Britse internetwaakhond verscherpt aanpak deepfake-porno
Ofcom, de Britse toezichthouder op internetveiligheid, heeft een nieuwe conceptrichtlijn gepubliceerd in het kader van de implementatie van de Online Safety Act (OSA). De nieuwste reeks aanbevelingen is bedoeld om bedrijven die onder de richtlijn vallen te helpen bij het nakomen van wettelijke verplichtingen om vrouwen en meisjes te beschermen tegen online bedreigingen zoals intimidatie en pesten, vrouwenhaat en misbruik van intieme afbeeldingen.
De overheid heeft gezegd dat het beschermen van vrouwen en meisjes een prioriteit is voor de implementatie van de OSA. Bepaalde vormen van (voornamelijk) vrouwenhatend misbruik — zoals het delen van intieme afbeeldingen zonder toestemming of het gebruiken van AI-tools om deepfake-porno te maken die op individuen is gericht — worden expliciet in de wet uiteengezet als handhavingsprioriteiten .
De online veiligheidsverordening, die in september 2023 door het Britse parlement werd goedgekeurd, kreeg kritiek omdat deze niet in staat zou zijn om platformgiganten te hervormen, ondanks de aanzienlijke boetes die er staan op niet-naleving, tot wel 10% van de wereldwijde jaaromzet.
Actievoerders voor de veiligheid van kinderen hebben ook hun frustratie geuit over de lange duur van de invoering van de wet. Ook betwijfelen ze of de wet wel het gewenste effect zal hebben.
In een interview met de BBC in januari noemde zelfs de minister van technologie Peter Kyle — die de wetgeving van de vorige regering erfde — het "zeer ongelijk" en "onbevredigend". Maar de regering houdt vast aan de aanpak. Een deel van de ontevredenheid over de OSA kan worden herleid tot de lange doorlooptijd die ministers hebben toegestaan voor de implementatie van het regime, dat vereist dat het parlement de nalevingsrichtlijnen van Ofcom goedkeurt.
Er wordt echter verwacht dat de handhaving binnenkort van start gaat met betrekking tot de kernvereisten voor het aanpakken van illegale content en kinderbescherming. Andere aspecten van OSA-naleving zullen langer duren om te implementeren. En Ofcom geeft toe dat dit nieuwste pakket met praktijkaanbevelingen pas in 2027 of later volledig afdwingbaar zal zijn.
"De eerste taken van de Online Safety Act treden volgende maand in werking", vertelde Jessica Smith van Ofcom, die de ontwikkeling van de op veiligheid gerichte richtlijnen voor vrouwen leidde, aan TechCrunch in een interview. "Dus we zullen een aantal van de kerntaken van de Online Safety Act afdwingen voordat deze richtlijnen [zelf afdwingbaar worden]."
De nieuwe conceptrichtlijnen voor de veiligheid van vrouwen en meisjes online zijn bedoeld als aanvulling op de eerdere, bredere Ofcom-richtlijnen over illegale content. Deze richtlijnen bevatten bijvoorbeeld ook aanbevelingen voor het beschermen van minderjarigen tegen het bekijken van online content voor volwassenen.
In december publiceerde de toezichthouder haar definitieve richtlijnen over hoe platforms en diensten de risico's met betrekking tot illegale content moeten verkleinen. Kinderbescherming is hierbij een duidelijke prioriteit.
Het heeft eerder ook een Children's Safety Code opgesteld, die online diensten aanbeveelt leeftijdscontroles en contentfiltering in te stellen om ervoor te zorgen dat kinderen niet worden blootgesteld aan ongepaste content zoals pornografie. En terwijl het werkte aan de implementatie van het online veiligheidsregime, heeft het ook aanbevelingen ontwikkeld voor leeftijdswaarborgingstechnologieën voor websites met content voor volwassenen , met als doel pornosites ertoe aan te zetten effectieve stappen te ondernemen om te voorkomen dat minderjarigen toegang krijgen tot content die niet geschikt is voor hun leeftijd.
De nieuwste set richtlijnen is ontwikkeld met hulp van slachtoffers, overlevenden, vrouwenbelangenorganisaties en veiligheidsexperts, aldus Ofcom. Het beslaat vier belangrijke gebieden waarop vrouwen volgens de toezichthouder onevenredig worden getroffen door online schade, namelijk: online vrouwenhaat; opstapelingen en online intimidatie; online huiselijk geweld; en misbruik van intieme afbeeldingen.
De belangrijkste aanbeveling van Ofcom spoort in-scope services en platforms aan om een "safety by design"-benadering te hanteren. Smith vertelde ons dat de toezichthouder technologiebedrijven wil aanmoedigen om "een stap terug te doen" en "na te denken over hun gebruikerservaring in het algemeen." Hoewel ze erkende dat sommige services maatregelen hebben genomen die nuttig zijn om online risico's op dit gebied te verkleinen, betoogde ze dat er nog steeds een gebrek is aan holistisch denken als het gaat om het prioriteren van de veiligheid van vrouwen en meisjes.
"Wat we eigenlijk vragen is een soort stapsgewijze verandering in de manier waarop het ontwerpproces werkt", vertelde ze ons. Ze zei dat het doel is om ervoor te zorgen dat veiligheidsoverwegingen in het productontwerp worden verwerkt.
Ze benadrukte de opkomst van AI-diensten die afbeeldingen genereren, die volgens haar hebben geleid tot een 'enorme' groei in misbruik van intieme deepfakes, als voorbeeld van een situatie waarin technologen proactieve maatregelen hadden kunnen nemen om de risico's te verkleinen dat hun hulpmiddelen als wapen zouden worden ingezet om vrouwen en meisjes te targeten, maar dat niet deden.
"Wij denken dat er verstandige dingen zijn die diensten in de ontwerpfase kunnen doen om het risico op een aantal van die gevaren te verminderen", suggereerde ze.
Voorbeelden van ‘goede’ praktijken in de sector die Ofcom in de richtlijnen benadrukt, zijn onder meer onlinediensten die maatregelen nemen zoals:
- Geolocatie standaard verwijderen (om privacy-/stalkingrisico's te verkleinen);
- Het uitvoeren van 'misbruikbaarheidstesten' om te identificeren hoe een dienst als wapen kan worden ingezet of misbruikt;
- Maatregelen nemen om de veiligheid van uw account te verbeteren;
- Het ontwerpen van gebruikersprompts die ervoor moeten zorgen dat posters twee keer nadenken voordat ze beledigende content posten;
- En door toegankelijke rapportagetools aan te bieden waarmee gebruikers problemen kunnen melden.
Zoals bij alle OSA-richtlijnen van Ofcom is niet elke maatregel relevant voor elk type of elke omvang van de dienst — aangezien de wet van toepassing is op grote en kleine onlinediensten en verschillende arena's bestrijkt, van sociale media tot online daten, gamen, forums en berichtenapps, om er maar een paar te noemen. Een groot deel van het werk voor bedrijven binnen het bereik zal dus bestaan uit het begrijpen van wat compliance betekent in de context van hun product.
Toen haar werd gevraagd of Ofcom diensten had geïdentificeerd die momenteel aan de richtlijnen voldeden, suggereerde Smith van niet. "Er is nog veel werk te doen in de hele sector", zei ze.
Ze erkende ook stilzwijgend dat er groeiende uitdagingen kunnen zijn gezien enkele van de achteruitgang die sommige grote spelers in de industrie hebben geboekt met betrekking tot vertrouwen en veiligheid. Bijvoorbeeld, sinds hij Twitter heeft overgenomen en het sociale netwerk heeft omgedoopt tot X, heeft Elon Musk het aantal vertrouwens- en veiligheidsmedewerkers uitgehold — ten gunste van wat hij heeft geframed als een maximalistische benadering van vrije meningsuiting.
De afgelopen maanden lijkt Meta, eigenaar van Facebook en Instagram, een aantal soortgelijke stappen te hebben gezet. Zo zegt het dat het contracten voor factchecking met dertig partijen beëindigt en in plaats daarvan een X-achtig systeem van 'community notes' gaat inzetten, waarbij crowdsourced labels worden verstrekt over geschillen over inhoud.
Smith stelde voor dat Ofcom's reactie op dergelijke ingrijpende veranderingen, waarbij de acties van operators het risico lopen online schade te vergroten in plaats van te beperken, zich zal richten op het gebruik van transparantie en de bevoegdheden om informatie te verzamelen die het bedrijf heeft onder de OSA om de gevolgen te illustreren en het bewustzijn onder gebruikers te vergroten.
Kortom, de tactiek hier lijkt te bestaan uit 'naam en schande' — althans in eerste instantie.
"Zodra we de richtlijnen hebben afgerond, zullen we een [markt]rapport opstellen ... over wie de richtlijnen gebruikt, wie welke stappen volgt, welke resultaten ze bereiken voor hun gebruikers die vrouwen en meisjes zijn, en echt licht werpen op welke beschermingsmaatregelen er op verschillende platforms zijn, zodat gebruikers weloverwogen keuzes kunnen maken over waar ze hun tijd online doorbrengen", vertelde ze ons.
Smith stelde voor dat bedrijven die het risico willen vermijden om publiekelijk te worden bekritiseerd vanwege slechte prestaties op het gebied van de veiligheid van vrouwen, zich kunnen wenden tot de richtlijnen van Ofcom voor 'praktische stappen' om de situatie voor hun gebruikers te verbeteren en ook het risico op reputatieschade aan te pakken.
“Platforms die in het VK opereren, moeten voldoen aan de Britse wet”, voegde ze toe in de context van de discussie over grote platforms die vertrouwen en veiligheid minder benadrukken. “Dat betekent dus dat ze moeten voldoen aan de plichten inzake illegale schade en de plichten inzake de bescherming van kinderen onder de Online Safety Act.”
“Ik denk dat dit ook het punt is waarop onze transparantiebevoegdheden van pas komen: als de sector van richting verandert en de schade toeneemt, kunnen we hier licht werpen en relevante informatie delen met Britse gebruikers, met de media en met parlementariërs.”
Eén type online schade waarbij Ofcom expliciet zijn aanbevelingen aanscherpt, nog voordat het de OSA-handhaving actief is gestart, is misbruik van intieme afbeeldingen. De nieuwste conceptrichtlijnen suggereren namelijk dat hash-matching moet worden gebruikt om dergelijke aanstootgevende afbeeldingen te detecteren en te verwijderen, terwijl eerdere aanbevelingen van Ofcom niet zo ver gingen.
"We hebben aanvullende stappen in deze richtlijn opgenomen die verder gaan dan wat we al in onze codes hebben vastgelegd", merkte Smith op, waarmee hij bevestigde dat Ofcom van plan is om zijn eerdere codes bij te werken om deze wijziging "in de nabije toekomst" op te nemen.
“Dit is dus een manier om tegen platforms te zeggen dat je een voorsprong kunt krijgen op die afdwingbare vereiste door de stappen te volgen die in deze richtlijn zijn vastgelegd”, voegde ze toe.
Ofcom adviseerde het gebruik van hash-matchingtechnologie om misbruik van intieme afbeeldingen tegen te gaan, vanwege een aanzienlijke toename van dit risico, aldus Smith - vooral in relatie tot misbruik van door AI gegenereerde deepfake-afbeeldingen.
"Er werd in 2023 meer misbruik van intieme deepfakes gemeld dan in alle voorgaande jaren bij elkaar", merkte ze op, eraan toevoegend dat Ofcom ook meer bewijs heeft verzameld over de effectiviteit van hashmatching om deze schade aan te pakken.
De conceptrichtlijnen als geheel zullen nu worden geconsulteerd. Ofcom nodigt tot 23 mei 2025 feedback uit. Daarna zal de richtlijn eind dit jaar definitief worden opgesteld.
Achttien maanden later zal Ofcom zijn eerste rapport publiceren waarin de praktijken in de sector op dit gebied worden beoordeeld.
"We gaan richting 2027 voordat we ons eerste rapport kunnen publiceren over wie wat doet [om vrouwen en meisjes online te beschermen] - maar er is niets dat platforms ervan weerhoudt om nu actie te ondernemen", voegde ze toe.
Reagerend op kritiek dat de OSA Ofcom te lang kost om te implementeren, zei ze dat het terecht is dat de toezichthouder overlegt over nalevingsmaatregelen. Echter, nu de definitieve maatregel volgende maand van kracht wordt, merkte ze op dat Ofcom ook een verschuiving in het gesprek over de kwestie verwacht.
“Dat zal echt het gesprek met platforms in het bijzonder gaan veranderen,” voorspelde ze, eraan toevoegend dat het ook in staat zal zijn om vooruitgang te laten zien in het terugdringen van online schade.
techcrunch
