AWS與英國內(nèi)政部簽訂4.5億英鎊云計算服務(wù)合同,更多細(xì)節(jié)浮出水面

極客網(wǎng)·云計算12月26日 有關(guān)英國內(nèi)政部與AWS簽訂的4.5億英鎊云計算服務(wù)合同的更多細(xì)節(jié)最近浮出水面,該合同將于本月生效。

AWS與英國內(nèi)政部簽訂4.5億英鎊云計算服務(wù)合同,更多細(xì)節(jié)浮出水面.jpg

在回答自由民主黨議員Timothy Clement-Jones提交的書面問題時,英國內(nèi)政部副部長Lord Sharpe證實,根據(jù)簽訂的合同,可能需要對AWS的一些員工從事的特定工作進(jìn)行審查,而警務(wù)服務(wù)由AWS負(fù)責(zé)。Sharpe的答復(fù)讓人們對這份價值4.5億英鎊的協(xié)議有了新的了解。而該協(xié)議由于免除AWS員工接受任何形式的安全檢查而受到批評。

Clement-Jones議員提出了三個問題:(1)根據(jù)合同開展工作的AWS員工是否需要安全審查;(2)這份合同是否符合《2018年數(shù)據(jù)保護(hù)法》第59(5)條;(3)AWS處理的英國內(nèi)政部數(shù)據(jù)在理論上是否會向外國政府開放。對于第一個問題,Sharpe回答說,“如果AWS員工從事需要此類許可的特定工作,他們將會受到安全審查?!边@似乎與合同中的措辭自相矛盾,在其技術(shù)標(biāo)準(zhǔn)部分中規(guī)定“沒有供應(yīng)商員工審查要求”。然而,一位政府部門中的消息人士表示,盡管在Sharpe所說的“通用取消合同”提到這些要求,但AWS員工在處理英國內(nèi)政部數(shù)據(jù)時仍然要接受審查要求(盡管最初為什么要加入這一條款仍然是一個謎)。

Lord Sharpe還表示,根據(jù)合同存儲的數(shù)據(jù)應(yīng)該在英國內(nèi)政部的控制之下,AWS在警察部門或英國內(nèi)政部的控制和管理下無法訪問個人數(shù)據(jù)。此外,他回答說,“由于安全控制到位,AWS不知道存儲了什么數(shù)據(jù),也不會提供有關(guān)處理性質(zhì)的說明。根據(jù)設(shè)計,該合同沒有包含對個人數(shù)據(jù)提供必要保護(hù)的不需要受合同約束的細(xì)節(jié)?!?/p>

他補充說,英國數(shù)據(jù)監(jiān)管機構(gòu)信息專員辦公室(ICO)知道這一安排。當(dāng)行業(yè)媒體向ICO尋求證實時,一位發(fā)言人表示,該辦公室無權(quán)對《2018年數(shù)據(jù)保護(hù)法》第59條提供任何豁免,該法規(guī)規(guī)定,數(shù)據(jù)處理必須受數(shù)據(jù)控制者和處理者之間的合同的約束,該合同規(guī)定了“處理的性質(zhì)和目的以及所涉及的個人數(shù)據(jù)類型和數(shù)據(jù)主體的類別?!?/p>

數(shù)據(jù)在靜止和傳輸中加密

Secon Solutions高級合伙人、云安全專家Owen Sayers認(rèn)為,Sharpe在回答中暗示采用的安全措施使AWS員工不知道其存儲或處理的內(nèi)容,這可能意味著英國內(nèi)政部違反了《數(shù)據(jù)保護(hù)法》。Sayer說,“根據(jù)《數(shù)據(jù)保護(hù)法》第59.5條,英國內(nèi)政部必須告訴AWS這些數(shù)據(jù)是什么,他們必須告訴數(shù)據(jù)的類別是什么,以及處理者必須對這些數(shù)據(jù)承擔(dān)什么義務(wù)。這是法律規(guī)定。ICO不能免除他們的責(zé)任。”

Sayers還認(rèn)為,Sharpe關(guān)于AWS在技術(shù)上無法檢查存儲在其設(shè)施中的內(nèi)政部數(shù)據(jù)的解釋可能是不準(zhǔn)確的,因為這些數(shù)據(jù)是在靜止和傳輸中加密的。如果該部門只是將數(shù)據(jù)存儲在AWS的云平臺上,這種說法可能是正確的,但如果要處理這些數(shù)據(jù),則需要對其進(jìn)行解密(而根據(jù)了解的消息,此類處理正在進(jìn)行中)。Sayers解釋說,“當(dāng)這種情況發(fā)生時,它將存在于單個機器的緩存文件中;或者存在于代理服務(wù)器中;或者存在于網(wǎng)絡(luò)上的其他緩存區(qū)域中。在任何時候,AWS管理員都可以獲得機器的快照,并獲得其中的信息?!?/p>

他補充說,正是出于這個原因,需要對處理敏感執(zhí)法數(shù)據(jù)的云設(shè)施工作人員進(jìn)行審查。此外,數(shù)據(jù)的控制者和處理者都應(yīng)該遵守審查要求,以保持公眾對整個過程的信心。他認(rèn)為,到目前為止,在對有關(guān)英國內(nèi)政部與AWS最新合同的詢問的回應(yīng)中,似乎沒有這種傾向。

他說:“我確信Sharpe的回答沒有任何誤導(dǎo)的意圖。我敢肯定,他只是對Clement-Jones議員的質(zhì)疑進(jìn)行了答復(fù)。但這些答復(fù)沒有意義,它們經(jīng)不起推敲?!?/p>

當(dāng)被要求詳細(xì)解釋Sharpe的回應(yīng)時,英國內(nèi)政部的一位發(fā)言人說,“承包商必須遵守所有適用的法律和數(shù)據(jù)保護(hù)法規(guī),這是我們對法律合規(guī)期望的一部分。”

AWS尚未回復(fù)行業(yè)媒體的置評請求。

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2023-12-26
AWS與英國內(nèi)政部簽訂4.5億英鎊云計算服務(wù)合同,更多細(xì)節(jié)浮出水面
有關(guān)英國內(nèi)政部與AWS簽訂的4.5億英鎊云計算服務(wù)合同的更多細(xì)節(jié)最近浮出水面,該合同將于本月生效。

長按掃碼 閱讀全文