ينبغي على هيئة تنظيم البيانات في المملكة المتحدة التحقيق في نشر خدمات الحوسبة السحابية للشرطة

دعا مفوض القياسات الحيوية الاسكتلندي براين بلاستو هيئة تنظيم البيانات في المملكة المتحدة للتحقيق رسميًا فيما إذا كانت قدرة تبادل الأدلة الرقمية المستندة إلى السحابة التابعة لشرطة اسكتلندا متوافقة مع قوانين حماية البيانات، بعد أن كشفت شركة مايكروسوفت أنها لا تستطيع ضمان سيادة بيانات شرطة المملكة المتحدة المستضافة في السحابة العامة Azure.

قال بلاستو لمجلة Computer Weekly: إفصاح مايكروسوفت، مرفق مع انتقادات حديثة لإرشادات الشرطة السحابية التي طال انتظارها من مكتب مفوض المعلومات (ICO)وقد أدى ذلك إلى خلق حالة من عدم اليقين المستمر بشأن نشر السحابة الخاصة بالشرطة، ومن المتوقع أن يستفيد من إجراء تحقيق رسمي.

وقال “أود أن أرحب بالتحقيق الذي يجريه مكتب مفوض المعلومات حول ما إذا كانت ترتيبات معالجة إنفاذ القانون المحددة لـ DESC من قبل شرطة اسكتلندا وشركاء DESC في اسكتلندا، والتي تتضمن البيانات البيومترية، متوافقة تمامًا مع قانون حماية البيانات في المملكة المتحدة”.

تأتي تعليقات بلاستو في أعقاب أكثر من عام من الاكتشافات، التي يعود تاريخها إلى أبريل 2023، عندما نشرت مجلة Computer Weekly تم الإبلاغ عنها لأول مرة أن خدمة DESC التابعة للحكومة الاسكتلندية – والتي تم التعاقد عليها مع مزود الفيديو المحمول Axon للتسليم واستضافتها على Microsoft Azure – كانت قيد التجربة من قبل شرطة اسكتلندا على الرغم من مخاوف هيئة مراقبة الشرطة بشأن عدم قانونية استخدام Azure.

وعلى وجه التحديد، قالت هيئة مراقبة الشرطة إن هناك عددًا من المخاطر الأخرى غير المحلولة التي تهدد أصحاب البيانات، مثل وصول الحكومة الأمريكية عبر قانون الحوسبة السحابية، والذي يمنح الحكومة الأمريكية فعليًا الوصول إلى أي بيانات مخزنة في أي مكان من قبل الشركات الأمريكية في الحوسبة السحابية؛ واستخدام مايكروسوفت لعقود عامة بدلاً من عقود محددة؛ وعدم قدرة أكسون على الامتثال للبنود التعاقدية المتعلقة بـ سيادة البيانات.

وكشفت مجلة Computer Weekly أيضًا أن Microsoft وAxon وICO كانوا جميعًا على دراية بهذه المشكلات قبل بدء المعالجة في DESC. وتمتد المخاطر التي تم تحديدها إلى كل نظام سحابي يستخدم لأغراض إنفاذ القانون في المملكة المتحدة، حيث يخضع لنفس قواعد حماية البيانات.

وفي أعقاب هذا التقرير، قال بلاستو: أصدرت شرطة اسكتلندا إشعارًا رسميًا بالمعلومات بشأن DESC في أبريل 2023، ولكن وأشار في أكتوبر 2023 إلى أن استجابة القوة “لم تخفف” من مخاوفه حول تحميل البيانات البيومترية الحساسة إلى DESC.

في يونيو 2024، كشفت مجلة Computer Weekly أن اعترفت شركة مايكروسوفت لهيئات الشرطة الاسكتلندية بأنها لا تستطيع ضمان سيادة بيانات الشرطة في المملكة المتحدة يتم استضافتها على البنية التحتية السحابية العامة الضخمة.

قبولات مايكروسوفت أيضا تمثل مشكلة للقطاع العام بأكمله، حيث حظرت مخططات تصنيف المعلومات الحكومية السابقة على وجه التحديد نقل بيانات معينة إلى الخارج، في حين إطار عمل G-Cloud 14 الجديد تم تقديم متطلبات استضافة البيانات للمملكة المتحدة فقط.

نفس الشهر، كشفت مجلة Computer Weekly أيضًا عن محتويات إرشادات السحابة التي طال انتظارها من ICOوقد انتقد خبراء حماية البيانات هذا القرار لكونه “عامًا” للغاية؛ حيث وضع كل العبء على القوات لمعرفة كيفية جعل عمليات نشر السحابة الخاصة بها متوافقة مع القانون؛ ولم يأخذ في الاعتبار اعتراف مايكروسوفت بأنها لا تستطيع ضمان سيادة بيانات الشرطة في المملكة المتحدة.

وفي أعقاب الكشف عن اعترافات مايكروسوفت ونصيحة مكتب مفوض المعلومات ــ وكلاهما كانا مدرجين في المراسلات التي تم الكشف عنها بموجب قواعد حرية المعلومات ــ توسع بلاستو أكثر في شرح الأسباب التي تجعل من الضروري إجراء تحقيق رسمي.

وقال بلاستو: “إن المبدأ العاشر من قانون ممارسات مفوض القياسات الحيوية الاسكتلندي الذي وافق عليه البرلمان الاسكتلندي في نوفمبر 2022 يتطلب أيضًا من شرطة اسكتلندا ضمان حماية البيانات الحيوية من الوصول غير المصرح به والإفصاح غير المصرح به وفقًا لقانون حماية البيانات العامة في المملكة المتحدة وقانون حماية البيانات لعام 2018”.

“لذلك، فإن الامتثال لمتطلبات ICO هو سمة امتثال أساسية لقانون الممارسات الاسكتلندي. ومع ذلك، فإن ICO هي الجهة الوحيدة التي تتمتع بالسلطة القانونية لتحديد الامتثال (أو عدم الامتثال) لقانون حماية البيانات في المملكة المتحدة، ويبدو أن مستوى عدم اليقين المستمر حول DESC هو من النوع الذي قد يستفيد من التحقيق المحدد من قبل ICO.”

ينشأ جزء من عدم اليقين من مزيد من الإفصاحات بموجب قانون حرية المعلومات أظهرت نتائج دراسة استقصائية أن شرطة اسكتلندا اختارت عدم التشاور رسميًا مع الجهة التنظيمية، على الرغم من أنها وهيئات شرطية أخرى حددت عددًا من “المخاطر العالية” المرتبطة بمعالجة البيانات، في حين لم تتابع ICO نفسها للحصول على توضيح بشأن المخاطر أو الافتقار إلى التشاور لمدة ثلاثة أشهر تقريبًا بعد نشر المشروع التجريبي الأولي مع البيانات الشخصية الحية.

ويأتي هذا على الرغم من أن ICO كانت على علم بهذه القضايا من خلال اجتماعات سابقة مع شركاء DESC الآخرين.

في يناير 2024، ردًا على أسئلة من Computer Weekly حول ما إذا كانت تستخدم أيضًا خدمات السحابة العامة الضخمة التي تتخذ من الولايات المتحدة مقراً لها لوظائف معالجة إنفاذ القانون الخاصة بها، أرسلت ICO حزمة من المستندات تفصيل عدد من الأنظمة المستخدمة من قبل ICO.

وفقًا لهذه المستندات، فإن ICO صريحة في أنها تستخدم مجموعة من الخدمات الموجودة على البنية الأساسية السحابية لـ Microsoft Azure لأغراض معالجة إنفاذ القانون. ومع ذلك، فقد رفضت تقديم أي تعليق على أساسها القانوني لإجراء مثل هذه المعالجة أو كيف حلت الجزء 3 من قانون حماية البيانات لعام 2018 القضايا الخاصة بها في مناسبات متعددة.

وفي تعليقه على دعوة بلاستو لمفوضية المعلومات للتحقيق رسميًا في نشر DESC، قال مستشار الأمن المستقل أوين سايرز إنه يجب أن تكون عملية مستقلة تمامًا، ويجب استبعاد الهيئة التنظيمية من أي مشاركة نظرًا “لنصيحتها المريبة ومخاطر مصلحتها الذاتية الواضحة”، مدعيًا أن “الأمر يحتاج إلى مراجعة قضائية أو تحقيق عام في رأيي الصادق”.

في يناير 2024، أكملت بلاستو مراجعة ضمانية بشأن تعامل شرطة اسكتلندا مع البيانات البيومترية، والتي قدرت أنه في حين تحتفظ شرطة اسكتلندا بالتأكيد بأكثر من ثلاثة ملايين صورة، فإن العدد الإجمالي للصور المحفوظة غير معروف ببساطة.

“هناك مخاوف بشأن ضرورة وتناسب سياسات الاحتفاظ بالصور”، كما كتب.

“شرطة اسكتلندا وSPA” [Scottish Police Authority] لقد أسسوا ممارسة إزالة الأعشاب الضارة واحتجاز الأشخاص المدانين، والتي تتبع CHS [Criminal History System] فترات الاحتفاظ بالصور. وهذا يعني أن هناك خطر الاحتفاظ بالصور لفترة أطول من اللازم.

“إن جميع الهيئات التي تمت مراجعتها على علم بهذه المشكلة. إن عمل شرطة اسكتلندا على حذف الصور غير المرتبطة بمحاكمة مباشرة أو إدانة مستمرة. إن SPA FS [Forensic Services] “قدمت حلاً يدويًا لضمان امتثال إزالة الأعشاب الضارة لقانون عام 1995 وقانون ممارسات SBC.”

وفيما يتعلق بـ DESC، لاحظ الاستعراض أنه في وقت إجراء العمل الميداني، كانت شرطة اسكتلندا لا تزال تنتظر المشورة القانونية من مكتب مفوض المعلومات بشأن ما إذا كان نشرها متوافقًا مع قانون حماية البيانات في المملكة المتحدة.

وقد حقق مكتب مفوض المعلومات في وقت سابق مع شرطة اسكتلندا بشأن افتقارها إلى العناية الواجبة فيما يتعلق باستخراج بيانات الهاتف المحمول، والذي تم تقديمه من قبل القوة دون إكمال تقييم تأثير حماية البيانات (DPIA) كما هو مطلوب بموجب القانون.

في حالة استخراج الهاتف المحمول، حققت ICO وقدمت ستة توصيات لتحسين أداء شرطة اسكتلندا.

وردًا على طلب Computer Weekly للتعليق على دعوة بلاستو للتحقيق، قال متحدث باسم ICO: “لقد درسنا بعناية ما إذا كان يجوز للسلطات المختصة استخدام منصات تعتمد على الحوسبة السحابية وفقًا لقانون حماية البيانات. وجهة نظرنا هي أنه يجوز لهم ذلك حيث توجد الحماية المناسبة.

“لقد تأكدنا من تزويد شركاء DESC بالإرشادات بشأن هذا الأمر وطلبنا منهم تنفيذ ذلك. وفي حالة وجود أي مخاوف بشأن عدم تنفيذ DESC بطريقة متوافقة، كما تتوقعون، فسيتم النظر في ذلك واتخاذ الإجراءات اللازمة بما يتماشى مع سياسة الإجراءات التنظيمية لدينا.”