Đạo luật sử dụng dữ liệu ở nước ngoài hợp pháp (CLOUD)

Chúng tôi tin rằng khách hàng nên duy trì quyền kiểm soát dữ liệu của riêng họ. AWS được thiết kế để trở thành cơ sở hạ tầng đám mây toàn cầu an toàn nhất nhằm mục đích xây dựng, di chuyển và quản lý các ứng dụng và khối lượng công việc, đồng thời chúng tôi cam kết cung cấp cho khách hàng các biện pháp bảo vệ quyền riêng tư và bảo mật hàng đầu trong ngành khi sử dụng các dịch vụ của chúng tôi.

AWS đã thiết kế các sản phẩm và dịch vụ nhằm đảm bảo rằng không ai – kể cả người vận hành AWS – có thể truy cập nội dung của khách hàng. Chúng tôi chỉ có thể phản hồi các yêu cầu pháp lý về dữ liệu trong trường hợp chúng tôi có khả năng kỹ thuật để thực hiện việc đó. Khách hàng của AWS có nhiều biện pháp kỹ thuật và biện pháp kiểm soát vận hành khác nhau nhằm ngăn chặn việc truy cập trái phép vào dữ liệu. Ví dụ, nhiều hệ thống và dịch vụ cốt lõi của AWS được thiết kế theo mô hình không cho phép quyền truy cập của người vận hành, nghĩa là các dịch vụ này không có bất kỳ phương tiện kỹ thuật nào cho phép người vận hành AWS truy cập vào dữ liệu khách hàng.

AWS Nitro System, nền tảng của các dịch vụ điện toán AWS, sử dụng phần cứng và phần mềm chuyên dụng để bảo vệ dữ liệu khỏi khả năng truy cập bên ngoài trong quá trình xử lý trên Amazon Elastic Compute Cloud (Amazon EC2). Bằng cách cung cấp một ranh giới bảo mật vật lý và logic vững chắc, AWS Nitro System được thiết kế để không cho phép bất kỳ ai – ngay cả người vận hành AWS – có thể truy cập vào khối lượng công việc của khách hàng trên EC2. Thiết kế của Nitro System đã được xác thực bởi NCC Group, một công ty an ninh mạng độc lập. Các biện pháp kiểm soát giúp ngăn chặn quyền truy cập của người vận hành là nền tảng cốt lõi của AWS Nitro System, do đó chúng tôi đã đưa các biện pháp này vào Điều khoản dịch vụ của AWS nhằm cung cấp thêm một cam kết theo hợp đồng cho tất cả khách hàng của chúng tôi.

Chúng tôi còn cung cấp cho khách hàng các tính năng và biện pháp kiểm soát để mã hóa dữ liệu, bất kể đang được truyền, đang được lưu trữ hay nằm trong bộ nhớ. Tất cả các dịch vụ của AWS đều hỗ trợ mã hóa, hầu hết trong số đó cũng hỗ trợ mã hóa với các khóa do khách hàng quản lý, mà AWS không thể truy cập được các khóa này. Nội dung được mã hóa trở nên vô dụng nếu không có các khóa giải mã áp dụng.

Để biết thêm thông tin về các dịch vụ hỗ trợ mô hình không cho phép quyền truy cập của người vận hành, xem Quyền truy cập của người vận hành trên AWS.

Đạo luật CLOUD được ban hành vào tháng 3 năm 2018 nhằm cho phép cơ quan thực thi pháp luật có thể nhanh chóng thu thập thông tin điện tử do nhà cung cấp dịch vụ lưu giữ để phục vụ cho các cuộc điều tra tội phạm nghiêm trọng, từ khủng bố và tội phạm bạo lực cho đến bóc lột tình dục trẻ em và tội phạm mạng. (Xem Tài nguyên Đạo luật CLOUD trên Trang web của Bộ Tư pháp Hoa Kỳ.) Lời khai được cung cấp bởi các viên chức của Bộ Tư pháp Hoa Kỳ (DOJ), những người ủng hộ đạo luật này, đã nhấn mạnh trọng tâm của Đạo luật CLOUD là cho phép cơ quan thực thi pháp luật trên toàn thế giới có thể yêu cầu cung cấp dữ liệu trong các cuộc điều tra xuyên biên giới liên quan đến các tội phạm nghiêm trọng. (Xem Lời khai của Richard Downing, DOJ, Phó Trợ lý Bộ trưởng Tư pháp, trước Ủy ban Tư pháp Hạ viện vào ngày 15 tháng 6 năm 2017.)

Cơ quan thực thi pháp luật Hoa Kỳ chỉ có thể yêu cầu nhà cung cấp dịch vụ cung cấp dữ liệu nội dung khi có lệnh khám xét do thẩm phán liên bang độc lập cấp theo đúng thủ tục tố tụng hình sự của Hoa Kỳ. Để được cấp lệnh khám xét theo luật Hoa Kỳ, thẩm phán phải được thuyết phục rằng có căn cứ hợp lý cho thấy đã xảy ra một hành vi phạm tội và bằng chứng phạm tội có khả năng tìm thấy ở nơi cần khám xét, theo đúng như lệnh khám xét quy định (tức là dữ liệu nằm trong một tài khoản điện tử cụ thể, ví dụ như tài khoản email). Tiêu chuẩn pháp lý này phải được chứng minh bằng những sự kiện cụ thể và đáng tin cậy. Mỗi lệnh khám xét đều phải vượt qua một quy trình đánh giá nghiêm ngặt về căn cứ hợp lý, dựa trên các sự kiện đáng tin, tính cụ thể và tính hợp pháp; đồng thời phải được thẩm phán độc lập phê duyệt và phải đáp ứng các yêu cầu về phạm vi và thẩm quyền.

Các chính phủ nước ngoài khi yêu cầu dữ liệu theo một thỏa thuận hành pháp của Đạo luật CLOUD với Hoa Kỳ cũng phải đáp ứng các yêu cầu tương tự. DOJ giải thích rằng “các lệnh yêu cầu dữ liệu theo Đạo luật CLOUD phải được thu thập hợp pháp theo luật trong nước của quốc gia yêu cầu; phải nhắm đến cá nhân hoặc tài khoản cụ thể; phải có lý do hợp lý dựa trên các sự kiện rõ ràng và đáng tin, tính cụ thể, tính hợp pháp và mức độ nghiêm trọng; và phải chịu sự xem xét hoặc giám sát của một cơ quan độc lập, như thẩm phán hoặc thẩm tra viên. Không được phép thu thập dữ liệu hàng loạt.”

Vào tháng 5 năm 2023, DOJ cũngđã ban hành một chính sách yêu cầu các công tố viên phải liên hệ với Văn phòng Quan hệ Quốc tế (OIA) của Bộ khi nhận thấy cần thu thập bằng chứng nằm ở quốc gia khác. Trong đó yêu cầu các công tố viên khi muốn thu thập bằng chứng mà họ biết đang nằm ở nước ngoài, thì phải có sự phê duyệt từ OIA trước khi xin lệnh buộc một nhà cung cấp tại Hoa Kỳ phải tiết lộ bằng chứng đó. Chính sách của DOJ về bằng chứng ở nước ngoài nhấn mạnh rằng mỗi quốc gia đều ban hành luật để bảo vệ chủ quyền của mình; OIA có nhiệm vụ xử lý các vấn đề này và hỗ trợ các công tố viên lựa chọn cơ chế phù hợp để thu thập bằng chứng.

Tính đến tháng 6 năm 2025, chưa có yêu cầu dữ liệu nào gửi tới AWS dẫn đến việc tiết lộ dữ liệu nội dung của doanh nghiệp hoặc chính phủ được lưu trữ bên ngoài Hoa Kỳ cho chính phủ Hoa Kỳ, kể từ khi chúng tôi bắt đầu công bố thống kê này. Bản ghi này phản ánh các biện pháp bảo vệ pháp lý mạnh mẽ trong luật pháp Hoa Kỳ và các chính sách do Bộ Tư pháp Hoa Kỳ thực thi ngoài các biện pháp bảo vệ kỹ thuật mà AWS cung cấp.

Bộ phận Tội phạm Máy tính và Sở hữu Trí tuệ (CCIPS) thuộc DOJ đã ban hành hướng dẫn vào năm 2017 khuyến nghị các công tố viên nên yêu cầu dữ liệu từ doanh nghiệp, ví dụ: công ty lưu trữ dữ liệu trên cloud thay vì yêu cầu trực tiếp từ nhà cung cấp dịch vụ lưu trữ đám mây, trừ khi có các tình huống đặc biệt. Nhờ đó, các công tố viên sẽ có hướng dẫn quan trọng để yêu cầu dữ liệu trực tiếp từ các doanh nghiệp. Khi nhận được các yêu cầu như vậy đối với dữ liệu nội dung của khách hàng doanh nghiệp, chúng tôi sẽ nỗ lực hết mức có thể lý để chuyển hướng việc thực thi pháp luật đến khách hàng và thông báo cho khách hàng khi pháp luật cho phép.

Không. Đạo luật CLOUD áp dụng cho tất cả các nhà cung cấp dịch vụ truyền thông điện tử hoặc dịch vụ điện toán từ xa hoạt động hoặc có sự hiện diện hợp pháp tại Hoa Kỳ. Ví dụ, Đạo luật CLOUD cũng được áp dụng cho nhà cung cấp dịch vụ đám mây có trụ sở tại EU và có hoạt động tại Hoa Kỳ. OVHcloud, một nhà cung cấp dịch vụ đám mây có trụ sở tại Pháp nhưng có hoạt động tại Hoa Kỳ, đã nêu trong trang Câu hỏi thường gặp về Đạo luật CLOUD rằng: “OVHcloud sẽ tuân thủ các yêu cầu hợp pháp từ cơ quan công quyền. Theo Đạo luật CLOUD, trong đó có thể bao gồm dữ liệu được lưu trữ bên ngoài Hoa Kỳ.”

Theo luật pháp Hoa Kỳ, các hành động hành pháp không thể tạo ra luật mới hoặc mâu thuẫn với các luật hiện hành được Quốc hội thông qua, chẳng hạn như Đạo luật CLOUD.

Không. Nhiều quốc gia yêu cầu tiết lộ dữ liệu khách hàng ở bất kỳ nơi nào dữ liệu được lưu trữ khi có quy trình pháp lý liên quan đến các tội phạm nghiêm trọng. Khái niệm này được ghi nhận trong Công ước Budapest về tội phạm mạng, đây là hiệp ước quốc tế đầu tiên nhằm cải thiện sự hợp tác trong các cuộc điều tra tội phạm mạng. Ví dụ, Đạo luật Crime (Overseas Production Orders) của Vương quốc Anh cho phép các cơ quan thực thi pháp luật của Vương quốc Anh có thể yêu cầu và thu thập dữ liệu điện tử được lưu trữ bên ngoài nước Anh, khi liên quan đến một cuộc điều tra hình sự. Theo hồ sơ 2024 của DOJ Hoa Kỳ, luật pháp của một số quốc gia thành viên châu Âu, bao gồm Bỉ, Đan Mạch, Pháp, Ireland và Tây Ban Nha có yêu cầu tương tự.

Chúng tôi có các thủ tục rất chi tiết để xử lý các yêu cầu từ cơ quan thực thi pháp luật của bất kỳ quốc gia nào. Chúng tôi không tiết lộ dữ liệu khách hàng theo yêu cầu của cơ quan thực thi pháp luật, trừ khi chúng tôi bị buộc phải làm như vậy theo một lệnh hợp lệ và có tính ràng buộc về mặt pháp lý, như chúng tôi đã công khai cam kết trong Phụ lục bổ sung của Thỏa thuận xử lý dữ liệu AWS. Khi chúng tôi nhận được yêu cầu từ cơ quan thực thi pháp luật, chúng tôi sẽ kiểm tra cẩn thận để xác thực tính hợp pháp và để xác minh yêu cầu đó tuân thủ luật pháp hiện hành. Nếu AWS nhận được một yêu cầu hợp lệ và có tính ràng buộc về mặt pháp lý đối với nội dung của khách hàng doanh nghiệp, AWS sẽ nỗ lực hết mức để chuyển hướng cơ quan thực thi pháp luật đến khách hàng và sẽ thông báo cho khách hàng nếu được pháp luật cho phép. AWS sẽ thách thức các yêu cầu mâu thuẫn với luật pháp, vượt quyền hạn hoặc không phù hợp như chúng tôi đã cam kết công khai trong Phụ lục bổ sung của Thỏa thuận xử lý dữ liệu AWS. Nếu AWS vẫn bị buộc phải tiết lộ dữ liệu khách hàng sau khi đã hoàn thành các bước này và chúng tôi có khả năng kỹ thuật để thực hiện điều đó, thì chúng tôi chỉ tiết lộ mức tối thiểu cần thiết để đáp ứng yêu cầu đó. Để biết thêm thông tin về cách chúng tôi xử lý các yêu cầu từ cơ quan thực thi pháp luật, hãy truy cập trang Yêu cầu thông tin từ cơ quan thực thi pháp luật.

Không. Đạo luật CLOUD không tạo ra bất kỳ thẩm quyền mới nào để cơ quan thực thi pháp luật buộc các nhà cung cấp dịch vụ phải giải mã các thông tin liên lạc.

AWS cung cấp cho khách hàng các tính năng và biện pháp kiểm soát để mã hóa dữ liệu, bất kể đang được truyền, đang được lưu trữ hay nằm trong bộ nhớ. Tất cả các dịch vụ của AWS đều hỗ trợ mã hóa, hầu hết trong số đó cũng hỗ trợ mã hóa với các khóa do khách hàng quản lý, mà AWS không thể truy cập được các khóa này. Nội dung được mã hóa trở nên vô dụng nếu không có các khóa giải mã áp dụng.

Theo hợp đồng, AWS cam kết tuân thủ luật bảo vệ dữ liệu hiện hành. Chúng tôi cũng cam kết sẽ thách thức bất kỳ yêu cầu quá mức hoặc không phù hợp nào từ một cơ quan chính phủ (bao gồm cả trường hợp yêu cầu đó xung đột với luật hiện hành của Liên minh Châu Âu hoặc luật của một Quốc gia Thành viên).

Không. Đạo luật CLOUD không thay đổi luật địa phương của quốc gia khác. Thực tế, Đạo luật CLOUD đã công nhận quyền của các nhà cung cấp dịch vụ để thách thức các yêu cầu xung đột với luật pháp hay lợi ích quốc gia của quốc gia khác.