有所作为 ： 如何有效衡量数字安全以降低在线风险

白皮书 2024 年 6 月 Getty Images ， 中途图片 ： Contents 前言 3 执行摘要 4 导言 5 1 衡量数字安全性的背景和挑战 7 1.1游戏的状态71.2衡量数字安全性的挑战82测量数字安全 92.1分类92.2影响指标102.3风险指标112.4流程指标13 3 数字安全指标的实际应用 14 3.1在其他度量框架中绘制143.2解决对数据的访问153.3不断改进实践16 和加强问责制 4 新兴考虑因素 17 结论 18贡献者 19尾注 21 免责声明 这份文件由世界经济论坛发布，作为对一个项目、洞察领域或互动的贡献。文中表达的研究发现、解释和结论是世界经济论坛协助并认可的合作过程的结果，但这些结果未必反映世界经济论坛的观点，也不一定代表其全体成员、合作伙伴或其他相关方的意见。 © 2024 世界经済论坛.所有权利保留。本出版物的任何部分不得以任何形式或通过任何手段进行复制或传输，包括复印和录音，或通过任何信息存储和检索系统。 前言 大卫 · 沙利文数字信任与安全伙伴关系执行董事 Gill Whitehead在线安全组主任 ， 英国通信办公室(Ofcom) Agustina Callegari世界经济论坛全球数字安全联盟项目负责人 Daniel Dobrygowski世界经济论坛治理与信任负责人 确保在网络时代创建一个安全的在线环境至关重要，因为数字平台已成为沟通、商业和社区建设的基础。然而，实现这一目标并衡量进展都是具有挑战性的。动态技术、多样化的数字服务、快速变化的危害以及不断演变的法规必须被妥善处理。尽管存在这些挑战，但这是一条值得前行的旅程。 它代表了包括平台、监管机构、安全提供商以及社会各界成员、学术界和国际组织在内的多样化利益相关方的广泛合作。在两年多的时间里，我们召集了这一专家多方利益相关者小组，共同探讨如何衡量数字安全。1 作为本研究的输出，本文建议将我们识别出的指标分为三类：影响、风险和过程。这种分类旨在明确这些指标的应用，并便于相关利益方跟踪和报告这些关键方面。从评估干预措施的效果到监控结果，这些页面中的见解对于任何致力于改善其服务数字安全的人都具有极高的价值。 稳健的指标和测量为更安全的数字生态系统奠定了基础。它们促进责任意识，助力基于证据的决策制定，指导资源分配，促进基准设定和进展监控，推动透明度和参与度的提升，并使干预措施的有效性得以评估。 这份白皮书是由全球数字安全联盟发布的，反映了在线环境中最显著的度量和测量方法的当前状态。 我们希望本文献能为各利益相关方之间的进一步合作提供参考和灵感，促进持续努力以提高数字安全成果。 在线安全的有效测量为决策、政策制定和提高认识提供了信息。 在日益互联的世界中，衡量数字安全对于理解风险、分配资源和展示合规性至关重要。然而，衡量工作的任务充满挑战，包括不断发展的技术、灵活且一致的指标需求以及在隐私保护与透明度之间取得平衡。这些动态因素与不同平台和服务类型下的危害情境和性质差异显著相结合，导致缺乏可比较和一致的指标。 这些指标的实际应用对于评估当前的安全措施、指导未来改进并使数字服务承担责任至关重要。数字安全的指标和测量必须与数字领域的目标和挑战相一致。 认识到数字安全中多样数据集的重要性，利益相关方必须在强调风险框架中隐私和安全问题的同时，合作解决数据访问问题。简化数据访问流程并促进研究人员与数据保管人之间的合作伙伴关系可以提高数据可用性。 这份关于数字安全指标和测量方法的全球联盟论文概述了该联盟目前对数字安全领域最显著的指标和测量方法的看法，借鉴了一个由平台、监管机构、安全提供商、非政府组织（NGOs）、学术界和国际机构组成的多方利益相关者团体。它通过促进利益相关者之间的共同理解来提供一种结构化的方法，以理解和评估数字安全。 持续改进安全措施并增加对数字安全的责任感对于促进更安全的网络环境至关重要。数字安全指标的实际应用是评估干预措施及其实时有效性的重要手段。数字安全指标强化了问责制，使非政府组织和监管机构能够有效监督服务提供商。它们还作为合规监控的标准，增强用户对平台的信任，前提是这些指标需与隐私考虑相平衡，并考虑到不同服务之间的差异性。数字服务提供商应关注哪些指标最具影响力，而不仅仅是将以下建议视为必须采纳的所有选项列表。 有效的风险管理是确保风险能够得到 proper 识别、缓解和长期监控的关键。这建立在世界经济论坛全球联盟制定的数字安全风险评估框架（风险框架）中提出的一系列迭代评估和应对数字安全风险的过程中。2这篇新论文将数字安全指标分为三组: 衡量在线安全能够促进基于信息的决策制定、推动政策发展并增强利益相关方对在线安全问题的认识。在这种情况下，监管机构可以专注于协调基准，以避免因提出多重繁重要求而阻碍跨行业收集和评估相关指标的进程。此外，本论文还认识到指标只是衡量在线安全的一种工具，不应被视为理解保护用户免受在线危害进展的唯一重要指标。 –阐明影响的指标影响 ： 对个人 ， 并提供对生活体验特征和模式 的见解 –启用检测的度量风险 ： 并减轻潜在危害 –涵盖该方法的指标 ，过程 ： 与数字安全相关的系统的实施和结果 Introduction 本文提出了衡量数字安全的指标 ， 并提供了指导决策的经验证据。 尽管数字安全干预措施的重要性不言而喻，但在衡量其有效性时仍面临诸多挑战。这些挑战包括技术与在线危害的动态性质、需要既一致又灵活的指标，以及在隐私考虑与透明度之间寻求平衡。所有这些困难可以概括为“衡量不可衡量之事”的挑战。 建立基线指标并随着时间跟踪关键绩效指标使组织能够识别趋势和需要改进的领域。 在一个相互联系的世界中 ， 衡量数字安全成果至关重要 ， 原因有几个。 首先，它帮助组织了解个人、社区和社會在数字环境面前面临的多样化和不断演变的风险，从而使得组织能够理解其面临威胁和脆弱性的程度。 这个关于数字安全指标和测量的全球联盟论文旨在直接应对这些挑战。该论文采用结构化的方法来思考与数字安全相关的指标和测量问题，强调了测量在确保数字生态系统内良好治理中的关键作用。论文旨在在不同利益相关者之间建立对数字安全指标的共同理解，并促进与数字安全相关的共同语言和思维方式，特别是对于较小或较少审查的服务。 其次，衡量数字安全有助于通过更有效的资源配置来有效降低风险。通过识别和量化影响和风险，平台和相关利益方可以开发针对性的干预措施以实现改善的数字安全结果。 此外，在新的监管要求不断涌现的情况下，衡量数字安全有助于组织展示合规性并评估改进安全结果（例如，降低风险或增强用户权力）的有效措施。另外，展示强大的安全措施可以增强用户、客户和合作伙伴的信任，表明组织致力于保护在线用户，同时最大限度地减少平台滥用对非用户或公众造成伤害的风险。 这些指标作为具体的指示器或参数，可用于评估数字安全的各个方面，涵盖有害内容或行为的普遍性、平台遵守现有法规的情况以及安全措施的有效性。这些指标提供了具体的数据点，便于随着时间或在不同实体之间进行比较，从而更深入地理解数字安全项目中的趋势、模式和改进领域。 最终，建立基线指标并随着时间跟踪关键绩效指标使组织能够识别趋势和改进领域。这种方法确保了安全措施与技术发展和新兴威胁同步演进。 测量涉及系统地应用这些指标来收集、分析和解释数据。这一过程使用方法论、工具和技术来收集相关信息，评估数字安全倡议的表现，并基于实证证据作出明智的决策。 并且减少危害，包括通过适度控制非法或有害的内容或行为、推动负责任的平台设计与治理，或设计工具以赋能用户定制其在线体验。3这种方法旨在促进各司法管辖区、公司和利益相关方的一致性和协调性，最终增强共同努力以保障网络空间的安全。 该方法旨在促进各司法管辖区、公司和利益相关方之间的 consistency 和 alignment，最终增强共同努力以保障网络空间的安全。 这篇报告通过多利益相关方的合作过程开发而成，代表了构建理解数字安全相关指标和测量方法的道路图的努力。其结构反映了这一合作方法。第1部分讨论了数字安全测量的当前格局和挑战；第2部分提供了概念化指标和测量方法的框架；第3部分探讨了在线指标的实际应用。 重要的是，本文并不旨在详尽无遗地列出在线安全领域所有可能的指标和测量方法。相反，它旨在提供一种关于与该领域相关的指标进行思考的通用方法。 finally，本研究旨在增强并补充全球数字安全联盟平行产出的内容。这些产出包括《数字安全风险评估框架实践报告》。4这为利益相关方提供了一套全面的方法论以映射在线安全风险，并发布了《在线危害类型学报告》。5它提供了讨论数字安全的基础分类体系，并且与联盟的全球数字安全原则相一致。6强调数字安全的权利视角的重要性，并倡导基于证据的方法。 通过将指标分类为“影响”、“风险”和“过程”，该论文促进了在各种场景下进行有效的风险评估和干预设计。它采取了整体的方法，认识到不仅要评估个体风险，还要考虑社会风险，并理解不同类型的風險及其应对方式的本质差异。正如《全球数字安全原则》所强调的，数字安全关乎预防 1衡量数字安全的背景和挑战 频繁的技术变革、监管政策以及在线行为的变化使衡量数字安全变得困难，但相关利益方正在积极应对这一挑战。 全球各国的公共管理部门 increasingly 认识到需要对在线平台进行问责，以维持安全标准并保护用户权益。 数字安全的衡量标准不断演变，受到技术进步和监管干预的影响。技术创新使得开发出高级算法成为可能，这些算法能够检测和减轻各种形式的在线危害，如儿童色情内容（CSAM）、仇恨言论和虚假信息。然而，这一进展也带来了挑战：恶意行为者不断调整策略以逃避检测，并利用新技术继续造成伤害，例如通过生成式AI，这强调了持续创新在线安全措施的必要性。 是可以公开获取的。目前，发布的指标主要集中在内部审核流程的表现上，包括内容移除率、账号处罚措施、申诉处理和恢复情况。 全球各国的公共机构越来越认识到需要对在线平台进行问责，以维持安全标准并保护用户权益。例如，《欧洲联盟数字服务法》（Digital Services Act, DSA）等立法措施。8数字市场法案(DMA)9旨在为在线平台建立明确的规则，包括打击非法内容和确保儿童在线安全的责任。类似地，英国的《在线安全法》和澳大利亚的《在线安全法》针对在线危害。10强调平台需要进行彻底的风险评估，并展示已采取适当措施保护用户。 来自各个领域的利益相关者长期以来一直倡导提高透明度和披露指标，这体现在诸如平台透明度报告等倡议的广泛增长中。众所周知，透明度报告的实践始于2010年，当时Google发布了其第一份报告，重点关注政府对用户数据和内容删除的要求。7几年后，随着透明度报告的普及，报告重点转向了对适度性的执行情况。 各行业相关利益方长期要求披露与数字安全相关的指标，尤其是关于平台透明度报告的部分。透明度报告——在监管规定引入之前原本是一项自愿实践——正逐渐成为促进数字安全意识的关键基石。主要平台已相应地发布了各种指标，通常侧重于内部 Moderation 过程的有效性和遵守外部用户数据请求的情况。 这些透明度努力在促进数字环境内的信任和问责制方面发挥着关键作用。许多服务，尤其是最突出的平台，已经主动收集了一系列指标，其中一些指标 1.2 测量数字安全的挑战 尽管采取了这些努力，理解和衡量数字安全成果仍然具有复杂性。如前所述，这归因于多个因素，包括技术进步的动态性质、数字产品和服务的多样性以及有害行为的同时演变。此外，大量数字内容的存在以及某些类型伤害的上下文或主观性质进一步加剧了这一复杂性。背景因素，如文化与语言，无疑非常重要，但它们难以以标准化或可复制的方式捕捉。 可能在危害、置信水平、记录来源和删除原因方面的粒度不同。 在开发和实施用于评估干预措施有效性的指标时，必须随时间进行监控以确保这些指标仍然符合目的。 以下几个限制因素加剧了这些挑战，