Zoom 與歐盟通用資料保護條例 (GDPR)

更新日期:2023 年 8 月 18 日

Zoom 的使命是藉由無摩擦的視訊通訊提供快樂的體驗,我們也明白這項快樂需要隱私權與安全性。 我們努力保護和保障客戶的通訊到最高層級,例如歐洲經濟區 (「EEA」) 的資料隱私權義務,主要是指通用資料保護條例 (「GDPR」)。

Zoom 贊同 GDPR,視其為建立強化資料保護基礎以造福所有人的絕佳機會。 Zoom 認知到我們的客戶 (資料控制者) 需要確保 Zoom (資料處理商) 以符合 GDPR 合規性義務的方式實施技術及組織措施。 Zoom 的目標便是協助和支援我們的客戶擔任資料控制者。

以下關鍵事實反映了 Zoom 實現資料保護的承諾。

 

給所有 Zoom 客戶的 GDPR 合約承諾

GDPR 要求資料控制者 (例如使用 Zoom 服務的組織及開發商) 只能使用代表資料控制者處理個人資料並附有遵守 GDPR 特定要求的適當保障的資料處理商 (例如 Zoom)。 透過將 Zoom 的資料處理附錄納入 Zoom 服務條款,Zoom 向我們的所有客戶承諾會提供這些服務

Zoom 與 GDPR 相關的合約承諾:

  • Zoom 努力實現透明化,並致力於只將個人資料用於協議中所提供的客戶服務,或依客戶指示行動。
  • Zoom 透過保持適當的技術與組織安全性措施,來保護我們處理的個人資料。
  • 當資料主體行使權利,使用我們的服務所處理的個人資料 (例如請求資訊、存取、修改及刪除) 時,Zoom 將協助客戶遵守其義務。

 

跨國資料轉移支援

2020 年 7 月,歐盟法院 (「CJEU」) 就有關在歐洲經濟區以外資料轉移有效性的 C-311/18 案件 (通稱為Schrems II判決) 作出裁決。 Schrems II 案判決源自一位奧地利資料主體 Maximillian Schrems 的投訴,該投訴乃關於將其個人資料轉移給美國且使美國政府機構獲取其資料的可能性。

在 Schrems II 案判決中,歐盟法院認為歐美隱私保護盾框架不再是從歐洲經濟區轉移個人資料至美國的合法方式。

但重要的是,歐盟法院還認定,作為 Zoom 跨國轉移基礎的歐盟委員會標準合約條款 (或 SCC) 仍是將個人資料從歐洲經濟區轉移到非歐洲經濟區國家的合法機制。

根據這項判決,歐盟委員會於 2021 年 6 月公佈了新版 SCC。 Zoom 在歐盟委員會規定的過渡期 (即在 2021 年 9 月 27 日前適用新合約,在 2022 年 12 月 27 日前適用既存合約) 結束後,已將新版的 SCC 納入適用的協議之中。 請參閱我們關於新版 SCC 的客戶常見問題解答以瞭解更多資訊

 

新要求:「瞭解您的轉移」

Schrems II 案判決增訂一項新要求。 在將個人資料轉移給遭認定為未提供適當級別的資料保護的歐洲經濟區以外的國家前,資料輸出者必須評估 SCC 是否充分確保個人資料在接收國得到「基本上相當於」歐盟資料保護規則程度的保護。

換言之,在仰賴 SCC 以前,資料輸出者及資料輸入者應評估該資料接收國的法律與實踐是否會有損於 SCC 所提供的保護層級。 為支援我們的客戶進行評估,我們為以下產品備有資料轉移影響評估:

Zoom Meetings/Webinars/Team Chat 資料轉移影響評估
Zoom Phone 資料轉移影響評估
Zoom Contact Center 資料轉移影響評估
Zoom 虛擬代理人資料轉移影響評估

 

確保歐洲資料保護的強力具體措施

Zoom 致力於保持高度安全性:

  • Zoom 藉由一系列的加密技術來保護傳輸中及靜止資料。
  • Zoom 利用安全性措施來支援我們處理系統及服務的機密性、完整性、可用性及韌性。
  • 在遇到物理或技術事故時,Zoom 會即刻採取措施以恢復處理系統及服務的可用性及存取。
  • Zoom 實施一套經常性測試、評估及評價技術及組織措施有效性的流程,來支援我們處理的個人資料的安全性。

具體而言,Zoom 用以確保在 Zoom 平台上發送及儲存通訊的安全性措施包含:

  • 選擇性會議端對端加密功能:使用者可選擇對 Zoom 會議啟用端對端加密。 如此提供了高度安全性,因為包含 Zoom 在內的第三方均無法取得會議的私有金鑰。
  • 預設加密:給定裝置與 Zoom 之間的連結已預設加密,利用 TLS 1.2+ (傳輸層安全協議)、進階加密標準 256 位元 AES GCM 加密,及 SRTP (安全即時傳輸協定)。 確切使用的方法取決於使用者是否使用 Zoom 用戶端、網路瀏覽器、第三方裝置或服務、或 Zoom Phone 產品。 如需更多資訊,請參閱我們的加密白皮書
  • 防止未授權會議與會者:Zoom 實施許多安全與控制功能以禁止未授權與會者參加會議:
    • 十一碼專屬會議 ID
    • 複雜密碼
    • 等候室 – 具有自動開放您網域或另一選定網域的與會者進入的功能
    • 會議鎖定功能 – 可防止任何人加入會議
    • 移除與會者功能
    • 驗證設定檔 – 僅允許註冊的使用者進入,或限制為僅限特定電子郵件網域進入
    • 風險會議通知器 – 可掃描公共社群媒體上的發文以及其他公共線上資源中的 Zoom 會議連結
  • 選擇性會議邀請:主持人可以透過電子郵件、IM 或 SMS 選擇性邀請與會者。 此功能可以更有效地控制會議存取資訊的發佈。 主持人亦可以建立僅允許來自特定電子郵件網域的成員參加的會議。
  • 會議中的安全:會議期間,Zoom 以安全的方式,向每名 Zoom 會議當中的與會者提供即時、豐富的媒體內容。 所有和會議當中與會者共享的內容,僅為原始資料的呈現。 此內容使用安全執行方式編碼及最佳化,以利共享。
  • 主持人控制項:會議主持人控制項可允許或禁止與會者分享、聊天及重新為自己命名。
  • 檢舉:檢舉使用者功能讓會議主持人可以標記有問題的行為者。
  • 產品內的安全性控制項:安全性控制項以專屬安全性圖示出現在主要介面上。
  • 基於角色的使用者安全性:下列會議安全性功能可供會議主持人使用:
    • 使用標準使用者名稱及密碼的安全登入,或安全宣告標記語言 (SAML) 單一登入
    • 召開需要輸入密碼的安全會議
    • 排定需要輸入密碼的安全會議
  • 預防自動語音通話:使用者可以在所有平台上透過頻率限制預防自動語音通話與 reCAPTCHA (需要人為介入)。

 

資料處理和儲存的選擇

Zoom 明白我們的客戶希望有權選擇資料中心如何處理和儲存特定資料。

傳輸中和處理中的資料:Zoom 透過其主機代管資料中心和公有雲端資料中心 (包括 Amazon Web Services (AWS) 資料中心) 的全球網路路由傳輸中的客戶資料。 Zoom 服務的運作方式是讓進入 Zoom 生態系統的資訊,透過距離傳送或接收資料之使用者最近的資料中心進行路由。

付費帳戶的帳戶擁有者和管理員可在帳戶、群組或使用者層級選擇加入或退出特定 Zoom 資料中心,在舉行會議和網路研討會期間,這些資料中心將用於處理與會者的即時會議和網路研討會視訊、音訊及分享的內容。 支援佈建帳戶區域的國家/地區的資料中心將被鎖定為選擇加入處理。 Zoom 資料中心選擇僅適用於當帳戶主持會議或網路研討會時。 當主持會議或網路研討會的帳戶選擇退出任何資料中心時,全部與會者的即時會議和網路研討會視訊、音訊和分享的內容資料將僅由已選擇加入的 Zoom 資料中心處理。 但是,Zoom 可使用產業標準網路路由協定,在資料中心之間路由流量,同時跨越 Zoom 私有網路連線 (即邊緣路由)。 如需其他詳細資訊,請參閱此說明文章

資料儲存:客戶可為他們的某些客戶內容選擇資料儲存位置。 客戶內容是客戶透過使用 Zoom 服務提供的資訊,包括客戶在會議或網路研討會期間選擇錄製或分享的所有資料,例如雲端錄製、會議逐字稿、聊天逐字稿 (會議中聊天和持續聊天),以及在會議期間或在持續聊天頻道中交換的檔案。

客戶內容預設儲存於美國。 付費帳戶的客戶可為其帳戶的某些客戶內容選擇儲存位置。 只有帳戶持有人、帳戶管理員或擁有客戶帳戶設定檔權限者能夠變更此設定。 如需其他詳細資訊,請參閱此說明文章。 請注意,客戶內容、帳戶資料及診斷資料仍儲存於美國。

 

回應政府請求資訊的嚴格協定

Zoom 致力於保護客戶與使用者的隱私權,而且僅會根據政府要求指南相關法律政策,在政府提出有效且合法的請求時,提供使用者資料給政府。

在所有地理區域:

  • 政府請求必須根據適用的法律和條例並透過官方管道簽發,包括要求經簽署的正式文件,或透過政府實體官方電子郵件傳送的電子郵件所提出的請求。
  • 每個請求都必須明確,不得過於空泛,而且具有有效的法律依據。 我們將拒絕或質疑不符合這些要求的請求。
  • 我們將根據我們對於促進全球成功協作所抱持的原則和關注,針對某些政府對使用者資訊提出的請求進行額外的審查。

若該請求過於模糊不清,Zoom 會質疑該請求的有效性,以減少提交的資訊範圍。

Zoom 通常會通知使用者政府對其資訊的請求,其中包括請求的副本,除非法律禁止我們通知使用者。 對於向使用者通知進行例外處理的請求,必須包括與緊急情況或通知的潛在不利結果有關的描述。

 

提高透明度

  • 資訊透明報告:Zoom 在 2020 年 12 月公佈其第一份資訊透明報告,說明美國及國際機構所提出的請求數量 (政府請求資訊透明報告)。 我們的目標是讓每份資訊透明報告都比前一份更加完善。 我們最新的資訊透明報告可在此取得。 額外的資訊透明報告將可在 Zoom Trust Center 取得。
  • 產品內通知:Zoom 持續更新,以將特定功能的隱私權通知整合進 Zoom 體驗中,幫助使用者了解有誰可以看見和分享他們在 Zoom 上分享的內容和資訊。 例如,當使用者想知道誰可以看見他們在 Zoom 聊天功能中所傳送的訊息時,他們可以在「誰能夠看到您的訊息?」處看見誰可以存取使用者傳送給每個人的訊息和私人訊息。

 

Zoom 將 GDPR 的要求作為優先指導原則以設計其服務

Zoom 致力於盡一切努力建立符合 GDPR 要求的產品功能,並透過我們的服務促進個人資料的保護。 欲瞭解更多關於我們資料實務的資訊,請參閱我們的隱私權聲明,或者若您有任何有關 GDPR 的具體問題,請寄送電子郵件至 privacy@zoom.us