尽管微软拒绝透露敏感执法数据将在何处处理,苏格兰警察局和苏格兰警察局 (SPA) 仍在推进 Microsoft Office 365 的推广。信息自由文件显示,微软无法保证数据主权,可能在“敌对”司法管辖区处理数据,保留加密密钥控制权,并阻止对海外员工的审查——所有这些都导致该警队无法遵守严格的第三部分数据保护规则。Slashdot 读者 Mirnotoriety 分享了《计算机周刊》一篇文章的摘录:“微软无法明确说明哪些来自 SPA 的数据将在英国境外用于支持功能,”SPA 在一份为其使用 O365 而创建的详细数据保护影响评估 (DPIA) 中表示。“为了尝试降低这一风险,SPA 要求查看……针对微软所使用的那些数据不充分的国家/地区的[转移风险评估]。微软拒绝提供评估。” SPA DPIA 还证实,除了拒绝提供关键信息外,微软本身也已告知该警察监管机构,其无法保证其 O365 基础设施中存储和处理的警务数据的主权。DPIA 表示:“微软在其风险因素报告中指出,O365 并非为处理 SPA 所接收的数据而设计的。” DPIA 补充道,虽然该系统可以配置为允许处理“高价值”警务数据,但“门槛很高”。DPIA 进一步补充道,尽管微软此前同意对苏格兰警察局基于 Azure 的数字证据共享功能 (DESC) 所使用的数据处理附录 (DPAdd) 进行多项修改(具体修改内容尚不清楚),但微软已表示,“O365 的运作方式完全不同,目前无法保证数据主权。”它进一步指出,虽然类似的“辅助文件,如通过 DESC 项目提供的……”可以为国际转移提供“一定程度的保证”,但它仍然无法满足第 3 部分的要求,即明确规定处理哪些类型的数据以及如何处理。
在 Slashdot 上阅读更多内容。