英国信息专员办公室(ICO)于2024年2月16日发布了一份关于内容审核和数据保护的指南(内容审核指南,详情点击文末阅读原文),其中规定了相关组织在使用内容审核技术和流程处理个人数据时应当注意的数据隐私义务。
该指南是ICO与英国通信管理局(Ofcom)合作发布的在线安全系列指南的一部分——这一系列指南是英国监管部门根据《2023年在线安全法》(Online Safety Act 2023,简称“OSA”)所制定的行为准则,且将因应技术的发展而不时更新。
内容审核指南的宗旨和受众
指南概述了英国数据保护法如何适用于内容审核及其对信息权利的影响,旨在帮助受OSA约束的组织在进行内容审核时遵守数据保护法律,以履行其在线安全责任和义务。其内容包括如何评估和降低数据处理风险、如何合法地开展内容审核、如何确保内容审核活动的透明度、如何确保内容审核中的数据最小化等。
受OSA约束的组织包括用户对用户(U2U)服务的提供者(例如社交媒体、文件/音视频分享、私人消息、在线市场、约会、论坛、游戏等服务)和搜索引擎。OSA还具有域外效力,如果外国组织提供的服务有数量较大的英国用户或将英国作为目标市场,或该服务可被英国个人所使用且有合理理由相信该服务存在对个人造成重大伤害的实质风险,即可能落入OSA的管辖范围。
同时,内容审核指南也可适用于出于其他原因而进行内容审核的组织。
什么是内容审核?
ICO将内容审核定义为:
分析用户生成的内容,以评估其是否符合某些标准;以及
服务提供者因该分析结果而采取的任何行动。
进行内容审核的目的可以是为了遵守 OSA规定的义务,也可以是为了执行组织的服务条款(例如该服务允许用户发布哪些内容,以及如何管理某些类型的内容)。根据指南,内容审核可包括:
删除内容——从服务中删除内容,或阻止内容发布;
禁止服务——暂时或永久禁止用户访问服务;
阻止功能——暂时或永久限制用户访问服务的某些功能;
降低内容的可见性——例如,不推荐内容或不在显要位置展示内容。
如何合法开展内容审核
指南强调,内容审核系统通常涉及处理个人数据,有时甚至可能涉及处理特殊类别个人数据,因此应注意以下方面的法律义务和良好实践:
在处理个人数据前开展数据保护影响评估:这是因为内容审核很可能涉及一些风险较高的数据处理方式,例如使用新技术、新方式处理个人数据(如人工智能的应用),组合、比较、匹配从不同来源获得的个人数据,开展可能对用户产生法律或类似重要影响的完全自动化处理,或基于自动决策或使用特殊类别个人数据来决定个人访问服务的权限。
当决定使用内容审核系统时,遵循“设计和默认的数据保护”原则,即将数据保护纳入系统设计环节且采取对隐私影响最低的默认设置。
根据英国《通用数据保护条例》(UK GDPR)第6 (1)条的规定,确定处理数据的适当法律依据(如果涉及特殊类别个人数据,还应符合UK GDPR第9条的条件),并确保数据处理过程的公正和透明。
仅采用符合人们合理预期、且不会对个人产生不合理的不利影响的方式处理个人数据,并确保内容审核系统准确运行并输出公正的、一致的结果。
遵守UK GDPR关于目的限制和数据最小化的规定。
尊重在线服务个人用户的数据信息和更正权。如果涉及处理儿童个人数据, ICO还要求组织遵守《适龄设计规则》(也称“儿童规则”)。
ICO在指南中对不正确地开展内容审核(例如基于不准确的数据删除内容和禁止服务)可能导致的后果进行了警示——这些错误可能导致个人遭到不准确的指控,或不公平地失去使用在线服务的权利,进而使相关组织面临个人提出的索赔请求以及 ICO的监管行动。
尽管指南本身没有强制效力,但 ICO在其中清晰界定了哪些要求系基于法律义务,哪些要求则是出于ICO对“良好实践”的期待。
指南建议
指南对组织进行内容审核提出了以下方面的具体建议:
评估和降低数据处理风险;
确保内容审核过程符合UK GDPR和《2018年数据保护法》(Data Protection Act 2018)等数据保护法律的要求;
在内容审核过程中公平、透明地使用个人数据;
明确界定在内容审核活动中使用个人数据的目的;
在内容审核过程中采取措施以确保仅收集和处理最少量的个人数据;
确保内容审核过程中使用准确的个人数据;
确定在内容审核过程中保存个人数据的适当期限;
采取强有力的安全措施,防止用于内容审核的个人数据遭到未经授权的访问或披露;
明确数据控制者在内容审核体系中的角色和职责;
尊重个人数据主体的权利,例如更正不准确个人数据的权利;
为共享与内容审核相关的数据建立明确的规则,确保遵守数据保护法律;
考虑跨境转移个人数据的影响并确保遵守法律要求;
如果在内容审核过程中使用了自动决策,确保透明度、可问责和遵守数据保护法律。
本文的版权归Simmons & Simmons LLP及其关联方所有,或根据许可或适用法律使用。如需转载,请联系我们。
本文的信息(包括链接的第三方网站信息)仅供您作为一般参考,不构成我们针对特定事务的法律意见或建议。
