英國新授權的網路內容監管機構已根據上月底成為法律的《線上安全法》（OSA）發布了第一套業務守則草案。更多的守則將陸續公佈，但這第一套守則的重點是用戶對用戶（U2U）服務應如何應對不同類型的非法內容，它為英國通信管理局打算如何在一個關鍵領域制定和執行英國全面的新網路規則提供了指導。

通訊管理局表示，作為”網路安全監管機構”，其首要任務是保護兒童。

關於非法內容的建議草案包括：大型和高風險平台應避免向兒童展示推薦好友清單；不得讓兒童使用者出現在他人的連結清單中；不得讓他人看到兒童的連結清單。

它還建議，兒童連接清單之外的帳戶不能向他們發送直接訊息；兒童的位置資訊不應該被其他用戶看到，以及其他一些旨在保護兒童上網安全的建議風險緩解措施。

「監管已經到來，我們將毫不遲疑地規定我們期望科技公司如何在維護言論自由的同時保護人們免受網路非法傷害。」通訊管理局執行長梅蘭妮-道斯女士（Melanie Dawes）在一份聲明中說：”孩子們告訴了我們他們所面臨的危險，我們決心為年輕人創造更安全的網路生活。”

“我們的數據顯示，大多數中學生都曾在網上受到過可能讓他們感到不舒服的接觸。對許多人來說，這種情況反覆發生。如果這些不受歡迎的接觸經常發生在外部世界，大多數父母幾乎都不會希望自己的孩子離開家。然而，不知何故，在網路空間裡，這些事情幾乎成了家常便飯。這種情況不能再繼續下去了。”

OSA 規定，無論數位服務規模大小，都有法律義務保護使用者免受非法內容帶來的風險，如CSAM（兒童性虐待材料）、恐怖主義和詐欺。儘管立法中列出的重點罪行清單很長–還包括親密形象濫用、跟蹤和騷擾以及網路閃光等等。

立法中並未規定範圍內的服務和平台需要採取哪些具體步驟來遵守。通訊管理局也沒有規定數位企業應如何應對各類非法內容風險。但其正在製定的詳細《業務守則》旨在提供建議，幫助企業決定如何調整其服務，以避免被發現違反該制度的風險。

通訊管理局正在避免”一刀切”的做法–守則草案中一些成本較高的建議僅針對規模較大和/或風險較高的服務。

它還寫道，它”有可能與”規模最大、風險最高的服務機構”建立最密切的監管關係”–這應該會在一定程度上緩解新創企業的壓力（它們一般不會像更成熟的服務機構那樣實施許多建議的緩解措施）。OSA 將”大型”服務定義為每月用戶超過700 萬（約佔英國人口的10%）的服務。

“公司將被要求評估其平台上非法內容對用戶造成傷害的風險，並採取適當措施保護用戶免受其害。立法特別關注’重點罪行’，如虐待兒童、誘騙和鼓勵自殺；但也可能是任何非法內容，”該公司在一份新聞稿中寫道，並補充道：”鑑於新法律涉及的服務範圍廣泛且多種多樣，我們不會採取’一刀切’的做法。我們針對所有範圍內的服務提出了一些措施，而其他措施則取決於服務在其非法內容風險評估中確定的風險以及服務的規模。”

監管機構在履行其新職責時似乎相對謹慎，關於非法內容的守則草案經常提到缺乏數據或證據來證明不建議採取某些類型的風險緩解措施的初步決定是合理的–例如，Ofcom 不建議使用哈希匹配來檢測恐怖主義內容；也不建議使用人工智慧來檢測以前未知的非法內容。

儘管它指出，隨著它收集到更多證據（毫無疑問，隨著可用技術的變化），這些決定將來可能會改變。

它也承認這項工作的新穎性，即嘗試監管像網路安全/危害這樣廣泛而主觀的內容，並表示希望其首批準則能夠成為其發展的基礎，包括透過定期審查流程–這表明隨著監督流程的成熟，指導意見也將隨之轉變發展。

Ofcom 寫道：”我們認識到，我們正在為一個以前沒有此類直接監管的行業製定一套新穎的法規，而且我們現有的證據基礎目前在某些領域還很有限，因此，這些首批準則是我們透過後續的準則迭代和即將開展的保護兒童諮詢而建立起來的基礎。本著這一精神，我們首次提出的《準則》包括旨在對在線安全進行適當治理和問責的措施，這些措施旨在將安全文化融入組織設計，並隨著時間的推移不斷迭代和改進安全系統和流程”。

總體而言，這第一步的建議看起來還算沒有爭議–例如，通信管理局傾向於建議所有U2U 服務都應擁有”旨在迅速刪除其所知曉的非法內容的系統或流程”（注意注意事項）；而”多風險”和/或”大型”U2U 服務則被提出了一份更全面、更具體的要求清單，旨在確保它們擁有一個正常運作且資源充足的內容審核系統。

它正在諮詢的另一項建議是，所有普通搜尋服務都應確保被識別為託管CSAM 的URL 被取消索引。但目前還沒有正式建議封鎖分享CSAM 的使用者–理由是缺乏證據（以及現有的平台使用者屏蔽政策不一致）。儘管草案稱其”計劃在明年初探討與CSAM 相關的用戶屏蔽建議”。

通訊管理局也建議，被認定為中度或高度風險的服務應向使用者提供工具，讓他們封鎖或靜音服務上的其他帳號。(這對幾乎所有人來說都是沒有爭議的–也許X 的所有者埃隆-馬斯克除外）。

此外，它還避免推薦某些更具實驗性和/或不準確（和/或侵入性）的技術–因此，雖然它建議規模較大和/或CSAM 風險較高的服務執行URL 檢測，以獲取並阻止已知CSAM 網站的鏈接，但不建議它們對CSAM 進行關鍵字檢測等。

其他初步建議包括：主要搜尋引擎對可能與CSAM 相關的搜尋顯示預測性警告；對與自殺有關的搜尋提供危機預防資訊。

通訊管理局還建議各服務機構使用自動關鍵字檢測來查找和刪除與銷售信用卡等被盜憑證有關的帖子，以應對網路詐欺帶來的各種危害。不過，它建議不要使用相同的技術來專門檢測金融促銷騙局，因為它擔心這樣會抓取大量合法內容（如真正的金融投資促銷內容）。

隱私和安全觀察家在閱讀指南草案時應該特別鬆一口氣，因為通訊管理局似乎正在擺脫《開放式網路安全法案》中最具爭議的內容–即其對端對端加密（E2EE）的潛在影響。

這一直是英國網路安全立法的主要爭議點，受到了包括一些科技巨頭和安全資訊公司在內的強烈反對。但是，儘管公眾批評聲浪很大，政府還是沒有修改法案，將E2EE 從CSAM 檢測措施的範圍中刪除–相反，在法案通過議會的最後階段，一位部長提供了口頭保證，稱除非存在”適當的技術”，否則不能要求通訊管理局下令進行掃描。

在法規草案中，通訊管理局建議規模較大、風險較高的服務使用名為雜湊匹配的技術來檢測CSAM，這避免了爭議，因為它只適用於”與U2U（用戶對用戶）服務上公開傳播的內容有關，且在技術上可行的情況下”。

該法還規定：”根據該法的限制，它們不適用於私人通信或端對端加密通信”。

現在，通訊管理局將就其今天發布的法規草案進行諮詢，徵求對其建議的反饋意見。

有關如何降低非法內容風險的數位業務指南要到明年秋天才能定稿，而這些內容的合規性預計要到明年秋天之後的至少三個月。因此，為了讓數位服務和平台有時間適應新制度，有相當寬鬆的準備期。

很明顯，隨著通訊管理局對具體細節進行更多的”細化”（以及任何必要的二級立法的出台），法律的影響也將錯開。

儘管《開放原始碼協定》的某些內容–如通訊管理局可就範圍內服務發布的資訊通知–已成為可強制執行的義務。不遵守通訊管理局資訊通知的服務可能面臨制裁。

OSA 還規定了範圍內服務進行首次兒童風險評估的時限，這一關鍵步驟將有助於確定他們可能需要採取的緩解措施。因此，數位業務部門應該進行大量工作，為即將實施的全面製度做好準備。

通訊管理局發言人告表示：”我們希望看到各服務機構盡快採取行動保護用戶，我們認為他們沒有理由推遲採取行動。我們認為，我們今天提出的建議是一套很好的實際步驟，各服務機構可以採取這些步驟來提高用戶安全性。儘管如此，我們正在就這些建議進行諮詢，我們注意到，這些建議中的某些內容有可能會根據諮詢過程中提供的證據而發生變化。”

當被問及如何確定一項服務的風險時，發言人說：”Ofcom將根據我們自己對其用戶群規模以及與其功能和商業模式相關的潛在風險的看法，決定我們監管哪些服務。我們已經表示，將在皇室御准後的頭100 天內通知這些服務，我們也將隨著對行業的了解和新證據的出現不斷對此進行審查。”

關於非法內容代碼的時間表，監管機構還告訴我們：”在我們的監管聲明（目前計劃於明年秋季發布，但需視諮詢回复情況而定）中最終確定我們的代碼後，我們將把它們提交給國務大臣，以便提交給議會。這些準則將在議會通過後21 天生效，我們將從那時開始採取執法行動，並希望各服務部門最遲在那時開始採取行動遵守準則。儘管如此，一些緩解措施可能需要時間來落實。我們將採取合理、適度的方法來決定何時採取執法行動，同時考慮到採取緩解措施的實際限制因素”。

“我們將採取合理、適度的方式行使執法權，這與我們的整體執法方針是一致的，同時也認識到服務機構在適應新職責時所面臨的挑戰，”Ofcom 在諮詢意見中還寫道。

“對於非法內容和兒童安全職責，我們希望在該制度的早期階段只優先考慮對嚴重違規行為採取執法行動，以便讓服務有合理的機會遵守規定。例如，這可能包括對英國用戶，特別是對兒童造成嚴重和持續傷害的重大風險。雖然我們會根據具體情況考慮什麼是合理的，但所有服務機構都應在相關安全責任生效後的六個月內完全遵守規定。