미국 주법 개인정보 보호 부록

본 미국 주법 개인정보 보호 부록("부록")은 마스터 구독 계약의 약관, 서비스약관 또는 리셀러 고객 서비스약관(해당되는 경우 "계약")을 보완하며, 특정 미국 주법과 관련된 특정 데이터 개인정보 보호 권리 및 의무를 제시합니다. 대문자로 표시되었지만 여기에 정의되지 않은 용어는 계약에 명시된 의미를 갖습니다.

섹션 A – 일반 조항. 본 부록 섹션 A는 고객이 기업 또는 컨트롤러이며 Zoom이 CCPA 또는 기타 적용 가능한 주 데이터 보호법에 의거하여 고객의 개인정보를 처리하거나 처리하고 있는 경우 Zoom의 서비스 제공 및 고객의 서비스 사용에 적용됩니다.

1. 정의. 본 부록 전반에 걸쳐 사용된 "고객"이란 Zoom 서비스에 가입한 기업 또는 컨트롤러를 의미합니다. 본 섹션 A에 대문자로 표시되어 있지만 정의되지 않은 용어는 아래 섹션 B(1)와 C(1)에 명시된 의미를 갖습니다.
2. 감사 및 평가.
   1. Zoom은 ISO 27001 및 SOC 2 Type II 프레임워크를 증명하기 위해 다음과 같이 제3자 감사를 수행합니다.
      1. Zoom은 매년 SOC-2 감사를 통해 보안, 가용성 및 개인정보 보호 기준에 대한 감사를 진행할 예정입니다.
      2. 감사는 적용되는 관리 표준 또는 프레임워크에 대한 규정 또는 인가 본문의 표준 및 규칙에 따라 진행됩니다.
      3. 감사는 Zoom의 선택에 따라 자격을 갖춘 독립적인 제3자 보안 감사인이 수행하며, Zoom에서 그 비용을 부담합니다.
      4. 각 감사가 끝나면 그 결과 고객에게 보여지는 감사 보고서("Zoom 감사 보고서")가 작성되며, Zoom은 요청에 따라 이를 연 단위로 고객에게 공개합니다. Zoom 감사 보고서는 Zoom의 기밀 정보입니다.
3. 정보 수신의 제한. 본 부록의 어떤 내용도 Zoom이 (a) Zoom의 다른 고객이나 타사의 데이터나 정보, (b) 내부 회계 또는 재무 정보, (c) Zoom의 거래 기밀 또는 (d) Zoom의 합리적 의견에 따라 (i) Zoom 네트워크, 시스템 또는 프레미스의 보안을 타협하게 만들거나 (ii) Zoom이 어떤 타사에 대한 당사의 보안 또는 개인정보 보호 의무를 위반하게 만들거나 (iii) 본 부록에 명시된 이유가 아닌 다른 이유로 요구되는 어떤 정보도 공개하도록 요구하지 않습니다. Zoom은 고객에게 Zoom 감사 보고서를 제공하기 전 합리적인 Zoom(또는 Zoom의 제3자 감사인 또는 평가자) 사용 약관에 대해 고객의 동의를 요구할 수 있습니다.
4. 데이터의 삭제. Zoom은 (a) 고객에게 적용되는 주 데이터 보호법의 요구 사항과 고객의 지시에 따라 서비스 제공이 종료되는 시점에 모든 개인 데이터를 삭제 또는 고객에게 반환하거나 (b) CCPA의 요구 사항에 따라 고객과 Zoom 간의 관계가 종료되거나 만료된 시점에 개인 정보를 유지, 사용 또는 공개하지 않습니다. 본 섹션 A(4)(데이터의 삭제)의 어떤 내용도 Zoom이 (i) 적용되는 법에 의거하여 유지해야 하는 데이터를 삭제 또는 반환하거나 (ii) 개인 데이터를 기술적으로 반환할 수 없거나 반환으로 인해 Zoom에 상당한 부담, 비용 또는 이 모두가 발생할 수 있는 한 개인 데이터를 파기하는 대신 이를 반환하도록 요구하지 않습니다.

섹션 B – 캘리포니아.  본 부록 섹션 B는 고객이 기업이며 Zoom이 CCPA에 의거하여 고객을 대신해 개인 정보를 처리하는 경우 Zoom의 서비스 제공 및 고객의 서비스 사용에 적용됩니다.

1. 정의. 본 부록 섹션 B에 사용된 "CCPA"는 2018년 캘리포니아 소비자 개인정보보호법, 2020년 캘리포니아 개인정보 보호 권리에 따른 개정법과 그에 따라 공포된 모든 규정을 의미하고, (b) "기업", "비즈니스 목적", "상업적 목적", "소비자", "처리", "판매", "서비스 공급자" 및 "공유"는 CCPA에 명시된 각각의 의미를 가지며, (c) "개인 정보"는 계약에 따라 Zoom이 기업으로서의 역할에 맞춰 고객에게 서비스를 제공한 결과로 Zoom에서 개인 정보를 수집, 액세스, 보유, 수신, 사용, 공개 또는 달리 처리한 경우에 한해 CCPA에 정의된 "개인 정보"를 의미합니다.
2. 승인 및 의무. Zoom은 (a) 주문 양식에 설명되어 있는 제한적인 특정 서비스 제공 목적과 계약에 설명되어 있는 목적에 한해 고객에 의해 개인 정보가 공개되는 것을 승인하고, (b) CCPA에 의거하여 서비스 공급자에게 적용되는 의무를 준수하고 기업에서 제공해야 하는 것과 동일한 개인정보 보호를 포함하여 CCPA의 요구 사항과 동일한 수준의 개인정보 보호를 제공하며, (c) Zoom의 개인 정보 사용이 CCPA에 의거한 고객의 의무와 일관성을 갖도록 하기 위해 고객이 여기 섹션 A(2)와 일관된 합리적이고 적절한 절차를 수행할 수 있다는 데 동의하고, (d) Zoom에서 더 이상 CCPA에 의거한 의무를 충족할 수 없다는 결정을 내리게 되는 경우 이를 즉시 고객에게 알리며, (e) 고객이 적용되는 규정에 따라 승인되지 않은 개인 정보 사용을 중단하고 해결하기 위해 고지에 따라 Zoom이 유효한 삭제 요청의 대상인 개인 정보를 더 이상 보유하거나 사용하지 않는다는 것을 입증하는 합리적인 문서를 Zoom에 요청함으로써 합리적이고 적절한 절차를 수행할 수 있다는 데 동의합니다.
3. 제한 사항. Zoom은 (a) 개인 정보를 판매 또는 공유하거나, (b) 위의 섹션 B(2)(a)에 명시된 목적 외 다른 상업적 목적이나 다른 비즈니스 서비스 제공을 위해 개인 정보를 보유, 사용 또는 공개하는 일 등을 CCPA에서 달리 허용하지 않는 한 이러한 목적 외 다른 목적으로 개인 정보를 보유, 사용 또는 공개하거나, (c) CCPA에서 허용하는 경우를 제외하고 Zoom과 고객 간의 직접적인 비즈니스 관계 외에서 개인 정보를 보유, 사용 또는 공개하거나, (d) CCPA에 의거하여 서비스 공급자가 허용하는 경우를 제외하고 계약에 의거하여 받은 개인 정보를 다른 대상으로부터 받은 개인 정보 또는 해당 개인 정보와 관련된 소비자와 Zoom과의 자체적인 상호 작용에 결합하지 않습니다. 이에 Zoom은 본 부록에 따른 의무를 이해하며 이를 준수할 것을 보증합니다.
4. 감사, 검토 및 평가. Zoom에서 요구하는 합리적인 요구 사항 및 서면 계약의 대상이며 CCPA를 준수해야 하는 고객은 고객이 단독으로 비용을 지불하여 위의 섹션 A(2)(감사 및 평가)에 따라 12개월에 한 번 이하로 Zoom에 대한 감사, 검토 또는 평가를 진행할 수 있습니다.
5. 소비자 요청. 고객은 소비자 요청을 받고 확인한 후 즉시 이를 Zoom에 알리고 필요한 모든 정보를 Zoom에 제공해야 하며, Zoom은 CCPA에 의거하여 자신의 권리를 행사하려고 하거나 자신과 관련된 개인 정보에 대한 정보를 받기 위한 개인의 요청(개인 정보에 대한 액세스, 수정, 삭제, 개인 정보의 판매 또는 공유를 거부할 권리를 포함하며 이에 한정되지 않음)을 고객이 이행하는 데 도움을 줄 수 있도록 이에 대해 즉시 조치를 취하고 소비자의 개인 정보와 관련하여 고객이 합리적으로 요청할 수 있는 정보를 제공해야 합니다. Zoom에서 고객의 소비자로부터 직접 요청을 받을 경우 Zoom은 (i) 소비자에게 이러한 내용을 고객에게 직접 요청해 보도록 안내하거나 (ii) 고객에게 연락하여 고객이 소비자를 직접 응대할 것을 요청할 수 있습니다.

섹션 C – 버지니아, 콜로라도, 유타 및 기타 주. 본 부록 섹션 C는 고객이 개인 데이터의 컨트롤러이며 Zoom이 적용 가능한 주 데이터 보호법에 의거하여 고객의 개인 데이터를 처리하는 경우 Zoom의 서비스 제공 및 고객의 서비스 사용에 적용됩니다.

1. 정의. 본 부록 섹션 C에 사용된 (a) "적용 가능한 주 데이터 보호법"은 (i) 2021년 콜로라도 개인정보보호법, 2021년 버지니아 소비자 개인정보보호법 또는 2022년 유타 소비자 개인정보보호법 개정법 또는 (ii) 고객이 컨트롤러이고 Zoom이 프로세서이며 본 부록의 사용 약관이 이러한 주법의 요구 사항을 충족하는 경우 개인 데이터를 보호할 목적으로 제정된 적용 가능한 모든 미국 주법을 의미하고, (b) "컨트롤러", "개인 데이터", "처리" 및 "프로세서"는 적용 가능한 주 데이터 보호법에 명시된 각각의 의미를 가지며, (c) "지침"은 아래에 명시된 의미를 가집니다.
2. 개인 데이터 처리: 역할, 범위 및 책임.
   1. 각 당사자는 다음을 인정하며 이에 동의합니다. 고객은 고객 개인 데이터의 컨트롤러입니다. Zoom은 고객 개인 데이터의 프로세서입니다.
   2. 필요하고 적절한 경우에 한해 컨트롤러로서 고객은 Zoom에 고객을 대신하는 프로세서로서 다음과 같은 활동을 수행하라는 지시를 내립니다(총칭하여 "지침").
      1. 고객의 Zoom 사용 설정, 관리자 컨트롤, 기타 서비스 기능을 포함하여 고객 및 해당 사용자가 라이선스를 받고 구성하고 사용한 대로 서비스를 제공하고 업데이트합니다.
      2. 서비스를 보호하고 실시간 모니터링합니다.
      3. 문제, 버그 및 오류를 해결합니다.
      4. 지식이 익명화된 경우에 한해 모든 Zoom 고객에게 이익을 주기 위해 개인 지원 요청으로부터 얻은 이러한 지식을 적용하는 것을 포함하여 고객 요청된 지원을 제공합니다.
      5. 고객이 제공하고 Zoom이 지침으로 여길 수 있다고 인정하는 기타 문서화된 지침 및 계약(여기 본 부록 및 첨부 A)에 명시된 대로 고객 개인 데이터를 처리합니다.
   3. Zoom이 고객 개인 데이터의 프로세서 역할을 수행하는 한 Zoom은 고객의 지침에 따라서만 고객 개인 데이터를 처리해야 합니다. 고객은 Zoom에 대한 지침이 고객 개인 데이터에 적용 가능한 모든 법률, 규칙 및 규정을 준수하도록 해야 하며, 고객 지침에 따른 고객 개인 데이터 처리로 인해 Zoom이 적용 가능한 주 데이터 보호법을 위반할 위험이 발생하지 않도록 해야 합니다. 고객은 (i) 고객에 의해 또는 고객을 대신하여 Zoom에 제공된 고객 개인 데이터의 정확성, 품질 및 적법성, (ii) 고객이 이러한 고객 개인 데이터를 취득한 방법 및 (iii) 이러한 고객 개인 데이터 처리와 관련하여 고객이 Zoom에 제공한 지침에 대한 전적인 책임을 집니다. 고객은 계약 또는 본 부록을 위반하면서 어떠한 고객 개인 데이터도 Zoom에 제공하거나 Zoom이 이용할 수 있도록 만들어서는 안 됩니다.
   4. 고객은 제한된 환경(예: 아동 성학대 자료를 감지 및 보고하려는 경우, 기타 적용 가능한 법률을 준수하려는 경우, Zoom의 허용 가능한 사용 지침의 준수 여부를 확인하려는 경우)에 한하여 Zoom이 개인 데이터를 검사하고 보고하는 것을 허가합니다.
3. 승인된 개인. Zoom은 고객 개인 데이터를 처리하도록 승인된 모든 개인이 고객 개인 데이터의 기밀성을 알고 자신이 데이터와 관련된 기밀 유지 의무의 대상이라는 것을 알도록 해야 합니다.
4. 하도급업체 및 서브프로세서. Zoom이 프로세서인 경우 이에 따라 일반적으로 고객은 Zoom이 본 섹션 C(4)에 따라 하도급업체 및 서브프로세서와 관여하는 것을 승인합니다.
   1. 고객은 Zoom이 고객의 개인 데이터를 처리하기 위해 https://explore.zoom.us/ko/subprocessors/에 있는 공급업체를 사용하는 것을 승인합니다.
   2. Zoom은 공급업체를 제거, 교체하거나 추가 공급업체를 지정할 수 있습니다. 고객이 https://explore.zoom.us/ko/subprocessors/에서 업데이트에 등록한 경우 Zoom은 이러한 공급업체의 참여에 대한 어떤 변경 사항도 고객에게 알려야 합니다. 적용 가능한 주 데이터 보호법에서 요구하는 경우 Zoom은 여기 섹션 C(4)(d) 및 C(4)(e)에 따라 고객이 해당 참여에 이의를 제기할 수 있는 기회도 제공해야 합니다.
   3. 서비스의 가용성 또는 보안 관련 긴급 상황이 발생한 경우 Zoom은 하도급업체의 제거, 교체 또는 지정에 대해 고객에게 사전 알림을 제공하지 않아도 됩니다. 그러나 하도급업체 변경 이후 칠(7)일 이내(영업일 기준)에는 알림을 제공해야 합니다.
   4. 어떠한 경우에도 고객은 Zoom으로부터 앞서 언급한 알림을 받은 이후 십오(15)일 이내(영업일 기준)에 서면으로 이러한 하도급업체 참여에 대한 이의 제기를 할 수 있습니다.
   5. 고객이 새로운 하도급업체의 참여에 이의를 제기한 경우 Zoom은 다음 방법 중 하나를 통해 이의 제기를 해결할 수 있는 권리가 있습니다(Zoom의 단독 재량에 따라 선택).
      1. Zoom은 고객 개인 데이터와 관련하여 해당 하도급업체를 사용하려는 계획을 취소할 수 있습니다.
      2. Zoom은 고객이 이의를 제기하며 요청한 시정 조치를 취하고(고객의 이의 제기가 사라짐) 고객 개인 데이터와 관련하여 해당 하도급업체를 사용하는 일을 계속 진행할 수 있습니다.
      3. Zoom이 고객 개인 데이터와 관련하여 이러한 하도급업체 사용과 관련된 서비스의 특정 측면 제공을 중단할 수도 있고 고객이 이를 임시로 또는 영구적으로 사용하지 않는 데 동의할 수도 있습니다. Zoom은 가능한 경우 이러한 참여에 대한 상업적으로 합리적인 대안을 서면으로 설명하여 고객에게 제공해야 합니다. 여기에는 서비스 수정이 포함되나 이에 국한되지는 않습니다. Zoom이 단독 재량에 따라 어떤 대안을 제공할 수 없는 경우, 또는 고객이 제공된 대안에 동의하지 않는 경우 Zoom과 고객은 육십(60)일 전 사전 고지를 통해 본 부록을 포함한 계약을 종료할 수 있습니다. 종료가 되더라도 계약에 따라 종료 발효일까지 제공된 서비스에 대해 고객이 Zoom에 지불해야 하는 요금은 고객이 지불해야 합니다.
      4. Zoom의 고지 배포 후 15일 내(영업일 기준) 새 하도급업체 참여에 대해 고객이 이의 제기를 하지 않는 경우 해당하는 새 하도급업체는 수락된 것으로 간주됩니다.
   6. Zoom은 서면 계약에 따라서만 고객 개인 데이터를 처리하는 하도급업체와 관계를 지속해야 하며, 이러한 개인 데이터와 관련하여 하도급 계약을 맺은 Zoom의 의무를 모두 이행할 것을 하도급업체에 요구해야 합니다. 해당 하도급업체의 어떤 행위 또는 누락으로 인해 해당 업체가 Zoom이 본 부록에 따라 이행하고자 하는 수준의 데이터 보호 의무를 수행하지 못한 경우에도 Zoom은 계속해서 고객에 대한 책임을 집니다.
5. 정보 보안. 처리 상황을 고려하여 Zoom은 본 부록 및 계약에 달리 명시된 내용에 따라 위험에 적절한 보안 수준을 보장할 수 있도록 고객 개인 데이터와 관련하여 적절한 기술적 및 조직적 조치를 유지해야 합니다.
6. 규정 준수 정보. 고객의 합리적인 요청이 있을 경우 Zoom은 Zoom이 본 부록에 명시된 Zoom의 의무를 준수하고 있음을 보여주기 위해 필요한 Zoom 소유의 합리적인 정보를 적용 가능한 법률에 따라 고객이 확인할 수 있도록 해야 합니다.