的限制,它們不適用於私人通信或端到端加密通信"。
現在,通信管理局將就其今天發佈的法規草案進行咨詢,征求對其建議的反饋意見。
有關如何降低非法內容風險的數字業務指南要到明年秋天才能定稿,而這些內容的合規性預計要到明年秋天之後的至少三個月。因此,為讓數字服務和平臺有時間適應新制度,有相當寬松的準備期。
很明顯,隨著通信管理局對具體細節進行更多的"細化"(以及任何必要的二級立法的出臺),法律的影響也將錯開。
盡管《開放源碼協議》的某些內容--如通信管理局可就范圍內服務發佈的信息通知--已成為可強制執行的義務。不遵守通信管理局信息通知的服務可能面臨制裁。
OSA 還規定范圍內服務進行首次兒童風險評估的時限,這一關鍵步驟將有助於確定他們可能需要采取的緩解措施。因此,數字業務部門應該開展大量工作,為即將實施的全面制度做好準備。
通信管理局發言人告表示:"我們希望看到各服務機構盡快采取行動保護用戶,我們認為他們沒有理由推遲采取行動。我們認為,我們今天提出的建議是一套很好的實際步驟,各服務機構可以采取這些步驟來提高用戶安全。盡管如此,我們正在就這些建議進行咨詢,我們註意到,這些建議中的某些內容有可能會根據咨詢過程中提供的證據而發生變化。"
當被問及如何確定一項服務的風險時,該發言人說:"Ofcom將根據我們自己對其用戶群規模以及與其功能和商業模式相關的潛在風險的看法,決定我們監管哪些服務。我們已經表示,將在皇室禦準後的頭 100 天內通知這些服務,我們也將隨著對行業的解和新證據的出現不斷對此進行審查。"
關於非法內容代碼的時間表,監管機構還告訴我們:"在我們的監管聲明(目前計劃於明年秋季發佈,但需視咨詢回復情況而定)中最終確定我們的代碼後,我們將把它們提交給國務大臣,以便提交給議會。這些準則將在議會通過後 21 天生效,我們將從那時開始采取執法行動,並希望各服務部門最遲在那時開始采取行動遵守準則。盡管如此,一些緩解措施可能需要時間來落實。我們將采取合理、適度的方法來決定何時采取執法行動,同時考慮到采取緩解措施的實際限制因素"。
"我們將采取合理、適度的方式行使執法權,這與我們的總體執法方針是一致的,同時也認識到服務機構在適應新職責時所面臨的挑戰,"Ofcom 在咨詢意見中還寫道。
"對於非法內容和兒童安全職責,我們希望在該制度的早期階段隻優先考慮對嚴重違規行為采取執法行動,以便讓服務有合理的機會遵守規定。例如,這可能包括對英國用戶,特別是對兒童造成嚴重和持續傷害的重大風險。雖然我們會根據具體情況考慮什麼是合理的,但所有服務機構都應在相關安全責任生效後的六個月內完全遵守規定。