Clarifying Lawful Overseas Use of Data (Verilerin Denizaşırı Ülkelerde Kullanım Şeklinin Netleştirilmesi – CLOUD) Yasası

Müşterilerin kendi verilerinin kontrolünü sürdürmeleri gerektiğine inanıyoruz. AWS, uygulamaları ve iş yüklerini oluşturmak, taşımak ve yönetmek için en güvenli küresel bulut altyapısı olacak şekilde tasarlandı ve müşterilerimize hizmetlerimizi kullanırken sektör lideri gizlilik ve güvenlik korumaları sağlamayı taahhüt ediyoruz.

AWS, hiç kimsenin, hatta AWS operatörlerinin bile müşteri içeriğine erişememesini sağlayan ürünler ve hizmetler tasarladı. Veri için yasal taleplere yalnızca teknik yeteneğe sahip olduğumuz durumlarda yanıt verebiliriz. AWS müşterileri, verilere erişimi engellemek için çeşitli teknik önlemlere ve operasyonel denetime sahiptir. Örneğin, AWS çekirdek sistemlerinin ve hizmetlerinin çoğu sıfır operatör erişimi ile tasarlanmıştır, yani hizmetlerin AWS operatörlerinin müşteri verilerine erişmesi için herhangi bir teknik aracı olmadığı anlamına gelir.

AWS bilgi işlem hizmetlerinin temeli olan AWS Nitro System, Amazon Elastic Compute Cloud'da (Amazon EC2) işleme sırasında verileri dışarıdan erişime karşı korumak için özel donanım ve yazılım kullanır. Nitro, güçlü bir fiziksel ve mantıksal güvenlik sınırı sağlayarak yetkisiz kişilerin, hatta AWS operatörlerinin bile EC2'deki müşteri iş yüklerine erişemeyeceği şekilde tasarlanmıştır. Nitro Sisteminin tasarımı, bağımsız bir siber güvenlik firması olan NCC Group tarafından onaylanmıştır. Operatör erişimini engellemeye yardımcı olan kontroller, Nitro Sistemi için büyük bir öneme sahip olduğundan tüm müşterilerimize ek bir sözleşme güvencesi sağlamak amacıyla bunları AWS Hizmet Koşullarımıza ekledik.

Ayrıca müşterilerimize taşınan, bekleyen veya bellekteki verileri şifrelemek için özellikler ve denetimler sunuyoruz. Tüm AWS hizmetleri halihazırda şifrelemeyi destekliyor ve çoğu, AWS'nin erişemeyeceği müşteri tarafından yönetilen anahtarlarla şifrelemeyi de destekliyor. Şifrelenmiş içeriklerin, ilgili şifre çözme anahtarları olmadan kullanılması mümkün değildir.

Sıfır operatör erişimini destekleyen hizmetlerimiz hakkında daha fazla bilgi için bk. AWS'de Operatör Erişimi.

CLOUD Yasası, terörizm ve şiddet suçlarından çocuk cinsel istismarı ve siber suçlara kadar uzanan ciddi suçların soruşturmalarında kolluk kuvvetlerinin hizmet sağlayıcılar tarafından tutulan elektronik bilgilere erişme sürecini hızlandırmak amacıyla Mart 2018'de yürürlüğe girdi. (Bk. ABD Adalet Bakanlığı web sitesindeki CLOUD Yasası Kaynakları.) ABD Adalet Bakanlığı (DOJ) yetkililerinin yasa tasarısını savunurken verdikleri ifadeler, CLOUD Yasası'nın odağını, dünya genelindeki kolluk kuvvetlerinin ciddi suçları içeren sınır ötesi soruşturmalarda veri elde etme yeteneğini vurguladı. (Bk. Adalet Bakanlığı Başsavcı Yardımcısı Richard Downing'in 15 Haziran 2017'de Temsilciler Meclisi Adalet Komitesi huzurunda verdiği ifade.)

ABD kolluk kuvvetleri, hizmet sağlayıcılardan içerik verilerini ancak ABD ceza usullerine uygun olarak bağımsız bir federal yargıç tarafından yetkilendirilmiş bir arama emriyle talep edebilir. ABD yasalarına göre bir arama emri çıkarılabilmesi için bir ABD hakiminin, bir suçun işlendiğine ve bu suçun delillerinin arama emrinde belirtilen yerde (yani, e-posta hesabı gibi belirli bir elektronik hesaptaki verilerde) bulunacağına dair muhtemel neden olduğuna ikna olması gerekir. Bu yasal standart, somut ve güvenilir gerçekler aracılığıyla belirlenmelidir. Her arama emri, güvenilir gerçekler, özellik ve yasallık açısından bu katı olası neden tespitini geçmeli, bağımsız bir yargıç tarafından onaylanmalı ve kapsam ve yargı ile ilgili gereklilikleri karşılamalıdır.

ABD ile yapılan bir CLOUD Yasası yürütme anlaşması uyarınca veri talep eden yabancı hükümetlerin benzer gereksinimleri karşılaması gerekir. DOJ, "CLOUD Yasası kapsamında veri talep eden emirler, veriyi talep eden ülkenin iç hukuk sistemi uyarınca yasal olarak elde edilmiş olmalı; belirli kişileri veya hesapları hedeflemeli; açıklanabilir ve güvenilir gerçeklere, özgünlüğe, yasallığa ve ciddiyete dayalı makul bir gerekçeye sahip olmalı ve bir hakim veya sulh hakimi gibi bağımsız bir otorite tarafından incelenmeye veya denetlenmeye tabi olmalıdır. Toplu veri toplama işlemine izin verilmez." şeklinde açıklama yapmıştır.

DOJ ayrıca Mayıs 2023'te, savcıların başka bir ülkede bulunan kanıtlara ihtiyaç duyduklarının farkına vardıklarında Bakanlığın Uluslararası İlişkiler Ofisi (OIA) ile iletişime geçmeleri gerektiğine dair bir politika yayınladı. Bu, yurt dışında bulunduğu bilinen delilleri talep eden savcıların, ABD'deki bir sağlayıcıdan bu tür delillerin açıklanmasını zorunlu kılacak bir emir almadan önce OIA'dan onay almalarını şart koşmaktadır. DOJ'nin yurt dışındaki delillere ilişkin politikası, her ülkenin egemenliğini korumak için yasalar çıkardığını belirtir; OIA bu sorunları ele almak ve savcılara delil elde etmek için uygun bir mekanizma seçmelerinde yardımcı olmak için çalışmaktadır.

Haziran 2025 itibarıyla, bu istatistiği bildirmeye başladığımızdan bu yana AWS'ye ABD dışında depolanan kurumsal veya devlet içeriği verilerinin ABD hükümetine ifşa edilmesine neden olacak hiçbir veri talebi olmamıştır. Bu kayıt, AWS'nin sunduğu teknik güvenlik önlemlerine ek olarak, ABD yasaları ve ABD Adalet Bakanlığı tarafından uygulanan politikalar kapsamındaki güçlü yasal korumaları yansıtmaktadır.

ABD Adalet Bakanlığı'nın Bilgisayar Suçları ve Fikri Mülkiyet Bölümü, 2017 yılında savcılara, özel durumlar olmadığı sürece, verileri sağlayıcıdan ziyade bir bulut sağlayıcısında depolayan şirket gibi bir kuruluştan talep etmelerini tavsiye eden bir kılavuz yayınladı. Bu, savcılara verileri doğrudan kuruluşlardan talep etmeleri yönünde önemli bir rehberlik sağlar. Kurumsal müşteri içeriği için bu tür talepleri aldığımızda, kolluk kuvvetlerini müşteriye yönlendirmek ve yasal izin verildiğinde müşteriyi bilgilendirmek için her türlü makul çabayı gösteririz.

Hayır. CLOUD Yasası, ABD'de faaliyet gösteren veya yasal varlığı olan tüm elektronik iletişim hizmeti veya uzaktan bilgi işlem hizmeti sağlayıcıları için geçerlidir. Örneğin, CLOUD Yasası, merkezi AB'de bulunan ve Amerika Birleşik Devletleri'nde operasyonları olan bir bulut hizmeti sağlayıcısı için de geçerlidir. ABD'de faaliyet gösteren, merkezi Fransa'da bulunan bulut hizmetleri sağlayıcısı OVHcloud, CLOUD Yasası Hakkında SSS sayfasında şu ifadeye yer veriyor: "OVHcloud, kamu otoritelerinden gelen yasal taleplere uyacaktır. CLOUD Yasası uyarınca, bu, Amerika Birleşik Devletleri dışında depolanan verileri de içerebilir."

ABD yasalarına göre, yürütme eylemleri yeni yasalar oluşturamaz veya CLOUD Yasası gibi Kongre tarafından kabul edilen mevcut yasalara aykırı olamaz.

Hayır. Birçok ülke, ciddi suçları içeren yasal süreçlere yanıt olarak, müşteri verilerinin, depolandığı yerden bağımsız olarak açıklanmasını zorunlu kılmaktadır. Bu kavram, siber suçların soruşturmalarında iş birliğini geliştirmeyi amaçlayan ilk uluslararası anlaşma olan Budapeşte Siber Suç Sözleşmesi'nde yer almaktadır. Örneğin, Birleşik Krallık'ın Suç (Yurt Dışı Üretim Emirleri) Yasası, Birleşik Krallık kolluk kuvvetlerinin bir ceza soruşturmasıyla bağlantılı olarak Birleşik Krallık dışında bulunan depolanmış elektronik verileri edinmesine izin verir. ABD Adalet Bakanlığı'nın 2024 tarihli bir açıklamasına göre, Belçika, Danimarka, Fransa, İrlanda ve İspanya da dâhil olmak üzere birçok Avrupa üye devletinin yasaları benzer şartlar içermektedir.

Herhangi bir ülkeden kolluk kuvvetleri taleplerini ele almak için çok ayrıntılı prosedürlerimiz var. AWS Veri İşleme Eki'nin Tamamlayıcı Ekinde kamuya açık olarak taahhüt ettiğimiz gibi yasal olarak geçerli ve bağlayıcı bir emir ile bunu yapmakla yükümlü olmadıkça, kolluk kuvvetlerinin taleplerine yanıt olarak müşteri verilerini ifşa etmeyiz. Kolluk kuvvetlerinden bir talep aldığımızda, meşruiyetini doğrulamak ve ilgili yasalara uygunluğunu teyit etmek için talebi dikkatlice inceleriz. AWS, kurumsal müşteri içeriği için yasal olarak geçerli ve bağlayıcı bir talep alırsa AWS, kolluk kuvvetlerini müşteriye yönlendirmek için her türlü makul çabayı gösterecek ve yasal olarak izin verilmesi hâlinde müşteriyi bilgilendirecektir. AWS Veri İşleme Eki'nin Tamamlayıcı Ekinde kamuya açık olarak taahhüt edildiği gibi, AWS, yasalarla çelişen, aşırı geniş kapsamlı veya başka türlü uygunsuz taleplere itiraz edecektir. AWS, bu adımları tamamladıktan sonra müşteri verilerini ifşa etmek zorunda kalmaya devam ederse ve bunu yapacak teknik yeteneğe sahipse talebi karşılamak için yalnızca gereken minimum miktarı ifşa ederiz. Kolluk kuvvetleri taleplerine yaklaşımımız hakkında daha fazla bilgi için Kolluk Kuvvetleri Bilgi Talepleri sayfamızı ziyaret edin.

Hayır. CLOUD Yasası, kolluk kuvvetlerine hizmet sağlayıcıları iletişimlerin şifresini çözmeye zorlayacak herhangi bir yeni yetki vermez.

AWS, müşterilere taşınan, bekleyen veya bellekteki verileri şifrelemek için özellikler ve denetimler sunar. Tüm AWS hizmetleri halihazırda şifrelemeyi destekliyor ve çoğu, AWS'nin erişemeyeceği müşteri tarafından yönetilen anahtarlarla şifrelemeyi de destekliyor. Şifrelenmiş içeriklerin, ilgili şifre çözme anahtarları olmadan kullanılması mümkün değildir.

AWS, yürürlükteki veri koruma yasalarına uymayı sözleşme yoluyla taahhüt eder. Ayrıca, bir devlet kurumundan gelen aşırı geniş kapsamlı veya uygunsuz her türlü talebe (bu tür bir talebin Avrupa Birliği'nin veya bir Üye Devletin yürürlükteki yasalarıyla çelişmesi durumunda bile) karşı çıkmayı taahhüt ediyoruz.

Hayır. CLOUD Yasası diğer ülkelerin yerel yasalarını değiştirmez. Gerçekte CLOUD Yasası, bulut hizmeti sağlayıcılarına başka bir ülkenin yasaları veya ulusal çıkarlarıyla çakışan istekleri reddetme hakkı tanımaktadır.