澄清境外合法使用数据 (CLOUD) 法案

我们认为客户应该保持对其自己的数据的控制。AWS 的架构旨在成为构建、迁移和管理应用程序及工作负载的最安全的全球云基础设施。我们致力于在客户使用我们的服务时为其提供业界领先的隐私和安全保护措施。

AWS 设计的产品和服务可确保任何人（包括 AWS 的运营人员）都无法获取客户的数据内容。我们仅会在具备相应技术能力的情况下，才对合法的请求作出回应。AWS 客户拥有各种技术手段和操作控制措施，以防止对数据的访问。例如，AWS 的许多核心系统和服务在设计时就采用了完全禁止操作员访问的方式，这意味着这些服务没有为 AWS 操作员提供任何获取客户数据的技术途径。

AWS Nitro System 是 AWS 计算服务的基础，它使用专门的硬件和软件来保护数据，以确保数据在 Amazon Elastic Compute Cloud（Amazon EC2）上处理期间不会被外部访问。通过提供坚固的物理和逻辑安全屏障，Nitro 设计旨在确保任何未经授权的人员（包括 AWS 操作员在内）都无法访问 EC2 上的客户工作负载。Nitro System 的设计已由独立网络安全公司 NCC Group 进行了验证。帮助防止操作员访问的控制措施对于 Nitro System 来说至关重要，因此我们在 AWS 服务条款中也加入了这些措施，以向我们所有的客户提供额外的合同保障。

我们还向客户提供了多种数据加密功能和控制功能，无论是传输中、静态还是内存中的数据，均可以安全加密。所有 AWS 服务都已支持加密，其中大多数还支持使用 AWS 无法访问的客户自主管理型密钥进行加密。没有适用的解密密钥，加密内容是不可用的。

有关我们支持零操作员访问的服务的更多信息，请参阅 AWS 上的操作员访问权限。

CLOUD Act 于 2018 年 3 月出台，旨在加快执法部门获取服务提供商所掌握的电子信息的能力，以便在对各类严重犯罪（包括恐怖主义、暴力犯罪、儿童性剥削以及网络犯罪）的调查中发挥作用。（参见 CLOUD Act 资源，详见美国司法部网站。） 美国司法部（DOJ）官员在为该法案进行辩护时所提供的证词指出，CLOUD Act 的重点在于全球执法部门在涉及严重犯罪的跨境调查中获取数据的能力。（参见美国司法部副助理检察长 Richard Downing 2017 年 6 月 15 日在众议院司法委员会前作的证词。）

美国执法部门只有在获得由独立联邦法官授权的搜查令，并依照美国刑事诉讼程序的规定的情况下，才能从服务提供商那里获取内容数据。根据美国法律，要获得搜查令，美国法官必须确信存在合理的理由可以认为犯罪已经发生，并且在搜查令所指定的地点（例如特定的电子账户中的数据，如电子邮件账户）中能够找到与该犯罪相关的证据。这一法律标准必须通过具体而可靠的事实来确立。每份搜查令都必须通过这一严格的“合理依据”判定，即要依据可靠的事实、具备明确性且合法合规，并且必须得到独立法官的批准，同时还必须符合关于范围和管辖权的要求。

依据与美国达成的 CLOUD Act 行政协议而向美国提出数据请求的外国政府，也必须满足相同的要求。美国司法部解释道：“依据 CLOUD Act 提出的获取数据的请求，必须依据提出数据获取请求的国家的国内法律制度合法获取；必须针对特定的个人或账户；必须基于可明确且可信的事实、具体性、合法性及严重性给出合理的理由；并且必须接受独立监察机构（如法官或治安官）的审查或监督。不允许批量采集数据。”

美国司法部在 2023 年 5 月还发布了一项政策，规定检察官在得知自己需要的证据位于其他国家/地区时，应与司法部国际事务办公室（OIA）取得联系。该规定要求，若检察官需要获取存于境外的证据，必须事先获得 OIA 的批准，然后才能向美国的相关机构申请强制获取这些证据的命令。司法部关于境外证据的政策指出，每个国家都会制定法律以维护自身主权；而 OIA 则致力于解决这些问题，并协助检察官选择合适的机制来获取证据。

截至 2025 年 6 月，自我们开始公布这一统计数据以来，AWS 尚未收到任何要求向美国政府披露存储在美国境外的企业或政府内容数据的请求。该记录体现了美国法律和政策中强有力的法律保障措施，这些保障措施由美国司法部实施，此外，AWS 还提供了技术保障措施。

美国司法部计算机犯罪与知识产权部门于 2017 年发布了相关指导文件，建议检察官在没有特殊情况时，从企业（比如那些将数据存储在云服务提供商处的企业）获取数据，而非从提供商那里获取。这为检察官们提供了重要的指导，即应直接向企业索取相关数据。当我们收到此类针对企业客户内容的请求时，我们会尽一切合理努力将执法部门引导至客户，并在法律允许的前提下通知该客户。

不。CLOUD Act 适用于在美国运营或拥有合法分支机构的所有电子通信服务或远程计算服务提供商。例如，CLOUD Act 同样适用于总部位于欧盟且在美国运营业务的云服务提供商。总部位于法国、在美国开展业务的云服务提供商 OVHcloud 在其其 CLOUD Act 常见问题解答页面中指出：“OVHcloud 将遵守来自公共机构的合法要求。根据 CLOUD Act，这可能包括存储在美国境外的数据。”

根据美国法律，行政命令不能创设新的法律，也不能与国会通过的现有法律（如 CLOUD Act）相抵触。

不能。许多国家/地区都要求在处理涉及严重犯罪的法律程序时，必须披露存储客户数据的地点。这一概念已载于《布达佩斯网络犯罪公约》之中，该公约是首个旨在加强网络犯罪调查合作的国际条约。例如，英国的《境外生产令犯罪法案》允许英国执法机构在进行刑事调查时获取存储在英国境外的电子数据。根据美国司法部于 2024 年提交的一份文件，包括比利时、丹麦、法国、爱尔兰和西班牙在内的几个欧盟成员国的法律都有类似的规定。

我们有非常详尽的程序来处理来自任何国家/地区的执法请求。除非是依据具有法律效力且具有约束力的命令而必须进行披露，否则我们不会根据执法部门的要求公开客户数据。这一点我们在《AWS 数据处理补充协议》的补充附录中已有公开说明。当我们收到执法机构的请求时，我们会仔细检查该请求，验证其合法性，并验证其是否符合适用的法律。如果 AWS 收到针对企业客户内容的具有法律效力且具有约束力的请求时，AWS 会尽一切合理努力将执法部门引导至客户，并在法律允许的情况下通知该客户。AWS 将对与法律相冲突、范围过宽或存在其他不当之处的请求予以拒绝，这一点我们在《AWS 数据处理补充协议》的补充附录中已有公开说明。如果在采取了上述所有步骤之后，AWS 仍被要求披露客户数据，而我们又具备相应的技术能力，则我们将仅披露满足该请求所需的最少数据。有关我们处理执法请求的方法的更多信息，请访问我们的执法信息请求页面。

不。CLOUD Act 并未赋予执法部门任何新的权力，使其能够迫使服务提供商解密通信内容。

AWS 向客户提供了多种数据加密功能和控制功能，无论是传输中、静态还是内存中的数据，均可以安全加密。所有 AWS 服务都已支持加密，其中大多数还支持使用 AWS 无法访问的客户自主管理型密钥进行加密。没有适用的解密密钥，加密内容是不可用的。

AWS 按照合同要求承诺遵守相关数据保护法规。我们还承诺，对于任何来自政府机构的范围过宽或不恰当的要求（包括当此类要求与欧盟或其成员国适用法律相冲突时），我们将提出质疑。

不。CLOUD Act 不会改变其他国家/地区的当地法律。实际上，CLOUD Act 承认服务提供商有权质疑与其他国家/地区法律或国家利益冲突的请求。