Анализ состояния законов африканских стран о защите данных, усилия по их внедрению
КибербезопасностьОтчеты

Анализ состояния законов африканских стран о защите данных, усилия по их внедрению

Поскольку в последние годы африканские общества перешли на цифровые технологии, потребность в защите персональных данных физических лиц возросла в геометрической прогрессии.

Новый программный документ глобальной группы защиты цифровых прав Access Now показал, что 35 африканских стран приняли законодательство о защите данных за последние 10 лет. Однако на всем континенте существует общее несоответствие между политическими целями законодательства о защите данных и его реализацией в странах, которые приняли такие законы.

Во время недавнего веб-форума, посвященного распаковке нового отчета группы, старший политический аналитик Access Now Бриджит Андере заявила, что две всеобъемлющие проблемы, препятствующие более строгому применению законов о защите данных в Африке, как и в других юрисдикциях, – это количество исключений в законах стран и отсутствие независимости органов по защите данных.

Андере использовал Закон Кении о различных поправках от 2020 года, который уполномочивает службы безопасности получать доступ к личным данным с любого телефона или компьютера, в качестве примера чрезмерно навязчивого исключения.

“Большинство существующих исключений, по крайней мере в этом регионе … – это исключения из соображений безопасности: национальная безопасность, общественные исключения – это те, о которых мы слышим снова и снова”, – сказал Андере. “Реальность такова, что всякий раз, когда у нас появляются подобные исключения, особенно те, которые связаны с национальной безопасностью, это может стать проблемой в контексте, в котором они существуют. Особенно потому, что в них не очень конкретно указано, когда применяются эти исключения, каким образом они могут применяться, на кого распространяются эти исключения и, в основном, как эти органы могут использовать эти положения закона в своих интересах.”

Независимый исследователь Грейс Мутунг’у сказала, что наибольшую озабоченность специалистов по защите персональных данных в регионе, с которой она столкнулась, вызывают многочисленные исключения для организаций, получающих доступ к общедоступным данным, которые могут содержать информацию, позволяющую установить личность. Она поддержала принятие африканскими странами Конвенции Африканского союза о кибербезопасности и защите персональных данных, также известной как Малабская конвенция, которая потребует от стран внедрения нормативной базы в области “кибербезопасности и защиты персональных данных, которая учитывает требования уважения прав граждан”.

Однако Мутунг’у сказал, что правительства по-прежнему с опаской относятся к кодификации мер по защите гражданских свобод, предусмотренных Малабской конвенцией, из опасения ослабления полномочий их внутренних служб безопасности и разведки.

“Возможно, это одна из причин, по которой страны так медленно принимали конвенцию, что в то же время является победой гражданского общества, – сказала она, – поскольку среди государств повысилась осведомленность о том, что эта цифровая революция направлена не только на то, чтобы налоговые органы и агентства национальной безопасности получили больший доступ к данным, эта цифровая революция также должна быть направлена на то, чтобы люди получили более высокое качество жизни”.

Согласно отчету Access Now, большинство DPA на континенте “в значительной степени не являются независимыми”. В отчете основные причины отсутствия независимости объясняются тем, что DPA часто структурированы в рамках определенных правительственных министерств и / или не располагают достаточными финансовыми ресурсами для проведения тщательных расследований.

В качестве примера, в отчете Access Now представлен случай, когда Управление уполномоченного по защите данных Кении, входящее в состав Министерства информации, коммуникаций и цифровой экономики, было проигнорировано Tech for Humanity после того, как оно внезапно прекратило свою пилотную программу криптовалюты Worldcoin в стране. ODPC издал приказ TFH прекратить сбор персональных данных в августе прошлого года. Однако компания “вопиющим образом проигнорировала приказ”, а затем попыталась оправдать свои действия, заявив, что отсутствие ответа со стороны регулирующего органа на ее запрос о возобновлении обработки послужило оправданием для этого, согласно отчету.

“Такие компании, как TFH, вряд ли будут заниматься подобным поведением, если у них есть представление о том, что законы о защите данных в стране надежны и что нарушения повлекут за собой существенные последствия”, – говорится в отчете. “Усиление законов о защите данных … путем обеспечения независимости и достаточности ресурсов DPA может не только лучше защищать права людей, но и может помешать иностранным компаниям действовать неприемлемым колонизаторским образом, когда они извлекают выгоду из отсутствия ответственности или средств правовой защиты для тех, кто пострадал от их действий “.

Мутунг’у указал, что органы по защите данных прилагают все усилия, “чтобы выполнять свою работу и стараться быть как можно более независимыми от исполнительной власти”, и “добились довольно хороших результатов с точки зрения внедрения”, особенно в странах, которые еще не уделили вопросам защиты данных особого внимания.

Форум также выделил типовые положения в существующих законах Африки о защите данных, несмотря на сохраняющиеся проблемы, препятствующие полному воплощению в жизнь их соответствующих текстов.

Консультант CIPM по вопросам конфиденциальности и защиты данных Мугамби Лайбута сказал, что Закон Нигерии о защите данных и Закон о персональных данных Южной Африки, которые предшествуют вступлению в силу Общего регламента ЕС по защите данных, могут стать образцовым законодательством для африканских стран, на которое они могут опираться, поскольку они стремятся усилить или ввести в действие свои собственные законы о защите данных.

“Я полагаю, что при разработке проекта (Закона Нигерии о защите данных) они приняли во внимание пробелы, которые существуют в действующем законодательстве Африки”, – сказал Лайбута, который также является адвокатом в Высоком суде Кении. “Интересно, что Закон о персональных данных Южной Африки появился раньше GDPR и действительно выдержал испытание временем”.

Мутунг’у сказал, что, хотя текст законов о конфиденциальности нескольких стран хорош на бумаге, исполнение в части внедрения и правоприменения в целом оставляет желать лучшего.

“Что касается типового закона, вы можете посмотреть на него с точки зрения текста и с точки зрения реализации”, – сказал Мутунг’у . “Нигерия действительно преуспела, пытаясь устранить все пробелы в законе”, добавляя, что регулирующие органы в Комиссии по защите данных уполномочены активно расследовать вопросы защиты данных потребителей без получения официальной жалобы.

В отчете Access Now определены несколько рекомендаций по улучшению существующей парадигмы защиты данных на континенте.

Основные рекомендации включают государства, которые уже приняли законы о защите данных, подписать Малабскую конвенцию и “устранить чрезмерный контроль над другими правительственными учреждениями или должностными лицами, а также предусмотреть существенные положения о выделении ресурсов для DPA” и устранить “чрезмерно широкие исключения” в своих законах о защите данных.

Для достижения этих целей Лайбута сказал, что частный сектор в каждой стране должен быть активным в продвижении потребности в большем количестве специалистов по конфиденциальности и безопасности для внедрения новых реформ законодательства о защите данных.

“Один из пробелов, который у нас есть, – это (нехватка) специалистов по управлению данными”, – сказал Лайбута. “Но нам также нужно учиться друг у друга. Мы поняли, что такого рода дух товарищества и обмен знаниями, навыками и наставничество помогли многим из нас, независимо от того, есть ли у вас многолетний опыт или у вас всего несколько лет опыта. “

Источник https://iapp.org/news/a/evaluating-african-nations-comprehensive-privacy-laws-and-their-implementation/

admin
Author: admin