Zoom và Quy định bảo vệ dữ liệu chung (GDPR) của Liên minh châu Âu

Cập nhật: Ngày 1 tháng 6 năm 2022

Sứ mệnh của Zoom là mang đến sự hài lòng cho khách hàng thông qua truyền thông video mượt mà và chúng tôi hiểu rằng sự hài lòng đó đòi hỏi đi kèm quyền riêng tư và bảo mật. Đó là lý do tại sao chúng tôi nỗ lực bảo mật truyền thông của khách hàng ở mức cao nhất, chẳng hạn như thực hiện nghĩa vụ về dữ liệu quyền riêng tư trong Khu vực Kinh tế Châu Âu (EEA) – chủ yếu là Quy định bảo vệ dữ liệu chung ("GDPR").

Zoom ủng hộ GDPR vì đây là một cơ hội giúp chúng tôi xây dựng nền tảng bảo vệ dữ liệu mạnh mẽ hơn vì lợi ích của tất cả mọi người. Chúng tôi hiểu rằng khách hàng (bên kiểm soát dữ liệu) cần đảm bảo Zoom (bên xử lý dữ liệu) sẽ triển khai các biện pháp liên quan đến kỹ thuật và tổ chức phù hợp với những nghĩa vụ tuân thủ GDPR. Zoom luôn sẵn sàng trợ giúp khách hàng với vai trò là bên kiểm soát dữ liệu.

Các yếu tố chính sau đây phản ánh cam kết của Zoom về thực hiện bảo vệ dữ liệu. 

 

Cam kết đảm bảo GDPR theo hợp đồng cho tất cả khách hàng của Zoom

GDPR yêu cầu bên kiểm soát dữ liệu (các tổ chức và nhà phát triển sử dụng dịch vụ của Zoom) chỉ hợp tác với bên xử lý dữ liệu (Zoom), là bên xử lý dữ liệu cá nhân thay mặt cho bên kiểm soát dữ liệu, đồng thời phải đảm bảo đáp ứng các yêu cầu cụ thể của GDPR. Zoom cũng cam kết như vậy trước tất cả khách hàng thông qua biện pháp đưa Phụ lục xử lý dữ liệu của Zoom vào Điều khoản dịch vụ Zoom.

Các cam kết trong hợp đồng của Zoom liên quan đến GDPR:

  • Zoom nỗ lực thể hiện tính minh bạch và cam kết chỉ sử dụng dữ liệu cá nhân theo đúng thỏa thuận của chúng tôi liên quan đến việc cung cấp dịch vụ hoặc theo yêu cầu của khách hàng.
  • Zoom thực hiện các biện pháp bảo mật thích hợp liên quan đến kỹ thuật và tổ chức để bảo vệ dữ liệu cá nhân mà chúng tôi xử lý.
  • Zoom hỗ trợ khách hàng thực hiện nghĩa vụ của họ khi các chủ thể dữ liệu thực hiện quyền gắn liền với dữ liệu cá nhân đã được xử lý thông qua sử dụng dịch vụ của chúng tôi (chẳng hạn như yêu cầu cung cấp thông tin, quyền truy cập, yêu cầu cải chính và xóa bỏ).

 

Hỗ trợ chuyển dữ liệu quốc tế

Vào tháng 7 năm 2020, Tòa án Công lý Châu Âu ("CJEU") đã phán quyết vụ việc C-311/18 (thường được gọi là "Phán quyết Schrems II") liên quan đến tính hợp lệ khi chuyển dữ liệu ra bên ngoài EEA. Phán quyết Schrems II xuất phát từ khiếu nại từ một chủ thể dữ liệu người Áo, Maximillian Schrems, về việc chuyển dữ liệu cá nhân của người này sang Hoa Kỳ và khả năng cơ quan chính phủ Hoa Kỳ đã truy cập vào dữ liệu đó.

Trong phán quyết Schrems II, CJEU cho rằng khung Châu Âu-Hoa Kỳ Bảo vệ quyền riêng tư không còn đem lại những công cụ hợp pháp trong việc chuyển dữ liệu cá nhân từ EEA sang Hoa Kỳ.

Nhưng điều quan trọng là CJEU cũng cho rằng các Điều khoản hợp đồng tiêu chuẩn của Ủy ban châu Âu (hay "các SCC") — vốn là cơ sở cho việc chuyển dữ liệu quốc tế của Zoom — vẫn là một cơ chế hợp pháp để chuyển dữ liệu cá nhân từ EEA sang các quốc gia khác ngoài EEA.

Sau phán quyết này, Ủy ban châu Âu công bố các SCC mới vào tháng 6 năm 2021. Zoom đã đưa các SCC mới vào những thỏa thuận thích hợp theo giai đoạn chuyển giao do Ủy ban châu Âu quy định (cụ thể là áp dụng muộn nhất vào ngày 27 tháng 9 năm 2021 cho các hợp đồng mới và muộn nhất vào ngày 27 tháng 12 năm 2022 cho các hợp đồng hiện tại).Vui lòng tìm hiểu thêm thông tin tại Những câu hỏi thường gặp của khách hàng về SCC mới

 

Yêu cầu mới: "Hiểu rõ vấn đề chuyển dữ liệu"

Phán quyết Schrems II cũng đưa ra một yêu cầu mới. Trước khi việc chuyển dữ liệu cá nhân sang quốc gia bên ngoài EEA được coi là hành động không đảm bảo mức độ bảo vệ phù hợp, bên xuất dữ liệu phải đánh giá liệu các SCC có đảm bảo thỏa đáng rằng dữ liệu cá nhân tại quốc gia nhận dữ liệu vẫn được bảo vệ “về cơ bản tương đương” với các quy tắc bảo vệ dữ liệu của Liên minh châu Âu hay không.

Nói cách khác, trước khi dựa vào các SCC, giờ đây bên xuất dữ liệu và nhập dữ liệu được kỳ vọng sẽ đánh giá liệu luật pháp và thực tiễn ở quốc gia nhận dữ liệu có thể làm suy giảm mức độ bảo vệ đã đưa ra hay không. Để hỗ trợ khách hàng thực hiện đánh giá này, chúng tôi đã chuẩn bị bản Đánh giá tác động của việc chuyển dữ liệu ("DTIA").

Để biết thêm thông tin về các bước thực hiện của Zoom và biện pháp bảo vệ bổ sung hiện hành khi chuyển dữ liệu cá nhân từ EEA hoặc Vương quốc Anh sang Zoom tại Hoa Kỳ, vui lòng xem “Những câu hỏi thường gặp: Chuyển dữ liệu quốc tế”.

Các biện pháp mạnh và cụ thể nhằm bảo vệ dữ liệu khách hàng châu Âu

Zoom cam kết duy trì mức độ bảo mật cao:

  • Chúng tôi áp dụng hàng loạt công nghệ mã hóa để bảo vệ dữ liệu trong quá trình chuyển giao và lưu trữ.
  • Zoom sử dụng biện pháp an toàn nhằm đảm bảo tính bảo mật, tính toàn vẹn, tính khả dụng cũng như khả năng khôi phục liên tục của dịch vụ và hệ thống xử lý.
  • Chúng tôi thực hiện nhiều biện pháp khôi phục tính khả dụng và quyền truy cập vào các dịch vụ và hệ thống xử lý ngay khi xảy ra sự cố vật lý hay kỹ thuật.
  • Zoom triển khai quy trình thường xuyên kiểm tra, đánh giá và đo lường tính hiệu quả của các biện pháp liên quan đến tổ chức và kỹ thuật, từ đó hỗ trợ bảo mật dữ liệu do chúng tôi xử lý.

Cụ thể, để bảo mật thông tin liên lạc đã lưu trữ và gửi qua nền tảng của Zoom, chúng tôi sử dụng các biện pháp an toàn sau đây:

  • Mã hóa đầu cuối tùy chọn cho cuộc họp: Người dùng có thể bật mã hóa đầu cuối cho Zoom Meetings. Tính năng này mang lại mức độ bảo mật cao vì không cho phép bên thứ ba nào — kể cả Zoom — có quyền truy cập vào khóa bảo mật của cuộc họp.
  • Mã hóa mặc định: Kết nối giữa Zoom và một thiết bị cụ thể đã được mã hóa theo mặc định, sử dụng hỗn hợp TLS 1.2+ (Bảo mật tầng giao vận), Chuẩn mã hóa cao cấp (AES) mã hóa GCM AES 256 bit và SRTP (Giao thức chuyển dữ liệu an toàn theo thời gian thực). Phương pháp chính xác được sử dụng còn tùy thuộc vào việc người dùng tận dụng Zoom Client, trình duyệt web, thiết bị hay dịch vụ của bên thứ ba hay sản phẩm Zoom Phone. Để biết thêm thông tin, vui lòng xem sách trắng về mã hóa của chúng tôi.
  • Ngăn chặn người tham gia cuộc họp trái phép: Zoom đã thực hiện nhiều biện pháp kiểm soát và bảo vệ nhằm ngăn chặn người tham gia cuộc họp trái phép:
    • ID cuộc họp duy nhất có mười một chữ số
    • Mật khẩu phức tạp
    • Phòng chờ với khả năng tự động xác nhận người tham gia từ tên miền của bạn hoặc tên miền đã chọn khác
    • Tính năng Lock Meeting có thể ngăn chặn bất kỳ người nào tham gia cuộc họp
    • Khả năng loại bỏ người tham gia
    • Hồ sơ xác thực chỉ cho phép người dùng đã đăng ký vào hoặc giới hạn các tên miền email cụ thể
    • Công cụ Cảnh báo nguy cơ cho cuộc họp có thể quét tìm các liên kết đến Cuộc họp Zoom trong những bài đăng trên các trang mạng xã hội công khai và tài liệu trực tuyến công khai khác.
  • Mời chọn lọc tham gia cuộc họp: Người chủ trì có thể mời chọn lọc người tham gia qua email, tính năng Trò chuyện hoặc SMS. Khả năng này cho phép kiểm soát việc phân phối thông tin truy cập cuộc họp. Người chủ trì cũng có thể tạo cuộc họp để chỉ cho phép thành viên từ một số miền email nhất định được tham gia.
  • Bảo mật ngay trong cuộc họp: Trong cuộc họp, Zoom cung cấp nội dung đa phương tiện phong phú theo thời gian thực một cách an toàn cho mỗi người tham gia cuộc họp Zoom. Tất cả nội dung được chia sẻ với những người tham gia trong một cuộc họp chỉ là bản trình bày của dữ liệu gốc. Nội dung này được mã hóa và tối ưu để chia sẻ nhờ sử dụng biện pháp triển khai bảo mật.
  • Điều khiển của người chủ trì: Chức năng điều khiển cuộc họp của người chủ trì cho phép/không cho phép người tham gia chia sẻ nội dung, trò chuyện và tự đổi tên.
  • Báo cáo: Tính năng báo cáo người dùng cho phép người chủ trì cuộc họp gắn cờ cho hành vi có vấn đề.
  • Các điều khiển bảo mật ngay trong sản phẩm: Các điều khiển bảo mật với biểu tượng Bảo mật chuyên biệt trên giao diện chính.
  • Bảo mật người dùng dựa trên vai trò: Người chủ trì cuộc họp luôn có sẵn các khả năng bảo mật trước cuộc họp sau đây:
    • Đăng nhập bảo mật bằng tên người dùng và mật khẩu tiêu chuẩn hoặc đăng nhập một lần SAML
    • Bắt đầu cuộc họp bảo mật bằng mật mã
    • Lên lịch cuộc họp bảo mật bằng mật mã
  • Ngăn chặn cuộc gọi tự động: Người dùng có thể ngăn chặn cuộc gọi tự động bằng biện pháp giới hạn tốc độ và sử dụng reCAPTCHA (yêu cầu sự can thiệp của con người) đã được kích hoạt trên tất cả các nền tảng.

 

Các lựa chọn về truyền và lưu trữ dữ liệu

Zoom hiểu rằng khách hàng mong muốn có thể lựa chọn trung tâm dữ liệu với vai trò xử lý dữ liệu của họ trong quá trình truyền và lưu trữ dữ liệu.

Dữ liệu được truyền hoặc dữ liệu được chuyển giao là dữ liệu di chuyển từ vị trí này sang vị trí khác, chẳng hạn như trên internet hoặc qua mạng lưới riêng tư. Đối với dữ liệu được truyền, chủ tài khoản và quản trị viên của tài khoản trả phí có thể từ chối một số khu vực trung tâm dữ liệu để lưu trữ dữ liệu truyền đi trong cuộc họp và hội thảo trực tuyến theo thời gian thực (xem bài viết trợ giúp này). Zoom đảm bảo tính minh bạch trong định tuyến dữ liệu thông qua bảng điều khiển quản trị tài khoản.

Dữ liệu lưu trữ là dữ liệu không di chuyển từ thiết bị này sang thiết bị khác hoặc mạng lưới này sang mạng lưới khác, ví dụ như dữ liệu được lưu trữ trong trung tâm dữ liệu đám mây. Khách hàng có thể chọn vị trí lưu trữ dữ liệu cho một số nội dung khách hàng được lưu trữ.

"Nội dung khách hàng" là tất cả dữ liệu, bao gồm tệp văn bản, âm thanh, video hoặc hình ảnh khách hàng cung cấp khi sử dụng dịch vụ Zoom để xử lý và tải lên máy chủ đám mây của Zoom để lưu trữ hoặc xử lý thêm. Ví dụ: Nội dung khách hàng có thể bao gồm bản ghi video, bản ghi đám mây, bản sao chép, trò chuyện trong cuộc họp, trò chuyện được chỉ định lưu lại và các tệp đã trao đổi trong cuộc họp.

Nếu khách hàng tải Nội dung khách hàng lên dịch vụ Zoom cloud, nội dung này sẽ được lưu trữ trên mạng lưới toàn cầu của nền tảng Amazon Web Services ("AWS"). Vị trí lưu trữ tại trung tâm dữ liệu áp dụng cho mỗi khách hàng Zoom có thể khác nhau nếu tổ chức của họ sử dụng tính năng lưu trữ nội dung giao tiếp của chúng tôi. Tính năng vị trí lưu trữ này cho phép các đội ngũ toàn cầu lựa chọn khu vực lưu trữ một số dạng dữ liệu. Xin lưu ý một số loại dữ liệu nhất định vẫn được xử lý tại Hoa Kỳ.

Các giao thức chặt chẽ nhằm đáp ứng yêu cầu của chính phủ về thông tin

Zoom cam kết bảo vệ quyền riêng tư của khách hàng và người dùng, đồng thời chỉ cung cấp dữ liệu người dùng cho chính phủ nhằm đáp ứng yêu cầu pháp lý hợp lệ tuân thủ Hướng dẫn về yêu cầu của chính phủ và các chính sách pháp lý liên quan.

Trong tất cả các khu vực địa lý:

  • Yêu cầu của chính phủ phải được ban hành qua kênh chính thức, trên cơ sở luật pháp và quy định hiện hành, bao gồm phải có tài liệu chính thức đã ký hoặc yêu cầu được gửi từ địa chỉ email chính thức của một tổ chức chính phủ.
  • Mỗi yêu cầu phải rõ ràng, không quá rộng và có cơ sở pháp lý hợp lệ.   Chúng tôi sẽ từ chối hoặc phản biện lại các yêu cầu không đáp ứng các điều kiện trên.
  • Chúng tôi sẽ xem xét kỹ lưỡng hơn đối với một số yêu cầu cung cấp thông tin của chính phủ dựa trên các nguyên tắc của chúng tôi và lợi ích thúc đẩy cộng tác thành công trên khắp thế giới.

Nếu một yêu cầu quá mơ hồ, Zoom sẽ phản biện tính hợp lệ của yêu cầu đó để giảm thiểu lượng thông tin phải cung cấp.

Zoom thường thông báo cho người dùng về yêu cầu cung cấp thông tin của chính phủ, bao gồm bản sao yêu cầu đã nhận được trừ khi theo pháp luật chúng tôi không được thông báo cho người dùng. Trường hợp ngoại lệ đối với thông báo cho người dùng, yêu cầu trên cần có thêm mô tả các tình huống cấp bách hoặc hậu quả bất lợi dự kiến của thông báo.

 

Tăng cường tính minh bạch

  • Báo cáo tính minh bạch: Zoom đã công bố báo cáo đầu tiên về số lượng yêu cầu nhận được từ các cơ quan chức năng của Hoa Kỳ và cơ quan quốc tế vào tháng 12 năm 2020 (Báo cáo tính minh bạch trong yêu cầu của chính phủ). Chúng tôi luôn muốn mỗi báo cáo tính minh bạch đều tốt hơn báo cáo trước đó. Bạn có thể xem Báo cáo tính minh bạch gần đây nhất của chúng tôi tại đây. Báo cáo thêm về tính minh bạch sẽ được cung cấp tại Zoom Trust Center.
  • Thông báo trong sản phẩm: Zoom liên tục cập nhật để tích hợp thông báo về quyền riêng tư đặc thù cho mỗi tính năng vào quá trình trải nghiệm Zoom, từ đó giúp người dùng hiểu rõ ai có thể xem cũng như chia sẻ nội dung và thông tin mà họ đã chia sẻ trên Zoom. Ví dụ: nếu người dùng muốn biết ai có thể xem tin nhắn họ đã gửi trong tính năng trò chuyện của Zoom, họ có thể vào phần "Ai có thể xem tin nhắn của bạn?" để biết người nào có thể xem tin nhắn mà họ gửi cho mọi người, cũng như các tin nhắn riêng tư khác.

 

Zoom xây dựng dịch vụ và luôn coi trọng hàng đầu các yêu cầu GDPR

Zoom cam kết nỗ lực hết mình trong việc xây dựng các tính năng sản phẩm phù hợp với yêu cầu GDPR và luôn nâng cao bảo vệ dữ liệu cá nhân được xử lý thông qua dịch vụ của mình. Để biết thêm thông tin về các hoạt động liên quan đến dữ liệu của chúng tôi, vui lòng xem Tuyên bố về quyền riêng tư hoặc bạn có thể gửi email đến privacy@zoom.us nếu có bất kỳ thắc mắc nào về GDPR.