Что нужно знать о британском законопроекте о безопасности в Интернете

Спустя три года и четыре премьер-министра после того, как правительство Великобритании впервые опубликовало официальный документ о вреде в Интернете — основу для текущего законопроекта о безопасности в Интернете — амбициозная попытка Консервативной партии по регулированию интернета вернулась в парламент после многочисленных поправок.

Если законопроект станет законом, он будет применяться к любому сервису или сайту, у которого есть пользователи в Великобритании, или который нацелен на Великобританию как на рынок, даже если он не базируется в стране. Несоблюдение предложенных правил подвергает организации риску штрафов в размере до 10% от мирового годового оборота или 18 миллионов фунтов стерлингов (22 миллиона долларов США), в зависимости от того, что больше.

Несколько раздутая и запутанная версия самого себя, законопроект, который был исключен из повестки дня после свержения Бориса Джонсона в июле, теперь прошел стадию окончательного отчета, а это означает, что у Палаты общин теперь есть последний шанс обсудить его. содержание и проголосовать за его одобрение.

Однако затем закон должен пройти через Палату лордов невредимым, прежде чем он сможет получить королевское одобрение и стать законом. Хотя окончательный график принятия законопроекта еще не опубликован, если он не будет принят к апрелю 2023 года, в соответствии с парламентскими правилами закон будет полностью отменен, и процесс необходимо будет начать заново в новом парламенте.

Что такое Закон о безопасности в Интернете?

Законопроект о безопасности в Интернете представляет собой законопроект, направленный на защиту веб-сайтов и различных типов интернет-сервисов от незаконных и вредных материалов при защите свободы выражения мнений. Законопроект предназначен для защиты пользователей Интернета от мошеннического и другого потенциально опасного контента и предотвращения доступа детей, в частности, к материалам, наносящим ущерб. Это достигается за счет введения требований о том, как платформы социальных сетей и другие онлайн-платформы оценивают и удаляют незаконные материалы и контент, которые они считают вредными. Правительство описывает закон как свое «обязательство сделать Великобританию самым безопасным местом в мире для работы в Интернете».

Законопроект распространяется на поисковые системы; интернет-сервисы, на которых размещается пользовательский контент, например платформы социальных сетей; интернет-форумы; некоторые онлайн-игры; и сайты, которые публикуют или отображают порнографический контент

Части законодательства точно имитируют правила, изложенные в недавно принятом в ЕС Законе о цифровых услугах (DSA), который запрещает практику таргетинга пользователей в Интернете на основе их религии, пола или сексуальных предпочтений и требует, чтобы крупные онлайн-платформы раскрывали, какие шаги они предпринимают. для борьбы с дезинформацией или пропагандой.

Ofcom, британский регулятор связи, будет назначен регулятором режима онлайн-безопасности и получит ряд полномочий по сбору информации, необходимой для поддержки его надзорной и правоприменительной деятельности.

Каковы ключевые предложения законопроекта?

В настоящее время, если пользователь публикует незаконный или вредоносный контент в Интернете, посредническая платформа, которая позволяет получить доступ к контенту, обычно имеет защиту от ответственности, что означает, что издатель не несет ответственности до тех пор, пока ему не станет известно о контенте, после чего он должен действовать, чтобы удалить его. Согласно законопроекту, компании должны активно искать нелегальный контент и удалять его, как только он появляется, а не ждать, пока кто-то сообщит об этом, а затем действовать.

Законопроект о безопасности в Интернете устанавливает нормативную базу для этих посреднических платформ, требуя от них нести ответственность за пользовательский контент и обеспечивать, чтобы они предпринимали шаги, чтобы гарантировать, что их системы и процессы обеспечивают «адекватную защиту граждан от вреда, причиняемого контентом».

Хотя в законопроекте не содержится определения «адекватного», в нем говорится, что регулируемые услуги должны обеспечивать защиту от вреда «путем надлежащего использования поставщиками таких услуг систем и процессов, предназначенных для снижения риска такого вреда».

В первоначальном проекте законопроекта правительство Великобритании требовало от интернет-компаний отслеживать «законный, но вредный» пользовательский контент. Однако после того, как были высказаны опасения по поводу того, что правительство несет полную ответственность за определение того, что подпадает под эту категорию, в законопроект были внесены поправки, заменяющие положение новыми правилами для компаний, чтобы они были более прозрачными в отношении внутренней политики модерации контента, например, требование онлайн службы, чтобы явно указать, почему определенный контент должен быть удален. Они также должны предлагать право на апелляцию при удалении сообщений.

Кроме того, компании не смогут удалять или ограничивать законный контент, а также приостанавливать или блокировать пользователя, если обстоятельства для этого не будут четко указаны в их условиях.

Если бы закон стал законом, компании, работающие в социальных сетях, были бы обязаны по закону удалять незаконный контент, удалять материалы, нарушающие их собственные условия предоставления услуг, и предоставлять взрослым более широкий выбор контента, который они видят и с которым взаимодействуют, даже если это законно. . Например, всплывающие окна могут информировать пользователей о том, что на сайте отображается определенное содержимое, которое, по мнению сайта, может быть опасным для определенных пользователей.

Контент, подпадающий под действие законодательства, включает материалы, поощряющие членовредительство или самоубийство, а также изображения без согласия, такие как так называемое дипфейк-порно, в котором программное обеспечение для редактирования используется для создания и распространения поддельных сексуализированных изображений или видеороликов. людей без их разрешения.

Материал, связанный с членовредительством, определяется как «законный, но вредный контент» (если он активно не поощряет членовредительство) и оценивается как «приоритетный вред» — тема, в отношении которой платформы должны иметь политику. Если они не будут применять свою заявленную политику к этому типу контента, Ofcom может оштрафовать их.

В марте 2022 года правительство также добавило требование к поисковым системам и другим платформам, на которых размещается сторонний пользовательский контент, для защиты пользователей от мошеннической платной рекламы и предотвращения появления мошеннической рекламы на их сайтах.

Технологические фирмы также должны будут публиковать больше информации о рисках, которые их платформы представляют для детей, и показывать, как они обеспечивают соблюдение возрастных ограничений пользователей, чтобы дети не могли обойти методы аутентификации. Кроме того, если Ofcom принимает меры против службы, подробности этой дисциплинарной меры должны быть опубликованы.

Критики обеспокоены бэкдорами шифрования

С тех пор, как законопроект был впервые предложен, люди со всего политического спектра неоднократно утверждали, что текущие положения законодательства сведут на нет преимущества шифрования в частных сообщениях, снизят безопасность в Интернете для граждан и предприятий Великобритании и поставят под угрозу свободу слова. Это связано с тем, что летом правительство добавило новый пункт, который обязывает технические компании предоставлять сквозные зашифрованные сообщения для сканирования материалов о сексуальном насилии над детьми (CSAM), чтобы о них можно было сообщить властям. Однако единственный способ гарантировать, что сообщение не содержит незаконных материалов, — это использовать сканирование на стороне клиента и проверять содержимое сообщений до того, как они будут зашифрованы.

В открытом письме, подписанном 70 организациями, экспертами по кибербезопасности и выборными должностными лицами после того, как премьер-министр Риши Сунак объявил о возвращении законопроекта в парламент, подписавшие утверждали, что «Шифрование имеет решающее значение для обеспечения защиты пользователей Интернета в Интернете, для обеспечения экономической безопасности посредством экономика Великобритании, ориентированная на бизнес, которая может выдержать кризис стоимости жизни, и обеспечение национальной безопасности».

«Компании Великобритании имеют меньшую защиту своих потоков данных, чем их коллеги в Соединенных Штатах или Европейском союзе, что делает их более уязвимыми для кибератак и кражи интеллектуальной собственности», — отмечается в письме.

Мэтью Ходжсон, соучредитель Element, децентрализованного британского приложения для обмена сообщениями, сказал, что хотя и не вызывает возражений согласие с тем, что платформы должны предоставлять инструменты для защиты пользователей от контента любого рода — будь то оскорбительный контент или просто то, чего они не делают. Я не хочу этого видеть — спорной является идея эффективного использования бэкдоров в частном контенте, таком как зашифрованные сообщения, на случай, если это окажется плохим контентом.

«Как только вы установите какой-либо бэкдор, который можно использовать для взлома шифрования, он будет использован плохими парнями», — сказал он. «И открыв его как средство для коррумпированных актеров или злодеев любого толка, чтобы они могли подорвать шифрование, вы можете вообще не иметь шифрования, и все это рухнет».

Ходжсон сказал, что некоторые люди, с одной стороны, прямо заявили, что не хотят использовать лазейки в зашифрованных сообщениях, но, с другой стороны, заявляют, что технологическим компаниям нужна возможность сканировать личные сообщения каждого. если он содержит незаконный контент.

«Эти два утверждения полностью противоречат друг другу, и, к сожалению, власти не всегда понимают это противоречие», — сказал он, добавив, что Великобритания может оказаться в ситуации, подобной Австралии, где правительство приняло закон, разрешающий правоохранительным органам требуют от компаний передавать информацию о пользователях и данные, даже если они защищены криптографией.

Ходжсон утверждает, что правительство Великобритании должно не способствовать внедрению разрушающей конфиденциальность инфраструктуры, а скорее препятствовать тому, чтобы это стало реальностью, которую могли бы принять более авторитарные режимы, используя Великобританию в качестве морального примера.

Также есть опасения по поводу того, как будут применяться некоторые положения законопроекта. Франческа Ризон, юрист отдела регулирования и корпоративной защиты в юридической фирме Birketts LLP, сказала, что многие технологические компании обеспокоены более обременительными требованиями, которые могут быть к ним предъявлены.

Разум сказал, что есть также вопросы практичности и сочувствия, которые необходимо будет решить. Например, собирается ли правительство преследовать в судебном порядке уязвимого подростка за то, что он разместил в Интернете изображение, причиняющее себе вред?

Закон о безопасности ориентирован на детей

Чтобы избежать того, что один член парламента от консерваторов назвал «законодательством против оскорбленных чувств», поправки к законопроекту перед его возвращением в парламент теперь делают акцент на защите детей и уязвимых взрослых. Законопроект с поправками делает незаконным просмотр определенных типов контента, например порнографии, для детей, но не для взрослых, в то время как в предыдущих версиях законопроекта просмотр любого контента был бы незаконным. Теперь взрослым нужно просто предоставить предупреждение о контенте, который поставщик услуг считает потенциально нежелательным или вредным в своих рекомендациях по контенту.

Однако, поскольку участники кампании по защите конфиденциальности обеспокоены атакой законопроекта на шифрование, некоторые участники кампании по безопасности утверждают, что законодательство в настоящее время недостаточно защищает наиболее уязвимых от вреда в Интернете.

«Есть фракция, которая почувствует, что уязвимые взрослые теперь выходят за рамки этой защиты», — сказал Ризон, отметив, что чей-то аппетит к вредоносному контенту не отключается внезапно в тот момент, когда ему исполняется 18 лет.

«Другой аргумент многих людей заключается в том, что взрослые по-прежнему смогут публиковать и просматривать что-либо законное, даже если это потенциально вредно, если это не нарушает Условия обслуживания платформы», — сказала она.

Как законопроект повлияет на технологическую отрасль?

По оценкам, в его нынешнем виде законопроект затронет более 25 000 технологических компаний, и, хотя большое внимание было уделено тому, как будут соблюдаться так называемые крупные технологические компании, более мелкие интернет-провайдеры, которые предлагают пространство, где пользователи могут делиться мыслями или которые монетизируются с помощью рекламы, также будут затронуты законопроектом.

Ризон сказал, что один из способов, которым технологические компании могут обойти это законодательство, — это либо полностью заблокировать детей на своем сайте, либо очистить свою платформу до такого уровня, который по умолчанию подходит для их самого молодого пользователя.

Кроме того, в результате этих новых правил огромное количество веб-сайтов потребует от посетителей подтверждения своей личности, указывая, что они достаточно взрослые для доступа к определенному контенту. Онлайн-проверка возраста — это то, что правительство пыталось внедрить в прошлом, но не смогло, и в результате Мэтью Пик, глобальный директор по государственной политике платформы Onfido для проверки личности (IDV), предупреждает, что если правительство и Ofcom не будут работать с ИТ-индустрия и поставщики IDV, чтобы лучше понять, что на самом деле возможно, счет не будет выполнен.

«[Onfido] придерживается очень твердого мнения о том, что нет необходимости искать компромисс между конфиденциальностью и хорошим IDV, вы можете очень надежно подтвердить чью-то личность, не разрушая и не подвергая опасности их конфиденциальность», — сказал он. «Мы хотим, чтобы это сообщение было понято правительством и борцами за конфиденциальность, потому что мы все хотим иметь безопасный опыт работы в Интернете. Это конечная цель».

Однако, в то время как многие политики публично заявляли, что люди не должны иметь возможность создавать анонимные учетные записи на платформах социальных сетей, Пик утверждает, что анонимность жизненно важна для того, чтобы позволить разоблачителям, жертвам домашнего насилия и другим лицам, имеющим вполне законные причины скрывать свою личность, безопасно доступ в Интернет.

Что должны делать организации?

Несмотря на опрос 2022 года, проведенный BCS, Чартерным институтом ИТ, который обнаружил, что только 14% из 1300 ИТ-специалистов считают законопроект «соответствующим цели», а 46% считают его «неработоспособным». закон будет принят на голосование, в основном потому, что основная цель законопроекта — обеспечение безопасности детей в Интернете — имеет большое политическое значение.

Партнер Deloitte Legal Джоанна Конуэй сообщила, что команда консалтинговой фирмы по регулированию Интернета изучает все правила, предлагаемые правительствами, и консультирует организации, ведущие бизнес в Интернете, которые могут быть затронуты этими вступающими законами.

«Мы находимся на этапе, когда вступает огромное количество законов, поэтому мы переходим от того, что было в значительной степени нерегулируемым пространством, к чему-то, что становится строго регулируемым и на самом деле очень рискованным, особенно если вы посмотрите на штрафы. которые прилагаются к некоторым из этих новых мер», — сказала она.

Конвей сказала, что совет, который ее команда давала компаниям, заключается в том, чтобы сначала проверить, действительно ли на них повлияет законопроект. По ее словам, хотя законодательство применяется к пользовательскому контенту, «в этом отношении существуют исключения, поэтому очень важно проверить, входит ли ваша компания в область действия», — сказала она. «Если вы входите в область, подготовьтесь к оценке рисков, потому что вам нужно будет это сделать. Исключения включают:

  • Электронное письмо
  • SMA-сообщения
  • MMS-сообщения
  • Индивидуальная живая аудиосвязь
  • Комментарии и отзывы о контенте провайдера
  • Контент издателя новостей

«Мы смотрим на регуляторов со значительными штрафами как здесь, так и в ЕС, так что вы можете оказаться не на том конце обоих, если вы осуществляете поставки в Европу как географический регион», — сказала она.

Для небольших компаний, у многих из которых не будет такого же уровня ресурсов, как у более крупных платформ, которые уже нанимают модераторов контента, Конвей отмечает, что новые требования безопасности — то, как компании планируют реализовать то, что требует от них законопроект, — установлены. быть пропорциональными, «отражая разный размер, ресурсы и уровень риска компаний, входящих в сферу охвата».

Тем не менее, она отмечает, что в то время как более крупные платформы часто попадают в заголовки, когда решения о модерации контента неверны, платформы с меньшими платформами часто рассматриваются как более рискованные, поскольку у них меньше ресурсов для удаления незаконного и вредоносного контента.

Анализ новостей
Дата публикации: 2022.12.21