سال گذشته با همکاری گروه فیلتربان گزارشی تهیه کردیم در رابطه با حقوق دیجیتال کاربران و مسئولیت شرکتهای فناوری. تو اون گزارش از شاخص رتبه بندی حقوق دیجیتال Ranking Digital Rights و اصول راهنمای تجارت و حقوق بشر سازمان ملل استفاده کردیم تا عملکرد بعضی از شرکتهای پیامرسان ایرانی و غیرایرانی رو در رابطه با میزان شفافیت و احترامشون به حقوق کاربران بررسی کنیم. میتونید گزارش رو تو این صفحه بخونید. ولی جدا از اون گزارش و تمرکزش رو شرکتهای پیامرسان، یه دفترچهی راهنما هم درست کردیم و توصیههایی ارائه دادیم که تقریبا قابل تعمیم به اکثر شرکتهای نرمافزاری ارائهی سرویس و تولید محتوا هم میشه. تو این پست ویرگول تصمیم گرفتیم خلاصهای از کارمون رو بنویسیم.
این مطلب به دو بخش تقسیم شده، بخش اول یهسری توصیهی کلی رو در رابطه با حقوق دیجیتال و مسئولیت شرکتهای فناوری ارائه میده. بخش دوم این پست میگه که چهطور این توصیهها رو عملی کنید. برای مثال یه دفترچهی راهنمایی درست کردیم که شامل راهنمای برگزاری ورکشاپ حقوق دیجیتال و سه گوگل شیت مربوط به حریم خصوصی، آزادی بیان و سیاستگذاریهای شرکت میشه. در آخر هم مثالی از همین پلتفرم ویرگول آورده شده که بهتون میگه چهطور این گوگلشیتها رو در طول ورکشاپ تکمیل کنید.
? توصیههایی برای شرکتهای فناوری
شفافیت در سیاستهای حفظ حریم خصوصی
سیاستهای حفظ حریم خصوصی باید به زبانی ساده و غیرتخصصی نوشته شوند. این سیاستها باید روی وبسایت شرکتها و فروشگاههای اپلیکیشن بهراحتی در دسترس باشند.
هر موقع شرکتها سیاستهای حفظ حریم خصوصی خود را بهروزرسانی میکنند، میبایست با فرستادن پیام، ایمیل یا notification کاربران را از این تغییرات مطلع ساخته و آرشیو تغییرات را روی وبسایت خود نگه دارند.
شرکتها باید به صورت علنی اعلام کنند که چه نوع دادههایی جمعآوری میشود، به چه دلیل جمعآوری میشوند، به چه صورت ذخیره میشوند، و برای چه مدتی نگه داشته میشوند.
شرکتها باید در بخش سیاستهای حفظ حریم خصوصی و دادهها، درباره روشهای به اشتراکگذاری داده با شرکتهای تبلیغاتی و کارگزاران داده، چگونگی استفاده از کوکیها و همینطور سیاستهای عرضهی APIهای خود، شفافیت داشته باشند.
طراحی بر مبنای حفظ حریم خصوصی و امنیت دیجیتال کاربران
شرکتها، برای سرویسهایی که نیازمند ساخت حساب کاربری هستند، میبایست از کاربران بخواهند تا رمز عبور قوی و مطمئن انتخاب کنند. اگر شرکتی به اطلاعات حساس افراد مانند نام، شماره تلفن، نشانی و غیره دسترسی دارد، باید حتماً گزینهی تصدیق حساب چند مرحلهای (Multi-factor Authentication) را برای کاربران خود فراهم کند.
شرکتها میبایست جمعآوری اطلاعات کاربران خود را به میزانی که فقط برای ارائهی صحیح سرویس ضروری است محدود کنند. بسته به نوع سرویس، جمعآوری، پردازش، و ذخیرهی اطلاعات حساس کاربران باید از روشهای مخفی نگه داشتن هویت، مانند مستعارسازی (pseudonymization)، ناشناس سازی (anonymization) و غیره استفاده شود. اصول privacy by design را مطالعه و پیادهسازی کنید.
شرکتها میبایست برای رمزنگاری دادهها از الگوریتمهای قوی و مورد تایید پژوهشگران حریم خصوصی استفاده کنند تا اطلاعات کاربران را در زمان انتقال و همینطور تا زمانی که این دادهها ذخیره میشوند، حفاظت کنند. رمزنگاری قوی باید به صورت پیشفرض (by default) تعبیه شود. در جایی که این امکان وجود داشته باشد، از جمله اپلیکیشنهای پیامرسان و سرویسهای VoIP، باید رمزگذاری سرتاسری (End to End Encryption) پیادهسازی شود. گزارشهای فنی که شامل توضیحات درباره الگوریتمهای رمزنگاری هستند، باید به صورت علنی روی صفحات آنلاین رسمی هر شرکت -- برای مثال صفحهی گیتهاب، در دسترس عموم و بالاخص پژوهشگران حریم خصوصی و امنیت سایبری قرار بگیرند.
شرکتها میبایست یک تیم داخلی مخصوص امنیت سایبری داشته باشند - که بتوانند شیوههای مرسوم امنیت سایبری مانند تشکیل تیم قرمز و آبی (red and blue teaming) یا مدلسازی تهدیدهای سایبری (threat modeling) را برای سرویسهای شرکت پیادهسازی کنند - این تیمها باید پیش از عرضه یک محصول، تستهای مختلف امنیت سایبری را روی آن محصول اجرا کنند. علاوه بر این، شرکتها باید پذیرای دریافت گزارش بررسی از محققان امنیت و حریم خصوصی نیز باشند؛ این محققان سعی میکنند نقاط ضعف و باگهای امنیتی را پیدا کنند، روشی متداول که باگ باونتی (bug bounty) نامیده میشود. علاوه بر این، هنگام طراحی و کدنویسی یک نرم افزار، شرکتها باید بهترین روشهای امنیتی را، از جمله پرهیز استفاده از کتابخانههای ناامن، بکار گیرند. برای دریافت اطلاعات بیشتر در زمینه روشهای حفظ امنیت و حریم خصوصی در طراحی و کدنویسی برای خدمات خود به منابعی چون the Digital Standards و OWASP Security Testing Guide رجوع کنید.
طراحان UX/UI، هنگام طراحی یک اپلیکیشن باید دسترسی به تنظیمات مربوط به حریم خصوصی و امنیت را تا حدی ساده طراحی کنند که افراد با سطوح مختلف سواد دیجیتالی و همینطور افراد با تواناییهای متفاوت جسمانی و بینایی نیز بتوانند این تنظیمات را متوجه شده و از آنها استفاده کنند. پیشنهاد میدهیم از این چکلیست استفاده کنید.
روشهای طراحی به کار گرفته شده به منظور حفظ حریم خصوصی و امنیت، مانند گزارشها و جزییات فنی، کدهای متن-باز و غیره باید روی وبسایت (وبلاگ رسمی، شبکههای چندرسانهای و پلتفرمهای میزبانی نرمافزار مانند GitHub و صفحات کدنویسان و سوالات متداول)، برای عموم در دسترس باشد.
شفافیت در شرایط و ضوابط استفاده از خدمات و چگونگی اعمال این ضوابط
با ایجاد ضوابطی شفاف و قابل دسترس عموم-- تحت عنوان شرایط و ضوابط استفاده از خدمات--، شرکتها باید نوع محتوا و فعالیتهای مجاز و غیرمجاز بر روی سرویس خود را اعلام کنند.
شرکتها باید به صورت شفاف اعلام کنند که چطور شروط لازم برای کاربری و ضوابط استفاده از خدمات را اعمال میکنند. باید اعلام کنند که از چه شیوههای خودکار یا غیرخودکاری برای نظارت و کنترل فعالیتها و محتوای منتشر شده استفاده میکنند، و اگر این ضوابط زیر پا گذاشته شوند، با آن کاربر یا محتوای منتشر شده چه برخوردی میکنند.
در صورت زیر پا گذاشتن ضوابط، اگر شرکتی بخواهد محتوای منتشر شده را حذف کند یا دسترسی آن کاربر را به خدمات شرکت محدود کند، باید پیش از این اقدام کاربر را مطلع سازد و به صورت شفاف دلیل این کار را توضیح دهند.
شرکتها میبایست ضوابط استفاده از API و باتهای اینترنتی خود را به صورت شفاف برای توسعهدهندگان و برنامهنویسان مشخص کنند. همچنین باید اطلاعاتی درباره روشهای مبتنی بر اصول امنیت سایبری خود برای جلوگیری از سوء استفاده از APIها، در نظر بگیرند.
گزارش شفافیت
شرکتها میبایست بر روی وبسایت خود سامانه شفافیت داشته باشند.
در سامانه شفافیت، شرکتها میبایست گزارشهای خود را به صورت متناوب (هر شش ماه یا هر یک سال یکبار) منتشر کرده و با اعلام علنی موارد زیر، درباره عملکرد خود شفافسازی کنند:
▫️ تعداد پستها، اکانت و یا صفحات کاربری که حذف شدهاند، چه به صورت خودکار و چه به صورت غیرخودکار.
▫️ تعداد درخواستهای دریافت شده از نهادهای دولتی و مقامات قضایی برای حذف محتوا یا اکانت و صفحات کاربری و درخواست دسترسی به اطلاعات آنها، افزون بر اینکه چه تعداد از این درخواستها پذیرفته شده و چه تعداد رد شده است.
▫️ تعداد درخواستهای دریافت شده از نهادهای غیردولتی (طرفین ثالث، شرکتهای دیگر، کاربران و غیره) برای حذف محتوای سایر کاربران و درخواست دسترسی به اطلاعات آنها، افزون بر اینکه چه تعداد از این درخواستها پذیرفته و چه تعداد رد شده است.
▫️ طبقهبندی محتوا، صفحات و حسابهای کاربری، و باتهای حذف شده بر اساس نوع تخطی در ضوابط استفاده از خدمات (برای مثال: مطالب مربوط به سوءاستفاده و آسیب جنسی به کودکان، زیر پا گذاشتن قانون کپیرایت، پورنوگرافی، اقدام تروریستی، و غیره)
▫️ شرکتها باید سامانهی مخصوصی برای درخواستهای نهادهای دولتی، مقامات قضایی و انتظامی برای دسترسی به اطلاعات کاربران و یا حذف محتوا، داشته باشند. شرکتها در این سامانه، میبایست خط قرمزهای خود و روند رسمی مرحله به مرحلهی خود را برای دریافت چنین درخواستهایی از مقامات و چگونگی بررسی آنها ارائه دهند. همچنین باید نمونههای فرضی از درخواست موجه و غیرموجه را نیز در این سامانه اضافه کنند.
در مصورسازی اطلاعات مربوط به گزارش شفافیت میبایست از استفاده از عبارات دوپهلو و روشهای مصورسازی گمراه کننده اجتناب شود.
روند دریافت و بررسی درخواستهای تجدیدنظر و کانالهای دریافت نظر و پیشنهاد
شرکتها میبایست روندی ساده و قابل فهم برای درخواستهای تجدیدنظر فراهم کنند. کاربری که محتوا یا صفحه او محدود یا مسدود شده است، باید به راهی دسترسی داشته باشد که بتواند درخواست تجدیدنظر کند و یا توضیحات واضح شرکت در مورد این تصمیم را جویا شود.
شرکتها میبایست آدرس ایمیل، شماره تلفن برای خدمات مشترکین، شبکههای رسانه اجتماعی، فرمهای آنلاین و پرسشنامه داشته باشند تا بین خود، کاربران و هر گروه دیگری که در عملکرد این شرکت سهیم است، امکان ارتباط و دریافت نظرها و پیشنهادها را فراهم کنند.
شفافیت در مالکیت و ساختار حکمرانی شرکت
شرکتها میبایست روی وبسایت خود، بخش «درباره ما» داشته باشند. در این صفحه باید با شفافیت درباره اینکه این شرکت متعلق به چه سازمان یا شخصی است و اینکه آیا از سوی یک شرکت مادر اداره میشود توضیح دهند. همچنین اعلام کنند که اسم شرکت مادر چیست، آیا وابسته به نهادی دولتی یا حکومتی است یا خیر.
در صورت وقوع هرگونه نشت اطلاعاتی، شرکتها موظف هستند تا عموم را از طریق نشر اطلاعیهی عمومی و فرستادن ایمیل به کاربران، از ابعاد و نحوهی ایجاد این نشت مطلع سازند. علاوه بر این، تمام این اطلاعات را باید در گزارش شفافیت خود که به صورت متناوب منتشر میشود، درج کنند.
شرکتها میبایست از «اصول راهنمای تجارت و حقوق بشر سازمان ملل» جهت ارزیابی اثرات حقوق بشری — که به سبب ارائه خدمات و فعالیتهای شرکت در آن دخیلند— استفاده کنند. آنها باید به صورت علنی اعلام کنند که از طریق عضویت در طرحهای چند-ذینفعی با جامعه مدنی — بالاخص با نهادهایی که با گروههای آسیبپذیر جامعه مانند کودکان، اقلیتهای قومی، جنسی و جنسیتی، مذهبی و پناهجویان کار میکنند— مشاوره میگیرند.
برای حصول اطمینان از این موضوع که کارکنان یک شرکت با مسائل مربوط به حقوق دیجیتال آشنایی دارند، آن شرکت میبایست برای کارکنان خود (از مدیران عالیرتبه گرفته تا کارشناسان فنی، و گروههای حقوقی، فروش، منابع انسانی) مطالب و ورکشاپهای آموزشی فراهم کند تا کارکنان بدانند چطور باید از آسیبهای احتمالی به حقوق کاربران در فعالیتهای مرتبط با حرفهی خود جلوگیری کرده یا آنها را محدود کنند.
شرکتها باید در روند قانونگذاری کشور، در جایی که مرتبط با حوزهی تکنولوژی است، با کمیسیونهای مجلس و نهادهای دولتی گفتگو داشته باشند، نگرانیهای خود را اعلام کنند و از حقوق دیجیتال کاربران خود پشتیبانی کنند. اتحادهای میان-شرکتی، نوشتن نامههای سرگشاده به مسئولان، گفتگو با رسانهها و مطبوعات از جمله راهکارهایی است که به تحقق این امر کمک میکند.
? دفترچهی راهنمای رعایت حقوق کاربران
این دفترچه راهنما برای چه کسانی تهیه شده است؟
مخاطب این دفترچه شرکتهای فناوری نوپا در ایران میباشد که میخواهند ارزشهای حقوق دیجیتال را از همان قدمهای اول در تمامی فعالیتهای مربوط به طراحی و توسعهی محصولشان اجرا کنند.
چطور میتوانید از این دفترچهی راهنما استفاده کنید؟
ما پیشنهاد میکنیم که ورکشاپهای یک روزه یا دو روزهای ترتیب دهید تا زیرمولفه یا سنجههای مختلف این دفترچه راهنما را با دقت مرور کنید.
مقدمات ورکشاپ
یکی از اعضای تیم مدیریتی/اجرایی باید برای ترتیب دادن یک ورکشاپ پیشقدم شود. این شخص، پیش از هر چیز، باید این گزارش و دیگر منابع از جمله اصول راهنمای تجارت و حقوق بشر سازمان ملل را مطالعه کند، سپس این منابع را بین اعضای تیم پخش کند. فرد متصدی میبایست اعضای بخشهایی که در زیر فهرست شدهاند را برای شرکت در این ورکشاپ دعوت کند:
وسایل مورد نیاز ورکشاپ
فعالیتهای ورکشاپ
فرد متصدی، ورکشاپ را با ارائه یک پرزنتیشن کوتاه درباره اصول راهنمای تجارت و حقوق بشر سازمان ملل و شاخص رتبهبندی مسئولیت شرکتها در قبال حقوق دیجیتال - RDR آغاز خواهد کرد. پس از آن به اهداف و دلایل برگزاری ورکشاپ میپردازد. شخص برگزار کننده همچنین میبایست فعالیتهای ورکشاپ را توضیح داده و یک نفر را برای یادداشتبرداری و یک داوطلب را برای جمعآوری یادداشتها و کمک در بهتر برگزار شدن گفتگو، برگزیند.
جدول مولفهها
به دفترچه راهنمای اکسل یا گوگلشیت مراجعه کنید و فایلهای اکسل حریم خصوصی، آزادی بیان و سیاستگذاریهای شرکت را دانلود کنید یا کپی کنید.
فرد برگزارکننده ورکشاپ، هر یک از مولفهها در دفترچه راهنما را میخواند و گروه،گفتگو را با پاسخ دادن به این سوالات آغاز میکند:
مثالی از «ویرگول»
این کلیپ کوتاه بهتون میگه که گوگلشیتها رو چهطور تکمیل کنید. ما از مثال سیاستهای حریم خصوصی ویرگول -- که اینجا قابل دسترسه https://virgool.io/privacy -- استفاده کردیم.
مسئولیت انتشار این مطلب روی پلتفرم «ویرگول» بر عهدهی موسسهی تراز میباشد. برای تماس با ما و یا اطلاع بیشتر از فعالیتهای ما به وبسایت https://taraazresearch.org/ مراجعه کنید.