قانون توضيح الاستخدام القانوني للبيانات في الخارج (CLOUD Act)

نؤمن بأن العملاء ينبغي أن يحتفظوا بالتحكم في بياناتهم الخاصة. صُمِّمَت AWS لتكون أكثر بنية تحتية سحابية عالمية أمانًا لبناء التطبيقات وأعباء العمل وترحيلها وإدارتها، ونحن ملتزمون بتوفير حماية رائدة في الصناعة للخصوصية والأمان لعملائنا عند استخدام خدماتنا.

قامت AWS بتصميم منتجات وخدمات تضمن ألا يتمكن أي طرف، بما في ذلك مشغلو AWS أنفسهم، من الوصول إلى محتوى العملاء. لا يمكننا الاستجابة لطلبات البيانات القانونية إلا عندما تتوفر لدينا القدرة التقنية للقيام بذلك. يمتلك عملاء AWS مجموعة من الإجراءات التقنية وضوابط التشغيل التي تمنع الوصول إلى البيانات. على سبيل المثال، صُممت العديد من أنظمة وخدمات AWS الأساسية بحيث لا يتوفر وصول للمشغلين، مما يعني أن هذه الخدمات لا تمتلك أي وسيلة تقنية تمكّن مشغّلي AWS من الوصول إلى بيانات العملاء.

يستخدم AWS Nitro System، الذي يعد أساس خدمات AWS للحوسبة، أجهزة وبرامج متخصصة لحماية البيانات من الوصول الخارجي أثناء المعالجة على Amazon Elastic Compute Cloud (Amazon EC2). عبر توفير حدود أمان مادية ومنطقية قوية، تم تصميم Nitro بحيث لا يمكن لأي طرف غير مصرح له، بما في ذلك مشغّلو AWS، الوصول إلى أعباء العمل الخاصة بالعملاء على EC2. تم اعتماد تصميم Nitro System من قبل NCC Group، وهي شركة مستقلة متخصصة في الأمن السيبراني. تُعد الضوابط التي تمنع وصول المشغّلين عنصرًا جوهريًا في Nitro System، وقد قمنا بإدراجها ضمن شروط خدمات AWS لتوفير ضمان تعاقدي إضافي لكافة عملائنا.

كما نقدم للعملاء ميزات وعناصر تحكم لتشفير البيانات، سواء أثناء النقل أو في حالة الراحة أو في الذاكرة. تدعم جميع خدمات AWS التشفير بالفعل، حيث تدعم معظمها أيضًا التشفير باستخدام المفاتيح التي يديرها العميل والتي لا يمكن لـ AWS الوصول إليها. المحتوى المشفر لا قيمة له من دون مفاتيح التشفير الملائمة.

لمزيد من التفاصيل حول خدماتنا التي تدعم مبدأ عدم وصول المشغّلين، يُرجى الاطلاع على وصول المشغل على AWS.

تم إصدار قانون CLOUD Act في مارس 2018 بهدف تسريع قدرة جهات إنفاذ القانون على الوصول إلى المعلومات الإلكترونية المحتفظ بها لدى مزودي الخدمات في سياق التحقيقات في الجرائم الخطيرة، مثل الإرهاب والجرائم العنيفة والاستغلال الجنسي للأطفال والجرائم الإلكترونية. (انظر موارد قانون CLOUD Act على موقع وزارة العدل في الولايات المتحدة.) ركّزت الشهادات التي قدمها مسؤولو وزارة العدل الأمريكية (DOJ) دعمًا للتشريع على تمكين جهات إنفاذ قانون CLOUD Act عالميًا من إلزام الوصول إلى البيانات في التحقيقات العابرة للحدود المتعلقة بالجرائم الخطيرة. (انظر شهادة Richard Downing من وزارة العدل الأمريكية (DOJ)، نائب مساعد المدعي العام، أمام اللجنة القضائية في مجلس النواب بتاريخ 15 يونيو/حزيران 2017.)

لا تستطيع جهات إنفاذ القانون في الولايات المتحدة إلزام مزودي الخدمات بتقديم بيانات المحتوى إلا بموجب مذكرة قضائية يوافق عليها قاضٍ اتحادي مستقل وفقًا للإجراءات الجنائية الأمريكية. لكي يتم إصدار مذكرة قضائية وفقًا للقانون الأمريكي، يجب أن يقتنع القاضي بوجود سبب محتمل للاعتقاد بوقوع جريمة، وأن الأدلة المتعلقة بها ستُعثر عليها في الموقع المحدد في المذكرة (مثل البيانات الموجودة في حساب إلكتروني معين كحساب بريد إلكتروني). يجب تأسيس هذا المعيار القانوني استنادًا إلى وقائع محددة وموثوقة. يتعين على كل مذكرة تفتيش أن تجتاز هذا التقييم الصارم للسبب المحتمل من حيث الوقائع الموثوقة والتحديد والشرعية، وأن تتم الموافقة عليها من قاضٍ مستقل، وأن تفي بمتطلبات النطاق والاختصاص القضائي.

يتعين على الحكومات الأجنبية التي تطلب بيانات وفقًا لاتفاق تنفيذي لقانون CLOUD Act مع الولايات المتحدة الامتثال لمتطلبات مماثلة. أوضحت وزارة العدل (DOJ) أن "طلبات البيانات بموجب قانون CLOUD Act يجب أن تُستخرج بصورة قانونية وفق النظام المحلي للدولة الطالبة؛ وأن تستهدف أفرادًا أو حسابات محددة؛ وأن تستند إلى مبررات معقولة قائمة على وقائع دقيقة وموثوقة، مع مراعاة التحديد والشرعية والخطورة؛ وأن تخضع لمراجعة أو إشراف جهة مستقلة مثل قاضٍ أو قاضٍ صلح. لا يُسمح بجمع البيانات على نطاق واسع."

كما أصدرت وزارة العدل (DOJ) سياسة في مايو/أيار 2023 تنص على أنه ينبغي للمدعين العامين التواصل مع مكتب الشؤون الدولية (OIA) لدى الوزارة عند إدراكهم الحاجة إلى أدلة تقع في دولة أخرى. يشترط ذلك أن يحصل المدعون العامون الذين يسعون إلى أدلة معروفة بأنها موجودة خارج البلاد على موافقة مكتب الشؤون الدولية (OIA) قبل استصدار أمر يُلزم مزودًا في الولايات المتحدة بالكشف عن هذه الأدلة. توضح سياسة وزارة العدل (DOJ) المتعلقة بالأدلة في الخارج أن كل دولة تضع قوانين لحماية سيادتها؛ ويعمل مكتب الشؤون الدولية (OIA) على معالجة هذه المسائل ومساعدة المدعين العامين في اختيار الوسيلة المناسبة للحصول على الأدلة.

حتى يونيو/حزيران 2025، لم تتلق AWS أي طلبات بيانات أدت إلى الكشف عن بيانات محتوى المؤسسات أو الحكومات المخزنة خارج الولايات المتحدة إلى الحكومة الأمريكية منذ بدء الإبلاغ عن هذه الإحصائية. يُظهر هذا السجل متانة الحماية القانونية في القوانين الأمريكية والسياسات التي تنفذها وزارة العدل الأمريكية، إلى جانب الضمانات التقنية التي توفرها AWS.

أصدرت وحدة جرائم الحاسوب والملكية الفكرية في وزارة العدل (DOJ) إرشادات في عام 2017 توصي المدعين العامين بالحصول على البيانات من الكيان المؤسسي، مثل شركة تخزن بياناتها لدى مزود سحابي، بدلًا من طلبها من المزود، إلا في حالات خاصة. يقدّم هذا توجيهات مهمة للمدعين العامين للحصول على البيانات مباشرة من المؤسسات. عند تلقي مثل هذه الطلبات الخاصة بمحتوى عملاء المؤسسات، نبذل قصارى جهدنا المعقول لإعادة توجيه جهات إنفاذ القانون إلى العميل، ونقوم بإبلاغ العميل بذلك عندما يسمح القانون.

لا. يطبَّق قانون CLOUD Act على جميع مزوّدي خدمات الاتصالات الإلكترونية أو خدمات الحوسبة عن بُعد الذين يعملون أو يمتلكون وجودًا قانونيًا داخل الولايات المتحدة. على سبيل المثال، يسري قانون CLOUD Act أيضًا على مزود خدمات سحابية يتخذ من الاتحاد الأوروبي مقرًا رئيسيًا له ويقوم بعمليات داخل الولايات المتحدة. تذكر OVHcloud، مزود الخدمات السحابية الذي يتخذ من فرنسا مقرًا رئيسيًا ويعمل في الولايات المتحدة، في صفحة الأسئلة الشائعة الخاصة بقانون CLOUD Act أن "OVHcloud ستلتزم بالطلبات القانونية الصادرة عن السلطات العامة. وفقًا لقانون CLOUD، قد يشمل ذلك البيانات المخزنة خارج الولايات المتحدة."

بموجب القانون الأمريكي، لا يمكن للإجراءات التنفيذية استحداث قوانين جديدة أو التعارض مع القوانين القائمة التي أقرها الكونغرس، مثل قانون CLOUD Act.

لا. تفرض العديد من الدول الإفصاح عن بيانات العملاء بغض النظر عن مكان تخزينها استجابةً لإجراءات قانونية مرتبطة بجرائم خطيرة. يتجسد هذا المفهوم في اتفاقية بودابست للجرائم الإلكترونية، التي تُعد أول معاهدة دولية تهدف إلى تحسين التعاون في التحقيقات المرتبطة بالجرائم الإلكترونية. على سبيل المثال، يتيح قانون الجريمة (أوامر الإنتاج الخارجية) في المملكة المتحدة لجهات إنفاذ القانون البريطانية الحصول على البيانات الإلكترونية المخزنة خارج المملكة المتحدة في إطار تحقيق جنائي. بحسب مستند قُدّم في عام 2024 من وزارة العدل الأمريكية (DOJ)، فإن قوانين عدة دول أعضاء في أوروبا، مثل بلجيكا والدنمارك وفرنسا وأيرلندا وإسبانيا، تحتوي على متطلبات مماثلة.

نمتلك إجراءات دقيقة ومفصلة جدًا للتعامل مع طلبات جهات إنفاذ القانون من أي دولة. لا نقوم بالإفصاح عن بيانات العملاء استجابةً لطلبات جهات إنفاذ القانون إلا إذا كان ذلك مفروضًا علينا بموجب أمر قانوني صحيح وملزم، كما أعلنا التزامنا بذلك في الملحق الإضافي لاتفاقية معالجة البيانات في AWS. عند استلام طلب من جهات إنفاذ القانون، ندرسه بعناية للتحقق من مشروعيته والتأكد من التزامه بالقوانين المعمول بها. إذا استلمت AWS طلبًا قانونيًا صحيحًا وملزمًا يتعلق بمحتوى عملاء المؤسسات، فستبذل كل جهد معقول لتوجيه جهات إنفاذ القانون إلى العميل، وستُخطر العميل بذلك إذا كان مسموحًا قانونيًا. ستعترض AWS على الطلبات التي تخالف القانون أو تتسم بالإفراط أو تكون غير ملائمة، وذلك وفقًا لالتزامنا العلني في الملحق التكميلي لاتفاقية معالجة البيانات في AWS. إذا استمرت AWS في كونها مُلزَمة بالكشف عن بيانات العملاء بعد استنفاد هذه الإجراءات، وكانت لديها القدرة التقنية على ذلك، فإنها تكشف فقط عن الحد الأدنى المطلوب لتلبية الطلب. لمعرفة المزيد عن نهجنا في التعامل مع طلبات جهات إنفاذ القانون، تفضل بزيارة صفحة طلبات معلومات إنفاذ القانون.

لا. لا يمنح قانون CLOUD Act أي سلطة جديدة لجهات إنفاذ القانون لإجبار مزودي الخدمات على فك تشفير الاتصالات.

توفر AWS للعملاء ميزات وعناصر تحكم لتشفير البيانات، سواء أثناء النقل أو في حالة الراحة أو في الذاكرة. تدعم جميع خدمات AWS التشفير بالفعل، حيث تدعم معظمها أيضًا التشفير باستخدام المفاتيح التي يديرها العميل والتي لا يمكن لـ AWS الوصول إليها. المحتوى المشفر لا قيمة له من دون مفاتيح التشفير الملائمة.

تلتزم AWS بموجب تعاقد بالامتثال لقوانين حماية البيانات السارية. نلتزم كذلك بالاعتراض على أي طلب مفرط أو غير ملائم من جهة حكومية (بما في ذلك في حال تعارض هذا الطلب مع القوانين السارية في الاتحاد الأوروبي أو قوانين إحدى الدول الأعضاء).

كلا. لا يحل قانون توضيح الاستخدام القانوني للبيانات في الخارج (CLOUD Act) محل القوانين المحلية لأي دولة أخرى. في الحقيقة، يقر قانون توضيح الاستخدام القانوني للبيانات في الخارج (CLOUD Act) بحق مزودي الخدمات في رفض الطلبات التي تتعارض مع القوانين، أو الاهتمامات الوطنية الخاصة بدولة أخرى.