Об этом предпринимателям рассказали на презентации исследования «Рейтинг цифровых прав в Центральной Азии». Целью стал не столько анализ положения дел, сколько построение «дорожной карты», которая поможет совершенствоваться и меняться к лучшему компании, работающие в интернете и использующие цифровые технологии.

Руководство и поддержку на протяжении всего процесса исследования обеспечивала Ranking Digital Rights (RDR). С 2013 года RDR является ведущей организацией в области корпоративной ответственности в сфере технологий, изучая и оспаривая статус-кво больших компаний технологического сектора посредством публикации Индекса корпоративной подотчетности RDR, а совсем недавно - Оценочной карты больших технологических компаний 2022 года. На уровне Центральной Азии оценку провели эксперты Общественного Фонда «Гражданская инициатива политики Интернет».

Возможность попасть в мировой рейтинг такого уровня – это одновременно ответственность и престиж. В Кыргызстане первопроходцев выбрали рандомно. Ими стали: телекоммуникационные провайдеры (ООО «Sky Mobile», ООО «Нур Телеком»), платформы электронной коммерции (ООО «YALLA CLASSIFIEDS OÜ») и финансовые технологии (ОАО «Оптима Банк»).

Внимание исследователей было внимание на следующих вопросах:

Доступ к условиям предоставления услуг, процессы исполнения, ограничения учетных записей и контента.

В большинстве оцениваемые компании в КР предоставляют свои политики на кыргызском и русском языках и своевременно информируют пользователей об их изменениях. Хотя есть случаи, когда компании ожидают активности от самих клиентов, для чего нужно мониторить веб-сайт на предмет новостей.

Отключение Интернета и практика нулевого рейтинга (применимо только к телекоммуникационным компаниям).

Все оцениваемые телекоммуникационные компании имеют историю фильтрации сайтов и даже полного отключения интернета, однако ни одна из них не раскрывает в своих стратегиях, как они обрабатывают запросы правительства об отключении интернета или своих услуг.

Доступ к политике конфиденциальности, вывод пользовательской информации, стандарты защиты данных (сбор пользовательских данных, обмен и хранение).

Ни одна из компаний не раскрыла, что происходит с собранными персональными данными в целом (как они обрабатываются, хранятся) и что будет с данными после того, как пользователь закроет свой аккаунт.

Процесс реагирования на требования правительства о раскрытии информации о пользователях.

В большинстве политик есть оговорка, что предоставленные клиентом личные данные являются конфиденциальной   информацией, не подлежащей разглашению третьим лицам, за исключением случаев, прямо предусмотренных законодательством Кыргызской Республики. Из этого следует, что все компании выполняют запросы государственных органов, не обязательно только судебные, и раскрывают информацию о клиентах государственным органам, например, в целях борьбы с мошенничеством и терроризмом.

Для оценки выбранных показателей в исследовании учитывалась любая общедоступная информация на соответствующем сайте каждой компании. Показатели в категории управления - единственные, оцениваемые на уровне группы, то есть владельца и контролирующей компании местного предприятия, например, телекоммуникационный провайдер "Билайн" принадлежит голландской группе VEON, а услуги OLX также принадлежат голландской фирме Prosus.

В целях повышения прозрачности компаний и повышения высоких стандартов соблюдения цифровых прав пользователей эксперты ОФ ГИПИ и Ranking Digital Rights на основе полученных данных и результатов подготовили следующие общие рекомендации для веб-сервисов, с помощью которых компании могут самостоятельно проверить, соответствуют ли они этим рекомендациям и какие аспекты можно изменить или улучшить:

• Опубликовать явное обязательство по соблюдению права человека, в частности право на неприкосновенность частной жизни и свободу выражения мнений и информации.
• Раскрыть состав совета директоров, сотрудников, особенно на исполнительном и управленческом уровнях, и определить их роль в надзоре за тем, как деятельность компаний влияет на права человека.
• Публиковать ежегодный отчет о прозрачности, раскрывающий как минимум количество полученных государственных запросов на получение данных пользователей, количество запросов, которые компания удовлетворила, количество запросов на удаление контента или аккаунтов.
• Раскрывать процедуру рассмотрения запросов пользователей от государственных органов и частных лиц.

• Разрабатывать и публиковать доступные и понятные соглашения о политике в отношении пользователей.
• Опубликовать Политику конфиденциальности и Пользовательское соглашение в таком разделе сайта компании, для того чтобы пользователям было легче их найти.
• Усовершенствовать Политику конфиденциальности и Пользовательское соглашение/условия предоставления услуг, сделав их более понятными.
• Позволять пользователям контролировать использование их данных в целевой рекламе, предоставляя возможность выбора, чтобы не отслеживать их.
• В случае материнской и дочерней компании перенимать передовой опыт материнской компании для укрепления политики на местном уровне, где работают дочерние компании. Иметь политику соответствия (Кодекс корпоративной этики, Антикоррупционная политика, Политика информирования о нарушениях этических норм).
• Иметь горячую линию/колл-центры, которые помогают пользователям в процессе подачи жалоб.
• Вести архив всех предыдущих версий Политики конфиденциальности и Пользовательского соглашения, чтобы легче было отслеживать изменения.
• Подробно раскрывать информацию: о типе и способе сбора данных о пользователях, сроке хранения, процедуре уничтожения пользовательских данных, предоставлять пользователям возможность запросить и получить копию своих персональных данных, а также незамедлительно уведомлять пользователей о факте утечки.
• Публиковать практические материалы, обучающие пользователей защите от рисков кибербезопасности, связанных с продуктами или услугами компании.
• Раскрыть информацию о том, как компания проводит юридическую экспертизу запросов на ограничение доступа к информации.
• В случаях, когда пользователь пытается получить доступ к информации, которая была заблокирована, компания должна предоставить пользователю объяснение причин блокировки.

Эти рекомендации носят практический характер. Они помогут компаниям обеспечить большую безопасность и доверие пользователей, снизить потенциальные репутационные риски, возникающие в результате утечек данных и сомнительной практики конфиденциальности. Необходимо заложить основу для постоянного тщательного изучения политики и практики онлайн-сервисов, активизируя усилия по соблюдению и защите прав человека в цифровом пространстве.

Партнер Юлия Денисенко