Женщина голосует на всеобщих выборах в Кении 4 марта 2013 года. Фото Секретариата Содружества [1] на Flickr, CC BY-NC 2.0 [2].
[Все ссылки ведут на страницы на английском языке, если не указано иное].
В прошлом году долгожданный закон о защите персональных данных в Кении был, наконец, одобрен и вступил в силу.
Закон, правовые нормы которого в значительной степени заимствованы из Общего регламента Европейского союза по защите персональных данных (GDPR) [3], направлен на создание организационной структуры и правовых принципов осуществления обработки персональных данных, производящихся в Кении и принадлежащих жителям Кении.
В нем подробно описан порядок действий, которым должны руководствоваться операторы персональных данных при их сборе и обработке — этот шаг ставит Кению на один уровень с 25 [4] другими африканскими странами.
По мере того, как колеса реализации закона начинают вращаться, уполномоченный по защите персональных данных, который ещё не был назначен, должен будет начать оперативную работу [5] над созданием структур и систем для регистрации лиц, осуществляющих обработку персональных данных по поручению оператора, и операторов персональных данных, а также для оказания содействия эффективному регулированию обработки персональных данных.
Это вполне может превратиться в гонку со временем, поскольку в августе 2022 года в Кении пройдут очередные президентские выборы. Если до этого времени закон не будет реально действовать, большие данные могут быть снова использованы на предстоящих выборах.
В течение двух последних президентских выборов не существующая ныне компания Cambridge Analytica способствовала нападению [6] на демократию в Кении посредством цифрового вмешательства в формирование общественного мнения.
Мобильные социальные сети и тирания чисел
Из общего населения в 53 миллиона кенийцев 98 процентов владеют смартфонами. Согласно статистике Data reportal [7], количество мобильных подключений в Кении в январе 2020 года составило около 52 миллионов. Для большинства людей телефон является единственным устройством, через которое они выходят в Интернет, особенно в социальные сети. Использование социальных сетей в Кении неуклонно растет на протяжении многих лет. К январю 2020 года число пользователей Facebook и WhatsApp составило 8,8 миллиона пользователей, что на 13 процентов больше, чем в апреле 2019 года.
В 2020 году количество пользователей резко возросло. По данным Управления связи Кении [8], только с апреля по сентябрь количество абонентов мобильной связи выросло на 5 процентов.
Кения заработала репутацию одного из лидеров Африки по сетевой доступности и стала идеальной страной для проведения политических кампаний в социальных сетях.
Примерно половину из 19,6 миллиона зарегистрированных избирателей Кении в 2017 году составляли миллениалы (люди в возрасте от 18 до 35 лет) и избиратели, впервые участвующие в выборах — выборы 2022 года вряд ли будут другими.
Фейковые новости и политические прения Кении онлайн
Кении необходимо как можно скорее принять меры по соблюдению законодательства о защите персональных данных, причем не только на бумаге, но и фактически. Уже сейчас, когда осталось всего 20 месяцев до выборов, ведущее новостное издание Восточной Африки The East African сообщает о растущей дезинформации [9] по мере того, как политические баталии Кении выходят в Интернет.
В разговоре с The East African Альфонс Шиунду, редактор организации по проверке фактов Africa Check в Кении, заявил [9], что сегодняшние политические войны в Интернете схожи с токсичной пропагандой, которая во время выборов 2017 года была связана с дискредитированной британской консалтинговой компанией Cambridge Analytica.
Во время предвыборной кампании того года находившаяся у власти в Кении Юбилейная партия наняла компанию [10] [рус] для использования больших данных, поведенческого микротаргетинга и дезинформации с целью переизбрания президента Ухуру Кениаты.
Это та серьезная задача, которая будет поставлена перед будущим уполномоченным по защите персональных данных, и ожидается, что он не только решит ее, но и создаст такую систему защиты данных, которая не позволит политическим партиям использовать данные для манипулирования электоратом или, что еще хуже, разжигания межэтнической розни и насилия.
В своей основе новый офис уполномоченного по защите персональных данных станет местом, куда кенийцы будут обращаться с жалобами на неправомерное использование их персональных данных не только коммерческими предприятиями, но и, более того, политическими деятелями.
Кения входит в тройку стран, где пользователи получают больше всего спама по SMS в мире, согласно данным Truecaller [11], стокгольмского приложения для определения номера вызывающего абонента.
Крупнейшая телекоммуникационная компания Кении Safaricom несколько раз подвергалась критике в Twitter [12] со стороны своих клиентов, а также одним из клиентов был подан судебный иск в 2019 году [13] в защиту своих персональных данных, собранных через популярный сервис мобильного банка Mpesa, после того, как выяснилось, что произошла утечка информации и данные 11,5 миллионов клиентов Safaricom [14] оказались на черном рынке.
Исследование 2018 года, [15] проведенное Myriad Connect, специалистами по мобильным USSD-технологиям, показало, что более 70 процентов кенийцев стали жертвами мошенничества, связанного с цифровыми финансовыми транзакциями, или знают кого-то, кто стал, причем большинство мошеннических действий совершалось с помощью телефонных звонков (73 процента), а также с помощью SMS (57 процентов).
Кенийский адвокат Ахмеднасир Абдуллахи в сентябре прошлого года написал в Twitter о своем намерении подать коллективный иск против Safaricom в связи с этими нарушениями:
Seeing the overwhelming response by Kenyan subscribers of Safaricom, I will INSHAALLAH formally write to them next week and then formally start a CLASS ACTION..Safaricom has been MINING DATA and then GIVES access to third parties to our telephones…KENYANS this is how law is made
— Ahmednasir Abdullahi SC (@ahmednasirlaw) September 18, 2020 [16]
Видя огромное количество откликов со стороны кенийских подписчиков Safaricom, я, даст Бог, официально напишу им на следующей неделе, а затем официально подам КОЛЛЕКТИВНЫЙ ИСК..Safaricom ДОБЫВАЕТ ДАННЫЕ, а затем ПРЕДОСТАВЛЯЕТ доступ третьим лицам к нашим телефонам…КЕНИЙЦЫ, такой порядок установлен законом
Финансирование, саморегулирование и правоприменение
По словам Мугамби Лайбуты [17], кенийского адвоката Верховного суда Кении, назначение уполномоченного по защите персональных данных станет началом долгого и сложного пути по обеспечению защиты персональных данных и гарантированию права на неприкосновенность частной жизни для кенийцев, пути, на котором уже стоят проблемы финансирования, ресурсного обеспечения и правоприменения.
Мнение Лайбуты, изложенное в эпизоде его подкаста [18] «Насколько важен уполномоченный по защите персональных данных?», заключается в том, что проблемой станет отсутствие продвинутого финансирования для этой государственной структуры. Это будет еще больше препятствовать деятельности уполномоченного по защите персональных данных по привлечению ресурсов (особенно персонала, такого как специалисты по анализу данных и юристы) для выполнения своих функций.
Лайбута также предвидит проблемы, связанные с механизмами правоприменения, такими как регистрация и саморегулирование деятельности операторов персональных данных. Закон требует, чтобы все операторы персональных данных и лица, осуществляющие обработку персональных данных по поручению оператора, были зарегистрированы у уполномоченного.
В таком случае уполномоченный по защите персональных данных должен установить обязательные требования к юридическим лицам для регистрации и учесть их особенности — будут ли те же правила применяться к субъектам малого предпринимательства, государственным и другим общественным учреждениям, а также к неправительственным организациям. До тех пор, пока не будут установлены такие требования, обязательная регистрация, по мнению Лайбуты, не может стать реальностью.
Лайбута задается вопросом, как уполномоченный по защите персональных данных, проконсультировавшись с секретарем кабинета министров Министерства информационных коммуникаций и технологий Джозефом Мучеру, будет устанавливать эти обязательные требования, что возложит на обоих тяжелое бремя по поиску справедливых решений. Телекоммуникационные компании, банки и учебные заведения, скорее всего, будут соблюдать требования, но Лайбута интересуется механизмами саморегулирования деятельности субъектов малого предпринимательства.
Это по-прежнему является проблемой даже для глобальных органов по защите персональных данных, которые продолжают сталкиваться [19]с критикой санкций, введенных за нарушение GDPR.
Также будет интересно посмотреть, как уполномоченный по защите персональных данных будет решать проблемы, связанные с их обработкой и хранением государственными органами. Уже сейчас растут опасения и обвинения в утечке данных из государственных органов.
Прошлогодняя статья [20] Global Voices показала реакцию кенийцев в интернете на вступление в силу закона о защите персональных данных, в том числе некоторые опасения критиков, которые сочли время его принятия сомнительным из-за продолжающихся государственных мероприятий по объединению баз данных всех граждан в рамках Национальной интегрированной системы управления идентификацией (NIIMS).
Хотя раздел 51 Закона о защите персональных данных предусматривает исключение для использования данных государственными органами по вопросам, касающимся национальной безопасности, Лайбута надеется, что уполномоченный по защите персональных данных установит четкие принципы, которыми будут руководствоваться государственные органы в интересах общества, поскольку конфиденциальность находится на первом месте.
Закон о защите персональных данных Кении давно было пора принять. Предвыборная агитация 2022 года уже началась [21]. И если не подготовиться, призраки политического прошлого Кении могут снова вернуться, чтобы преследовать ее граждан.
Переводчик: Ольга Горохова