與荷蘭研究教育協會共同協作，提升 Zoom 資料隱私權保護

DPIA 是對一間公司資料收集與使用的方式，進行技術與法律層面的詳細審查，以確定其是否符合歐盟 (EU) 資料保護法，特別是針對歐盟通用資料保護條例 (GDPR)。 DPIA 分析公司處理個人資料的方式、識別與該處理作業相關的任何風險，並提供降低風險的措施。

在 DPIA 的評估過程中，Zoom 指定其資料收集和使用實務，並提供證據來證明實踐方式。 SURF 評估 Zoom 當前的能力，並在 DPIA 改善實務中提出建議，一切努力都是為了加強對歐洲公民的資料保護。

評估結果發表於此公告下方。

SURF 和 Zoom 於 DPIA 的協作過程中同意進行數項行動。 這些行動包括：

• 開發新的隱私權功能：
  • 資料位置解決方案：在歐盟的 Zoom 客戶對在美國處理個人資料有所顧慮，並希望所有個人資料都於歐盟境內處理。 Zoom 與 SURF 的諮詢過程中，決定於今年底之前盡可能實踐此目標。 所有例外情況都需達成一致同意並紀錄。
  • 歐盟支援服務：Zoom 將於 2022 年上半年建立一個獨立支援歐盟的服務中心，於歐盟地區的上班時間支援歐盟境內的帳戶。 如果歐盟境內的帳戶在上班時間之外需要支援，或者於歐盟境外尋求幫助時，Zoom 會於客戶明確同意後，以支援門票的方式予以支援。
  • 資料主體存取要求 (DSAR)：Zoom 將經由企業和教育帳戶管理員使用的兩種自助服務工具，加強回應客戶 DSAR 的能力。
  • 偏好的通訊中心：Zoom 將於 2022 年底之前，為所有帳戶擁有者開發市場所偏好的自助服務工具。

• 改善透明度與文件證明：
  • 隱私權資料表：Zoom 定期發布隱私權資料表，改善處理個人資料的公開文件。
  • 更新資料傳出影響評估 (DTIA)：Zoom 根據瑞士法律學者 David Rosenthal 建立的格式，製作新的 DTIA。 根據 DTIA 顯示，使用 Zoom 時所面臨的個人隱私權風險為可忽略程度。
  • 闡明 Zoom 角色與責任：Zoom 同意適當重新自我歸類，將自身視為所有個人資料的資料處理方，惟在特定限制情況下，如教育和企業客戶 (資料控管方) 授權其「進一步」處理部分個人資料時，則視為獨立資料控管方。 這也適用於 Zoom 藉由其公開網站蒐集個人資料的狀況。

• 增強 Zoom 的資料保護實務：
  • 個人資料保留：Zoom 已闡明，將以實際方式減少其保留的個人資料。
  • 設計和預設隱私權：Zoom 將於整個產品開發生命週期中，藉由設計和預設程序，實行更為全面且積極的隱私權保護。  
  • 員工訓練：Zoom 正在為員工部署新訓練，以確保員工在散播快樂的同時，也考慮到隱私權保護。

• 評估進度：Zoom 與 SURF 一起紀錄提升資料保護的機會，以及實踐目標的方向。 SURF 和 Zoom 將每兩個月討論一次進度。

Zoom 指出，SURF 與 Zoom 之間的協作，無論是 DPIA 或是未來的展望，都有助於 Zoom 制定標準，並發展資料隱私權和保護策略。

正如 DPIA 所述，「多虧 Zoom 的許多改善措施，以及新的 DPA 對特定用途的限制，Zoom 的客戶能夠依賴於受認證的隱私權控制，防止個人資料用於處理授權以外的目的」。

如欲深入瞭解 Zoom 的隱私權和安全性，請參閱 Trust Center。