Clarifying Lawful Overseas Use of Data (CLOUD) Act

Kami percaya pelanggan harus mempertahankan kontrol atas data mereka sendiri. AWS dirancang untuk menjadi infrastruktur cloud global paling aman untuk membangun, memigrasi, serta mengelola aplikasi dan beban kerja, dan kami berkomitmen untuk menyediakan pelanggan kami perlindungan privasi dan keamanan terdepan di industri saat menggunakan layanan kami.

AWS telah merancang produk dan layanan yang memastikan bahwa tidak seorang pun—bahkan operator AWS—dapat mengakses konten pelanggan. Kami hanya dapat menanggapi permintaan data yang bersifat hukum jika kami memiliki kemampuan teknis untuk melakukannya. Pelanggan AWS memiliki berbagai langkah teknis dan kontrol operasional untuk mencegah akses ke data. Misalnya, banyak sistem dan layanan inti AWS dirancang tanpa akses operator sama sekali, yang berarti layanan-layanan tersebut tidak memiliki sarana teknis yang memungkinkan operator AWS mengakses data pelanggan.

AWS Nitro System, yang menjadi fondasi layanan komputasi AWS, menggunakan perangkat keras dan perangkat lunak khusus untuk melindungi data dari akses pihak luar selama proses pemrosesan di Amazon Elastic Compute Cloud (Amazon EC2). Dengan memberikan batas keamanan fisik dan logis yang kuat, Nitro dirancang agar tidak ada orang yang tidak berwenang—bahkan operator AWS sekalipun—dapat mengakses beban kerja pelanggan di EC2. Desain Nitro System telah dvalidasi oleh NCC Group, sebuah perusahaan keamanan siber independen. Kontrol yang membantu mencegah akses operator sangat penting bagi Nitro System sehingga kami telah menambahkannya dalam Ketentuan Layanan AWS untuk memberikan jaminan kontrak tambahan kepada semua pelanggan kami.

Kami juga menyediakan fitur dan pengaturan bagi pelanggan untuk mengenkripsi data, baik yang sedang bergerak, diam, maupun dalam memori. Semua layanan AWS sudah mendukung enkripsi, dan sebagian besarnya juga mendukung enkripsi dengan kunci yang dikelola pelanggan yang tidak dapat diakses oleh AWS. Konten yang terenkripsi tidak dapat digunakan tanpa kunci dekripsi yang dapat diterapkan.

Untuk informasi selengkapnya tentang layanan kami yang mendukung akses tanpa operator, lihat Akses Operator di AWS.

CLOUD Act disahkan pada Maret 2018 untuk mempercepat kemampuan penegak hukum dalam memperoleh informasi elektronik yang disimpan oleh penyedia layanan dalam penyelidikan tindak pidana berat, mulai dari terorisme dan tindak pidana kekerasan hingga eksploitasi seksual anak dan kejahatan siber. (Lihat Sumber Daya CLOUD Act di Situs web Departemen Kehakiman AS.) Testimoni yang disampaikan oleh Pejabat Departemen Kehakiman (DOJ) yang mendukung undang-undang tersebut menekankan bahwa inti dari CLOUD Act terletak pada kemampuan penegak hukum di seluruh dunia untuk memperoleh data dalam penyelidikan lintas batas yang melibatkan kejahatan berat. (Lihat Testimoni Richard Downing, DOJ, Deputy Assistant Attorney General, di hadapan Komite Kehakiman DPR pada tanggal 15 Juni 2017.)

Penegak hukum AS dapat meminta secara data paksa konten dari penyedia layanan hanya dengan menunjukkan surat perintah yang disahkan oleh hakim federal independen sesuai dengan prosedur pidana AS. Agar surat perintah dikeluarkan berdasarkan hukum AS, hakim AS harus yakin bahwa ada dugaan kuat telah terjadi kejahatan dan bahwa bukti kejahatan itu akan ditemukan di tempat yang akan digeledah, sebagaimana ditentukan oleh surat perintah (yaitu, data dalam akun elektronik tertentu seperti akun email). Standar hukum ini harus ditetapkan berdasarkan fakta yang spesifik dan dapat dipercaya. Setiap surat perintah penggeledahan harus melalui penilaian ketat mengenai adanya dugaan kuat yang didasarkan pada fakta, kejelasan, dan legalitas yang kredibel, harus disetujui oleh hakim independen, dan harus memenuhi persyaratan mengenai ruang lingkup dan yurisdiksi.

Pemerintah dari negara lain yang meminta data sesuai dengan perjanjian eksekutif CLOUD Act dengan AS harus memenuhi persyaratan serupa. DOJ atau Departemen Kehakiman AS telah menjelaskan bahwa “[p]erintah yang meminta data berdasarkan CLOUD Act harus diperoleh secara sah sesuai dengan sistem hukum dalam negeri negara yang meminta data tersebut; harus ditujukan kepada individu atau akun tertentu; harus memiliki alasan yang masuk akal berdasarkan fakta-fakta yang dapat dijelaskan dan kredibel, kejelasan, legalitas, dan tingkat keparahan; serta harus tunduk pada peninjauan atau pengawasan oleh otoritas independen, seperti hakim atau hakim pengadilan negeri. Pengumpulan data dalam jumlah besar tidak diperbolehkan."

DOJ juga mengeluarkan kebijakan pada Mei 2023 bahwa jaksa penuntut umum harus menghubungi Kantor Urusan Internasional (OIA) Departemen tersebut ketika mereka mengetahui bahwa mereka membutuhkan bukti yang berada di negara lain. Kebijakan tersebut mewajibkan jaksa penuntut umum yang mencari bukti yang diketahui berada di luar negeri untuk mendapatkan persetujuan dari OIA sebelum mengajukan permohonan perintah pengungkapan bukti tersebut kepada penyedia layanan di Amerika Serikat. Kebijakan DOJ mengenai bukti di luar negeri menyebutkan bahwa setiap negara memberlakukan undang-undang untuk melindungi kedaulatannya; OIA berupaya menangani masalah-masalah ini dan membantu jaksa penuntut umum dalam memilih mekanisme yang tepat untuk memperoleh bukti.

Sejak Juni 2025, belum ada permintaan data ke AWS yang mengakibatkan pengungkapan data konten perusahaan atau pemerintah yang disimpan di luar AS kepada pemerintah AS sejak kami mulai melaporkan statistik ini. Catatan ini mencerminkan perlindungan hukum yang kuat dalam undang-undang AS serta kebijakan yang diterapkan oleh AS. Departemen Kehakiman, selain perlindungan teknis yang ditawarkan AWS.

Divisi Kejahatan Komputer dan Kekayaan Intelektual Departemen Kehakiman AS menerbitkan panduan pada tahun 2017 yang mengimbau jaksa penuntut umum untuk meminta data dari suatu perusahaan, seperti perusahaan yang menyimpan data di penyedia layanan cloud, alih-alih dari penyedia layanan itu sendiri, kecuali dalam kasus khusus. Hal ini memberikan panduan penting kepada jaksa penuntut untuk mencari data langsung dari perusahaan. Ketika kami menerima permintaan tersebut untuk konten pelanggan perusahaan, kami melakukan segala upaya yang wajar untuk mengarahkan penegakan hukum kepada pelanggan dan memberi tahu pelanggan jika diizinkan secara hukum.

Tidak. CLOUD Act berlaku untuk semua layanan komunikasi elektronik atau penyedia layanan komputasi jarak jauh yang beroperasi atau memiliki status hukum yang sah di AS. Misalnya, CLOUD Act juga berlaku untuk penyedia layanan cloud yang berkantor pusat di UE dan beroperasi di Amerika Serikat. OVHCloud, penyedia layanan cloud yang berkantor pusat di Prancis dan beroperasi di AS, menyatakan di halaman FAQ CLOUD Act bahwa “OVHcloud akan mematuhi permintaan hukum dari otoritas publik. Di dalam CLOUD Act, hal ini dapat mencakup data yang disimpan di luar Amerika Serikat."

Berdasarkan hukum negara AS, tindakan eksekutif tidak dapat menciptakan undang-undang baru atau bertentangan dengan undang-undang yang sudah ada yang disahkan oleh Kongres, seperti CLOUD Act.

Tidak. Banyak negara mewajibkan pengungkapan data pelanggan, di mana pun data tersebut disimpan, sebagai tanggapan atas proses hukum yang berkaitan dengan tindak pidana berat. Konsep ini tercantum dalam Konvensi Budapest tentang Kejahatan Siber, yang merupakan perjanjian internasional pertama yang bertujuan untuk meningkatkan kerja sama dalam penyelidikan kejahatan siber. Misalnya, Crime (Overseas Production Orders) Act Inggris Raya memungkinkan lembaga penegak hukum Inggris Raya (U.K.) untuk memperoleh data elektronik yang disimpan di luar wilayah Inggris Raya sehubungan dengan penyelidikan pidana. Menurut laporan tahun 2024 yang diajukan oleh DOJ AS, undang-undang di beberapa negara anggota Uni Eropa, termasuk Belgia, Denmark, Prancis, Irlandia, dan Spanyol, memiliki persyaratan yang serupa.

Kami memiliki prosedur yang sangat rinci untuk menangani permintaan penegakan hukum dari negara mana pun. Kami tidak mengungkapkan data pelanggan sebagai tanggapan atas permintaan penegak hukum kecuali kami diwajibkan untuk melakukannya dengan perintah yang sah dan mengikat secara hukum seperti yang telah kami nyatakan secara terbuka dalam Adendum Tambahan Pemrosesan Data AWS. Ketika kami menerima permintaan dari penegak hukum, kami memeriksanya dengan cermat untuk memastikan keabsahannya dan memastikan bahwa permintaan tersebut sesuai dengan hukum yang berlaku. Jika AWS menerima permintaan yang sah dan mengikat secara hukum untuk konten pelanggan perusahaan, AWS akan menggunakan segala upaya yang wajar untuk mengarahkan penegakan hukum kepada pelanggan dan akan memberi tahu pelanggan jika diizinkan secara hukum. AWS akan menolak permintaan yang bertentangan dengan hukum, terlalu luas cakupannya, atau tidak sesuai dalam hal lain, sebagaimana telah kami nyatakan secara terbuka dalam Adendum pada Tambahan Pemrosesan Data AWS. Jika AWS tetap diwajibkan untuk mengungkapkan data pelanggan setelah semua langkah tersebut telah ditempuh, dan kami memiliki kemampuan teknis untuk melakukannya, kami hanya akan mengungkapkan informasi yang benar-benar diperlukan untuk memenuhi permintaan tersebut. Untuk informasi selengkapnya mengenai cara kami menangani permintaan dari pihak penegak hukum, kunjungi halaman Permintaan Informasi Penegakan Hukum kami.

Tidak. CLOUD Act tidak membuat kewenangan baru bagi penegak hukum untuk memaksa penyedia layanan untuk mendekripsi komunikasi.

AWS menyediakan fitur dan pengaturan bagi pelanggan untuk mengenkripsi data, baik yang sedang bergerak, diam, maupun yang dalam memori. Semua layanan AWS sudah mendukung enkripsi, dan sebagian besarnya juga mendukung enkripsi dengan kunci yang dikelola pelanggan yang tidak dapat diakses oleh AWS. Konten yang terenkripsi tidak dapat digunakan tanpa kunci dekripsi yang dapat diterapkan.

AWS secara kontrak berkomitmen untuk mematuhi undang-undang perlindungan data yang berlaku. Kami juga berkomitmen untuk menolak permintaan yang berlebihan atau tidak sesuai dari badan pemerintah (termasuk jika permintaan tersebut bertentangan dengan hukum Uni Eropa yang berlaku atau hukum Negara Anggota).

Tidak. CLOUD Act tidak mengubah undang-undang setempat di negara lain. Faktanya, CLOUD Act mengakui hak penyedia layanan untuk menolak permintaan yang bertentangan dengan undang-undang atau kepentingan nasional negara lain.