英国通信监管机构Ofcom表示,它准备“破坏”不遵守该国有争议的新在线安全法的技术平台,包括切断它们与支付系统的联系,甚至阻止它们进入英国。
该法案是一项涵盖一系列问题的庞大立法,从技术平台应如何保护儿童免受虐待,到诈骗广告和恐怖主义内容,于10月成为法律。今天,监管机构发布了第一轮提案,内容涉及该法案将如何实施,以及科技公司需要做些什么来遵守。
拟议中的法规将迫使大型科技公司解决引诱儿童在其平台上进行虐待的途径,并拥有“足够的”信任和安全团队,以限制有害内容的传播。公司还必须在英国指定一名可能对违规行为负责的个人。
“我们的监管活动从今天开始,”英国通信管理局(Ofcom)在线安全小组负责人、谷歌前高管吉尔?怀特黑德(Gill Whitehead)表示。“从今天开始,我们将对最大的公司和我们认为可能存在某些类型非法损害风险最高的公司进行一对一的监管……科技公司需要加强并真正采取行动。”
Ofcom的建议明确了科技公司需要做些什么来避免违反该法案的处罚,其中可能包括高达其全球收入10%的罚款和对高管的刑事指控。但这些提议不太可能让消息平台和在线隐私倡导者放心,他们表示,该法案将迫使平台破坏端到端加密,并在其服务中创建后门,使它们面临隐私侵犯和安全风险。
在为《网络安全法》辩护时,政府及其支持者将其描述为保护在线儿童的关键。Ofcom的第一批提案将在2024年之前进行更多磋商,重点是限制未成年人接触令人不安或危险的内容,并防止他们被潜在的滥用者培养。
Ofcom表示,其研究表明,英国11岁至18岁的儿童中,有五分之三的人在网上收到过让他们感到不舒服的不受欢迎的信息,六分之一的人被发送或要求分享裸照或半裸照片。怀特黑德说,“散弹枪”式的好友请求是成年人用来培养孩子的。根据Ofcom的提议,公司需要采取措施防止儿童被直接网络之外的人接触,包括禁止他们未连接的账户向他们发送直接信息。他们的好友列表将对其他用户隐藏,他们也不会出现在自己的好友列表中。
为了遵守这一规定,平台和网站可能需要提高验证用户年龄的能力,这将意味着收集更多访问其服务的人的数据。维基百科表示,它可能不得不阻止英国用户访问,因为遵守将“违反我们收集读者和贡献者最少数据的承诺”。刘易斯?希尔金律师事务所(Lewis Silkin)合伙人杰兰特?劳埃德-泰勒(Geraint Lloyd-Taylor)表示,英国的公司已经受到一些法规的约束,例如,这些法规要求它们防止未成年人浏览年龄限制产品的广告,但它们此前一直难以实施监管机构和客户都能接受的所谓年龄限制服务。“我们确实需要关注解决方案,而不仅仅是发现问题。”Lloyd-Taylor说。
怀特黑德表示,Ofcom将在下个月的另一次咨询中公布有关年龄验证具体方法的更多细节。
《网络安全法》(online Safety Act)中最具争议的条款之一规定,提供点对点通信服务的公司,如WhatsApp等即时通讯应用程序,必须采取措施确保其服务不被用于传播儿童性虐待材料(CSAM)。这意味着企业需要找到一种方法来扫描或搜索用户信息的内容,安全专家和技术高管表示,在不破坏用于保护平台隐私的端到端加密的情况下,这是不可能做到的。
在端到端加密下,只有消息的发送方和接收方可以查看其内容——甚至平台的操作人员也不能解密它。为了满足该法案的要求,平台必须能够查看用户的信息,很可能使用所谓的客户端扫描,本质上是在设备层面查看信息——隐私活动人士将此等同于在用户的手机上安装间谍软件。他们说,这创造了一个可能被安全部门或网络犯罪分子利用的后门。
“让我们假设英国政府是完全善良的。并假设他们只会将这项技术用于其预期目的。隐私技术公司NYM的首席执行官兼创始人哈里?哈尔平表示:“这无关紧要,因为……如果其他人入侵了你的电脑,你无法阻止他们使用它。”“这意味着不仅英国政府会读取你的信息并访问你的设备,外国政府和网络罪犯也会这样做。”
meta的WhatsApp即时通讯服务以及加密平台Signal都威胁要退出英国。
Ofcom提议的规则说,公共平台——那些没有加密的——应该使用“哈希匹配”来识别CSAM。谷歌和其他公司已经在使用这种技术,它使用加密哈希(本质上是加密的身份代码)将图像与预先存在的非法图像数据库进行比较。该技术的倡导者,包括儿童保护非政府组织,认为这保护了用户的隐私,因为这并不意味着主动查看他们的图像,只是比较哈希值。批评人士说,这并不一定有效,因为欺骗系统相对容易。“你只需要改变一个像素,哈希就会完全改变,”萨里大学网络安全教授艾伦·伍德沃德在9月份接受《连线》杂志采访时表示,当时该法案还没有成为法律。
在不破坏这些保护的情况下,同样的技术不太可能被用于私人的端到端加密通信。
2021年,苹果公司表示,它正在为iCloud构建一种基于哈希匹配的“隐私保护”CSAM检测工具。去年12月,该公司放弃了这项计划,后来表示,扫描用户的iCloud私人数据会带来安全风险,并“可能引发意想不到的后果。”例如,扫描一种类型的内容,为大规模监控打开了大门,并可能产生跨内容类型搜索其他加密消息系统的愿望。”
提供安全电子邮件、浏览和其他服务的Proton公司创始人兼首席执行官Andy Yen表示,“与在线安全法的起点相比”,关于使用哈希匹配的讨论是积极的一步。
“虽然我们仍然需要明确哈希匹配的确切要求,但这是隐私的胜利,”Yen说。但是,他补充说:“哈希匹配并不是一些人可能声称的保护隐私的灵丹妙药,我们担心对文件共享和存储服务的潜在影响……哈希匹配将是一种会带来其他风险的蒙混其词。”
根据Whitehead的说法,哈希匹配规则只适用于公共服务,而不适用于私人信使。但“对于那些(加密)服务,我们要说的是:‘你的安全责任仍然适用,’”她表示。这些平台必须部署或开发“经过认证的”技术,以限制CSAM的传播,明年将进行进一步磋商。
她说:“加密服务在其平台上共享儿童性虐待材料的风险更高,对于那些选择加密运行消息服务和文件共享服务的服务,他们现在仍然必须遵守安全义务。”她特别强调了“选择”这个词。
今天的拟议规则还规定,技术平台需要有明确的途径让用户报告有害内容,或者阻止或报告有问题的账户。使用算法向用户推荐内容的公司将需要进行安全测试。他们还需要“资源充足、训练有素”的内容和搜索审核团队来管理他们平台上的内容。
该法案适用于在英国拥有用户的任何公司,即使是那些总部不在英国的公司。怀特黑德表示,她认为英国市场的规模意味着,企业将有强烈的动机遵守规定。那些不这样做的人可能会面临严重后果。
“在这种情况下,我们有强大的执法力量。我们有权对全球营业额处以高达10%的罚款,我们有权起诉高级管理人员,我们有权中断服务,”怀特海德说。她补充说,封锁平台并不是第一选择——监管机构宁愿“与服务机构接触,并与它们合作以遵守规定”,但这是一种选择。“我们确实有这些能力,”她说。
