الاتحاد الأفريقي يتبنى إطار بشأن الأمن السيبراني وحماية البيانات

الاتحاد الأفريقي يتبنى إطار بشأن الأمن السبراني وحماية البيانات
مصدر الصورة

ترجمة مقال لتحليل منشور على موقع منظمة أكسس بخصوص اتفاقية الاتحاد الأفريقي فيما يتعلق بمجال الأمن السيبراني وحماية البيانات الشخصية.

في هذا الصيف[صيف ٢٠١٤] ودون اهتمام كبير من وسائل الإعلام، وافق رؤساء الاتحاد الأفريقي (AU) على اتفاقية تاريخية، تؤثر على كثير من مناحي الحياة الرقمية.

في يونيو [2014]، اجتمع مجموعة من قادة الاتحاد الأفريقي مكون من 54 حكومة أفريقية -بدأت سنة٢٠٠٢ – في القمة ٢٣ للاتحاد الأفريقي ووافقوا على اتفاقية الاتحاد الأفريقي فيما يتعلق بمجال الأمن السيبراني وحماية البيانات الشخصية.

هذه الاتفاقية تغطي نطاق واسع جدا من الأنشطة على الإنترنت، مُتضمن التجارة الإلكترونية، وحماية البيانات، والجرائم الإلكترونية، مع تركيز خاص على العنصرية وكراهية الأجانب، واستغلال الأطفال في المواد الإباحية، والأمن السيبراني الوطني. إن نٌُفذت هذه الاتفاقية، فإن العديد من الدول الإفريقية ستسن قوانين لحماية البيانات الشخصية لأول مرة، مُؤيَدة من قبل سلطات عامة جديدة ومستقلة. وهي تحركات من شأنها أن تُمثل هدية كبيرة لسيطرة المستخدم على البيانات الشخصية بالإضافة إلى أنه سيُطلب من كل دولة وضع استراتيجية وطنية للأمن السيبراني، وتمرير قوانين الجرائم الإلكترونية، والتأكد من أن التجارة الإلكترونية “تُمارس بحرية”.

في قارة تُعرف أنها تَثِب من التكنولوجيا السلكية نحو الاتصال عبر الجوال، تمثل هذه الاتفاقية قفزة إلى الأمام في تنظيم الإنترنت.هذا التغيير لن يحدق عشية وضحاها وذلك لأن الاتفاقية يجب أن يُصدّق عليها من قبل 15 دولة لتدخل حيز التنفيذ، وحتى ذلك الحين فمن المرجح أن يكون هناك بضعة سنين قبل أن تمرر 54 حكومة إفريقية القوانين التي تُنفذ هذة الاتفاقية.

الاتساع الملحوظ في الاتفاقية يقاوم التحليل الشامل لها، لكن أكسس [منظمةAccess ]قد اختارت بنود بالوثيقة، يُحتمل أن تكون جيدة أو سيئة أو قبيحة.أكسس تُشجع الدول الأعضاء في الاتحاد الأفريقي إرفاق تحفظات في وثائق التصديق على الاتفاقية ، مُشيرة إلى مخاوف بشأن أحكام محدد، تم وضعها في خطوط عريضة أدناة.

يُحتمل أن تكون جيدة

حماية البيانات
جزء كبير من الاتفاقية تعكس إطار حماية البيانات واللغة التي طُورت بواسطة الاتحاد الأوروبي، وبما أن الاتحاد الأوروبي راعى الإصلاح الشامل من خلال تنظيم حماية البيانات، فإنه ينبغي على المُشرعين اعتبار مثل هذه الاتفاقية كواحدة من أمثلة “وضع المعايير” التي تُجسد أغلب عملهم.

في الاتفاقية، يُطلب من كل دولة عضو بالاتحاد الأفريقي أن يكون لها سلطة حماية البيانات الوطنية(DPA) -مسؤول مُستقل لضمان أن البيانات الشخصية تُعالج وفقا لأحكام الاتفاقية- وأن يتم معالجة البيانات فقط في غرض مشروع، بينما لم يتم إعطاء تعريف للغرض المشروع.
[كما يُطلب أيضا من الدول الأعضاءأن يكون] معالجة وحفظ البيانات مُحدد بالوقت اللازم للغرض الذي تم جمعها أو معالجتها من أجله، مع وجود استثناءات للـ”المصلحة العامة، خاصة للأغراض التاريخية، أو الإحصائية أو العلمية.”

حددت الوثيقة حق الفرد في الاعتراض على المعالجة التي تُضاف للبيانات، وهو ما يمكن أن يمثّل دعما المستخدمين، لكن ليس من الواضح ما هي “الأغراض المشروعة” التي يُمكن أن تُثير اعتراضات (المادة 18).كما أنه لأول مرة، أصحاب البيانات لهم الحق في إخبارهم، قبل أن يتم مشاركة البيانات الخاصة بهم مع أطراف ثالثة (المادة 18).

بموجب الاتفاقية، مطلوب من كل دولة من الدول الأعضاء أن تضع إطارا قانونيا لحماية “البيانات المادية” بينما لم يتم تحديد ما هي “البيانات المادية” في أي مكان بالاتفاقية، وتُرك الاختلاف بشأن تحديد نطاق وجوهر المعايير القانونية التي يتعين طرحها من الدول.
وبالمثل فإن الاتفاقية تُخوّل لجامعي البيانات أن ينقلوا البيانات الشخصية لدول ثالثة [دولة أخرى غير الدولة التي تم جمع البيانات بها]، طالما،توفّر تلك الدول “مستوى كاف من الحماية”، وهو معيار مُبهم، حيث أن الاتفاقية لا توفر مبادئ توجهية لإنشاء آلية وقائية أو حتى معايير لتحديد ماهو كاف.

الدول الأعضاء في الاتحاد الأفريقي مُكلّفون باستحداث سلطات حماية البيانات (DPAs) ، بينما على أطراف الاتفاقية من أعضاء الحكومة ورجال الأعمال وحتى المساهمين في شركات تكنولوجيا المعلومات والاتصالات) المشاركين في سلطة حماية البيانات أن يعززوا استقلال هذه الهيئة علاوة على بلورة المزيد من المبادئ التوجهية في عملية اختيار الأعضاء لضمان الشفافية والاستقلال بالكامل على حد سواء.

في حين أننا لا نملك المساحة الكافية هنا للقيام بتحليل عميق، هناك عدد من المفاهيم الأخرى في قسم حماية البيانات (“الموافقة” ، جامعو البيانات” ، ” البيانات محل الموضوع” ، البيانات الشخصية”، البيانات الحساسة”) بحاجة إلى مزيد من الاهتمام، على سبيل المثال، تعريف البيانات الحساسة يتضمن “إجراءات قانونية” وهي مسألة اهتمام عام ولا يجب أن تكون مُغلقة بشكل افتراضي؛ والبيانات الصحية” واسعة جدا، حتى أنها يُمكن أن تُفسر لتمتد إلى تحديثات الحالة في فيسبوك عن وجود برد! وعموما، فإن معظم تعريفات الاتحاد الأفريقي أقل تفصيلا بكثير من تلك التي وُجدت في الاتحاد الأوروبي. ولفرض هذه المعايير على نحو كاف وملائم، سوف تحتاج سلطات حماية البيانات دقة أكثر في التعريفات ووضوح أكثر في التفويضات.

الأمن السيبراني وحقوق الإنسان
أقسام الأمن السيبراني -على الأخص- في الاتفاقية تحمي حقوق الإنسان. “يجب” على الحكومات أن تكفل “الميثاق الأفريقي لحقوق الإنسان والشعوب وغيرها من الحقوق الأساسية الأخرى مثل حرية التعبير والحق في الخصوصية والحق في محاكمة عادلة في القوانين الجديدة، من بين أمور أخرى “(المادة 25 ¶3 ). [أيضا] إدراج الخصوصية هو أمر مرحب به، مع الوضع في الاعتبار أنه لم يتم العثور عليه صراحة في الميثاق الأفريقي.

علاوة على ذلك، تم تضمين المجتمع المدني صراحة، كجزء من أصحاب المصلحة، والشركات من القطاعين العام والخاص(المادة 26 ¶3)، وثقافة الأمن السيبراني (المادة 26 ¶ 1B).

قواعد الأمن السيبراني أيضا تدعم سيادة القانون: تَصر الاتفاقية على أن توقّع الحكومات اتفاقيات المساعدة القانونية المتبادلة(MALTs) لوضع معايير التبادل الدولي للبيانات بطريقة فعالة (المادة 28 ¶ 2).

الأهم من ذلك، يجب على الدول الأعضاء تمرير القوانين التي تحمي أمن البيانات وإعلام المستخدمين عن المخاطر التي تتعرض لها بيناتهم (المادة 29) ونقلها لأطراف ثالثة (المادة18) وهو البند الذي ينبغي أن يُطبق على خرق البيانات والتحويلات الغير قانونية.

يُحتمل أن يكون سيئ

القيود على المحتوى

تعريف المواد الإباحية للأطفال يبدو أنها تتضمن أي تصوير بما في ذلك استخدام أطفال غير حقيقيين، والحظر يُحتمل أن يوفّر حكم واسع، يمكن أن يتم تنفيذه بطرق بغيضة جدا، إذا حاز وسطاء الإنترنت مسؤولية سلوك المستخدمين (المادة 29 ¶ 3).

تفسير التحريض تحت “العنصرية/كراهية الأجانب” لم يتضمن توجه الميول الجنسي أو النوع الاجتماعي، على الرغم من أنه يغطي العرق واللون والنسب والأصل العرقي/القومي والدين. ونظرا للتهديدات الخطيرة على سلامة المدافعين عن حقوق الإنسان للمثليين في العديد من البلدان الإفريقية،فإنه يجب الوضع في الحسبان الحماية من التحريض على أساس توجه الميول الجنسية والنوع الاجتماعي.

المزيد في مجال أمن السيبراني
مع تشجيع الشراكات العامة / الخاصة في مجال الأمن السيبراني، إلا أن الاتفاقية فشلت في وضع ضمانات لتبادل المعلومات بين الشركات والحكومات (المادة 24-27) علاوة على ذلك، تطلب الاتفاقية سلطة أمن سبراني واسعة للمُنظمين دون توضيح لحدود سلطة المُنظم (المادة 25 ¶2).ولحماية بيانات المستخدم ينبغي أن تكون لمعايير حماية البيانات مكانا في سياقات الأمن السيبراني.

في الواقع، إن صياغة التعليمات الأساسية للحكومات لتطوير ” سياسة وطنية للأمن السيبراني والتي تعترف بأهمية البنى التحتية الحيوية للمعلومات (CII)” يأخذ نهج خاطئ للأمن السيبراني. ينبغي على الدول الأعضاء تدوين تحفظاتها على هذا العيب -نموذج من أعلى إلى أسفل- وإشارة إلى عزمها على وضع المستخدمين الأفراد في مركز جهود أمن البيانات، بدلا عن البنى التحتية الحيوية للمعلومات، غير المحددة.

الغريب أن الاتفاقية تُعرّف ” الاتفاقيات السرية” كما تفعل مع مفاتيح التشفير، لكن لم تذكر ” اتفاقيات سرية” أو التشفير في أي مكان آخر في الوثيقة – قرار مبهم لحد ما.

قُبح واضح

موافقة المستخدم
معالجة البيانات الشخصية يجب أن تتم فقط حيث البيانات محل الموضوع تُعطى صراحة، ولا لبس فيها، واختيارية، وبموافقة مسبقة، مع ذلك فإن الاتفاقية تضيف باستثناءات تضمنت ” تأدية مهمة نُفذت في الصالح العام أو في ممارسة من السلطة الرسمة المخولة لجامع [البيانات]، أو طرف ثالث ممن تكون البيانات لديهم مُفصَح عنها” (المادة 14.2.i). ثغرة بهذا الحجم تكون حادة في سوء استخدام الحكومات الحريصة والراغبة في تعريف “الصالح العام” بما يتماشى مع مصلحتهم.

مزيد من القيود
تَحظر الاتفاقية استخدام الحاسوب في “إهانة” شخص ما لأسباب العرق أو اللون أو الأصل القومي/العرقي أو الدين أو الرأي السياسي.ولم تُعرّف الوثيقة “الإهانة” إطلاقا، وتُرك هذا الحكم الغير موضوعي لتجريم الخطاب بدلا من العمل الإجرامي. بالتزامن مع هذا الحكم الذي لا يرفض الموافقة عمدا أو نفيا أو تبريرا للأفعال” التي تشكل جريمة الإبادة الجماعية أو الجرائم ضد الإنسانية” هذه الأحكام غير مدروسة وضارة وستخدم فقط الحد من حرية التعبير وتثبط التعبير على الإنترنت.

وأخيرا، تمنح الاتفاقية صلاحيات واسعة للمحاكم للوصول إلى قواعد البيانات وإجراءات مراقبة الشبكات إذا كان ذلك “مفيدا في كشف الحقيقة”وهو ما يبدو غامضا، إذا كان شرط النية الحسنة مفتوح لسوء الاستخدام.

الاحتيال باستخدام الحاسوب والصحافة
ما يتعلق بـ “الوصول غير المصرح به” هو أحكام غامضة وواسعة في تعريف الاحتيال بالحاسوب، وهو مصطلح غير مٌُعرّف. البند يُجرم محاولات “إدخال البيانات عن طريق الاحتيال في نظام حاسوبي” أو “البقاء عن طريق الاحتيال في نظام حاسوبي” وهو ما يمكن أن يُطبق -من بين أمور أخرى- على انتهاك شروط استخدام منصات الإعلام الاجتماعي (المادة 29 ¶ 1).

بند واحد يُزيد من العقوبات على الجرائم الموجودة إذا كان من عناصرها حاسوب، وهو تكتيك غير متناسب وغير ضروري (المادة٢.٣١.a) ببساطة استخدام الحاسوب لا يبرر تشديد العقوبات.
قد يعاني المُبلغون عن المخالفات والصحفيون في ظل القيود المفروضة على استخدام “البيانات التي يتم الحصول عليها عن طريق الاحتيال” (المادة 29.2)وهذا يُجرّم الصحافة استنادا على وثائق أو عمليات كشف سُربت، وهو النشاط الضروري للصحفيين في العديد من البلدان الأفريقية والتي غالبا ما تفتقر إلى حرية المعلومات والقوانين المماثلة للوصول للمعلومات، وتَرك مساحات واسعة من المعلومات خارج حدود العموم. الاستثناءات على معالجة البيانات لا تنطبق إلا على الصحفيين المرخص لهم بالعمل (المادة١٤.٣) وهو تمييز ضد العديد من المدونين والأصوات المستقلة.

الخلاصة

أجرى الاتحاد الأفريقي مسح شامل للأحكام ذات الصلة بقانون الاتصالات الحديث، واتُخذت في مشروع إصلاحي طموح بهذه الاتفاقية. لكن المعاهدة ستأخذ وقت طويل للتنفيذ. أولا يجب على برلمانات ١٥ دولة من الدول الأعضاء(٥٤ دولة) أن تُشير إلى الاتفاقية في أحكامها، ثم يجب أن تُمرر القوانين المنفذة للمعاهدة في كل دولة من الدول الأعضاء وتُنشر على الإنترنت.
أكسس تهنئ الاتحاد الأفريقي لاستكمال المرحلة الأولى من هذا الجهد، على الرغم من الانتقادات التي لدينا في بعض الأحكام. الخطوة التالية هي الحاسمة: ينبغي على الدول الأعضاء اغتنام الفرصة لوضع هذه المخاوف في تحفظاتها عند التصديق على الاتفاقية، في حين أنه يجب على البرلمانات المُضي قدما بشكل منفتح،ونُصْحِيّ وبمشاركة أصحاب المصالح بما في ذلك مدخلات من جماعات المجتمع المدني. أكسس تراقب عن كثب هذه العملية، مع مخاطرها المحتملة العديد، لضمان الحماية للمستخدمين الأفارقة على مدى السنوات القادمة.

**

الكلمات بين [] لم تُذكر في النص الأصلي

Leave a Reply

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>