Закон о правомерном использовании данных за рубежом (CLOUD Act)

Мы считаем, что клиенты должны сохранять контроль над своими данными. AWS спроектирована как самая безопасная глобальная облачная инфраструктура для создания, миграции и управления приложениями и рабочими нагрузками, и мы стремимся предоставлять нашим клиентам лучшие в отрасли средства защиты конфиденциальности и безопасности при использовании наших сервисов.

AWS разработала продукты и сервисы, гарантирующие, что никто, даже операторы AWS, не сможет получить доступ к данным клиентов. Мы можем отвечать на законные запросы о предоставлении данных только в том случае, если у нас есть для этого техническая возможность. Клиенты AWS используют ряд технических мер и операционных средств контроля для предотвращения доступа к данным. Например, многие базовые системы и сервисы AWS разработаны на базе архитектуры с нулевым доступом операторов, то есть у операторов AWS отсутствуют технические средства для доступа к данным клиентов.

AWS Nitro System, лежащая в основе вычислительных сервисов AWS, использует специализированное аппаратное и программное обеспечение для защиты данных от внешнего доступа во время обработки в Amazon Elastic Compute Cloud (Amazon EC2). Обеспечивая надежную физическую и логическую границу безопасности, Nitro спроектирована таким образом, чтобы посторонние лица, даже операторы AWS, не могли получить доступ к рабочим нагрузкам клиентов в EC2. Инфраструктура системы Nitro была одобрена независимой фирмой NCC Group, занимающейся кибербезопасностью. Средства управления, предотвращающие доступ операторов, настолько важны для системы Nitro, что мы добавили их в Условия обслуживания AWS, чтобы предоставить всем нашим клиентам дополнительные договорные гарантии.

Мы также предоставляем функции и средства управления для шифрования данных при их передаче и хранении, а также при выполнении над ними операций в памяти. Все сервисы AWS уже поддерживают шифрование. Большинство из них также поддерживают шифрование с помощью управляемых клиентом ключей, недоступных AWS. Зашифрованный контент бесполезен без соответствующих ключей для дешифрования.

Дополнительные сведения о наших сервисах, поддерживающих архитектуру с нулевым доступом операторов, см. в разделе Доступ оператора в AWS.

Закон CLOUD Act был принят в марте 2018 года, чтобы ускорить получение правоохранительными органами электронной информации, имеющейся у поставщиков услуг, при расследовании серьезных преступлений, начиная с терроризма и насильственных преступлений и заканчивая сексуальной эксплуатацией детей и киберпреступностью. (См. «Материалы по закону CLOUD Act» на сайте Министерства юстиции США.) Показания, предоставленные США Сотрудники Министерства юстиции, выступающие за этот закон, сосредоточили внимание в CLOUD Act на возможности правоохранительных органов по всему миру требовать предоставления данных в ходе трансграничных расследований тяжких преступлений. (См. показания Ричарда Даунинга, заместителя помощника генерального прокурора Министерства юстиции, в Судебном комитете Палаты представителей 15 июня 2017 года.)

Правоохранительные органы США могут запрашивать у поставщиков услуг данные о контенте только при наличии ордера, утвержденного независимым федеральным судьей в соответствии с уголовными процедурами США. Чтобы ордер был выдан в соответствии с законодательством США, американский судья должен убедиться в наличии веских оснований полагать, что преступление было совершено и что доказательства этого преступления будут найдены в том месте, где будет производиться обыск (то есть в данных в специальном электронном аккаунте, например в учетной записи электронной почты). Этот правовой стандарт должен быть установлен на основе конкретных и заслуживающих доверия фактов. Каждый ордер на обыск должен пройти строгую проверку наличия достаточных оснований с учетом достоверных фактов, конкретности и законности, быть утвержден независимым судьей и соответствовать требованиям к объему и юрисдикции.

Иностранные правительства, запрашивающие данные в соответствии с исполнительным соглашением с США в рамках закона CLOUD Act, должны соответствовать аналогичным требованиям. Министерство юстиции пояснило, что «постановления о запросе данных в соответствии с CLOUD Act должны быть законно получены согласно внутренней системе страны, запрашивающей данные; должны быть направлены против конкретных лиц или учетных записей; должны иметь разумное обоснование с учетом достоверных фактов, конкретности, законности и степени тяжести; должны быть проверены или контролированы независимым органом, например судьей или магистратом. Массовый сбор данных запрещен».

В мае 2023 года Министерство юстиции также опубликовало правило, согласно которому прокурорам следует обращаться в Управление по международным делам (УВР) Департамента, когда им станет известно, что им нужны доказательства, находящиеся в другой стране. Также прокуроры, собирающие доказательства, о которых известно, что они находятся за рубежом, дожны иметь разрешение УВР, прежде чем получить постановление о принудительном раскрытии таких доказательств от поставщика в США. В политике Министерства юстиции в отношении доказательств за рубежом отмечается, что каждая страна принимает законы для защиты своего суверенитета; УВР работает над решением этих проблем и помогает прокурорам выбрать подходящий механизм для получения доказательств.

По состоянию на июнь 2025 года, с тех пор, как мы начали публиковать эту статистику, в AWS не поступало запросов о предоставлении данных о корпоративном или государственном контенте, хранящемся за пределами США, правительству США. Эта практика отражает надежные правовые гарантии, предусмотренные законодательством и политиками США, реализуемыми Министерством юстиции США, в дополнение к техническим мерам защиты, которые предоставляет AWS.

В 2017 году Отдел по борьбе с компьютерными преступлениями и интеллектуальной собственностью Министерства юстиции выпустил руководство, в котором прокурорам рекомендуется запрашивать данные у предприятия, например у компании, которая хранит данные у поставщика облачных услуг, а не у поставщика, при отсутствии особых обстоятельств. В нем содержаться важные указания для прокуроров по получению данных непосредственно от предприятий. Когда мы получаем такие запросы на контент для корпоративных клиентов, то прилагаем все разумные усилия, чтобы перенаправить правоохранительные органы к клиенту и уведомить его об этом, когда это разрешено законом.

Нет. Закон CLOUD Act распространяется на всех поставщиков услуг электронной связи или услуг удаленных вычислений, которые работают или имеют законное присутствие в США. Например, закон CLOUD Act также применим к поставщику облачных услуг со штаб-квартирой в ЕС и работающим в США. OVHcloud, поставщик облачных услуг со штаб-квартирой во Франции и работающий в США, отмечает на своей странице часто задаваемых вопросов о законе CLOUD Act, что «OVHCloud будет выполнять законные запросы государственных органов, а согласно закону CLOUD Act, они могут включать данные, хранящиеся за пределами США».

Согласно законодательству США, исполнительные акты не могут вводить новые законы или противоречить уже существующим законам, принятым Конгрессом, таким как CLOUD Act.

Нет. Во многих странах в ответ на судебное разбирательство, связанное с серьезными преступлениями, требуется раскрытие данных клиентов, где бы они ни хранились. Эта концепция закреплена в Будапештской конвенции о киберпреступности, которая стала первым международным договором, направленным на улучшение сотрудничества в расследовании киберпреступлений. Например, Закон Соединенного Королевства о преступлениях (заказы на производство за рубежом) разрешает правоохранительным органам Соединенного Королевства получать сохраненные электронные данные, расположенные за пределами Великобритании, в связи с уголовным расследованием. Согласно заявлению Министерства юстиции США от 2024 года, законы нескольких европейских государств-членов, включая Бельгию, Данию, Францию, Ирландию и Испанию, содержат аналогичные требования.

У нас есть очень подробные процедуры обработки запросов правоохранительных органов из любой страны. Мы не раскрываем данные клиентов в ответ на запросы правоохранительных органов, за исключением случаев, когда мы обязаны сделать это в соответствии с юридически действительным и обязательным постановлением, о чем мы публично заявили в Дополнительном приложении к Приложению об обработке данных AWS. При получении запроса от правоохранительных органов мы тщательно изучаем его, чтобы удостовериться в его правомерности и соответствии применимому законодательству. Если AWS получит юридически действительный и обязательный запрос на контент корпоративных клиентов, AWS приложит все разумные усилия для перенаправления правоохранительных органов к клиенту и уведомит его об этом, если это будет разрешено законом. AWS будет оспаривать чрезмерные, неподобающие или иным образом неуместные запросы, как мы публично обязались делать это в Дополнительном приложении к Приложению об обработке данных AWS. Если после выполнения этих действий AWS по-прежнему будет вынуждена раскрывать данные клиентов и у нас есть для этого техническая возможность, мы раскрываем только минимальное количество данных, необходимое для выполнения запроса. Для получения дополнительной информации о нашем подходе к запросам правоохранительных органов посетите страницу Запросы правоохранительных органов на предоставление информации.

Нет. Закон CLOUD Act не предусматривает никаких новых полномочий для правоохранительных органов, обязывающих поставщиков услуг дешифровать сообщения.

AWS предоставляет функции и средства управления для шифрования данных при их передаче и хранении, а также при выполнении над ними операций в памяти. Все сервисы AWS уже поддерживают шифрование. Большинство из них также поддерживают шифрование с помощью управляемых клиентом ключей, недоступных AWS. Зашифрованный контент бесполезен без соответствующих ключей для дешифрования.

AWS берет на себя договорные обязательства соблюдать применимые законы о защите данных. Мы также обязуемся оспаривать чрезмерные или неподобающие запросы государственного органа (в том числе, если такой запрос противоречит действующему законодательству Европейского Союза или государства-члена).

Нет. Закон CLOUD Act не влияет на местные законы другой страны. Фактически закон CLOUD Act признал право поставщиков сервисов оспаривать запросы, противоречащие законам или национальным интересам другой страны.