Как бизнес соблюдает «цифровые» права человека

Соблюдение «цифровых» прав человека бизнесом, об этом представителям частных компаний и практикующим юристам рассказали на экспертной встрече, посвященной презентации исследования «Рейтинг цифровых прав в Центральной Азии» 2 мая.

Исследование проводилось во второй половине 2022 года и посвящено оценке текущего состояния соблюдения частными компаниями «цифровых» прав человека. Были исследованы документы из открытых источников наиболее популярных и крупных представителей бизнеса из таких сфер, как телекоммуникации (ТМ Билайн, ТМ UCELL), финтех (приложение Apelsin, на сегодняшний день переименовано в UZUM) и электронная коммерция (OLX.UZ). При этом отмечается, что данное исследование носит региональный характер, и изучались документы компаний из указанных выше сфер в 4 странах: Казахстан, Кыргызстан, Таджикистан и Узбекистан.

Руководство и поддержку на протяжении всего процесса исследования обеспечивала независимая исследовательская программа “Ranking Digital Rights» (RDR). С 2013 года RDR является ведущей организацией в области корпоративной ответственности в области соблюдения прав человека в сфере технологий.

Внимание исследователей было на следующих вопросах:

Доступ к условиям предоставления услуг, процессы исполнения, ограничения учетных записей и контента

В большинстве оцениваемые компании в Узбекистане предоставляют свои политики на узбекском и русском языках и своевременно информируют пользователей об их изменениях.

Отключение Интернета и практика нулевого рейтинга (применимо только к телекоммуникационным компаниям)

Изученные телекоммуникационные компании в Узбекистане имеют историю фильтрации сайтов и даже полного отключения интернета, однако ни одна из них не раскрывает в своих стратегиях, как они обрабатывают запросы правительства об отключении интернета или своих услуг.

Доступ к политике конфиденциальности, вывод пользовательской информации, стандарты защиты данных (сбор пользовательских данных, обмен и хранение)

Ни одна из компаний не раскрыла, что происходит с собранными персональными данными в целом (как они обрабатываются, хранятся) и что будет с данными после того, как пользователь закроет свой аккаунт.

Процесс реагирования на требования правительства о раскрытии информации о пользователях

В большинстве политик есть оговорка, что предоставленные клиентом личные данные являются конфиденциальной информацией, не подлежащей разглашению третьим лицам, за исключением случаев, прямо предусмотренных законодательством Кыргызской Республики. Из этого следует, что все компании выполняют запросы государственных органов, не обязательно только судебные, и раскрывают информацию о клиентах государственным органам, например, в целях борьбы с мошенничеством и терроризмом.

Для оценки выбранных показателей в исследовании учитывалась любая общедоступная информация на соответствующем сайте каждой компании.

В целях повышения прозрачности компаний и повышения высоких стандартов соблюдения цифровых прав пользователей исследователи на основе полученных данных и результатов подготовили следующие общие рекомендации для веб-сервисов, с помощью которых компании могут самостоятельно проверить, соответствуют ли они этим рекомендациям и какие аспекты можно изменить или улучшить:

• Опубликовать явное обязательство по соблюдению прав человека, в частности право на неприкосновенность частной жизни и свободу выражения мнений и информации.
• Раскрыть состав совета директоров, сотрудников, особенно на исполнительном и управленческом уровнях, и определить их роль в надзоре за тем, как деятельность компаний влияет на права человека.
• Публиковать ежегодный отчет о прозрачности, раскрывающий как минимум количество полученных государственных запросов на получение данных пользователей, количество запросов, которые компания удовлетворила, количество запросов на удаление контента или аккаунтов.
• Раскрывать процедуру рассмотрения запросов пользователей от государственных органов и частных лиц.
• Разрабатывать и публиковать доступные и понятные соглашения о политике в отношении пользователей.
• Опубликовать Политику конфиденциальности и Пользовательское соглашение в таком разделе сайта компании, для того чтобы пользователям было легче их найти.
• Усовершенствовать Политику конфиденциальности и Пользовательское соглашение/условия предоставления услуг, сделав их более понятными.
• Позволять пользователям контролировать использование их данных в целевой рекламе, предоставляя возможность выбора, чтобы не отслеживать их.
• В случае материнской и дочерней компании перенимать передовой опыт материнской компании для укрепления политики на местном уровне, где работают дочерние компании. Иметь политику соответствия (Кодекс корпоративной этики, Антикоррупционная политика, Политика информирования о нарушениях этических норм).
• Иметь горячую линию/колл-центры, которые помогают пользователям в процессе подачи жалоб.
• Вести архив всех предыдущих версий Политики конфиденциальности и Пользовательского соглашения, чтобы легче было отслеживать изменения.
• Подробно раскрывать информацию: о типе и способе сбора данных о пользователях, сроке хранения, процедуре уничтожения пользовательских данных, предоставлять пользователям возможность запросить и получить копию своих персональных данных, а также незамедлительно уведомлять пользователей о факте утечки.
• Публиковать практические материалы, обучающие пользователей защите от рисков кибербезопасности, связанных с продуктами или услугами компании.
• Раскрыть информацию о том, как компания проводит юридическую экспертизу запросов на ограничение доступа к информации.
• В случаях, когда пользователь пытается получить доступ к информации, которая была заблокирована, компания должна предоставить пользователю объяснение причин блокировки.

Эти рекомендации носят практический характер. Они помогут компаниям обеспечить большую открытость, прозрачность, безопасность и доверие пользователей, снизить потенциальные репутационные риски, возникающие в результате утечек данных и сомнительной практики конфиденциальности. Необходимо заложить основу для постоянного тщательного изучения политики и практики онлайн-сервисов, активизируя усилия по соблюдению и защите прав человека в цифровом пространстве.