พระราชบัญญัติการชี้แจงการใช้ข้อมูลในต่างประเทศอย่างถูกกฎหมาย (CLOUD)

เราเชื่อว่าลูกค้าควรควบคุมข้อมูลของตนเอง AWS ได้รับการออกแบบมาเพื่อเป็นโครงสร้างพื้นฐานในระบบคลาวด์ระดับโลกที่ปลอดภัยที่สุดในการสร้าง ย้าย และจัดการแอปพลิเคชันและเวิร์กโหลด และเรามุ่งมั่นที่จะมอบความเป็นส่วนตัวและความปลอดภัยชั้นนำของลูกค้าของเราในอุตสาหกรรมเมื่อใช้บริการของเรา

AWS ได้ออกแบบผลิตภัณฑ์และบริการที่ทำให้แน่ใจว่าไม่มีใครแม้แต่ผู้ประกอบการ AWS ก็สามารถเข้าถึงเนื้อหาของลูกค้าได้ เราสามารถตอบสนองต่อคำขอข้อมูลทางกฎหมายเท่านั้นที่เรามีความสามารถทางเทคนิคในการทำเช่นนั้นเท่านั้น ลูกค้า AWS มีมาตรการทางเทคนิคและการควบคุมการทำงานที่หลากหลายเพื่อป้องกันการเข้าถึงข้อมูล ตัวอย่างเช่น ระบบและบริการหลักของ AWS จำนวนมากได้รับการออกแบบโดยมีการเข้าถึงผู้ให้บริการเป็นศูนย์ หมายความว่าบริการไม่มีวิธีการทางเทคนิคใด ๆ สำหรับผู้ปฏิบัติงาน AWS ในการเข้าถึงข้อมูลของลูกค้า

AWS Nitro System คือรากฐานของบริการประมวลผลของ AWS ที่ใช้ฮาร์ดแวร์และซอฟต์แวร์พิเศษในการปกป้องข้อมูลจากการเข้าถึงจากภายนอกระหว่างการประมวลผลบน Amazon Elastic Compute Cloud (Amazon EC2) ด้วยการให้ขอบเขตการรักษาความปลอดภัยทางกายภาพและตรรกะที่แข็งแกร่ง Nitro ได้รับการออกแบบมาเพื่อให้ไม่มีบุคคลที่ไม่ได้รับอนุญาต แม้แต่ผู้ปฏิบัติงาน AWS ก็สามารถเข้าถึงเวิร์กโหลดของลูกค้าบน EC2 การออกแบบระบบ Nitro ได้รับการตรวจสอบโดย NCC Group ซึ่งเป็นบริษัทรักษาความปลอดภัยทางไซเบอร์อิสระ การควบคุมที่ช่วยป้องกันการเข้าถึงของผู้ปฏิบัติงานเป็นพื้นฐานมากสำหรับระบบ Nitro ที่เราได้เพิ่มไว้ในข้อกำหนดการให้บริการของ AWS ของเราเพื่อมอบการรับประกันตามสัญญาเพิ่มเติมให้กับลูกค้าของเราทุกคน

เรามอบฟีเจอร์และการควบคุมการเข้ารหัสข้อมูลให้กับลูกค้า ไม่ว่าจะอยู่ระหว่างการโอนย้าย ในพื้นที่จัดเก็บ หรือในหน่วยความจำ บริการของ AWS ทั้งหมดรองรับการเข้ารหัสอยู่แล้ว โดยส่วนใหญ่ยังรองรับการเข้ารหัสด้วยคีย์ที่จัดการโดยลูกค้า ซึ่ง AWS ไม่สามารถเข้าถึงได้ เนื้อหาที่เข้ารหัสไว้จะใช้ประโยชน์ไม่ได้หากไม่มีคีย์ถอดรหัสที่ใช้ได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับบริการของเราที่รองรับการเข้าถึงผู้ให้บริการเป็นศูนย์ โปรดดูที่ การเข้าถึงผู้ปฏิบัติงานบน AWS

พระราชบัญญัติ CLOUD ได้รับการประมวลผลในเดือนมีนาคม 2018 เพื่อเร่งความสามารถในการรับข้อมูลอิเล็กทรอนิกส์ของผู้ให้บริการในการสืบสวนอาชญากรรมร้ายแรงตั้งแต่การก่อการร้ายและอาชญากรรมรุนแรงไปจนถึงการแสวงหาประโยชน์ทางเพศของเด็กและอาชญากรรมทางไซเบอร์ (ดูทรัพยากรเกี่ยวกับพระราชบัญญัติ CLOUD ในสหรัฐอเมริกา เว็บไซต์กระทรวงยุติธรรม) คำพยานที่จัดทำโดย U.S. เจ้าหน้าที่ของกระทรวงยุติธรรม (DOJ) ที่สนับสนุนกฎหมายทำให้พระราชบัญญัติ CLOUD มุ่งเน้นไปที่ความสามารถของผู้บังคับใช้กฎหมายทั่วโลกในการบังคับให้ข้อมูลในการสอบสวนข้ามพรมแดนที่เกี่ยวข้องกับอาชญากรรมร้ายแรง (ดูคำพยานของ Richard Downing, DOJ, รองผู้ช่วยอัยการสูงสุด, ต่อหน้าคณะกรรมการตุลาการในสภาเมื่อวันที่ 15 มิถุนายน 2017)

หน่วยงานบังคับใช้กฎหมายของสหรัฐฯ สามารถบังคับให้ข้อมูลเนื้อหาจากผู้ให้บริการได้โดยมีใบสำคัญแสดงสิทธิที่ได้รับอนุญาตจากผู้พิพากษาของรัฐบาลกลางอิสระตามขั้นตอนทางอาญาของสหรัฐอเมริกาเท่านั้น เพื่อให้ใบสำคัญแสดงออกภายใต้กฎหมายของสหรัฐอเมริกา ผู้พิพากษาของสหรัฐจะต้องมั่นใจว่ามีสาเหตุที่เป็นไปได้ที่จะเชื่อว่ามีการเกิดอาชญากรรมและหลักฐานของอาชญากรรมนั้นจะถูกพบในสถานที่ที่จะทำการค้นหา ตามที่ระบุโดยใบอนุญาต (นั่นคือข้อมูลในบัญชีอิเล็กทรอนิกส์เฉพาะ เช่น บัญชีอีเมล) มาตรฐานทางกฎหมายนี้จะต้องสร้างขึ้นผ่านข้อเท็จจริงที่เฉพาะเจาะจงและน่าเชื่อถือ ใบสั่งการค้นหาแต่ละใบต้องผ่านการพิจารณาสาเหตุที่เป็นไปได้ที่เข้มงวดนี้เกี่ยวกับข้อเท็จจริงที่น่าเชื่อถือ ความจำเพาะ และความถูกต้องตามกฎหมาย จะต้องได้รับการอนุมัติจากผู้พิพากษาอิสระ และต้องเป็นไปตามข้อกำหนดเกี่ยวกับขอบเขตและเขตอำนาจศาล

รัฐบาลต่างประเทศที่ร้องขอข้อมูลตามข้อตกลงผู้บริหารของพระราชบัญญัติ CLOUD กับสหรัฐอเมริกาจะต้องเป็นไปตามข้อกำหนดที่คล้ายกัน DOJ ได้อธิบายว่า “คำสั่งซื้อที่ร้องขอข้อมูลภายใต้พระราชบัญญัติ CLOUD จะต้องได้รับตามกฎหมายภายใต้ระบบภายในประเทศของประเทศที่แสวงหาข้อมูล ต้องกำหนดเป้าหมายบุคคลหรือบัญชีเฉพาะ ต้องมีเหตุผลที่เหมาะสมตามข้อเท็จจริงที่ชัดเจนและเชื่อถือได้ ความจำเพาะ ความถูกต้องตามกฎหมายและความรุนแรง และต้องได้รับการตรวจสอบหรือกำกับดูแลโดยหน่วยงานอิสระเช่นผู้พิพากษาหรือผู้พิพากษา ไม่อนุญาตให้เก็บรวบรวมข้อมูลจำนวนมาก“

DOJ ยังได้ออกนโยบายในเดือนพฤษภาคม 2023 ว่าอัยการควรติดต่อสำนักงานกิจการระหว่างประเทศ (OIA) ของกรมเมื่อพวกเขาทราบว่าพวกเขาต้องการหลักฐานที่อยู่ในประเทศอื่น กำหนดให้อัยการที่แสวงหาหลักฐานที่ทราบว่าอยู่ในต่างประเทศจะต้องได้รับการอนุมัติจาก OIA ก่อนที่จะได้รับคำสั่งเพื่อบังคับให้เปิดเผยหลักฐานดังกล่าวจากผู้ให้บริการในสหรัฐอเมริกา นโยบาย DOJ เกี่ยวกับหลักฐานในต่างประเทศระบุว่าทุกประเทศจัดทำกฎหมายเพื่อปกป้องอธิปไตยของตน OIA ทำงานเพื่อแก้ไขปัญหาเหล่านี้และช่วยอัยการในการเลือกกลไกที่เหมาะสมเพื่อรักษาหลักฐาน

ณ เดือนมิถุนายน 2025 ไม่มีการร้องขอข้อมูลไปยัง AWS ซึ่งส่งผลให้มีการเปิดเผยข้อมูลเนื้อหาองค์กรหรือรัฐบาลที่เก็บไว้นอกสหรัฐอเมริกาให้กับรัฐบาลสหรัฐตั้งแต่เราเริ่มรายงานสถิตินี้ บันทึกนี้สะท้อนให้เห็นถึงการคุ้มครองทางกฎหมายที่แข็งแกร่งภายในกฎหมายและนโยบายของสหรัฐอเมริกาที่ดำเนินการโดยสหรัฐอเมริกา กระทรวงยุติธรรมนอกเหนือจากให้การป้องกันทางเทคนิคกับ AWS แล้วยังเสนอ

ส่วนอาชญากรรมคอมพิวเตอร์และทรัพย์สินทางปัญญาของ DOJ ได้ออกคำแนะนำในปี 2017 โดยให้คำแนะนำแก่อัยการในการแสวงหาข้อมูลจากองค์กร เช่น บริษัท ที่จัดเก็บข้อมูลกับผู้ให้บริการระบบคลาวด์มากกว่าจากผู้ให้บริการ โดยไม่มีสถานการณ์พิเศษ สิ่งนี้ให้คำแนะนำที่สำคัญแก่อัยการในการแสวงหาข้อมูลโดยตรงจากองค์กร เมื่อเราได้รับคำขอดังกล่าวสำหรับเนื้อหาของลูกค้าองค์กร เราจะพยายามอย่างสมเหตุสมผลเพื่อเปลี่ยนเส้นทางการบังคับใช้กฎหมายไปยังลูกค้าและแจ้งให้ลูกค้าทราบเมื่อได้รับอนุญาตตามกฎหมาย

ไม่ พระราชบัญญัติ CLOUD มีผลบังคับใช้กับบริการสื่อสารอิเล็กทรอนิกส์หรือผู้ให้บริการคอมพิวเตอร์ระยะไกลทั้งหมดที่ดำเนินการหรือมีอยู่ตามกฎหมายในสหรัฐอเมริกา ตัวอย่างเช่น พระราชบัญญัติ CLOUD ยังใช้ได้กับผู้ให้บริการคลาวด์ที่มีสำนักงานใหญ่ในสหภาพยุโรปและมีการดำเนินงานในสหรัฐอเมริกา OVHcloud ผู้ให้บริการคลาวด์ที่มีสำนักงานใหญ่ในฝรั่งเศสซึ่งดำเนินการในสหรัฐอเมริกา ระบุไว้ในหน้าคำถามที่พบบ่อยของกฎหมายว่าด้วยระบบคลาวด์ว่า “OVHcloud จะปฏิบัติตามคำขอที่ถูกกฎหมายจากหน่วยงานภาครัฐ ภายใต้พระราชบัญญัติ CLOUD ซึ่งอาจรวมถึงข้อมูลที่เก็บไว้นอกสหรัฐอเมริกา“

ภายใต้กฎหมายของสหรัฐอเมริกา การกระทำของผู้บริหารไม่สามารถสร้างกฎหมายใหม่หรือขัดแย้งกับกฎหมายที่มีอยู่ที่ผ่านโดยสภาคองเกรส เช่น พระราชบัญญัติ CLOUD

ไม่ หลายประเทศต้องการเปิดเผยข้อมูลลูกค้าทุกที่เก็บไว้เพื่อตอบสนองต่อกระบวนการทางกฎหมายที่เกี่ยวข้องกับอาชญากรรมร้ายแรง แนวคิดนี้ได้รับการประดิษฐานไว้ในอนุสัญญาบูดาเปสต์เกี่ยวกับอาชญากรรมไซเบอร์ซึ่งเป็นสนธิสัญญาระหว่างประเทศครั้งแรกที่มีวัตถุประสงค์เพื่อปรับปรุงความร่วมมือในการสืบสวนอาชญากรรมไซเบอร์ ตัวอย่างเช่น พระราชบัญญัติอาชญากรรม (Overseas Production Orders) ของสหราชอาณาจักร อนุญาตให้หน่วยงานบังคับใช้กฎหมายของสหราชอาณาจักร (สหราชอาณาจักร) ได้รับข้อมูลอิเล็กทรอนิกส์ที่เก็บไว้ที่อยู่นอกสหราชอาณาจักรที่เกี่ยวข้องกับการสอบสวนทางอาญา ตามการยื่นคำร้องปี 2024 โดยสหรัฐอเมริกา DOJ กฎหมายของประเทศสมาชิกในยุโรปหลายประเทศรวมถึงเบลเยียมเดนมาร์กฝรั่งเศสไอร์แลนด์และสเปนมีข้อกำหนดที่คล้ายกัน

เรามีขั้นตอนที่ละเอียดมากสำหรับการจัดการคำขอบังคับใช้กฎหมายจากประเทศใดๆ เราไม่เปิดเผยข้อมูลของลูกค้าเพื่อตอบสนองต่อคำขอบังคับใช้กฎหมาย เว้นแต่เราจะมีหน้าที่ต้องดำเนินการดังกล่าวโดยคำสั่งที่ถูกต้องตามกฎหมายและผูกพันตามที่เราได้ยอมรับต่อสาธารณะในภาคผนวกเพิ่มเติมของภาคผนวกการประมวลผลข้อมูล AWS เมื่อเราได้รับคำขอจากหน่วยงานบังคับใช้กฎหมาย เราจะตรวจสอบอย่างละเอียดเพื่อยืนยันความถูกต้องและเพื่อตรวจสอบว่าเป็นไปตามกฎหมายที่บังคับใช้ หาก AWS ได้รับคำขอที่ถูกต้องตามกฎหมายและผูกพันสำหรับเนื้อหาของลูกค้าองค์กร AWS จะใช้ความพยายามอย่างสมเหตุสมผลเพื่อเปลี่ยนเส้นทางบังคับใช้กฎหมายไปยังลูกค้า และจะแจ้งให้ลูกค้าทราบหากได้รับอนุญาตตามกฎหมาย AWS จะท้าทายคำขอที่ขัดแย้งกับกฎหมาย มีความกว้างขวางเกินไป หรือไม่เหมาะสมอย่างอื่นใดตามที่เราได้กระทำต่อสาธารณะในภาคผนวกเพิ่มเติมของภาคผนวกการประมวลผลข้อมูล AWS หาก AWS ยังคงบังคับให้เปิดเผยข้อมูลลูกค้าหลังจากขั้นตอนเหล่านี้หมดแล้ว และเรามีความสามารถทางเทคนิค ในการทำเช่นนั้น เราจะเปิดเผยเฉพาะขั้นต่ำที่จำเป็นเพื่อตอบสนองคำขอเท่านั้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับแนวทางของเราในการร้องขอบังคับใช้กฎหมาย โปรดไปที่หน้าคำขอข้อมูลการบังคับใช้กฎหมาย

ไม่ พระราชบัญญัติ CLOUD ไม่ได้สร้างอำนาจใหม่ใด ๆ กับหน่วยงานบังคับใช้กฎหมายเพื่อบังคับให้ผู้ให้บริการถอดรหัสการสื่อสาร

AWS มอบฟีเจอร์และการควบคุมการเข้ารหัสข้อมูลให้กับคุณ ไม่ว่าจะอยู่ระหว่างการโอนย้าย ในพื้นที่จัดเก็บ หรือในหน่วยความจำ บริการของ AWS ทั้งหมดรองรับการเข้ารหัสอยู่แล้ว โดยส่วนใหญ่ยังรองรับการเข้ารหัสด้วยคีย์ที่จัดการโดยลูกค้า ซึ่ง AWS ไม่สามารถเข้าถึงได้ เนื้อหาที่เข้ารหัสไว้จะใช้ประโยชน์ไม่ได้หากไม่มีคีย์ถอดรหัสที่ใช้ได้

AWS มุ่งมั่นที่จะปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง นอกจากนี้เรายังมุ่งมั่นที่จะท้าทายคำขอที่กว้างขวางหรือไม่เหมาะสมจากหน่วยงานรัฐบาล (รวมถึงในกรณีที่คำขอดังกล่าวขัดแย้งกับกฎหมายที่ใช้บังคับของสหภาพยุโรปหรือของประเทศสมาชิก)

ไม่ พระราชบัญญัติ CLOUD จะไม่เปลี่ยนกฎหมายท้องถิ่นของประเทศอื่น อันที่จริงแล้ว พระราชบัญญัติ CLOUD ตระหนักถึงสิทธิ์ของผู้ให้บริการในการคัดค้านคำขอที่ขัดแย้งกับกฎหมายของประเทศอื่นหรือผลประโยชน์ของชาติ