iCloud 照片有端對端加密嗎？

預設情況下，iCloud Photos 並未採用端對端加密。Apple 使用其控制的加密金鑰儲存照片，並可在法律要求時解密。啟用 Advanced Data Protection 可改變這一點：您受信任的裝置持有金鑰，Apple 不持有。ADP 需手動開啟，預設為關閉，且在開啟前必須先完成復原設定。

iCloud Photos 有加密 - 但在標準資料保護下，Apple 持有加密金鑰，並可應法律命令或帳戶復原需求存取您的照片。啟用 Advanced Data Protection 後，iCloud Photos 才真正實現端對端加密：您的裝置持有金鑰，Apple 不持有任何資訊。ADP 必須手動開啟，並非預設值，且已於 2025 年 2 月因 Apple 無法合法拒絕的政府要求而從英國用戶中移除。

「加密」在 Apple 持有金鑰時的真正含義

iCloud 確實會加密您的照片。這個說法是真實的，但若就此打住，也容易造成誤導。

在標準資料保護下（每個 Apple Account 的預設設定），您的照片在傳輸過程中會加密，並以加密格式儲存在 Apple 的伺服器上。加密是真實存在的。但細則指出，Apple 將加密金鑰保存在其自有資料中心的硬體安全模組中。Apple 的支援文件說明得很清楚：Apple 伺服器可以存取金鑰，且若您失去帳戶存取權，Apple 可協助您復原資料。

這種架構有一個名稱：伺服器端加密。供應商加密資料，供應商持有金鑰。它可以保護您的照片免受未持有憑證的人入侵儲存層。但它無法保護照片免受 Apple 本身、向 Apple 發出法律命令的機關，或金鑰管理系統遭入侵的威脅。當記者和研究人員描述 iCloud 是執法機關請求的對象時，正是在描述這個機制。資料之所以可被取出，是因為 Apple 能夠取出它。

這並非隱藏的缺陷。Apple 在其 iCloud 資料安全概覽中公開說明了這一點。這是帳戶復原所做的刻意取捨：您之所以能在遺失裝置後取回照片，正是因為 Apple 可以代表您解密。

在標準保護下，有 15 個 iCloud 資料類別採用端對端加密，包括密碼與 Keychain、健康資料及少數其他類別。iCloud Photos、iCloud 備份、備忘錄及大多數其他類別並不包含在內。

Advanced Data Protection：iCloud Photos 真正實現端對端加密的時機

Apple 於 2022 年 12 月 7 日宣布推出 iCloud 的 Advanced Data Protection，改變了大多數 iCloud 資料的金鑰保管模式。當 ADP 開啟時，您受信任的裝置（而非 Apple）持有加密金鑰。採用端對端加密保護的資料類別數量從 15 個增加至 25 個，iCloud Photos 是新增項目之一。

關於類別數量，有一點需要說明：Apple 在 2022 年 12 月的原始公告中表示，涵蓋範圍從 14 個擴展至 23 個類別。目前的 Apple 支援頁面則顯示 25 個。Apple 自推出以來已擴大 ADP 的涵蓋範圍。本文採用現行 Apple 支援文件所列的 25 個作為目前數字，並為準確起見記錄此差異。

Apple 安全工程與架構負責人 Ivan Krstić 在發布時描述：Advanced Data Protection 是 Apple 最高層級的雲端資料安全性，讓用戶可以選擇以端對端加密保護絕大多數最敏感的 iCloud 資料，使其只能在受信任的裝置上解密。

這個描述是準確的。啟用 ADP 後，Apple 無法讀取您的照片。即使有機關向 Apple 發出取得 iCloud 照片資料的法律命令，Apple 也無從交出 - 因為它不再持有金鑰。這是真正的端對端加密，與安全通訊應用程式對訊息採用的模式相同。

ADP 是真正的隱私改進。啟用後，iCloud 即成為真正的端對端加密照片儲存空間。如果您使用 iCloud 儲存想要保密的照片，且您不在英國，啟用 ADP 是值得付出設定成本的。

ADP 仍無法保護的內容

涵蓋範圍雖廣，但並非全面。即使啟用 ADP，仍有三個類別不在端對端加密的範圍內。

郵件、聯絡人和行事曆。Apple 的理由是互通性：這些服務需要與外部系統交換資料，包括電子郵件伺服器、CalDAV 供應商和 CardDAV 服務，而這些交換必須使用標準加密才能正常運作。Apple 會加密這些資料，但持有金鑰。

照片中的共享相簿。與他人共享或以「任何擁有連結的人」URL 發布的相簿可在網路上存取。這種存取方式需要 Apple 能夠提供內容，這就需要伺服器端金鑰。啟用 ADP 後，您個人圖庫中的照片採用端對端加密；但同樣的照片在共享相簿中則不受此保護。

iWork 協作功能。共享 Keynote、Numbers 和 Pages 文件的即時編輯需要透過 Apple 伺服器進行協調，而這種協調需要伺服器存取內容。

這些並非 Apple 的疏失，而是需要中間伺服器的功能所必然付出的架構代價。若您希望照片採用端對端加密，請勿將其放入共享相簿。

如何確認 ADP 是否已開啟，以及如何啟用

ADP 預設為關閉。確認方式：在 iPhone 上開啟「設定」，點一下頂部的姓名，點一下「iCloud」，向下捲動至底部並點一下「Advanced Data Protection」。若顯示「Advanced Data Protection 已開啟」，表示已啟用。若顯示開啟提示，則表示尚未啟用。

啟用前，Apple 會要求您完成兩件事，才能讓切換開關生效：在您的 Apple Account 上啟用雙重認證，以及設定至少一種復原方式 - 復原聯絡人（另一位擁有 Apple 裝置的人）或復原金鑰（一組 28 個字元的字串，請存放在安全的地方）。這是必要條件，並非選項。若您失去存取權，Apple 無法協助您復原端對端加密的資料，因此您必須在 ADP 開啟前提供自己的復原途徑。

在一部裝置上啟用 ADP，即會為您所有相容裝置上的整個 Apple Account 啟動。這是帳戶層級的設定。裝置必須執行 iOS 16.2、iPadOS 16.2、macOS 13.1 或更新版本。

持久性問題：英國發生的事

2025 年 2 月，Apple 為英國用戶移除了 Advanced Data Protection。直接原因是英國內政部依據《調查權力法》發出的技術能力通知，要求 Apple 提供存取 iCloud 中加密用戶資料的途徑。

Apple 選擇撤回英國的 ADP，而非建立後門。已啟用 ADP 的英國用戶於 2025 年 2 月 21 日收到警示，要求他們關閉 ADP，否則將面臨無法存取 iCloud 帳戶的風險。新的英國用戶完全無法啟用 ADP。預設加密的 15 個類別仍受保護；其餘所有類別 - 照片、備份、備忘錄及其他 25 個 ADP 類別 - 對英國帳戶均恢復為標準加密（Apple 持有金鑰）。

據報導，原始通知要求存取全球所有用戶的 iCloud 資料。經過美國議員的強大施壓，以及根據 2025 年 8 月的報導，美國國家情報總監發表聲明指出英國已撤回更廣泛的要求，內政部修改了命令，僅涵蓋英國用戶。Apple 隨後放棄了對修訂通知的法律挑戰。調查權力法庭於 2025 年 10 月 14 日以「情況改變」為由駁回上訴。

Apple 當時的聲明：「我們對 ADP 所提供的保護無法惠及英國客戶深感失望，尤其是在資料外洩及其他威脅用戶隱私的情況持續上升之際。」

截至 2026 年 6 月，根據 Apple 在 support.apple.com/en-gb/122234 的官方支援頁面，英國用戶仍無法使用 ADP。Privacy International 和 Liberty 均有針對內政部監控命令的積極法律挑戰，排期至 2026 年，但這些案件旨在挑戰命令本身，而非以恢復 ADP 為近期目標。ADP 是否會回歸英國，目前仍是未有確定答案的開放問題。

英國案例對全球用戶都有意義，原因只有一個：它是一個有據可查的概念驗證。政府可以強制平台在整個國家關閉某個功能，而不針對個別用戶或通知他們。這個機制 - 依據國家安全法發出的秘密通知 - 並非英國獨有。《調查權力法》在其他司法管轄區都有對應法律。重點不是要引起恐慌，而是「平台承諾端對端加密」與「平台提供端對端加密的能力在法律上是否持久」是兩個不同的主張。

Vaultaire 的定位：一種不同的架構

Vaultaire 採用不同的架構，而非取代 ADP 的所有功能。

ADP 是平台層級、帳戶綁定且與雲端耦合的。資料仍儲存在 iCloud 中；創新之處在於 Apple 不再持有金鑰。您可獲得 iCloud 的同步、多裝置存取和備份，同時將金鑰保管轉移至您的裝置。對大多數人來說，這是值得的取捨。

Vaultaire 以裝置為本。預設情況下，您的照片不會傳送至伺服器。當您在 5x5 格狀圖上繪製圖案時，該圖案會直接生成一個 AES-256-GCM 金鑰。它不是與任何儲存位置進行比對的密碼。沒有任何內容會上傳。沒有帳戶、沒有電子郵件、沒有憑證儲存庫。金鑰只存在於您的裝置上，每次繪製圖案時即時生成。

選擇性的加密 iCloud 備份運作方式如下：若您選擇備份保險庫，它在抵達 iCloud 之前即已在您的裝置上加密。Apple 收到的是無法讀取的密文，就像它從啟用 ADP 的訊息備份中收到密文一樣。Vaultaire 同樣不持有您備份的金鑰。金鑰就是您的圖案，只有您擁有它。

這就是零知識加密在實踐中的含義：服務供應商從未持有金鑰，因此供應商的安全漏洞不會導致您的資料外洩。

與 ADP 的差異在於控制權的所在。使用 ADP 和 iCloud，您的照片可跨裝置同步，並可在設定了復原聯絡人的情況下復原，這對大多數人很有用。使用 Vaultaire，照片保留在本機，除非您明確進行備份，且復原完全取決於您的圖案和復原詞組。沒有雲端端的後備選項。

兩種模式並無絕對的優劣之分。ADP 提供真正的端對端加密，加上 iCloud 同步和復原的便利性。Vaultaire 為您想完全不上傳至平台的檔案提供無帳戶、無伺服器的加密，並為不希望只存在本機的檔案提供選擇性的 iCloud 加密備份。對於隱私敏感的照片 - 文件、以圖片形式儲存的私人通訊、任何您不希望在法律命令下被揭露的內容 - 裝置本機模式可從威脅面中完全移除雲端。

您可以同時使用兩者。大多數使用 Vaultaire 的人，仍會在日常圖庫中使用 iCloud Photos，並啟用 ADP。

相關閱讀：

• 照片端對端加密，完整說明
• Apple Intelligence 會掃描您的照片嗎？
• 零知識加密，完整說明
• 加密 iCloud 備份：在離開手機前即已加密
• 雲端照片儲存隱私政策的真正含義

常見問題

iCloud Photos 預設有端對端加密嗎？

沒有。在標準資料保護下，Apple 使用其自有資料中心中控制的加密金鑰儲存 iCloud Photos。Apple 可在必要時解密您的照片：用於帳戶復原，以及回應有效的法律命令。預設情況下，只有 15 個 iCloud 資料類別採用端對端加密；照片並不在其中。

Advanced Data Protection 對我的照片實際上有什麼作用？

啟用 ADP 後，iCloud Photos 加入採用端對端加密的 25 個 iCloud 資料類別。您受信任的裝置持有金鑰，而非 Apple。Apple 無法讀取您的照片，無法在收到 iCloud 資料法律命令時交出照片，且若您失去帳戶存取權也無法復原照片。復原是您自己的責任 - 這就是為什麼 ADP 在啟動前必須先設定復原聯絡人或復原金鑰。

Apple 可以看到我的 iCloud 照片嗎？

在標準資料保護下：可以，Apple 可在必要時存取並解密 iCloud Photos。在 Advanced Data Protection 下：不行，Apple 不持有您端對端加密資料的金鑰。預設的 15 個類別（包括健康資料和 Keychain 密碼）無論 ADP 狀態如何，Apple 均無法存取。

如何開啟 Advanced Data Protection？

開啟「設定」，點一下您的姓名，點一下「iCloud」，向下捲動至底部，然後點一下「Advanced Data Protection」。您需要先啟用雙重認證，並設定至少一種復原方式 - 復原聯絡人或復原金鑰。裝置必須執行 iOS 16.2 或更新版本。在一部裝置上啟用，即會為您的整個 Apple Account 啟動。

哪些資料不在 Advanced Data Protection 的涵蓋範圍內？

即使啟用 ADP，郵件、聯絡人和行事曆也不採用端對端加密，因為它們需要與外部伺服器交換資料。照片中的共享相簿也不在端對端加密範圍內：它們可在網路上存取。iWork 即時協作文件同樣不在涵蓋範圍內。任何以「任何擁有連結的人」方式分享的內容，均不受 ADP 保護。

政府可以透過 Apple 存取我的 iCloud 照片嗎？

在標準資料保護下，可以：向 Apple 發出有效法律命令可能導致您的照片被交出。啟用 ADP 後，Apple 不持有任何可交出的金鑰。2025 年 2 月的英國案例顯示，政府也可以強制平台為整個國家停用 ADP，在未取得個別用戶同意的情況下，將用戶從端對端保護降回標準保護。

什麼是 iCloud 照片保險庫？

這個詞語描述將 iCloud Photos 作為儲存敏感照片的地方。啟用 ADP 後，iCloud Photos 可作為真正的端對端加密雲端照片儲存空間。實際限制在於，這仍然與帳戶綁定：存取需要您的 Apple Account，且加密的持久性取決於 Apple 在您所在司法管轄區維持此功能而不受法律壓力的能力。

有沒有辦法儲存 Apple 無法存取的照片？

有，兩種方式。第一，啟用 Advanced Data Protection：Apple 失去金鑰，無法解密您的照片。第二，使用本機保險庫應用程式，在任何上傳之前先在裝置上加密照片 - Apple 收到的是無法讀取的密文。本機模式可從威脅面中完全移除雲端；ADP 則讓您繼續留在 iCloud 生態系統中，同時將金鑰保管轉移至您的裝置。