Tại Apple, chúng tôi mặc định thiết kế các sản phẩm và dịch vụ theo nguyên tắc về quyền riêng tư, đồng thời chỉ thu thập lượng dữ liệu tối thiểu cần thiết để cung cấp sản phẩm hoặc dịch vụ cho người dùng. Chúng tôi cung cấp một phiên bản phần mềm cho người dùng. Khi thu thập dữ liệu, chúng tôi chỉ lưu trữ dữ liệu đó trong thời gian cần thiết để thực hiện các mục đích của việc thu thập dữ liệu, bao gồm cả các mục đích được mô tả trong Chính sách quyền riêng tư hoặc trong thông báo về quyền riêng tư của từng dịch vụ hoặc theo quy định của pháp luật.

Chúng tôi cũng triển khai các cơ chế chấp thuận hàng đầu trong ngành để cho phép khách hàng lựa chọn có chia sẻ dữ liệu như dữ liệu Vị trí, Danh bạ, Lời nhắc, Ảnh, Chia sẻ qua Bluetooth, Micrô, Nhận dạng lời nói, Camera, Sức khỏe, HomeKit, Phương tiện & Apple Music và Di chuyển & Thể chất, v.v. với các ứng dụng hay không.

Apple sử dụng cách tiếp cận đa chức năng để kiểm soát quyền riêng tư. Quy trình kiểm soát quyền riêng tư được áp dụng cho mọi lĩnh vực của công ty, bao gồm cả dữ liệu của khách hàng và của nhân viên. Bộ phận Pháp lý có một Trưởng phòng Privacy and Law Enforcement Compliance, có nhiệm vụ báo cáo trực tiếp cho General Counsel của Apple. Apple cũng có một đội ngũ Privacy Engineering, có nhiệm vụ phối hợp với đội ngũ Privacy Legal về quyền riêng tư và Product Counsel chuyên trách để thiết kế các sản phẩm từ đầu nhằm bảo vệ quyền riêng tư của khách hàng và đảm bảo rằng chúng tôi bảo vệ dữ liệu miễn là dữ liệu đó vẫn thuộc quyền kiểm soát của Apple. Việc này bao gồm các quy trình rõ ràng nhằm đảm bảo dữ liệu thu thập được sẽ chỉ được dùng cho các mục đích hợp pháp đã định.

Apple cũng có Privacy Steering Committee do General Counsel của Apple chủ trì, với các thành viên bao gồm Phó Chủ tịch cấp cao về Machine Learning and AI Strategy của Apple, Phó Chủ tịch cấp cao về Software Engineering của Apple cùng một nhóm liên chức năng gồm các đại diện cấp cao đến từ các bộ phận Internet Software and Services, Software Engineering, Product Marketing, Corporate Communications, Information Services & Technology, Information Security, và Privacy Legal. Privacy Steering Committee đặt ra các tiêu chuẩn về quyền riêng tư cho các đội ngũ trên toàn Apple, đồng thời đóng vai trò là điểm báo cáo để giải quyết các vấn đề về tuân thủ quyền riêng tư khi đưa ra quyết định hoặc báo cáo tiếp theo.

Privacy Steering Committee cũng giám sát các trường hợp trong đó dữ liệu thuộc trách nhiệm của Apple được bên thứ ba quản lý hoặc lưu trữ thay mặt cho Apple. Chúng tôi sẽ đánh giá các bên thứ ba đó trước khi hợp tác và sau đó thực hiện các đợt kiểm tra và đánh giá tài liệu để đảm bảo rằng họ có thể đáp ứng các tiêu chuẩn bảo mật giống như Apple.

Ngoài ra, Audit and Finance Committee của Board of Directors sẽ hỗ trợ Board of Directors giám sát và theo dõi tình trạng quyền riêng tư và bảo mật dữ liệu.

Tất cả nhân viên của Apple đều phải tham gia khóa đào tạo hằng năm về Quy tắc ứng xử trong kinh doanh. Điều này thể hiện cam kết của chúng tôi trong việc tôn trọng nhân quyền và thực hiện kinh doanh một cách có đạo đức, trung thực tuân thủ luật pháp và quy định hiện hành. Khóa đào tạo về quyền riêng tư là một phần thiết yếu của Chương trình đào tạo về quy tắc ứng xử trong kinh doanh. Apple yêu cầu những nhân viên có quyền truy cập vào thông tin cá nhân và dữ liệu khách hàng của Apple phải tham gia Khóa đào tạo về quyền riêng tư và bảo mật bổ sung được tổ chức hai lần một năm hoặc để đáp ứng các luật được cập nhật, chẳng hạn như Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu (GDPR) và Đạo luật về quyền riêng tư của người tiêu dùng ở California (CCPA). Apple cung cấp chương trình đào tạo bổ sung về quyền riêng tư và bảo mật phù hợp theo từng đội ngũ cho những nhân viên xử lý hoặc có quyền truy cập vào khối lượng lớn dữ liệu, dữ liệu cá nhân nhạy cảm hoặc theo quy định bổ sung của luật pháp địa phương. Việc tuân thủ các tiêu chuẩn về quyền riêng tư và bảo mật của Apple, bao gồm cả các tiêu chuẩn liên quan đến việc hủy nhận dạng, sẽ được đội ngũ Apple Privacy Audit & Compliance tiến hành kiểm tra.

Chúng tôi cũng có một quy trình rõ ràng để nhân viên đưa ra bất kỳ thắc mắc hoặc câu hỏi nào về quyền riêng tư thông qua địa chỉ email dpo@apple.com. Đội ngũ chuyên trách sẽ quản lý tất cả các thắc mắc nhận được để đưa ra giải đáp.

Là một phần của công việc về GDPR và nhân quyền, chúng tôi thực hiện Đánh giá tác động đối với quyền riêng tư (PIA) cho các sản phẩm và dịch vụ chính của mình, đồng thời áp dụng PIA khi chúng tôi phát triển các sản phẩm và dịch vụ mới. Quá trình xem xét sẽ bao gồm các đánh giá về việc liệu có quyết định nào được đưa ra dựa trên hệ thống thuật toán hay không và việc ra quyết định đó tác động đến các cá nhân và quyền của họ như thế nào. Mọi hoạt động sử dụng dữ liệu đều được gán mức độ rủi ro với thời gian đánh giá lại là từ một đến hai năm tùy thuộc vào loại rủi ro được xác định. Apple mang đến cho người dùng khả năng kiểm soát hàng đầu trong ngành. Vì thế, nếu dữ liệu cá nhân được sử dụng để phát triển các hệ thống thuật toán thì chúng tôi sẽ cung cấp cho người dùng phương tiện để đồng ý và kiểm soát việc sử dụng dữ liệu đó. Chúng tôi cũng đánh giá đầy đủ các biện pháp bảo vệ quyền riêng tư đối với tất cả các giao dịch mua lại khi thực hiện quy trình PIA. PIA có tính đến cách thức luật pháp ảnh hưởng đến quyền riêng tư, đồng thời đánh giá mọi rủi ro liên quan đến quyền riêng tư tại các khu vực pháp lý liên quan nơi chúng tôi hoạt động. Cán bộ đánh giá PIA cũng được đào tạo để xác định và nêu bật những tác động tiềm ẩn đối với quyền tự do biểu đạt. Apple cũng thường xuyên làm việc với nhiều đại diện xã hội dân sự trên toàn cầu về các vấn đề khác nhau liên quan đến quyền riêng tư và quyền tự do biểu đạt, bao gồm cả quyền riêng tư từ khâu thiết kế và mã hóa.

Apple có các chứng chỉ tuân thủ ISO 27001 và 27018 hiện hành. Apple sẽ phải trải qua các đợt kiểm tra lại hằng năm để nhận được các chứng chỉ này.

Bảo mật dữ liệu và ứng phó sự cố

Để đảm bảo an toàn cho dữ liệu cá nhân của bạn, chúng tôi thực thi nghiêm ngặt các biện pháp bảo vệ quyền riêng tư trong công ty. Điều này có nghĩa là chúng tôi sử dụng các biện pháp quản lý quyền truy cập và kiểm soát quyền truy cập tương ứng với mức độ rủi ro của dữ liệu để đảm bảo quyền truy cập vào dữ liệu có liên quan đến nhu cầu kinh doanh, chẳng hạn như cung cấp sự hỗ trợ cho bạn. Hướng dẫn Bảo mật trên nền tảng của Apple cung cấp thông tin kỹ thuật chi tiết về cách chúng tôi thiết kế các hệ điều hành, bao gồm iOS, iPadOS, macOS, watchOS, tvOS và visionOS, cũng như các sản phẩm và dịch vụ để đảm bảo tính bảo mật cho bạn, bao gồm cả iMessage, FaceTime, Apple Pay và iCloud. Apple cũng cung cấp thông tin công khai về chương trình Apple Security Bounty.

Khi nhận thấy có thể đã xảy ra sự cố về bảo mật dữ liệu mà có khả năng ảnh hưởng đến dữ liệu cá nhân của người dùng, Apple có các đội ngũ chuyên trách để điều tra và tìm hiểu xem điều gì đã xảy ra cũng như xác định các bước cần thực hiện để ứng phó với sự cố. Nếu phát hiện thấy bất kỳ tác động nào như vậy, chúng tôi sẽ ngăn chặn ngay lập tức và xác định các bước khắc phục, bao gồm cả việc cập nhật phần mềm nếu thích hợp.

Chúng tôi phân tích những tác động này – trong bối cảnh luật pháp hiện hành, quy định, quy chuẩn ngành và trên hết là cam kết đã được thiết lập của Apple về quyền riêng tư – để xác định xem liệu chúng tôi có nên thông báo cho các cá nhân bị ảnh hưởng hoặc các bên liên quan khác như cơ quan quản lý hay không. Apple đảm bảo tuân thủ tất cả luật pháp hiện hành yêu cầu thông báo ngay lập tức về sự cố bảo mật dữ liệu. Chúng tôi có thể gọi điện thoại hoặc gửi email thông báo về sự cố đó.

Điều đó có nghĩa là chúng tôi tiến hành điều tra và phân tích một cách nhanh chóng để có thể đưa ra thông báo kịp thời khi cần thiết. Chúng tôi cũng cam kết cung cấp biện pháp hỗ trợ phù hợp cho người dùng bị ảnh hưởng bởi sự cố, có thể bao gồm cung cấp thông tin về các bước họ có thể thực hiện để giảm nguy cơ tổn hại hoặc về sự hỗ trợ từ AppleCare.

Apple không biết về bất kỳ trường hợp nào mà dữ liệu iCloud của người dùng bị đánh cắp hoặc rò rỉ do xâm phạm máy chủ iCloud. Nếu bạn có thắc mắc về sự cố, vui lòng liên hệ với chúng tôi. Để biết thông tin về cách Apple xử lý yêu cầu của chính phủ liên quan đến dữ liệu khách hàng, hãy truy cập Báo cáo minh bạch.

Khiếu nại về quyền riêng tư

Nếu người dùng gửi khiếu nại về quyền riêng tư cho biết có một vấn đề nghiêm trọng về quyền riêng tư, chúng tôi sẽ thực hiện các bước để khắc phục vấn đề đó vào lần xem xét khiếu nại hợp lý tiếp theo. Trong trường hợp vấn đề về quyền riêng tư gây ra tác động tiêu cực đáng kể đến người dùng hoặc bên thứ ba có liên quan, chúng tôi sẽ thực hiện các bước để giải quyết vấn đề với người dùng hoặc bên liên quan đó.

Cập nhật chính sách về quyền riêng tư

Khi có thay đổi quan trọng đối với Chính sách quyền riêng tư, chúng tôi sẽ đăng thông báo trên trang web Chính sách quyền riêng tư ít nhất một tuần trước khi thực hiện thay đổi và chúng tôi sẽ liên hệ trực tiếp với người dùng để thông báo về thay đổi đó nếu chúng tôi có dữ liệu của họ trên hồ sơ.

Yêu cầu riêng tư về thông tin người dùng

Apple không cung cấp thông tin người dùng cho bất kỳ bên thứ ba nào nếu thông tin đó được yêu cầu mà không có cơ sở pháp lý rõ ràng cho phép Apple thực hiện việc cung cấp. Ngay cả trong những trường hợp như vậy, Apple cam kết xem xét kỹ lưỡng cơ sở pháp lý được trích dẫn và trong trường hợp không có cơ sở pháp lý, Apple sẽ chỉ cung cấp thông tin khi bị buộc phải làm như vậy theo lệnh của tòa án hoặc quy trình tương đương khác. Apple cam kết minh bạch về tất cả các yêu cầu cung cấp thông tin như vậy và sẽ công khai bản báo cáo chi tiết được cập nhật định kỳ.

Hủy nhận dạng dữ liệu cá nhân

Hủy nhận dạng là quá trình loại bỏ mối liên kết giữa một tập hợp dữ liệu nhận dạng cá nhân và một cá nhân sao cho dữ liệu đó không còn có thể được sử dụng để nhận dạng cá nhân đó nữa. Tại Apple, để dữ liệu được coi là đã hủy nhận dạng, mọi thành phần dữ liệu cá nhân đều phải được loại bỏ, bao gồm cả địa chỉ IP đầy đủ và mọi thông tin nhận dạng được liên kết với dữ liệu cá nhân.

Truyền dữ liệu có trách nhiệm

Để thực hiện các hoạt động xử lý, chẳng hạn như những hoạt động được mô tả trong Chính sách quyền riêng tư liên quan đến việc bạn sử dụng các sản phẩm và dịch vụ của chúng tôi, dữ liệu cá nhân của bạn có thể được chuyển đến hoặc truy cập bởi các công ty liên kết của Apple, nhà cung cấp dịch vụ hoặc đối tác của Apple, bất kể họ đang ở đâu. Các nhà cung cấp dịch vụ và đối tác mà chúng tôi sử dụng có thể khác nhau tùy thuộc vào nơi bạn sống. Ví dụ: Dịch vụ SOS khẩn cấp thông qua tin nhắn văn bản hoặc cuộc gọi vệ tinh của chúng tôi ở một số quốc gia châu Á có thể được chuyển qua trung tâm chuyển tiếp của nhà cung cấp dịch vụ tại Malaysia để đảm bảo khả năng kết nối hiệu quả với các dịch vụ khẩn cấp thích hợp. Bất kể dữ liệu cá nhân của bạn được lưu trữ ở đâu, Apple vẫn duy trì các biện pháp bảo vệ ở mức cao. Đối với người dùng tại Nhật Bản, bạn có thể tìm thấy thông tin trên trang web PPC về trường hợp các hệ thống pháp luật của một số quốc gia có thể ảnh hưởng đến việc xử lý đúng cách thông tin của người dùng cụ thể.

Trách nhiệm giải trình yêu cầu các tổ chức phải chịu trách nhiệm về việc xử lý dữ liệu và chứng minh rằng các hoạt động, hệ thống, chính sách và việc đào tạo của họ đáp ứng được mục tiêu về tuân thủ quy định của Apple. Với hoạt động đánh giá đảm bảo và giám sát liên tục, Apple đã nhận được chứng chỉ về trách nhiệm quyền riêng tư cho chương trình quyền riêng tư toàn cầu của mình kể từ năm 2014, tuân thủ các tiêu chuẩn do Global CBPR Forum đặt ra. Để xem các chứng chỉ của chúng tôi, hãy truy cập Global CBPR System Directory. Tại các quốc gia nơi Apple hoạt động, việc truyền dữ liệu cá nhân thu thập được ra quốc tế phải tuân thủ Global Cross-Border Privacy Rules (CBPR) System và Global Privacy Recognition for Processors (PRP) System. Chính sách và các biện pháp bảo vệ quyền riêng tư toàn cầu của Apple được đánh giá bởi Accountability Agent độc lập bên thứ ba đã được phê duyệt. Cơ quan này sẽ giám sát và thực thi việc tuân thủ các yêu cầu của chương trình Global CBPR và PRP. Để tìm hiểu về biện pháp khắc phục và thực thi bên ngoài, các cá nhân có thể liên hệ với nhà cung cấp biện pháp giải quyết tranh chấp bên thứ ba của chúng tôi.