网络监管观察｜英国《在线安全法案》如何审核网络内容？ -国外的网络安全法律法规对我们有何启示?

; f" J$ C) ]9 ^7 l3 q( z

原标题：网络监管观察｜英国《在线安全法案》如何审核网络内容？

% C5 e# }8 z6 X* T" R+ } ( E) e& }, [$ X4 |# l2 _

2 X/ _' m) P* ?7 _- {2 F

10月26日，英国政府发表公告称，《在线安全法案》已获批正式成为法律。该法采取零容忍方式来保护儿童免受网络伤害，同时网络平台在预防和迅速删除恐怖主义等非法内容方面应承担法律责任。

走出去智库（CGGT）观察到，作为英国的一项重大立法，该法案历时4年多，5位首相参与起草，在起草过程中争论不断。其中主要的争议在于：（1）儿童身份识别问题；（2）儿童保护与言论自由的博弈；（3)端到端加密与保护数据隐私的矛盾。

英国监管部门将如何解决这些争议？今天，我们刊发编译美国战略与国际研究中心（CSIS）的文章，供关注网络内容监管的读者参阅。

, O) o2 E$ u4 n6 l# T6 g8 T

要 点

1.英国《在线安全法案》在立法过程中就备受争议。尽管英国国家防止虐待儿童协会等儿童权益团体称赞该法案的通过是“对儿童来说重要的一天”，但公民自由团体和科技公司却强烈反对。

2．许多网站和应用程序需要验证用户的年龄才能遵守这些规定，这引发了对数字隐私和技术可行性的质疑。

% H8 o3 [5 U5 j" p( Z. I

3．随着越来越多的政府单方面颁布与内容审核或加密相关的法律，数字平台可能会发现自己面临着日益复杂的监管拼凑——其中一些可能适用于域外，甚至相互冲突。

" p3 Q$ W4 }. `5 o& U

正 文

3 d) K7 A/ e$ ? w1 p' {2 W% N7 Q

作者：Caitlin Chin-Rothmann，Taylar Rajicand，美国战略与国际研究中心（CSIS）战略技术项目研究员

. r6 w6 u g' M2 k v; y V( A

编译：《互联网法律评论》

- |5 y' l( ?* h

2023年10 月26 日，英国皇室批准了议会通过的《在线安全法案》（Online Safety Bill，简称OSB），使之正式成为法律，明确表示要使英国成为“世界上最安全的在线国家”。

该法案旨在删除和防止非法内容，包括与恐怖主义、剥削儿童、仇恨犯罪或欺诈有关的帖子，这将给英国所有托管用户生成内容的在线平台带来沉重负担。该法案特别强调保护上网儿童，并提出了额外要求，以防止儿童访问“有害和不适合年龄的”内容。

对于不合规的平台，英国通讯办公室（Ofcom） 可能会对其处以最高1800万英镑或全球年收入10%的罚款（以较高者为准）。

! u- b/ n4 c+ J

英国《在线安全法案》在立法过程中就备受争议。尽管英国国家防止虐待儿童协会等儿童权益团体称赞该法案的通过是“对儿童来说重要的一天”，但公民自由团体和科技公司却强烈反对。他们抗议该法案有关加密和内容审核的条款将限制在线隐私和言论自由，有些甚至可能无法执行。

9 ~' C6 o9 B" I

在线平台无需立即遵守该法案规定的所有义务。执法机构英国通信管理局（Ofcom）计划分三个阶段发布其行为准则，以下是三个阶段的实施路线图：

问题1：《在线安全法案》如何解决儿童安全问题？

该法案区分了两类受特定年龄保护的内容：对儿童有害的“首要优先”（primary priority）和“优先”（priority）内容。

- y! F& R" \1 D0 \

对于前者，它要求数字平台“完全禁止”儿童访问，包括色情、宣扬自残、饮食失调和合法自杀；对于后者，平台公司必须确保对儿童来说是“适龄的”，包括骚扰、健康和疫苗错误信息或暴力等内容。

该法案还要求数字平台维护一个投诉系统，供家长举报他们在网上遇到的违反这些规定的行为。

% Q# G5 @: s% L% m5 x/ C a

许多网站和应用程序需要验证用户的年龄才能遵守这些规定，这引发了对数字隐私和技术可行性的质疑。

$ @2 \. T& o9 y- \' j& N! b

当前，大多数身份识别技术（例如信用卡、政府颁发的身份识别、在线搜索历史分析和面部识别）都要求公司处理来自所有用户的额外个人信息，而不仅仅是 18 岁以下的用户。反过来，更高程度的数据收集可能会加剧网络安全攻击的风险，这在英国是一个持续的挑战——大约三分之一的英国企业在过去一年中发现了威胁，而英国通信管理局（Ofcom）自己也在6月份遭遇了数据泄露，数百名员工的敏感信息遭到泄露。许多年龄验证方法也不完善——孩子们可以很容易地在大多数物理设备或卡片之间切换，面部特征或在线状态的自动分析依赖于一系列可能有偏见或不准确的假设。

该法案指示英国通信管理局（Ofcom）发布关于年龄验证技术的进一步指导，但尚不清楚监管机构将如何在数据隐私、安全、算法偏见以及儿童和成人在线可访问性方面进行权衡。

1 w; R9 w# k1 Z( @) z, _

4 b7 w3 P1 L) y9 Z7 t

图片来源：GOV.UK

问题2：该法案是否会影响端到端加密服务？

端到端加密（E2EE）是防止第三方甚至平台本身未经授权访问数据的数字通信过程，是 Signal、WhatsApp 和 Apple iMessage 等安全消息服务的基础。它提供了针对监视的重要保护，特别是对于记者、人权活动家和外交官等弱势群体。不过，政府经常抗议 E2EE 还可以保护犯罪分子和恐怖分子免受执法部门的追捕。

电子前沿基金会（EFF）总结了许多隐私团体和科技公司的观点，于2023年9月8日宣布“《在线安全法案》与端到端加密不兼容”。这种不兼容性源于英国政府有权通知平台公司扫描其数据以主动识别和阻止宣扬恐怖主义或剥削儿童的内容的条款，E2EE 也不例外。

加密服务公司辩称，在不损害用户隐私保护的情况下，在其网络中建立“后门”在技术上不可行。他们警告说，消费者将受到过分热心的政府和恶意黑客的无根据监视。包括Signal和WhatsApp在内的一些公司表示，如果被迫妥协安全制度，它们将终止在英国的业务。在这场争议中，Meta不顾英国内政部的反对，继续在其Facebook Messenger和Instagram直接发送的消息中实施E2EE。

面对这种强烈的批评，英国政府在某种程度上收回了扫描E2EE数据的计划。

6 ]) p# o# _& V

9月6日，英国上议院议员斯蒂芬·帕金森（Stephen Parkinson）表示，除非有“合适的技术”存在，否则英国通信管理局（Ofcom）不能强制进行扫描，这似乎承认目前还没有足够保护隐私的E2EE扫描软件可供部署。然而，帕金森也指出，法案中的措辞迫使企业“尽最大努力”开发此类技术的权利。

支持者引用了政府安全技术挑战基金的调查结果，结论是客户端扫描可以用来检测E2EE中的非法内容，同时仍能保护用户隐私，但这些发现受到学术界和政府委托评估该项目团队的争议。科学、创新和技术国务秘书米歇尔·多尼兰（Michelle Donelan）断言，英国政府迫使扫描技术发展的能力只会被用作“最后的手段”。

尽管政府官员做出了这些口头保证，但议会并没有将Ofcom强制进行E2EE扫描的权力从法规的最终文本中删除，这一点一直令隐私保护倡导者和科技公司感到担忧。

# [: p8 N& T; y9 q

补充资料：英国政府与端到端加密（E2EE）

英国政府多年来一直在开展打击 E2EE 的活动，认为该技术使犯罪分子可以在无需担心政府监督的情况下进行活动。政府在利用危言耸听的策略来操纵公众对这项有争议的技术的舆论之间摇摆不定。

从广义上讲，澳大利亚、加拿大、新西兰、英国和美国等五眼国家公开支持使用加密技术，但都试图影响科技公司实施措施，允许它们按需绕过加密技术。这些国家希望能够在需要时以国家安全为由，根据具体情况拦截受 E2EE 保护的消息。例如，英国以《调查权力法案》的形式做出了努力，该法案要求通信服务提供商积极参与拦截和获取用户数据，作为调查的一部分。

2 s2 ~) |3 U' C1 J4 `

不过迄今为止，科技公司尚未面临对 E2EE 使用的官方限制，英国政府也对外宣布《在线安全法》并未侵犯用户选择 E2EE 应用程序的自由。

2023年9月，伦敦国王学院信息学系网络安全教授兼密码学系主任马丁·阿尔布雷希特 (Martin Albrecht)发表评论说：没有任何“神奇技术”可以让消息在被扫描时保持私密性。

问题3：《在线安全法案》对言论和表达自由有何考虑？

《在线安全法案》是由一个民主政府制定的最全面的内容审核规则之一，该法案在英国引发了关于其对言论和表达自由“过度干预”的争论。

9 i) U/ A5 C# d" \; @

由于该法案包含了对科技公司严厉的惩罚——包括对未能遵守儿童安全规则或在调查期间隐瞒信息的高管的刑事责任——它可能会激励他们在过度地过滤网络内容方面犯错。由于用户在网上上传了大量内容，公司通常依靠自动化系统来检测可能表明有害的关键字或图像。然而，可能很难暗示诸如反讽、讽刺、文化细微差别和政治异议等容易混淆的概念，这些概念可能被自动检测软件误认为仇恨言论或其他非法或有害材料，并被不必要地删除。该法案还引发了许多问题的讨论：包括对儿童“伤害”这一定义的主观性，对年轻人的家长式政策的优点，以及为年轻人制定单独的标准使其不易接触成人内容等。

3 u E" p8 \" W% v I

一些隐私研究人员警告说，“墙到墙”即全方位的内容监控也有可能遏制匿名在线言论，并可能造成一种“寒蝉效应”，阻止用户在网上发表意见。由于该法案可能导致公司核实所有用户的身份，甚至扫描他们的私人通信，一些人可能不再愿意参与政治活动，宗教活动或其他敏感的在线通信，因为害怕被监视。

3 @! k7 u" A) v5 m0 [6 |

根据科技公司和监管机构如何解读该法案的条款，它还可能切断对儿童有所帮助的信息或数字通信的访问，甚至可能限制缺乏政府身份、数字读写技能或其他年龄验证所需资源的成年人。

0 g6 ~" a: H: @) H$ x7 M6 ?* g

该法案将如何影响隐私和言论自由的问题在其实施后仍将是一个持续的问题。

; k7 L9 ?) F9 n

问题4：其他政府如何解决内容审核和儿童数字安全问题？

, p# N0 n' i0 {0 p3 }( B2 m2 D

在英国以外，许多政府已经推出了解决儿童数字安全问题的法律框架。

2021年，澳大利亚通过了《在线安全法》，该法案要求符合条件的数字平台采取“合理步骤”删除违反现行法律或被认为不适合儿童的材料。

2 v' V* @2 F1 F7 N2 a4 c# e r

2023年9月20日，中国通过了限制儿童上网时间的《未成年人网络保护条例（草案）》。

- U' [9 e9 V1 i4 n- I L

美国国会提出了几项备受瞩目的法案，如《儿童在线安全法》和《EARN IT法案》，以规范与未成年人有关的在线内容。仅在2023年，美国各州立法机构就引入了至少144项措施，其中许多措施引发了对其“危害”和审查可能性的解释的争论。

) i# u, }3 |! P6 [3 C

此外，许多技术平台正在引入欧盟《数字服务法案》（DSA）的逐步实施，该法案旨在增强用户能力并增强整个数字生态系统的企业责任。与《在线安全法案》一样，DSA建立了一个基本框架，要求数字公司进行风险评估，发布透明度报告，并保持用户控制，并根据其规模或感知到的危险分层规定。虽然DSA包含一些针对年龄的规定，包括禁止针对未成年人的行为广告，但DSA将责任限制在平台“合理确定地了解（儿童年龄）”的情况下，避开了英国对用户监控或审查的一些担忧。尽管如此，端到端加密在欧盟内部也是一个持续争论的话题：DSA澄清说，它不禁止“加密传输或任何其他无法识别用户的系统”，但立法者在立法的最终版本中排除了对匿名在线言论的具体保护。

4 w1 Z& ~; E) F7 k

随着越来越多的政府单方面颁布与内容审核或加密相关的法律，数字平台可能会发现自己面临着日益复杂的监管拼凑——其中一些可能适用于域外，甚至相互冲突。认识到互联网的全球性需要更加团结的国际努力，一些政府已经开始参与多边对话。

2022年4月，约70个国家签署了《互联网未来宣言》，这是一套自愿原则，其中包括在更加数字化的社会中保护年轻人。经济合作与发展组织（OECD）修改了《关于数字环境中的儿童的建议》，呼吁在减轻网络对儿童的伤害与维护所有人的言论自由和上网权利之间取得平衡。

7 N0 V: w% X! Q0 @

法律标准之间的任何协调或互操作性都可以使个人和平台受益——不仅可以减轻有害内容在网上的传播，还可以促进信息访问、自由表达和跨国界隐私的一致标准。

来源：Internet Law Review （走出去智库子公众号《互联网法律评论》）

免责声明

本文仅代表原作者观点，不代表走出去智库立场。返回搜狐，查看更多

7 y0 z" A5 p h

责任编辑：

- E9 }3 o; `4 Z" H' l; x& z4 ^' @ * h* K! j- h$ ~. i, U& J4 a4 s9 k8 k " G$ t" w4 m4 R2 i: \) I @! Q$ O