简单说，无需担心。

第一个，苹果一直就是非常重视用户数据安全的。数据上传iCloud、但苹果仍然看不到，这是很容易实现的。

最简单的实现是，在本地把数据加密后才上传；将来用户输入密码才解锁。这样在iCloud侧只能看到加密后的数据，是无法看到用户隐私信息的。

但这个实现用户体验不好，因为用户每次访问都要敲密码；另外，对用户来说，设计并记忆一个复杂的密码是极困难的，很多人压根没有设置复杂密码的意识；而且一旦设置了新的密码，绝大多数用户会在两三天内立即忘记它。此时往往需要通过各种设计、使得用户在设置新密码后的几周内每隔几天就重新输入一次密码，才能帮助用户记住它。

这就使得，每次访问都要输入密码这个设计看似简单可靠，但实际上是把责任推到了用户一边，用起来是非常痛苦的——或者，很多用户就干脆使用123456这样的弱密码。这样的密码在破解者面前形同虚设。

因此，实践上，现在较好的方案都会充分利用设备中的tee/tpm芯片，这种芯片可以帮助用户产生一个藏在芯片里、无法读出的私钥，从而彻底杜绝泄密问题，并使得解锁必须在原设备进行。

当然，考虑到换设备问题，通常仍然需要一个可访问、可备份的用户私钥；然后用设备公钥保护用户私钥，再用用户私钥保护真正加密文件用的随机密钥，这就是“钥匙链”。

总之，通过这些复杂而可靠的设计，就可以帮助用户卸下记忆密码的负担——只需记住一个设备解锁码或者直接使用指纹之类东西解锁，剩下的交给TEE/TPM芯片以及相关软件即可。

这可以轻易保障你的每一个文件都由一个随机生成的强密钥加密、且解密它只能在你的设备的TEE/TPM芯片进行。

这个设计确保你的私密数据无论如何都不会泄密，除非你自己把它解密后公布出去。

第二个，一般做云存储或者其他数据相关服务的，都习惯了“打删除标记但不删除”。

这是因为，用户误操作概率极高。经常性的，用户可能删除了某个东西，然后立即反悔；甚至，儿童、宠物都可能在你浏览相册时按住删除键、把你的珍贵资料删除。

为了应对这种状况，存储服务厂商不会真的删除你的数据，而是把它放进“回收站”；任何时候你反悔了，就可以从回收站把数据取回来。

然后，回收站的数据，在PC上的预设行为是：永久保留；直到磁盘空间不足时才会清空。

当然，我习惯确认数据无用后清空回收站，或者使用快捷键不经回收站永久删除。

但在云上，回收站可以认为空间是无限的；一些云服务商可能会在文件放入回收站超过一定时间（比如一周、一月、60天等）后自动删除；但另一些可能你不动手删除，它就永久保留。

甚至，为了避免数据丢失造成的麻烦，有些厂商可能在你标记“永久删除”之后也不真的删除数据，而是打个标记——你看不见了自然就相当于删除了，不是吗？

然后，他们可以把加密后的数据存入磁带；这样无论什么时候你想要恢复“误删除”的数据，他们都有办法给你恢复。

但苹果可能搞出了什么设计bug——比如，早年直接用删除标记来标记哪些文件被删除了；但随着数据量增长，发现用删除标记管理消耗较大，于是搞一个用户不可见的“已删除”文件夹，把删掉的文件统一放这个文件夹。

如此一来，两套方案切换时，如果处理上稍有不慎，就可能只把“已删除”文件夹的内容当作删除、而把打删除标记的文件遗漏、让用户看到。

或者，方案切换可能是：新系统上线后，启动一个后台进程把打删除标的文件放进已删除文件夹；然后前台代码就可以不用兼容老系统的逻辑了。但如果这个后台进程尚未来得及更新所有文件、或者遍历目录的操作发生了遗漏——比如考虑SSD、HDD、磁带多级存储系统，在这种系统上的数据遍历算法可能会比较复杂，也许因此造成了bug。

一般来说，只要不是造成了数据丢失，这就不算是什么严重bug。

当然，如果老照片事关你某些不堪回首的回忆，或者不适宜让家人看到……那么你可以整理证据、咨询律师，看看能否向苹果索赔。