Покращити корпоративні політики: як працюють індекси цифрових прав

Фото Unsplash

Марія Кудіна

Ірина Субота

У новій цифровій ері методи збору та зберігання персональних даних зазнали суттєвих змін. Мільйони користувачів діляться своїми даними, особливо не проблематизуючи їхню подальшу долю, тоді ж як сотні компаній та організацій накопичують та управляють даними з огляду на власні бізнесові інтереси. У 2015 році в Сполучених Штатах вперше розробили критерії оцінки дотримання цифрових прав користувачів приватними компаніями. Ініціатива, відома як Індекс цифрових прав (анг. Ranking Digital Rights), стала можливою завдяки зусиллям Фонду «Нова Америка» під керівництвом старшого наукового співробітника Ребекки Макіннон. Це дослідження аналізує способи управління даних користувачів техгігантами та висвітлює вразливі сторони корпоративних політик компаній, пропонуючи конкретні кроки для перегляду цих політик. Ми підготували огляд схожих рейтингів цифрових прав в Україні та світі. 

Ranking Digital Rights (RDR) працює як некомерційна дослідницька ініціатива при Інституті відкритих технологій Фонду «Нова Америка». У листопаді 2015 року, відповідно до розробленої методології, в рамках RDR дослідники вперше оцінили 16 технологічних компаній з усього світу. Оцінки компаній та супровідний аналіз були сформовані за допомогою дослідницьких методів, що включали експертну перевірку, відповіді компаній на запити та контроль якості. Наступний Індекс 2017 року уже містив порівняльний аналіз даних, оскільки фахівці спиралися на висновки попереднього року, включаючи аналіз кількох нових компаній, послуг та показників.

У 2020 році в Індексі цифрових прав (Ranking Digital Rights (RDR)) оцінили роботу вже 26 компаній на предмет дотримання ними цифрових прав користувачів. У дослідженні всі компанії були поділені на дві категорії: цифрові платформи (як-от: Microsoft, Google, Yandex тощо) та телекомунікаційні компанії (Vodafone, Orange, Telenor тощо). Лише 2 компанії, відповідно до результатів дослідження, продемонстрували політики прозорості щодо користувачів вище від середнього – Twitter (53%) та Verizon Media 52%. Найвища або повна прозорість корпоративних політик відповідає шкалі у 100%, тоді ж як повна закритість і непрозорість політик відповідає 0%.

«Нашими життями в онлайні керує дуже маленька група впливових компаній. Ви знаєте, що їхні контент-політики не розкривають усіх деталей, їхні практики зі збору даних різняться від поганих до ще гірших, а їхні алгоритми непередбачувані. Проте раз на рік ми бачимо цифри. І вони знову показують невтішну картину: лише дві компанії набрали оцінку вище 50% в останньому Індексі цифрових прав», — зазначають в Access Now.

Індекс цифрових прав (Ranking Digital Rights (RDR) 2020 року

Методологія дослідження 2020 року передбачала 58 індикаторів (перший звіт 2015 року містив лише 31 показник) та 3 головні категорії оцінки: управління, приватність та свобода вираження поглядів й інформації. Дослідження розділили на 7 етапів:

1. Збір даних. Головна команда дослідників зібрала дані кожної компанії і надала попередню оцінку за всіма індикаторами.
2. Друга перевірка. Друга команда дослідників перевірила оцінку, надану попередньою (головною) групою.
3. Перевірка та узгодження. Команда Індексу проаналізувала результати першого і другого кроку та узгодила всі відмінності.
4. Перша горизонтальна перевірка. Дослідники провели перехресну перевірку індикаторів, щоб впевнитись у їхній послідовній оцінці.
5. Фідбек компанії. Результати відправили компаніям для коментарів та фідбеку. Увесь фідбек надісланий до дедлайну переглянули працівники RDR, які приймали рішення щодо зміни оцінок. 
6. Друга горизонтальна перевірка. Дослідники провели другу перехресну перевірку, щоб впевнитись у послідовній оцінці та контролю.
7. Фінальна оцінка. Команда RDR порахувала остаточні оцінки.

Різниця між результатами 2019 та 2020 років

З 2019 року організація Access Now надсилає персоналізовані листи до компаній з вказівками на вразливі зони й закликом зробити хоча б одне ключове покращення. 

«Деякі з компаній прислухались. Вони зробили важливі кроки, аби показати свою повагу до прав користувачів. Наприклад, Яндекс, російська компанія, яка надає інтернет-послуги, та MTN, телекомунікаційна компанія Північної Африки, вперше зробили звіти прозорості. Apple у США та Kakao у Південній Кореї також зробили щось вперше: Apple оприлюднили політику щодо прав людини, у якій вперше зазначили важливість права на вільне висловлення думки, а Kakao — приватності. Проте загалом компанії все ще бракує прозорості й відповідальності і вони мають величезний вплив на наші права», — написали Access Now про результати відправлення листів 2019 року.

Цього року організація також надіслала індивідуальні листи техгігантам із закликом переглянути політику щодо даних користувачів. 

«Apple варто публікувати дані про заходи, яких компанія вживає для застосування власних правил, включно з інформацією про додатки, видалені з App Store, і посилювати механізми для оскарження таких рішень», — йдеться у рекомендації Access Now для Apple. 

Приклад листа Access Now із рекомендацією для Apple

Компанії мали надати публічні відповіді до 1 червня 2021 року. До зазначеного дедлайну відповіді надали 3 компанії: Verizon Media, Kakao та Vodafone. 

«Ми визнаємо важливість Індексу цифрових прав (Ranking Digital Rights (RDR) у покращенні практик щодо специфічних проблем приватності та свободи вираження у сфері інтернету та телекомунікацій, — написали у відповіді Vodafone. — Ми активно комунікуємо з командою Індексу цифрових прав роками від його заснування». 

Методологію Індексу цифрових прав (Ranking Digital Rights) для оцінки прозорості компаній локальних та регіональних ринків адаптували фахівці інших країн:

• Іран

«Цифрові права & Відповідальність галузі технологій в Ірані», листопад 2020 

В Ірані ініціатива Filterwatch у співпраці з Taraaz проаналізували політики і практики месенджерів, якими мешканці Ірану користуються щоденно: Soroush, Gap, Bale та BisPhone, а також WhatsApp і Telegram.

• Нью-Йорк, США

У Нью-Йорку Digital Equity Lab при університеті The New School дослідила цифрові права мешканців міста. Дослідження «Як жителі Нью-Йорка змушені жертвувати приватністю в онлайні для використання інтернету» було опубліковане в березні 2018 року.

У звіті оцінили діяльність основних провайдерів міста Нью-Йорк, базуючись на рівні конфіденційності, який вони пропонують своїм клієнтам. 

• Кенія і Сенегал

«Цифрові права у Субсахарній Африці: аналіз практик Orange в Сенегалі та Safaricom у Кенії», січень 2018

У дослідженні від організації «Internet without borders» дослідники проаналізували відповідальність провайдерів в умовах незадовільного стану цифрових прав в Африці та дотримання компаніями міжнародних норм і стандартів.

• Країни Близького Сходу

«Залежні, але безправні: прогалина в політиці, що загрожує правам абонентам у арабському світі», січень 2018

Social Media Exchange (SMEX) розповіли про ключові політики 22 мобільних операторів країн арабського світу з фокусом на умовах використання та політику конфіденційності. Крім того, дослідники оцінили відповідність цих підходів щодо права на свободу висловлення.

• Індія

«Рейтинг цифрових прав у Індії», січень 2017

Звіт від Centre for Internet & Society є спробою оцінити практики та політики компаній, що надають інтернет-послуг, у відповідності з дотриманням права на свободу висловлення та приватність на основі аналізу 5 індійських телекомунікаційних компаній та 3 провайдерів.

• Пакистан

«Приватність телекомунікацій & Політика захисту даних у Пакистані», грудень 2016 

Дослідники Digital Rights Foundation спробували знайти відповіді на питання, хто має право доступу до особистих даних пакистанських користувачів мобільного інтернету та чи є загроза з боку державних і недержавних хакерів щодо приватності жителів Пакистану.

• Росія

«Рейтинг прозорості мобільних операторів і дотримання цифрових прав людини», березень 2018

У звіті Роскомсвобода та ОЗИ проаналізували політики 4 операторів мобільного зв'язку щодо розкриття персональних даних користувачів державним органам, їхні практики у забезпеченні прав громадян на свободу інформації й приватність та у дотриманні стандартів захисту цифрових прав користувачів.

«Рейтинг дотримання цифрових прав популярними сервісами Рунета»

У дослідженні Роскомсвободи вже 2021 року оцінено 11 компаній – найпопулярніших веб-сервісів Рунета, серед яких Habr, Yandex, VK та Avito. У 2021 році створили два варіанти звіту: у першому оцінили Habr, Yandex, «ВКонтакте» (VK), «Авіто», «Рамблер», Mail, «Однокласники», OZON, HeadHunter, Wildberries і Сбербанк; у другому — vk.com, odnoklassniki.ru, my.mail.ru, zen.yandex.ru, pikabu.ru, mirtesen.ru, livejournal, habr.ru). Головним завданням став аналіз динаміки та змін політики веб-сервісів, а також реакція на посилення законодавства.

Згідно зі звітом 2021 року, найвищі позиції займають Habr і Yandex. Ці компанії єдині публікують звіти прозорості з усього переліку компаній та оприлюднюють кількість запитів правоохоронців.

Дані для аналізу збирали з офіційних веб-ресурсів компаній (технічні домени третього чи вищого рівня), сайтів материнських компаній/груп компаній, до яких входять сервіси (як Mail.ru Group), офіційних блогів компаній, а також відкритих джерел інформації, враховуючи ЗМІ та медіа-ресурси. 

Питання згрупували за чотирма темами: прозорість, права користувачів, приватність та свобода інформації. За відповідь на кожне питання компанія могла отримати оцінку «1» (так) — чітке дотримання обов'язків щодо дотримання права на свободу інформації/на конфіденційність користувачів, «0,5» (частково) — недостатньо інформації, щоб зробити висновки та «0» (немає) — інформації не виявлено.

Результати компаній «Рейтингу дотримання цифрових прав 2021 популярними сервісами Рунету»

В Україні швидке проникнення цифрових сервісів та послуг в життя громадян стало одним з лейтмотивів державної політики нового уряду. Цифровізація привносить багато можливостей, проте містить і багато ризиків для громадян. Водночас, в Україні постали великі технологічні компанії, що надають послуги для громадян, отримуючи доступ до їхніх персональних даних. Законодавство України загалом не відповідає викликам цифрової епохи. Наразі два комітети ВРУ працюють над розробкою нового законопроєкту про захист персональних даних. 

Проблематика захисту персональних даних в контексті дотримання цифрових прав громадян знаходить усе більше відгуків в громадському секторі України. В лютому 2021 року ГО «Інтерньюз-Україна» за підтримки Європейського Союзу та Міжнародного Фонду «Відродження» першою розпочала працювати над дослідженням в сфері цифрових прав користувачів в контексті роботи приватного сектору — проєкт «Прозоре звітування у сфері телекомунікацій: на захисті приватності українських користувачів». 

Дослідники адаптували методологію дослідження Ranking Digital Rights.

Українські фахівці дослідили політики стосовно збору та використання даних користувачів 20 великих технологічних компаній, зокрема «Розетка», «Київстар», «Нова Пошта», а також проаналізували відповіді цих компаній на письмові запити. Дослідники вивчали політики компаній на предмет:

• дотримання вимог чинного законодавства України про персональні дані;
• дотримання європейських стандартів щодо персональних даних;
• технологічні аспекти роботи сайту;
• зручність користування та інклюзія.

Результати дослідження планують презентувати у вересні 2021 року. 

Практика «прозорого звітування» також за останнє десятиріччя активно поширилася серед техгігантів світового рівня. Зокрема, такі компанії як Google, Facebook, Apple регулярно публікують звіти про управління даними користувачів, в яких, наприклад, відкривають статистику запитів на доступ до персональних даних з боку держави. 

Зі свого боку, громадянське суспільство та експертне середовище активно захищають право на приватність, вивчаючи політики та практики корпорацій в цій сфері, та створюючи рекомендації для того, щоб компанії діяли на засадах прав людини. Наприклад, існує Глобальна мережева ініціатива (Global Network Initiative), яка об'єднує громадянське суспільство та представників телеком-бізнесу з метою захисту права на самовираження та приватність. До цієї ініціативної групи, належать, зокрема найбільші корпорації телеком- та IT-сфери, як-от Orange, Nokia, Google, Microsoft. Серед її членів – і корпорація Vodafone Group, що представлена в Україні. Однак Vodafone у цьому випадку становить, радше, виняток із правил, адже більшість гравців на українському ринку телекомунікацій та IT-послуг не оперують на міжнародному рівні. 

Подібні практики з висвітлення прозорості збору персональних даних як на рівні техкомпаній, так і на рівні незалежних звітів мають на меті забезпечити правомірне використання конфіденційної інформації користувачів. Такі практики вже давно регулярно застосовуються за кордоном, Україна ж наразі тільки актуалізує питання захисту персональних даних громадян.

↓Читайте також

Виклик для українського бізнесу: захистити персональні дані користувачів