在回答自由民主党议员Timothy Clement-Jones提交的书面问题时,英国内政部副部长Lord Sharpe证实,根据签订的合同,可能需要对AWS的一些员工从事的特定工作进行审查,而警务服务由AWS负责。Sharpe的答复让人们对这份价值4.5亿英镑的协议有了新的了解。而该协议由于免除AWS员工接受任何形式的安全检查而受到批评。
Clement-Jones议员提出了三个问题:(1)根据合同开展工作的AWS员工是否需要安全审查;(2)这份合同是否符合《2018年数据保护法》第59(5)条;(3)AWS处理的英国内政部数据在理论上是否会向外国政府开放。对于第一个问题,Sharpe回答说,“如果AWS员工从事需要此类许可的特定工作,他们将会受到安全审查。”这似乎与合同中的措辞自相矛盾,在其技术标准部分中规定“没有供应商员工审查要求”。然而,一位政府部门中的消息人士表示,尽管在Sharpe所说的“通用取消合同”提到这些要求,但AWS员工在处理英国内政部数据时仍然要接受审查要求(尽管最初为什么要加入这一条款仍然是一个谜)。
Lord Sharpe还表示,根据合同存储的数据应该在英国内政部的控制之下,AWS在警察部门或英国内政部的控制和管理下无法访问个人数据。此外,他回答说,“由于安全控制到位,AWS不知道存储了什么数据,也不会提供有关处理性质的说明。根据设计,该合同没有包含对个人数据提供必要保护的不需要受合同约束的细节。”
他补充说,英国数据监管机构信息专员办公室(ICO)知道这一安排。当行业媒体向ICO寻求证实时,一位发言人表示,该办公室无权对《2018年数据保护法》第59条提供任何豁免,该法规规定,数据处理必须受数据控制者和处理者之间的合同的约束,该合同规定了“处理的性质和目的以及所涉及的个人数据类型和数据主体的类别。”
数据在静止和传输中加密
Secon Solutions高级合伙人、云安全专家Owen Sayers认为,Sharpe在回答中暗示采用的安全措施使AWS员工不知道其存储或处理的内容,这可能意味着英国内政部违反了《数据保护法》。Sayer说,“根据《数据保护法》第59.5条,英国内政部必须告诉AWS这些数据是什么,他们必须告诉数据的类别是什么,以及处理者必须对这些数据承担什么义务。这是法律规定。ICO不能免除他们的责任。”
Sayers还认为,Sharpe关于AWS在技术上无法检查存储在其设施中的内政部数据的解释可能是不准确的,因为这些数据是在静止和传输中加密的。如果该部门只是将数据存储在AWS的云平台上,这种说法可能是正确的,但如果要处理这些数据,则需要对其进行解密(而根据了解的消息,此类处理正在进行中)。Sayers解释说,“当这种情况发生时,它将存在于单个机器的缓存文件中;或者存在于代理服务器中;或者存在于网络上的其他缓存区域中。在任何时候,AWS管理员都可以获得机器的快照,并获得其中的信息。”
他补充说,正是出于这个原因,需要对处理敏感执法数据的云设施工作人员进行审查。此外,数据的控制者和处理者都应该遵守审查要求,以保持公众对整个过程的信心。他认为,到目前为止,在对有关英国内政部与AWS最新合同的询问的回应中,似乎没有这种倾向。
他说:“我确信Sharpe的回答没有任何误导的意图。我敢肯定,他只是对Clement-Jones议员的质疑进行了答复。但这些答复没有意义,它们经不起推敲。”
当被要求详细解释Sharpe的回应时,英国内政部的一位发言人说,“承包商必须遵守所有适用的法律和数据保护法规,这是我们对法律合规期望的一部分。”
AWS尚未回复行业媒体的置评请求。