Ofcom, organ regulacyjny ds. szkód w Internecie, opublikował swój pierwszy kodeks postępowania dotyczący zwalczania szkód nielegalnych na mocy ustawy o bezpieczeństwie w Internecie (OSA), dając firmom trzy miesiące na przygotowanie się przed rozpoczęciem egzekwowania przepisów w marcu 2025 r.
Opublikowano 16 grudnia 2024 r., Ofcom’s Kodeksy i wytyczne dotyczące nielegalnych szkód określa kroki, jakie dostawcy powinni podjąć, aby zaradzić nielegalnym szkodom w swoich usługach.
Obejmuje to mianowanie członka kadry kierowniczej wyższego szczebla odpowiedzialnego za zgodność z OSA, odpowiednie finansowanie i obsadę zespołów zajmujących się moderacją treści, ulepszone testowanie algorytmiczne w celu ograniczenia rozprzestrzeniania nielegalnych treści oraz usuwanie kont prowadzonych przez organizacje terrorystyczne lub działających w ich imieniu.
Obejmując ponad 100 000 usług online, OSA ma zastosowanie do wyszukiwarek i firm publikujących treści tworzone przez użytkowników i obejmuje 130 „przestępstw priorytetowych” obejmujących różne rodzaje treści – w tym wykorzystywanie seksualne dzieci, terroryzm i oszustwa – których firmy będą musiały aktywnie stawić czoła problemom dzięki systemów moderacji treści.
Wraz z publikacją kodeksów dostawcy mają teraz ostateczny termin upływający 16 marca 2025 r. na wypełnienie swojego prawnego obowiązku polegającego na ocenie ryzyka wystąpienia szkód niezgodnych z prawem w ramach ich usług, po czym będzie się od nich wymagać natychmiastowego wdrożenia środków bezpieczeństwa określonych w kodeksach lub zastosować inne skuteczne środki w celu ochrony użytkowników.
Ofcom oświadczył, iż jest gotowy podjąć działania egzekucyjne, jeżeli dostawcy nie podejmą natychmiastowych działań w celu zaradzenia ryzyku związanemu z ich usługami. Zgodnie z OSA nieprzestrzeganie środków – w tym niezakończenie procesu oceny ryzyka w terminie trzech miesięcy – może skutkować karą grzywny w wysokości do 10% ich globalnych przychodów lub 18 milionów funtów (w zależności od tego, która kwota jest większa).
„Zbyt długo witryny i aplikacje pozostawały nieuregulowane, niezrozumiałe i niechętne przedkładaniu bezpieczeństwa ludzi nad zyski. To się zmieni od dzisiaj” – powiedziała Melanie Dawes, dyrektor naczelna Ofcom.
„Teraz uwaga skupia się głównie na bezpieczeństwie firm technologicznych i nadszedł czas, aby zaczęły działać. Będziemy uważnie obserwować branżę, aby upewnić się, iż firmy spełniają rygorystyczne normy bezpieczeństwa określone dla nich w ramach naszych pierwszych kodeksów i wytycznych, a dalsze wymagania zostaną niedługo wprowadzone w pierwszej połowie przyszłego roku”.
Sekretarz ds. technologii Peter Kyle – który przedstawił swoje projekt Deklaracji Priorytetów Strategicznych (SSP) dla regulatora w listopadzie 2024 r – określiła te kodeksy jako „istotną, krokową zmianę w bezpieczeństwie w Internecie”, co oznacza, iż platformy będą musiały aktywnie usuwać wiele nielegalnych treści.
„Ten rząd jest zdeterminowany zbudować bezpieczniejszy świat online, w którym ludzie będą mogli uzyskać dostęp do ogromnych korzyści i możliwości, jakie z niego płyną, bez narażania się na bezprawne środowisko zawierające szkodliwe treści” – powiedział.
„Jeśli platformy nie podejmą działań, organ regulacyjny ma moje wsparcie, aby skorzystać ze swoich pełnych uprawnień, w tym nakładać kary pieniężne i zwracać się do sądów o zablokowanie dostępu do witryn. Przepisy te oznaczają fundamentalną zmianę oczekiwań społeczeństwa wobec firm technologicznych. Oczekuję, iż spełnią swoje oczekiwania i będę uważnie obserwował, aby się upewnić, iż tak się stanie.
Podczas gdy SSP ma zostać ukończony na początku 2025 r., bieżąca wersja obejmuje pięć obszarów tematycznych, w tym bezpieczeństwo od samego początku, przejrzystość i odpowiedzialność, elastyczne regulacje, włączenie i odporność oraz innowacje w technologiach bezpieczeństwa w Internecie.
Zgodnie z OSA Ofcom będzie musiał składać sekretarzowi stanu sprawozdania na temat działań podjętych przeciwko tym priorytetom, aby zapewnić, iż przepisy zapewniają bezpieczniejszą przestrzeń w Internecie, co zostanie następnie wykorzystane do podjęcia dalszych kroków.
Ofcom poinformował, iż wiosną 2025 r. przeprowadzi dalsze konsultacje w celu rozszerzenia kodeksów, co obejmie rozważenie propozycji blokowania kont udostępniających materiały przedstawiające wykorzystywanie seksualne dzieci, protokołów reagowania kryzysowego w przypadku zdarzeń nadzwyczajnych, takich jak Zamieszki w Anglii w sierpniu 2024 rI stosowanie „dopasowania hash” w celu zapobiegania udostępnianiu bez zgody intymnych zdjęć i treści o charakterze terrorystycznym.
Zgodnie z klauzulą 122 OSA Ofcom ma prawo wymagać od dostawców usług przesyłania wiadomości opracowania i wdrożenia systemu skanującego telefony w poszukiwaniu nielegalnych materiałów. Metoda ta, nazywana skanowaniem po stronie klienta, porównuje wartości skrótu zaszyfrowanych wiadomości z bazą danych zawierającą wartości skrótu nielegalnych treści przechowywanych na urządzeniu użytkownika.
Dostawcy szyfrowanej komunikacji tak mają powiedział Uprawnienie Ofcom do wymagania w ten sposób całkowitego nadzoru w aplikacjach do przesyłania prywatnych wiadomości „katastrofalnie zmniejszyłoby bezpieczeństwo i prywatność wszystkich”.
W odpowiedzi na publikację kodeksów Mark Jones, partner w kancelarii prawnej Payne Hicks Beach, stwierdził, iż między OSA otrzymuje zgodę królewską w październiku 2023 r a kodeksy, które wejdą w życie w marcu 2025 r., pokazują, iż „nie było pilnej potrzeby” zwalczania szkód wynikających z nielegalnego prawa.
„Postawmy jasno – jest to w pewnym stopniu samoregulacja. Dostawcy sami decydują, w jaki sposób wywiązać się z obowiązków prawnych i co jest dla nich proporcjonalne” – powiedział. „Ofcom ma jednak uprawnienia egzekucyjne, takie jak grzywny w wysokości do 18 milionów funtów lub 10% światowego obrotu, a choćby blokowanie witryn w najpoważniejszych przypadkach. Ale czy będziemy świadkami szybkiego wykorzystania tych mocy lub w ogóle? Krytycy twierdzą, iż kodeksy postępowania nie idą wystarczająco daleko i iż w przypadku nielegalnych szkód przyjmuje się stopniowe podejście”.
Xuyang Zhu, partner w globalnej firmie prawniczej Taylor Wessing, dodał, iż chociaż mają zostać opublikowane kolejne kodeksy postępowania, firmy mają w tej chwili ścisłe ramy czasowe, których muszą przestrzegać i nie mogą dłużej zwlekać z podjęciem działań w zakresie wdrażania środków bezpieczeństwa.
„Firmy muszą działać teraz, jeżeli chcą uniknąć nieprzestrzegania przepisów i narażenia się na potencjalnie wysokie kary” – stwierdziła. „W przypadku wielu usług przeprowadzenie oceny ryzyka, przejrzenie systemu i danych w celu zidentyfikowania ryzyka, a także wprowadzenie środków zapewniających zgodność z przepisami w celu złagodzenia zidentyfikowanych szkód zajmie dużo czasu i wysiłku. Nie będzie to łatwe zadanie i aby mieć pewność, iż firmy zdążą wywiązać się z zadania w wyznaczonym terminie, muszą zacząć już teraz”.
Ofcom wcześniej opublikowała projekt kodeksów bezpieczeństwa dzieci w Internecie dla firm technologicznych w kwietniu 2024 r. Zgodnie z tymi kodeksami Ofcom oczekuje, iż wszystkie usługi internetowe, do których mają dostęp dzieci (w tym sieci społecznościowe i wyszukiwarki), przeprowadzą solidną kontrolę wieku, skonfigurują swoje algorytmy w celu odfiltrowania najbardziej szkodliwych treści z kanałów tych dzieci oraz wdrożyć procesy moderacji treści, które zapewnią szybkie podjęcie działań przeciwko tej treści.
Projekty kodeksów obejmują również środki zapewniające przestrzeganie przepisów przez firmy technologicznew tym poprzez wyznaczenie wyznaczonej osoby starszej odpowiedzialnej za przestrzeganie obowiązków w zakresie bezpieczeństwa dzieci, coroczny przegląd przez organ wyższego szczebla wszystkich działań w zakresie zarządzania ryzykiem związanych z bezpieczeństwem dzieci oraz kodeks postępowania pracowników, który określa standardy dla pracowników w zakresie ochrony dzieci.
