Zoom 與歐盟通用資料保護條例 (GDPR)

最後更新日期:2022 年 6 月 1 日

Zoom 的使命是藉由無摩擦的視訊通訊提供快樂的體驗,我們也明白這項快樂需要隱私權與安全性。 我們努力保護和保障客戶的通訊到最高層級,例如歐洲經濟區 (「EEA」) 的資料隱私權義務,主要是指通用資料保護條例 (「GDPR」)。

Zoom 贊同 GDPR,視其為建立強化資料保護基礎以造福所有人的絕佳機會。 Zoom 認知到我們的客戶 (資料控制者) 需要確保 Zoom (資料處理商) 以符合 GDPR 合規性義務的方式實施技術及組織措施。 Zoom 的目標便是協助和支援我們的客戶擔任資料控制者。 

以下關鍵事實反映了 Zoom 實現資料保護的承諾。 

 

給所有 Zoom 客戶的 GDPR 合約承諾

GDPR 要求資料控制者 (例如使用 Zoom 服務的組織及開發商) 只能使用代表資料控制者處理個人資料並附有遵守 GDPR 特定要求的適當保障的資料處理商 (例如 Zoom)。 透過將 Zoom 的資料處理附錄納入 Zoom 的服務條款,Zoom 向我們的所有客戶提供這些承諾。 

Zoom 與 GDPR 相關的合約承諾:

  • Zoom 努力實現透明化,並致力於只將個人資料用於協議中所提供的客戶服務,或依客戶指示行動。
  • Zoom 透過保持適當的技術與組織安全性措施,來保護我們處理的個人資料。
  • 當資料主體行使權利,使用我們的服務所處理的個人資料 (例如請求資訊、存取、修改及刪除) 時,Zoom 將協助客戶遵守其義務。

 

跨國資料轉移支援

2020 年 7 月,歐盟法院 (「CJEU」) 就有關在歐洲經濟區以外資料轉移有效性的 C-311/18 案件 (通稱為Schrems II判決) 作出裁決。 Schrems II 案判決源自一位奧地利資料主體 Maximillian Schrems 的投訴,該投訴乃關於將其個人資料轉移給美國且使美國政府機構獲取其資料的可能性。

在 Schrems II 案判決中,歐盟法院認為歐美隱私保護盾框架不再是從歐洲經濟區轉移個人資料至美國的合法方式。 

但重要的是,歐盟法院還認定,作為 Zoom 跨國轉移基礎的歐盟委員會標準合約條款 (或 SCCs) 仍是將個人資料從歐洲經濟區轉移到非歐洲經濟區國家的合法機制。 

根據這項判決,歐盟委員會於 2021 年 6 月公佈了新版 SCC。 Zoom 在歐盟委員會規定的過渡期 (即在 2021 年 9 月 27 日前適用新合約,在 2022 年 12 月 27 日前適用既存合約) 結束後,已將新版的 SCC 納入適用的協議之中。請參閱我們的關於新版 SCC 的客戶問與答,以瞭解更多資訊。 

 

新要求:「瞭解您的轉移」

Schrems II 案判決增訂一項新要求。 在將個人資料轉移給遭認定為未提供適當級別的資料保護的歐洲經濟區以外的國家前,資料輸出者必須評估 SCC 是否充分確保個人資料在接收國得到「基本上相當於」歐盟資料保護規則程度的保護。

換言之,在仰賴 SCC 以前,資料輸出者及資料輸入者應評估該資料接收國的法律與實踐是否會有損於 SCC 所提供的保護層級。 為支援我們的客戶進行評估,我們備有資料轉移影響評估 (「DTIA」)

當個人資料從歐洲經濟區或英國轉移至位在美國的 Zoom 時,關於 Zoom 所採取的步驟及額外保護相關資訊,請參閱我們的「常見問題解答:跨國資料轉移」。

確保歐洲資料保護的強力具體措施

Zoom 致力於保持高度安全性:

  • Zoom 藉由一系列的加密技術來保護傳輸中及靜止資料。
  • Zoom 利用安全性措施來支援我們處理系統及服務的機密性、完整性、可用性及韌性。
  • 在遇到物理或技術事故時,Zoom 會即刻採取措施以恢復處理系統及服務的可用性及存取。
  • Zoom 實施一套經常性測試、評估及評價技術及組織措施有效性的流程,來支援我們處理的個人資料的安全性。

具體而言,Zoom 用以確保在 Zoom 平台上發送及儲存通訊的安全性措施包含:

  • 選擇性會議端對端加密功能:使用者可選擇對 Zoom 會議啟用端對端加密。 如此提供了高度安全性,因為包含 Zoom 在內的第三方均無法取得會議的私有金鑰。
  • 預設加密:給定裝置與 Zoom 之間的連結已預設加密,利用 TLS 1.2+ (傳輸層安全協議)、進階加密標準 256 位元 AES GCM 加密,及 SRTP (安全即時傳輸協定)。 確切使用的方法取決於使用者是否使用 Zoom 用戶端、網路瀏覽器、第三方裝置或服務、或 Zoom Phone 產品。 如需更多資訊,請參閱我們的加密白皮書
  • 防止未授權會議與會者:Zoom 實施許多安全與控制功能以禁止未授權與會者參加會議:
    • 十一碼專屬會議 ID
    • 複雜密碼
    • 等候室 – 具有自動開放您網域或另一選定網域的與會者進入的功能
    • 會議鎖定功能 – 可防止任何人加入會議
    • 移除與會者功能
    • 驗證設定檔 – 僅允許註冊的使用者進入,或限制為僅限特定電子郵件網域進入
    • 風險會議通知器 – 可掃描公共社群媒體上的發文以及其他公共線上資源中的 Zoom 會議連結
  • 選擇性會議邀請:主持人可以透過電子郵件、IM 或 SMS 選擇性邀請與會者。 此功能可以更有效地控制會議存取資訊的發佈。 主持人亦可以建立僅允許來自特定電子郵件網域的成員參加的會議。
  • 會議中的安全:會議期間,Zoom 以安全的方式,向每名 Zoom 會議當中的與會者提供即時、豐富的媒體內容。 所有和會議當中與會者共享的內容,僅為原始資料的呈現。 此內容使用安全執行方式編碼及最佳化,以利共享。
  • 主持人控制項:會議主持人控制項可允許或禁止與會者分享、聊天及重新為自己命名。
  • 檢舉:檢舉使用者功能讓會議主持人可以標記有問題的行為者。
  • 產品內的安全性控制項:安全性控制項以專屬安全性圖示出現在主要介面上。
  • 基於角色的使用者安全性:下列會議安全性功能可供會議主持人使用:
    • 使用標準使用者名稱及密碼的安全登入,或安全宣告標記語言 (SAML) 單一登入
    • 召開需要輸入密碼的安全會議
    • 排定需要輸入密碼的安全會議
  • 預防自動語音通話:使用者可以在所有平台上透過頻率限制預防自動語音通話與 reCAPTCHA (需要人為介入)。

 

傳輸中和靜止資料的選項

Zoom 明白我們的客戶希望有權選擇資料中心如何處理其傳輸中及靜止資料。 

傳輸中的資料,或行動中的資料,是指主動從一個位置傳到另一個位置的資料,例如透過網路或私人網路。 對於傳輸中的資料,帳戶擁有者和付費帳戶的管理員可以退出特定中心區域,以主持即時會議和網路研討會資料 (請參閱此幫助文章)。 Zoom 透過帳戶管理儀表板,呈現透明的資料路由。 

靜止資料指未主動從一個裝置傳到另一個裝置或從網路傳到另一個網路的資料,例如儲存在雲端資料中心的資料。 客戶可為他們的某些靜止內容選擇資料儲存位置。 

「客戶內容」指客戶放在 Zoom 服務內用以處理及上傳到 Zoom 雲端伺服器儲存或進行額外處理的所有資料,包含文字、聲音、影片或圖片檔。 例如,客戶內容可能包含視訊錄製、雲端錄製、逐字稿、會議內聊天、持續聊天及會議內交流的檔案。

當客戶將客戶內容上傳到 Zoom 雲端服務時,該服務乃託管在 Amazon Web Services (「AWS」) 的全球網路中。 當組織使用我們的通訊內容儲存功能時,適用於每個 Zoom 客戶的資料中心託管位置各有不同。 這項儲存位置功能允許全球團隊為特定類型的靜止資料選擇其儲存區域。 請注意,特定類別的資料仍會在美國處理。 

 

回應政府請求資訊的嚴格協定

Zoom 致力於保護客戶與使用者的隱私權,而且僅會根據政府請求指南及相關法律政策,在政府提出有效且合法的請求時,提供使用者資料給政府。 

在所有地理區域:

  • 政府請求必須根據適用的法律和條例並透過官方管道簽發,包括要求經簽署的正式文件,或透過政府實體官方電子郵件傳送的電子郵件所提出的請求。
  • 每個請求都必須明確,不得過於空泛,而且具有有效的法律依據。 我們將拒絕或質疑不符合這些要求的請求。
  • 我們將根據我們對於促進全球成功協作所抱持的原則和關注,針對某些政府對使用者資訊提出的請求進行額外的審查。

若該請求過於模糊不清,Zoom 會質疑該請求的有效性,以減少提交的資訊範圍。

Zoom 通常會通知使用者政府對其資訊的請求,其中包括請求的副本,除非法律禁止我們通知使用者。 對於向使用者通知進行例外處理的請求,必須包括與緊急情況或通知的潛在不利結果有關的描述。

 

提高透明度

  • 資訊透明報告:Zoom 在 2020 年 12 月公佈其第一份資訊透明報告,說明美國及國際機構所提出的請求數量 (政府請求資訊透明報告)。 我們的目標是讓每份資訊透明報告都比前一份更加完善。 我們最新的資訊透明報告可在此取得。 額外的資訊透明報告將可在 Zoom Trust Center 取得。
  • 產品內通知:Zoom 持續更新,以將特定功能的隱私權通知整合進 Zoom 體驗中,幫助使用者了解有誰可以看見和分享他們在 Zoom 上分享的內容和資訊。 例如,當使用者想知道誰可以看見他們在 Zoom 聊天功能中所傳送的訊息時,他們可以在「誰能夠看到您的訊息?」處看見誰可以存取使用者傳送給每個人的訊息和私人訊息。

 

Zoom 將 GDPR 的要求作為優先指導原則以設計其服務

Zoom 致力於盡一切努力建立符合 GDPR 要求的產品功能,並透過我們的服務促進個人資料的保護。 欲了解更多關於我們資料實務的資訊,請參閱我們的隱私權聲明,或者若您有任何有關 GDPR 的具體問題,請寄送電子郵件至 privacy@zoom.us