美国州法隐私附录
生效日期:2022 年 12 月 30 日
本美国州法隐私附录(下称“附录”)补充了您的主订阅协议条款、服务条款或分销商客户服务条款(如适用,下称“协议”),并规定了与某些美国州法有关的某些数据隐私权和义务。 本文使用但未另行定义的大写术语,其含义以“协议”中赋予的含义为准。
A 节 – 总则。 附录 A 节适用于 Zoom 提供服务和客户使用服务的情况,其中“客户”是指“企业”或“控制方”,并且 Zoom 根据 CCPA 或其他“适用的州数据保护法”处理或正在处理客户的个人信息或个人数据。
- 定义。 本附录中所提到的“客户”是指订阅 Zoom 服务的“企业”或“控制方”。 本 A 节中使用但未另行定义的大写术语,其含义以下文 B(1) 和 C(1) 节中赋予的含义为准。
- 审计和评估。
- Zoom 将按如下方式进行第三方审计,以证明符合 ISO 27001 和 SOC 2 第 II 类框架标准:
- Zoom 每年将对 SOC-2 审计中的安全性、可用性和隐私标准进行审计。
- 审计将根据适用控制标准或框架的监管或认证机构的标准和规则执行。
- 审计将由 Zoom 选择的有资质的独立第三方安全审计员执行,费用由 Zoom 承担。
- 每次审计都会生成面向客户的审计报告(下称“Zoom 审计报告”),Zoom 每年将根据客户要求向其提供该报告。 “Zoom 审计报告”将成为 Zoom 的机密信息。
- Zoom 将按如下方式进行第三方审计,以证明符合 ISO 27001 和 SOC 2 第 II 类框架标准:
- 信息接收限制。 本附录下的任何内容均不要求 Zoom 披露:(a) Zoom 的任何其他客户或任何第三方的任何数据或信息;(b) 任何内部会计或财务信息;(c) Zoom 的任何商业机密;(d) Zoom 合理认为可能:(i) 危害 Zoom 网络、系统或场所安全的任何信息;(ii) 导致 Zoom 违反其对任何第三方的安全或隐私义务的任何信息;(iii) 出于本附录所述原因以外的任何原因而索取的任何信息。 在向客户提供“Zoom 审计报告”之前,Zoom 可能会要求客户同意 Zoom(或其第三方审计员或评估员)的合理条款和条件。
- 数据删除。 Zoom 将 (a) 根据适用于客户的“适用的州数据保护法”要求及客户的指示,在服务提供结束时删除或向客户返回所有个人数据,或 (b) 根据 CCPA 的要求,在客户与 Zoom 之间的关系终止或到期时,不得保留、使用或披露个人信息。 本 A(4) 节(数据删除)中的任何内容均不要求 Zoom (i) 删除或返回其根据适用法律必须保留的数据,或 (ii) 在技术上无法返回数据或返回数据会让 Zoom 承担巨大的负担及/或代价的情况下,返回而非销毁个人数据。
B 节 – 加州. 附录 B 节适用于 Zoom 提供服务和客户使用服务的情况,其中“客户”是指“企业”,并且 Zoom 正在根据 CCPA 代表客户处理个人信息。
- 定义。 在附录 B 节中:(a)“CCPA”是指经《2020 年加州隐私权法案》修订的《2018 年加州消费者隐私法案》以及根据该法案颁布的任何法规;(b)“企业”、“业务目的”、“商业目的”、“消费者”、“处理”、“出售”、“服务提供商”和“共享”的相应含义如 CCPA 中所赋予;以及 (c)“个人信息”是指 CCPA 中定义的“个人信息”,但仅限于 Zoom 根据“协议”向“企业”身份的客户提供服务而收集、访问、获取、接收、使用、披露或以其他方式处理的个人信息。
- 承认和义务。 Zoom (a) 承认客户将仅出于提供订单中所述服务的有限和特定目的以及“协议”中所述的目的披露个人信息;(b) 应遵守 CCPA 规定的适用于服务提供商的义务,并应为个人信息提供与 CCPA 要求相同级别的隐私保护,包括企业需要提供的相同隐私保护;(c) 同意客户可以采取与本文第 A(2) 节一致的合理和适当的措施,以帮助确保 Zoom 对个人信息的使用符合 CCPA 规定的客户义务;(d) 应立即通知客户 Zoom 决定不再履行 CCPA 规定的义务;(e) 同意客户在收到通知后,根据适用法规采取合理和适当的措施,通过向 Zoom 请求合理的文件证明 Zoom 不再保留或使用受制于有效删除请求的个人信息,停止和纠正未经授权使用个人信息的行为。
- 限制。 Zoom 不得:(a) 出售或共享个人信息;(b) 除上述 B(2)(a) 节所述目的或 CCPA 另行允许的目的以外,出于任何其他目的保留、使用或披露任何个人信息,包括出于此类目的以外的商业目的或为不同企业提供服务而保留、使用或披露个人信息;(c) 在 Zoom 与客户之间的直接业务关系之外保留、使用或披露个人信息,但 CCPA 允许的范围除外;(d) 将根据“协议”收到的个人信息与从另一方收到的个人信息或 Zoom 自身与个人信息所属的消费者的互动相结合,除非 CCPA 允许服务提供商这样做。 Zoom 特此证明,其了解本附录规定的义务,并将遵守这些义务。
- 审计、审查和评估。 根据上述第 A(2) 节(审计和评估)的规定,在遵守 CCPA 的情况下,客户可根据 Zoom 的合理要求和书面协议,每 12 个月最多对 Zoom 进行一次审计、审查或评估,并自行承担开销。
- 消费者请求。 客户应在收到并验证消费者的请求后立即通知 Zoom 并向 Zoom 提供所有必要信息,Zoom 应立即采取客户可能合理要求的与消费者个人信息相关的相应行动并提供相应信息,以帮助客户实现个人在 CCPA 下行使其权利的请求,包括但不限于访问、更正、删除、拒绝出售、拒绝共享或接收与其有关的个人信息的请求。 如果 Zoom 直接接收来自客户消费者的任何请求,则 Zoom 可以 (i) 建议消费者直接联系客户提出此类请求,或 (ii) 联系客户直接回复消费者。
C 节– 弗吉尼亚州、科罗拉多州、犹他州和其他州。 附录 C 节适用于 Zoom 提供服务和客户使用服务的情况,其中“客户”是指个人数据的“控制方”,并且 Zoom 将根据“适用的州数据保护法”处理客户的个人数据。
- 定义。 在附录 C 节中:(a)“适用的州数据保护法”是指 (i) 经修订的《2021 年科罗拉多州隐私法》、《2021 年弗吉尼亚州消费者数据保护法》或《2022 年犹他州消费者隐私法》,或 (ii) 为保护个人数据而颁布的任何其他适用的美国州法,其中“客户”是“控制方”,Zoom 是“处理方”,并且本附录的条款和条件符合此类州法的要求;(b)“控制方”、“个人数据”、“处理”和“处理方”的相应含义应在“适用的州数据保护法”中赋予;以及 (c)“指示”具有以下赋予的含义。
- 个人数据的处理:角色、范围和责任。
- 双方承认并同意:“客户”是指客户个人数据的“控制方”。 Zoom 是指客户个人数据的“处理方”。
- 仅在必要和适当的情况下,作为“控制方”的客户代表客户指示 Zoom 以“处理方”身份执行以下活动(以下统称为“指示”):
- 提供和更新客户及其用户授权、配置和使用的服务,包括通过客户使用 Zoom 设置、管理员控件或其他服务功能而获得的服务;
- 实时监控服务并保障安全;
- 解决问题、缺陷和错误;
- 提供客户请求的支持,包括应用从个别客户支持请求中获得的知识,使所有 Zoom 客户受益,但仅限于匿名的知识;和
- 按照“协议”(包括本附录和附件 A)以及客户提供并经 Zoom 确认为构成指示的任何其他书面指示处理客户个人数据。
- 如果 Zoom 担任客户个人数据的“处理方”,则 Zoom 应该仅根据客户的指示处理客户个人数据。 客户应确保其对 Zoom 的指示符合客户个人数据适用的所有法律、规则和条例,并且按照客户的指示处理客户个人数据不会导致 Zoom 违反“适用的州数据保护法”。 客户应全权负责以下各项内容的准确性、质量和合法性:(i) 由客户或代表客户提供给 Zoom 的客户个人数据;(ii) 客户获取任何此类客户个人数据的方式;(iii) 客户向 Zoom 提供的有关处理此类客户个人数据的指示。 客户不得违反“协议”或本附录向 Zoom 提供任何客户个人数据。
- 客户授权 Zoom 在有限情况下扫描和报告个人数据(例如,目的是为了检测和报告儿童性虐待材料;遵守其他适用法律;确保遵守 Zoom 的可接受使用准则)。
- 获得授权的人。 Zoom 应确保所有获授权处理客户个人数据的人员都了解客户个人数据的机密性,并承担数据保密义务。
- 分包商和下级处理方。 如果 Zoom 是“处理方”,则客户特此一般授权 Zoom 根据 C(4) 节聘用分包商和下级处理方。
- 客户同意 Zoom 使用 https://explore.zoom.us/zh-cn/subprocessors/ 所列出的提供商来处理客户的个人数据。
- Zoom 可能会删除、替换或指定其他提供商。 如果客户在 https://explore.zoom.us/zh-cn/subprocessors/ 上订阅了更新,Zoom 会将这些供应商聘用的任何变更通知客户。 如果“适用的州数据保护法”有要求,Zoom 还应根据本文 C(4)(d) 和 C(4)(e) 节的规定,为客户提供反对聘用的机会。
- 在涉及服务可用性或安全性的紧急情况下,Zoom 无需提前通知客户分包商的撤换、更换或任命,但应在分包商变更后七 (7) 个工作日内发出通知。
- 在任何一种情况下,客户都可以在收到 Zoom 发出的上述通知后十五 (15) 个工作日内以书面形式反对分包商的此类聘用。
- 如果客户反对聘用新的分包商,Zoom 有权通过以下选项之一(由 Zoom 自行决定)解决异议:
- Zoom 可能会取消其使用分包商处理客户个人数据的计划。
- Zoom 可以采取客户在其反对意见中要求的纠正措施(消除客户的反对意见),并继续使用分包商来处理客户个人数据。
- Zoom 可能会停止提供或客户可能同意不使用(暂时或永久)涉及使用此类分包商处理客户个人数据的服务的特定方面。 Zoom 应向客户提供商业上合理的聘用替代方案(如有)的书面说明,包括但不限于修改服务。 如果 Zoom 自行决定不能提供任何此类替代方案,或者如果客户不同意任何此类替代方案(如有提供),则 Zoom 和客户可提前六十 (60) 天发出终止“协议”(包括本附录)的书面通知。 终止后,客户仍需支付在协议终止生效日期之前因提供服务而应向 Zoom 支付的任何费用。
- 如果客户在 Zoom 发出通知后 15 个工作日内未反对新分包商的聘用,则该新分包商应被视为已接受。
- Zoom 应仅根据书面合同聘用任何处理客户个人数据的分包商,并要求分包商履行 Zoom 就此类个人数据分包的任何义务。 如果分包商未能履行其应承担的数据保护义务,Zoom 仍应对客户承担责任,其责任程度与 Zoom 本身根据本附录承担此类作为或不作为的责任相同。
- 信息安全。 考虑到处理的环境,Zoom 应针对客户个人数据采取适当的技术和组织措施,以确保根据本附录和“协议”中明确规定的风险提供适当的安全级别。
- 合规信息。 应客户的合理要求,Zoom 应根据适用法律向客户提供 Zoom 拥有的合理信息,以证明 Zoom 遵守 Zoom 在本附录中的义务。
附件 A
处理说明
控制方到处理方
处理的性质和目的:Zoom 将根据协议(包括本附录)出于以下目的处理客户个人数据:
- 提供和更新客户及其用户授权、配置和使用的服务,包括通过客户使用 Zoom 设置、管理员控件或其他服务功能而获得的服务;
- 实时监控服务并保障安全;
- 解决问题、缺陷和错误;
- 提供客户请求的支持,包括应用从个别客户支持请求中获得的知识,使所有 Zoom 客户受益,但仅限于匿名的知识;
- 按照“协议”和/或此附录或客户提供并经 Zoom 确认为构成指示的任何其他书面指示处理客户个人数据;
- 遵守法律义务所必需。
要处理的个人数据类型:
Zoom 账户个人信息:与最终用户的 Zoom 账户、头像照片、密码、公司名称和客户偏好相关的数据。 这些数据将包括:
- Zoom 唯一用户 ID,
- 头像照片(可选)
诊断数据:
会议元数据:有关服务使用情况的指标,包括召开会议的时间和方式。
此类别包括:
- 事件日志(包括采取的操作、事件类型和子类型、应用内事件位置、时间戳、客户端 UUID、用户 ID 和会议 ID)
- 会议场次信息,包括频率、平均和实际持续时间、数量、质量、网络活动和网络连接
- 会议次数
- 屏幕共享和非屏幕共享会议的数量
- 参会者人数
- 会议主持人信息
- 主持人名称
- 会议网址
- 会议开始/结束时间
- 加入方式
- 性能、故障排除和诊断信息
遥测数据:从本地安装的软件收集的数据(有关 Zoom 服务部署的应用程序和浏览器信息以及相关系统环境/技术信息)。 具体包括:
- 电脑名称
- 麦克风
- 扬声器
- 摄像头
- 域
- 硬盘 ID
- 网络类型
- 操作系统类型和版本
- 客户端版本
- MAC 地址
- 事件日志(包括采取的操作、事件类型和子类型、应用内事件位置、时间戳、客户端 UUID、用户 ID 和会议 ID)
- 服务日志(系统事件和状态信息)
其他服务生成的数据:
- 垃圾邮件识别
- 推送通知
- Zoom 永久唯一标识符,例如 UUID 或与其他数据元素组合的用户 ID,包括:
- IP 地址
- 数据中心
- 电脑名称
- 麦克风
- 扬声器
- 摄像头
- 域
- 硬盘 ID
- 网络类型
- 操作系统类型和版本
- 客户端版本
- 网络路径上的 IP 地址
支持数据:
- 支持请求者的联系人姓名、时间、主题、问题描述、会后反馈(赞/踩)
- 用户提供的附件,包括录制内容、转录文字或屏幕截图、会后反馈(随踩提供的开放文本)
处理持续时间:“协议”期限加上 Zoom 删除或返回代表客户处理的所有客户个人数据之前的期限。
Zoom 可能会不时更改或补充本隐私附录。 对本隐私附录进行的任何此类修改都将在此处发布。 如果您想要接收本隐私附录的更改或补充通知,请在下方文本框中提供您的电子邮件地址。