導讀 有關英國內政部與AWS籤訂的4.5億英鎊雲計算服務合同的更多細節最近浮出水面,該合同將於本月生效。在回答自由民主黨議員TimothyClement-Jones提交的書面問題時,英國內政部副部長Lor...
有關英國內政部與AWS籤訂的4.5億英鎊雲計算服務合同的更多細節最近浮出水面,該合同將於本月生效。
在回答自由民主黨議員TimothyClement-Jones提交的書面問題時,英國內政部副部長LordSharpe證實,根據籤訂的合同,可能需要對AWS的一些員工從事的特定工作進行審查,而警務服務由AWS負責。Sharpe的答復讓人們對這份價值4.5億英鎊的協議有了新的了解。而該協議由於免除AWS員工接受任何形式的安全檢查而受到批評。
Clement-Jones議員提出了三個問題:(1)根據合同开展工作的AWS員工是否需要安全審查;(2)這份合同是否符合《2018年數據保護法》第59(5)條;(3)AWS處理的英國內政部數據在理論上是否會向外國政府开放。對於第一個問題,Sharpe回答說,“如果AWS員工從事需要此類許可的特定工作,他們將會受到安全審查。”這似乎與合同中的措辭自相矛盾,在其技術標准部分中規定“沒有供應商員工審查要求”。然而,一位政府部門中的消息人士表示,盡管在Sharpe所說的“通用取消合同”提到這些要求,但AWS員工在處理英國內政部數據時仍然要接受審查要求(盡管最初爲什么要加入這一條款仍然是一個謎)。
LordSharpe還表示,根據合同存儲的數據應該在英國內政部的控制之下,AWS在警察部門或英國內政部的控制和管理下無法訪問個人數據。此外,他回答說,“由於安全控制到位,AWS不知道存儲了什么數據,也不會提供有關處理性質的說明。根據設計,該合同沒有包含對個人數據提供必要保護的不需要受合同約束的細節。”
他補充說,英國數據監管機構信息專員辦公室(ICO)知道這一安排。當行業媒體向ICO尋求證實時,一位發言人表示,該辦公室無權對《2018年數據保護法》第59條提供任何豁免,該法規規定,數據處理必須受數據控制者和處理者之間的合同的約束,該合同規定了“處理的性質和目的以及所涉及的個人數據類型和數據主體的類別。”
數據在靜止和傳輸中加密
SeconSolutions高級合夥人、雲安全專家OwenSayers認爲,Sharpe在回答中暗示採用的安全措施使AWS員工不知道其存儲或處理的內容,這可能意味着英國內政部違反了《數據保護法》。Sayer說,“根據《數據保護法》第59.5條,英國內政部必須告訴AWS這些數據是什么,他們必須告訴數據的類別是什么,以及處理者必須對這些數據承擔什么義務。這是法律規定。ICO不能免除他們的責任。”
Sayers還認爲,Sharpe關於AWS在技術上無法檢查存儲在其設施中的內政部數據的解釋可能是不准確的,因爲這些數據是在靜止和傳輸中加密的。如果該部門只是將數據存儲在AWS的雲平台上,這種說法可能是正確的,但如果要處理這些數據,則需要對其進行解密(而根據了解的消息,此類處理正在進行中)。Sayers解釋說,“當這種情況發生時,它將存在於單個機器的緩存文件中;或者存在於代理服務器中;或者存在於網絡上的其他緩存區域中。在任何時候,AWS管理員都可以獲得機器的快照,並獲得其中的信息。”
他補充說,正是出於這個原因,需要對處理敏感執法數據的雲設施工作人員進行審查。此外,數據的控制者和處理者都應該遵守審查要求,以保持公衆對整個過程的信心。他認爲,到目前爲止,在對有關英國內政部與AWS最新合同的詢問的回應中,似乎沒有這種傾向。
他說:“我確信Sharpe的回答沒有任何誤導的意圖。我敢肯定,他只是對Clement-Jones議員的質疑進行了答復。但這些答復沒有意義,它們經不起推敲。”
當被要求詳細解釋Sharpe的回應時,英國內政部的一位發言人說,“承包商必須遵守所有適用的法律和數據保護法規,這是我們對法律合規期望的一部分。”
AWS尚未回復行業媒體的置評請求。
標題:AWS與英國內政部籤訂4.5億英鎊雲計算服務合同,更多細節浮出水面
地址:https://www.utechfun.com/post/308940.html