راهنمای رعایت حقوق دیجیتال کاربران برای شرکت‌های فناوری

تهیه شده برای شرکت‌های فناوری نوپا، بر اساس شاخص رتبه بندی حقوق دیجیتال Ranking Digital Rights Corporate Accountability Index

سال گذشته با همکاری گروه فیلتربان گزارشی تهیه کردیم در رابطه با حقوق دیجیتال کاربران و مسئولیت شرکت‌های فناوری. تو اون گزارش از شاخص رتبه بندی حقوق دیجیتال Ranking Digital Rights و اصول راهنمای تجارت و حقوق بشر سازمان ملل استفاده کردیم تا عملکرد بعضی از شرکت‌های پیام‌رسان ایرانی و غیر‌ایرانی رو در رابطه با میزان شفافیت و احترام‌شون به حقوق کاربران بررسی کنیم. میتونید گزارش رو تو این صفحه بخونید. ولی جدا از اون گزارش و تمرکزش رو شرکت‌های پیام‌رسان، یه دفترچه‌ی راهنما هم درست کردیم و توصیه‌هایی ارائه دادیم که تقریبا قابل تعمیم به اکثر شرکت‌های نرم‌افزاری ارائه‌ی سرویس و تولید محتوا هم میشه. تو این پست ویرگول تصمیم گرفتیم خلاصه‌ای از کارمون رو بنویسیم.

این مطلب به دو بخش تقسیم شده، بخش اول یه‌سری توصیه‌ی کلی رو در رابطه با حقوق دیجیتال و مسئولیت شرکت‌های فناوری ارائه میده. بخش دوم این پست میگه که چه‌طور این توصیه‌ها رو عملی کنید. برای مثال یه دفترچه‌ی راهنمایی درست کردیم که شامل راهنمای برگزاری ورکشاپ حقوق دیجیتال و سه گوگل شیت مربوط به حریم خصوصی، آزادی بیان و سیاست‌‌‌گذاری‌های شرکت میشه. در آخر هم مثالی از همین پلتفرم ویرگول آورده شده که بهتون میگه چه‌طور این گوگل‌شیت‌ها رو در طول ورکشاپ تکمیل کنید.

? توصیه‌هایی برای شرکت‌های فناوری

شفافیت در سیاست‌های حفظ حریم خصوصی

• سیاست‌های حفظ حریم خصوصی باید به زبانی ساده و غیرتخصصی نوشته شوند. این سیاست‌ها باید روی وب‌سایت‌ شرکت‌ها و فروشگاه‌های اپلیکیشن به‌راحتی در دسترس باشند.
• هر موقع شرکت‌ها سیاست‌های حفظ حریم خصوصی خود را به‌روزرسانی می‌‌کنند، می‌بایست با فرستادن پیام، ایمیل یا notification کاربران را از این تغییرات مطلع ساخته و آرشیو تغییرات را روی وبسایت خود نگه دارند.
• شرکت‌ها باید به صورت علنی اعلام کنند که چه نوع داده‌هایی جمع‌آوری‌ می‌شود، به چه دلیل جمع‌آوری می‌شوند، به چه صورت ذخیره می‌شوند، و برای چه مدتی نگه داشته می‌شوند.
• شرکت‌ها باید در بخش سیاست‌های حفظ حریم خصوصی و داده‌ها، درباره روش‌های به اشتراک‌گذاری داده با شرکت‌های تبلیغاتی و کارگزاران داده، چگونگی استفاده از کوکی‌ها و همینطور سیاست‌های عرضه‌ی APIهای خود، شفافیت داشته باشند.

طراحی بر مبنای حفظ حریم خصوصی و امنیت دیجیتال کاربران

• شرکت‌ها، برای سرویس‌هایی که نیازمند ساخت حساب کاربری هستند، می‌بایست از کاربران بخواهند تا رمز عبور قوی و مطمئن انتخاب کنند. اگر شرکتی به اطلاعات حساس افراد مانند نام، شماره تلفن، نشانی و غیره دسترسی دارد، باید حتماً گزینه‌ی تصدیق حساب چند مرحله‌ای (Multi-factor Authentication) را برای کاربران خود فراهم کند.
• شرکت‌ها می‌بایست جمع‌آوری اطلاعات کاربران خود را به میزانی که فقط برای ارائه‌ی صحیح سرویس ضروری است محدود کنند. بسته به نوع سرویس، جمع‌آوری، پردازش، و ذخیره‌ی اطلاعات حساس کاربران باید از روش‌های مخفی نگه داشتن هویت، مانند مستعارسازی (pseudonymization)، ناشناس سازی (anonymization) و غیره استفاده شود. اصول privacy by design را مطالعه و پیاده‌سازی کنید.
• شرکت‌ها می‌بایست برای رمزنگاری داده‌ها از الگوریتم‌های قوی و مورد تایید پژوهشگران حریم خصوصی استفاده کنند تا اطلاعات کاربران را در زمان انتقال و همینطور تا زمانی که این داده‌ها ذخیره می‌شوند، حفاظت کنند. رمزنگاری قوی باید به صورت پیش‌فرض (by default) تعبیه شود. در جایی که این امکان وجود داشته باشد، از جمله اپلیکیشن‌های پیام‌رسان و سرویس‌های VoIP، باید رمزگذاری سرتاسری (End to End Encryption) پیاده‌سازی شود. گزارش‌های فنی که شامل توضیحات درباره الگوریتم‌های رمزنگاری هستند، باید به صورت علنی روی صفحات آنلاین رسمی هر شرکت -- برای مثال صفحه‌ی گیتهاب، در دسترس عموم و بالاخص پژوهشگران حریم خصوصی و امنیت سایبری قرار بگیرند.
• شرکت‌ها می‌بایست یک تیم داخلی مخصوص امنیت سایبری داشته باشند - که بتوانند شیوه‌های مرسوم امنیت سایبری مانند تشکیل تیم قرمز و آبی (red and blue teaming) یا مدل‌سازی تهدیدهای سایبری (threat modeling) را برای سرویس‌های شرکت پیاده‌سازی کنند - این تیم‌ها باید پیش از عرضه یک محصول، ‌تست‌های مختلف امنیت سایبری را روی آن محصول اجرا کنند. علاوه بر این، شرکت‌ها باید پذیرای دریافت گزارش بررسی از محققان امنیت و حریم خصوصی نیز باشند؛ این محققان سعی می‌کنند نقاط ضعف و باگ‌های امنیتی را پیدا ‌کنند، روشی متداول که باگ باونتی (bug bounty) نامیده می‌شود. علاوه بر این، هنگام طراحی و کدنویسی یک نرم افزار، شرکت‌ها باید بهترین روش‌های امنیتی را، از جمله پرهیز استفاده از کتابخانه‌های ناامن، بکار گیرند. برای دریافت اطلاعات بیشتر در زمینه روش‌های حفظ امنیت و حریم خصوصی در طراحی و کدنویسی برای خدمات خود به منابعی چون the Digital Standards و OWASP Security Testing Guide رجوع کنید.
• طراحان UX/UI، هنگام طراحی یک اپلیکیشن باید دسترسی به تنظیمات مربوط به حریم خصوصی و امنیت را تا حدی ساده طراحی کنند که افراد با سطوح مختلف سواد دیجیتالی و همینطور افراد با توانایی‌های متفاوت جسمانی و بینایی نیز بتوانند این تنظیمات را متوجه شده و از آنها استفاده کنند. پیشنهاد میدهیم از این چک‌لیست استفاده کنید.
• روش‌های طراحی به کار گرفته شده به منظور حفظ حریم خصوصی و امنیت، مانند گزارش‌ها و جزییات فنی، کدهای متن-باز و غیره باید روی وبسایت (وبلاگ رسمی، شبکه‌های چندرسانه‌ای و پلتفرم‌های میزبانی نرم‌افزار مانند GitHub و صفحات کدنویسان و سوالات متداول)، برای عموم در دسترس باشد.

شفافیت در شرایط و ضوابط استفاده از خدمات و چگونگی اعمال این ضوابط

• با ایجاد ضوابطی شفاف و قابل دسترس عموم-- تحت عنوان شرایط و ضوابط استفاده از خدمات--، شرکت‌ها باید نوع محتوا و فعالیت‌های مجاز و غیرمجاز بر روی سرویس خود را اعلام کنند.
• شرکت‌ها باید به صورت شفاف اعلام کنند که چطور شروط لازم برای کاربری و ضوابط استفاده از خدمات را اعمال می‌کنند. باید اعلام کنند که از چه شیوه‌های خودکار یا غیرخودکاری برای نظارت و کنترل فعالیت‌ها و محتوای منتشر شده استفاده می‌کنند، و اگر این ضوابط زیر پا گذاشته شوند، با آن کاربر یا محتوای منتشر شده چه برخوردی می‌کنند.
• در صورت زیر پا گذاشتن ضوابط، اگر شرکتی بخواهد محتوای منتشر شده را حذف کند یا دسترسی آن کاربر را به خدمات شرکت محدود کند، باید پیش از این اقدام کاربر را مطلع سازد و به صورت شفاف دلیل این کار را توضیح دهند.
• شرکت‌ها می‌بایست ضوابط استفاده از API و بات‌های اینترنتی خود را به صورت شفاف برای توسعه‌دهندگان و برنامه‌نویسان مشخص کنند. همچنین باید اطلاعاتی درباره روش‌های مبتنی بر اصول امنیت سایبری خود برای جلوگیری از سوء استفاده از APIها، در نظر بگیرند.

گزارش شفافیت

• شرکت‌ها می‌بایست بر روی وبسایت خود سامانه شفافیت داشته باشند.
• در سامانه شفافیت، شرکت‌ها می‌بایست گزارش‌های خود را به صورت متناوب (هر شش ماه یا هر یک سال یک‌بار) منتشر کرده و با اعلام علنی موارد زیر، درباره عملکرد خود شفاف‌سازی کنند:

▫️ تعداد پست‌ها، اکانت و یا صفحات کاربری که حذف شده‌اند، چه به صورت خودکار و چه به صورت غیرخودکار.

▫️ تعداد درخواست‌های دریافت شده از نهادهای دولتی و مقامات قضایی برای حذف محتوا یا اکانت و صفحات کاربری و درخواست دسترسی به اطلاعات آنها، افزون بر اینکه چه تعداد از این درخواست‌ها پذیرفته شده و چه تعداد رد شده است.

▫️ تعداد درخواست‌های دریافت شده از نهادهای غیردولتی (طرفین ثالث، شرکت‌های دیگر، کاربران و غیره) برای حذف محتوای سایر کاربران و درخواست دسترسی به اطلاعات آنها، افزون بر اینکه چه تعداد از این درخواست‌ها پذیرفته و چه تعداد رد شده است.

▫️ طبقه‌بندی محتوا، صفحات و حساب‌های کاربری، و بات‌های حذف شده بر اساس نوع تخطی در ضوابط استفاده از خدمات (برای مثال: مطالب مربوط به سوءاستفاده و آسیب جنسی به کودکان، زیر پا گذاشتن قانون کپی‌رایت، پورنوگرافی، اقدام تروریستی، و غیره)

▫️ شرکت‌ها باید سامانه‌‌ی مخصوصی برای درخواست‌های نهادهای دولتی، مقامات قضایی و انتظامی برای دسترسی به اطلاعات کاربران و یا حذف محتوا، داشته باشند. شرکت‌ها در این سامانه، می‌بایست خط قرمزهای خود و روند رسمی مرحله به مرحله‌ی خود را برای دریافت چنین درخواست‌هایی از مقامات و چگونگی بررسی آنها ارائه دهند. همچنین باید نمونه‌های فرضی از درخواست موجه و غیرموجه را نیز در این سامانه اضافه کنند.

برای جزییات بیشتر می‌توانید «قواعد سانتا کلارا درباره شفافیت و پاسخگویی» را مطالعه کنید و نمونه‌های مختلف گزارش‌های شفافیت را در این وبسایت مرور کنید.

• در مصور‌سازی اطلاعات مربوط به گزارش شفافیت می‌بایست از استفاده از عبارات دوپهلو و روش‌های مصور‌سازی گمراه کننده اجتناب شود.

روند دریافت و بررسی درخواست‌های تجدیدنظر و کانال‌های دریافت نظر و پیشنهاد

• شرکت‌ها می‌بایست روندی ساده و قابل فهم برای درخواست‌های تجدیدنظر فراهم کنند. کاربری که محتوا یا صفحه او محدود یا مسدود شده است، باید به راهی دسترسی داشته باشد که بتواند درخواست تجدیدنظر کند و یا توضیحات واضح شرکت در مورد این تصمیم را جویا شود.
• شرکت‌ها می‌بایست آدرس ایمیل، شماره تلفن برای خدمات مشترکین، شبکه‌های رسانه‌ اجتماعی، فرم‌های آنلاین و پرسشنامه داشته باشند تا بین خود، کاربران و هر گروه دیگری که در عملکرد این شرکت سهیم است، امکان ارتباط و دریافت نظرها و پیشنهادها را فراهم کنند.

شفافیت در مالکیت و ساختار حکمرانی شرکت

• شرکت‌ها می‌بایست روی وبسایت خود، بخش «درباره ما» داشته باشند. در این صفحه باید با شفافیت درباره اینکه این شرکت متعلق به چه سازمان یا شخصی است و اینکه آیا از سوی یک شرکت مادر اداره می‌شود توضیح دهند. همچنین اعلام کنند که اسم شرکت مادر چیست، آیا وابسته به نهادی دولتی یا حکومتی است یا خیر.
• در صورت وقوع هرگونه نشت اطلاعاتی‌‌، شرکت‌ها موظف هستند تا عموم را از طریق نشر اطلاعیه‌ی عمومی و فرستادن ایمیل به کاربران، از ابعاد و نحوه‌ی ایجاد این نشت مطلع سازند. علاوه بر این، تمام این اطلاعات را باید در گزارش شفافیت خود که به صورت متناوب منتشر می‌شود، درج کنند.
• شرکت‌ها می‌بایست از «اصول راهنمای تجارت و حقوق بشر سازمان ملل» جهت ارزیابی اثرات حقوق بشری — که به سبب ارائه خدمات و فعالیت‌های شرکت در آن دخیلند— استفاده کنند. آنها باید به صورت علنی اعلام کنند که از طریق عضویت در طرح‌های چند-ذینفعی با جامعه مدنی — بالاخص با نهادهایی که با گروه‌های آسیب‌پذیر جامعه مانند کودکان، اقلیت‌های قومی، جنسی و جنسیتی، مذهبی و پناهجویان کار می‌کنند— مشاوره می‌گیرند.
• برای حصول اطمینان از این موضوع که کارکنان یک شرکت با مسائل مربوط به حقوق دیجیتال آشنایی دارند، آن شرکت می‌بایست برای کارکنان خود (از مدیران عالی‌رتبه گرفته تا کارشناسان فنی، و گروه‌های حقوقی، فروش، منابع انسانی) مطالب و ورکشاپ‌های آموزشی فراهم کند تا کارکنان بدانند چطور باید از آسیب‌های احتمالی به حقوق کاربران در فعالیت‌های مرتبط با حرفه‌ی خود جلوگیری کرده یا آن‌ها را محدود کنند.
• شرکت‌ها باید در روند قانونگذاری کشور، در جایی که مرتبط با حوزه‌ی تکنولوژی است، با کمیسیون‌های مجلس و نهاد‌های دولتی گفتگو داشته باشند، نگرانی‌های خود را اعلام کنند و از حقوق دیجیتال کاربران خود پشتیبانی کنند. اتحادهای میان-شرکتی، نوشتن نامه‌های سرگشاده به مسئولان، گفتگو با رسانه‌ها و مطبوعات از جمله راهکارهایی است که به تحقق این امر کمک می‌کند.

? دفترچه‌ی راهنمای رعایت حقوق کاربران

این دفترچه راهنما برای چه کسانی تهیه شده است؟

مخاطب این دفترچه شرکت‌های فناوری نوپا در ایران میباشد که میخواهند ارزش‌های حقوق دیجیتال را از همان قدمهای اول در تمامی فعالیتهای مربوط به طراحی و توسعه‌ی محصولشان اجرا کنند.

چطور میتوانید از این دفترچه‌ی راهنما استفاده کنید؟

ما پیشنهاد میکنیم که ورکشاپ‌های یک روزه یا دو روزه‌ای ترتیب دهید تا زیرمولفه‌ یا سنجه‌های مختلف این دفترچه راهنما را با دقت مرور کنید.

مقدمات ورکشاپ

یکی از اعضای تیم مدیریتی/اجرایی باید برای ترتیب دادن یک ورکشاپ پیش‌قدم شود. این شخص، پیش از هر چیز، باید این گزارش و دیگر منابع از جمله اصول راهنمای تجارت و حقوق بشر سازمان ملل را مطالعه کند، سپس این منابع را بین اعضای تیم پخش کند. فرد متصدی می‌بایست اعضای بخش‌هایی که در زیر فهرست شده‌اند را برای شرکت در این ورکشاپ دعوت کند:

وسایل مورد نیاز ورکشاپ

فعالیت‌های ورکشاپ

فرد متصدی، ورکشاپ را با ارائه یک پرزنتیشن کوتاه درباره اصول راهنمای تجارت و حقوق بشر سازمان ملل و شاخص رتبه‌بندی مسئولیت شرکت‌ها در قبال حقوق دیجیتال - RDR آغاز خواهد کرد. پس از آن به اهداف و دلایل برگزاری ورکشاپ می‌پردازد. شخص برگزار کننده همچنین میبایست فعالیت‌های ورکشاپ را توضیح داده و یک نفر را برای یادداشت‌برداری و یک داوطلب را برای جمع‌آوری یادداشتها و کمک در بهتر برگزار شدن گفتگو، برگزیند.

جدول مولفه‌ها

به دفترچه راهنمای اکسل‌ یا گوگل‌شیت مراجعه کنید و فایلهای اکسل حریم خصوصی، آزادی بیان و سیاست‌گذاری‌های شرکت را دانلود کنید یا کپی کنید.

• فایل مربوط به مولفه‌های حریم خصوصی
• فایل مربوط به مولفه‌های آزادی بیان
• فایل مربوط به مولفه‌های حکمرانی شرکت

گفتگوی گروهی

فرد برگزار‌کننده‌ ورکشاپ، هر یک از مولفه‌ها در دفترچه راهنما را میخواند و گروه،گفتگو را با پاسخ دادن به این سوالات آغاز میکند:

مثالی از «ویرگول»

این کلیپ کوتاه بهتون میگه که گوگل‌شیت‌ها رو چه‌طور تکمیل کنید. ما از مثال سیاست‌های حریم خصوصی ویرگول -- که اینجا قابل دسترسه https://virgool.io/privacy -- استفاده کردیم.

• لینک ویدیو YouTube
• لینک مربوط به مولفه‌های حریم خصوصی
• لینک مربوط به مولفه‌های آزادی بیان
• لینک مربوط به مولفه‌های حکمرانی شرکت

اینم یه gif اگر حوصله‌ی ویدیو دیدن رو ندارید:

مسئولیت انتشار این مطلب روی پلتفرم «ویرگول» بر عهده‌ی موسسه‌ی تراز می‌باشد. برای تماس با ما و یا اطلاع بیشتر از فعالیت‌های ما به وبسایت‌ https://taraazresearch.org/ مراجعه کنید.