英国新授权的互联网内容监管机构已根据上月底成为法律的《在线安全法》(OSA)发布了第一套业务守则草案。更多的守则将陆续公布,但这第一套守则的重点是用户对用户(U2U)服务应如何应对不同类型的非法内容,它为英国通信管理局打算如何在一个关键领域制定和执行英国全面的新互联网规则提供了指导。
通信管理局表示,作为"网络安全监管机构",其首要任务是保护儿童。
关于非法内容的建议草案包括:大型和高风险平台应避免向儿童展示推荐好友列表;不得让儿童用户出现在他人的连接列表中;不得让他人看到儿童的连接列表。
它还建议,儿童连接列表之外的账户不能向他们发送直接消息;儿童的位置信息不应该被其他用户看到,以及其他一些旨在保护儿童上网安全的建议风险缓解措施。
"监管已经到来,我们将毫不迟疑地规定我们期望科技公司如何在维护言论自由的同时保护人们免受网络非法伤害。"通信管理局首席执行官梅兰妮-道斯女士(Melanie Dawes)在一份声明中说:"孩子们告诉了我们他们所面临的危险,我们决心为年轻人创造更安全的网络生活。"
"我们的数据显示,大多数中学生都曾在网上受到过可能让他们感到不舒服的接触。对许多人来说,这种情况反复发生。如果这些不受欢迎的接触经常发生在外部世界,大多数父母几乎都不会希望自己的孩子离开家。然而,不知何故,在网络空间里,这些事情几乎成了家常便饭。这种情况不能再继续下去了。"
OSA 规定,无论数字服务规模大小,都有法律义务保护用户免受非法内容带来的风险,如 CSAM(儿童性虐待材料)、恐怖主义和欺诈。尽管立法中列出的重点罪行清单很长--还包括亲密形象滥用、跟踪和骚扰以及网络闪光等等。
立法中并未规定范围内的服务和平台需要采取哪些具体步骤来遵守。通信管理局也没有规定数字企业应如何应对各类非法内容风险。但其正在制定的详细《业务守则》旨在提供建议,帮助企业决定如何调整其服务,以避免被发现违反该制度的风险。
通信管理局正在避免"一刀切"的做法--守则草案中一些成本较高的建议仅针对规模较大和/或风险较高的服务。
它还写道,它"有可能与"规模最大、风险最高的服务机构"建立最密切的监管关系"--这应该会在一定程度上缓解初创企业的压力(它们一般不会像更成熟的服务机构那样实施许多建议的缓解措施)。OSA 将"大型"服务定义为月用户超过 700 万(约占英国人口的 10%)的服务。
"公司将被要求评估其平台上非法内容对用户造成伤害的风险,并采取适当措施保护用户免受其害。立法特别关注'重点罪行',如虐待儿童、诱骗和鼓励自杀;但也可能是任何非法内容,"该公司在一份新闻稿中写道,并补充道:"鉴于新法律涉及的服务范围广泛且多种多样,我们不会采取'一刀切'的做法。我们针对所有范围内的服务提出了一些措施,而其他措施则取决于服务在其非法内容风险评估中确定的风险以及服务的规模。"
监管机构在履行其新职责时似乎相对谨慎,关于非法内容的守则草案经常提到缺乏数据或证据来证明不建议采取某些类型的风险缓解措施的初步决定是合理的--例如,Ofcom 不建议使用哈希匹配来检测恐怖主义内容;也不建议使用人工智能来检测以前未知的非法内容。
尽管它指出,随着它收集到更多证据(毫无疑问,随着可用技术的变化),这些决定将来可能会改变。
它还承认这项工作的新颖性,即尝试监管像网络安全/危害这样广泛而主观的内容,并表示希望其首批准则能够成为其发展的基础,包括通过定期审查流程--这表明随着监督流程的成熟,指导意见也将随之转变和发展。
Ofcom 写道:"我们认识到,我们正在为一个以前没有此类直接监管的行业制定一套新颖的法规,而且我们现有的证据基础目前在某些领域还很有限,因此,这些首批准则是我们通过后续的准则迭代和即将开展的保护儿童咨询而建立起来的基础。本着这一精神,我们首次提出的《准则》包括旨在对在线安全进行适当治理和问责的措施,这些措施旨在将安全文化融入组织设计,并随着时间的推移不断迭代和改进安全系统和流程"。
总体而言,这第一步的建议看起来还算没有争议--例如,通信管理局倾向于建议所有 U2U 服务都应拥有"旨在迅速删除其所知晓的非法内容的系统或流程"(注意注意事项);而"多风险"和/或"大型"U2U 服务则被提出了一份更全面、更具体的要求清单,旨在确保它们拥有一个正常运行且资源充足的内容审核系统。
它正在咨询的另一项建议是,所有普通搜索服务都应确保被识别为托管 CSAM 的 URL 被取消索引。但目前还没有正式建议屏蔽分享 CSAM 的用户--理由是缺乏证据(以及现有的平台用户屏蔽政策不一致)。尽管草案称其"计划在明年初探讨与 CSAM 相关的用户屏蔽建议"。
通信管理局还建议,被认定为中度或高度风险的服务应向用户提供工具,让他们屏蔽或静音服务上的其他账户。(这对几乎所有人来说都是没有争议的--也许 X 的所有者埃隆-马斯克除外)。
此外,它还避免推荐某些更具实验性和/或不准确(和/或侵入性)的技术--因此,虽然它建议规模较大和/或 CSAM 风险较高的服务执行 URL 检测,以获取并阻止已知 CSAM 网站的链接,但并不建议它们对 CSAM 进行关键词检测等。
其他初步建议包括:主要搜索引擎对可能与 CSAM 有关的搜索显示预测性警告;对与自杀有关的搜索提供危机预防信息。
通信管理局还建议各服务机构使用自动关键词检测来查找和删除与销售信用卡等被盗凭证有关的帖子,以应对网络欺诈带来的各种危害。不过,它建议不要使用同样的技术来专门检测金融促销骗局,因为它担心这样会抓取大量合法内容(如真正的金融投资促销内容)。
隐私和安全观察人士在阅读指南草案时应该特别松一口气,因为通信管理局似乎正在摆脱《开放式网络安全法案》中最具争议的内容--即其对端到端加密(E2EE)的潜在影响。
这一直是英国网络安全立法的主要争议点,受到了包括一些科技巨头和安全信息公司在内的强烈反对。但是,尽管公众批评声浪很大,政府还是没有修改法案,将 E2EE 从 CSAM 检测措施的范围中删除--相反,在法案通过议会的最后阶段,一位部长提供了口头保证,称除非存在"适当的技术",否则不能要求通信管理局下令进行扫描。
在法规草案中,通信管理局建议规模较大、风险较高的服务使用一种名为哈希匹配的技术来检测 CSAM,这避免了争议,因为它只适用于"与 U2U(用户对用户)服务上公开传播的内容有关,且在技术上可行的情况下"。
该法还规定:"根据该法的限制,它们不适用于私人通信或端到端加密通信"。
现在,通信管理局将就其今天发布的法规草案进行咨询,征求对其建议的反馈意见。
有关如何降低非法内容风险的数字业务指南要到明年秋天才能定稿,而这些内容的合规性预计要到明年秋天之后的至少三个月。因此,为了让数字服务和平台有时间适应新制度,有相当宽松的准备期。
很明显,随着通信管理局对具体细节进行更多的"细化"(以及任何必要的二级立法的出台),法律的影响也将错开。
尽管《开放源码协议》的某些内容--如通信管理局可就范围内服务发布的信息通知--已成为可强制执行的义务。不遵守通信管理局信息通知的服务可能面临制裁。
OSA 还规定了范围内服务进行首次儿童风险评估的时限,这一关键步骤将有助于确定他们可能需要采取的缓解措施。因此,数字业务部门应该开展大量工作,为即将实施的全面制度做好准备。
通信管理局发言人告表示:"我们希望看到各服务机构尽快采取行动保护用户,我们认为他们没有理由推迟采取行动。我们认为,我们今天提出的建议是一套很好的实际步骤,各服务机构可以采取这些步骤来提高用户安全。尽管如此,我们正在就这些建议进行咨询,我们注意到,这些建议中的某些内容有可能会根据咨询过程中提供的证据而发生变化。"
当被问及如何确定一项服务的风险时,该发言人说:"Ofcom将根据我们自己对其用户群规模以及与其功能和商业模式相关的潜在风险的看法,决定我们监管哪些服务。我们已经表示,将在皇室御准后的头 100 天内通知这些服务,我们也将随着对行业的了解和新证据的出现不断对此进行审查。"
关于非法内容代码的时间表,监管机构还告诉我们:"在我们的监管声明(目前计划于明年秋季发布,但需视咨询回复情况而定)中最终确定我们的代码后,我们将把它们提交给国务大臣,以便提交给议会。这些准则将在议会通过后 21 天生效,我们将从那时开始采取执法行动,并希望各服务部门最迟在那时开始采取行动遵守准则。尽管如此,一些缓解措施可能需要时间来落实。我们将采取合理、适度的方法来决定何时采取执法行动,同时考虑到采取缓解措施的实际限制因素"。
"我们将采取合理、适度的方式行使执法权,这与我们的总体执法方针是一致的,同时也认识到服务机构在适应新职责时所面临的挑战,"Ofcom 在咨询意见中还写道。
"对于非法内容和儿童安全职责,我们希望在该制度的早期阶段只优先考虑对严重违规行为采取执法行动,以便让服务有合理的机会遵守规定。例如,这可能包括对英国用户,特别是对儿童造成严重和持续伤害的重大风险。虽然我们会根据具体情况考虑什么是合理的,但所有服务机构都应在相关安全责任生效后的六个月内完全遵守规定。