在回答自由民主黨議員Timothy Clement-Jones提交的書面問題時，英國內(nèi)政部副部長Lord Sharpe證實，根據(jù)簽訂的合同，可能需要對AWS的一些員工從事的特定工作進行審查，而警務(wù)服務(wù)由AWS負責(zé)。Sharpe的答復(fù)讓人們對這份價值4.5億英鎊的協(xié)議有了新的了解。而該協(xié)議由于免除AWS員工接受任何形式的安全檢查而受到批評。

Clement-Jones議員提出了三個問題：（1）根據(jù)合同開展工作的AWS員工是否需要安全審查；（2）這份合同是否符合《2018年數(shù)據(jù)保護法》第59(5)條；（3）AWS處理的英國內(nèi)政部數(shù)據(jù)在理論上是否會向外國政府開放。對于第一個問題，Sharpe回答說，“如果AWS員工從事需要此類許可的特定工作，他們將會受到安全審查?！边@似乎與合同中的措辭自相矛盾，在其技術(shù)標準部分中規(guī)定“沒有供應(yīng)商員工審查要求”。然而，一位政府部門中的消息人士表示，盡管在Sharpe所說的“通用取消合同”提到這些要求，但AWS員工在處理英國內(nèi)政部數(shù)據(jù)時仍然要接受審查要求(盡管最初為什么要加入這一條款仍然是一個謎)。

Lord Sharpe還表示，根據(jù)合同存儲的數(shù)據(jù)應(yīng)該在英國內(nèi)政部的控制之下，AWS在警察部門或英國內(nèi)政部的控制和管理下無法訪問個人數(shù)據(jù)。此外，他回答說，“由于安全控制到位，AWS不知道存儲了什么數(shù)據(jù)，也不會提供有關(guān)處理性質(zhì)的說明。根據(jù)設(shè)計，該合同沒有包含對個人數(shù)據(jù)提供必要保護的不需要受合同約束的細節(jié)。”

他補充說，英國數(shù)據(jù)監(jiān)管機構(gòu)信息專員辦公室（ICO）知道這一安排。當行業(yè)媒體向ICO尋求證實時，一位發(fā)言人表示，該辦公室無權(quán)對《2018年數(shù)據(jù)保護法》第59條提供任何豁免，該法規(guī)規(guī)定，數(shù)據(jù)處理必須受數(shù)據(jù)控制者和處理者之間的合同的約束，該合同規(guī)定了“處理的性質(zhì)和目的以及所涉及的個人數(shù)據(jù)類型和數(shù)據(jù)主體的類別。”

數(shù)據(jù)在靜止和傳輸中加密

Secon Solutions高級合伙人、云安全專家Owen Sayers認為，Sharpe在回答中暗示采用的安全措施使AWS員工不知道其存儲或處理的內(nèi)容，這可能意味著英國內(nèi)政部違反了《數(shù)據(jù)保護法》。Sayer說，“根據(jù)《數(shù)據(jù)保護法》第59.5條，英國內(nèi)政部必須告訴AWS這些數(shù)據(jù)是什么，他們必須告訴數(shù)據(jù)的類別是什么，以及處理者必須對這些數(shù)據(jù)承擔什么義務(wù)。這是法律規(guī)定。ICO不能免除他們的責(zé)任?！?/p>

Sayers還認為，Sharpe關(guān)于AWS在技術(shù)上無法檢查存儲在其設(shè)施中的內(nèi)政部數(shù)據(jù)的解釋可能是不準確的，因為這些數(shù)據(jù)是在靜止和傳輸中加密的。如果該部門只是將數(shù)據(jù)存儲在AWS的云平臺上，這種說法可能是正確的，但如果要處理這些數(shù)據(jù)，則需要對其進行解密(而根據(jù)了解的消息，此類處理正在進行中)。Sayers解釋說，“當這種情況發(fā)生時，它將存在于單個機器的緩存文件中；或者存在于代理服務(wù)器中；或者存在于網(wǎng)絡(luò)上的其他緩存區(qū)域中。在任何時候，AWS管理員都可以獲得機器的快照，并獲得其中的信息?！?/p>

他補充說，正是出于這個原因，需要對處理敏感執(zhí)法數(shù)據(jù)的云設(shè)施工作人員進行審查。此外，數(shù)據(jù)的控制者和處理者都應(yīng)該遵守審查要求，以保持公眾對整個過程的信心。他認為，到目前為止，在對有關(guān)英國內(nèi)政部與AWS最新合同的詢問的回應(yīng)中，似乎沒有這種傾向。

他說:“我確信Sharpe的回答沒有任何誤導(dǎo)的意圖。我敢肯定，他只是對Clement-Jones議員的質(zhì)疑進行了答復(fù)。但這些答復(fù)沒有意義，它們經(jīng)不起推敲?！?/p>

當被要求詳細解釋Sharpe的回應(yīng)時，英國內(nèi)政部的一位發(fā)言人說，“承包商必須遵守所有適用的法律和數(shù)據(jù)保護法規(guī)，這是我們對法律合規(guī)期望的一部分?！?/p>

AWS尚未回復(fù)行業(yè)媒體的置評請求。