Zoom과 유럽 연합의 일반 데이터 보호 규정(GDPR)

업데이트: 2024년 8월 8일

Zoom의 미션은 매끄러운 동영상 커뮤니케이션을 통해 행복을 전달하는 것으로, 이러한 행복에는 개인정보 보호 및 보안이 필요합니다. 이에 따라 Zoom은 유럽경제지역(이하 "EEA")의 데이터 개인정보 보호 의무, 특히 일반 데이터 보호 규정(이하 "GDPR")과 같은 높은 수준의 방침에 따라 고객 커뮤니케이션을 보호하기 위해 최선을 다합니다.

Zoom은 유럽뿐만 아니라 모두에게 이로운 데이터 보호 기반인 GDPR을 환영합니다. Zoom은 GDPR 규정 준수 의무에 부합하는 방식으로 기술적, 조직적 조치를 이행하여 고객을 지원합니다. Zoom은 고객이 데이터 관리자로서의 역할을 이행할 수 있도록 지원합니다.

다음은 Zoom이 데이터 보호 관행 정립을 위해 노력하고 있음을 보여주는 주요 사실입니다. 

Zoom의 데이터 보호 관행에 대해 자세히 알아보려면 네덜란드 교육 및 연구 협동조합 SURF와 협력하여 수행한 Zoom의 데이터 보호 영향 평가(이하 "DPIA")도 이 블로그 (및 Privacy Company DPIA 본문)에서 참고하시기 바랍니다. 

모든 Zoom 고객을 대상으로 한 계약상의 GDPR 약정
GDPR에 따라 데이터 관리자(Zoom 서비스를 사용하는 조직 및 개발자)는 데이터 관리자를 대신해 개인 데이터를 처리하는 데이터 처리자(Zoom 등)만을 사용해 적절한 보장을 제공함으로써 GDPR의 구체적인 요건을 충족해야 합니다. Zoom은 데이터 처리 부록을 Zoom 서비스 약관에 별첨하여 모든 고객에게 이러한 약속을 제공합니다.

GDPR과 관련된 Zoom의 계약상 약속:

  • Zoom은 개인 데이터를 투명하게 운영하고 서비스 제공 관련 계약 또는 고객이 달리 명시한 바에 따라서만 개인 데이터를 사용합니다.
  • Zoom은 적절한 기술적 및 조직적 보안 조치를 마련해 처리하는 개인 데이터를 보호합니다.
  • Zoom은 고객이 데이터 주체로서 당사 서비스를 사용해 처리되는 개인 데이터와 관련된 권리를 이행할 때 의무를 다할 수 있도록 지원합니다.

데이터 국외 전송 보호 장치

미국

GDPR에는 유럽 경제 지역(EEA) 외부 국가로의 개인 데이터 전송에 대한 구체적인 규정이 담겨 있습니다. 원칙적으로 해당 국가가 적절한 보호 수준을 갖춘 경우에만 개인 데이터를 EEA 외부 국가로 전송할 수 있습니다. 

적정성 결정은 EU 외 국가의 데이터 보호 조치가 EU 내에서 제공되는 보호 수준과 동등한 수준을 보장할 만큼 적절한지 아닌지를 판단합니다. 유럽연합 집행위원회의 적정성 결정은 추가적인 보호 조치 없이 EU에서 제3국으로 개인 데이터를 자유롭게 전송할 수 있도록 허용합니다. 2023년 7월 10일부터, EU-미국 데이터 프라이버시 프레임워크(DPF) 참가자에 대한 유럽연합 집행위원회의 새로운 적정성 결정이 시행됩니다. Zoom은 활성 참가자로 등록되어 있습니다. 

데이터 프라이버시 프레임워크(DPF)는 디지털 시대에 데이터 보호 및 개인정보 보호에 대한 우려가 증가함에 따라 이에 대한 대응책으로 탄생했습니다. 이 프레임워크는 특히 국경을 넘나드는 개인 데이터 전송과 관련하여 데이터 보호 기준을 조화시키고 강화하는 것을 목표로 합니다. DPF의 중요성은 국제 상거래와 커뮤니케이션을 촉진하는 동시에 개인의 개인정보 보호 권리를 보호하는 역할에 있습니다. 기업, 규제 기관, 개인을 포함한 다양한 이해 관계자에게 명확한 데이터 처리 지침과 의무를 설정함으로써 기업, 규제 기관, 개인을 포함한 다양한 이해 관계자에게 관련성을 확장합니다. 데이터보호법 준수를 보장하는 법적 프레임워크를 제공하여 국가 간 데이터 교환에서 신뢰와 책임감을 조성하기 때문에 안전한 데이터 전송의 맥락에서 DPF의 적용 가능성은 매우 중요합니다. 

기타 제3국

유럽연합 집행위원회가 채택한 표준 계약 조항(SCC, EU 모델 조항이라고도 함)을 사용하여 EEA에서 EEA 외부의 제3국으로 데이터를 전송할 수 있습니다. 이러한 SCC는 계약상 높은 보호 수준을 보장합니다. Zoom은 2021년에 새로운 SCC를 Zoom의 표준 DPA에 구현했습니다. Zoom은 유럽연합 집행위원회가 지정한 전환 기간에 따라 새로운 SCC를 해당 계약에 통합했습니다. 자세한 내용은 새로운 SCC관련 고객 FAQ를 참조하시기 바랍니다. 

데이터 전송 영향 평가
Zoom은 고객들이 SCC를 사용할 때 추가 요구 사항을 준수할 수 있도록, 다양한 제품에 대해 아래의 데이터 전송 영향 평가를 제공합니다. 일반적인 모범 사례에 따라 데이터 전송자 및 수신자는 데이터를 수신하는 국가의 법률 및 관행이 달리 제공되는 보호 수준을 저해할 수 있는지 평가해야 합니다. 

Zoom Meetings/Webinar/Team Chat 데이터 전송 영향 평가
Zoom Phone 데이터 전송 영향 평가
Zoom Contact Center 데이터 전송 영향 평가
Zoom 가상 에이전트 데이터 전송 영향 평가

 

데이터 주체 요청(DSAR)
데이터 주체 액세스 요청(DSAR)은 일반 데이터 보호 규정(GDPR) 하에서 제공되는 메커니즘으로, 개인(데이터 주체라고 함)이 조직이 보유한 자신의 개인 데이터에 액세스를 요청할 수 있게 합니다. 또한 데이터 주체는 부정확하거나 불완전한 개인 데이터의 수정을 요청할 수 있으며, 이를 통해 데이터의 오류가 즉시 수정되도록 보장합니다. 개인은 특정 상황에서 자신의 개인 데이터를 삭제해 달라고 요청할 권리(일명 '잊힐 권리')가 있습니다. 이는 GDPR에 따른 기본 권리로, 개인이 자신의 개인 데이터에 투명성과 통제권을 갖도록 강조합니다. Zoom은 고객이 이러한 권리를 간단하고 쉽게 행사할 수 있도록 셀프 서비스 도구를 제공합니다. 이 도구에 대한 자세한 내용은 지원 웹사이트에서 확인할 수 있습니다. 

 

데이터 저장소
Zoom은 해당하는 유료 계정을 보유한 유럽 고객에게 유럽연합(EU) 내 데이터 센터를 사용할 수 있는 옵션을 제공합니다. 고객은 실시간 회의 및 웨비나 트래픽의 호스팅을 위해 자동으로 결정된 홈 지역 외에도 데이터 센터 지역을 선택할 수 있습니다. 또한 녹화를 자신의 장치에 로컬로 저장하거나 로컬 데이터 센터에 저장할 수도 있습니다. 자세한 내용은 지원 페이지에서 확인할 수 있습니다. Zoom은 이러한 고객에게 모든 지원 데이터를 EU 내에서만 처리할 수 있는 옵션도 제공합니다. 만약 EU 내 정규 근무 시간이 아닐 때 지원이 필요한 경우, 고객은 개별적으로 특정 사례에 대해 개인 데이터를 EU 외부의 헬프데스크로 전송하는 것에 대한 동의를 제공할 수 있습니다. 

 

유럽에서 전송되는 데이터를 보호하기 위한 강력하고 구체적인 조치
Zoom은 높은 수준의 보안을 유지하기 위해 최선을 다하고 있습니다.

  • Zoom은 고객의 전송 및 저장 데이터를 보호하기 위해 다양한 암호화 기술을 활용합니다.
  • Zoom은 기밀을 유지하고 처리 시스템 및 서비스의 무결성, 가용성, 복원력을 유지하기 위해 보안 조치를 취합니다.
  • Zoom은 기계적 또는 기술적 인시던트가 발생할 경우, 처리 시스템 및 서비스에 대한 액세스와 가용성을 즉각적으로 복원할 수 있도록 조치를 취합니다.
  • Zoom은 처리하는 데이터의 보안을 유지할 수 있을 정도로 기술 및 조직적 조치가 효율적인지 정기적으로 검사, 평가, 측정하기 위한 절차를 도입합니다.

특히 Zoom은 플랫폼을 통해 전송되고 플랫폼에 저장되는 고객 커뮤니케이션을 보호하기 위해 다양한 보안 조치를 취하고 있습니다. 이러한 조치는 다음을 포함합니다.

  • Zoom Meetings를 위한 엔드투엔드 암호화 옵션: 사용자는 Zoom Meetings에 엔드투엔드 암호화를 활성화할 수 있습니다. 엔드투엔드 암호화는 모든 회의 참가자 간의 데이터를 암호화하도록 설계되어 있어 중간에 있는 공급자, 시스템은 물론 Zoom조차도 커뮤니케이션에 액세스할 수 없습니다.
  • 기본 암호화: 지정된 장치와 Zoom 간 연결은 기본적으로 TLS(전송 계층 보안) 1.2 이상과 고급 암호화 표준 256비트 AES GCM 암호화, SRTP(실시간 전송 프로토콜)를 혼합 사용해 암호화됩니다. 사용되는 정확한 방법은 사용자가 Zoom 클라이언트나 웹 브라우저, 타사 장치 또는 서비스, Zoom Phone 제품을 활용하는지에 따라 다릅니다. 자세한 정보는 암호화 백서를 참조하세요.
  • 초대하지 않은 회의 참가자 차단: Zoom에서는 초대하지 않은 사람이 회의에 참가하는 것을 차단하기 위해 다음과 같이 다양한 안전 및 차단 장치를 도입했습니다.
    • 고유한 11자리 회의 ID
    • 복잡한 암호
    • 사용자의 도메인 이름 또는 다른 지정된 도메인 이름을 통해 참가자가 자동 입장할 수 있는 대기실 기능
    • 회의 참가를 전면 차단할 수 있는 회의 잠금 기능
    • 참가자 내보내기 기능
    • 등록된 사용자 또는 특정 이메일 도메인을 통한 입장만 허용하는 인증 프로필
    • 회의 노출 위험 알림 도구는 공개 SNS 사이트에 업로드된 포스팅과 다른 온라인 자료를 스캔해 Zoom Meetings 링크가 포함되어 있는지 확인할 수 있습니다
  • 선택적 회의 초대: 호스트는 이메일 또는 채팅, SMS를 이용해 개별적으로 참가자를 초대할 수 있습니다. 이 기능으로 회의 참여 정보를 보다 효율적으로 배포 및 제어 가능합니다. 호스트는 회의에 특정 이메일 도메인의 구성원만 참여하도록 할 수도 있습니다.
  • 회의 중 보안: Zoom은 풍부한 미디어 콘텐츠를 실시간으로 Zoom 회의에 참가한 모든 참석자에게 전달합니다. 회의 중 참석자와 공유하는 모든 콘텐츠는 원본 데이터를 재구현하는 것일 뿐입니다. 이러한 콘텐츠는 보안 실행을 통해 공유될 수 있도록 암호화 및 최적화됩니다.
  • 호스트 컨트롤: 회의 호스트 컨트롤을 통해 참가자의 콘텐츠 공유, 채팅, 스스로 이름 바꾸기를 활성화하거나 비활성화할 수 있습니다.
  • 신고: 회의 중 부적절한 행동을 한 참가자를 신고하려면 신고할 참가자를 선택하고 서면 세부 정보를 포함한 다음 첨부 파일을 추가하면 됩니다. 이 신고는 플랫폼의 오용 여부를 평가하고 필요한 경우 해당 사용자를 차단할 수 있도록 Zoom 신뢰 및 안전 팀으로 자동 전송됩니다.
  • 제품 내 보안 컨트롤: 기본 인터페이스의 전용 보안 아이콘을 통해 보안 컨트롤에 액세스할 수 있습니다.
  • 역할 기반 사용자 보안: 다음은 회의 호스트가 활용할 수 있는 회의 전 보안 조치입니다.
    • 표준 사용자 이름 및 암호 또는 SAML 싱글 사인온으로 로그인 안전 확보
    • 암호 설정을 통해 보안 회의 시작
    • 암호 설정을 통해 보안 회의 예약
  • 자동 녹음 전화 차단: 사용자가 원치 않는 자동 녹음 전화를 줄일 수 있도록 도와주는 통화 차단 기능이 구현되었습니다. 계정 소유자와 관리자는 계정, 사이트, 그룹, 사용자, 공통 영역, 자동 접수 교환원, 통화 대기열, 공유 회선 그룹에서 통화 차단 기능을 활성화할 수 있습니다. 기본적으로 이 기능은 전체 계정에서 활성화 및 잠금 해제되어 있습니다.

 

데이터 처리 및 저장 옵션
Zoom은 고객이 특정 데이터를 처리 및 저장할 데이터 센터를 직접 선택하길 바랄 수 있다는 것을 이해합니다.

전송 중인 데이터 및 처리: Zoom은 공동 호스팅 데이터 센터 및 퍼블릭 클라우드 데이터 센터(Amazon Web Services("AWS") 데이터 센터 포함)의 글로벌 네트워크를 통해, 전송 중인 고객 데이터를 라우팅합니다. Zoom Meetings 서비스는 Zoom 생태계에 입력된 정보가 데이터를 주고받는 사용자와 가장 가까운 데이터 센터를 통해 라우팅되도록 설계되었습니다.

유료 계정의 계정 소유자 및 관리자는 계정, 그룹 또는 사용자 수준에서 회의 및 웨비나를 호스트할 때 참가자의 실시간 회의 및 웨비나 동영상, 오디오, 공유 콘텐츠를 처리하는 데 사용되는 특정 Zoom 데이터 센터에 옵트인 및 옵트아웃할 수 있습니다. 계정이 프로비전된 지역을 지원하는 국가의 데이터 센터는 처리를 위해 옵트인으로 잠금 상태가 됩니다. Zoom 데이터 센터 선택은 계정이 회의 또는 웨비나를 호스트할 때만 적용됩니다. 회의 또는 웨비나를 호스트하는 계정이 데이터 센터에서 옵트아웃한 경우, 모든 참가자의 실시간 회의 및 웨비나 동영상, 오디오, 공유 콘텐츠 데이터는 옵트인된 Zoom 데이터 센터에서만 처리됩니다. 그러나 Zoom은 업계 표준 네트워크 라우팅 프로토콜을 사용하여 데이터 센터 간 트래픽으로 라우팅하는 동시에 Zoom 사설 네트워크 연결(예: 엣지 라우팅)을 통과할 수 있습니다. 추가 세부 정보는 이 도움말 문서에서 확인할 수 있습니다.

데이터 저장소: 고객 콘텐츠의 경우, 고객이 데이터 저장 위치를 선택할 수 있습니다. 고객 콘텐츠는 클라우드 녹화 기록, 회의 대화 내용, 채팅 대화 내용(회의 중 및 영구), 회의 중 또는 영구 채팅 채널에서 교환한 파일 등 고객이 회의 또는 웨비나 중에 기록하거나 공유하기로 선택한 모든 데이터를 포함하여 고객이 Zoom 서비스 사용을 통해 제공한 정보입니다.

고객 콘텐츠는 기본적으로 미국에 저장됩니다. 유료 계정의 고객은 계정의 일부 고객 콘텐츠에 대한 저장 위치를 선택할 수 있습니다. 계정 소유자, 계정 관리자, 계정 프로필 권한이 있는 고객만 이 설정을 변경할 수 있습니다. 추가 세부 정보는 이 도움말 문서에서 확인할 수 있습니다. 다만 고객 콘텐츠, 계정 데이터, 진단 데이터는 여전히 미국에 저장됩니다.

 

정부의 정보 요청에 대응하기 위해 마련된 엄격한 프로토콜
Zoom은 고객과 사용자의 개인정보 보호에 힘쓰고 있으며 정부가 합리적이고 합법적으로 요청할 때만 사내 정부 요청 가이드 및 관련 법률에 의거해 사용자 데이터를 제공합니다.

전 세계 지역에서 다음이 적용됩니다.

  • 정부 요청은 해당 법률과 규정에 따라 공식 채널을 통해 제기되어야 합니다(서명된 공문서 또는 정부 기관의 공식 이메일 주소에서 전송된 이메일 요청을 포함).
  • 요청 내용은 광범위하지 않고 명확해야 하며 유효한 법적 근거가 있어야 합니다. Zoom은 이러한 요건을 충족하지 못한 요청을 거부하거나 요청에 대한 이의를 제기할 수 있습니다.
  • Zoom은 전 세계와의 성공적인 협업을 촉진하기 위해 당사의 원칙과 관심사에 기반하여 사용자 정보에 대한 특정 정부 요청에 추가적인 정밀 조사를 진행합니다.

요청 내용이 너무 모호하면 Zoom은 제출하는 정보의 범위를 최소화하기 위해 요청의 유효성에 대해 이의를 제기할 것입니다.

법적으로 금지되지 않는 이상 Zoom은 일반적으로 정부 요청의 사본 등을 통해 사용자에서 정부 요청을 받았음을 알립니다. 사용자 알림에 대한 예외 요청에는 급박한 사정에 대한 설명 또는 알림으로 인해 일어날 수 있는 부정적인 결과가 포함되어야 합니다.

 

투명성 확대

  • 투명성 보고서: Zoom은 2020년 12월에 미국과 국제 당국으로부터 받은 다양한 요청에 대한 보고서(정부 요청 투명성 보고서)를 처음 발표했습니다. Zoom의 목표는 이전 버전보다 더 개선된 투명성 보고서를 만드는 것입니다. 가장 최근 발표된 투명성 보고서는 여기서 확인할 수 있습니다. 추가 투명성 보고서는  Zoom 신뢰 센터에 개재될 예정입니다.
  • 제품 내 알림: Zoom은 지속적인 업데이트를 통해 Zoom 환경에 기능별 개인정보 보호 알림을 통합함으로써 사용자가 상황마다 Zoom에서 공유하는 콘텐츠와 정보를 확인하고 공유할 수 있는 대상을 이해할 수 있도록 돕습니다. 예를 들어, 사용자가 Zoom 채팅 기능을 통해 보낸 메시지를 누가 볼 수 있는지 알고 싶다면 "누가 메시지를 볼 수 있나요?"로 이동하여 모두에게 보낸 메시지뿐만 아니라 개인적으로 보낸 메시지에 액세스할 수 있는 사람을 확인할 수 있습니다.

 

서비스 설계에서 GDPR 요건을 중심에 두는 Zoom
Zoom에서는 GDPR 요건에 부합하고 당사 서비스를 통해 처리되는 개인 데이터의 보호를 촉진할 수 있는 제품 기능을 구축하는 데 전념하고 있습니다. 데이터 관행에 관한 자세한 내용은 개인정보 처리방침을 참조하세요. GDPR 관련 질문이 있는 경우 privacy@zoom.us로 이메일을 보내 주시기 바랍니다.