隐私治理

Apple 始终坚定承诺尊重人权,这其中涵盖隐私权以及信息与言论自由。我们的人权政策对如何对待各方主体作出了明确规范,涵盖对象从顾客、团队成员,到业务合作伙伴,乃至供应链各层级的人员等。

在 Apple,我们秉持隐私优先原则来设计产品和服务,仅收集为用户提供相应产品或服务所必需的最少量数据。我们为用户提供个性化的软件体验。当我们确实需要收集相关数据时,仅会在达成收集目的所必需的时间范围内保留这些数据。具体保留期限遵循我们在隐私政策特定服务隐私声明中所作的说明,或按照法律要求的期限执行。

此外,我们还采用了行业领先的授权同意机制,让顾客能够自主选择是否向 app 共享位置信息、通讯录、提醒事项、照片、蓝牙共享数据、麦克风、语音识别、相机、健康、HomeKit、媒体与 Apple Music 以及运动与健身数据等各类信息。

Apple 秉持跨职能的隐私治理理念。隐私治理全方位覆盖公司业务的各个领域,在顾客数据保护与员工数据保护两方面做到统筹兼顾。Legal 团队设立了 Privacy and Law Enforcement Compliance 主管一职,该主管直接对 Apple 的 General Counsel 负责,汇报相关工作。此外,Apple 还组建了 Privacy Engineering 团队,该团队与 Privacy Legal 团队及专职 Product Counsel 紧密配合,从产品设计的最初阶段,便将顾客隐私保护纳入核心考量,并确保在 Apple 的管控之下,相关数据得到全方位保护。这其中包括建立一系列严格流程,以确保所收集的数据仅用于预期的合法用途。

同时,Apple 还设立了 Privacy Steering Committee,该委员会由 Apple 的 General Counsel 担任主席,成员包括 Apple 负责 Machine Learning and AI Strategy 的高级副总裁、Software Engineering 部门高级副总裁,以及来自多个职能部门 (包括 Internet Software and Services、Software Engineering、Product Marketing、Corporate Communications、Information Services & Technology、Information Security、Privacy Legal) 的高级代表。Privacy Steering Committee 负责为 Apple 的各个团队制定隐私标准,并作为处理隐私合规问题的决策机构或进一步升级问题的上报机构。

此外,Privacy Steering Committee 还会对第三方代表 Apple 管理或托管 Apple 所负责数据的情况进行监督。在聘用第三方之前,我们会先对其进行全面审查,之后还会通过审计和文档审查,确保这些第三方能够达到与 Apple 同等的安全标准。

此外,Board of Directors 的 Audit and Finance Committee 也会协助 Board of Directors 开展隐私和数据安全的监督与监控工作。

所有 Apple 员工每年均需参加 Business Conduct 培训,这体现了我们对尊重人权、秉持诚信道德准则开展业务,以及遵守适用法律法规的坚定承诺。关于隐私保护的培训是 Business Conduct 培训的重要组成部分。Apple 规定,有权访问 Apple 顾客数据和个人信息的员工,需每半年参加一次额外的隐私和安全培训课程;或者,在欧盟《一般数据保护条例》(GDPR) 和《加利福尼亚消费者隐私法案》(CCPA) 等相关法律更新后,也需及时接受相关培训。针对那些需要处理或有权访问大量数据、敏感个人数据,或因当地法律有特别要求的员工,我们会以团队为单位,为他们量身定制并提供额外的隐私与安全培训。对 Apple 隐私和安全标准 (包括与去标识化相关的标准) 的遵守情况,须接受 Apple Privacy Audit & Verification 团队的审查。

如果员工有任何关于隐私的疑惑或问题,均可通过 dpo@apple.com 这一电子邮件地址进行反馈,我们对此有明确的流程。有专门的团队负责管理收到的所有问题并予以解决。

作为落实 GDPR 和保障人权举措的重要组成部分,我们对主要产品和服务开展隐私影响评估 (PIA),并在开发新产品和服务过程中,将 PIA 机制融入其中。审核包括:评估是否存在依赖算法系统进行决策的情况,以及这类决策对个人及其权利产生的影响。我们会针对所有数据使用情况确定风险等级,并且根据所确定的风险程度,每一到两年重新审核一次。如果个人数据被用于开发算法系统,我们会遵循 Apple 行业领先的用户管控机制,为用户提供同意和控制此类数据使用方式的途径。在 PIA 流程中,我们还会对所有收购活动所涉及的隐私实践进行全面评估。PIA 会考量法律法规对隐私的影响,并评估我们在开展业务的相关司法管辖区内可能面临的任何隐私风险。PIA 审核员均接受过相关培训,能够识别并着重指出可能对言论自由产生的影响。Apple 还会定期与全球各地的民间社会代表开展交流,围绕各类隐私和言论自由问题展开讨论,其中包括从设计源头保护隐私以及数据加密等议题。

Apple 始终保持最新的 ISO 2700127018 认证。并且,每年都会接受重新审核,以持续维持这些认证。

数据安全和事件响应

为确保你的个人数据安全无虞,我们将在公司内部严格实施全面的隐私保护措施。这意味着,我们会使用与数据风险程度相适配的访问管理和访问控制措施,以确保所有数据访问行为均源于正当业务需求,例如为你提供必要的支持服务。Apple 平台安全保护指南提供了详尽的技术细节,介绍了我们如何设计操作系统 (包括 iOS、iPadOS、macOS、watchOS、Apple tvOS 以及 visionOS) 以及我们为保护你安全而打造的产品和服务 (包括 iMessage 信息、FaceTime 通话、Apple Pay 和 iCloud)。此外,Apple 还公开发布了 Apple 安全赏金计划的相关信息。

当 Apple 察觉可能存在影响用户个人数据的数据安全事件时,会立即安排专门的团队展开调查,深入了解事件详情,并确定相应的应对措施。如果发现此类事件产生了实际影响,我们会立即采取行动,消除影响并确定补救措施,其中包括进行软件更新 (如果适用)。

我们会综合考量适用的法律、法规、行业规范,以及 Apple 始终坚守的隐私保护承诺,对这些事实进行分析,进而确定是否应通知受影响的个人或监管机构等其他相关方。Apple 严格遵循所有适用法律的规定,确保在数据安全事件发生后及时通报,绝不无故延误。我们可能会通过电话或电子邮件的方式发送这类通知。

这意味着,我们会迅速开展调查和分析工作,以便在必要时及时发送通知。我们还承诺,会为受安全事件波及的用户提供适当的协助,包括告知用户可采取哪些措施来降低安全风险带来的危害,或由 AppleCare 提供的支持。

目前,Apple 尚未发现有任何用户的 iCloud 数据因 iCloud 服务器遭受攻击而被盗或泄露的情况。如果你对相关事件有疑问,请随时联系我们。如需了解 Apple 如何处理政府对顾客数据的请求,请访问 透明度报告

隐私投诉

如果用户提出涉及重大隐私问题的投诉,我们将会在下一个合理时机采取措施,对相关问题进行修复。如果隐私问题已对用户或相关第三方造成重大负面影响,我们将采取措施,与用户或第三方共同解决相关问题。

隐私政策更新

当我们的隐私政策发生重大变更时,我们会至少提前一周在隐私政策网页上发布通知;如果我们存档有用户数据,还将直接联系用户,告知相关变更情况。

第三方对用户信息的请求

除非存在明确的法律依据允许 Apple 提供用户信息,否则 Apple 不会向任何要求提供用户信息的第三方提供这类信息。即便存在提供信息的需要,Apple 也会对所依据的法律进行全面审查;如果缺乏此类法律依据,Apple 将仅在收到法院命令或通过其他同等程序强制要求时,才会做出回应。Apple 致力于对所有此类请求保持高度透明,并会发布定期更新的详细报告

个人数据去标识化

去标识化是指消除一组个人身份识别数据与特定个人之间关联的过程,以便这些数据无法再用于识别具体个人。在 Apple 内部,为了使数据达到去标识化标准,必须删除所有个人数据元素,这包括完整的 IP 地址以及与个人数据相关联的任何标识信息。

责任明确的数据传输

为开展本隐私政策中所述、与你使用我们的产品和服务相关的数据处理活动,你的个人数据可能会被传输到 Apple 附属公司、Apple 服务提供商或合作伙伴处,或被这些实体访问,无论位于何处。我们所使用的服务提供商和合作伙伴,可能会因你居住地点的不同而有所差异。例如,在某些亚洲国家或地区,我们“通过卫星发送 SOS 紧急联络”的呼叫或短信,可能会通过我们在马来西亚的服务提供商中继中心进行转接,以确保有效、高效地连接到相应的紧急服务。无论你的个人数据存储在何处,Apple 始终会采取同等高水平的保护与防护措施。对于日本用户,有关某些国家或地区的法律制度可能会影响对特定用户信息恰当处理的相关信息,可访问 PPC 网站进行查询。

责任制要求各组织对数据处理工作担起责任,并证明自身在实践、系统、政策及培训等方面,均能达到 Apple 的合规目标。通过持续开展监督和保障审核,自 2014 年起,Apple 的全球隐私计划已获得隐私问责制认证,这项认证严格遵循 Global CBPR Forum 所规定的标准。如需查看我们的认证信息,请访问 Global CBPR System Directory。在 Apple 开展业务的国家或地区,所收集个人数据的国际传输均严格遵循 Global Cross-Border Privacy Rules (CBPR) SystemGlobal Privacy Recognition for Processors (PRP) System 的相关规定。Apple 的全球隐私政策及实践由经认证的独立第三方 Accountability Agent 进行审核,代理负责监督并确保 Apple 符合 Global CBPR 和 PRP 的计划要求。Apple 的全球隐私政策及实践由经认证的独立第三方 Accountability Agent 进行审核,代理负责监督并确保 Apple 符合 Global CBPR 和 PRP 的计划要求。针对补救措施及外部执法问题,个人可联系我们的第三方争议解决机构

Global CBPR System Certification Mark 和 Global PRP System Certification Mark™ 是 International Trade Administration/Office of Global Data Policy and Privacy 的商标,经许可使用。