美國州法隱私權附錄
生效日期:2022 年 12 月 30 日
本美國州法隱私權附錄 (下稱「附錄」) 用於補充主要訂閱協議、服務條款,或分銷商客戶服務條款 (如適用,以下合稱「協議」),並依據特定美國州法制定特定的資料隱私權權利與義務。 本文使用但未定義之詞彙,其涵義以本協議中的釋義為準。
第 A 條 – 總則。 本附錄第 A 條適用於在 Zoom 提供服務和客戶使用服務的範圍內,倘客戶是企業或資料控制者,並由 Zoom 依據《加州消費者隱私法案》(下稱CCPA) 或其他適用的州立資料保護法處理或正在處理客戶個人資訊或個人資料。
- 定義。 在本附錄中,「客戶」是指訂閱 Zoom 服務的企業或資料控制者。 本條使用但未定義之詞彙,其涵義以下方第 B(1) 條和第 C(1) 條的釋義為準。
- 稽核與評估。
- Zoom 將進行第三方稽核以證實達到 ISO 27001 和 SOC 2 類型 II 框架,內容如下:
- Zoom 每年將對 SOC 2 稽核中的安全、可用性和隱私權標準進行稽核。
- 稽核適用的控制標準或框架,將依據監管或認證機構的標準和規則執行。
- 稽核將由 Zoom 挑選及支付的合格獨立第三方安全稽核人員進行。
- 每個稽核將產生一份面向客戶的稽核報告 (下稱「Zoom 稽核報告」),Zoom 每年將視客戶要求向其提供該份報告。 Zoom 稽核報告將成為 Zoom 的保密資訊。
- Zoom 將進行第三方稽核以證實達到 ISO 27001 和 SOC 2 類型 II 框架,內容如下:
- 資訊接收限制。 本附錄中的任何內容不得要求 Zoom 揭露:(a) Zoom 的任何客戶或任何第三方的資料或資訊;(b) 任何內部會計或金融資訊;(c) Zoom 的任何營業秘密;或 (d) 任何資訊在 Zoom 合理意見內可能:(i) 影響 Zoom 網路、系統或廠區的安全;(ii) 造成 Zoom 違反對任何第三方之安全或隱私權義務;或 (iii) 除本附錄所列理由以外之任何理由。 在向客戶提供 Zoom 稽核報告之前,Zoom 得要求客戶同意 Zoom (或其第三方稽核人員或評估人員) 的合理條款和條件。
- 刪除資料。 Zoom 將 (a) 依據客戶適用的州立資料保護法之要求以及在客戶的指示下,於停止提供服務後刪除或返還客戶的所有個人資料,或 (b) 依據 CCPA 之要求,在客戶和 Zoom 終止訂閱關係或訂閱到期時,不保留、使用或揭露個人資訊。 本 A(4) 條 (刪除資料) 中的任何內容不會要求 Zoom (i) 刪除或返還任何依適用法律必須保留之資料,或 (ii) 返還而非破壞個人資料 (當返還資料在技術上並不可行,或返還會對 Zoom 造成潛在的負擔、費用或兩者兼有時)。
第 B 條 – 加利福尼亞州。本附錄第 B 條適用於在 Zoom 提供服務和客戶使用服務的範圍內,倘客戶是企業,並由 Zoom 依據 CCPA 代表客戶正在處理客戶個人資訊。
- 定義。 在本附錄第 B 條中:(a)「CCPA」是指經 2020 年《加州隱私權法案》修訂之 2018 年《加州消費者隱私法案》,以及任何據此頒佈之規章;(b)「企業」、「企業目的」、「商業目的」、「客戶」、「處理」、「販售」、「服務提供者」和「分享」等詞應依 CCPA 所賦予之含義來解釋;以及 (c)「個人資訊」是指 CCPA 所定義之「個人資訊」,但僅指 Zoom 以企業身分依協議向客戶提供服務而收集、存取、取得、接收、使用、揭露或處理之個人資訊。
- 認知與義務。 Zoom (a) 確認客戶所揭露的個人資訊,僅用於提供訂單表格中所述服務的有限且特定目的,以及用於協議所述目的;(b) 應遵守 CCPA 下適用於服務提供者的義務,並應依 CCPA 之要求對個人資訊提供相同等級的隱私權保護,包括要求企業提供相同等級的隱私權保護;(c) 同意客戶得採取符合第 A(2) 條的合理且適當步驟,以確保 Zoom 對個人資訊的使用符合 CCPA 下的客戶義務;(d) 如無法繼續達成 CCPA 要求的義務時,應及時通知客戶 Zoom 所做的任何決定;以及 (e) 同意客戶在收到通知後,於遵守並依據適用規定下,得採取合理且適當步驟終止和補救對個人資訊的未授權使用,要求 Zoom 提供合理的證據以證實 Zoom 不再保留或使用有效刪除要求下的個人資訊。
- 限制。 Zoom 不應 (a) 販售或分享個人資訊;(b) 除上述第 B(2)(a) 條或 CCPA 允許之目的以外,為任何目的,例如商業目的或為不同企業服務而保留、使用或揭露任何個人資訊;(c) 在 Zoom 和客戶的直接商業往來關係以外,保留、使用或揭露個人資訊,除非在 CCPA 允許之範圍內;或 (d) 將依據協議接收到的個人資訊,與從另一方接收到的個人資訊相結合,或將 Zoom 自身與個人資訊所屬的客戶的互動相結合,除非 CCPA 同意服務提供者為之。 Zoom 特此證明瞭解自己在本附錄中的義務,並將遵守之。
- 稽核、審查與評估。 在符合 Zoom 所提之合理要求和書面協議以及 CCPA 的前提下,客戶得依據前述第 A(2) 條 (稽核與評估) 之規定並在自行承擔費用下,以每 12 個月不超過一次的頻率對 Zoom 進行稽核、審查或評估。
- 消費者要求。 客戶在收到並證實消費者要求後,應盡快通知 Zoom 並向 Zoom 提供所有必要資訊,Zoom 也將盡快採取行動,提供客戶得合理要求與消費者個人資訊相關的此類資訊,協助客戶行使其在 CCPA 下的個人權利,包括但不限於存取、更正、刪除、退出販售或分享的要求,或接收與個人資訊相關的資訊。 如果 Zoom 收到任何來自客戶的消費者的直接要求時,Zoom 得 (i) 建議消費者就此類要求直接聯絡客戶,或 (ii) 聯絡客戶直接回應消費者。
第 C 條 – 維吉尼亞州、科羅拉多州、猶他州與其他州。 本附錄的第 C 條適用於在 Zoom 提供服務和客戶使用服務的範圍內,倘客戶是個人資料控制者,並由 Zoom 依據適用的州立資料保護法處理客戶個人資料。
- 定義。 在本附錄第 C 條中:(a)「適用的州立資料保護法」係指 (i) 經修訂的 2021 年《科羅拉多州隱私法》、2021 年《維吉尼亞州消費者資料保護法》或 2022 年《猶他州消費者隱私法》,或 (ii) 任何其他為保護個人資料所制定的適用美國州法,以客戶為資料控制方而 Zoom 為資料處理方,且本附錄的條款及條件符合此類州法要求者;(b)「資料控制者」、「個人資料」、「處理」和「資料處理者」應依適用的州立資料保護法具有各自含義;(c)「指示」含義如下。
- 個人資料的處理:角色、範圍與責任。
- 各方確認並同意以下內容:客戶是其個人資料的控制者。 Zoom 是客戶個人資料的處理者。
- 僅在必要和合乎比例的範圍內,客戶做為資料控制者指示 Zoom 以資料處理者的身分代表客戶進行下列行動 (以下合稱「指示」):
- 提供及更新依客戶及其使用者所許可、設定和使用的服務,包括透過客戶對 Zoom 的設定、管理員控制或其他服務功能的使用;
- 保障和即時監控服務;
- 解決問題、漏洞及錯誤;
- 提供客戶要求的支援,包括運用從個別客戶支援要求所取得的知識,以使 Zoom 的所有客戶均能受益,但僅限於將此類知識匿名化;及
- 依協議 (包括本附錄和隨附的附錄 A) 所載內容及任何其他由客戶提供並經 Zoom 認可構成指示的書面指示,處理客戶個人資料。
- 在 Zoom 擔任客戶個人資料處理方的範圍內,Zoom 應僅依據客戶指示處理客戶個人資料。 客戶應確保其向 Zoom 傳達的指示符合所有適用於客戶個人資料的法律、規則和規章,且依據客戶指示處理客戶個人資料不會導致 Zoom 違反適用的州立資料保護法。 客戶對以下內容的準確性、品質及合法性負全責:(i) 由客戶或代表客戶者向 Zoom 提供的客戶個人資料;(ii) 客戶取得此類客戶個人資料的方式;以及 (iii) 客戶向 Zoom 傳達關於處理此類客戶個人資料的指示。 客戶不應向 Zoom 提供任何違反協議或本附錄的客戶個人資料。
- 客戶授權 Zoom 在有限情況下掃描和回報個人資料 (例如用於偵測及回報兒童性虐待內容;遵守其他適用法律;確保符合 Zoom 的可接受使用準則)。
- 被授權的人員。 Zoom 應確保所有被授權處理客戶個人資料的人員瞭解客戶個人資料的保密性質,並對該資料負保密責任。
- 分包商與輔助處理商。 在 Zoom 做為資料處理者的範圍內,客戶在此概括授權 Zoom 依據第 C(4) 條之規定聘請分包商與輔助處理商。
- 客戶批准 Zoom 聘請公告於 https://explore.zoom.us/zh-tw/subprocessors/ 的供應商來處理客戶個人資料。
- Zoom 得移除、取代或指定額外的供應商。 客戶只要在 https://explore.zoom.us/zh-tw/subprocessors/ 訂閱更新,Zoom 應通知客戶與供應商聘請相關的任何變更。 在適用的州立資料保護法要求下,Zoom 也應提供客戶依第 C(4)(d) 條和第 C(4)(e) 條拒絕聘請的機會。
- 在涉及服務可用性或安全的緊急情況下,Zoom 在移除、取代或指定分包商時,無需向客戶發出事前通知,但應在更換分包商的 7 個工作天內向客戶發出變更通知。
- 無論是哪種情況,客戶得在收到前述 Zoom 發出的通知後的 15 個工作天內,以書面方式拒絕聘請該分包商。
- 若客戶拒絕聘請新分包商,Zoom 有權透過下列選項之一改正該項拒絕 (由 Zoom 自行決定):
- 攸關客戶個人資料,Zoom 得取消其聘請分包商的計畫。
- 攸關客戶個人資料,Zoom 得採取客戶在反對意見中要求的改善措施 (消除客戶的反對意見),並繼續聘請分包商。
- 攸關客戶個人資料,當分包商之聘請涉及服務的特定方面時,Zoom 得停止提供,或客戶得同意不使用 (暫時性或永久性)。 如在聘請上有商業上合理的替代方案,Zoom 應提供客戶一份書面說明,包括但不限於對服務的修改。 如果 Zoom 自行決定無法提供任何此類替代方案,或是客戶不同意 Zoom 提供的任何此類替代方案,Zoom 和客戶得提前在 60 個工作天發出書面通知,終止協議和本附錄。 終止協議並未免除客戶在協議終止生效日期止對 Zoom 的服務所拖欠的任何費用或收費。
- 如果客戶在收到 Zoom 通知後的 15 個工作天內未提出反對聘請新分包商,該新分包商應被視為接受。
- Zoom 應僅根據書面合約聘請新分包商來處理客戶個人資料,並要求分包商遵守 Zoom 就分包此類個人資料所列的任何義務。 如果分包商未能履行其資料保護義務,Zoom 對客戶負有法律責任,責任範圍與 Zoom 自身在本附錄下之作為或不作為所應承擔之義務相同。
- 資訊安全。 考量到處理背景,在處理客戶個人資料時,Zoom 應根據本附錄和協議的明文規定,透過維持與客戶個人資料有關的適當技術與組織措施,以確保針對風險達到適當級別的安全。
- 合規性資訊。 經客戶合理要求,Zoom 應依據適用法律向客戶提供 Zoom 所擁有的合理資訊,以證實 Zoom 遵守其在本附錄中的義務。
附錄 A
處理說明
從資料控制者到資料處理者
處理的性質與目的:Zoom 將依據協議 (包括本附錄) 為下列目的處理客戶個人資料:
- 提供及更新依客戶及其使用者所許可、設定和使用的服務,包括透過客戶對 Zoom 的設定、管理員控制或其他服務功能的使用;
- 保障和即時監控服務;
- 解決問題、漏洞及錯誤;
- 提供客戶要求的支援,包括運用從個別客戶支援要求所取得的知識,以使 Zoom 的所有客戶均能受益,但僅限於將此類知識匿名化;
- 如協議及或本附錄所載,或任何其他由客戶提供並經 Zoom 認可構成指示的書面指示;及
- 為遵循法律責任所需。
被處理的個人資料類型:
Zoom 帳戶個人資料資訊:與終端使用者的 Zoom 帳戶、個人資料圖片、密碼、公司名稱以及客戶偏好相關的資料。 這包括:
- Zoom 獨一無二的使用者 ID,
- 個人資料圖片 (選用)
診斷資料:
會議詮釋資料:攸關服務使用的指標,包括會議進行的時間與方式)。
此類別包括:
- 事件記錄 (包括採取的行動、事件類型與子類型、應用程式內的事件位置、時間戳記、客戶 UUID、使用者 ID 和會議 ID)
- 會議工作階段資訊,包括頻率、平均和實際持續時間、數量、品質、網路活動和網路連接
- 會議次數
- 螢幕分享次數與非螢幕分享工作階段
- 與會者人數
- 會議主持人資訊
- 主持人名稱
- 會議 URL
- 會議開始/結束時間
- 加入方法
- 表現、除錯與診斷資訊
遙測資料:由本地安裝軟體所收集的資料 (有關 Zoom 服務部署及相關系統環境/技術資訊的應用程式及瀏覽器資訊。 這包括:
- 電腦名稱
- 麥克風
- 喇叭
- 攝影機
- 網域
- 硬碟 ID
- 網路類型
- 作業系統類型和版本
- 用戶端版本
- MAC 位址
- 事件記錄 (包括採取的行動、事件類型與子類型、應用程式內的事件位置、時間戳記、客戶 UUID、使用者 ID 和會議 ID)
- 服務記錄 (攸關系統事件與狀態的資料)
其他服務產生的資料:
- 垃圾識別
- 推送通知
- Zoom 永續性唯一識別碼,例如與其他資料因素相結合的 UUID 或使用者 ID,包括:
- IP 位址
- 資料中心
- 電腦名稱
- 麥克風
- 喇叭
- 攝影機
- 網域
- 硬碟 ID
- 網路類型
- 作業系統類型和版本
- 用戶端版本
- 網路路徑上的 IP 位址
支援資料:
- 要求支援的聯絡人姓名、時間、主題、問題描述、會議後的意見反應 (贊成/反對)
- 使用者提供的附件,包括錄製記錄、逐字稿或螢幕截圖、會議後的意見反應 (提供反對意見的開放式文檔
處理的持續時間:協議期間,以及直到 Zoom 刪除或返還代表客戶處理的所有客戶個人資料期限。
Zoom 可不時對本隱私權附錄進行變更或補充。 對隱私權附錄的任何此類修訂都將張貼在此。 如果您想收到有關本隱私權附錄的變更或補充通知,請在下方的文字方塊中提供您的電子郵件地址。