Ngày cập nhật: ngày 8 tháng 8 năm 2024
Zoom và Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh châu Âu
Sứ mệnh của Zoom là mang đến niềm hạnh phúc cho khách hàng thông qua truyền thông video mượt mà và chúng tôi hiểu rằng niềm hạnh phúc đó đòi hỏi đi kèm quyền riêng tư và bảo mật. Đó là lý do tại sao chúng tôi nỗ lực bảo mật truyền thông của khách hàng ở mức cao nhất, chẳng hạn như thực hiện nghĩa vụ về dữ liệu quyền riêng tư trong Khu vực Kinh tế Châu Âu (“EEA”) – chủ yếu là Quy định chung về bảo vệ dữ liệu ("GDPR").
Zoom ủng hộ GDPR vì đây là một nền tảng bảo vệ dữ liệu vì lợi ích của tất cả mọi người chứ không chỉ ở Châu Âu. Zoom hỗ trợ khách hàng bằng cách triển khai các biện pháp liên quan đến kỹ thuật và tổ chức sao cho phù hợp với những nghĩa vụ tuân thủ GDPR. Zoom luôn sẵn sàng trợ giúp khách hàng với vai trò là bên kiểm soát dữ liệu.
Các yếu tố chính sau đây phản ánh cam kết của Zoom về thực hiện bảo vệ dữ liệu.
Nếu bạn muốn tìm hiểu thêm về các hoạt động bảo vệ dữ liệu của Zoom, vui lòng xem Đánh giá tác động bảo vệ dữ liệu (“DPIA”) của Zoom, được thực hiện với sự hợp tác của tổ chức giáo dục và nghiên cứu Hà Lan SURF trong Blog này (và DPIA của Privacy Company).
Cam kết đảm bảo tuân thủ GDPR theo hợp đồng cho tất cả khách hàng của Zoom
GDPR yêu cầu bên kiểm soát dữ liệu (như các tổ chức và nhà phát triển sử dụng dịch vụ của Zoom) chỉ hợp tác với đơn vị xử lý dữ liệu (ví dụ như Zoom) xử lý dữ liệu cá nhân thay mặt cho bên kiểm soát dữ liệu, đồng thời phải đảm bảo thỏa đáng sẽ đáp ứng các yêu cầu cụ thể của GDPR. Zoom cam kết như vậy với tất cả khách hàng thông qua biện pháp đưa Phụ lục xử lý dữ liệu của Zoom vào Điều khoản dịch vụ Zoom.
Các cam kết trong hợp đồng của Zoom liên quan đến GDPR:
- Zoom nỗ lực thể hiện tính minh bạch và cam kết chỉ sử dụng dữ liệu cá nhân theo đúng thỏa thuận của chúng tôi liên quan đến việc cung cấp dịch vụ hoặc theo yêu cầu của khách hàng.
- Zoom thực hiện các biện pháp bảo mật thích hợp liên quan đến kỹ thuật và tổ chức để bảo vệ dữ liệu cá nhân do chúng tôi xử lý.
- Zoom hỗ trợ khách hàng thực hiện nghĩa vụ của họ khi các chủ thể dữ liệu thực hiện quyền gắn liền với dữ liệu cá nhân đã được xử lý thông qua sử dụng dịch vụ của chúng tôi (chẳng hạn như yêu cầu thông tin, quyền truy cập, yêu cầu cải chính và xóa bỏ).
Biện pháp bảo vệ khi chuyển dữ liệu quốc tế
Hoa Kỳ
GDPR có các quy tắc cụ thể về việc chuyển dữ liệu cá nhân sang các quốc gia bên ngoài Khu vực Kinh tế Châu Âu (EEA). Về nguyên tắc, chỉ có thể chuyển dữ liệu cá nhân đến các quốc gia bên ngoài EEA nếu quốc gia đó có mức độ bảo vệ thỏa đáng.
Mức thỏa đáng xác định liệu các biện pháp bảo vệ dữ liệu của một quốc gia ngoài Liên minh Châu Âu (EU) có được coi là thỏa đáng để đảm bảo mức độ bảo vệ tương đương với mức độ trong phạm vi EU hay không. Nếu Ủy ban Châu Âu quyết định là thỏa đáng thì được phép tự do lưu chuyển dữ liệu cá nhân từ EU sang quốc gia thứ ba mà không cần các biện pháp bảo vệ bổ sung. Kể từ ngày 10 tháng 7 năm 2023, Ủy ban Châu Âu có quyết định về mức thỏa đáng mới dành cho những bên tham gia Khung bảo mật dữ liệu EU-Hoa Kỳ (DPF). Zoom đã đăng ký là bên tham gia tích cực.
Khung bảo mật dữ liệu (DPF) ra đời nhằm giải quyết những lo ngại ngày càng gia tăng về bảo vệ dữ liệu và quyền riêng tư trong thời đại kỹ thuật số. Mục đích của khung này là để hài hòa và nâng cao các tiêu chuẩn bảo vệ dữ liệu, đặc biệt là liên quan đến việc chuyển dữ liệu cá nhân qua biên giới. DPF thể hiện tầm quan trọng qua vai trò tạo điều kiện thuận lợi cho thương mại và truyền thông quốc tế, đồng thời đảm bảo bảo vệ quyền riêng tư của cá nhân. DPF còn liên quan đến nhiều bên liên đới, bao gồm các doanh nghiệp, cơ quan quản lý và cá nhân, khi thiết lập các nguyên tắc hướng dẫn và nghĩa vụ rõ ràng về việc xử lý dữ liệu. Khả năng áp dụng của DPF vô cùng quan trọng trong bối cảnh truyền dữ liệu an toàn vì đưa ra khuôn khổ pháp lý đảm bảo tuân thủ các luật bảo vệ dữ liệu, qua đó thúc đẩy sự tin tưởng và trách nhiệm giải trình trong trao đổi dữ liệu xuyên biên giới.
Các quốc gia thứ ba khác
Dữ liệu cá nhân có thể được chuyển từ EEA sang các quốc gia thứ ba bên ngoài EEA theo Điều khoản hợp đồng tiêu chuẩn (SCC, còn được gọi là điều khoản mẫu EU) được Ủy ban Châu Âu thông qua. SCC này đảm bảo mức độ bảo vệ cao theo hợp đồng. Zoom đã triển khai các SCC mới trong năm 2021 trong DPA tiêu chuẩn của Zoom. Zoom đã đưa SCC mới vào các thỏa thuận áp dụng được sau giai đoạn chuyển tiếp do Ủy ban châu Âu quy định. Vui lòng xem Những câu hỏi thường gặp của khách hàng về các SCC mới để biết thêm thông tin.
Đánh giá tác động của việc chuyển dữ liệu
Để giúp khách hàng của Zoom tuân thủ các yêu cầu bổ sung khi dựa vào SCC, Zoom cung cấp Đánh giá tác động của việc chuyển dữ liệu dưới đây cho nhiều sản phẩm khác nhau. Theo phương pháp tốt nhất phổ biến, bên xuất khẩu và bên nhập khẩu dữ liệu cần đánh giá xem luật pháp và thông lệ tại quốc gia tiếp nhận dữ liệu có thể làm giảm mức độ bảo vệ được cung cấp nếu chuyển dữ liệu hay không.
Đánh giá tác động của việc chuyển dữ liệu cho Zoom Meetings/Webinars/Team Chat
Đánh giá tác động của việc chuyển dữ liệu cho Zoom Phone
Đánh giá tác động của việc chuyển dữ liệu cho Zoom Contact Center
Đánh giá tác động của việc chuyển dữ liệu cho Nhân viên hỗ trợ ảo Zoom
Yêu cầu của chủ thể dữ liệu (DSAR)
Yêu cầu truy cập của chủ thể dữ liệu (DSAR) là một cơ chế được cung cấp theo Quy định chung về bảo vệ dữ liệu (GDPR) cho phép các cá nhân, được gọi là chủ thể dữ liệu, yêu cầu truy cập vào dữ liệu cá nhân của họ do các tổ chức nắm giữ. Ngoài ra, chủ thể dữ liệu có thể yêu cầu sửa dữ liệu cá nhân không chính xác hoặc không đầy đủ. Quy định này đảm bảo mọi lỗi trong dữ liệu đều được sửa kịp thời. Trong một số trường hợp nhất định, cá nhân có quyền yêu cầu xóa dữ liệu cá nhân của họ (thường được gọi là quyền bị lãng quên). Đây là quyền cơ bản theo GDPR, qua đó nhấn mạnh tính minh bạch và quyền kiểm soát của cá nhân đối với dữ liệu cá nhân của họ. Zoom cung cấp cho khách hàng công cụ tự phục vụ để thực hiện các quyền này một cách đơn giản và dễ dàng. Bạn có thể tìm hiểu thêm về công cụ này trên trang web hỗ trợ của chúng tôi.
Lưu trữ dữ liệu
Zoom cung cấp cho khách hàng Châu Âu có tài khoản trả phí đủ điều kiện tùy chọn sử dụng trung tâm dữ liệu tại Liên minh Châu Âu (EU). Khách hàng có thể chọn khu vực của trung tâm dữ liệu, cùng với khu vực chính được xác định tự động, để lưu trữ lưu lượng cuộc họp và hội thảo trực tuyến theo thời gian thực của họ. Khách hàng cũng có thể chọn lưu trữ bản ghi cục bộ trên thiết bị của riêng họ hoặc trong trung tâm dữ liệu cục bộ của họ. Bạn có thể tìm thêm thông tin trên trang hỗ trợcủa chúng tôi. Đối với những khách hàng như vậy, Zoom cũng tạo điều kiện để họ xử lý toàn bộ Dữ liệu hỗ trợ hoàn toàn tại EU. Nếu muốn tiếp cận hỗ trợ ngoài giờ làm việc thông thường tại EU, khách hàng có thể đồng ý cho từng trường hợp cụ thể để chuyển dữ liệu cá nhân đến bộ phận trợ giúp bên ngoài EU.
Các biện pháp mạnh và cụ thể nhằm bảo vệ dữ liệu của khách hàng Châu Âu
Zoom cam kết duy trì mức độ bảo mật cao:
- Zoom tận dụng hàng loạt công nghệ mã hóa để bảo vệ dữ liệu của khách hàng trong dữ liệu được chuyển giao và lưu trữ.
- Zoom sử dụng biện pháp an toàn nhằm đảm bảo tính bảo mật, tính toàn vẹn, tính khả dụng cũng như khả năng khôi phục liên tục của dịch vụ và hệ thống xử lý.
- Chúng tôi thực hiện nhiều biện pháp khôi phục tính khả dụng và quyền truy cập vào các dịch vụ và hệ thống xử lý ngay khi xảy ra sự cố vật lý hay kỹ thuật.
- Zoom triển khai quy trình thường xuyên kiểm tra, đánh giá và đo lường tính hiệu quả của các biện pháp liên quan đến tổ chức và kỹ thuật, từ đó hỗ trợ bảo mật dữ liệu do chúng tôi xử lý.
Cụ thể, Zoom sử dụng nhiều biện pháp bảo mật khác nhau để bảo vệ thông tin liên lạc của khách hàng được truyền qua và lưu trữ trên nền tảng của mình. Các biện pháp này bao gồm:
- Mã hóa đầu cuối tùy chọn cho các cuộc họp: Người dùng có thể chọn bật mã hóa đầu cuối cho các Cuộc họp Zoom. Mã hóa đầu cuối được thiết kế để mã hóa dữ liệu giữa tất cả những người tham gia cuộc họp, do đó không có nhà cung cấp hoặc hệ thống trung gian nào có thể truy cập vào thông tin liên lạc, kể cả Zoom.
- Mã hóa mặc định: Kết nối giữa Zoom và một thiết bị cụ thể đã được mã hóa theo mặc định, sử dụng kết hợp TLS 1.2+ (Bảo mật tầng giao vận), mã hóa GCM AES 256 bit theo Tiêu chuẩn mã hóa nâng cao (AES) và SRTP (Giao thức chuyển dữ liệu an toàn theo thời gian thực). Phương pháp chính xác được sử dụng còn tùy thuộc vào việc người dùng tận dụng ứng dụng Zoom, trình duyệt web, thiết bị hoặc dịch vụ của bên thứ ba hay sản phẩm Zoom Phone. Để biết thêm thông tin, vui lòng xem sách trắng về mã hóa của chúng tôi.
- Ngăn chặn người tham gia cuộc họp trái phép: Zoom đã thực hiện nhiều biện pháp kiểm soát và bảo vệ nhằm ngăn chặn người tham gia cuộc họp trái phép:
-
- ID cuộc họp duy nhất có mười một chữ số
- Mật khẩu phức tạp
- Phòng chờ với khả năng tự động chấp nhận người tham gia từ tên miền của bạn hoặc tên miền đã chọn khác
- Tính năng Khóa cuộc họp có thể ngăn chặn bất kỳ người nào tham gia cuộc họp
- Khả năng loại bỏ người tham gia
- Hồ sơ xác thực chỉ cho phép người dùng đã đăng ký vào hoặc giới hạn các tên miền email cụ thể
- Công cụ Cảnh báo nguy cơ cho cuộc họp có thể quét tìm các liên kết đến Cuộc họp Zoom trong những bài đăng trên các trang mạng xã hội công khai và tài nguyên trực tuyến công khai khác
- Lời mời họp có chọn lọc: Người chủ trì có thể mời những người tham gia được chọn qua email, IM hoặc SMS. Cách này giúp kiểm soát hiệu quả hơn việc phân phối thông tin truy cập cuộc họp. Người chủ trì cũng có thể tạo cuộc họp để chỉ cho phép các thành viên từ một tên miền email nhất định tham gia.
- Bảo mật trong cuộc họp: Trong cuộc họp, Zoom cung cấp nội dung đa phương tiện theo thời gian thực một cách an toàn cho mỗi người tham gia trong Cuộc họp Zoom. Mọi nội dung được chia sẻ với những người tham gia trong cuộc họp chỉ là một hình thức trình bày dữ liệu gốc. Nội dung này được mã hóa và tối ưu hóa để chia sẻ thông qua triển khai bảo mật.
- Chức năng điều khiển của người chủ trì: Chức năng điều khiển của người chủ trì cuộc họp cho phép/không cho phép người tham gia chia sẻ nội dung, trò chuyện và tự đổi tên.
- Báo cáo: bạn có thể báo cáo những người tham gia có hành vi không phù hợp trong cuộc họp bằng cách chọn những người tham gia mà bạn muốn báo cáo, trình bày mọi chi tiết bằng văn bản và thêm tệp đính kèm. Báo cáo này sẽ tự động được gửi đến đội ngũ Tin cậy và An toàn của Zoom để đánh giá bất kỳ hành vi sử dụng nền tảng sai mục đích nào và chặn người dùng nếu cần.
- Các chức năng điều khiển bảo mật ngay trong sản phẩm: Các chức năng điều khiển bảo mật với biểu tượng Bảo mật chuyên biệt trên giao diện chính.
- Bảo mật người dùng dựa trên vai trò: Người chủ trì cuộc họp luôn có sẵn các chức năng bảo mật trước cuộc họp sau đây:
-
- Đăng nhập bảo mật bằng tên người dùng và mật khẩu tiêu chuẩn hoặc đăng nhập một lần dùng Ngôn ngữ đánh dấu bảo đảm an toàn (SAML)
- Bắt đầu cuộc họp bảo mật bằng mật mã
- Lên lịch cuộc họp bảo mật bằng mật mã
- Ngăn chặn cuộc gọi tự động: Tính năng sàng lọc cuộc gọi giúp người dùng giảm các cuộc gọi tự động không mong muốn đã được triển khai. Chủ sở hữu tài khoản và quản trị viên có thể bật tính năng Sàng lọc cuộc gọi cho tài khoản, cơ sở, nhóm, người dùng, khu vực chung, tổng đài tự động, hàng đợi cuộc gọi và nhóm đường dây được chia sẻ. Tính năng này được bật và mở khóa theo mặc định cho toàn bộ tài khoản.
Các lựa chọn cho việc xử lý và lưu trữ dữ liệu
Zoom hiểu rằng khách hàng mong muốn có các lựa chọn về trung tâm dữ liệu xử lý và lưu trữ một số dữ liệu nhất định.
Dữ liệu đang truyền và xử lý: Zoom định tuyến dữ liệu của khách hàng trong Cuộc họp đang truyền qua mạng lưới toàn cầu gồm các trung tâm dữ liệu sắp xếp kết hợp và trung tâm dữ liệu đám mây công khai (bao gồm các trung tâm dữ liệu Dịch vụ web của Amazon (“AWS”)). Dịch vụ Zoom Meetings được thiết kế để hoạt động sao cho thông tin đi vào hệ sinh thái Zoom được định tuyến qua trung tâm dữ liệu gần người dùng đang gửi hoặc nhận dữ liệu nhất.
Ở cấp độ tài khoản, nhóm hoặc người dùng, chủ sở hữu tài khoản và quản trị viên trên các tài khoản trả phí có thể chọn tham gia hoặc không tham gia các trung tâm dữ liệu Zoom cụ thể sẽ được sử dụng để xử lý video, âm thanh và nội dung được chia sẻ trong cuộc họp và hội thảo trực tuyến theo thời gian thực của người tham gia trong quá trình tổ chức các cuộc họp và hội thảo trực tuyến. Trung tâm dữ liệu tại quốc gia hỗ trợ khu vực nơi tài khoản được cung cấp sẽ được chốt cho việc lựa chọn xử lý. Các lựa chọn về trung tâm dữ liệu Zoom chỉ áp dụng khi tài khoản đang chủ trì cuộc họp hoặc hội thảo trực tuyến. Khi tài khoản chủ trì cuộc họp hoặc hội thảo trực tuyến chọn không sử dụng bất kỳ trung tâm dữ liệu nào, dữ liệu video, âm thanh và nội dung được chia sẻ theo thời gian thực trong cuộc họp và hội thảo trực tuyến của tất cả người tham gia sẽ chỉ được xử lý bởi một trung tâm dữ liệu Zoom đã chọn tham gia. Tuy nhiên, Zoom có thể định tuyến qua lưu lượng giữa các trung tâm dữ liệu bằng các giao thức định tuyến mạng theo tiêu chuẩn ngành khi dữ liệu di chuyển qua các kết nối mạng riêng tư của Zoom (tức là định tuyến biên). Bạn có thể tìm thông tin chi tiết bổ sung trong Bài viết trợ giúp này.
Lưu trữ dữ liệu: Khách hàng có thể chọn vị trí lưu trữ dữ liệu cho một số Nội dung khách hàng nhất định. Nội dung khách hàng là thông tin do khách hàng cung cấp thông qua việc sử dụng dịch vụ Zoom, bao gồm mọi dữ liệu mà khách hàng chọn ghi lại hoặc chia sẻ trong cuộc họp hoặc hội thảo trực tuyến, ví dụ như bản ghi trên đám mây, bản chép lời cuộc họp, bản chép lời cuộc trò chuyện (trong cuộc họp và liên tục) và các tệp được trao đổi trong cuộc họp hoặc kênh trò chuyện liên tục.
Nội dung khách hàng được lưu trữ tại Hoa Kỳ theo mặc định. Khách hàng trên các tài khoản trả phí có thể chọn vị trí lưu trữ đối với một số Nội dung khách hàng cho tài khoản của họ. Chỉ chủ sở hữu Tài khoản, quản trị viên tài khoản hoặc những người có quyền hồ sơ tài khoản khách hàng mới có thể thay đổi cài đặt này. Bạn có thể tìm thông tin chi tiết bổ sung trong Bài viết trợ giúp này. Xin lưu ý rằng Nội dung khách hàng, Dữ liệu tài khoản và Dữ liệu chẩn đoán vẫn được lưu trữ tại Hoa Kỳ.
Các giao thức chặt chẽ nhằm đáp ứng yêu cầu thông tin của chính phủ
Zoom cam kết bảo vệ quyền riêng tư của khách hàng và người dùng, đồng thời chỉ cung cấp dữ liệu người dùng cho chính phủ nhằm đáp ứng yêu cầu hợp lệ và hợp pháp theo Hướng dẫn về Yêu cầu của Chính phủ và các chính sách pháp lý có liên quan.
Trong tất cả các khu vực địa lý:
- Yêu cầu của chính phủ phải được ban hành qua kênh chính thức, trên cơ sở luật pháp và quy định hiện hành, bao gồm phải có tài liệu chính thức đã ký hoặc yêu cầu được gửi từ địa chỉ email chính thức của một tổ chức chính phủ.
- Mỗi yêu cầu phải rõ ràng, không quá rộng và có cơ sở pháp lý hợp lệ. Chúng tôi sẽ từ chối hoặc phản biện lại các yêu cầu không đáp ứng các điều kiện trên.
- Chúng tôi sẽ xem xét kỹ lưỡng hơn đối với một số yêu cầu cung cấp thông tin người dùng của chính phủ dựa trên các nguyên tắc của chúng tôi và lợi ích thúc đẩy cộng tác thành công trên khắp thế giới.
Nếu một yêu cầu quá mơ hồ, Zoom sẽ phản biện tính hợp lệ của yêu cầu đó để giảm thiểu lượng thông tin phải cung cấp.
Zoom thường thông báo cho người dùng về yêu cầu thông tin của chính phủ, bao gồm bản sao yêu cầu đã nhận được, trừ khi theo pháp luật, chúng tôi không được thông báo cho người dùng. Các yêu cầu về ngoại lệ đối với thông báo cho người dùng phải có thêm mô tả các tình huống cấp bách hoặc hậu quả bất lợi tiềm ẩn của thông báo.
Tăng cường tính minh bạch
- Báo cáo minh bạch: Zoom đã công bố báo cáo đầu tiên về số lượng yêu cầu nhận được từ các cơ quan có thẩm quyền của Hoa Kỳ và quốc tế vào tháng 12 năm 2020 (Báo cáo minh bạch về yêu cầu của chính phủ). Chúng tôi đặt mục tiêu cải thiện từng báo cáo minh bạch so với báo cáo trước đó. Bạn có thể xem báo cáo minh bạch mới nhất của chúng tôi tại đây. Báo cáo minh bạch bổ sung sẽ được cung cấp trong Trung tâm Tin cậy Zoom.
- Thông báo trong sản phẩm: Zoom liên tục cập nhật để tích hợp thông báo về quyền riêng tư đặc thù cho mỗi tính năng vào quá trình trải nghiệm Zoom, từ đó giúp người dùng hiểu rõ theo bối cảnh ai có thể xem cũng như chia sẻ nội dung và thông tin mà họ đã chia sẻ trên Zoom. Ví dụ: nếu người dùng muốn biết ai có thể xem tin nhắn họ đã gửi trong tính năng trò chuyện của Zoom, họ có thể vào phần “Ai có thể xem tin nhắn của bạn?” để biết người nào có thể xem tin nhắn mà họ gửi cho mọi người, cũng như các tin nhắn riêng tư khác do họ gửi.
Zoom thiết kế các dịch vụ của mình theo cách ưu tiên hàng đầu cho các yêu cầu của GDPR
Zoom cam kết nỗ lực tối đa để xây dựng tính năng sản phẩm phù hợp với các yêu cầu của GDPR và thúc đẩy bảo vệ dữ liệu cá nhân được xử lý thông qua các dịch vụ của chúng tôi. Để biết thêm thông tin về các thông lệ về dữ liệu của chúng tôi, vui lòng xem Tuyên bố về quyền riêng tư của chúng tôi hoặc bạn có thể gửi email đến privacy@zoom.us nếu có bất kỳ câu hỏi nào về GDPR.