Apple은 기본적으로 개인정보 보호 원칙에 따라 제품과 서비스를 설계하며 사용자에게 제품이나 서비스를 제공하는 데 필요한 최소한의 데이터만 수집합니다. Apple은 사용자에게 소프트웨어의 1개 버전을 제공합니다. Apple은 해당 데이터를 수집할 때 Apple 개인정보 처리방침 또는 Apple 서비스별 개인정보 처리방침에 설명된 대로 또는 법률이 요구하는 대로 등 데이터가 수집된 목적을 달성하기 위해 필요한 기간 동안만 해당 데이터를 보관합니다.

또한 Apple은 업계를 선도하는 동의 메커니즘을 배포하여 고객이 위치, 연락처, 미리 알림, 사진, Bluetooth 공유, 마이크, 음성 인식, 카메라, 건강, HomeKit, 미디어 및 Apple Music, 모션 및 피트니스 데이터 등과 같은 데이터를 앱과 공유할지 여부를 선택할 수 있도록 합니다.

Apple은 개인정보 보호 거버넌스에 대해 부서 간 협업 접근 방식을 취합니다. 개인정보 보호 거버넌스는 회사의 모든 영역을 포괄하며 고객 및 직원 데이터를 모두 포함합니다. Legal Team에는 Apple의 General Counsel에게 직접 보고하는 Head of Privacy and Law Enforcement Compliance가 있습니다. Apple에는 Privacy Legal 팀 및 전담 Product Counsel과 협력하여 고객 개인정보를 보호하고 데이터가 Apple의 통제 하에 유지되는 한 해당 데이터를 보호하도록 처음부터 제품을 설계하는 Privacy Engineering 팀도 있습니다. 여기에는 수집된 데이터가 의도된 합법적인 목적으로만 사용되도록 보장하는 것과 관련한 강력한 프로세스가 포함됩니다.

또한 Apple에는 Apple의 General Counsel이 의장을 맡는 Privacy Steering Committee가 있으며, 구성원으로는 Apple의 Senior Vice President of Machine Learning and AI Strategy 및 Apple의 Senior Vice President of Software Engineering와 Internet Software and Services, Software Engineering, Product Marketing, Corporate Communications, Information Services & Technology, Information Security, Privacy Legal의 선임 대표가 참여하는 부서 간 협업 그룹이 포함됩니다. Privacy Steering Committee는 Apple의 전체 팀을 위한 개인정보 보호 기준을 확립하며 의사 결정 또는 추가 에스컬레이션을 위해 개인정보 보호 규정 준수 문제를 해결하기 위한 에스컬레이션 포인트의 역할을 합니다.

또한 Privacy Steering Committee는 Apple이 책임을 지는 데이터가 Apple을 대신하여 제3자에 의해 관리되거나 호스팅되는 경우를 감독합니다. Apple은 계약 전에 해당 제3자를 검토하고 이후 감사 및 문서 검토를 통해 해당 제3자가 Apple과 동일한 보안 기준을 충족할 수 있는지 확인합니다.

또한 Board of Directors의 Audit and Finance Committee는 Board of Directors를 지원하여 개인정보 보호 및 데이터 보안에 대한 감독과 모니터링을 수행합니다.

모든 Apple 직원은 업무 규범에 관한 연간 교육을 이수해야 하며, 이 교육에는 인권을 존중하고 윤리적이고, 정직하게, 관련 법규를 준수하여 비즈니스를 수행하기 위한 Apple의 약속이 반영됩니다. 개인정보 보호 교육은 업무 규범 교육의 필수적인 부분입니다. Apple은 Apple 고객 데이터 및 개인 정보에 접근할 수 있는 직원에게 연 2회 또는 EU GDPR(General Data Protection Regulation) 및 CCPA(California Consumer Privacy Act)와 같은 업데이트된 법률에 따라 추가 개인정보 보호 및 보안 교육 과정을 이수하도록 요구합니다. 추가 맞춤형 개인정보 보호 및 보안 교육이 대량의 데이터, 민감한 개인 데이터를 처리하거나 이에 접근할 수 있는 직원에게 또는 현지 법률에서 추가로 요구하는 대로, 팀별로 제공됩니다. 비식별화에 관련된 기준을 포함하여 Apple의 개인정보 보호 및 보안 기준의 준수는 Apple Privacy Audit & Compliance 팀의 감사 대상입니다.

또한 Apple은 직원들이 개인정보 보호 관련 문의 또는 질문을 할 수 있도록 dpo@apple.com 이메일 주소를 통한 명확한 프로세스를 갖추고 있습니다. 전담 팀이 해결을 위해 접수된 모든 문의를 관리합니다.

GDPR 및 인권 업무의 일환으로, Apple은 주요 제품 및 서비스에 대해 PIA(Privacy Impact Assessment)를 수행하며 새로운 제품 및 서비스를 개발할 때 PIA를 통합합니다. 검토에는 알고리즘 시스템에 의존하는 의사 결정이 있는지 여부와 그러한 의사 결정이 개인 및 개인의 권리에 미치는 영향에 대한 평가가 포함됩니다. 확인된 위험에 따라 1~2년 범위의 재검토 기간을 설정하여 모든 데이터 사용에 위험 레벨이 할당됩니다. 개인 데이터가 알고리즘 시스템의 개발을 위해 사용되는 경우, Apple의 업계를 선도하는 사용자 제어권에 부합하여 Apple은 사용자에게 그러한 데이터 사용에 동의하고 이를 제어할 수 있는 수단을 제공합니다. 또한 Apple은 PIA 프로세스의 일환으로 모든 인수의 개인정보 처리방침을 철저히 평가합니다. PIA는 법률이 개인정보 보호에 어떻게 영향을 미치는지를 고려하고 Apple이 사업을 운영하는 관련 관할 구역에서 연관된 개인정보 보호 위험을 평가합니다. PIA 검토자는 표현의 자유에 대한 잠재적인 영향을 파악하고 강조하도록 교육도 받습니다. 또한 Apple은 개인정보 보호 중심 설계 및 암호화를 포함하여 다양한 개인정보 보호 및 표현의 자유 문제에 관하여 전 세계의 다양한 시민 사회 대표와 정기적으로 교류합니다.

Apple은 최신 ISO 27001 및 27018 인증을 유지합니다. Apple은 이러한 인증을 받기 위해 매년 재감사를 받습니다.

데이터 보안 및 사고 대응

사용자의 개인 데이터를 안전하게 보호하기 위해 Apple은 회사 내에서 개인정보 처리방침을 엄격히 시행합니다. 이는 Apple이 데이터에 대한 접근이 사용자에게 지원을 제공하는 등 비즈니스 요구와 연관되도록 하기 위해 데이터에 대한 위험에 비례하는 접근 관리 및 접근 제어를 사용한다는 것을 의미합니다. Apple 플랫폼 보안 가이드에서는 iOS, iPadOS, macOS, watchOS, tvOS 및 visionOS를 포함하는 Apple 운영 체제뿐만 아니라 사용자의 보안을 보호하기 위해 iMessage, FaceTime, Apple Pay, iCloud를 포함하는 Apple 제품 및 서비스를 설계한 방식에 관한 심층적인 기술 세부 정보를 제공합니다. 또한 Apple은 Apple Security Bounty 프로그램에 대한 정보를 대중에게 공개합니다.

Apple이 사용자의 개인 데이터에 영향을 미칠 수 있는 데이터 보안 사고가 발생했을 수 있음을 인지하게 되는 경우, Apple은 무슨 일이 일어났는지를 알아보고 조사하여 대응 조치를 결정하기 위한 전담 팀을 갖추고 있습니다. 그러한 영향이 발견되면 Apple은 즉시 이를 종결하고 해당되는 경우 소프트웨어 업데이트를 통한 방법을 비롯한 시정 조치를 파악합니다.

Apple은 관련 법률, 규정, 업계 기준 및 무엇보다도 Apple의 확립된 개인정보 보호 약속의 맥락에서 이러한 사실을 분석하여 영향을 받은 개인 또는 규제 기관과 같은 기타 관련 당사자에게 통지해야 하는지 여부를 결정합니다. Apple은 과도한 지연 없이 데이터 보안 사고에 대해 통지하도록 요구하는 모든 관련 법률을 준수할 것을 보장합니다. Apple은 전화 통화나 이메일을 통해 그러한 통지를 할 수 있습니다.

이는 Apple이 신속한 조사 및 분석을 수행하여 필요한 경우 적시에 통지할 수 있도록 하는 것을 의미합니다. 또한 Apple은 사고의 영향을 받은 사용자에게 적절한 지원을 제공하기 위해 최선을 다하고 있으며, 여기에는 피해 위험을 줄이기 위해 취할 수 있는 조치에 관한 정보 또는 AppleCare의 지원이 포함될 수 있습니다.

Apple은 사용자의 iCloud 데이터가 iCloud 서버 침해로 인하여 도난당하거나 유출된 사례에 관하여 전해 들은 바가 없습니다. 사고와 관련하여 문의사항이 있는 경우 Apple에 문의해 주시기 바랍니다. Apple이 고객 데이터와 관련하여 정부 요청을 처리하는 방법에 대한 자세한 내용은 투명성 보고서를 참조하시기 바랍니다.

개인정보 보호 관련 불만 사항

사용자가 중대한 개인정보 보호 문제를 나타내는 개인정보 보호 관련 불만 사항을 제기하는 경우, Apple은 합리적인 다음 기회에 해당 문제를 해결하기 위한 조치를 취할 것입니다. 개인정보 보호 문제로 인해 사용자 또는 관련된 제3자에게 중대한 부정적인 영향이 발생한 경우, Apple은 해당 사용자 또는 해당 다른 사람과 함께 이를 해결하기 위한 조치를 취할 것입니다.

개인정보 처리방침 업데이트

Apple 개인정보 처리방침에 중대한 변경 사항이 있는 경우, Apple은 최소한 1주 전에 개인정보 처리방침 웹 페이지에 공지 사항을 게시하고 사용자의 데이터가 그렇게 하도록 Apple에 등록되어 있는 경우 변경 사항에 대해 해당 사용자에게 직접 연락할 것입니다.

사용자 정보에 대한 비공개 요청

Apple은 Apple이 그렇게 할 수 있도록 허용하는 명확한 법적 근거 없이 그러한 정보가 요청되는 경우 제3자에게 사용자 정보를 제공하지 않습니다. 그러한 상황에서도 Apple은 언급된 법적 근거를 철저히 검토하며, 그러한 법적 근거가 없는 경우에는 법원 명령 또는 기타 동등한 프로세스를 통해 그렇게 하도록 강제되는 경우에만 대응할 것입니다. Apple은 그러한 모든 요청에 대한 투명성을 유지하기 위해 최선을 다하고 있으며 정기적으로 업데이트되는 상세 보고서를 게시합니다.

개인 데이터의 비식별화

비식별화는 일련의 식별 개인 데이터와 개인 간의 연관을 제거하여 데이터가 더 이상 해당 개인을 식별하는 데 사용될 수 없도록 하는 프로세스입니다. Apple 내에서 데이터가 비식별화된 것으로 간주되려면 전체 IP 주소 및 개인 데이터에 연결된 식별자를 포함하여 모든 개인 데이터 요소가 제거되어야 합니다.

책임 있는 데이터 전송

사용자의 Apple 제품 및 서비스 이용과 관련하여 Apple의 개인정보 처리방침에 설명된 것과 같은 처리 활동을 수행하는 데 있어 Apple 계열사, Apple 서비스 제공업체 또는 파트너는 그 위치와 상관없이 사용자의 개인 데이터를 전송 또는 이용할 수 있습니다. Apple에서 사용하는 서비스 제공업체 및 파트너는 사용자의 거주지에 따라 다를 수 있습니다. 예를 들어, 일부 아시아 국가에서 위성을 통한 긴급 구조 요청을 사용하여 전화 또는 문자를 하는 경우 효과적이고 효율적인 연결과 적절한 긴급 서비스를 보장하기 위해 말레이시아에 있는 Apple 서비스 제공업체의 중계 센터를 통해 라우팅될 수 있습니다. Apple은 개인 데이터가 저장된 위치와 상관없이 높은 수준의 보호 및 보호 조치를 동일하게 유지합니다. 일본에 거주하는 사용자의 경우, PPC 웹사이트에서 일부 국가의 법적 시스템이 특정 사용자 정보의 적절한 처리에 미치는 영향에 관한 정보를 확인할 수 있습니다.

책임은 조직이 데이터 처리에 대한 책임을 지고 운영 방식, 시스템, 정책 및 교육이 Apple의 규정 준수 목표를 달성하고 있음을 입증할 것을 요구합니다. Apple은 지속적인 감독과 보증 심사를 통해 2014년부터 Global CBPR Forum에서 규정한 기준에 부합하는 글로벌 개인정보 보호 프로그램에 대한 개인정보 보호 책임 인증을 취득해 왔습니다. 인증 현황은 Global CBPR System Directory를 참조하시기 바랍니다. Apple이 사업을 운영하는 국가에서는 수집된 개인정보의 국제 이전이 Global Cross-Border Privacy Rules (CBPR) System 및 Global Privacy Recognition for Processors (PRP) System의 규정을 준수합니다. Apple의 글로벌 개인정보 처리방침은 Global CBPR 및 PRP 프로그램 요구 사항의 준수를 모니터링하고 시행하는 승인된 독립 제3자 Accountability Agent에 의해 검토됩니다. 시정 조치 및 외부 기관에 의한 집행과 관련하여 개인은 Apple의 제3자 분쟁 해결 제공업체에 문의할 수 있습니다.

Global CBPR System Certification Mark 및 Global PRP System Certification Mark™는 International Trade Administration/Office of Global Data Policy and Privacy의 상표이며 허가를 받은 후 사용하고 있습니다.