美国州法隐私附录

生效日期:2022 年 12 月 30 日

本美国州法隐私附录(下称“附录”)对你的主订阅协议条款进行补充、服务条款或分销商客户服务条款(如适用,下称“协议”),并规定了与某些美国州法有关的某些数据隐私权和义务。本文中使用但未另行定义的大写术语具有协议中赋予的含义。

A节——总则。本附录A节适用于以下情形: 客户作为“企业”或“控制者”,且Zoom根据CCPA或其他适用的州数据保护法处理(或正在处理)客户的个人信息或个人数据,在此情形下Zoom提供服务和客户使用服务。

  1. 定义。  在本附录中,“客户”指订阅Zoom服务的“企业”或“控制者”。本节A中使用但未另行定义的大写术语具有下文第B(1)节和第C(1)节中赋予的含义。

  2. 审计和评估。
    1. Zoom将按如下方式进行第三方审计,以证明符合ISO 27001和SOC 2第II类框架标准:

      1. Zoom将每年对SOC-2审计涵盖的安全性、可用性和隐私标准进行审计。

      2. 审计将根据适用控制标准或框架的监管或认证机构的标准和规则执行。

      3. 审计将由Zoom选择的有资质的独立第三方安全审计员执行,费用由Zoom承担。

      4. 每次审计将生成一份面向客户的审计报告(“Zoom审计报告”),Zoom将应客户要求每年提供该报告一次。Zoom审计报告属于Zoom的保密信息。

  3. 信息接收限制。 本附录中的任何规定均不要求Zoom披露以下信息:(a) Zoom任何其他客户或任何第三方的任何数据或信息;(b) 任何内部会计或财务信息;(c) Zoom的任何商业秘密;或 (d) Zoom合理认为可能产生以下后果的任何信息:(i) 危及Zoom网络、系统或场所的安全;(ii) 导致Zoom违反其对任何第三方的安全或隐私义务;或 (iii) 为任何与本附录所述原因无关的目的而寻求的信息。在向客户提供Zoom审计报告之前,Zoom可要求客户同意Zoom(或其第三方审计师或评估机构)提出的合理条款和条件。

  4. 数据删除。 Zoom将:(a) 根据适用于客户的适用州数据保护法律的要求,并在客户的指示下,在服务提供结束时,删除或向客户返还所有个人数据;或 (b) 根据CCPA的要求,在客户与Zoom之间的关系终止或期满后,不再保留、使用或披露个人信息。本第A(4)条(数据删除)中的任何规定均不要求Zoom:(i) 删除或返还其根据适用法律必须保留的数据;或 (ii) 在返还技术上不可行,或返还将对Zoom造成重大负担、成本或两者兼而有之时,以返还(而非销毁)方式处理个人数据。

B节–加利福尼亚州。 本附录B节适用于以下情形: 客户作为 “企业”,且Zoom根据CCPA代表客户处理个人信息,在此情形下Zoom提供服务和客户使用服务

  1. 定义。 在本附录B节中:(a) “CCPA”指经《2020年加州隐私权法案》修订的《2018年加州消费者隐私法案》及其颁布的任何法规;(b) “商业实体”、“商业目的”、“商业目的”、“消费者”、“处理”、“出售”、“服务提供商”和“共享”具有CCPA中分别赋予的含义;(c) “个人信息”指CCPA中定义的“个人信息”,但仅限于Zoom根据协议作为“企业”向客户提供服务的过程中收集、访问、获取、接收、使用、披露或以其他方式处理的个人信息。

  2. 确认与义务。 Zoom (a) 确认客户仅在为提供订单所述服务及协议所述目的的有限和特定范围内披露个人信息;(b) 应遵守CCPA对服务提供商规定的义务,并为个人信息提供CCPA要求的同等隐私保护水平,包括对企业要求的同等隐私保护;(c) 同意客户可采取与本文第A(2)节相符的合理适当措施,以协助确保Zoom对个人信息的使用符合客户在CCPA下的义务;(d) 应立即通知客户Zoom认定其无法再履行CCPA下义务的任何决定;(e) 同意客户在发出通知后,可依据适用法规,通过要求Zoom提供合理文件(该文件证明Zoom不再保留或使用受有效删除请求约束的个人信息),采取合理适当措施以停止并纠正未经授权使用个人信息的行为。
  3. 限制。 Zoom不得:(a) 出售或共享个人信息;(b) 除上文第B(2)(a)节所述目的或CCPA另行允许的目的外,为任何其他目的保留、使用或披露任何个人信息,包括为上述目的或为不同企业提供服务之外的商业目的保留、使用或披露个人信息;(c) 在Zoom与客户之间的直接业务关系范围之外保留、使用或披露个人信息,但CCPA允许的情形除外;(d) 将根据协议收到的个人信息与从其他方收到的个人信息或Zoom自身与个人信息相关消费者的互动信息相结合,除非CCPA允许服务提供商这样做。Zoom特此确认其理解本附录项下的义务并将遵守这些义务。

  4. 审计、审查和评估。 客户在遵守CCPA的前提下,根据Zoom的合理要求达成书面协议,并自行承担全部费用和开支,可根据上文第A(2)节(审计和评估),每12个月对Zoom进行一次审计、审查或评估。

  5. 消费者请求。 客户在收到并核实消费者的请求后,应及时通知Zoom并向Zoom提供所有必要信息。Zoom应及时采取客户可能合理要求的行动,并提供与消费者个人信息相关的信息,以协助客户履行个人行使其在CCPA下权利的请求,包括但不限于访问、更正、删除、选择退出出售或共享个人信息,或接收关于其个人信息的请求。若Zoom直接收到来自客户消费者的任何请求,则Zoom可:(i) 建议该消费者直接联系客户提出该请求;或 (ii) 联系客户,由客户直接向该消费者作出回应。

C节 – 维吉尼亚州、科罗拉多州、犹他州及其他州。本附录C节适用于以下情形:客户作为个人数据的“控制者”, 且Zoom根据适用的州数据保护法律处理客户的个人数据,在此情形下Zoom提供服务和客户使用服务。

  1. 定义。 在本附录C节中:(a) “适用的州数据保护法律”指 (i) 经修订的《2021年科罗拉多州隐私法》、《2021年弗吉尼亚州消费者数据保护法》或《2022年犹他州消费者隐私法》,或 (ii) 任何其他旨在保护个人数据的适用美国州法律,且在该等法律下客户是“控制者”、Zoom是“处理者”,并且本附录的条款和条件满足该州法律的要求;(b) “控制者”、“个人数据”、“处理”和“处理者”具有适用的州数据保护法律中分别赋予它们的含义;以及 (c) “指示”具有下文赋予的含义。

  2. 个人数据的处理:角色、范围和责任。
    1. 双方确认并同意以下内容:客户是客户个人数据的“控制者”。Zoom是客户个人数据的“处理者”。

    2. 仅在必要和适当的情况下,作为“控制方”的客户代表客户指示Zoom以“处理方”身份执行以下活动(以下统称为“指示”):

      1. 根据客户及其用户的授权许可、配置和使用情况提供并更新服务,包括通过客户使用Zoom设置、管理员控件或其他服务功能实现的服务;

      2. 实时监控服务并保障安全;

      3. 解决问题、缺陷和错误;

      4. 提供客户请求的支持,包括应用从个别客户支持请求中获得的知识,使所有Zoom客户受益,但仅限于匿名的知识;和

      5. 按照“协议”(包括本附录和附件 A)以及客户提供并经 Zoom 确认为构成指示的任何其他书面指示处理客户个人数据。
    3. 在Zoom作为客户个人数据的“处理者”行事的范围内,Zoom应仅根据客户的指示处理客户个人数据。客户应确保其向Zoom发出的指示符合适用于客户个人数据的所有法律、规则和法规,且按照客户指示处理客户个人数据不会导致Zoom违反适用的州数据保护法律。客户对以下事项的准确性、质量和合法性承担全部责任:(i) 由客户或代表客户提供给Zoom的客户个人数据;(ii) 客户获取任何此类客户个人数据的方式;以及 (iii) 客户就处理此类客户个人数据向Zoom提供的指示。客户不得违反协议或本附录向Zoom提供或提供访问任何客户个人数据。

    4. 客户授权Zoom在有限情形下扫描和报告个人数据(例如:检测和报告儿童性虐待材料;遵守其他适用法律;确保遵守Zoom的可接受使用准则)。

  3. 授权人员。 Zoom应确保所有获授权处理客户个人数据的人员知晓客户个人数据的保密性质,并对该数据承担保密义务。

  4. 分包商与分包处理者。如果Zoom是“处理方”,则客户特此一般授权Zoom根据C(4)节聘用分包商和下级处理方。

    1. 客户同意Zoom使用https://www.zoom.com/en/trust/subprocessors/所列出的提供商来处理客户的个人数据。

    2. Zoom可移除、更换或任命额外的提供商。只要客户在https://www.zoom.com/en/trust/subprocessors/订阅更新,Zoom应就这些提供商委任的任何变更通知客户。在适用的州数据保护法律要求的情况下,Zoom还应根据本文第C(4)(d)条和第C(4)(e)条,为客户提供对该委任提出异议的机会。

    3. 若涉及服务可用性或安全的紧急情况,Zoom无需就分包商的移除、更换或任命向客户提供事先通知,但应在分包商变更后七(7)个工作日内发出通知。

    4. 在任何一种情况下,客户均可在收到Zoom发出的上述通知后十五(15)个工作日内,以书面形式对该分包商的委任提出异议。

    5. 如果客户反对聘用新的分包商,Zoom有权通过以下选项之一(由Zoom自行决定)解决异议:

      1. Zoom可能会取消其使用分包商处理客户个人数据的计划。

      2. Zoom可以采取客户在其反对意见中要求的纠正措施(消除客户的反对意见),并继续使用分包商来处理客户个人数据。

      3. 在此情况下,Zoom可停止提供(或客户可同意临时或永久不使用)涉及就该客户个人数据使用此类分包商的特定服务功能。Zoom应向客户提供关于该委任的书面说明,说明任何商业上合理的替代方案(如有),包括但不限于对服务的修改。若Zoom自行全权酌情决定无法提供任何此类替代方案,或若客户不同意任何已提供的此类替代方案,则Zoom和客户可通过提前六十(60)天发出书面通知终止协议(包括本附录)。终止不免除客户根据协议就终止生效日之前已提供的服务向Zoom支付任何到期应付费用和款项的责任。

      4. 若客户在Zoom发出通知后15个工作日内未对新分包商的委任提出异议,则该新分包商应被视为已获接受。

    6. Zoom聘请任何处理客户个人数据的分包处理者,必须依据书面合同进行,并要求该分包处理者履行Zoom就该等个人数据分包给其的任何义务。若该分包处理者未能履行其数据保护义务,对于该分包处理者义务的履行,Zoom仍应对客户承担责任,其责任程度等同于若Zoom自身实施该等作为或不作为时根据本附录应承担的责任。

  5. 信息安全。 考虑到处理的具体情况,Zoom应针对客户个人数据实施适当的技术和组织措施,以确保达到与本附录及协议中另有明确规定相一致的、与风险相适应的安全水平。

  6. 合规信息。应客户的合理要求,Zoom应根据适用法律,向客户提供其所拥有的、为证明Zoom遵守其在本附录中义务所需的合理信息。

 

附件 A

处理说明

控制者向处理者

处理的性质和目的Zoom将根据协议(包括本附录)出于以下目的处理客户个人数据:

  • 根据客户及其用户的授权许可、配置和使用情况提供并更新服务,包括通过客户使用Zoom设置、管理员控件或其他服务功能实现的服务;

  • 实时监控服务并保障安全;

  • 解决问题、缺陷和错误;

  • 提供客户请求的支持,包括应用从个别客户支持请求中获得的知识,使所有Zoom客户受益,但仅限于匿名的知识;

  • 按照“协议”和/或此附录或客户提供并经Zoom确认为构成指示的任何其他书面指示处理客户个人数据;

  • 遵守法律义务所必需。

待处理的个人数据类型

Zoom账户资料信息:与最终用户Zoom账户关联的数据、个人资料图片、密码、公司名称以及客户的偏好设置。这包括:

  • Zoom唯一用户ID,

  • 头像照片(可选)

诊断数据:

会议元数据:有关服务使用情况的指标,包括召开会议的时间和方式。

该类别包括:

  • 事件日志(包括采取的操作、事件类型和子类型、应用内事件位置、时间戳、客户端UUID、用户ID和会议ID)

  • 会议场次信息,包括频率、平均和实际持续时间、数量、质量、网络活动和网络连接

  • 会议次数

  • 屏幕共享和非屏幕共享会议的数量

  • 参会者数量

  • 会议主持人信息

  • 主持人姓名

  • 会议网站URL

  • 会议开始/结束时间

  • 加入方式

  • 性能、故障排除和诊断信

遥测数据:从本地安装的软件收集的数据(有关Zoom服务部署的应用程序和浏览器信息以及相关系统环境/技术信息)。这包括:

  • 电脑名称

  • 麦克风

  • 扬声器

  • 摄像头



  • 硬盘ID

  • 网络类型

  • 操作系统类型和版本

  • 客户端版本

  • MAC地址

  • 事件日志(包括采取的操作、事件类型和子类型、应用内事件位置、时间戳、客户端UUID、用户ID和会议ID)

  • 服务日志(系统事件和状态信息)

其他服务生成的数据

  • 垃圾邮件识别

  • 推送通知

  • Zoom永久唯一标识符,例如UUID或与其他数据元素组合的用户ID,包括:

  • IP地址

  • 数据中心

  • 电脑名称

  • 麦克风

  • 扬声器

  • 摄像头



  • 硬盘ID

  • 网络类型

  • 操作系统类型和版本

  • 客户端版本

  • 网络路径上的IP地址

支持数据:

  • 支持请求者的联系人姓名、时间、主题、问题描述、会后反馈(赞/踩)

  • 用户提供的附件,包括录制内容、转录文字或屏幕截图、会后反馈(随踩提供的开放文本)

处理持续时间“协议”期限加上Zoom删除或返回代表客户处理的所有客户个人数据之前的期限。

更新

Zoom可不时更改或补充本隐私补充协议。对本隐私补充协议的任何此类修改将在此处公布。如你希望接收关于本隐私补充协议更改或补充的通知,请在下方文本框提供你的电子邮件地址。