Zoom과 유럽 연합의 일반 데이터 보호 규정(GDPR)

업데이트: 2022년 6월 1일

Zoom의 미션은 매끄러운 비디오 커뮤니케이션을 통해 행복을 전달하는 것으로, 이러한 행복에는 개인정보 보호와 보안이 필요합니다. 이에 따라 Zoom은 유럽경제지역(이하 "EEA")의 데이터 개인정보 보호 의무, 특히 일반 데이터 보호 규정(이하 "GDPR")과 같은 높은 수준의 방침에 따라 고객 커뮤니케이션을 보호하기 위해 최선을 다합니다.

Zoom은 모두에게 이로운 더욱 강력한 데이터 보호 기반을 구축할 수 있는 기회인 GDPR을 환영합니다. Zoom은 데이터 프로세서인 Zoom이 GDPR 규정 준수 의무에 부합하는 방식으로 기술적, 조직적 조치를 이행할 수 있도록 데이터 컨트롤러인 고객이 이를 보장해야 함을 인정합니다. Zoom은 고객이 데이터 컨트롤러로서의 역할을 이행할 수 있도록 지원합니다. 

다음은 Zoom이 데이터 보호 관행 정립을 위해 노력하고 있음을 보여주는 주요 사실입니다. 

 

모든 Zoom 고객을 대상으로 한 계약상의 GDPR 약정

GDPR에 따라 데이터 컨트롤러(Zoom 서비스를 사용하는 조직 및 개발자)는 데이터 컨트롤러를 대신해 개인 데이터를 처리하는 데이터 프로세서(Zoom 등)만을 사용해 적절한 보장을 제공함으로써 GDPR의 구체적인 요건을 충족해야 합니다. Zoom은 데이터 처리 부록을 Zoom 서비스약관에 별첨하여, 모든 고객에게 이러한 약속을 제공합니다. 

GDPR과 관련된 Zoom의 계약상 약속:

  • Zoom은 개인 데이터를 투명하게 운영하고 서비스 제공 관련 계약 또는 고객이 달리 명시한 바에 따라서만 개인 데이터를 사용합니다.
  • Zoom은 Zoom에서 처리하는 개인 데이터를 보호하기 위해 적절한 기술적 및 조직적 보안 조치를 마련합니다. 
  • Zoom은 고객이 데이터 주체로서 당사 서비스를 사용해 처리되는 개인 데이터와 관련된 권리를 이행할 때 의무를 다할 수 있도록 지원합니다.

 

데이터 국외 전송 지원

2020년 7월, 유럽 사법 재판소(이하 "CJEU")는 C-311/18 재판(일반적으로 "슈렘스 II 판결"로 명명됨)에서 EEA 외부로 데이터를 전송하는 것의 타당성과 관련하여 판결을 내렸습니다. 슈렘스 II 판결은 데이터 주체인 오스트리아인 막시밀리안 슈렘스에 제기한 소송에서 기인하며 주 내용은 미국으로의 개인 데이터 전송과 미국 정부 기관에서 개인 데이터에 액세스할 가능성에 관한 것입니다.

슈렘스 II 판결을 내리면서 CJEU는 EU-미국 프라이버시 실드 체계가 더 이상 EEA에서 미국으로의 데이터 전송에 적합한 법적 수단을 제공하지 않음을 분명히 했습니다. 

하지만 중요한 점은 CJEU가 Zoom의 국제 전송의 근간이 된 유럽연합 집행위원회 표준 계약 조항(이하 "SSC")이 EEA에서 EEA 외 국가로의 개인 데이터 전송을 위한 합법적 매커니즘임을 인정했다는 것입니다. 

이 판결에 따라 유럽연합 진행위원회는 새로운 SCC를 2021년 6월에 발표했습니다. Zoom은 유럽연합 집행위원회에서 정한 전환 기간(예: 신규 계약의 경우 2021년 9월 27일까지, 기존 계약의 경우 2022년 12월 27일까지) 이후 해당되는 계약에 새로운 SCC를 통합했습니다.  더 자세한 정보는 새로운 SCC 관련 고객 FAQ를 참조하세요. 

 

새로운 요건, "데이터 전송 알기"

슈렘스 II 판결로 새로운 요건 역시 도입되었습니다. 적절한 보호 수준을 보장하지 않는 EEA 외 국가로 개인 데이터를 전송하기 전, 데이터 전송자는 SSC가 EU 데이터 보호 규정과 "사실상 동등한 수준으로" 데이터 수신 국가에서 개인 데이터를 보호하도록 규정하는지 평가해야 합니다.

즉, SCC에 전적으로 의존하기 전, 이제 데이터 전송자와 데이터 수신자는 데이터를 수신하는 국가의 법률과 관행이 달리 제공되는 보호 수준을 간과하는지 평가해야 합니다. 고객이 이러한 평가를 수행할 수 있도록 Zoom은 데이터 전송 영향 평가 양식("DTIA")을 준비했습니다.

개인 정보가 EEA 또는 영국에서 미국으로 전송될 때 Zoom에서 거치는 단계와 추가적인 안전 장치에 대해 더 자세히 알고 싶으면 "FAQ: 데이터 국외 전송"을 참조하세요.

 

유럽에서 전송되는 데이터를 보호하기 위한 강력하고 구체적인 조치 

Zoom은 높은 수준의 보안을 유지하기 위해 최선을 다하고 있습니다.

  • Zoom은 전송 및 저장 데이터를 보호하기 위해 다양한 암호화 기술을 활용합니다.
  • Zoom은 기밀을 유지하고 처리 시스템 및 서비스의 무결성, 가용성, 복원력을 유지하기 위해 보안 조치를 취합니다.
  • Zoom은 기계적 또는 기술적 사고가 발생할 경우, 처리 시스템 및 서비스에 대한 액세스와 가용성을 즉각적으로 복원할 수 있도록 조치를 취합니다.
  • Zoom은 처리하는 데이터의 보안을 유지할 수 있을 정도로 기술 및 조직적 조치가 효율적인지 정기적으로 검사 및 평가, 측정하기 위한 절차를 도입합니다.

Zoom 플랫폼에서 전송되고 저장되는 커뮤니케이션 보안을 활성화하기 위해 Zoom에서 사용하는 보안 조치는 구체적으로 다음을 포함합니다.

  • Zoom Meetings를 위한 엔드-투-엔드 암호화 옵션: 사용자는 Zoom Meetings에 엔드-투-엔드 암호화를 활성화할 수 있습니다. 이에 따라 Zoom을 포함한 제3자가 미팅의 비공개 키에 액세스할 수 없으므로 높은 수준의 보안을 제공합니다. 
  • 기본 암호화: 지정된 장치와 Zoom 간 연결은 기본적으로 TLS(전송 계층 보안) 1.2 이상과 고급 암호화 표준 256비트 AES GCM 암호화, SRTP(실시간 전송 프로토콜)를 혼합 사용해 암호화됩니다. 사용되는 정확한 방법은 사용자가 Zoom Client나 웹 브라우저, 타사 장치 또는 서비스, Zoom Phone 제품을 활용하는지에 따라 다릅니다. 더 자세한 정보는 암호화 백서를 참조하세요.
  • 초대하지 않은 미팅 참가자 차단: Zoom에서는 초대하지 않은 사람이 미팅에 참가하는 것을 차단하기 위해 다음과 같이 다양한 안전 및 차단 장치를 도입했습니다.
    • 미팅에 부여된 11자리 고유 ID
    • 복잡한 암호
    • 사용자의 도메인 이름 또는 다른 지정된 도메인 이름을 통해 참가자가 자동 입장할 수 있는 대기실 기능
    • 미팅 참가를 전면 차단할 수 있는 미팅 잠금 기능
    • 참가자 제거 기능
    • 등록된 사용자 또는 특정 이메일 도메인을 통한 입장만 허용하는 인증 프로필
    • 미팅 노출 위험 알림 도구는 공개 SNS 사이트에 업로드된 포스팅과 다른 온라인 자료를 스캔해 Zoom 미팅 링크가 포함되어 있는지 확인할 수 있습니다. 
  • 개별 미팅 초대: 호스트는 이메일 또는 채팅, 문자를 이용해 개별적으로 참가자를 초대할 수 있습니다. 이 기능으로 미팅 액세스 정보 배포를 보다 효과적으로 제어할 수 있습니다. 호스트는 특정 이메일 도메인을 가진 사람만 참가할 수 있는 미팅을 생성할 수도 있습니다. 
  • 미팅 내 보안: 미팅이 진행되는 동안 Zoom은 Zoom 미팅 참가자 개개인에게 시간 리치 미디어 콘텐츠를 안전하게 전달합니다. 미팅 중 참석자와 공유하는 모든 콘텐츠는 원본 데이터를 구현하는 것일 뿐입니다. 이러한 콘텐츠는 보안 실행을 통해 공유될 수 있도록 암호화 및 최적화됩니다.
  • 호스트 컨트롤: 미팅 호스트 컨트롤을 통해 참가자의 콘텐츠 공유 및 채팅, 이름 재설정을 활성화하거나 비활성화할 수 있습니다.
  • 신고: 사용자 신고 기능을 통해 미팅 호스트는 문제 행동에 경고를 줄 수 있습니다.
  • 제품 내 보안 컨트롤: 기본 인터페이스의 전용 보안 아이콘을 통해 보안 컨트롤에 액세스할 수 있습니다.
  • 사용자 역할에 따른 보안: 다음은 미팅 호스트가 활용할 수 있는 미팅 전 보안 조치입니다.
    • 표준 사용자 이름 및 암호 또는 SAML 싱글 사인온으로 로그인 안전 확보
    • 암호 설정을 통해 보안 미팅 시작
    • 암호 설정을 통해 보안 미팅 예약
  • 자동 녹음 전화 차단: 사용자는 모든 플랫폼에서 속도 제한 및 reCAPTCHA(사람 개입 필요)를 활성화해 자동 녹음 전화를 차단할 수 있습니다.

 

전송 중 데이터 및 미사용 데이터를 위한 옵션

Zoom은 고객이 전송 중 데이터와 미사용 데이터를 처리할 데이터 센터를 직접 선택하길 바랄 수 있다는 것을 이해합니다. 

전송 중 데이터, 또는 이동 데이터는 인터넷이나 개인 네트워크를 통해 한 위치에서 다른 위치로 이동하는 데이터입니다. 전송 중 데이터의 경우, 유료 계정의 계정 소유자와 관리자는 전송 중 실시간 미팅 및 웹 세미나 데이터를 호스팅하기 위해 특정 데이터 센터 지역을 거부할 수 있습니다(이 도움말 문서 참조). Zoom은 계정 관리 대시보드를 통해 데이터 전송 경로를 투명하게 제공합니다. 

미사용 데이터는 클라우드 데이터 센터에 저장된 데이터를 비롯해 장치에서 장치, 또는 네트워크에서 네트워크로의 활성 이동 상태에 있지 않은 데이터입니다. 일부 미사용 고객 콘텐츠의 경우, 고객이 데이터 저장 장소를 임의로 지정할 수 있습니다. 

"고객 콘텐츠"란 고객이 처리를 위해 Zoom 서비스에 포함하고 보관 또는 추가 처리를 위해 Zoom 클라우드 서버에 업로드한 텍스트, 사운도, 비디오 또는 이미지 파일을 포함한 모든 데이터를 의미합니다. 고객 콘텐츠의 예로는 비디오 녹화, 클라우드 녹화, 전사, 미팅 중 채팅, 영구 채팅, 미팅 중 교환한 파일이 있습니다.

고객이 Zoom 클라우드 서비스에 고객 콘텐츠를 업로드하면 이는 Amazon Web Services(AWS)의 글로벌 네트워크에서 호스팅됩니다. 조직에서 커뮤니케이션 콘텐츠 저장 기능을 사용하면 Zoom 고객마다 관할 데이터 센터 호스팅 위치는 다를 수 있습니다. 이 저장 위치 기능을 이용하면 특정한 저장 데이터가 저장될 지역을 글로벌 팀이 선택할 수 있습니다. 다만 특정 카테고리 내 데이터는 여전히 미국에서 처리됩니다. 

 

정부의 정보 요청에 대응하기 위해 마련된 엄격한 프로토콜 

Zoom은 고객과 사용자의 개인정보 보호에 힘쓰고 있으며 정부가 합리적이고 합법적으로 요청할 때만 사내 정부 요청 가이드와 관련 법률에 의거해 사용자 데이터를 제공합니다. 

전 세계 지역에서 다음이 적용됩니다.

  • 정부 요청은 해당 법률과 규정에 따라 공식 채널을 통해 제기되어야 합니다(서명된 공문서 또는 정부 기관의 공식 이메일 주소에서 전송된 이메일 요청을 포함).
  • 요청 내용은 광범위하지 않고 명확해야 하며 유효한 법적 근거가 있어야 합니다. Zoom은 이러한 요건을 충족하지 못한 요청을 거부하거나 요청에 대한 이의를 제기할 수 있습니다.
  • Zoom은 전 세계와의 성공적인 협업을 촉진하기 위해 당사의 원칙과 관심사에 기반하여 사용자 정보에 대한 특정 정부 요청에 추가적인 정밀 조사를 진행합니다.

요청 내용이 너무 모호하면 Zoom은 제출하는 정보의 범위를 최소화하기 위해 요청의 유효성에 대해 이의를 제기할 것입니다.

법적으로 금지되지 않는 이상 Zoom은 일반적으로 정부 요청의 사본 등을 통해 사용자에서 정부 요청을 받았음을 알립니다. 사용자 알림에 대한 예외 요청에는 급박한 사정에 대한 설명 또는 알림으로 인해 일어날 수 있는 부정적인 결과가 포함되어야 합니다.

 

투명성 확대 

  • 투명성 보고서: Zoom은 2020년 12월에 미국과 국제 당국으로부터 받은 다양한 요청에 대한 보고서(정부 요청 투명성 보고서)를 처음 발표했습니다. Zoom의 목표는 이전 버전보다 더 개선된 투명성 보고서를 만드는 것입니다. 가장 최근 발표된  투명성 보고서는 여기서 확인할 수 있습니다. 추가 투명성 보고서는 Zoom Trust Center에 개재될 예정입니다. 
  • 제품 내 알림: Zoom은 지속적인 업데이트를 통해 Zoom 환경에 기능별 개인정보 보호 알림을 통합함으로써 사용자가 상황마다 Zoom에서 공유하는 콘텐츠와 정보를 확인하고 공유할 수 있는 대상을 이해할 수 있도록 돕습니다. 예를 들어, 사용자가 Zoom 채팅 기능을 통해 보낸 메시지를 누가 볼 수 있는지 알고 싶다면 "누가 메시지를 볼 수 있나요?"로 이동하여 모두에게 보낸 메시지 뿐만 아니라 개인적으로 보낸 메시지에 액세스할 수 있는 사람을 확인할 수 있습니다.

 

Zoom은 서비스 설계에서 GDPR 요건을 그 중심에 둡니다. 

Zoom에서는 GDPR 요건에 부합하고 당사 서비스를 통해 처리되는 개인 데이터의 보호를 촉진할 수 있는 제품 기능을 빌드하는 데 전념하고 있습니다. 데이터 관행에 대한 자세한 내용은 개인정보 처리방침을 참조하세요. GDPR에 대한 질문이 있으면 privacy@zoom.us로 이메일을 보내주세요.