GitHub 私人信息移除政策

本文内容

我们仅为违反GitHub 服务条款(例如,当您的安全受到暴露的访问凭据威胁时)的高风险内容提供此私人信息移除流程,这是一项例外服务。本指南介绍了 GitHub 需要您提供哪些信息才能处理从存储库中移除私人信息的请求。

什么是私人信息?

就本文件而言,“私人信息”是指 (i) 应保密,并且 (ii) 公开可用会对您或您的组织构成特定或有针对性的安全风险的内容。

“安全风险”是指涉及暴露于人身危险、身份盗窃或增加对物理或网络设施未经授权访问的可能性的情况。

私人信息移除请求适用于:

  • 访问凭据,例如用户名与密码、访问令牌或其他敏感秘密组合,这些凭据可以授予您对组织的服务器、网络或域的访问权限。
  • AWS 令牌和其他类似的访问凭据,这些凭据代表您授予第三方访问权限。您必须能够证明该令牌确实属于您。
  • 构成组织特定安全风险的文档(例如网络图或架构)。
  • 信息与您作为个人相关的,并对您构成安全风险的信息(例如社会安全号码或其他政府身份证号码)。

私人信息移除请求适用于:

  • 仅内部服务器名称、IP 地址和 URL。您必须能够证明其在特定文件或代码片段中的使用构成了安全威胁。
  • 仅仅提及您公司身份、名称、品牌、域名或 GitHub 文件中对您公司的其他引用。您必须能够阐明使用您公司身份的原因会对您公司安全态势构成威胁。
  • 不构成特定安全风险的整个文件或存储库,但您认为它们在其他方面令人反感。
  • 移除可能侵犯您或您组织版权的内容的请求。如果您对 GitHub 如何处理与版权相关的事务有疑问,或者想要举报可能侵犯版权的内容,请查看我们的DMCA 下架政策。私人信息移除流程通常并非旨在移除完整的文件或存储库——仅用于移除这些文件中的特定私人信息片段。虽然可能存在文件完全包含私人信息的情况,但您必须证明移除此类文件的安全风险,这可能会增加处理请求所需的时间。
  • 商标争议。如果您对 GitHub 如何处理与商标相关的事务有疑问,或者想要举报包含您组织的商标或服务标记的内容,请查看我们的商标政策
  • 隐私投诉。如果您希望访问、转移、更改或删除您在 GitHub 上的个人信息,请通过我们的隐私联系表单联系我们。
  • 受我们的社区指南管辖的内容,例如恶意软件或通用工具。如果您对我们的社区指南有任何疑问,或者认为 GitHub 上的内容可能违反了我们的指南,您可以通过GitHub 支持门户联系我们以举报内容。

需知事项

先礼貌地询问。在向我们发送数据移除请求之前,一个很好的第一步是尝试直接联系用户。他们可能在其公共个人资料页面或存储库自述文件或支持文件中列出了联系信息,或者您可以通过在存储库中创建问题或拉取请求来取得联系。这不是严格要求的,但值得赞赏。

禁止使用机器人。 您应该请经过培训的专业人士评估您发送的每个请求的事实。如果您将工作外包给第三方,请确保您了解他们的运作方式,并确保他们没有使用自动化机器人批量提交投诉。这些投诉通常包含不构成任何安全威胁的数据,并且没有充分的解释,需要额外的来回沟通并导致延迟,即使投诉有效也是如此。

发送正确的请求。 如上所述,我们仅将此私人信息删除流程作为一项特殊服务提供,仅用于高风险内容。我们无法使用此流程删除其他类型的内容,例如可能侵权的内容,并且在处理私人信息删除请求的同时,我们也无法处理任何其他类型的删除请求。如果您将私人信息删除请求与任何删除可能侵权内容的请求分开发送,我们将能够更快地帮助您。如果您不确定您的请求是否仅涉及私人信息,或者还涉及其他法律问题,请咨询法律顾问。

处理时间。 虽然我们尽可能快地处理私人信息删除请求,但由于我们处理的请求数量众多,您的请求可能需要一些时间才能得到审核。额外的请求或来自其他联络点的多个请求可能会导致延迟。

这实际上是如何运作的?

  1. 投诉者调查。 请求方有责任进行自己的调查,并向我们提供所需详情——最重要的是,解释数据如何构成安全风险。GitHub 无法代表任何个人或组织搜索或初步确定私人信息。

  2. 投诉者发送私人信息删除请求。 进行调查后,投诉者准备并向 GitHub 发送私人信息删除请求。如果请求的细节不足以证明安全风险并让 GitHub 定位数据,我们将回复并索要更多信息。

  3. GitHub 要求用户进行更改。 在大多数情况下,我们将联系创建存储库的用户,并给他们机会删除或修改请求中指定的私人信息,或对索赔提出异议。

  4. 用户通知 GitHub 已进行更改。 如果用户选择进行指定的更改,他们必须在允许的时间范围内告知我们。如果他们没有这样做,我们将禁用存储库。如果用户通知我们他们已进行更改,我们将验证更改是否已完成并通知投诉者。

  5. 用户可以对请求提出异议。 如果用户认为相关内容不是本政策所涵盖的私人信息,他们可以提出异议。如果是这样,我们通常会让投诉者与用户联系,并在合理范围内直接解决问题。

  6. 投诉者审核更改。 如果用户进行了更改,投诉者必须对其进行审核。如果更改不足,投诉者必须向 GitHub 提供详细说明原因的信息。GitHub 可能会禁用存储库或给予用户另一次机会进行更改。

  7. 用户可以请求额外的时间窗口来进行更改。 如果用户错过了删除通知中指定的私人信息的机会,我们可以根据请求允许他们额外大约 1 个工作日的时间来进行这些更改。在这种情况下,GitHub 将通知投诉者。

分支机构如何处理?(或什么是分支机构?)

GitHub 最好的功能之一是用户可以“分支”彼此的存储库。这是什么意思?从本质上讲,这意味着用户可以将 GitHub 上的项目复制到他们自己的存储库中。根据许可证或法律的规定,用户可以对该分支进行更改,将其推回主项目或仅将其保留为项目的变体。这些副本中的每一个都是原始存储库的“GitHub 词汇表”,而原始存储库反过来也可以称为该分支的“父项”。

禁用父存储库时,GitHub 不会自动禁用分支机构。这是因为分支机构属于不同的用户,并且可能已经以重大方式进行了更改。GitHub 不会对分支机构进行任何独立调查。我们期望发送私人信息删除请求的人员进行调查,并且如果他们认为分支机构也包含私人信息,则明确地在他们的请求中包含分支机构。

如果您在提交通知时已识别该存储库的所有现有分支机构,那么在我们处理通知时,我们将处理针对该网络中所有分支机构的有效索赔。鉴于所有新创建的分支机构都可能包含相同内容的可能性,我们将这样做。此外,如果包含报告内容的报告网络大于一百 (100) 个存储库,因此难以完整审核,如果您在通知中声明,基于您已审核的具有代表性的分支机构数量,您认为所有或大部分分支机构都包含父存储库中报告的内容,我们可能会考虑禁用整个网络。

发送私人信息删除请求

由于 GitHub 托管的内容类型(主要是软件代码)和内容管理方式(使用 Git),我们需要投诉尽可能具体。为了验证用户是否已完全删除报告的私人信息,我们需要确切知道在哪里查找。

这些指南旨在使处理删除私人信息的请求尽可能直接。

您的请求必须包含:

  1. 包含私人信息的每个文件的可工作、可点击的链接。(请注意,我们无法根据搜索结果、示例或屏幕截图进行操作。)
  2. 每个文件中包含私人信息的具体行号。
  3. 简要说明您已识别的每个项目如何对您或您的组织构成安全风险。务必说明数据如何构成安全风险,而不仅仅是声明它确实构成安全风险。
  4. 如果您是代表面临安全风险的组织的代理第三方,请声明您有权代表该组织行事。
  5. 可选:让我们知道您的请求是否特别紧急,以及原因。我们尽快回复所有私人信息删除请求。但是,如果此请求特别紧急,例如最近的凭据泄露,请说明原因。

如何提交您的请求

您可以通过我们的联系表格提交删除私人信息的请求。请在邮件正文中包含您的请求的纯文本版本。将您的请求作为附件发送可能会导致处理延迟。

争议

如果您收到了我们的私人信息删除请求,您可以通过回复我们的电子邮件并尽可能详细地告诉我们您认为相关内容为什么不是本政策所涵盖的私人信息来提出异议。