Zoom 与欧盟《通用数据保护条例》(GDPR)

更新时间:2022 年 12 月 30 日

Zoom 的使命是通过顺畅的视频通信传递幸福感,而我们知道这种幸福感需要确保隐私和安全。 因此,我们努力保护和保障客户的通信达到最高水平,例如欧洲经济区(“EEA”)的数据隐私义务 – 主要是《通用数据保护条例》(“GDPR”)。

Zoom 对 GDPR 表示赞许,认为它提供了建立更强大的数据保护基础以造福所有人的机会。 Zoom 深知,我们的客户(数据控制者)需要确保 Zoom(数据处理者)采取适当的实施技术和组织措施,以履行 GDPR 合规义务。 Zoom 愿意帮助和支持我们的客户履行其数据控制者角色。 

以下关键事实反映了 Zoom 在数据保护实践方面的承诺。 

 

面向所有 Zoom 客户的 GDPR 合同承诺

GDPR 要求数据控制者(如使用 Zoom 服务的组织和开发人员)仅使用代表数据控制者处理个人数据的数据处理者(如 Zoom),并提供足够的保证以满足 GDPR 的具体要求。 Zoom 通过将 Zoom 的数据处理附录纳入 Zoom 服务条款,向所有客户提供这些承诺。 

Zoom 的 GDPR 相关合同承诺:

  • Zoom 在使用个人数据方面力求做到透明,承诺仅按照我们关于提供服务的协议或客户的其他指示使用个人数据。
  • Zoom 采取适当的技术和组织安全措施来保护我们处理的个人数据。
  • 当数据主体行使使用我们的服务处理个人数据所附带的权利(如信息请求、访问、更正和删除)时,Zoom 可协助客户履行其义务。

 

国际数据传输支持

2020 年 7 月,欧盟法院(或称“CJEU”)就 C-311/18 案(通常称为Schrems II 裁决”)裁定了 EEA 以外数据传输的有效性Schrems II 裁决的起因是,奥地利数据主体 Maximillian Schrems 就将个人数据传输到美国以及美国政府机构可能访问其数据而提起诉讼。

在 Schrems II 裁决中,欧盟法院认为,欧盟-美国隐私盾协议框架不再提供将个人数据从 EEA 传输到美国的合法手段。 

但重要的是,欧盟法院还认为,作为 Zoom 国际传输基础的欧盟委员会标准合同条款(或称“SCC”)仍然是将个人数据从 EEA 传输到非 EEA 国家的合法机制。 

根据这项裁决,欧盟委员会于 2021 年 6 月发布了新 SCC。 Zoom 在欧盟委员会规定的过渡期(即新合同的过渡期至 2021 年 9 月 27 日,现有合同的过渡期至 2022 年 12 月 27 日)之后,将新 SCC 纳入适用协议中。请参阅关于新 SCC 的客户常见问题解答,了解更多信息。 

 

新要求:“了解您的传输”

Schrems II 裁决还提出了新的要求。 在将个人数据传输到 EEA 之外不被视为确保充分保护水平的国家/地区之前,数据输出者必须评估 SCC 是否足以确保个人数据在接收人所在国/地区受到与欧盟数据保护规则“基本相当”的保护。

换言之,在依靠 SCC 之前,数据输出者和数据输入者现在需要评估接收数据的国家/地区的法律和惯例是否会削弱以其他方式提供的保护水平。 为了支持我们的客户进行此评估,我们为以下产品准备了“数据传输影响评估”:

Zoom Meetings/Webinar/Chat 数据传输影响评估
Zoom Phone 数据传输影响评估
Zoom Contact Center 数据传输影响评估

有关个人数据从欧洲经济区或英国传输到位于美国的 Zoom 时 Zoom 所采取的步骤和额外保护措施的更多信息,请参阅“常见问题解答:国际数据传输”。

 

确保欧洲数据保护的强有力的具体措施

Zoom 致力于保持高度的安全性:

  • Zoom 利用一系列加密技术来保护传输中的数据和静态数据。
  • Zoom 利用安全措施支持我们的处理系统和服务的持续保密性、完整性、可用性和弹性。
  • Zoom 采取措施,在发生物理或技术事故时,可及时恢复处理系统和服务的可用性和访问。
  • Zoom 定期测试、考核和评估技术和组织措施的有效性以支持我们处理的数据的安全性。

具体来说,Zoom 用于实现通过 Zoom 平台发送和存储的通信安全的安全措施包括:

  • 可选的会议端到端加密:用户可以选择为 Zoom 会议启用端到端加密。 这个选项可提供高度的安全性,因为任何第三方(包括 Zoom)都无法获得会议的私钥。
  • 默认加密:默认情况下,给定设备和 Zoom 之间的连接使用 TLS 1.2+(传输层安全)、高级加密标准 256 位 AES GCM 加密和 SRTP(安全实时传输协议)相结合的方式进行加密。 具体使用哪种方法取决于用户是利用 Zoom 客户端、Web 浏览器、第三方设备或服务还是 Zoom Phone 产品。 欲了解更多信息,请参阅我们的加密白皮书
  • 禁止未授权的会议参会者:Zoom 实施了多种保障和控制措施,禁止未授权的参会者加入会议:
    • 十一位唯一会议 ID
    • 复杂的密码
    • 等候室功能,可自动允许来自您的域名或其他选定域的参会者加入
    • “锁定会议”功能,可阻止任何人加入会议
    • 移除参会者功能
    • 仅允许注册用户加入或仅限特定电子邮件域的验证配置文件
    • 风险会议通知器工具,可扫描公共社交媒体网站上的帖子和其他公共在线资源,寻找 Zoom 会议链接。
  • 选择性会议邀请:主持人可以通过电子邮件、聊天或短信选择性地邀请参会者。 这就可以增强对会议访问信息分布的控制。 主持人在创建会议时,还可以选择只允许来自特定电子邮件域的成员加入。
  • 会议中安全:会议期间,Zoom 会为会议期间的每名参会者安全地提供实时富媒体内容。 参会者在会议中共享的所有内容都会以原始数据呈现。 Zoom 会对这些内容进行编码和优化,以使用安全实施方式共享。
  • 主持人控件:会议主持人控件可允许/禁止参会者共享内容、聊天以及重新给自己命名。
  • 举报:“举报用户”功能允许会议主持人标记有问题的行为。
  • 产品内安全控件:主界面上带有一个专用安全图标的安全控件。
  • 基于角色的用户安全:会议主持人可使用下列会议前安全功能:
    • 使用标准用户名和密码或 SAML 单点登录进行安全登录
    • 使用密码开始安全会议
    • 使用密码安排安全会议
  • 阻拦骚扰电话:用户可以阻拦骚扰电话,所有平台均启用速率限制和验证码(需要人为干预)。

 

针对传输中数据和静态数据的选择

Zoom 了解到,我们的客户可能希望能够选择处理其传输中数据和静态数据的数据中心。 

传输中数据(或动态数据)是指从一个位置主动移动到另一个位置的数据,例如通过互联网或通过专用网络移动。 对于传输中数据,付费账户的账户持有者和管理员可以选择退出某些数据中心区域,以便托管传输中的实时会议和网络研讨会数据(参见此帮助文章)。 Zoom 通过账户管理仪表板实现数据路由透明化。 

静态数据是指未在设备之间或网络之间主动移动的数据,例如存储在云数据中心的数据。 客户可以为部分静态客户内容选择数据存储位置。 

“客户内容”是客户输入到 Zoom 服务以进行处理以及上传到 Zoom 云服务器以进行存储或其他处理的所有数据,包括文本、声音、视频或图像文件。 例如,客户内容可包括视频录制文件、云录制文件、转录文件、会议中聊天、持续聊天和会议中交换的文件。

如果客户将客户内容上传到 Zoom 云服务,则将其托管在 Amazon Web Services(“AWS”)的全球网络上。 如果组织使用我们的通信内容存储功能,则适用于每个 Zoom 客户的数据中心托管位置可能会有所不同。 此存储位置功能允许全球团队选择存储某些类型的静态数据的区域。 请注意,某些类别的数据仍在美国处理。

 

应对政府信息请求的严格协议

Zoom 致力于保护客户和用户的隐私,只有在收到符合政府请求指南和相关法律政策的有效合法请求时,才会为政府生成用户数据。 

在所有地理区域:

  • 政府请求必须根据适用法律法规并通过官方渠道发出,包括需要提供正式签署的文档,或从政府机构的官方电子邮件地址发出电子邮件请求。
  • 所有请求都必须明确,不能过于宽泛,并且须有有效的法律依据。 我们将拒绝或质疑不满足这些要求的请求。
  • 对于某些要求提供用户信息的政府请求,我们将基于促进世界各地成功协作的原则和利益,对其执行额外审查。

如果请求过于含糊,Zoom 将质疑请求的有效性,以尽量减小提交的信息范围。

除非法律禁止我们通知用户,否则我们通常会向用户通知政府的信息请求,包括收到的请求的副本。 要求不通知用户的请求必须包含对紧急情况或通知的潜在不利结果的说明。

 

更高的透明度

  • 透明度报告:Zoom 于 2020 年 12 月发布了首份关于接收自美国和国际当局的请求数量的报告(政府请求透明度报告)。 我们的目标是使每份透明度报告都能在前一份的基础上有所改进。 最新的透明度报告可在此处获取。 其他透明度报告将在 Zoom Trust Center 中提供。 
  • 产品内通知:Zoom 不断更新,以便将特定于功能的隐私通知集成到 Zoom 体验中,帮助用户在上下文中了解谁能够查看和共享他们在 Zoom 上共享的内容和信息。 例如,如果用户想知道谁能看到他们通过 Zoom 聊天功能发送的消息,他们可以转至“谁能看到您的消息?”,查看谁能访问他们发送给每个人的消息,以及他们发送的私有消息。

 

Zoom 在设计其服务时将 GDPR 要求放在首位

Zoom 致力于尽一切努力构建符合 GDPR 要求的产品功能,并促进对通过我们的服务处理的个人数据的保护。 有关我们数据实践的更多信息,请参阅我们的隐私声明,也可以发送电子邮件至 privacy@zoom.us(如有任何特定于 GDPR 的问题)。