與荷蘭研究教育協會共同協作,提升 Zoom 資料隱私權保護

今天,我們非常高興地宣布,由 SURF 發布的有關 Zoom Meetings、Webinar 及 Chat 服務的資料保護影響評估 (DPIA),已經正式發表。
SURF 僅代表其會員與主要軟體供應商進行談判,取得並評估其工具是否符合歐洲隱私權與安全性標準,並將結果紀錄在 DPIA 中。 這能讓 SURF 會員在購買軟體,例如視訊會議工具時,擁有更自由的選擇。
由 SURF 所發表的 DPIA,代表技術供應商的一項重要依據,能夠準確追蹤目前資料保護和風險分析的表現,同時挖掘能增進實務的機會。
Zoom 對 SURF 籌劃此 DPIA 的協作深表感謝。 除了支援 Zoom 繼續改善其資料隱私權的保護方式,DPIA 也反映出 Zoom 對於歐洲資料保護政策與原則的尊重。 Zoom 致力於拓展自身與歐洲企業、政府和公民之間的聯繫。
什麼是 DPIA?
DPIA 是對一間公司資料收集與使用的方式,進行技術與法律層面的詳細審查,以確定其是否符合歐盟 (EU) 資料保護法,特別是針對歐盟通用資料保護條例 (GDPR)。 DPIA 分析公司處理個人資料的方式、識別與該處理作業相關的任何風險,並提供降低風險的措施。
在 DPIA 的評估過程中,Zoom 指定其資料收集和使用實務,並提供證據來證明實踐方式。 SURF 評估 Zoom 當前的能力,並在 DPIA 改善實務中提出建議,一切努力都是為了加強對歐洲公民的資料保護。
評估結果發表於此公告下方。
自 DPIA 發展出的關鍵行動
SURF 和 Zoom 於 DPIA 的協作過程中同意進行數項行動。 這些行動包括:
- 開發新的隱私權功能:
- 資料位置解決方案:在歐盟的 Zoom 客戶對在美國處理個人資料有所顧慮,並希望所有個人資料都於歐盟境內處理。 Zoom 與 SURF 的諮詢過程中,決定於今年底之前盡可能實踐此目標。 所有例外情況都需達成一致同意並紀錄。
- 歐盟支援服務:Zoom 將於 2022 年上半年建立一個獨立支援歐盟的服務中心,於歐盟地區的上班時間支援歐盟境內的帳戶。 如果歐盟境內的帳戶在上班時間之外需要支援,或者於歐盟境外尋求幫助時,Zoom 會於客戶明確同意後,以支援門票的方式予以支援。
- 資料主體存取要求 (DSAR):Zoom 將經由企業和教育帳戶管理員使用的兩種自助服務工具,加強回應客戶 DSAR 的能力。
- 偏好的通訊中心:Zoom 將於 2022 年底之前,為所有帳戶擁有者開發市場所偏好的自助服務工具。
- 改善透明度與文件證明:
- 隱私權資料表:Zoom 定期發布隱私權資料表,改善處理個人資料的公開文件。
- 更新資料傳出影響評估 (DTIA):Zoom 根據瑞士法律學者 David Rosenthal 建立的格式,製作新的 DTIA。 根據 DTIA 顯示,使用 Zoom 時所面臨的個人隱私權風險為可忽略程度。
- 闡明 Zoom 角色與責任:Zoom 同意適當重新自我歸類,將自身視為所有個人資料的資料處理方,惟在特定限制情況下,如教育和企業客戶 (資料控管方) 授權其「進一步」處理部分個人資料時,則視為獨立資料控管方。 這也適用於 Zoom 藉由其公開網站蒐集個人資料的狀況。
- 增強 Zoom 的資料保護實務:
- 個人資料保留:Zoom 已闡明,將以實際方式減少其保留的個人資料。
- 設計和預設隱私權:Zoom 將於整個產品開發生命週期中,藉由設計和預設程序,實行更為全面且積極的隱私權保護。
- 員工訓練:Zoom 正在為員工部署新訓練,以確保員工在散播快樂的同時,也考慮到隱私權保護。
- 評估進度:Zoom 與 SURF 一起紀錄提升資料保護的機會,以及實踐目標的方向。 SURF 和 Zoom 將每兩個月討論一次進度。
資料保護的新視野
Zoom 指出,SURF 與 Zoom 之間的協作,無論是 DPIA 或是未來的展望,都有助於 Zoom 制定標準,並發展資料隱私權和保護策略。
正如 DPIA 所述,「多虧 Zoom 的許多改善措施,以及新的 DPA 對特定用途的限制,Zoom 的客戶能夠依賴於受認證的隱私權控制,防止個人資料用於處理授權以外的目的」。
如欲深入瞭解 Zoom 的隱私權和安全性,請參閱 Trust Center。