关于CLOUD Act实际运作方式的五个事实
在Amazon Web Services(AWS),客户隐私和安全是我们的首要任务。当客户在全球任何地方使用AWS云时,我们为其提供行业领先的隐私和安全保障。最近几个月,我们注意到关于我们如何处理政府数据请求的咨询有所增加。虽然许多问题围绕2018年美国的一项法律——《澄清境外合法使用数据法案》(CLOUD Act)展开,但CLOUD Act实际上并未赋予美国政府任何新的权力来强制提供商提供数据,而是提供了关键的法律保护措施来保护内容。
为全面理解这一问题——自2020年开始报告该统计数据以来,AWS尚未有任何数据请求导致向美国政府披露存储在美国境外的企业或政府内容数据。我们对保护客户数据的承诺基于多层法律、技术和操作保护。例如,AWS设计其核心产品和服务,以防止除客户及其授权人员之外的任何人访问客户内容。在这些情况下,任何想要访问客户内容的政府都必须直接向客户寻求数据。此外,美国法律本身提供了许多法定保护措施,有助于降低AWS被要求披露企业或政府内容数据的风险,并且美国司法部(DOJ)在过去八年中实施了额外的操作保护措施。
考虑到这一点,我们希望解决一些关于CLOUD Act的常见误解,并就该法律如何影响(或不影响)全球AWS客户提供一些澄清。我们还在扩展我们的CLOUD Act常见问题解答,以帮助我们的客户和合作伙伴更好地理解这一主题。
事实1:CLOUD Act并未赋予美国政府无限制或自动访问云中存储的数据的权力
CLOUD Act的通过是为了解决执法部门在跨境调查严重犯罪(从恐怖主义和暴力犯罪到儿童性剥削和网络犯罪)中获取境外存储数据时面临的挑战。CLOUD Act主要使美国能够与可信赖的外国合作伙伴签订互惠行政协议,通过解除美国法律下的阻塞法规,获取用于严重犯罪调查的电子证据,无论证据位于何处。许多政府依赖国内法律,要求在其管辖范围内的提供商披露公司控制的电子数据,无论数据存储在哪里。类似地,CLOUD Act澄清了美国执法部门可以使用现有权力(如法院批准的搜查令)来强制提供商控制下的数据,无论数据存储在哪里;行政协议确保了这些互惠法律的有效性,并得到强有力的程序和实质保障措施的支持。
根据美国法律访问数据远非无限制或自动,执法部门必须满足严格的法律标准。根据美国法律,提供商实际上被禁止在没有法律例外的情况下向美国政府披露数据。为了强制提供商披露内容数据,执法部门必须说服独立的联邦法官,存在与特定犯罪相关的合理理由,并且犯罪证据将在被搜查的地方(即特定的电子账户,如电子邮件账户)找到。这一法律标准必须通过具体和可信的事实来确立。每个搜查令都必须通过可信事实、特定性和合法性的严格合理理由审查,必须获得独立法官的批准,并且必须满足关于范围和管辖权的要求。2023年5月,DOJ还发布了一项政策,要求寻求已知位于境外的证据的检察官在获得此类证据的命令之前,必须获得部门国际事务办公室(OIA)的批准。DOJ关于境外证据的政策指出,每个国家都制定法律保护其主权;OIA致力于解决这些问题,并协助检察官选择适当的机制来获取证据。
事实2:自开始跟踪统计数据以来,AWS未根据CLOUD Act披露任何企业或政府客户内容数据
AWS制定了严格的程序来处理来自任何国家的执法请求,以验证其合法性并确保其符合适用法律。AWS承认执法机构在调查犯罪和恐怖活动方面的合法需求,但它们必须遵守进行此类调查的法律保障措施。除非我们受到合法有效且具有约束力的命令的约束,否则我们不会应任何政府请求披露客户数据。我们在法律条款中公开承诺了这一点。此外,我们将挑战与法律冲突、过于宽泛或其他不适当的政府请求(例如,如果此类请求会侵犯个人的基本权利)。当我们收到此类企业客户内容的请求时,我们会尽一切合理努力将执法部门引导至客户,并在法律允许的情况下通知客户。如果我们被要求披露客户内容,我们会在披露前通知客户,以便他们有机会寻求保护免受披露,除非法律禁止。如果在耗尽这些步骤后,AWS仍然被强制披露客户数据,并且我们有技术能力这样做(如上所述,在许多情况下我们没有),我们仅披露满足法律程序所需的最低限度数据。
与我们将执法部门引导至客户的政策一致,DOJ的计算机犯罪和知识产权部门也发布了指南,建议检察官通常直接向企业(如将数据存储在云提供商处的公司)寻求数据,而不是从提供商处寻求。
我们的措施和法律中体现的严格法律要求有效性的一个明确衡量标准是,自2020年开始报告该统计数据以来,AWS未向美国政府披露任何存储在美国境外的企业或政府客户内容数据。这一记录反映了AWS提供的技术保障措施、美国法律中的强大法律保护、DOJ实施的政策以及执法调查的性质,这些调查主要侧重于从消费者账户收集电子证据。
事实3:CLOUD Act不仅适用于总部位于美国的公司——它适用于所有在美国开展业务的提供商
CLOUD Act适用于所有在美国运营或具有法律存在的电子通信服务或远程计算服务提供商——无论其总部位于何处。例如,总部位于欧洲但在美国运营的云提供商也受该法案要求的约束。总部位于法国并在美国运营的云服务提供商OVHcloud在其CLOUD Act常见问题解答页面上指出:“OVHcloud将遵守公共当局的合法请求。根据CLOUD Act,这可能包括存储在美国境外的数据。”类似地,其他总部位于欧盟和其他地方的云提供商也在美国运营。
事实4:CLOUD Act中的原则与国际法律和其他国家的法律一致
CLOUD Act并未引入关于必须作为合法刑事调查一部分披露的电子数据范围的新法律概念。许多国家要求在法律程序涉及严重犯罪时披露客户数据,无论其存储在哪里。例如,英国的《犯罪(境外生产令)法》允许英国执法机构在刑事调查中获取位于英国境外的存储电子数据。根据美国DOJ 2024年的一份文件,包括比利时、丹麦、法国、爱尔兰和西班牙在内的几个欧盟成员国的法律也有类似要求。事实上,自2023年以来,AWS收到的大多数执法请求来自美国以外的当局。
这一概念也载于《布达佩斯网络犯罪公约》,这是第一个旨在改善网络犯罪调查合作的国际条约。此外,欧盟于2023年8月通过的电子证据法规(2023/1543)授权成员国“命令服务提供商……生成或保存电子证据,无论数据的位置如何”。GDPR还允许应第三国的强制披露请求传输个人数据,前提是相关方能够引用适当的法律依据和传输机制或豁免(参见EDPB最近的02/2024指南关于第48条)。
AWS倡导政府在CLOUD Act下达成互惠行政协议,包括美国和欧盟之间以及美国和加拿大之间。我们认为这些协议对于最终解决潜在的法律冲突、实现有效调查严重犯罪以促进公共安全至关重要,同时承认美国法律下已经存在的强大实质和程序保障措施。
事实5:CLOUD Act并未限制AWS为客户提供的防止未经授权访问客户数据的技术措施和操作控制
我们只能在我们有技术能力的情况下响应数据法律请求。AWS有许多产品和服务旨在确保没有人——甚至AWS操作员——可以访问客户内容。AWS客户还有一系列额外的技术措施和操作控制来防止数据访问。例如,许多AWS核心系统和服务设计为零操作员访问,意味着服务没有任何技术手段让AWS操作员响应法律请求访问客户数据。
AWS Nitro系统是AWS计算服务的基础,使用专门的硬件和软件在Amazon Elastic Compute Cloud(Amazon EC2)上处理期间保护数据免受外部访问。通过提供强大的物理和逻辑安全边界,Nitro的设计使得任何未经授权的人——甚至AWS操作员——都无法访问EC2上的客户工作负载。Nitro系统的设计已由独立网络安全公司NCC Group验证。帮助防止操作员访问的控制对Nitro系统如此基本,以至于我们已将其添加到我们的AWS服务条款中,为所有客户提供额外的合同保证。
我们还为客户提供加密数据的功能和控制,无论是在传输中、静态还是内存中。所有AWS服务 already支持加密,大多数还支持使用客户管理且AWS无法访问的密钥进行加密。AWS Key Management Service(AWS KMS)是第一个具有FIPS 140-3安全级别3认证的高度可扩展、云原生密钥管理系统。简单来说,这意味着AWS提供超级强大的加密,并且客户控制谁获得密钥。
持续关注客户
在AWS,我们以客户为先的方法驱动我们所做的一切——从我们设计服务的方式到我们保护您数据的方式。我们理解您的信任是通过透明度、强大的技术控制和对您利益的不懈倡导赢得的。这就是为什么我们明确说明了我们如何处理政府数据请求,包括CLOUD Act的影响,以及保护您数据的多层保护——法律、操作和技术。
我们鼓励您通过查看我们扩展的CLOUD Act常见问题解答来了解更多关于这一重要主题的信息。我们将继续为您创新,构建让您控制数据的新功能和服务,并保持我们对最高隐私和安全标准的承诺。