GitHub 私人信息删除政策

本文内容

我们将此私人信息删除流程作为一种例外服务,仅针对违反GitHub 服务条款的高风险内容提供,例如当您的安全因暴露的访问凭证而受到威胁时。本指南描述了 GitHub 为处理从仓库中删除私人信息而需要您提供的资料。

什么是私人信息?

在本文件中,“私人信息”指的是(i)本应保持机密的内容,并且(ii)其公开可用会对您或您的组织造成特定或针对性的安全风险。

“安全风险”指涉及身体危险、身份盗窃或增加未经授权访问实体或网络设施可能性的情形。

以下情形适合提交私人信息删除请求:

  • 访问凭证,例如用户名配合密码、访问令牌或其他可授予对贵组织服务器、网络或域的访问的敏感密钥。
  • AWS 令牌及其他类似的访问凭证,可代表您向第三方授予访问权限。您必须能够证明该令牌属于您。
  • 会对组织造成特定安全风险的文档(如网络拓扑图或架构说明)。
  • 信息与您个人相关且构成安全风险(例如社会保障号码或其他政府身份证号码)。

以下情形不适合提交私人信息删除请求:

  • 仅有内部服务器名称、IP 地址和 URL。您必须能够证明这些信息在特定文件或代码片段中的使用构成安全威胁。
  • 仅在 GitHub 上的文件中提及贵公司的身份、名称、品牌、域名或其他公司相关信息。您必须阐明为何使用贵公司的身份会威胁到公司的安全姿态。
  • 整个文件或仓库本身并未构成特定安全风险,但您认为其内容令人反感。
  • 请求删除可能侵犯您或您组织版权的内容。如果您想了解 GitHub 如何处理版权相关事宜或希望举报可能侵权的内容,请查阅我们的DMCA 删除政策。私人信息删除流程通常不用于删除完整文件或仓库——仅用于删除其中的特定私人信息。虽然也可能出现文件全部由私人信息组成的情况,但您必须说明删除此类文件的安全风险,这可能会延长处理时间。
  • 商标争议。如果您想了解 GitHub 如何处理商标相关事宜或希望举报包含贵组织商标的内容,请查阅我们的商标政策
  • 隐私投诉。如果您希望访问、转移、更改或删除 GitHub 上的个人信息,请通过我们的隐私联系表单与我们联系。
  • 受我们社区规范管辖的内容,例如恶意软件或通用工具。如果您对社区规范有疑问或认为 GitHub 上的内容可能违反规范,可通过GitHub 支持门户举报内容。

需要了解的事项

先礼后兵。 在向我们提交删除请求之前,建议先尝试直接联系对应用户。他们可能在公开的个人资料页面、仓库的 README 或 Support 文件中留下了联系方式,亦或您可以通过在仓库中创建 Issue 或 Pull Request 与其取得联系。虽然这并非强制要求,但我们非常感谢您的配合。

不要使用机器人。 您应由受过培训的专业人员审查每一次请求的事实。如果您将工作外包给第三方,请确保了解其操作方式,并确认其未使用自动化机器人批量提交投诉。这类投诉往往包含并非安全威胁的数据,且缺乏充分说明,导致需要来回沟通,从而拖慢处理进度,即使投诉本身有效。

提交正确的请求。 如上所述,我们仅将此私人信息删除流程作为针对高风险内容的例外服务。我们无法利用此流程删除其他类型的内容,例如潜在侵权内容,也无法在处理私人信息删除请求的同时处理其他删除请求。若您将私人信息删除请求与潜在侵权内容的删除请求分开提交,我们能够更快为您提供帮助。如果您不确定请求是否仅涉及私人信息,还是同时涉及其他法律事项,请咨询法律顾问。

处理时间。 虽然我们会尽可能快速地处理私人信息删除请求,但由于请求量大,审查您的请求可能需要一定时间。额外的请求或来自多个联系人点的请求可能导致延迟。

这到底是怎么运作的?

  1. 投诉方自行调查。 发起请求的一方需要自行进行调查,并向我们提供我们要求的详细信息——最重要的是说明数据如何构成安全风险。GitHub 无法代表个人或组织自行搜索或初步判断私人信息。

  2. 投诉方向 GitHub 发送私人信息删除请求。 完成调查后,投诉方准备并发送私人信息删除请求给 GitHub。如果请求细节不足,无法展示安全风险或让 GitHub 定位到数据,我们将回复并要求补充信息。

  3. GitHub 要求用户进行更改。 在大多数情况下,我们会联系创建仓库的用户,给他们机会删除或修改请求中指定的私人信息,或对声明提出争议。

  4. 用户通知 GitHub 已完成更改。 如果用户选择进行上述更改,他们必须在被给予的时间窗口内告知我们。若未在期限内完成,我们将禁用该仓库。若用户通知我们已完成更改,我们会核实并通知投诉方。

  5. 用户可对请求提出争议。 若用户认为所涉内容不属于本政策规定的私人信息,可提出争议。若出现争议,我们通常会让投诉方自行联系用户并在合理范围内直接协商解决。

  6. 投诉方审查更改。 若用户已完成更改,投诉方必须进行审查。若更改仍不足以消除风险,投诉方需向 GitHub 提供进一步解释。GitHub 可能会禁用仓库或给予用户再次更改的机会。

  7. 用户可请求额外的更改时间窗口。 若用户错过了删除通知中指定私人信息的机会,我们可在其请求后再提供约 1 个工作日的额外窗口进行更改。届时,GitHub 将通知投诉方。

关于 Fork(分叉)怎么办?

GitHub 最受欢迎的功能之一是用户可以“fork”他人的仓库。这意味着什么?本质上,用户可以将 GitHub 上的项目复制到自己的仓库中。根据许可证或法律的允许,用户随后可以对该 fork 进行修改,以推送回主项目或仅作为自己的项目变体保存。每一个复制都是原始仓库的GitHub 术语,亦可称为 fork 的“父仓库”。

在禁用父仓库时,GitHub 不会自动禁用其 fork。这是因为 fork 属于不同的用户,且可能已被显著修改。GitHub 不会对 fork 进行独立调查。我们期望提交私人信息删除请求的人员自行完成此类调查,并在认为 fork 也包含私人信息时,在请求中明确列出这些 fork。

如果您在提交通知时已列出该仓库的全部已有 fork,我们将在处理该通知时对网络中当时所有有效的 fork 进行处理。我们会基于所有新创建的 fork 很可能包含相同内容的前提进行操作。此外,若包含被举报内容的网络超过一百(100)个仓库,整体审查难度较大,您在通知中说明已审查的代表性 fork 数量足以表明大多数或全部 fork 包含父仓库中报告的内容时,我们可能会考虑禁用整个网络。

发送私人信息删除请求

由于 GitHub 托管的内容主要是软件代码,且这些内容是通过 Git 管理的,我们需要请求尽可能具体。为确保我们能验证用户已完整删除报告的私人信息,必须明确告知我们应检索的位置。

以下指南旨在让私人信息删除请求的处理过程尽可能简洁明了。

您的请求必须包括:

  1. 每个包含私人信息的文件的可点击、有效链接。(请注意,我们无法从搜索结果、示例或截图中获取信息。)
  2. 每个文件中包含私人信息的具体行号。
  3. 简要说明您识别的每项内容如何对您或您的组织构成安全风险。请务必提供数据构成安全风险的具体解释,而不仅仅是说明其为风险。
  4. 如果您是代表面临安全风险的组织的第三方代理,请在请求中注明您拥有合法授权代表该组织行事。
  5. 可选:如果您的请求非常紧急,请说明原因。我们会尽快响应所有私人信息删除请求。但若此请求极具时效性(例如最近的凭证泄露),请务必解释原因。

如何提交您的请求

您可以通过我们的联系表单提交删除私人信息的请求。请在消息正文中直接粘贴纯文本版的请求。若将请求放在附件中,可能导致处理延迟。

争议

如果您收到我们发出的私人信息删除请求,可通过回复我们的电子邮件进行争议,并尽可能详细地说明为何您认为相关内容不属于本政策所定义的私人信息。

© . This site is unofficial and not affiliated with GitHub, Inc.