今天，我们很高兴地宣布，SURF 发布了关于 Zoom 会议、网络研讨会和聊天服务的数据保护影响评估 (DPIA)。

为了采购工具并评估其是否符合欧洲隐私和安全标准，SURF 代表其成员与主要软件供应商进行谈判，并将调查结果记录在 DPIA 中。 这使 SURF 的成员在购买视频会议工具等软件时拥有选择的自由。

SURF 发布的 DPIA 代表了技术提供商的重要基准 — 可准确跟踪当前的数据保护执行情况和风险分析，并确定加强实践的机会。

Zoom 非常感谢 SURF 在准备 DPIA 时给予的合作。 除了能够支持 Zoom 持续改进其数据隐私方法，DPIA 还体现了 Zoom 对欧洲数据保护政策和原则的尊重。 Zoom 致力于扩大与欧洲公司、政府和公民的接触。

DPIA 是什么？

DPIA 是指在技术和法律方面就公司数据收集和使用惯例开展的详细审查，从而确定是否符合欧盟 (EU) 数据保护法，尤其是通用数据保护条例 (GDPR)。 DPIA 会分析公司处理个人数据的方法，识别与该处理相关的风险，并提供降低这些风险的措施。

在 DPIA 评估过程中，Zoom 对其数据收集和使用惯例进行了说明，并提供了证明这些惯例的证据。 SURF 评估了 Zoom 的当前能力，并在 DPIA 中提出了改进惯例的建议，所有这些工作都是为了加强对欧洲公民的数据保护。

评估内容在本公告下方公布。

DPIA 中提出的关键行动

SURF 和 Zoom 在 DPIA 的合作过程中就几项行动达成了一致。 其中包括：

• 开发新的隐私功能：
  • 数据位置解决方案：欧盟 Zoom 客户担心在美国处理个人数据存在隐私方面的问题，他们希望在欧盟处理所有个人数据。 Zoom 已与 SURF 协商，承诺在今年年底前基本实现这一目标。 将对任何例外情况进行商定并记录在案。
  • 欧盟支持服务：Zoom 将在 2022 年年中之前建立一个单独的欧盟支持服务台，用于在欧盟办公时间为欧盟客户提供支持。 如果欧盟客户在上述时间以外需要支持，或者上报内容需要欧盟以外的支持，只有在客户明确表示同意的情况下 Zoom 才会为每个支持工单提供此类支持。
  • 数据主体访问请求 (DSAR)：Zoom 将为企业和教育账户管理员提供两种自助服务工具，增强客户响应 DSAR 的能力。
  • 沟通偏好中心：Zoom 将在 2022 年底前为所有账户所有者开发营销偏好自助工具。

• 改进透明度和文档：
  • 隐私数据表：Zoom 通过发布定期更新的隐私数据表改进了处理个人数据方面的公开文档。
  • 更新的数据传输影响评估 (DTIA)：Zoom 已根据瑞士法律学者 David Rosenthal 制定的格式生成了新的 DTIA。 DTIA 表明，使用 Zoom 所产生的个人隐私风险微乎其微。
  • 阐明 Zoom 的角色和职责：Zoom 同意将自己重新归类为所有个人数据的数据处理者是适合的，但教育和企业客户（数据控制者）授权其作为独立数据控制者“进一步”处理某些个人数据的有限情况除外。 这也适用于 Zoom 通过其公开网站收集的个人数据。

• 加强 Zoom 的数据保护实践：
  • 个人数据保留：Zoom 已明确并尽量减少其客户个人数据保留实践。
  • 事先设计好的默认隐私权：Zoom 将在其产品开发生命周期中使用事先设计好的默认流程更可靠积极地行使隐私权。  
  • 员工培训：Zoom 正在开展新的员工培训，确保他们在传达幸福感的同时始终考虑到隐私保护。

• 衡量我们取得的进步：Zoom 与 SURF 一起记录了数据保护的改进机会以及实现这些目标的路线图。 SURF 和 Zoom 将每两个月讨论一次进度。

数据隐私权的新视野

Zoom 表示，SURF 和 Zoom 之间的合作（无论是在 DPIA 方面还是面对未来）将有助于 Zoom 制定基准并发展他们的数据隐私和保护策略。

正如 DPIA 所指出的，“由于 Zoom 提供了许多改进措施，以及新的 DPA（含一系列限定性专门用途），Zoom 的客户应该能够依靠合同担保和隐私控制权防止在处理任何个人数据时超出这些授权目的。”

要详细了解 Zoom 隐私和安全的更多信息，请浏览我们的信任中心。