أثار مكتب مفوض المعلومات (ICO) ارتباكًا بشأن شرعية استخدام قوات الشرطة لمقدمي الخدمات السحابية في الولايات المتحدة لمعالجة بيانات إنفاذ القانون الحساسة.
الكمبيوتر الأسبوعية مكشوف في عام 2020، تقوم العشرات من قوات الشرطة بمعالجة بيانات أكثر من مليون شخص بشكل غير قانوني باستخدام برنامج Microsoft 365 المستند إلى السحابة.
متابعة مجلة الكمبيوتر الأسبوعية الاكتشاف اللاحق أن أحد أنظمة تكنولوجيا المعلومات الرئيسية التابعة لشرطة اسكتلندا يستخدم بالمثل سحابة Microsoft Azure على الرغم من مشكلات حماية البيانات الرئيسية التي لم يتم حلها، طلب مفوض القياسات الحيوية الاسكتلندي (SBC) المشورة من ICO حول شرعية النظام.
نتيجة لاجتماع شخصي مع مفوض المعلومات جون إدواردز في أوائل ديسمبر 2023، نشرت SBC بريان بلاستو رسالة تفيد بأن الطرح الأولي للعملة من المرجح أن يعطي الضوء الأخضر لعمليات نشر السحابة المثيرة للجدل، لأنها تعتقد أن اتفاقية تبادل المعلومات التي وقعتها المملكة المتحدة وتحل حكومات الولايات المتحدة محل قوانين حماية البيانات في المملكة المتحدة.
“من خلال مناقشاتنا، من غير المرجح أن يرى ICO في المملكة المتحدة أن تحميل البيانات البيومترية إلى … [US-based cloud infrastructure] “من قبل شرطة اسكتلندا يتعارض مع قانون حماية البيانات في المملكة المتحدة”، كتب إلى شرطة اسكتلندا في رسالة مؤرخة في 14 ديسمبر 2023.
“هذا بسبب المادة 3 “الاتفاقية المبرمة بين حكومتي الولايات المتحدة والمملكة المتحدة بشأن الوصول إلى البيانات الإلكترونية بموجب قانون السحابة الأمريكي تتطلب من كل طرف في الاتفاقية التأكد من أن قوانينه المحلية لا تحبط أو تعوق تنفيذ الاتفاقية.”
ومع ذلك، تم حذف الرسالة منذ ذلك الحين من موقع SBC الإلكتروني. بينما رفض ICO التعليق على محتويات الرسالة أو إزالتها، أبلغت SBC مجلة Computer Weekly أنه تم إيقافها عن العمل بموجب اتفاق متبادل مع ICO، في انتظار المشورة النهائية بشأن قانون حماية البيانات من الجهة التنظيمية.
وقد أوضح ICO منذ ذلك الحين لـ Computer Weekly أن شرطة المملكة المتحدة يمكنها بشكل قانوني استخدام الخدمات السحابية التي ترسل بيانات حساسة لإنفاذ القانون إلى الخارج مع وجود “وسائل الحماية المناسبة”، لكنها رفضت تحديد ماهية هذه الحماية.
إذا تم اعتمادها، يقول الخبراء إن مواقف ICO يمكن أن تشكل تهديدًا لصفقة كفاية البيانات في المملكة المتحدة مع الاتحاد الأوروبي – مما يؤدي في النهاية إلى إنهاء التدفق الحر للبيانات بين الاثنين – حيث أنها تعتمد جزئيًا على ضمان نفس مستوى الحماية للأشخاص بياناتهم عندما يتم نقلها دوليا.
ويقولون أيضًا إن موقف ICO في الرسالة يعكس اتجاه السفر الذي تتخذه الحكومة بموجب مشروع قانون حماية البيانات والمعلومات الرقمية (DPDI) القادم، والذي يهدف إلى إعادة تشكيل عدد جوانب قانون حماية البيانات التي يتم تطبيقها.
مخاوف سحابة الشرطة المستمرة
منذ الكمبيوتر الأسبوعية مكشوف في ديسمبر 2020، كان العشرات من رجال شرطة المملكة المتحدة يعالجون بيانات أكثر من مليون شخص بشكل غير قانوني في Microsoft 365، خبراء حماية البيانات و المنظمون التقنيون للشرطة شككوا في جوانب مختلفة حول كيفية نشر البنية التحتية السحابية العامة واسعة النطاق من قبل شرطة المملكة المتحدة، بحجة أنهم غير قادرين حاليًا على الامتثال للقواعد الصارمة الخاصة بإنفاذ القانون المنصوص عليها في الجزء الثالث من قانون حماية البيانات (DPA) لعام 2018
في بداية أبريل 2023، كمبيوتر ويكلي ثم تم الكشف عنها تم تجريب خدمة القدرة على مشاركة الأدلة الرقمية (DESC) التابعة للحكومة الاسكتلندية – والتي تم التعاقد عليها مع مزود الفيديو الذي يتم ارتداؤه على الجسم Axon للتسليم واستضافتها على Microsoft Azure – من قبل شرطة اسكتلندا على الرغم من إثارة هيئة مراقبة الشرطة مخاوف بشأن كيفية عدم استخدام Azure “. قانوني”.
على وجه التحديد، قالت هيئة مراقبة الشرطة إن هناك عددًا من المخاطر العالية الأخرى التي لم يتم حلها فيما يتعلق بموضوعات البيانات، مثل وصول الحكومة الأمريكية عبر قانون السحابة، والذي يمنح حكومة الولايات المتحدة فعليًا إمكانية الوصول إلى أي بيانات، مخزنة في أي مكان، من قبل الشركات الأمريكية في السحابة؛ استخدام Microsoft للعقود العامة بدلاً من العقود المحددة؛ وعدم قدرة أكسون على الالتزام بالبنود التعاقدية المحيطة بها سيادة البيانات.
كشفت مجلة Computer Weekly أيضًا أن Microsoft وAxon وICO كانوا جميعًا على علم بهذه المشكلات قبل بدء المعالجة في DESC. تمتد المخاطر التي تم تحديدها إلى كل نظام سحابي يستخدم لغرض إنفاذ القانون في المملكة المتحدة، حيث تخضع لنفس قواعد حماية البيانات.
وهذا ما دفع ستقوم SBC بتزويد شرطة اسكتلندا بإشعار معلومات رسمي في وقت لاحق من ذلك الشهر، لكن في أكتوبر كتب رد القوة “لم يخفف من مخاوفي المحددة” بشأن تحميل البيانات البيومترية الحساسة إلى DESC. ثم التقى بعد شهرين بمفوض المعلومات في ديسمبر 2023، حيث تم إبلاغه بموقف ICO.
وفي حديثه مع Computer Weekly حول محتويات رسالة SBC، وصف أحد خبراء حماية البيانات الوضع بأنه “غريب تمامًا”، مشيرًا إلى أنه في حين أن المراسلات تدور حول نشر سحابي بواسطة الشرطة الاسكتلندية، فإن التداعيات قد تكون ضخمة لأنها تشير إلى عدم وجود أي اتصال محلي يمكن أن تتعارض القوانين مع اتفاقية مشاركة البيانات مع الولايات المتحدة.
قال أوين سايرز، المستشار الأمني المستقل ومهندس المشاريع الذي يتمتع بخبرة تزيد عن 20 عامًا في تقديم أنظمة الشرطة الوطنية: “لا يستطيع إدواردز في الواقع أن يقول إن الشرطة الاسكتلندية لا تنتهك الجزء الثالث من اتفاق سلام DPA في المملكة المتحدة – فهي تفعل ذلك بوضوح شديد”. .
“ما يقوله إدواردز في الواقع هو أن اتفاقية السحابة بين الولايات المتحدة والمملكة المتحدة تعني أنه يجب تنحية قانون المملكة المتحدة جانبًا وتجاهله، على الرغم من انتهاكه بشكل واضح، لأنه لا يمكن لأي قانون محلي في المملكة المتحدة أن يتدخل في الاتفاقية بين الولايات المتحدة والمملكة المتحدة”.
ويؤكد سايرز أيضًا أن اتفاقية تبادل البيانات بين الولايات المتحدة والمملكة المتحدة “غير قابلة للتطبيق سياقيًا” على عمليات نقل البيانات العامة لإنفاذ القانون بالطريقة التي حاولت منظمة ICO استخدامها، لأن هذه الاتفاقية تتعلق فقط بأنواع محددة جدًا من عمليات نقل البيانات، وحتى ذلك الحين فقط للتحقيق في “الجرائم الخطيرة”، وليس مجرد أي معلومات مخزنة في البنية التحتية السحابية العامة واسعة النطاق.
اتصلت مجلة Computer Weekly بـ ICO بشأن هذه المطالبات، لكنها لم تتلق أي رد بشأن هذه النقاط.
ردًا على ما إذا كانت تستخدم أيضًا خدمات سحابية عامة واسعة النطاق مقرها الولايات المتحدة لوظائف معالجة إنفاذ القانون الخاصة بها، زودت ICO Computer Weekly بمجموعة من DPIAs بطول 495 صفحة، توضح بالتفصيل عددًا من الأنظمة المستخدمة من قبل ICO.
وفقًا لهذه المستندات، فإن ICO صريح في أنه يستخدم مجموعة من الخدمات الموجودة على البنية التحتية السحابية لـ Microsoft Azure لأغراض معالجة إنفاذ القانون.
سألت مجلة Computer Weekly عما إذا كان ICO حول أساسها القانوني لإجراء مثل هذه المعالجة، وإلى أي مدى منعها استخدامها لهذه الخدمات السحابية من الوصول إلى موقف رسمي بشأن ما إذا كان استخدام هذه الخدمات يتعارض مع قواعد حماية البيانات في المملكة المتحدة، ولكن ورفض المنظم التعليق أكثر.
قال سايرز: “بالنظر إلى الكشف لـ Computer Weekly عن أن ICO نفسها كانت تستخدم Azure لمعالجة إنفاذ القانون، فمن المفاجئ بالنسبة لي أنهم لم يشاركوا تجربتهم حتى الآن في شكل إرشادات واضحة لشركاء DESC”.
“المستوى الأساسي للحماية”
وتعليقًا على موقف ICO في الرسالة، قال ماريانو ديلي سانتي، المسؤول القانوني والسياسي في مجموعة الحقوق المفتوحة (ORG)، إنه بموجب قوانين حماية البيانات في المملكة المتحدة، لا يمكن إجراء عمليات نقل البيانات الدولية إلا إذا كان من الممكن التأكد من أن لن يؤدي النقل إلى تقويض مستوى الحماية الذي تكفله اللائحة العامة لحماية البيانات (GDPR) في المملكة المتحدة وDPA 18.
وأضاف أن ICO لا يمكنه بالتالي استنتاج أن عمليات نقل البيانات ستكون قانونية دائمًا بسبب وجود معاهدة دولية بين المملكة المتحدة والولايات المتحدة، وبدلاً من ذلك يجب تقييم ما إذا كانت اتفاقية قانون السحابة تحتوي على ضمانات إجرائية وموضوعية من شأنها أن تضمن للمملكة المتحدة تخضع البيانات لنفس مستوى الحماية للبيانات الشخصية التي تتمتع بها بموجب قانون المملكة المتحدة.
بحسب ال تقييم ICO الخاص بعد قرار حكومة المملكة المتحدة بإعطاء الضوء الأخضر لـ “جسر بيانات المملكة المتحدة” – الذي خلص فيه وزير الخارجية، بشكل منفصل عن الاتفاقية بين الولايات المتحدة والمملكة المتحدة أعلاه، إلى أن الولايات المتحدة توفر مستوى مناسبًا من الحماية للبيانات – هناك “خطر من أن الحماية [for data transfers to the US] “لا يجوز تطبيقها في الممارسة العملية” فيما يتعلق “بالبيانات البيومترية والجينية والتوجه الجنسي والجرائم الجنائية”.
كما أشارت إلى أنه “بالنسبة لبيانات الجرائم الجنائية، قد تكون هناك بعض المخاطر… [because] “لا توجد حماية مماثلة لتلك المنصوص عليها في قانون إعادة تأهيل المجرمين في المملكة المتحدة لعام 1974″، وأن جسر البيانات في المملكة المتحدة يفتقر إلى “حق مماثل إلى حد كبير لحق النسيان الذي ينص عليه القانون العام لحماية البيانات في المملكة المتحدة” ويفتقر إلى “الحق في الحصول على مراجعة قرار آلي من الإنسان”.
بالنسبة لماريانو ديلي سانتي، فإن ICO “حدد المخاطر الواضحة التي قد تنشأ فيما يتعلق بنقل البيانات إلى الولايات المتحدة التي يديرها نظام Police Scotland DSEC”.
وقال: “إن تجاهل متطلبات حماية البيانات في المملكة المتحدة بسبب وجود اتفاقية دولية يقوض بشكل فعال الكثير من الأسس التي تم على أساسها اعتماد قرار الملاءمة في المملكة المتحدة”، مضيفًا أن تفسير ICO بأن قانون حماية البيانات يمكن استبداله بواسطة المعاهدات الدولية يعد “مشكلة كبيرة”. “خط أحمر لا ينبغي عليهم تجاوزه” بسبب التأثير المحتمل على كفاية المملكة المتحدة نتيجة لذلك.
وأضاف: “إن فقدان قرار الملاءمة سيكون كارثيًا بشكل أساسي على الاقتصاد الرقمي للمملكة المتحدة لأنه يعني أنهم لم يعد بإمكانهم نقل البيانات الشخصية من إلى الاتحاد الأوروبي بعد الآن، وهو أحد أكبر الشركاء التجاريين”.
أشياء قادمة
تعليقًا على مشروع قانون حماية البيانات والمعلومات الرقمية (DPDI) الذي ستطرحه الحكومة – والذي وصفته منظمة ORG ومجموعات المجتمع المدني الأخرى سابقًا بأنه “مشروع قانون” تحرير الجملة لإطار حماية البيانات في المملكة المتحدة“- قال ديلي سانتي إن الطرح الأولي للعملة “بدأ في اتخاذ الكثير من التفسيرات التي لا يدعمها الإطار الحالي على الإطلاق، ولكن يبدو أنها مدعومة بالإصلاحات التي يتم تقديمها”.
وبموجب مشروع قانون DPDI، سيكون لوزير الخارجية المعني سلطة تقرير ما إذا كان هناك مستوى مناسب من حماية البيانات في عمليات النقل اللاحقة أم لا، وهو ما يعني في الممارسة العملية أن الحكومة ستكون قادرة على السماح بنقل البيانات الشخصية إلى بلدان ثالثة في غياب من التدقيق البرلماني الهادف، ودون ضمانات تتعلق بالاحتفاظ بالحقوق القابلة للتنفيذ وسبل الانتصاف الفعالة بمجرد نقل البيانات.
وقال ديلي سانتي: “إن التغييرات في نظام النقل الدولي تعطي بشكل أساسي سلطة تقديرية سياسية لوزير الخارجية للسماح بنقل البيانات الدولية، عندما يكون وزير الخارجية مقتنعًا بأن هذا أمر مرغوب فيه”، مضيفًا أن هناك خطرًا من أن يتم استخدام مثل هذه التراخيص. جزءا لا يتجزأ من الاتفاقيات الدولية مثل تلك المعمول بها حاليا بين المملكة المتحدة والولايات المتحدة. “وهذا من شأنه أن يتماشى مع الموقف الذي يتخذه ICO فيما يتعلق بقانون السحابة.”
بالنسبة إلى ديلي سانتي، فإن حجة ICO بأن عمليات نشر السحابة الشرطية لا تتعارض مع قوانين حماية البيانات في المملكة المتحدة بسبب اتفاقية دولية معمول بها بين المملكة المتحدة وحكومة أجنبية هي مقدمة لكيفية “تسير الأمور في الممارسة العملية” إذا كان مشروع قانون DPDI يصبح قانونا.
المفوض الأوروبي ديدييه ريندرز قال سابقا أن الاتحاد الأوروبي سيتدخل إذا لم تحافظ المملكة المتحدة على توافقها مع قانون حماية البيانات في الاتحاد الأوروبي: “ستراقب المفوضية عن كثب كيفية تطور نظام المملكة المتحدة في المستقبل، وقد عززنا قراراتنا للسماح بذلك وللتدخل إذا ضروري. يتمتع الاتحاد الأوروبي بأعلى المعايير عندما يتعلق الأمر بحماية البيانات الشخصية، ويجب عدم المساس بهذه المعايير عند نقل البيانات الشخصية إلى الخارج.
وكان قرار اللجنة بشأن الملاءمة مصحوبا ببند انقضاء مدته أربع سنوات، مما يعني أن الآليات موجودة بالفعل ويمكن استخدامها لإلغاء القرار.
اتصلت مجلة Computer Weekly بـ ICO بشأن الآثار المترتبة على موقفها من الاتفاقية الدولية بين الولايات المتحدة والمملكة المتحدة بشأن كفاية البيانات، لكنها لم تتلق أي رد بشأن هذه النقطة.
