Акт Сполученого Королівства про онлайн-безпеку (Online Safety Act, надалі – Акт) є новою спробою держави подолати шкідливий контент в інтернеті та одночасно захистити фундаментальні права користувачів. Робота над Актом тривала ще з 2019 року, документ пройшов ряд доопрацювань та читань з боку Парламенту. А 26 жовтня 2023 року Акт отримав королівську згоду та став офіційним законом, покликаним зробити Сполучене Королівство «найбезпечнішим місцем у світі онлайн».
Цифролаба проаналізувала основні положення Акта, його ефективність та потенційні небажані наслідки, які несе документ у довгостроковій перспективі. Незважаючи на те, що Акт переслідує легітимну ціль, спрямовану на захист користувачів від протиправного контенту, ряд законодавчих положень залишаються суперечливими, непропрацьованими та складними для тлумачення. Багато технічних компаній, кіберекспертів та громадських організацій ще до прийняття документу неодноразово висловлювали свої хвилювання щодо того, як Акт може порушити права користувачів на їх приватність та свободу вираження поглядів.
Яких цілей прагнуть досягти законотворці?
Акт має на меті уможливити безпечне перебування в онлайн-мережі для користувачів з особливими фокусом на захист дітей від шкідливого контенту. При цьому Акт спрямований на досягнення таких основних цілей:
- збільшення онлайн безпеки користувачів;
- захист та розширення свободи вираження поглядів в інтернеті;
- покращення можливостей правоохоронних органів щодо боротьби з протиправним контентом в інтернеті;
- покращення можливостей користувачів щодо збереження власної онлайн-безпеки;
- покращення розуміння суспільством обсягу шкоди.
Контент-фільтр чи обмеження в доступі: що регулює Акт?
За своїм обсягом Акт поширюється здебільшого на такі сервіси: пошукові сервіси, сервіси від користувача до користувача (user-to-user service), які дозволяють користувачам публікувати власний контент (у тому числі соціальні мережі, онлайн-форуми, додатки для листування тощо) та порнографічні платформи. Крім того, закон поширюється на будь-яку інтернет-компанію, незалежно від місця її розташування, якщо користувач із Сполученого Королівства має доступ до її послуг.
Для захисту користувачів у мережі Акт покладає на компанії та їх платформи ряд так званих «зобовʼязань догляду» (duties of care), які здебільшого стосуються модерації та фільтрування контенту. Зокрема, Акт вимагає від платформ дозволяти користувачам блокувати потенційно протиправний контент, встановлювати верифікацію віку для неповнолітніх користувачів, а також запобігати потрапляння користувачів на шахрайську рекламу.
Контролюючим органом, який забезпечує виконання правил Акта, є Офіс комунікацій (Office of communications або Ofcom). Він уповноважений розслідувати спори та накладати санкції за порушення, що сягають 18 мільйонів фунтів стерлінгів або 10% щорічних глобальних продажів (залежно від того, що більше).
Положення Акта, спрямовані на забезпечення споживання лише правомірного контенту, фокусуються на таких розділах: боротьба з протиправним контентом, а також безпека дітей та дорослих в інтернеті.
Боротьба з протиправним контентом. Англійський уряд взяв на себе відповідальність щодо визначення «протиправного контенту» (illegal content) та інформації, яка до нього входить. З огляду на це, Акт зобовʼязує платформи вживати заходи щодо трьох категорій шкідливого контенту, а саме: (1) протиправного контенту, (2) контенту, шкідливого для дітей, та (3) контенту, шкідливого для дорослих. Дві останні категорії детальніше розкриємо далі.
Протиправний контент включає будь-який контент, володіння, перегляд, доступ, публікація чи розповсюдження якого становить:
- правопорушення, повʼязане з тероризмом або сексуальною експлуатацією та розбещенням дітей;
- будь-яке «первинне правопорушення», що включає, зокрема, погрози вбивством, переслідування, підбурювання до ненависті, злочини, повʼязані з наркотиками чи використанням зброї, шахрайство тощо (повний перелік передбачено у додатках до Акта);
- будь-яке інше правопорушення, за винятком злочинів щодо порушення прав інтелектуальної власності, законів про захист прав споживачів, безпеки чи якості товарів або надання послуг.
У цьому випадку Акт також містить заходи, які повинні вживати платформи для того, щоб запобігти доступу користувачів до протиправного контенту. Одним із таких заходів є використання пропорційних технічних засобів для швидкого видалення незаконного контенту з моменту отримання повідомлення про наявність такого контенту. Крім того, платформи зобовʼязані повідомляти про весь виявлений контент, що стосується тероризму або експлуатації дітей, до Національного агентства боротьби зі злочинністю. З огляду на таку вимогу Офіс комунікацій уповноважений повідомляти компанії про обовʼязок здійснювати сканування їх даних для ідентифікації забороненого контенту.
Безпека дітей в інтернеті. Одним із ключових аспектів Акта є захист дітей в онлайн-мережі від шкідливого контенту, на який вони можуть натрапити. Акт виокремлює три види такого контенту: (1) первинний пріоритетний контент, що включає порнографію, контент, який пропагує самогубство, самоушкодження або розлади харчової поведінки (РХП), та (2) пріоритетний контент, що включає таргетування захищеної групи, підбурювання до ненависті, заохочення або пропагування насильства проти людей або тварин, булінг, заохочення або пропагування вживання шкідливих речовин. Важливо підкреслити, що Акт зобовʼязує платформи «захищати» дітей від первинного пріоритетного контенту та «запобігати» доступу до пріоритетного контенту, проте не надає розмежування цим вимогам. Крім того, Акт виокремлює «не визначений шкідливий контент» (non-designated harmful content), тобто такий контент, що несе матеріальний ризик завдання суттєвої фізичної чи психологічної шкоди значній кількості дітей у Великобританії.
У контексті обовʼязків Акт покладає на платформи, що надають сервіси від користувача до користувача, зобовʼязання здійснювати попередню верифікацію віку для запобігання доступу дітей до первинного пріоритетного контенту (Розділ 12 Акта). Такий обовʼязок стосується «дорослих» вебсайтів, а також будь-якого вебсайту, платформи або додатку, що містять згенерований контент, до якого має доступ молодь. Згідно з Актом, верифікація віку повинна відбуватися у такий спосіб і таким чином, щоб ефективно та правильно визначити, чи є користувач дитиною. Іншими словами, для запобігання доступу неповнолітніх до шкідливого контенту, платформи повинні впровадити технічні засоби для перевірки віку користувачів перед наданням доступу до контенту. Для прикладу, сайти зможуть вимагати державні документи для ідентифікації особи або використовувати біометричні дані (наприклад, сканування облич), що загострює питання приватності особи та її персональних даних (детальніше про це у наступному розділі). При цьому порнографічні вебсайти зобовʼязані цілком заборонити доступ до контенту особам молодшим 18 років.
Безпека дорослих в інтернеті. Акт також виокремлює ряд положень, спрямованих на захист дорослих користувачів від шкідливого контенту та неправомірної поведінки інших акторів. Зокрема, Акт зобовʼязує платформи вживати заходів щодо «контенту, шкідливого для дорослих». Сюди входить вже відомий пріоритетний контент, вміст якого визначатиметься в окремих нормативних актах (включаючи контент щодо РХП, самогубства та самоушкодження). Крім того, шкідливий контент включає такий контент, що несе матеріальний ризик завдання суттєвої фізичної або психологічної шкоди значній кількості дорослих у Великобританії.
Для боротьби з рекламним шахрайством Акт покладає зобовʼязання на надавачів послуг «Категорії 1» (тобто найбільші платформи соцмереж) та «Категорії 2А» (тобто пошукові системи та комбіновані послуги) (Розділи 38-40 Акта). Від них Акт вимагає виконання таких функцій: (1) запобігання потрапляння користувачів на шахрайську рекламу, (2) мінімізація тривалості часу, протягом якого відображаються шахрайські оголошення та (3) швидке видалення шахрайських реклам, якщо платформи було попереджено про такий контент або вони дізналися про нього в інший спосіб. Реклама вважається шахрайською, якщо вона є платною та порушує певні положення законодавства про фінансові послуги, шахрайство чи серйозні злочини. У контексті обовʼязків «Категорії 1» до такої реклами також входить реклама, що не є типом «регульованого контенту, створеного користувачами» (наприклад, електронна пошта, SMS-повідомлення, вміст видавця новин). Шкідлива або оманлива реклама, як-от реклама негативного зображення тіла або реклама незаконної діяльності (наприклад, продаж зброї) підлягає санкційній відповідальності.
Акт також має на меті надати користувачам більше свободи дій в онлайн-мережі. Така свобода виражається у можливості обирати тих, з ким прагнуть комунікувати користувачі, а також контент, який вони прагнуть споживати. У цьому випадку платформи повинні надати користувачам можливість заблокувати осіб, які не верифікували свою особу на сайті (Розділ 64), а також відмовитися від перегляду шкідливого контенту. Така практика спрямована здебільшого на захист користувачів від анонімних тролів. Попри те, що мета щодо боротьби з протиправною анонімною поведінкою є легітимною, ідея щодо можливості блокування будь-якого потенційно підозрілого користувача є серйозною загрозою анонімності особи та її персональним даним.
Ціна за безпечний інтернет: які ризики несе Акт у світ мережі?
Наразі Акт, хоча і спрямований на врегулювання поведінки зловмисних акторів та споживання правомірного контенту, проте все ще містить ряд проблем, які можуть мати негативні наслідки у випадку його подальшого застосування. Серед основних проблематичних факторів слід виокремити розмиті дефініції, невиправданий тягар на компанії, загроза приватності та вплив на шифрування.
Розмиті дефініції. Хоча автори Акта спробували надати вичерпний перелік контенту, який входить до категорії «протиправного» або «шкідливого», занадто широкі терміни за відсутності пояснення створюють проблему неправильного тлумачення. Крім того, Акт зобовʼязує платформи «захищати» дітей від протиправного контенту та «запобігати» його появі, не надаючи законодавчого розрізнення жодному з термінів. Розмитість дефініцій та складність тлумачень у майбутньому може призвести до порушення принципу правової визначеності. Більше того, це накладає невиправданий тягар і на платформи, адже саме останні зобовʼязані ідентифікувати шкідливий контент та видаляти його. Наприклад, якщо відповідний контент містить особу, що ділиться своїм пережитим досвідом щодо РХП, який входить до категорії шкідливого контенту, чи повинна видаляти платформа таку інформацію? Ця і багато аналогічних ситуацій можуть призвести до того, що користувач не матиме доступу до контенту взагалі, оскільки найпростішим вирішенням проблеми для платформ у даному випадку буде видалення контенту. А це у свою чергу призведе до порушення права користувачів щодо доступності інформації онлайн.
Невиправданий тягар на компанії. Однією з найбільших проблем Акта є ряд зобовʼязань, покладених на інтернет-компанії, недотримання яких призводить до адміністративних та навіть кримінальних фінансових санкцій. Говорячи про вимогу верифікації віку, такі платформи як Facebook, TikTok та Wikipedia будуть вимушені блокувати або фільтрувати контент, якщо особа не підтвердить власний вік. Wikipedia вже висловила власні хвилювання щодо такого обовʼязку, оскільки техніки верифікації віку часто є дорогими та надзвичайно інтрузивними. Ба більше, Акт зобовʼязує платформи виконувати функції, на які вони не уповноважені, змушуючи їх моніторити та модерувати контент, ідентифікуючи та видаляючи заборонену інформацію фактично на власний розсуд.
Загроза приватності. Вимоги щодо верифікації віку та ідентифікації особистості в мережі несуть серйозні ризики реалізації основоположного права користувача на приватність, що включає анонімність. Важливо підкреслити, що більшість технік ідентифікації — як от кредитні картки, посвідчення особи державного зразка, аналіз історії онлайн-пошуку та розпізнавання облич — вимагають від компаній обробки додаткової особистої інформації всіх користувачів, а не лише неповнолітніх осіб.
Якщо користувач прагне відвідати вебсайт анонімно, то його найімовірніше чекатиме повністю модерований та відфільтрований контент. Ба більше, практика фактичної заборони анонімності може призвести до порушення свободи вираження поглядів та «охолоджуючого ефекту», завдяки якому користувачі не зможуть висловлювати власні думки онлайн. Така загроза особливо стосується вразливих груп (наприклад, релігійних меншин або ЛГБТІК+ спільнот), які не зможуть бути залученими в активізм, релігійні діяльності або інші чутливі комунікації з огляду на страх спостереження та постійного моніторингу їх приватних повідомлень.
Вплив на шифрування. Як відомо, Акт зобовʼязує компанії моніторити будь-які види комунікацій на наявність шкідливого контенту, у тому числі й додатки для обміну повідомленнями. Оскільки більшість додатків містить наскрізне шифрування, яке захищає користувачів від доступу до повідомлень з боку третіх осіб і навіть платформ, компанія Signal з іншими платформами висловили хвилювання, що сканування повідомлень значно підірве надійність як додатків, так і самого шифрування. Понад 80 громадських організацій, науковців та кіберекспертів з 23 країн попередили про загрозу, яку становлять пропозиції сканувати приватні повідомлення. З огляду на це додаток WhatsApp погрожував припинити обслуговування у Великій Британії у разі прийняття Акта.
У відповідь на скарги англійський уряд заявив, що сканування кореспонденції допомагає швидше виявляти контент, повʼязаний з тероризмом та експлуатацією дітей, та не підриває права на приватність. Такий контраргумент може випливати із вимоги Акта щодо впровадження кодексів практики, які вимагають від платформ захищати користувачів від протиправного контенту і при цьому реалізовувати їх права на приватність та отримання інформації. Контроверсійність у цьому випадку полягає у тому, що одна вимога виключає іншу: важко передбачити, як компанії скануватимуть приватні повідомлення та водночас зберігатимуть уявну приватність користувачів.
Що чекає на англійських користувачів?
Акт Сполученого Королівства про онлайн-безпеку безперечно переслідує легітимну мету щодо безпечного перебування громадян в онлайн-мережі та мінімізації натрапляння на шкідливий контент. Водночас прийнятий Акт у чистому вигляді супроводжується низкою положень, які значно обмежують його застосування, створюють складнощі у контексті тлумачення норм та покладають надмірні обовʼязки на компанії. На жаль, при подальшій імплементації Акта всі перелічені проблеми мають загрозу загострення нагальних питань та хвилювань, яким не було надано належної уваги під час попередніх читань.
Хоча про результати впровадження Акта протягом майже 6 місяців з моменту його прийняття говорити зарано, британський уряд серйозно налаштований офіційно запустити документ у роботу. Так, ще 15 грудня 2023 року Офіс комунікацій презентував свій План Роботи 2024/2025, який суттєво фокусується на онлайн-безпеці, фактично віддзеркалюючи цілі та завдання Акта. Крім того, у кінці 2023 року Офіс комунікацій почав роботу над практичним застосуванням документа: у лютому 2024 року була представлена дорожня карта регулювання, яка визначає відповідні стадії його імплементації. Згідно з картою, повної імплементації варто очікувати не раніше 2026 року. Наразі Офіс комунікацій працює над проєктом кодексів поведінки для компаній та платформ, які повинні бути затверджені протягом 18 місяців після набрання Актом чинності.
Можна припустити, що процес імплементації Акта, як і накладення зобовʼязань на відповідні компанії, буде складним. Оскільки Офіс комунікацій відтепер змушений контролювати дотримання вимог з боку близько 100 000 постачальників послуг, невідомо, наскільки ефективно буде реалізовуватися функція нагляду, особливо враховуючи тягар обовʼязків, покладених на постачальників.
Анна Людва, юристка Лабораторії Цифрової безпеки