كتب مفوض القياسات الحيوية الاسكتلندي إلى شرطة اسكتلندا يوضح مخاوفه المستمرة بشأن نظام مشاركة الأدلة الرقمية القائم على السحابة الذي تستخدمه القوة، والذي يستخدم بنية تحتية سحابية عامة واسعة النطاق لتخزين ومعالجة البيانات البيومترية الحساسة على الرغم من المخاوف الرئيسية المتعلقة بحماية البيانات.
في بداية أبريل 2023، كشفت مجلة كمبيوتر ويكلي تم تجريب خدمة القدرة على مشاركة الأدلة الرقمية (DESC) التابعة للحكومة الاسكتلندية – والتي تم التعاقد عليها مع مزود الفيديو الذي يتم ارتداؤه على الجسم Axon للتسليم واستضافتها على Microsoft Azure – على الرغم من إثارة هيئة مراقبة الشرطة للمخاوف بشأن كيف أن استخدام Azure “لن يكون قانونيًا”.
وفقًا لتقييم تأثير حماية البيانات (DPIA) الذي أجرته هيئة الشرطة الاسكتلندية (SPA) – والذي يشير إلى أن النظام سيقوم بمعالجة المعلومات الجينية والبيومترية – يمثل النظام العديد من المخاطر على حقوق أصحاب البيانات.
يتضمن ذلك إمكانية وصول حكومة الولايات المتحدة عبر قانون السحابة، والذي يمنح حكومة الولايات المتحدة فعليًا إمكانية الوصول إلى أي بيانات، مخزنة في أي مكان، بواسطة الشركات الأمريكية في السحابة؛ استخدام Microsoft للعقود العامة، وليس العقود المحددة؛ وعدم قدرة أكسون على الالتزام بالبنود التعاقدية المحيطة بهاسيادة البيانات.
في أعقاب تغطية مجلة Computer Weekly، قام مفوض القياسات الحيوية الاسكتلندي بريان بلاستو بتزويد شرطة اسكتلندا (مراقب البيانات الرئيسي للنظام) بإشعار معلومات رسمي في 22 أبريل 2023، مطالبة القوة بإثبات أن استخدامها للنظام يتوافق مع الجزء الثالث من قانون حماية البيانات لعام 2018 (DPA 18)، والذي يتضمن قواعد حماية البيانات الخاصة بإنفاذ القانون في المملكة المتحدة.
سأل بلاستو على وجه التحديد عما إذا كانت عمليات نقل البيانات البيومترية قد تمت، وما هي الأنواع التي تم نقلها، وبأي حجم، وفي أي بلد تتم استضافة البيانات.
ردًا على الإشعار الرسمي للمفوض، أكدت شرطة اسكتلندا في يوليو 2023 أنها “قامت بتحميل كميات كبيرة من الصور إلى DESC خلال هذا البرنامج التجريبي”. كما أكدت للمفوض أن “البيانات مشفرة بواسطة حل DESC قبل استضافتها في مركز بيانات Microsoft Azure UK”.
يكتب بلاستو مرة أخرى إلى شرطة اسكتلندا
الكتابة إلى شرطة اسكتلندا في رسالة مؤرخة في 5 أكتوبروأشار بلاستو إلى أنه على الرغم من أن استجابة القوة كانت مفيدة، إلا أنها “لم تخفف من مخاوفي المحددة” بشأن تحميل البيانات البيومترية الحساسة إلى DESC.
“أحد المخاوف الرئيسية هو اختيار الحكومة الاسكتلندية لموفر حلول “مقره الولايات المتحدة” (بدلاً من مزود سحابي من المملكة المتحدة أو الاتحاد الأوروبي، أو حل غير سحابي) لاستضافة بيانات القياسات الحيوية الحساسة (وبيانات إنفاذ القانون الأخرى)، ومن خلال فرض عقوبات على الاحتفاظ بمفاتيح تشفير البيانات لتلك البيانات من قبل شركة Axon (بدلاً من شرطة اسكتلندا)، فإن هذه البيانات تتعرض بالكامل لأحكام قانون توضيح الاستخدام القانوني الخارجي للبيانات لعام 2018 (قانون السحابة الأمريكي)، وقانون الولايات المتحدة ذي الصلة. وكتب اتفاقية الوصول إلى البيانات في المملكة المتحدة.
“إن مثل هذه الترتيبات بين المملكة المتحدة والولايات المتحدة تتضمن حتماً متطلبات قانونية مختلفة فيما يتعلق بأمن البيانات وخصوصية البيانات والإخطار بالانتهاك. ستدرك أيضًا أن نطاق قانون السحابة الأمريكي يمتد إلى أي مكان في العالم، وبالتالي فإن حقيقة أن خوادم DESC التي تستضيف بيانات شرطة اسكتلندا قد تكون موجودة فعليًا في المملكة المتحدة ليست ذات صلة.
وأضاف أن تحميل البيانات البيومترية إلى DESC يمكن أن ينتهك المبدأ 10 من قواعد الممارسات البيومترية القانونية في اسكتلندا، والتي تدور على وجه التحديد حول الحاجة إلى حماية المعلومات البيومترية من الوصول والكشف غير المصرح به، ويأتي مع التزام “بتعزيز أعلى مستويات الجودة تكنولوجيا تعزيز الخصوصية.”
أكد بلاستو أيضًا في الرسالة أنه أرسل استبيان قواعد الممارسة إلى شرطة اسكتلندا لاستكماله بحلول نهاية نوفمبر 2023، والذي يسعى جزئيًا للحصول على معلومات حول استخدام الأنظمة المستندة إلى السحابة المقدمة من المقر الرئيسي للولايات المتحدة لتخزين ومعالجة البيانات البيومترية، بالإضافة إلى التأكيد على كيفية حماية أمن وسيادة تلك البيانات.
وأكد أيضًا أن مكتبه سيجري “مراجعة ضمان منفصلة ولكن ذات صلة” بشأن تعامل شرطة اسكتلندا مع البيانات البيومترية في شتاء عام 2023 لمعرفة ما إذا كانت تتوافق مع الكود.
في حين أن المفوض قد أعلن بالفعل عن نيته إجراء مراجعة عامة للضمان في ديسمبر 2021 قبل إثارة المشكلات المتعلقة بالنظام، فقد أضاف في الرسالة أنه سيسعى على وجه التحديد للحصول على معلومات إضافية حول تحميل القياسات الحيوية إلى DESC كجزء من تلك العملية.
“إذا استمر تحميل البيانات البيومترية في البرنامج التجريبي الحالي أو تم تمديده أو توسيعه، أتوقع التوصل إلى قرار بشأن ما إذا كان تحميل البيانات البيومترية إلى DESC بواسطة شرطة اسكتلندا يتوافق مع قواعد الممارسة في وقت مبكر من العام الجديد.” هو قال. “أي قرار بعدم القيام بذلك، سيتطلب مني تقديم تقرير إلى البرلمان الاسكتلندي حول الفشل في القيام بذلك، وربما اتخاذ مزيد من الإجراءات على النحو المفصل في … قانون مفوض القياسات الحيوية الاسكتلندي لعام 2020.”
الأمن والسيادة
وتوضيحًا لمخاوفه بشكل أكبر، أوضح بلاستو كيف أن نقل البيانات البيومترية الاسكتلندية إلى موفري الخدمات السحابية ومعالجي البيانات الأمريكيين يعني أنه لا يمكن إدارتها بالكامل من اسكتلندا.
“إذا أصدرت السلطات الفيدرالية الأمريكية مذكرة أو أمر استدعاء مع تعليمات بعدم الإفصاح إلى Axon و/أو Microsoft لتسليم البيانات البيومترية الاسكتلندية بموجب أحكام قانون السحابة الأمريكي، فمن المفترض أن شرطة اسكتلندا لن تعرف حتى ذلك وكتب: “تم الوصول إلى بياناتهم (البيانات الحساسة لشخص أو أشخاص) وتم الحصول عليها بالفعل من قبل دولة أجنبية”، مضيفًا أنه لا ينبغي لأي طرف ثالث أن يكون قادرًا على الوصول إلى البيانات البيومترية الخاصة بشرطة اسكتلندا دون علمها وموافقتها، أو موافقة صريحة.
“هذا ضمان ضروري لمنع تسليم البيانات البيومترية الخاصة بشرطة اسكتلندا من قبل مقاول خارجي استجابة للمتطلبات القانونية وتعليمات عدم الكشف الخاصة بسلطة قضائية أجنبية.”
وفيما يتعلق بأمن البيانات، أضاف بلاستو أنه يشعر بالقلق بشأن أمن البيانات البيومترية الحساسة للغاية التي يتم تخزينها على البنية التحتية السحابية العامة “في الظروف التي لا تحتفظ فيها شرطة اسكتلندا بالسيطرة الكاملة (أو في هذه الحالة أي سيطرة) على مفاتيح تشفير البيانات داخل DESC” والتي تحتفظ بها Axon وفقًا لـ SPA DPIA.
وأضاف: “قد تتضمن هذه البيانات البيومترية الحساسة للغاية صورًا لضحايا الجريمة، على سبيل المثال إصابات ضحية الاغتصاب أو الاعتداء الجنسي، بالإضافة إلى صور الأشخاص الذين ربما تم اتهامهم ولكن لم تتم إدانتهم بعد بارتكاب أي جريمة أو جريمة”. كتب وحدد وربط عددًا من الأمثلة على خروقات البيانات حيث تم اختراق البنية التحتية الرقمية التي تسيطر عليها Microsoft.
“توضح هذه الأمثلة أن هناك مخاطر كبيرة يجب أخذها في الاعتبار عند تخزين “أي” بيانات حساسة على البنية التحتية السحابية العامة… وعلى نطاق أوسع، ستكون أيضًا على دراية بالهجمات الإلكترونية الأخيرة على الشرطة في المملكة المتحدة والتي تتضمن بنية تحتية سحابية وغير سحابية حيث يكون الطرف الثالث – لقد أضرت الثغرات الأمنية للمقاولين من الأطراف بسمعة الشرطة.
واختتم بلاستو القسم الخاص بأمن البيانات بالإشارة إلى أن مثل هذه الحالات “توفر دليلاً تجريبيًا على أن الاستعانة بمصادر خارجية للبيانات، وخاصة بيانات إنفاذ القانون مثل البيانات البيومترية الحساسة، للمقاولين الخارجيين يعد مسعى محفوفًا بالمخاطر بشكل استثنائي”.
ردًا على الرسالة، قال متحدث باسم شرطة اسكتلندا: “نحن نعترف بمحتوى الرسالة الواردة من مفوض القياسات الحيوية وسنرد على مخاوفه في الوقت المناسب”.
“تواصل شرطة اسكتلندا العمل بشكل وثيق مع الحكومة الاسكتلندية وشركائنا في العدالة الجنائية لضمان وجود عمليات قوية وفعالة وآمنة لدعم المزيد من تطوير النظام.
“نواصل أيضًا العمل مع مفوض القياسات الحيوية ومكتب مفوض المعلومات والشركاء المعنيين بينما نتقدم في القدرة على مشاركة الأدلة الرقمية لدعم تحويل نظام العدالة الجنائية في اسكتلندا.”
مخاوف أوسع
وأضاف بلاستو أن مخاوفه لا تقتصر على نظام DESC، بل تمتد أيضًا إلى أنظمة إنفاذ القانون وقواعد البيانات الأخرى المستندة إلى السحابة في جميع أنحاء المملكة المتحدة.
على سبيل المثال، أشار على وجه التحديد إلى أن خدمة الشرطة الرقمية (PDS) والقياسات الحيوية للمكاتب المنزلية (HOB) قد قدمت منصة PDS Xchange المدعومة من Amazon Web Services (AWS) “التي يقع مقرها الرئيسي في الولايات المتحدة”، والتي تم متكاملة مع قاعدة بيانات بصمات أصابع إنفاذ القانون في المملكة المتحدة IDENT1 منذ أبريل 2022.
وقال إنه بينما “يقع على ICO تقديم المشورة بشأن مثل هذه الأمور المتعلقة بالامتثال لقانون حماية البيانات في المملكة المتحدة، ولكن بما أن هناك أكثر من 831000 نموذج بصمة اسكتلندي ضمن IDENT1، وإمكانية الوصول الاسكتلندي إلى النظام بأكمله، فإن قرارات المملكة المتحدة مثل ” البيانات البيومترية الخارجية في حل سحابي “يقع مقره الرئيسي في الولايات المتحدة” لها أيضًا عواقب محتملة على اسكتلندا”.
وفقًا لأوين سايرز – مستشار أمني مستقل ومهندس مؤسسي يتمتع بخبرة تزيد عن 20 عامًا في تقديم أنظمة الشرطة الوطنية – هناك عدد كبير من أنظمة المكاتب الداخلية التي تستخدمها شرطة اسكتلندا أو التي تستوعب بياناتها، وسيشمل الكثير منها القياسات الحيوية: “ونتيجة لذلك، من المحتمل أن تمتد مخاوف بلاستو إلى ما هو أبعد من نظام Xchange عندما ينظر إلى المشهد الأوسع.”
وأضاف: “هذا بالطبع ما يجعل الإعلان الأخير لوزير الشرطة في إنجلترا وويلز بشأن ذلك فتح قواعد بيانات جوازات السفر ورخص القيادة لاستخدام الشرطة للتعرف على الوجه وأكثر إثارة للاهتمام وتعقيدًا؛ يجب أن تؤخذ في الاعتبار القوانين الاسكتلندية ومدونة ممارسات القياسات الحيوية، وليس من الواضح على الفور كيف يمكن التمييز بين البيانات بين استخدام اللغة الإنجليزية والويلزية والاستخدام الاسكتلندي، حتى لو أصدرت وستمنستر تشريعًا يسمح بإعادة استخدام الصور، وهو أمر مثيرة للجدل بما فيه الكفاية كما هي.
اتصلت Computer Weekly بوزارة الداخلية بشأن ما إذا كانت قد استشارت السلطات الاسكتلندية ذات الصلة بشأن وضع بيانات مواطنيها في بنية تحتية سحابية عامة واسعة النطاق مشكوك فيها قانونيًا، لكنها لم تتلق أي رد بحلول وقت النشر.
وأشار بلاستو أيضًا إلى أن نظيره في إنجلترا وويلز، فريزر سامبسون، أعرب عن مخاوف مماثلة بشأن مشروعية استخدام هذه البنية التحتية السحابية لمعالجة بيانات إنفاذ القانون.
في أبريل 2023، على سبيل المثال، حذر سامبسون أن هيئات الشرطة والعدالة يجب أن تكون قادرة على إثبات “على الفور وبشكل لا لبس فيه” أن عمليات نشرها السحابية قانونية.
قال: “السحابة عبارة عن تعبير ملطف رقيق ببراعة ولا يخبرك في الواقع بأي شيء عن النظام”. “ما تريد معرفته هو: “ما هي الدولة التي يتم تخزين بياناتي فيها وماذا يعني ذلك؟”. انها حقا أساسية. وما هي مخاطر الوصول إلى ذلك إما بطريقة ضارة أو قضائية؟
وأضاف سامبسون أن هيئات الشرطة والعدالة يجب أن تكون أيضًا على دراية بالمخاطر التي يمكن أن يخلقها الاعتماد الكبير على موردين وأنظمة معينة: “نحن نخلق المزيد والمزيد من التبعيات للشرطة التشغيلية وإنفاذ القانون على هذه الأنظمة، وحيث يمكنك إنشاء التبعية، أنت تخلق المخاطر.”
في جميع أنحاء الرسالة، ألمح بلاستو أيضًا إلى حقيقة أن مكتب مفوض المعلومات (ICO) لم يتخذ بعد وجهة نظر رسمية بشأن شرعية البنية التحتية السحابية العامة واسعة النطاق لتخزين ومعالجة بيانات إنفاذ القانون بشكل عام.
وقد أكدت ICO سابقًا لـ Computer Weekly أنها لم تمنح أبدًا موافقة تنظيمية رسمية لاستخدام مثل هذه الأنظمة من قبل هيئات إنفاذ القانون في المملكة المتحدة، على الرغم من كونها على مرأى ومسمع من المشكلات بسبب محادثاتها المستمرة مع مراقبي البيانات المعنيين.
في مراسلات SPA مع ICO الصادرة بموجب قانون حرية المعلومات (FOI)، على سبيل المثال، وافقت الهيئة التنظيمية إلى حد كبير على تقييماتها للمخاطر. وفيما يتعلق بمتطلبات النقل الدولي، على سبيل المثال، أشارت إلى أن الدعم الفني المقدم من الولايات المتحدة من قبل شركة Axon أو Microsoft سيشكل نقلًا دوليًا للبيانات، كما هو الحال مع طلب حكومة الولايات المتحدة للحصول على البيانات المقدمة عبر قانون السحابة.
قال ICO: “من غير المرجح أن تستوفي عمليات النقل هذه شروط النقل المتوافقة”. “لتجنب الانتهاك المحتمل لقانون حماية البيانات، نوصي بشدة بضمان بقاء البيانات الشخصية في المملكة المتحدة من خلال البحث عن الدعم الفني في المملكة المتحدة.”
وأضافت: “إذا كان لديك مخاطر عالية متبقية في قانون حماية البيانات الخاص بك والتي لا يمكن تخفيفها، فإن التشاور المسبق مع ICO مطلوب بموجب القسم 65 DPA 2018. لا يمكنك المضي قدمًا في المعالجة حتى تستشيرنا.”
اتصلت Computer Weekly بـ ICO لسؤالها عما إذا كانت قادرة على تقديم جدول زمني بشأن الوقت الذي ستصل فيه إلى قرار رسمي بشأن شرعية استخدام هذه الأنظمة السحابية لتخزين ومعالجة بيانات إنفاذ القانون، لكنها لم تتلق أي رد بحلول وقت النشر.
