医疗保健

• 医疗保健
  • 教育
  • 政府
  • 金融服务
  • 零售
  • 制造业
• 解决方案
  • 英国医疗保健
  • Zoom 生命科学解决方案
  • 家庭医疗保健
  • 为居家患者提供虚拟关怀
  • 简化 NHS 组织的统一通信
• 资源
  • 混合式工作
  • 适用于医疗保健的统一通信
  • 《通用数据保护条例》(GDPR) 合规性
  • 美国医疗保健资金
  • 医疗保健博客文章
  • 医疗保健社区
  • 医疗保健应用
  • 客户案例
  • 灵活性决定医疗领域的未来
• 硬件
• 定价

 

Zoom 的使命是通过顺畅的视频通信传递幸福感，而我们知道这种幸福感需要确保隐私和安全。 因此，我们努力保护和保障客户的通信达到最高水平，例如欧洲经济区（“EEA”）的数据隐私义务 – 主要是《通用数据保护条例》（“GDPR”）。

Zoom 对 GDPR 表示赞许，认为它提供了建立更强大的数据保护基础以造福所有人的机会。 Zoom 深知，我们的客户（数据控制者）需要确保 Zoom（数据处理者）采取适当的实施技术和组织措施，以履行 GDPR 合规义务。 Zoom 愿意帮助和支持我们的客户履行其数据控制者角色。

以下关键事实反映了 Zoom 在数据保护实践方面的承诺。

 

面向所有 Zoom 客户的 GDPR 合同承诺

GDPR 要求数据控制者（如使用 Zoom 服务的组织和开发人员）仅使用代表数据控制者处理个人数据的数据处理者（如 Zoom），并提供足够的保证以满足 GDPR 的具体要求。 Zoom 通过将 Zoom 的数据处理附录纳入 Zoom 服务条款，向所有客户提供这些承诺。

Zoom 的 GDPR 相关合同承诺：

• Zoom 在使用个人数据方面力求做到透明，承诺仅按照我们关于提供服务的协议或客户的其他指示使用个人数据。
• Zoom 采取适当的技术和组织安全措施来保护我们处理的个人数据。
• 当数据主体行使使用我们的服务处理个人数据所附带的权利（如信息请求、访问、更正和删除）时，Zoom 可协助客户履行其义务。

 

国际数据传输支持

2020 年 7 月，欧盟法院（或称“CJEU”）就 C-311/18 案（通常称为“Schrems II 裁决”）裁定了 EEA 以外数据传输的有效性。 Schrems II 裁决的起因是，奥地利数据主体 Maximillian Schrems 就将个人数据传输到美国以及美国政府机构可能访问其数据而提起诉讼。

在 Schrems II 裁决中，欧盟法院认为，欧盟-美国隐私盾协议框架不再提供将个人数据从 EEA 传输到美国的合法手段。

但重要的是，欧盟法院还认为，作为 Zoom 国际传输基础的欧盟委员会标准合同条款（或称“SCC”）仍然是将个人数据从 EEA 传输到非 EEA 国家的合法机制。

根据这项裁决，欧盟委员会于 2021 年 6 月发布了新 SCC。 Zoom 在欧盟委员会规定的过渡期（即新合同的过渡期至 2021 年 9 月 27 日，现有合同的过渡期至 2022 年 12 月 27 日）之后，将新 SCC 纳入适用协议中。 请参阅关于新 SCC 的客户常见问题解答，了解更多信息。

 

新要求：“了解您的传输”

Schrems II 裁决还提出了新的要求。 在将个人数据传输到 EEA 之外不被视为确保充分保护水平的国家/地区之前，数据输出者必须评估 SCC 是否足以确保个人数据在接收人所在国/地区受到与欧盟数据保护规则“基本相当”的保护。

换言之，在依靠 SCC 之前，数据输出者和数据输入者现在需要评估接收数据的国家/地区的法律和惯例是否会削弱以其他方式提供的保护水平。 为了支持客户进行评估，我们准备了以下产品的数据传输影响评估：

Zoom Meetings/Webinars/Chat 数据传输影响评估
Zoom Phone 数据传输影响评估
Zoom Contact Center 数据传输影响评估
Zoom 虚拟坐席数据传输影响评估

 

确保欧洲数据保护的强有力的具体措施

Zoom 致力于保持高度的安全性：

• Zoom 利用一系列加密技术来保护传输中的数据和静态数据。
• Zoom 利用安全措施支持我们的处理系统和服务的持续保密性、完整性、可用性和弹性。
• Zoom 采取措施，在发生物理或技术事故时，可及时恢复处理系统和服务的可用性和访问。
• Zoom 定期测试、考核和评估技术和组织措施的有效性以支持我们处理的数据的安全性。

具体来说，Zoom 用于实现通过 Zoom 平台发送和存储的通信安全的安全措施包括：

• 可选的会议端到端加密：用户可以选择为 Zoom 会议启用端到端加密。 这个选项可提供高度的安全性，因为任何第三方（包括 Zoom）都无法获得会议的私钥。
• 默认加密：默认情况下，给定设备和 Zoom 之间的连接使用 TLS 1.2+（传输层安全）、高级加密标准 256 位 AES GCM 加密和 SRTP（安全实时传输协议）相结合的方式进行加密。 具体使用哪种方法取决于用户是利用 Zoom 客户端、Web 浏览器、第三方设备或服务还是 Zoom Phone 产品。 欲了解更多信息，请参阅我们的加密白皮书。
• 禁止未授权的会议参会者：Zoom 实施了多种保障和控制措施，禁止未授权的参会者加入会议：

• • 十一位唯一会议 ID
  • 复杂的密码
  • 等候室功能，可自动允许来自您的域名或其他选定域的参会者加入
  • “锁定会议”功能，可阻止任何人加入会议
  • 移除参会者功能
  • 仅允许注册用户加入或仅限特定电子邮件域的验证配置文件
  • 风险会议通知器工具，可扫描公共社交媒体网站上的帖子和其他公共在线资源，寻找 Zoom 会议链接。

• 选择性会议邀请：主持人可以通过电子邮件、聊天或短信选择性地邀请参会者。 这就可以增强对会议访问信息分布的控制。 主持人在创建会议时，还可以选择只允许来自特定电子邮件域的成员加入。
• 会议中安全：会议期间，Zoom 会为会议期间的每名参会者安全地提供实时富媒体内容。 参会者在会议中共享的所有内容都会以原始数据呈现。 Zoom 会对这些内容进行编码和优化，以使用安全实施方式共享。
• 主持人控件：会议主持人控件可允许/禁止参会者共享内容、聊天以及重新给自己命名。
• 举报：“举报用户”功能允许会议主持人标记有问题的行为。
• 产品内安全控件：主界面上带有一个专用安全图标的安全控件。
• 基于角色的用户安全：会议主持人可使用下列会议前安全功能：

• • 使用标准用户名和密码或 SAML 单点登录进行安全登录
  • 使用密码开始安全会议
  • 使用密码安排安全会议

• 阻拦骚扰电话：用户可以阻拦骚扰电话，所有平台均启用速率限制和验证码（需要人为干预）。

 

数据处理和存储的选择

Zoom 了解到，我们的客户可能希望能够选择处理和存储某些数据的数据中心。

传输和处理中的数据：Zoom 通过其全球网络的共用数据中心和公共云数据中心（包括 Amazon Web Services ("AWS") 数据中心）传输客户数据。 Zoom 服务的设计原理是，通过距离收发数据的用户最近的数据中心传送进入 Zoom 生态系统的信息。

付费账户的账户所有者和管理员可以在账户、群组或用户级别选择加入或退出特定的 Zoom 数据中心，这些数据中心将用于处理会议和网络研讨会举办期间与会者的实时会议和网络研讨会视频、音频和共享内容。 可为已配置账户的区域提供支持的国家/地区数据中心将被锁定为用于处理数据的选择加入项。 Zoom 数据中心选项仅适用于举办会议或网络研讨会的账户。 如果举办会议或网络研讨会的账户已选择退出任何数据中心，那么所有与会者的实时会议和网络研讨会视频、音频和共享内容数据只能由已选择加入的 Zoom 数据中心进行处理。 但是，Zoom 可以依据行业标准网络路由协议在数据中心之间传送数据，同时遍历 Zoom 的专用网络连接（即边缘路由）。 要获取更多详细信息，请参阅本帮助文章。

数据存储：客户可以为部分客户内容选择数据存储位置。 客户内容是指客户通过使用 Zoom 服务提供的信息，包括客户在会议或网络研讨会期间选择记录或共享的所有数据，例如，云录制文件、会议转录文件、聊天转录文件（会议中的聊天转录文件和持久保留的聊天转录文件）以及在会议期间或在持久保留的聊天频道中进行交换的文件。

默认情况下，客户内容存储在美国。 付费账户客户可以为其账户中的部分客户内容选择数据存储位置。 只有账户持有人、账户管理员或拥有客户账户配置文件权限的人员才能更改此设置。 要获取更多详细信息，请参阅本帮助文章。 请注意，客户内容、账户数据和诊断数据仍存储在美国。

 

应对政府信息请求的严格协议

Zoom 致力于保护客户和用户的隐私，只有在收到符合政府请求指南和相关法律政策且合法有效的请求时，才会为政府生成用户数据。

在所有地理区域：

• 政府请求必须根据适用法律法规并通过官方渠道发出，包括需要提供正式签署的文档，或从政府机构的官方电子邮件地址发出电子邮件请求。
• 所有请求都必须明确，不能过于宽泛，并且须有有效的法律依据。 我们将拒绝或质疑不满足这些要求的请求。
• 对于某些要求提供用户信息的政府请求，我们将基于促进世界各地成功协作的原则和利益，对其执行额外审查。

如果请求过于含糊，Zoom 将质疑请求的有效性，以尽量减小提交的信息范围。

除非法律禁止我们通知用户，否则我们通常会向用户通知政府的信息请求，包括收到的请求的副本。 要求不通知用户的请求必须包含对紧急情况或通知的潜在不利结果的说明。

 

更高的透明度

• 透明度报告：Zoom 于 2020 年 12 月发布了首份关于接收自美国和国际当局的请求数量的报告（政府请求透明度报告）。 我们的目标是使每份透明度报告都能在前一份的基础上有所改进。 最新的透明度报告可在此处获取。 其他透明度报告将在 Zoom Trust Center 中提供。
• 产品内通知：Zoom 不断更新，以便将特定于功能的隐私通知集成到 Zoom 体验中，帮助用户在上下文中了解谁能够查看和共享他们在 Zoom 上共享的内容和信息。 例如，如果用户想知道谁能看到他们通过 Zoom 聊天功能发送的消息，他们可以转至“谁能看到您的消息？”，查看谁能访问他们发送给每个人的消息，以及他们发送的私有消息。

 

Zoom 在设计其服务时将 GDPR 要求放在首位

Zoom 致力于尽一切努力构建符合 GDPR 要求的产品功能，并促进对通过我们的服务处理的个人数据的保护。 有关数据实践的更多信息，请参阅我们的隐私声明，如有任何特定于 GDPR 的问题，也可以发送电子邮件至 privacy@zoom.us。