Apple 公司2022年12月7日宣布了一套数据安全改进措施——包括iMessage 联系人密钥验证、Apple ID 安全密钥和 iCloud 高级数据保护。这一揽子措施计划在未来几个月推出，旨在保护消费者数据并抵御黑客攻击。Apple的软件工程高级副总裁在公告中表示，新功能将为用户提供“三种强大的新工具，以进一步保护他们最敏感的数据和通信。”

在云服务中部署数据安全措施，这并非Apple公司的首例。该公司已经在采用加密技术来保护 14种“默认使用端到端加密的敏感数据类别，包括iCloud钥匙串和健康数据中的密码”。新的高级数据保护功能将类别数量扩展至 23 个，包括对 iCloud 备份、备忘录和照片、发布状态的端到端加密。该保护将不涵盖 iCloud 邮件、通讯录和日历，因此它们可以继续与其他非 Apple 全球系统进行互操作。

Tips：端到端加密

【资料图】

简单来说，“加密技术”就是将消息的内容或其他一些数据片段打乱，使其在没有解密密钥的情况下完全无用。“端到端加密”意味着只有终端计算机才存储加密密钥。端到端加密比当今的行业安全标准更先进，许多公司都正在使用该技术。

想了解更多“端到端加密”立法问题，可以阅读本平台发布的《安全与隐私的冲突——美国、英国、欧盟端到端加密监测法案综合评述》。

然而，在这三项改进中，最引人注目的功能是iCloud 备份中扩展端到端加密——因为此举必然会引起执法部门的关注。

长期以来，Apple一直在其设备上提供强大的加密保护，包括iPhone、iPad和Mac电脑。在 2015 年圣贝纳迪诺恐怖分子袭击事件发生后，这些设备保护措施就遭到了美国执法部门的强烈批评，特别是是美国联邦调查局（FBI）。

从2015年12月开始，Apple公司与 美国联邦调查局（FBI）之间的诉讼和公开辩论曾持续了数月，引发公众的关注。FBI曾尝试进入 iPhone 的后门以进行对恐怖分子的调查。时任 FBI 总法律顾问的 Jim Baker曾在一次峰会上描述了加密带来的“致黑问题”（going dark problem）——随着加密“在全世界传播，它变得更容易使用，并成为用户的默认设置，会有更多人使用它。”但是，他补充说，“对于恐怖主义，我们的失败率是零。”

FBI 最终确实获得了圣贝纳迪诺恐怖分子的电话，尽管当时它并没有与Apple公司分享它是如何做到的。Jim Baker在 2016 年公开表示：“我们喜欢加密措施，我也曾多次成为隐私犯罪的受害者，包括在美国人事管理办公室。我希望数据已被加密。”

背景扩展：Apple公司与 FBI 的三轮交锋

第一轮：公开的法律斗争

2015 年 12 月圣贝纳迪诺袭击事件期间，FBI没收了一部犯罪嫌疑人使用的 iPhone，但由于 FBI和Apple 都无法访问被没收 iPhone 上的加密数据，于是FBI 向法院申请了一项命令，要求 Apple 公司创建一个自定义操作系统，以禁用 iPhone 上的关键安全功能。

在法院批准 FBI 的申请并向 Apple 公司发出命令后不久，FBI 开始解封文件，并向媒体通报了其请求 Apple 公司协助处理此案的消息。作为回应，Apple 公司首席执行官蒂姆•库克发表了一封致客户的信，明确表示公司将反对该命令，该命令将开创“危险的先例”。

2016 年 2 月 25 日，Apple公司提出撤销法院命令的动议，辩称该命令是非法且违宪的。

在找到第三方公司为FBI破解它后，FBI 放弃了诉讼。

第二轮：Apple公司放弃iCloud加密计划

2018年，据一些内部人士透露，Apple公司曾告诉 FBI，他们正计划在用户将手机数据存储在 iCloud 上时为用户提供端到端加密。根据该主要旨在阻止黑客的计划，Apple 公司将不再拥有解锁加密数据的密钥，这意味着即使在法院命令下，它也无法以可读的形式将材料移交给当局。

然而，当Apple 公司在第二年私下与 FBI 谈论其在手机安全方面的工作时，却表示，端到端加密计划已经被放弃。路透社经过多次采访，也无法确定苹果放弃该计划的确切原因。

第三轮：Apple公司的“配合”不能令FBI满意

2019年12月，一名在美国军方受训的沙特阿拉伯学员在彭萨科拉海军航空站开火，造成伤亡11人。FBI 找到两部 iPhone手机，在无法访问其数据后，要求 Apple公司解锁它们。Apple公司拒绝了，但最终FBI在没有Apple公司帮助的情况下至少解锁了其中一个，并发现枪手与恐怖组织之间存在实质性联系。

比较奇怪的是，在这轮交锋中，美国总检察长威廉•巴尔在2020年1月表示Apple公司没有提供解锁手机的“实质性帮助”；而Apple公司在一份电子邮件声明中，拒绝接受威廉•巴尔关于它没有在彭萨科拉调查中提供实质性帮助的描述，Apple公司还分享了有关其对 FBI 求助请求的回应的一些细节。

之后，Apple 公司发言人拒绝就该公司对加密问题的处理方式或与 FBI任何相关讨论发表评论；FBI 也没有就 Apple 的任何讨论发表评论。

然而随着此次 Apple 公司将加密措施扩展到 iCloud，FBI 再次表达了它的担忧。FBI本周表示，它“深切关注端到端和仅限用户访问的加密构成的威胁。......这阻碍了我们保护美国人民免受犯罪行为侵害的能力，包括网络犯罪、针对儿童的暴力行为、贩毒、有组织犯罪和恐怖主义等”，并补充说执法部门需要“有意设计的合法访问途径”。

Apple公司 CEO 蒂姆•库克在 2022全球隐私峰会的主题演讲中表示，保护隐私并不容易，但“这是我们这个时代最重要的战斗之一”。他还重申，Apple公司继续“支持没有后门的加密——因为我们知道，如果你安装后门，任何人都可以使用它。”

Apple公司在本周的公告中表示，“比以往任何时候都更迫切需要增强云中用户数据的安全性。”与公告一起，该公司发布了一份由 Stuart Madnick 教授撰写的《云计算对消费者数据的威胁日益严重》白皮书发现：全球数据泄露的数量在 2013 年至 2021 年期间增加了两倍多；美国 1,000 家最大的公司中有60% 以上的公司发生过数据泄露，并且在 2021 年，超过一半的受访组织经历过勒索软件攻击。

▲ 图片：摘自Stuart Madnick 教授撰写的白皮书《云计算对消费者数据的威胁日益严重》

随着越来越多的客户和企业在线开展业务，网络犯罪是一项价值数十亿美元的业务。

Apple公司还停止了扫描用户照片以查找存储在 iCloud 中的儿童性虐待材料的计划。2021年，Apple公司就此招致了隐私倡导者的批评，并于 2021 年 9 月表示将暂停推出，“以在发布前收集意见并做出改进”。针对收到的反馈，“iCloud 照片的 CSAM 检测工具已失效”。

Apple公司现在将其反CSAM工作的重点放在其“通信安全”功能上。在提供给连线的一份声明中，Apple公司表示，“无需公司梳理个人数据，儿童就可以得到保护，我们将继续与政府、儿童倡导者和其他公司合作，帮助保护年轻人，维护他们的隐私权，以及让互联网成为儿童和我们所有人更安全的地方。”

Apple公司还推出了iMessage 联系人密钥验证和安全密钥。尽管对普遍的用户都有帮助，但这些强有力的保护措施主要是针对“面临非凡数字威胁的用户”——例如记者、人权活动家和政府成员。

启用 iMessage 密钥服务之后，如果设备遭到黑客成功侵入云服务器并在加密通信中插入窃听软件，用户会收到自动警报。

最后，Security Keys 将允许用户利用第三方硬件安全密钥来增强 iCloud 中的数据安全保护。Apple公司发布声明称，这使iPhone的双要素身份验证更进一步，甚至可以防止高级攻击者在网络钓鱼诈骗中获得用户的第二要素。

约翰霍普金斯大学密码学教授马修格林将此次安全措施的推出描述为“一件大事”。

他表示，因为 Apple公司为消费者的安全云备份设定了标准，即使作为一项可选择的功能，这一举措也会在整个行业产生影响，竞争对手会迅速就此作出反应。

作者：Jedidiah Bracy，国际隐私协会（IAPP）的主任编辑。

译者：《互联网法律评论》

【免责声明】本文撰写所需的信息采集自合法公开的渠道，我们无法对信息的真实性、完整性和准确性提供任何形式的保证。

本文仅为分享、交流信息之目的，不构成对任何企业、组织和个人的决策依据。