Zoho Mail 符合 GDPR 要求

《一般数据保护条例》(GDPR) 是欧盟委员会实施的一项欧洲数据保护条例，旨在监管个人数据的安全。  GDPR 自 2018 年 5 月 25 日起生效。任何机构在以任何方式使用欧盟居民的个人数据时，无论它们位于何处，都有义务保护这些数据。在此页面中，您可以找到用户提出的一些 GDPR 相关问题的答案，Zoho Mail 为确保我们遵守 GDPR 而采取的措施的详情，以及我们为帮助用户履行合规义务而向他们提供的其他服务。 

个人数据收集 - 始终合规

在 Zoho Mail，我们一直相信隐私的重要性，相信永远不应侵犯个人数据和用户隐私。因此，我们积极履行 GDPR。正如我们向用户强调的那样，我们从不投放广告，也从不依赖广告作为收入来源。除了用户使用我们的服务所必需的信息外，我们从不需要也不会收集用户的个人信息。在我们获取用户信息的每个时间点，我们都会清晰说明数据的用途以及数据的使用方式。

用户可以根据自己的要求，决定是否使用特定功能。

Zoho Mail 的 GDPR 就绪性

我们一直尊重用户隐私，为此特别制定了一套明确的个人数据处理规则和政策。以下是与 GDPR 相关的一些要点。 

数据安全性

Zoho Mail 的每一层都具有内置安全功能。特别是，我们通过满足 ISO 27001 和 SOC 2 Type 2 的行业标准，证明了我们对数据隐私和保护的承诺。此外，Zoho Corporation 参与并证明其符合欧盟-美国相关规定。我们相信，遵守 GDPR 将激励我们，推动我们在保护客户数据以及继续成为安全的电子邮件服务之一方面朝着最高的运营标准迈进。

数据托管（位置）

Zoho 服务器位于美国、欧盟、中国、印度和澳大利亚安全的数据中心。您的服务数据的具体托管区域取决于管理员注册 Zoho Mail 帐户时选择的 Zoho 域。 

下表列出了 Zoho 域及其各自的托管位置。

数据加密

作为 GDPR 合规性的一部分，我们可以帮您将服务数据从我们位于美国的数据中心迁移到位于欧盟的数据中心。迁移可以根据用户的请求进行处理，自迁移开始之日起最多可能需要 5 个工作日。在数据迁移期间，服务不应出现任何停机。 

通过 POP/IMAP/SMTP 使用 Zoho Mail 时的数据传输通过传输层安全 (TLS) 协议进行加密。我们还使用新的安全加密机制，例如 AES_CBC/AES_GCM 256 位/128 位密钥进行电子邮件加密。这些措施可确保您的 Zoho Mail 数据免受未经授权的访问、披露或修改。Web 中的所有数据传输都在安全模式 (HTTPS) 下进行。 

Zoho Mail 中存储的服务数据经过静态加密 (EAR)。所有数据在传输过程中也会进行加密。我们相信，我们在数据中心的高度安全的物理控制和运输级加密可确保您的数据得到良好的保护。 

数据访问

每个用户只能访问专为其创建的电子邮件帐户。如果用户是管理员创建的群组的一员，则可以访问发送到群组的电子邮件，这些电子邮件可由管理员使用群组的审核设置进行控制。除此之外，在收到明确共享给自己的电子邮件或文件夹时，用户可以访问该数据，前提是所有者允许他/她这样做。

数据纠正

用户可以编辑其个人资料中的个人信息，但不能编辑管理员提供的电子邮件地址。组织管理员有权添加电子邮件别名、删除别名或更改用户的主电子邮件地址。 

数据删除

我们在 Web 界面中提供了相关功能，可帮助用户删除其数据。您可以使用“删除”选项删除电子邮件数据。当您删除用户时，与该用户关联的数据也将被安排予以删除，并将在实际删除用户后 30 天内彻底删除。 

数据可移植性

Zoho Mail 提供了从您的帐户导出电子邮件数据的功能。导出的电子邮件以 ZIP 格式呈现。管理员可以导出组织中用户的数据，用户也可以导出自己的数据。管理员可以控制用户能否导出数据。 

数据保留

您删除的电子邮件将被移动到回收站中。回收站中的文件可以恢复，直至系统自动清理。Zoho Mail 中的数据保留期为 30 天。之后，电子邮件将被永久删除。 

数据披露

数据披露是服务内的访问级别，只有授权用户才能访问、更改或删除服务数据。在组织设置中，管理员有权更改用户数据的某些部分，例如姓名、个人资料头像等。同样，管理员还可以删除用户、将其添加到群组或从群组中移除、创建/移除别名、设置邮件策略和导出用户数据以满足备份或合规性目的。 

审计日志

数据审计可帮助您保护系统安全，并监控在控制面板中执行的与组织管理相关的活动或控制面板的使用趋势。管理员活动日志可记录管理员在控制面板中执行的操作，并将在控制面板中提供有关各种活动的信息，还能以 CSV 格式从控制面板导出这些信息。