Пресс-служба Роскомнадзора предоставила BIS Journal эксклюзивное право на публикацию внутренних исследований. Сегодня предлагаем познакомиться с одним из них — «Онлайн-безопасность Online Safety Act». Исследование провело одно из подведомственных учреждений Роскомнадзора — Главный радиочастотный центр (НТЦ ГРЧЦ).

Британский Закон об онлайн-безопасности (Online Safety Act, далее — Закон) принят 26 октября 2023 года. Роль главного надзорного органа за его соблюдением выполняет регулятор связи Великобритании Ofcom (Office of Communications).

Закон распространяется на поисковые сервисы и сервисы, позволяющие пользователям публиковать контент в сети Интернет или взаимодействовать друг с другом (веб-сайты, приложения, социальные сети, облачные хранилища и сайты для обмена файлами, видеоплатформы, онлайн-форумы, сервисы знакомств и сервисы мгновенного обмена сообщениями). Он касается услуг, даже если компании, предоставляющие их, находятся за пределами Великобритании (при условии наличия у них связей с Соединённым Королевством [1]).

Документ вводит три основных вида новых обязанностей для онлайн-платформ: (1) борьба с незаконным контентом; (2) борьба с контентом, причиняющим вред детям, и (3) дополнительные обязанности для сервисов с большим количеством пользователей [2].

Сайты, подпадающие под действие Закона, должны принимать меры для предотвращения просмотра пользователями младше 18 лет вредоносных материалов, которые определяются в трёх категориях: (1) первоочередной контент (primary priority content) — порнография, пропаганда суицида, самоповреждений или расстройств пищевого поведения; (2) приоритетный контент (priority content) — кибербуллинг, публикации, поощряющие насилие, опасные челленджи и так далее; (3) неопределённый контент (non-designated content): материалы, вызывающие депрессию или безнадёжность [3].

В Законе перечислено более 130 «приоритетных правонарушений». Их можно разделить на 17 категорий, среди которых — терроризм, киберфлешинг (незапрошенная отправка обнаженных изображений), сексуальная эксплуатация и насилие над детьми и другое (полный список содержится в приложении 1).

Cайты, размещающие контент первой категории, должны использовать меры по проверке возраста, нацеленные на конкретные фрагменты этого контента, либо охватывающие определённый раздел платформы. Ожидается, что ресурсы, которые не являются специализированными порнографическими сервисами, но всё же разрешающие материалы сексуального характера, будут применять меры проверки возраста или оценки либо к конкретному контенту, либо к определённому разделу своего сервиса.

По информации Ofcom, способы проверки возраста включают следующие меры:

1. Пользователь делает селфи или короткое видео, которое анализируется с помощью искусственного интеллекта для оценки возраста. Используется технология «определения живого человека», чтобы исключить подделку с использованием фотографии или видеозаписи. Такая проверка не требует загрузки документов, но допускает некоторую погрешность, особенно при нестандартной внешности.
2. Скан удостоверения личности, банковская или кредитная проверка.
3. Фото и документ: загрузка фотографии паспорта или водительского удостоверения, дополненная селфи для сравнения с документом.
4. Кредитная карта: используется как индикатор возраста, так как выдаётся только лицам от 18 лет.
5. Система Open Banking: пользователь разрешает доступ к данным из банка, чтобы система подтвердила дату рождения.
6. Цифровые ID‑кошельки: позволяют подтвердить возраст, не раскрывая полные личные данные.
7. Мобильная проверка: оператор сотовой связи подтверждает, активированы ли у пользователя взрослые настройки (вероятно, это означает отсутствие функций «родительского контроля», включаемых взрослыми на устройствах детей).
8. Проверка по e‑mail: используется поведенческий след (например, возрастные настройки аккаунтов, история покупок и тому подобное), чтобы статистически оценить возраст.

В случае размещения контента других категорий сервисам рекомендуется настраивать свои алгоритмы таким образом, чтобы гарантировать, что детям не будут представлены самые вредные публикации, и принимать соответствующие меры для их защиты от менее вредных.

Платформы обязаны проводить ежегодную оценку рисков для контента, вредного для несовершеннолетних, и сдавать отчёты по сотням параметров (алгоритмы, жалобы, поведение пользователей, доля взрослого контента и другое). На сайте Ofcom опубликована методология оценки рисков, состоящая из трёх этапов: (1) идентификация рисков, (2) оценка их масштаба согласно таблицам, содержащимся в руководстве (пример таблицы на английском языке и в переводе на русский язык прилагается), и (3) внедрение мер снижения рисков.

Платформы с контентом, риск которого оценен как «средний» или «высокий», обязаны настраивать алгоритмы для снижения видимости вредных материалов в лентах пользователей (например, исключать пропаганду анорексии). Регулятор вправе проводить аудит алгоритмов на соответствие стандартам безопасности. Известно, что 9 июля 2025 года Ofcom запустил годовую программу контроля за выполнением компаниями своих обязанностей по оценке рисков, однако, иных пояснений относительно механизмов осуществления этого аудита на данный момент не опубликовано.

Одной из наиболее резонансных частей Online Safety Act является положение, которое позволяет Ofcom требовать от сервиса обмена сообщениями использовать «аккредитованную технологию» для поиска и удаления материалов, содержащих сексуальное насилие над детьми. Компании и защитники конфиденциальности утверждают, что этот пункт представляет угрозу сквозному шифрованию — технологии, заключающейся в том, что сообщение могут видеть только отправитель и получатель. Компания Apple публично выступила против положений, позволяющих ведомству сканирование зашифрованных сообщений. По мнению корпорации, такие требования могут подорвать базовые принципы end-to-end шифрования.

В результате вступления Закона в силу наблюдается резкий скачок спроса на VPN-сервисы в Великобритании. Организации из этого сегмента сообщили о росте числа регистраций в 11–19 раз, а их приложения заняли половину мест в топ-10 бесплатных программ в британских App Store и Google Play.

Несмотря на то, что виртуальные частные сети легальны в Британии и в законе нет статей, напрямую запрещающих использование VPN пользователями, местное Министерство науки, инноваций и технологий заявило, что «платформы несут чёткую ответственность за то, чтобы дети не могли обойти меры безопасности. Это включает в себя блокировку контента, который продвигает VPN или другие обходные пути, специально предназначенные для молодых пользователей».

Закон устанавливает штраф в размере 18 млн фунтов стерлингов (около 1,9 млрд рублей) или 10% от глобального оборота компании за его нарушение. Ofcom может обращаться в суд для получения судебных приказов о блокировке ресурсов, которые систематически нарушают требования этого документа.

Первым расследованием регулятора в соответствии с Законом стал кейс интернет-форума, пропагандирующего способы самоубийства, в апреле 2025 года (название не раскрывается). В результате форум «добровольно» ограничил доступ для пользователей из Великобритании. Несмотря на объявление о «блокировке», администраторы сайта в США советуют британцам использовать VPN для обхода ограничения.

1 августа Ofcom заявил, что уже проводит расследование в отношении четырёх компаний, которым в совокупности принадлежат 34 порносайта. В результате вступления закона в силу крупнейшие порнографические ресурсы Pornhub, XVideos, xHamster заблокировали доступ для британских пользователей полностью, отказавшись идти на серьёзные технические и организационные издержки. Аналогично поступили популярные площадки Reddit и Discord, ограничившие пользователей из Соединённого Королевства в доступе к контенту категории NSFW [4]. В Discord стала обязательной проверка возраста и для владельцев серверов [5] 18+. Xbox внедрила систему верификации по паспорту для скачивания и покупки игр с рейтингом 18+, доступа к голосовым чатам и некоторым онлайн-режимам. Музыкальная площадка Spotify требует отправлять сканы лица пользователей сторонней компании цифровой идентификации Yoti для доступа к контенту с маркировкой 18+.

В части мирового опыта можно выделить следующие тенденции по достоверному определению возраста несовершеннолетних пользователей сети Интернет в целях, в том числе, ограничения их доступа к онлайн-платформам:

1. Запрет детям до определённого возраста создавать аккаунт в социальной сети (опыт Австралии, законопроект во Франции, Испании, Греции и США);
2. Регистрация аккаунта ребёнка до определённого возраста только при наличии согласия родителей (законных представителей) и передачи ими информации о себе — персональных данных (опыт США);
3. Ограничение времени пребывания на интернет-площадках, посредством верификации возраста пользователей при посещении сайтов по специфическим идентификаторам, в том числе по паспорту, и использование системы распознавания лиц, включая биометрическую идентификацию (опыт Китая, Германии);
4. Применение цифровых технологий, включая искусственный интеллект, позволяющих по поведению на платформе установить возраст владельца аккаунта (опыт Германии, социальной сети Instagram).

Online Safety Act стал первым законом в Европе, формализовавшим полный контроль над интернет-пространством. С момента принятия он подвергся резкой критике как со стороны правозащитных организаций, так и крупнейших технологических платформ. Эксперты предупреждают, что в нынешнем виде Закон может подорвать основы цифровой свободы и приватности в Великобритании. Долгосрочный эффект будет зависеть от его правоприменения и расширительного толкования норм судами.

Полагаем возможным использовать опыт самостоятельной оценки рисков вредного контента технологическими компаниями, настройки алгоритмов снижения видимости такого рода материалов в лентах несовершеннолетних граждан и расширения полномочий контролирующего органа в части проведения проверок компаний.

[1] Это включает в себя случаи, когда у услуги значительное число пользователей в Великобритании, если Великобритания является целевым рынком или если к ней могут получить доступ пользователи из Великобритании, и существует серьёзный риск причинения значительного вреда таким пользователям.

[2] Крупным сервис определяется как сервис, имеющий среднюю пользовательскую базу 7 млн человек или более в месяц в Великобритании.

[3] Контент относится к этой категории, если он представляет собой существенный риск причинения значительного вреда большому числу детей в Великобритании, при условии, что риск причинения вреда не вытекает из любого из следующих факторов: потенциальное финансовое воздействие контента; безопасность или качество товаров, представленных в публикациях; или способ, которым может быть оказана услуга, представленная в контенте.

[4] Термин, используемый для обозначения контента, который не рекомендуется просматривать в общественных или рабочих местах из-за его содержания. Обычно это касается материалов, содержащих наготу, сексуальные сцены, грубую лексику, сцены насилия или другие деликатные темы.

[5] Виртуальная площадка для общения, которая включает набор текстовых и голосовых каналов.