澄清海外合法資料使用 (Clarifying Lawful Overseas Use of Data，CLOUD) 法案

我們認為，客戶應對自己的資料擁有控制權。AWS 的架構旨在成為全球最安全的雲端基礎結構，用於建置、遷移及管理應用程式與工作負載，並且我們致力於為使用我們服務的客戶提供業界領先的隱私權與安全防護。

AWS 設計的產品和服務可確保任何人 (甚至 AWS 操作人員) 皆無法存取客戶內容。我們僅能在具備技術能力的情況下，回應合法的資料請求。AWS 為客戶提供一系列技術措施與操作控制措施，來防止對其資料進行存取。例如，眾多 AWS 核心系統與服務在設計時皆採用零操作人員存取權，這意味著這些服務採用任何技術手段，皆無法讓 AWS 操作人員能夠存取客戶資料。

AWS Nitro System 是 AWS 運算服務的基礎，使用專門的硬體和軟體，在 Amazon Elastic Compute Cloud (Amazon EC2) 處理期間可以保護資料免遭外部存取。藉由提供一個強大的實體與邏輯安全界限，Nitro 確保任何未經授權的人員 (甚至 AWS 操作人員) 皆無法存取 EC2 上的客戶工作負載。Nitro System 的設計已由獨立網絡安全公司 NCC Group 驗證。協助防止操作人員存取的控制措施對於 Nitro System 至關重要，因此，我們已將其新增至 AWS 服務條款，以便為所有客戶提供額外的合約保證。

此外，我們還為您提供功能和控制項來加密資料，無論是在傳輸中、靜態或在記憶體中的資料均可加密。所有 AWS 服務均已支援加密，大多數服務也支援使用客戶自管金鑰 (AWS 無法存取) 來加密。若沒有適當的解密金鑰，加密內容沒有任何用處。

若要了解我們支援零操作人員存取的服務相關詳細資訊，請參閱 AWS 上的操作人員存取權。

CLOUD 法案於 2018 年 3 月頒布，旨在加速執法部門獲取服務提供者所持有的電子資訊的能力，以便調查從恐怖主義和暴力犯罪到性剝削兒童和網路犯罪等嚴重犯罪。(請參閱司法部網站上提供的CLOUD 法案相關資源。) 美國提供的證詞司法部 (DOJ) 官員在倡導該立法時，重點關注 CLOUD 法案的以下方面︰世界各地執法部門在涉及嚴重犯罪的跨境調查中強制獲取資料的能力。(請參閱 司法部副助理司法部長 Richard Downing 於 2017 年 6 月 15 日在眾議院司法委員會的證詞。)

美國執法部門只能憑藉獨立聯邦法官根據美國刑事訴訟程序簽發的搜尋令，才能強制服務提供者提供內容資料。依據美國法律，要簽發搜尋令，美國法官必須確信有合理的理由認為已經發生了犯罪行為，且該犯罪的證據將在搜查令指定地點 (即特定電子帳戶中的數據，例如電子郵件帳戶) 找到。這項法律標準必須透過具體可信任的事實來確立。每份搜尋令都必須透過關於可信事實、具體性與合法性的嚴格的可能原因來認定，必須由獨立法官核准，且必須符合關於範圍與管轄權的要求。

依據 CLOUD 法案與美國簽署行政協議，外國政府請求取得資料時，必須滿足類似要求。司法部解釋說，「依據 CLOUD 法案請求取得資料的命令，必須依據資料請求國的國內法律體係合法取得；必須針對特定個人或帳戶；必須有合理的理由，且基於可陳述及可信的事實、特殊性、合法性及嚴重性；且必須接受獨立機構 (如法官或治安法官) 的審查或監督。不允許大量資料收集。」

此外，司法部於 2023 年 5 月發布了一項政策，檢察官在得知需要從其他國家/地區取得證據時，應聯絡司法部國際事務辦公室 (OIA)。該政策要求檢察官在尋求已知位於國外的證據時，必須先獲得國際事務辦公室的核准，才能獲得強制美國境內的提供者披露此類證據的命令。司法部關於境外證據的政策指出，每個國家/地區都會制定法律來保護其主權；國際事務辦公室致力於解決這些問題，並協助檢察官選擇適當的機制來取得證據。

截至 2025 年 6 月，自我們開始報告此統計資料以來，AWS 尚未收到任何導致向美國政府披露儲存於美國境外企業或政府內容資料的請求。。這項記錄體現了美國法律及政策提供的強有力的法律保護。除了 AWS 提供的技術保障措施外，司法部也採取了相應措施。

司法部電腦犯罪及智慧財產權部門於 2017 年發布指引，建議檢察官在沒有特殊情況的情況下，應從企業 (例如，將資料存放於雲端服務提供者的公司) 而非雲端服務提供者獲取資料。這為檢察官直接從企業獲取資料提供了重要指引。若我們收到此類索取企業客戶內容的請求，我們會盡一切合理努力將執法部門轉介給客戶，並在法律允許的情況下通知客戶。

否。CLOUD 法案適用在美國營運的所有電子通訊服務與遠端運算服務提供者。舉例來說，CLOUD 法案亦適用於總部位於歐盟，並且在美國營運的雲端服務提供者。OVHcloud 是一間總部位於法國、在美國運營的雲端服務提供者，其 CLOUD 法案常見問答集頁面指出，「OVHcloud 將遵守公共機構的合法要求。依據 CLOUD 法案，這可能包括存放於美國境外的資料。」

依據美國法律，行政命令不能制定新法律或與國會通過的現有法律相抵觸，例如 CLOUD法案。

否。許多國家要求在涉及嚴重犯罪的法律程序中披露客戶資料，無論資料存放於何處。此概念被寫入《布達佩斯網路犯罪公約》，該公約是首個旨在加強網路犯罪調查合作的國際條約。例如，英國的《犯罪 (海外生產令) 法案》允許英國執法機構在刑事調查中，取得在英國境外存放的電子資料。依據美國司法部 2024 年提交的文件，包括比利時、丹麥、法國、愛爾蘭和西班牙在內的幾個歐洲成員國的法律都有類似的規定。

我們設置了非常詳細的程序，來處理任何國家/地區的執法要求。除非我們依據具有法律效力與約束力的命令，有義務披露客戶資​​料 (正如我們在 AWS 資料處理附錄的補充附錄中公開承諾的那樣)，否則我們不會應執法部門的要求披露客戶資​​料。若我們收到執法部門的請求，我們會仔細檢查以驗證合法性，並確認其是否遵守適用法律。若 AWS 收到具有法律效力，並且具有約束力的企業客戶內容請求，AWS 會盡一切合理努力將執法部門轉介給客戶，並在法律允許的情況下通知客戶。AWS 將對違反法律、範圍過廣或不當請求提出質疑，正如我們在 AWS 資料處理附錄的補充附錄中公開承諾的那樣。若 AWS 在採取上述步驟後仍被迫披露客戶資料，並且我們具備技術能力，我們僅會披露滿足請求所需的最低限度資料。若要了解我們如何處理執法部門請求的詳細資訊，請訪問我們的執法部門資訊請求頁面。

否。CLOUD 法案並未賦予執法部門任何新的權力，來強制服務提供者解密通訊內容。

AWS 為客戶提供功能和控制項來加密資料，無論是在傳輸中、靜態或在記憶體中的資料均可加密。所有 AWS 服務均已支援加密，大多數服務也支援使用客戶自管金鑰 (AWS 無法存取) 來加密。若沒有適當的解密金鑰，加密內容沒有任何用處。

AWS 透過合約承諾來遵守適用的資料保護法律。我們亦承諾，對政府機構提出的任何過寬或不當請求提出質疑 (包括此類請求與歐盟或成員國的適用法律相衝突的情況)。

不是的。CLOUD 法案不會改變其他國家的當地法律。實際上，CLOUD 法案承認雲端服務供應商有權提出異議請求，針對與其他國家/地區法律或國家利益衝突的情形。