قدمت حكومة المملكة المتحدة مشروع قانون استخدام البيانات والوصول إليها (DUAB) إلى البرلمان ، لكنها اقترحت إصلاحات لقواعد حماية بيانات الشرطة تقوض كفاية بيانات إنفاذ القانون مع الاتحاد الأوروبي (الاتحاد الأوروبي).
حاليًا مرحلة لجنة التدقيق البرلماني ، ستعدل DUAB تنفيذ المملكة المتحدة للاتحاد الأوروبي توجيه إنفاذ القانون (LED)، الذي يتم نقله إلى قانون المملكة المتحدة عبر التيار قانون حماية البيانات (DPA) 2018 ويمثل في الجزء الثالث من DPA ، على وجه التحديد.
بالاقتران مع ممارسات التعامل مع البيانات الحالية لهيئات إنفاذ القانون في المملكة المتحدة ، فإن التعديلات المقترحة للمشروع على الجزء الثالث – والتي تشمل السماح بنقل البيانات الروتيني للبيانات إلى مقدمي الخدمات السحابية في الخارج ، وإزالة الحاجة إلى قيام الشرطة بتسجيل المبررات عند الوصول إلى البيانات ، وتمكين خدمات الشرطة وخدمات الاستخبارات لمشاركة البيانات خارج قواعد LED – يمكن أن يمثل تحديًا لبيانات المملكة المتحدة.
في يونيو 2021 ، منحت المفوضية الأوروبية “كفاية البيانات” للمملكة المتحدة بعد خروجه من الاتحاد الأوروبي ، مما يسمح للتدفق الحر للبيانات الشخصية من وإلى الكتلة للاستمرار ، ولكن حذر قد يتم إلغاء القرار بعد إذا كانت قوانين حماية البيانات المستقبلية تنحرف بشكل كبير عن تلك الموجودة في أوروبا.
بينما حددت التقارير السابقة للكمبيوتر الأسبوعية عن استخدام السحابة الفائق للشرطة المشكلات الرئيسية في قدرة هذه الخدمات على الامتثال للجزء الثالثتسعى تغييرات DUAB للحكومة إلى حل المشكلة بمجرد إزالة المتطلبات التي لا يتم الالتزام بها.
على سبيل المثال ، على الرغم من أن DPA 2018 يسمح للنقل في الخارج بـ “مستلمي إنفاذ القانون”-أي مقدمي الخدمات السحابية-هذا مسموح فقط إذا تمكنت وحدة تحكم البيانات من إظهار أنها ضرورية تمامًا للقيام بذلك. هذا يعني أنه لا يمكن إرسال المعلومات إلا على أساس كل حالة على حدة لأغراض محددة ومحدودة عندما لا توجد وسيلة أخرى أقل تدخلاً لتحقيق نفس الهدف.
ومع ذلك ، في يونيو 2024 ، أكدت الكمبيوتر أسبوعيًا أن بيانات الشرطة في المملكة المتحدة تم تحميلها إلى Microsoft Services يتم إرسالها بشكل روتيني إلى الخارج بالنسبة لبعض أشكال المعالجة ، في حين يتم توفير دعم تكنولوجيا المعلومات على نموذج عالمي “Follow-the-Sun”.
للتحايل على عدم الامتثال لمتطلبات النقل هذه ، أسقطت الحكومة ببساطة من DUAB ، مما يعني أن هيئات الشرطة لن تكون مطلوبة لتقييم مدى ملاءمة النقل أو الإبلاغ عنها إلى منظم البيانات.
وتعليقًا على قضية النقل أثناء نقاش DUAB في مجلس اللوردات ، أبرز نظير الديمقراطي الليبرالي تيم كليمنت جونز كيف ، كما هو ، كما هو مطلوب من قبل موفري الخدمات السحابية ، معالجة البيانات بشكل روتيني خارج المملكة المتحدة ، ولا يمكنهم تقديم ضمانات تعاقدية ضرورية على هيئات الشرطة كما هو مطلوب في الجزء الثالث: “ونتيجة لذلك ، فإن استخدامها لاستخدامها لبيانات القانون هو ، على الوجه ، لا يتواجد ،”.
وأضاف: “إن محاولات الحكومة لتغيير القانون تبرز القضية وتشير إلى أن المعالجة السابقة على مقدمي الخدمات السحابية لم تكن متوافقة مع الناتج المحلي الإجمالي في المملكة المتحدة [General Data Protection Regulation] و DPA. “
من خلال DUAB ، قامت الحكومة أيضًا بتوسيع قائمة المستفيدين القانونيين لتشمل الآن “معالج معالجته … يحكمه أو مصرح به وفقًا لما يتوافق مع المراقب المالي الذي يتوافق مع القسم 59“، الذي يحدد العناصر الرئيسية التي يجب أن تكون موجودة في أي عقد بين مراقب إنفاذ القانون ومعالجه.
يتضمن ذلك تفاصيل محددة للأنواع الدقيقة للبيانات وفئات موضوعات البيانات والغرض المحدد للمعالجة ، بالإضافة إلى ضمانات صريحة من المعالج حول كيفية الامتثال لجميع متطلبات الجزء الثالث.
ومع ذلك ، بالنظر إلى الطبيعة الدولية لمشاركة البيانات التي تحدث في بنية فرط الأسلحة السلعية ، فإن مقدمي الخدمات السحابية إما غير قادرين أو غير راغبين في تقديم ضمانات تعاقدية تلبي جميع جوانب الجزء الثالث.
مثل أخبرت Microsoft هيئة الشرطة الاسكتلندية (SPA) ، فيما يتعلق بقدرة مشاركة الأدلة الرقمية المستضافة على Azure ، لا يمكن للشركة “قبول موافقة محددة [to transfer data internationally] على أساس كل حالة على حدة لأن هذا سيكون من المستحيل تشغيل “.
كل هذا يعني بشكل فعال أنه في ظل DUAB ، يمكن أن تكون البيانات مفيدة بشكل روتيني إلى ولايات قضائية مع انخفاض معايير حماية البيانات ، دون الالتزام بظروف LED حول ضرورة صارمة.
وبالمثل ، في حين أن LED قدمت فترة سماح مدتها خمس سنوات لضمان أن جميع أنظمة الشرطة القديمة يمكنها تسجيل سجلات التبرير لسبب الوصول إلى جزء معين من المعلومات-مع وجود أنظمة تم شراؤها بعد مايو 2016 ، يُطلب من هذه القدرة من البداية-لا تزال معظم أنظمة الشرطة في المملكة المتحدة لا تملك هذه القدرة.
بدلاً من ذلك ، قامت حكومة المملكة المتحدة ببساطة بإزالة شرط تسجيل هذه المبررات ، بحجة أن التغيير سيوفر وقت الشرطة وأن البيانات ليس لها قيمة ضئيلة لأن الناس من غير المرجح أن يسجلوا مبررًا صادقًا على أي حال.
وفقًا لأوين سايررز-فإن معلق طويل الأجل حول قضايا الامتثال على الجزء الثالث من موانئ دبي مع أكثر من 25 عامًا من الخبرة في تقديم حلول آمنة للشرطة وقطاع العدالة الجنائية الأوسع-سيؤدي تغيير القانون بهذه الطريقة إلى حدوث قانون المملكة المتحدة بشكل دائم من متطلبات LED.
وأضاف أنه على الرغم من أن شرطة المملكة المتحدة تخترق القانون في الممارسة العملية منذ دخول DPA حيز التنفيذ في مايو 2018 ، فإن القانون الذي كانوا يكسرونه كان على الأقل محاذاة مع أولئك في الاتحاد الأوروبي.
وقال: “على الرغم من أن المملكة المتحدة من الناحية العملية لم تكن المملكة المتحدة تحمي البيانات الشخصية فعليًا كما هو مطلوب بموجب LED ، إلا أن قانونهم لم يلجأ على الأقل إلى بيانات تخضع لاتخاذ إجراء بشأن هذه المعالجة (حتى لو لم يفعل أحد ذلك بالفعل)”.
“بمجرد أن تدخل DUAB حيز التنفيذ ، فإن المشهد قد تغير تمامًا. لن ترسل هيئات إنفاذ القانون في المملكة المتحدة فقط مبالغ هائلة من البيانات الشخصية (بما في ذلك الكثير من البيانات حول مواطني الاتحاد الأوروبي) في الخارج إلى مجموعة من البلدان التي لا يعتبرها الاتحاد الأوروبي كافية ، لكن قانون المملكة المتحدة سيكون له تغيير لجعله قانونيًا للقيام بذلك.
“من خلال إجراء هذه التغييرات في ظل DUAB ، ألقيت الحكومة على ارتياح حاد من أن هيئات إنفاذ القانون تنتهك القانون اليوم – لقد أكدوا حرفيًا ذلك عن طريق تعديل القانون لمنح Microsoft و AWS هذا الوضع الخاص.”
اتصلت الكمبيوتر الأسبوعية بالوزارة الداخلية حول التهديد لكفاية LED في المملكة المتحدة التي أنشأتها التغييرات المقترحة للحكومة في نظام حماية بيانات إنفاذ القانون.
“لقد قدمنا بعض التعديلات المستهدفة في مشروع قانون استخدام البيانات والوصول إليه لتحسين ثقة الجمهور وزيادة كفاءة إنفاذ القانون من خلال تبسيط التشريع. نحن ملتزمون بتكافؤ البيانات ولدينا قرارات كفاية في المملكة المتحدة عند إنتاج هذا القانون”. “يجب ألا تأتي أي تغييرات على نظام حماية البيانات لدينا على حساب الأمن ، وسيستمر تطبيق معايير الحماية العالية.”
أخبر مصدر وزارة الداخلية Computer Week أن استخدام مقدمي الخدمات السحابية على وجه الخصوص قد تسبب في بعض الالتباس ، وأن التدابير الواردة في مشروع القانون تهدف إلى منح تطبيق القانون الثقة لاستخدام معالجات السحابة. ومع ذلك ، قالوا إن استخدام الخدمات السحابية يجب ألا يأتي على حساب الأمن وسيستمر تطبيق معايير الحماية العالية.
