英国政府已对在线安全法案提出了一项修正案,可能会使其与端到端加密发生冲突。
它提议赋予即将上任的互联网监管机构 Ofcom 新的权力,以强制消息传递平台和其他类型的在线服务实施内容扫描技术,即使它们的平台是高度加密的——这意味着服务/公司本身并不持有解密密钥并以明文方式访问用户生成的内容。
内政大臣普里蒂·帕特尔今天表示,政府希望该法案拥有更大的权力来解决儿童性虐待问题。
“儿童性虐待是一种令人作呕的罪行。我们都必须努力确保不允许犯罪分子在网上猖獗,科技公司必须发挥自己的作用,并负责保护我们孩子的安全,”她在一份声明中说——该声明还提供了(未经证实的)声称:“隐私和安全并不是相互排斥的——我们两者都需要,而且我们可以两者兼得,这就是本修正案所提供的。”
拟议的修正案还针对恐怖主义内容 – 表中的条款指的是:“处理恐怖主义内容或 CSEA [儿童性剥削和虐待] 内容(或两者)的通知”。
这些通知将允许 Ofcom 订购受监管的服务,以使用“认可”技术来识别在其平台上公开共享的 CSEA 或恐怖主义内容,并“迅速”将其删除。
但提议的修正案更进一步——还允许 Ofcom 要求受监管的服务使用认可的技术手段来防止用户遇到这些类型的(非法)内容——无论是通过服务公开还是私下共享,这引发了人们对权力可能意味着 E2E 加密。
多年来,英国政府一直呼吁像 Facebook 这样的科技巨头不要扩大对 E2E 加密的使用,认为这将阻碍与 CSEA 的斗争,因为这会使执法部门更难发现犯罪行为。尽管科技行业有所回击,但指出 E2E 加密是安全黄金标准,限制其使用的措施可能会削弱每个人的在线安全。
最近,这场陷入僵局的辩论导致内政部转变策略, 提出第三种前进方式——认为可以开发扫描技术以用于 E2E 加密平台,而不会损害强大的安全性或隐私性。
去年,它宣布了一项投入资金的计划:表示将在“安全技术”竞赛中投入少量纳税人现金,以资助公司开发用于检测 E2E 加密服务上的 CSEA 的原型技术——声称这是可能的“不损害用户隐私”。
然而,安全和隐私专家仍然怀疑技术是否可以扭转这一政治针 – 强烈反对其他将某种形式的设备扫描注入 E2E 加密服务的提议,例如有争议的 CSAM(儿童性虐待材料)检测苹果去年宣布的工具——当时它同样声称以安全为重点的技术将保护隐私。 (直到,面对持续的反对, Apple 停止了推出;到年底, 悄悄地放弃了对它的引用。)
在苹果对其自制的设备扫描技术冷淡之前,帕特尔曾热情地谈论过该提议。但是,如果公司不自愿开发和实施扫描技术来规避 E2E 加密,英国政府似乎正计划通过立法强制他们采取行动。
在提交的修正案中,建议受监管的服务可能需要使用该条款所称的“尽力而为”来开发或获取用于上述目的的技术(即检测和删除 CSEA 和/或恐怖主义内容)。
这表明,在不久的将来,在市场上运营的平台面临的选择可能是开发自己的扫描技术,或者支付第三方开发的“认可”技术。
与此同时,内政部的 CSEA 检测“安全技术”竞赛的五个获胜项目 于去年 11 月公布——如果这项修正案成立,参与其中的项目可能会获得更大的收益,从而为其原型服务创造市场。
为获奖项目做出贡献的公司包括家长控制应用程序制造商SafeToNet ;数字取证公司Cyan Forensics ;专注于实时风险情报的清晰思维;企业安全公司GalaxKey ;内容审核软件制造商Image Analyzer ;年龄保证技术公司Yoti ;内容审核启动DragonflAI ;和数字取证公司T3K-Forensics 。
项目获胜者有五个月的时间来提出原型,政府表示将由外部评估员进行评估。
但是,七个多月后,尚不清楚原型是如何流线型的。
安全技术评价
政府选择了一个涉及多所英国大学的多学科研究小组,名为Rephrain来进行(技术)评估。它在 3 月份发布了一份关于这项工作的范围界定文件——当时它还宣布了为期一个月的公众咨询。
当时 Rephrain 网站上的一份说明承认安全目标和用户隐私之间存在“紧张关系”,并承诺该组织公开发布其评估。 “鉴于保护弱势用户和保护用户隐私之间出现的紧张关系,Rephrain 评估过程中的关键步骤是(1)寻求社区的意见和(2)公开发布所有结果,同时确保学术严谨性和客观性仍然是我们工作的核心,并为该领域的未来方向提供信息,”它写道。
在撰写本文时,尚不清楚 Rephrain 的评估是否已经完成,但我们无法在其网站上找到最终报告。
我们还与该组织和政府联系,询问有关安全技术挑战结果的问题,如果我们得到答复,我们将更新我们的报告。
如果 Rephrain 的评估仍在进行中——或者,事实上,如果发现原型仅能有效地检测非法内容——就会引发质疑,政府为什么要匆忙制定法律,强制使用“认可”的技术还不存在。 (一些安全和隐私专家可能会争辩说可能永远不会存在。)
内政部的新闻稿仅笼统地谈论其安全技术计划“证明”(注意主动现在时),可以“在尊重用户隐私的情况下”在 E2E 平台上检测 CSAM——但没有关于任何具体原型或效果如何的消息或者这些新技术表现不佳(例如标记的误报比例)。
政府确实注意到,五名获奖者中有两名获得了额外的“延伸”资金——这表明他们的原型可能被认为比其他人更有前途。但它的公关甚至没有具体说明哪些公司解锁了额外的纳税人现金——因此在立法推动“技术解决方案”的同时,缺乏细节令人担忧。
也不清楚哪个机构——公共或私人、现有或尚未成立的机构——将负责“认证”相关技术。 (我们也问过这个问题。)
还有一点需要注意的是, 近年来,英国间谍机构一直在敦促找到一种技术支持的“第三种方式”来处理 E2E 加密——例如 GCHQ 的“幽灵协议”提案,让情报机构隐形CC’d 加密聊天(安全专家和科技行业严厉谴责这一想法对用户信任和安全构成风险)——因此有趣的是考虑其他因素可能推动内政部关于“认可”的提议强制扫描 E2E 加密内容的技术。
确实,儿童安全活动人士也表示担心最初起草的在线安全法案不会实现对 CSEA 内容的清除。活动人士一直在敦促采取更严厉的措施来解决围绕 E2E 加密平台的担忧。
NSPCC 首席执行官彼得·万利斯(Peter Wanless)在内政部宣布修正案的同时发表声明说,拟议的措施将“加强对私人信息的保护,并确保公司有责任在生产产品时考虑到儿童安全”。他还将在线安全法案称为“确保儿童可以安全探索网络世界的千载难逢的机会”。
“这一积极步骤表明,不必在隐私与检测和破坏虐待儿童的材料和修饰之间进行权衡,”他补充道,但也没有提供任何细节来支持这一说法。
确实,该法案面临议会立法者的批评,其中包括缺乏足够强大的权力来解决政府表示希望立法针对的危害——这让部长们推动为 Ofcom 争取更多权力。
议员们此前也曾敦促采取更全面的方法来处理非法内容。
政府引入在线安全立法也得到了广泛的跨党派支持(尽管民间社会和数字权利组织以及安全和隐私专家存在巨大争议)。尽管议会的审查程序也表明了——并与民间社会呼应——对言论自由影响的担忧。
该立法草案于2021 年 5 月发布,今年 3 月才提交给议会,但仍是政府明确的优先事项。尽管最近几个月,数字秘书纳丁·多里斯(Nadine Dorries)发布了一系列修订和额外措施以“加强”其规定——包括将其范围扩大到涵盖诈骗广告和网络刷屏;加快追究不合规高管的刑事责任;并为平台设置处理匿名拖钓等扩展的要求。
就在本周,另一项新增内容得到确认:正如政府所说,它将把“外国干涉”——比如虚假信息——列为法案中的一项优先罪行,对科技公司提出更多要求,以进行复杂的评估,以删除违规内容…
主动要求 25,000 个平台防止用户遇到构成外国干扰罪的内容。如果这意味着根据国家安全法案 Cl.13 的罪行,那么除其他外,他们将被要求预测性地判断精神伤害。 https://t.co/6dpAhUL7s4 pic.twitter.com/ZL9rdA2aXJ
——格雷厄姆·史密斯 (@cyberleagle) 2022 年 7 月 5 日
所有这一切的结果是扩大了一项立法的范围,批评者从一开始就认为该立法是不可行的笨拙。
一些人还指出,不断进行的修订表明整个项目是纯粹的、傲慢的过度扩张,注定要失败——但在此过程中对英国公民的权利和自由造成了不可估量的损害;以及英国的初创企业和企业,他们将面临巨大的成本,试图遵守这种相互冲突的要求。
尽管——显然——英国国内的“安全技术”部门将获利。
英国科技企业也不会有大量时间来弄清楚如何(尝试)遵守所有规定——尤其是在处理非法内容方面。 (对于“安全技术”公司来说更是如此——他们将付费出售“合规”。)
该法案为监管机构的申请权力规定了两个月的实施期,而且—— 同样在今天——Ofcom 敦促公司为即将出台的立法做准备,称其预计这些规则“最迟”将在 2023 年初通过,并警告它打算通过“100 天计划”来启动并运行该政权。
不过,在完整的合规时间表上会有更多的回旋余地,Ofcom 表示它将让公司在 2024 年中期之前让所有的鸭子井井有条。
“在我们的权力生效的前 100 天内,Ofcom 将专注于启动和运行新法规的‘第一阶段’——保护用户免受非法内容的伤害,包括儿童性剥削和性虐待以及恐怖主义内容,”监管机构写道,将制定一份关于非法内容危害的行为守则草案,“解释服务如何履行其解决这些问题的职责”;并起草关于“我们期望服务如何评估个人在其服务中遇到非法内容和相关危害的风险”的指南。
它补充说:“在三个月内,公司必须完成与非法内容相关的风险评估,并准备好从 2024 年中期开始在议会制定实践守则后履行其在该领域的职责。”
英国与欧盟
虽然英国对在线内容监管的方法看起来很独特,但礼貌地说——考虑到这样一个杂乱无章的规定——英国并不是唯一一个试图推动以技术为重点的解决方案来解决对 CSEA 崛起的担忧的国家在线的。
早在 5 月,欧盟立法者就提出了他们自己的解决在线儿童性虐待问题的计划——同样,该计划强调使用新技术来自动检测和删除此类非法材料。欧盟计划甚至更进一步——希望要求平台也识别和防止“修饰”(即可能导致 CSEA 的在线活动),而不仅仅是清除材料本身。
欧盟的提议在一个拥有全面数据保护框架的地区引发了重大争议——在该地区,隐私是欧盟宪章中列出的一项基本权利。
因此,欧盟的共同立法程序如何重塑建议的法律还有待观察。
但是——通过比较——值得注意的是,欧盟提案中的等效“认可技术”预计将由一个新的、专门的欧盟机构开发,该机构将成立以预防和检测 CSEA(又名欧盟中心)——但是涉及欧洲数据保护委员会的认证过程,该委员会是欧盟数据保护法规的现有指导和监督机构。
因此,基本上,如果 EDPB 判断一种新型扫描技术对公民的隐私构成风险,那么它有义务完全不签署使用它。
这意味着欧盟提案至少包含一项主要的制衡措施,即“技术解决主义”践踏公民的权利和/或致命地损害 E2E 加密,而英国的同等机构则不能——因为该国不再是欧盟成员国,而且英国国内数据保护法规现在位于欧盟之外。
尽管如此,欧盟还表示,它正在与工业界和学术界合作,以“支持确定技术解决方案的研究,以扩大并由公司切实可行和合法地实施,以检测端到端加密电子通信中的儿童性虐待,并充分尊重基本权利”——因此其立法者拒绝完全放弃“新技术”。但公平地说,欧盟法律为能够以不成比例的广泛方式应用监控技术设定了很高的标准。
然而,英国正在“改革”国内数据保护立法——因为它正在考虑脱欧后的放松管制——而这些正在进行的改革可能会导致更多的权力被交给国务卿来确定优先事项英国国内数据保护监管机构。因此,不难看出英国推动(国内)“安全技术”的政治推动如何无情地导致英国公民的隐私减少——因为政府可以简单地选择重新配置英国的监管活动(实际上,改变整个法律)以适应其政治目标。
亲爱的读者,这就是英国脱欧的意思。
由于英国在欧盟之外——而且部长们现在也忙于重新构建该国与欧洲人权法的关系(通过拟议的英国“权利法案”),建立一个以权利为基础的总体法律秩序来执行强有力的检查和通过英国国内法律应用的“认可”技术解决方案的余额正在减少。
因此,虽然这里的方法可能存在一些表面上的相似之处,但英国政府想要对在线安全法案的这项修正案和欧盟所谓的“聊天控制”计划做些什么,因为两者都在关注 CSEA 扫描技术,法律背景已经截然不同,并且继续进一步分化——或者,至少,只要鲍里斯·约翰逊政府认为有权撕毁旧规则书,废除道德标准并重新划定公民权利的界限,情况就是如此它看起来如何合适。