1. Транспарентность

В данном разделе анализируются заявления компаний в отношении приватности, выраженные в форме пресс-релизов, публикаций на собственном сайте, трансляции сформированной и озвученной позиции через профильные ассоциации или союзы, членами (либо учредителями) которых являются компании, а также публичного комментирования позиции, занимаемой компанией и ее ключевыми сотрудниками, по запросам СМИ. При учете этой оценки принималась во внимание любая корпоративная активность по анонсированию отношения компаний к текущим законопроектам и законам, которые прямо влияют на цифровые права человека, участие в ассоциациях, чей фокус направлен в том числе на соблюдение прав и свобод пользователей, а также размещение общедоступной информации о политиках компаний по соблюдению и обеспечению указанных прав.

2. Права потребителя

В данном разделе в отношении каждого сервиса анализируется, насколько легко найти Правила оказания услуг, насколько понятно для простого пользователя они написаны, как подробно описаны процедуры внесения изменений в такие документы и извещение об этом пользователей.

3. Приватность

В данном разделе анализируются публичные документы компаний касательно объема собираемых персональных данных пользователей, их использования, порядка хранения и удаления. Вопросы в этой категории оценивают, демонстрируют ли политики, обязательства и практики компаний их приверженность уважению права на неприкосновенность частной жизни пользователей, а также защите их цифровой безопасности, как это предусмотрено Всеобщей декларацией прав человека и другими международными документами по правам человека.

4. Свобода информации

В данном разделе нами анализируется открытость компаний в публикации сведений о причинах ограничения доступа к некоторым сайтам и страницам, о количестве запросов об ограничении доступа, порядке принятия решений об ограничении доступа к веб- ресурсам.

5. Корпоративно-социальная ответственность

В данном разделе оценивается участие веб-ресурсов на добровольной основе в развитии общества, социальной экологической и экономической сфере.

6. Массовые утечки данных

В данном разделе будут изучены крупные утечки данных пользователей за календарный год, проанализированы их последствия, а также результаты, которых компании достигли в процессе устранения таких утечек.

Для получения выводов были детально исследованы Правила оказания услуг (Пользовательское соглашение (далее – «Правила»)), Политика конфиденциальности (далее – «Политика»), общедоступные документы указанных сервисов и иные общедоступные источники информации. Также некоторые вопросы в блоках Права потребителей и приватность были проработаны на практике.

В процессе изучения документов мы обращали внимание, прежде всего, на публичные обязательства компаний, связанные с правом пользователей на поиск, получение и распространение информации и с правом приватность.

Примечание

На протяжении всего отчета мы используем термин «пользователи» для обозначения всех потенциальных и текущих пользователей на рынке, потому что считаем, что позиция компаний по соблюдению фундаментальных прав человека должна быть доступна до выбора сервиса тех или иных услуг.

Наше исследование основывается исключительно на общедоступных документах, инструментах, ресурсах, к которым может обратиться любой пользователь, через официальные интернет-ресурсы компаний.

Исследовательский процесс состоял из следующих этапов:

1. Проведение первым экспертом инвентаризации публично доступных документов каждого из сервисов;
2. Выставление оценки по каждому индикатору первым экспертом;
3. Валидация полученных результатов вторым и третьим экспертами;
4. Запрос дополнительной информации от самих компаний;
5. «Горизонтальная проверка»: сравнение результатов компаний между собой с целью соблюдения единого и объективного подхода.

По итогам ответа на каждый вопрос компании присваивался один из результатов:

• «1» (да) – обнаруженная информация позволяет сделать вывод, что компания достаточно четко демонстрирует принятие обязательств в части соблюдения прав на свободу информации/ на конфиденциальность пользователей;
• «0,5» (частично) – обнаруженной информации недостаточно, что позволяет сделать вывод, что компания не полностью раскрывает процесс и порядок соблюдения прав пользователей;
• ● «0» (нет) – информация не обнаружена, что позволяет сделать вывод, что никаких доказательств, подтверждающих принятие обязательств компании в части соблюдения прав человека не найдено.

ВНИМАНИЕ! За блок «Массовые утечки данных» предусмотрен отрицательный коэффициент:

• «-1» – обнаружен факт утечки и/или бездействие компании;
• «0» – информация по факту утечки или позиция компания на открытых ресурсах не найдены;
• «+1» – отсутствие утечек и публикация информации на ресурсах компании о порядке действий в случае утечки данных пользователей.

Решение об отрицательном коэффициенте в блоке “Массовые утечки данных” было принято по причине того, что подобные утечки являются самым крупным нарушением права на приватность пользователей сервиса и имеют серьезные последствие в длящейся перспективе.

ВАЖНО! За взаимодействие компании с нашей командой по результату исследования и содействие в поиске дополнительной информации предусматривается дополнительный балл к общему результату исследования «+1» и «-1» за наличие или отсутствие такого взаимодействия соответственно.

После определения результата по каждому из вопросов каждого индикатора был произведен общий скоринг.

В целях исследования приемлемым уровнем транспарентности и соблюдения стандартов по защите цифровых прав пользователей было принято значение, превышающее 50% от всех индикаторов.

Исследуемые вопросы:

А. Транспарентность

• А1. Приверженность компании к соблюдению прав человека на приватность и свободу информации (в своих документах, на сайте, в публичных выступлениях)?
• А2. Имеется ли понятная и доступная политика рассмотрения жалоб?
• А3. Публикуются ли на постоянной основе отчеты транспарентности?
• А4. Раскрывает ли компания процедуру ответов на запросы государственных органов о предоставлении информации о пользователе?
• А5. Оспаривает ли компания неправомерные запросы государственных органов?
• А6. Раскрывает ли компания данные о количестве запросов, которые она получила касательно предоставления информации о пользователе или доступа к сообщениям пользователей в режиме реального времени?
• А7. Раскрывает ли компания информацию о количестве запросов о предоставлении информации о пользователях, которые она удовлетворила с разбивкой по категориям запрашиваемых данных?
• А8. Указывает ли компания информацию, о каких видах запросов государственных органов она не может распространяться публично?
• А9.Указывает ли компания, что она уведомляет пользователей, в отношении которых она получила запросы государственных органов?

Б. Права потребителя

• Б1. Достаточно ли легко найти Правила оказания услуг (Пользовательское соглашение)?
• Б2. Изложены ли представленные компанией Правила пользования сервисом (Пользовательское соглашение) в понятной форме?
• Б3. Работает ли у сервиса служба поддержки 24/7 и насколько быстро/качественно отвечают?

В. Приватность

• В1. Достаточно ли легко найти Политику конфиденциальности компании?
• В2. Изложена ли Политика конфиденциальности в доступной для пользователей манере?
• В3. Ведет ли компания публичный реестр изменений в Политику конфиденциальности?
• В4. Есть или возможность пользоваться сервисом анонимно?
• В5. Раскрывает ли компания какую информацию она собирает о пользователе?
• В6. Для каждого типа информации о пользователе указывает ли компания как именно она собирает такую информацию?
• В7. Указывает ли сервис срок, в течение которого он будет хранить информацию о пользователе?
• В8. Раскрывает ли компания, что она удаляет информацию о пользователе после прекращения договора?
• В9. Раскрывает ли компания, что она предоставляет пользователям возможность контролировать, как используются их персональных данные для таргетированной рекламы?
• В10. Может ли пользователь запросить и получить полный архив своих данных, хранящийся на ресурсе (персональные данные, контент, переписка и т.д.)?
• В11. Сообщает ли компания , что у нее есть системы для ограничения и контроля доступа сотрудников к пользовательской информации?
• В12. Сообщает ли компания , что она незамедлительно уведомит соответствующие органы в случае утечки данных?
• В13. Публикует ли компания практические материалы, обучающие пользователей тому, как защитить себя от рисков кибербезопасности, связанных с их продуктами или услугами?

Г. Свобода информации

• Г1. Публикует ли компания сведения о количестве требований об ограничении доступа к информации со стороны государственных органов?
• Г2. Публикует ли компания сведения о количестве требований об ограничении доступа к информации со стороны частных лиц, в том числе о количестве полученных и удовлетворенных требований?
• Г3. Раскрывает ли компания в достаточно четкой форме, что она осуществляет юридическую проверку требований об ограничении доступа к информации от государственных органов перед их исполнением?
• Г4. Раскрывает ли компания в достаточно четкой форме, что она осуществляет юридическую проверку требований об ограничении доступа к информации от частных лиц перед их исполнением?
• Г5. Уведомляет ли компания своих пользователей о факте блокировки при попытке доступа к заблокированной информации?
• Г6. В своих уведомлениях о блокировке указывает ли компания в достаточно ясной форме причину ограничения доступа к контенту (в соответствии с законом либо на иных основаниях)?

Д. Корпоративно-социальная ответственность

• Д1. Раскрывает ли компания Принципы устойчивого развития?
• Д2. Имеется ли Политика комплаенс (кодекс корпоративной этики, антикоррупционная политика, Политика сообщений о нарушениях этических стандартов)?
• Д3. Имеется ли Горячая линия (этика, комплаенс, антикоррупционные меры)?

Е. Массовые утечки данных

• Е1. Происходили ли у компании крупные утечки данных за календарный год?
• Е2. Принимали ли компания достаточные усилия, чтобы как можно быстрее уведомить пользователей о произошедшие утечки?
• Е3. Принимали ли компания какие-либо меры по возмещение убытков и заглаживанию вины, связанной с утечкой?