Zoom 與歐盟通用資料保護條例 (GDPR)

更新日期:2024 年 8 月 8 日

Zoom 的使命是藉由無摩擦的視訊通訊傳遞幸福,我們也明白這樣的幸福需要隱私權與安全性。我們努力保護和保障客戶的通訊到最高層級,例如歐洲經濟區 (「EEA」) 的資料隱私權義務,主要是指通用資料保護條例 (「GDPR」)。

Zoom 讚同 GDPR 作為資料保護的基礎,認為其不僅對歐洲,也對全球皆有益處。Zoom 支援客戶以符合 GDPR 合規性義務的方式實施技術及組織措施。Zoom 的目標便是協助我們的客戶擔任資料控制者。

以下關鍵事實反映了 Zoom 實現資料保護的承諾。 

如果您要深入瞭解 Zoom 資料保護實踐,請參閱本部落格 (以及隱私公司的 DPIA 本身) 中與荷蘭教育和研究機構 SURF 合作進行的 Zoom 資料保護影響評估 (DPIA)。 

給所有 Zoom 客戶的 GDPR 合約承諾
GDPR 要求資料控制者 (例如使用 Zoom 服務的組織及開發人員) 只能使用代表資料控制者處理個人資料並附有遵守 GDPR 特定要求的適當保障的資料處理商 (例如 Zoom)。透過將 Zoom 的資料處理附錄納入 Zoom 的服務條款,Zoom 向我們的所有客戶提供這些承諾。

Zoom 與 GDPR 相關的合約承諾:

  • Zoom 努力實現透明化,並致力於只將個人資料用於協議中所提供的客戶服務,或依客戶指示行動。
  • Zoom 透過保持適當的技術與組織安全性措施,來保護我們處理的個人資料。
  • 當資料主體行使權利,使用我們的服務所處理的個人資料 (例如請求資訊、存取、修改及刪除) 時,Zoom 將協助客戶遵守其義務。

跨國資料轉移保護措施

美國

GDPR 包含了個人資料轉移到歐洲經濟區 (EEA) 以外國家的特定規則。原則上,個人資料只有在該國擁有足夠的保護層級時才能轉移到歐洲經濟區以外的國家。

適當程度決定非歐盟國家的資料保護措施是否足夠,以確保與歐盟所提供的保護層級相等。歐洲委員會的充足性決定允許個人資料從歐盟到第三國的自由流動,而無需額外的保障措施。自 2023 年 7 月 10 日起,歐洲委員會針對歐盟-美國資料隱私權框架 (DPF) 的參與者提出了一項新的充足性決定。Zoom 已註冊為積極參與者

資料隱私權框架 (DPF) 的誕生是為了回應數位時代對資料保護和隱私權日益增長的擔憂。該框架旨在協調並提高特別是在個人資料跨境轉移方面的資料保護標準。DPF 的重要性在於促進國際商務和溝通方面的作用,同時確保個人的隱私權保護。透過建立明確的資料處理方針和義務,其相關性延伸到包括企業、監管機構和個人等各別利害關係人。DPF 的適用性在安全資料傳輸方面至關重要,因為它提供了一個確保遵守資料保護法的法律架構,從而促進跨境資料交換中的信任和問責制。 

其他第三國家

個人資料可以使用歐洲委員會採用的標準合約條款 (SCC,也稱為歐盟示範條款) 從歐洲經濟區轉移到歐洲經濟區以外的第三國。這些 SCC 根據合約確保高水準的保護。Zoom 於 2021 年將新的 SCC 實作到 Zoom 的標準 DPA 中。Zoom 已在歐洲委員會指定的過渡期後將新的 SCC 納入適用協議中。請參閱有關新 SCC 的客戶常見問答集 以瞭解更多資訊。 

資料轉移影響評估
為幫助 Zoom 客戶在依賴 SCC 時遵守其他要求,Zoom 為各種產品提供以下資料轉移影響評估。根據常見的最佳做法,資料匯出方和匯入方應評估接收資料國家的法律和實務是否可能破壞其他提供的保護等級。

Zoom Meetings/Webinar/Zoom Chat 資料轉移影響評估
Zoom Phone 資料轉移影響評估
Zoom 聯絡中心資料轉移影響評估
Zoom 虛擬代理人資料轉移影響評估

 

資料主體請求 (DSAR)
資料主體請求 (DSAR) 是根據通用資料保護條例 (GDPR) 提供的一種機制,允許個人 (稱為資料主體) 請求存取組織持有的個人資料。此外,資料主體可以要求更正不準確或不完整的個人資料。這確保了資料中的任何錯誤都能及時修正。在某些情況下,個人有權要求刪除其個人資料 (通常稱為被遺忘權)。這是 GDPR 規定的一項基本權利,強調個人對其個人資料的透明度和控制權。Zoom 為客戶提供了一種自助服務工具,可以簡單輕鬆地行使這些權利。您可以在我們的支援網站上找到有關此工具的更多資訊。 

 

資料儲存
Zoom 為符合條件的歐洲客戶付費帳戶提供使用歐盟 (EU) 資料中心的選項。客戶可以選擇資料中心區域,以及自動確定的主區域來主持即時會議和網路研討會流量。客戶也可以選擇在本地將錄音儲存在自己的裝置或本地資料中心。您可以在我們的支援頁面上找到更多資訊。對於此類客戶,Zoom 也提供在歐盟獨家處理所有支援資料的可能性。如果他們希望在歐盟正常工作時間之外提供支援,他們可以根據具體情況同意,將個人資料轉移到歐盟以外的服務中心。 

 

確保歐洲資料保護的強力具體措施
Zoom 致力於保持高度安全性:

  • Zoom 藉由一系列的加密技術來保護傳輸中的客戶資料及儲存的資料。
  • Zoom 利用安全性措施來支援我們處理系統及服務的機密性、完整性、可用性及韌性。
  • 在遇到物理或技術事故時,Zoom 會即刻採取措施以恢復處理系統及服務的可用性及存取。
  • Zoom 實施一套經常性測試、評估及評價技術及組織措施有效性的流程,來支援我們處理的個人資料的安全性。

具體而言,Zoom 採用各種安全措施來保護透過其平台傳輸和儲存在其平台上的客戶通訊。這些措施包括以下項目:

  • 選用的 Meetings 端對端加密: 使用者可以選擇為 Zoom Meetings 啟用端對端加密。端對端加密設計用於加密所有會議參與者之間的資料,因此任何提供者或介於兩者之間的系統都無法存取通訊,甚至 Zoom 也無法存取這些通訊。
  • 預設加密: 給定裝置與 Zoom 之間的連結已預設加密,利用 TLS 1.2+ (傳輸層安全協議)、進階加密標準 256 位元 AES GCM 加密,及 SRTP (安全即時傳輸協定)。確切使用的方法取決於使用者是否使用 Zoom 用戶端、網路瀏覽器、第三方裝置或服務、或 Zoom Phone 產品。如需更多資訊,請參閱我們的加密白皮書
  • 防止未授權會議與會者: Zoom 實施許多安全與控制功能以禁止未授權與會者參加會議:
    • 十一碼專屬會議 ID
    • 複雜密碼
    • 等候室 - 具有自動開放您網域或另一選定網域的與會者進入的功能
    • 會議鎖定功能 - 可防止任何人加入會議
    • 移除與會者功能
    • 驗證設定檔 - 僅允許註冊的使用者進入,或限制為僅限特定電子郵件網域進入
    • 風險會議通知器 - 可掃描公共社群媒體上的發文以及其他公共線上資源中的 Zoom 會議連結
  • 選擇性會議邀請:主持人可以選擇性透過電子郵件、聊天或簡訊邀請參與者。這可以對控制會議存取資訊的分發取得更大的控制。主持人也可以建立會議,以僅允許來自特定電子郵件網域的成員加入。
  • 會議期間安全性:在會議期間,Zoom 可以安全地將即時、豐富的媒體內容提供給 Zoom 會議中的每個參與者。所有和與會者分享的內容只是原始資料的呈現。此內容已編碼並進行最佳化,以便使用安全實作進行分享。
  • 主持人控制項:會議主持人控制項可允許或禁止與會者分享、聊天及重新為自己命名。
  • 報告:您可以透過選擇要報告的參與者、包含任何書面詳細資料並新增附件,來報告參與者在會議期間有不當行為。此報告會自動傳送給 Zoom 信任與安全團隊,以評估平台的任何濫用情況,並在必要時封鎖使用者。
  • 產品內的安全性控制項:安全性控制項以專屬安全性圖示出現在主要介面上。
  • 基於角色的使用者安全性:下列會議安全性功能可供會議主持人使用:
    • 使用標準使用者名稱及密碼的安全登入,或安全宣告標記語言 (SAML) 單一登入
    • 召開需要輸入密碼的安全會議
    • 排定需要輸入密碼的安全會議
  • 預防自動語音通話:已實施通話篩選功能,以幫助使用者減少不想要的自動語音通話。帳戶擁有者和管理員可以在帳戶、網站、群組、使用者、公共區域、自動總機、撥號佇列和共用線路群組啟用通話篩選功能。此功能預設為整個帳戶啟用和解鎖。

 

資料處理和儲存的選擇:Zoom 明白我們的客戶希望有權選擇資料中心如何處理和儲存特定資料。

傳輸中和處理中的資料:Zoom 透過其主機代管資料中心和公有雲端資料中心 (包括 Amazon Web Services (AWS) 資料中心) 的全球網路路由傳輸中的 Meetings 客戶資料。Zoom 服務的運作方式是讓進入 Zoom 生態系統的資訊,透過距離傳送或接收資料之使用者最近的資料中心進行路由。

付費帳戶的帳戶擁有者和管理員可以在帳戶、群組或使用者層級選擇加入或退出特定的 Zoom 資料中心,這些資料中心將用於處理參與者的即時會議和網路研討會視訊、音訊和共享內容。支援已佈建帳戶區域的國家/地區資料中心,將被鎖定為選擇加入以進行處理。Zoom 資料中心選擇僅在帳戶主持會議或網路研討會時適用。當主持會議或網路研討會的帳戶選擇退出任何資料中心時,所有參與者的即時會議和網路研討會視訊、音訊和共享內容資料將僅由選擇加入的 Zoom 資料中心處理。但是,Zoom 可使用產業標準網路路由協定,在資料中心之間路由流量,同時跨越 Zoom 私有網路連線 (即邊緣路由)。其他詳細資訊可以在文章中找到此說明

資料儲存:客戶可為他們的某些客戶內容選擇資料儲存位置。客戶內容是客戶透過使用 Zoom 服務提供的資訊,包括客戶在會議或網路研討會期間選擇錄製或分享的所有資料,例如雲端錄製檔案、會議轉錄文字、聊天轉錄文字 (會議中聊天和持續聊天),以及在會議期間或在持續聊天頻道中交換的檔案。

客戶內容預設儲存於美國。付費帳戶的客戶可為其帳戶的某些客戶內容選擇儲存位置。只有帳戶持有人、帳戶管理員或擁有客戶帳戶設定檔權限者能夠變更此設定。如需其他詳細資訊,請參閱此說明文章。請注意,客戶內容、帳戶資料及診斷資料仍儲存於美國。

 

回應政府請求資訊的嚴格協定
Zoom 致力於保護客戶與使用者的隱私權,而且僅會根據 政府請求指南 及相關法律政策,在政府提出有效且合法的請求時,提供使用者資料給政府。

在所有地理區域:

  • 政府請求必須根據適用的法律和條例並透過官方管道簽發,包括要求經簽署的正式文件,或透過政府實體官方電子郵件傳送的電子郵件所提出的請求。
  • 每個請求都必須明確,不得過於空泛,而且具有有效的法律依據。我們將拒絕或質疑不符合這些要求的請求。
  • 我們將根據我們對於促進全球成功協作所抱持的原則和關注,針對某些政府對使用者資訊提出的請求進行額外的審查。

若該請求過於模糊不清,Zoom 會質疑該請求的有效性,以減少提交的資訊範圍。

Zoom 通常會通知使用者政府對其資訊的請求,其中包括請求的副本,除非法律禁止我們通知使用者。對於向使用者通知進行例外處理的請求,必須包括與緊急情況或通知的潛在不利結果有關的描述。

 

提高透明度

  • 資訊透明報告: Zoom 在 2020 年 12 月公佈其第一份資訊透明報告,說明美國及國際機構所提出的請求數量 (政府請求資訊透明報告)。我們的目標是讓每份資訊透明報告都比前一份更加完善。我們最新的資訊透明報告可在這裡取得。額外的資訊透明報告將可在 Zoom Trust Center 取得。
  • 產品內通知: Zoom 持續更新,以將特定功能的隱私權通知整合進 Zoom 體驗中,幫助使用者了解有誰可以看見和分享他們在 Zoom 上分享的內容和資訊。例如,當使用者想知道誰可以看見他們在 Zoom 聊天功能中所傳送的訊息時,他們可以在「誰能夠看到您的訊息?」處看見誰可以存取使用者傳送給每個人的訊息和私人訊息。

 

Zoom 將 GDPR 的要求作為優先指導原則以設計其服務
 Zoom 致力於盡一切努力建立符合 GDPR 要求的產品功能,並透過我們的服務促進個人資料的保護。欲了解更多關於我們資料實務的資訊,請參閱我們的隱私權說明,或者若您有任何有關 GDPR 的具體問題,請寄送電子郵件至 privacy@zoom.us