GitHub 私人信息删除政策

本文内容

我们仅将此私人信息删除流程作为一项特殊服务提供给违反 GitHub 服务条款 的高风险内容,例如当您的安全因公开的访问凭证而面临风险时。本指南介绍了 GitHub 从您处获取的信息,以便处理从存储库中删除私人信息请求。

什么是私人信息?

在本文件中,“私人信息”是指 (i) 应保密且 (ii) 公开可用性会对您或您的组织构成特定或有针对性的安全风险的内容。

“安全风险”是指涉及人身危险、身份盗窃或未经授权访问物理或网络设施的可能性增加的情况。

私人信息删除请求适用于:

  • 访问凭证,例如与密码、访问令牌或其他敏感机密相结合的用户名,这些凭证可以授予对您组织的服务器、网络或域的访问权限。
  • AWS 令牌和其他类似访问凭证,代表您授予第三方访问权限。您必须能够证明令牌属于您。
  • 对组织构成特定安全风险的文档(例如网络图或架构)。
  • 信息与您作为个人相关的并对您构成安全风险(例如社会安全号码或其他政府身份号码)。

私人信息删除请求适用于:

  • 内部服务器名称、IP 地址和 URL(单独使用)。您必须能够证明它们在特定文件或代码片段中的使用会构成安全威胁。
  • 在 GitHub 上的文件中仅仅提及贵公司的身份、名称、品牌、域名或其他对贵公司的引用。您必须能够阐明为何使用贵公司的身份会对贵公司的安全态势构成威胁。
  • 不会造成特定安全风险的完整文件或存储库,但您认为有其他异议。
  • 移除可能侵犯您或您组织的版权权利的内容的请求。如果您对 GitHub 如何处理与版权相关的事项有疑问,或希望举报可能侵权的内容,请查看我们的DMCA 删除政策。私人信息移除流程通常不适用于移除完整文件或存储库,仅适用于那些文件中的特定私人信息。虽然在某些情况下,文件可能完全包含私人信息,但您必须证明移除此类文件的安全风险,这可能会增加处理您请求所需的时间。
  • 商标纠纷。如果您对 GitHub 如何处理与商标相关的事项有疑问,或希望举报包含您组织的商业或服务商标的内容,请查看我们的商标政策
  • 隐私投诉。如果您希望访问、转移、更改或删除您在 GitHub 上的个人信息,请通过我们的隐私联系表格联系我们。
  • 受我们的社区准则管辖的内容,例如恶意软件或通用工具。如果您对我们的社区准则有疑问,或认为 GitHub 上的内容可能违反我们的准则,您可以通过GitHub 支持门户联系我们举报内容。

需要了解的事项

首先礼貌询问。在向我们发送移除数据请求之前,一个很好的第一步是尝试直接联系用户。他们可能在其公开个人资料页面或存储库的 README 或支持文件中列出了联系信息,或者您可以通过在存储库中创建问题或拉取请求来取得联系。这并不是严格要求的,但会受到赞赏。

禁止使用机器人。您应该让经过培训的专业人员评估您发送的每项请求的事实。如果您将工作外包给第三方,请确保您了解他们的运作方式,并确保他们不会使用自动机器人批量提交投诉。这些投诉通常包含不构成任何安全威胁的数据,并且没有提供足够的解释,需要进行额外的来回沟通,即使投诉有效也会导致延迟。

发送正确的请求。如上所述,我们仅将此私人信息移除流程作为一项特殊服务提供给高风险内容。我们无法使用此流程移除其他类型的内容,例如可能侵权的内容,并且在处理私人信息移除请求时,我们无法同时处理任何其他类型的移除请求。如果您将私人信息移除请求与任何移除可能侵权内容的请求分开发送,我们将能够更快地为您提供帮助。如果您不确定您的请求是否仅涉及私人信息或还涉及其他法律问题,请咨询法律顾问。

处理时间。虽然我们确实会尽快处理私人信息移除请求,但由于我们处理的请求量很大,因此您的请求可能需要一些时间才能得到审查。其他请求或来自其他联系点的多个请求可能会导致延迟。

这实际上是如何工作的?

  1. 投诉人调查。请求方负责进行自己的调查,并向我们提供我们要求的详细信息——最重要的是,说明数据如何构成安全风险。GitHub 无权代表任何个人或组织搜索或做出有关私人信息的初步决定。

  2. 投诉人发送私人信息删除请求。在进行调查后,投诉人准备并向 GitHub 发送私人信息删除请求。如果请求的详细信息不足以证明安全风险,并且 GitHub 无法找到数据,我们将回复并要求提供更多信息。

  3. GitHub 要求用户进行更改。在大多数情况下,我们将联系创建存储库的用户,并给他们一个机会来删除或修改请求中指定的私人信息,或对索赔提出异议。

  4. 用户通知 GitHub 已进行更改。如果用户选择进行指定的更改,他们必须在允许的时间范围内告诉我们。如果他们没有这样做,我们将禁用存储库。如果用户通知我们他们已进行更改,我们将验证是否已进行更改,并通知投诉人。

  5. 用户可以对请求提出异议。如果用户认为有争议的内容不属于受此政策约束的私人信息,他们可以提出异议。如果他们这样做,我们通常会让投诉人联系用户,并在合理范围内与他们直接解决问题。

  6. 投诉人审查更改。如果用户进行更改,投诉人必须对其进行审查。如果更改不足,投诉人必须向 GitHub 提供解释原因的详细信息。GitHub 可能会禁用存储库或给用户额外的机会进行更改。

  7. 用户可以请求额外的窗口时间进行更改。如果用户错过了删除通知中指定的私人信息的机会,我们可能会在他们提出请求后允许他们额外大约 1 个工作日的窗口时间来进行这些更改。在那种情况下,GitHub 将通知投诉人。

分支呢?(或什么是分支?)

GitHub 最棒的功能之一是用户可以“分叉”彼此的存储库。这是什么意思?从本质上说,这意味着用户可以将 GitHub 上的项目复制到自己的存储库中。根据许可证或法律允许,用户可以对该分叉进行更改,以推回到主项目或仅作为自己项目的变体保留。这些副本中的每一个都是原始存储库的“GitHub 词汇表”,而原始存储库反过来也可以称为分叉的“父级”。

禁用父级存储库时,GitHub 不会自动禁用分叉。这是因为分叉属于不同的用户,并且可能以重要方式进行了更改。GitHub 不会对分叉进行任何独立调查。我们希望发送私人信息删除请求的人员进行调查,如果他们认为分叉也包含私人信息,请明确在请求中包含分叉。

如果您在提交通知时识别了该存储库的所有现有分叉,我们将在处理通知时处理该网络中所有分叉的有效索赔。我们这样做,因为所有新创建的分叉很可能包含相同的内容。此外,如果包含报告内容的报告网络大于一百 (100) 个存储库,因此难以对其进行全面审查,我们可能会考虑禁用整个网络,如果您在通知中声明,根据您审查的分叉的代表性数量,您认为所有或大多数分叉都包含父级存储库中报告的内容。

发送私人信息删除请求

由于 GitHub 托管的内容类型(主要是软件代码)以及管理内容的方式(使用 Git),我们需要投诉尽可能具体。为了让我们验证用户是否已完全删除报告的私人信息,我们需要确切知道在哪里查找。

这些准则旨在使处理删除私人信息的请求尽可能简单。

您的请求必须包括:

  1. 包含私人信息的每个文件的可点击链接。(请注意,我们无法根据搜索结果、示例或屏幕截图进行处理。)
  2. 包含私人信息的每个文件中具体的行号。
  3. 简要说明你识别的每一项如何对你或你的组织构成安全风险。重要的是,你提供一个关于数据如何构成安全风险的解释,而不仅仅是说明它构成了安全风险。
  4. 如果你是一个第三方,作为面临安全风险的组织的代理人,请包含一份声明,说明你有权代表该组织行事。
  5. 可选:告诉我们你的请求是否特别紧急,以及原因。我们会尽快回复所有私人信息删除请求。但是,如果此请求特别紧急,例如最近的凭据泄露,请说明原因。

如何提交你的请求

你可以通过我们的联系表格提交你的私人信息删除请求。请在你的邮件正文中包含你的请求的纯文本版本。以附件形式发送你的请求可能会导致处理延迟。

争议

如果你收到我们发出的私人信息删除请求,你可以通过回复我们的电子邮件并尽可能详细地告诉我们,为什么你认为有问题的內容不是受此政策约束的私人信息,来提出异议。