Biyometri komiseri, Birleşik Krallık polis ve adalet kurumlarının, genel bulut altyapısının artan kullanımının kolluk kuvvetlerine özgü veri koruma kurallarına uygun olduğunu kanıtlayabilmesi gerektiğini söylüyor.
Biyometrinin saklanması ve kullanılmasından sorumlu komisyon üyesi olarak Fraser Sampson, İngiltere, Galler ve Kuzey İrlanda’da polisin DNA ve parmak izlerini kullanmasını denetlemekten sorumludur. Ayrıca güvenlik kamerası komiseri olarak kamusal alanlarda güvenlik kameralarının kullanımının izlenmesinden sorumludur.
Şubat 2023’te Parlamentonun İnsan Hakları Ortak Komitesi huzuruna çıktığı sırada Sampson, iş biyometrik bilgilerin saklanmasına geldiğinde Birleşik Krallık polis teşkilatında bir “silmeme kültürü” olduğunu kaydetti.
Bu biyometrik bilgilerin çoğu artık ya tutuluyor ya da hiper ölçekli genel bulut altyapısına taşınıyor, bu da veri sahiplerini bir dizi riske maruz bırakıyor.
Hassas biyometrik verileri depolamak ve işlemek için hiper ölçekli genel bulut sağlayıcılarının kullanımı hakkında Computer Weekly ile konuşan Sampson, “ispat yükü polisin üzerindedir” dedi. [data] kontrolörler, yalnızca bilgi ve güvence sağlamak için değil, aynı zamanda işlemelerinin ilgili tüm gerekliliklere uygun olduğunu göstermek için [data protection] Gereksinimler”.
İspat yükünün sadece bir hukuk meselesi olmadığını, aynı zamanda yönetişim, hesap verebilirlik ve polisin yeni teknolojileri nasıl kullandığına dair kamu güvenini inşa etme meselesi olduğunu da sözlerine ekledi.
Buluta geçiş
Nisan 2023’te Computer Weekly, İskoç hükümetinin Dijital Kanıt Paylaşım Yeteneği (DESC) hizmetinin – teslimat için vücuda takılan video sağlayıcı Axon ile sözleşmeli ve Microsoft Azure’da barındırılan – şu anda bekçiler tarafından dile getirilen önemli veri koruma endişelerine rağmen pilot uygulama yapıldığını bildirdi. Azure kullanımı “yasal olmaz”.
Sottish Polis Kurumu (SPA) tarafından yapılan ve sistemin genetik ve biyometrik bilgileri işleyeceğini belirten bir Veri Koruma Etki Değerlendirmesine (DPIA) göre, veri konularının haklarına yönelik riskler, ABD hükümetinin Bulut Yasası yoluyla erişimini içerir. ABD hükümetinin bulutta ABD şirketleri tarafından herhangi bir yerde depolanan herhangi bir veriye erişimi; Microsoft’un belirli sözleşmeler yerine genel sözleşmeleri kullanması; ve Axon’ın veri egemenliğiyle ilgili sözleşme maddelerine uyma konusundaki yetersizliği.
Ayrıca, biyometri dahil olmak üzere kişisel verilerin, bariz şekilde daha düşük veri koruma standartlarına sahip bir yargı alanı olan ABD’ye aktarılmasının, insanların verilerini düzeltme, silme ve otomatik karar vermeye tabi olmama haklarını olumsuz yönde etkileyebileceği endişesi de var.
SPA DPIA, ABD hükümetinin Bulut Yasası yoluyla erişim riskinin “olası olmadığını … serpinti felaket olacağını” kaydetti.
SPA DPIA’nın yayınlanması, aynı zamanda, Computer Weekly tarafından görülen bir dizi diğer DPIA’nın ABD bulut sağlayıcıları etrafında SPA tarafından özetlenen riskleri değerlendirmediğinden, İngiltere ve Galler’deki polis ve ceza adaleti kurumları tarafından bulut dağıtımlarının yasallığını da sorgulamaktadır. aynı veri koruma kurallarına tabi olmasına rağmen.
Örneğin, Aralık 2020’de bir Computer Weekly soruşturması, Birleşik Krallık polis güçlerinin, içindeki temel sözleşme ve işleme gerekliliklerine uymadıktan sonra, hiper ölçekli genel bulut hizmeti Microsoft 365’te bir milyondan fazla kişinin kişisel verilerini (biyometri dahil) yasa dışı bir şekilde işlediğini ortaya çıkardı. Uluslararası aktarımlara getirilen kısıtlamalar gibi 2018 tarihli Veri Koruma Yasası’nın Üçüncü Bölümü.
Bilhassa, Bilgi Edinme Özgürlüğü talepleri aracılığıyla Computer Weekly’ye ifşa edilen DPIA’lar, ABD hükümetinin müdahaleci gözetim rejimine tabi olan ABD merkezli bir şirkete hassas kişisel veriler gönderme risklerinin gerektiği gibi değerlendirilmediğini gösterdi.
Birleşik Krallık ceza adaleti sektöründeki ABD bulut sağlayıcılarının diğer kullanımları arasında Ident1 parmak izi veri tabanının Police Digital Services (PDS) Xchange bulut platformu altında Amazon Web Services (AWS) ile entegrasyonu; ve kısmen Azure’da barındırılan ve mahkeme işlemlerinin ses ve video kayıtları biçimindeki biyometrik bilgileri işleyen HM Mahkemeleri ve Tribunals’ın bulut video platformu.
Sampson, “Geçmiş performans, gelecekteki performansın iyi bir göstergesidir ve polisin veri koruma ve veritabanlarına ilişkin sabıka kaydı pek iyi değildir,” dedi ve Büyükşehir Polisi tarafından gözaltı görüntülerinin saklanmasının uygunsuz olduğuna karar veren 2012 tarihli bir Yüksek Mahkeme kararına işaret etti. hüküm giymemiş kişiler hakkındaki bilgilerin nihai olarak hüküm giymiş kişiler hakkındaki bilgilerle aynı şekilde ele alınması ve altı yıllık saklama süresinin orantısız olması temelinde yasa dışıdır.
“Hala milyonlarca fotoğrafımız var, kaç milyon fotoğrafın yasa dışı bir şekilde bir veritabanında tutulduğunu bile bilmiyoruz, bunun mazereti toplu silme özelliğiyle oluşturulmamış gibi görünüyor.”
Ulusal Polis Veritabanında (PND) tutulan bu gözaltı görüntüleri şu anda bulut altyapısında tutulmuyor olsa da İçişleri Bakanlığının hem PND’yi hem de Ulusal Polis Bilgisayarını (PNC) bulut tabanlı bir platforma taşıma planları var.
Riskler güvence altına alınmalı ve azaltılmalıdır
Sampson, polis ve adalet kurumlarının, insanların veri haklarına yönelik risklerin veri tabanına veya orada depolanan bilgilere uygun bir düzeye indirildiğinden emin olması gerektiğini ve bu kurumların karşı karşıya kaldıkları ispat yükünü karşılamaları gerektiğini söyledi.
“Halkın teçhizatınıza, yaptığınız işe ve sözleşmeli ortaklarınıza güven duymasını istiyorsanız, o zaman bunu gösterebilmelisiniz” dedi. “Bu sadece bir rahatsızlık değil. İnsanlar polise bu soruları sorarsa, bu sadece bir baş belası değildir ve birisi onları yakalamaya çalışmıyordur – bu, polislikte liderliğin ve yönetişimin temel bir işlevidir; onlara.”
“Halkın teçhizatınıza, yaptığınız işe ve sözleşmeli ortaklarınıza güven duymasını istiyorsanız, o zaman gösterebilmelisiniz. [that the risks have been mitigated]”
Fraser Sampson, biyometri ve gözetleme kamerası komiseri
Polis teşkilatlarının, gerekli durum tespitini yapmaları halinde, bulut dağıtımlarıyla ilgili soruları “anında ve kesin bir şekilde yanıtlayabilmeleri ve bunu yapma fırsatı için zorlamaları” gerektiğini de sözlerine ekledi.
Sampson ayrıca, kıdemli polis memurlarının kişisel verileri için bulut kullanımının ne anlama geldiğini topluluklarına açıklayabilmeleri gerektiğini ekledi.
“Bulut, aslında size sistem hakkında hiçbir şey söylemeyen, zekice kabarık bir örtmecedir” dedi. “Bilmek istediğiniz şey, ‘Verilerim hangi ülkede saklanıyor ve bu ne anlama geliyor?’. Bu gerçekten basit. Ve o zaman kötü niyetle veya adli olarak erişilmesinin riskleri nelerdir?
Polislik ve adalet organları da belirli tedarikçilere ve sistemlere bu kadar güvenmenin yaratabileceği risklerin bilincinde olmalıdır. Sampson, “Bu sistemler üzerinde operasyonel polislik ve kolluk kuvvetleri için giderek daha fazla bağımlılık yaratıyoruz ve bir bağımlılık yarattığınız yerde risk yaratıyorsunuz” dedi.
Karar vericilerin sözleşmeli bir hizmetten çıkmanın maliyetini çok yüksek olarak algılamalarına yol açabileceğinden, sorunların ortaya çıktıktan sonra değil, ilk tedarik sürecinde ele alınmasının önemli olduğunu ekledi. net sorunlar olsa bile.
“Bu stratejik sorular, en başta İçişleri Bakanlığı ve Polis Dijital Servisi için sorular olmalı” dedi. “Bu, herhangi biri hakkında yaptığım ilk konuşma. Bu konuyu büromuzla kimse görüşmedi.”
Sampson’a göre, sorunun bir kısmı, Birleşik Krallık polis teşkilatında, konuşlandırdıkları sistemlerin neler yapabileceği ve bu sistemler içinde verilerin nasıl ele alınması gerektiği konusunda düşük düzeyde bir anlayış veya gözetimin olmasıdır.
Örneğin, Veri Koruma Yasası ve Birleşik Krallık Genel Veri Koruma Yönetmeliği (GDPR) Mayıs 2018’de yürürlüğe girmiş olsa da, Computer Weekly tarafından görülen polislik DPIA’larının büyük çoğunluğu, Bölüm 3’te belirtilen kanun yaptırımına özel kurallardan bahsetmiyor. Eski.
Ancak Sampson, polis güçleri ve adalet kurumlarıyla yaptığı toplantılarda 3. Bölümden veya bunun dayandığı Avrupa Birliği Yasa Uygulama Direktifinden hiç söz edildiğini duymadığını kaydetti.
“Bu anlayışa sahip değilseniz ve tüm bu zorlu sorularla kendinizi güvence altına almadıysanız, onu satın almak için parasını kullandığınız ve üzerinde çok hassas kişisel verilerini kullandığınız insanları nasıl temin edebilirsiniz?” dedi.
“Riskleri belirlediklerinden ve önlediklerinden emin olmaları gerektiğini düşünüyorum ve eğer yapmadılarsa, İçişleri Bakanlığı ve veri düzenleyiciyle bunları nasıl ele alacakları konusunda konuşmaları gerekiyor.”
Dijital egemenlik
Kasım 2022’de içişleri bakanı Suella Braverman’a teslim edilen ve 9 Şubat 2023’te Parlamento’nun önüne sunulan ikili görevini kapsayan ilk yıllık raporda Sampson, polis dahil Birleşik Krallık kamu yetkilileri tarafından Çinli Hikvision firmasından yüz tanıma teknolojisi satın aldığını vurguladı. ekipmanın kurulduğu hassas sitelerin sayısı göz önüne alındığında, ulusal bir güvenlik riski olarak.
Sampson, birçok kişinin Çin’in ulusal güvenlik yasalarını bir endişe kaynağı olarak gösterse de – merkezi burada bulunan herhangi bir şirketin Çin hükümetine veri vermeye zorlanabileceği temelinde – aynı şeyin hemen hemen her hükümet için geçerli olduğunu kaydetti.
“Bunu yapacak olan sadece Çinliler değil. Eminim Ring kapı zilinizde ulusal güvenlik açısından önemli bir şey varsa, sizi onu boşaltmaya zorlamanın bir yolunu bulacağız,” dedi.
İngiltere polis dronları örneğine işaret eden Sampson, ana tedarikçiye dronların kameralarından alınan tüm video görüntülerinin nerede saklandığını sorduğunda, AWS kullanımının bir koruma olarak sunulduğunu ekledi.
“Vatandaşların yakaladığı verilere ne kadar güvenirsek, depolama ve erişim sorunu o kadar önemli hale gelecek”
Fraser Sampson, biyometri ve gözetleme kamerası komiseri
“Bunların tümü Çin’de depolanmıyor, bu AWS’de depolanıyor ve bu nedenle endişelenecek bir şey yok. Sağladıkları güvence bu” dedi. “İlginç çünkü bu bir menşe ülke sorunu değil, süreçlerle ilgili bir güvence sorunu. Bazı açılardan, nerede barındığı gerçekten önemli değil – bu, sizin bir miktar egemenliğinizin derecesidir.”
Bu yabancı hükümet erişimi konusunun, yalnızca Birleşik Krallık kolluk kuvvetleri soruşturmalarda vatandaşların yakaladığı verilere giderek daha fazla güvendiği için öneminin artacağını da sözlerine ekledi.
Örnek olarak, sıkı bir şekilde düzenlenmiş DNA kanıtlarının soruşturmaların yaklaşık %1’ine katkıda bulunduğunu, cep telefonları, ev güvenlik kameraları, araç kamerası görüntüleri vb. depolama ve işleme konusunda aynı düzeyde gözetim.
“Vatandaşların yakaladığı verilere ne kadar güvenirsek, depolama ve erişim sorunu o kadar önemli hale gelecek” dedi ve hiper ölçekli bulut kullanımının artık gündemde olduğu göz önüne alındığında, bu sorunların nihai olarak İçişleri Bakanlığı tarafından çözülmesi gerekeceğini de sözlerine ekledi. Sampson’ın dar biyometri kapsamının çok ötesine geçen Birleşik Krallık çapında bir polislik sorunu.
Computer Weekly, Bilgi Komisyonu Ofisine (ICO) Birleşik Krallık ceza adaleti sektöründe ABD bulut sağlayıcılarının yaygınlığını ve DESC sisteminin kapsamının bir parçası olarak kullanımlarının Birleşik Krallık veri koruma kurallarıyla uyumlu olup olmadığını sordu. ICO basın ofisi yanıt veremedi ve daha fazla yanıt için Computer Weekly’nin sorularını FOI ekibine yönlendirdi.
Computer Weekly ayrıca İçişleri Bakanlığı ile de iletişime geçti, ancak yanıt alamadı.