極客網(wǎng)·云計算12月26日 有關(guān)英國內(nèi)政部與AWS簽訂的4.5億英鎊云計算服務(wù)合同的更多細節(jié)最近浮出水面，該合同將于本月生效。

在回答自由民主黨議員Timothy Clement-Jones提交的書面問題時，英國內(nèi)政部副部長Lord Sharpe證實，根據(jù)簽訂的合同，可能需要對AWS的一些員工從事的特定工作進行審查，而警務(wù)服務(wù)由AWS負責(zé)。Sharpe的答復(fù)讓人們對這份價值4.5億英鎊的協(xié)議有了新的了解。而該協(xié)議由于免除AWS員工接受任何形式的安全檢查而受到批評。

Clement-Jones議員提出了三個問題：（1）根據(jù)合同開展工作的AWS員工是否需要安全審查；（2）這份合同是否符合《2018年數(shù)據(jù)保護法》第59(5)條；（3）AWS處理的英國內(nèi)政部數(shù)據(jù)在理論上是否會向外國政府開放。對于第一個問題，Sharpe回答說，“如果AWS員工從事需要此類許可的特定工作，他們將會受到安全審查?！边@似乎與合同中的措辭自相矛盾，在其技術(shù)標準部分中規(guī)定“沒有供應(yīng)商員工審查要求”。然而，一位政府部門中的消息人士表示，盡管在Sharpe所說的“通用取消合同”提到這些要求，但AWS員工在處理英國內(nèi)政部數(shù)據(jù)時仍然要接受審查要求(盡管最初為什么要加入這一條款仍然是一個謎)。

Lord Sharpe還表示，根據(jù)合同存儲的數(shù)據(jù)應(yīng)該在英國內(nèi)政部的控制之下，AWS在警察部門或英國內(nèi)政部的控制和管理下無法訪問個人數(shù)據(jù)。此外，他回答說，“由于安全控制到位，AWS不知道存儲了什么數(shù)據(jù)，也不會提供有關(guān)處理性質(zhì)的說明。根據(jù)設(shè)計，該合同沒有包含對個人數(shù)據(jù)提供必要保護的不需要受合同約束的細節(jié)?！?/p>

他補充說，英國數(shù)據(jù)監(jiān)管機構(gòu)信息專員辦公室（ICO）知道這一安排。當(dāng)行業(yè)媒體向ICO尋求證實時，一位發(fā)言人表示，該辦公室無權(quán)對《2018年數(shù)據(jù)保護法》第59條提供任何豁免，該法規(guī)規(guī)定，數(shù)據(jù)處理必須受數(shù)據(jù)控制者和處理者之間的合同的約束，該合同規(guī)定了“處理的性質(zhì)和目的以及所涉及的個人數(shù)據(jù)類型和數(shù)據(jù)主體的類別?！?/p>

數(shù)據(jù)在靜止和傳輸中加密

Secon Solutions高級合伙人、云安全專家Owen Sayers認為，Sharpe在回答中暗示采用的安全措施使AWS員工不知道其存儲或處理的內(nèi)容，這可能意味著英國內(nèi)政部違反了《數(shù)據(jù)保護法》。Sayer說，“根據(jù)《數(shù)據(jù)保護法》第59.5條，英國內(nèi)政部必須告訴AWS這些數(shù)據(jù)是什么，他們必須告訴數(shù)據(jù)的類別是什么，以及處理者必須對這些數(shù)據(jù)承擔(dān)什么義務(wù)。這是法律規(guī)定。ICO不能免除他們的責(zé)任?！?/p>

Sayers還認為，Sharpe關(guān)于AWS在技術(shù)上無法檢查存儲在其設(shè)施中的內(nèi)政部數(shù)據(jù)的解釋可能是不準確的，因為這些數(shù)據(jù)是在靜止和傳輸中加密的。如果該部門只是將數(shù)據(jù)存儲在AWS的云平臺上，這種說法可能是正確的，但如果要處理這些數(shù)據(jù)，則需要對其進行解密(而根據(jù)了解的消息，此類處理正在進行中)。Sayers解釋說，“當(dāng)這種情況發(fā)生時，它將存在于單個機器的緩存文件中；或者存在于代理服務(wù)器中；或者存在于網(wǎng)絡(luò)上的其他緩存區(qū)域中。在任何時候，AWS管理員都可以獲得機器的快照，并獲得其中的信息?！?/p>

他補充說，正是出于這個原因，需要對處理敏感執(zhí)法數(shù)據(jù)的云設(shè)施工作人員進行審查。此外，數(shù)據(jù)的控制者和處理者都應(yīng)該遵守審查要求，以保持公眾對整個過程的信心。他認為，到目前為止，在對有關(guān)英國內(nèi)政部與AWS最新合同的詢問的回應(yīng)中，似乎沒有這種傾向。

他說:“我確信Sharpe的回答沒有任何誤導(dǎo)的意圖。我敢肯定，他只是對Clement-Jones議員的質(zhì)疑進行了答復(fù)。但這些答復(fù)沒有意義，它們經(jīng)不起推敲?！?/p>

當(dāng)被要求詳細解釋Sharpe的回應(yīng)時，英國內(nèi)政部的一位發(fā)言人說，“承包商必須遵守所有適用的法律和數(shù)據(jù)保護法規(guī)，這是我們對法律合規(guī)期望的一部分?！?/p>

AWS尚未回復(fù)行業(yè)媒體的置評請求。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。