Руководство по юридическим запросам пользовательских данных

В этой статье

Вы сотрудник правоохранительных органов, проводящий расследование, которое может касаться пользовательского контента, размещенного на GitHub? Или, может быть, вы заботитесь о конфиденциальности и хотели бы знать, какую информацию мы передаем правоохранительным органам и при каких обстоятельствах. В любом случае, вы находитесь на правильной странице.

В этих рекомендациях мы немного расскажем о том, что такое GitHub, о типах данных, которые у нас есть, и об условиях, при которых мы будем раскрывать личную информацию пользователей. Однако, прежде чем мы углубимся в детали, вот несколько важных подробностей, которые вы, возможно, захотите узнать:

Об этих рекомендациях

Наши пользователи доверяют нам свои программные проекты и код — часто некоторые из их самых ценных деловых или личных активов. Для нас важно поддерживать это доверие, а это означает, что пользовательские данные должны быть безопасными, защищенными и конфиденциальными.

Хотя подавляющее большинство наших пользователей используют усдлуги GitHub для создания новых предприятий, создания новых технологий и общего улучшения человечества, мы понимаем, что с миллионами пользователей, разбросанных по всему миру, обязательно найдется несколько недоброжелателей. В этих случаях мы хотим помочь правоохранительным органам служить их законным интересам по защите населения.

Предоставляя рекомендации для сотрудников правоохранительных органов, мы надеемся найти баланс между часто противоречащими друг другу интересами конфиденциальности пользователей и правосудия. Мы надеемся, что эти рекомендации помогут сформировать ожидания обеих сторон, а также повысить прозрачность внутренних процессов GitHub. Наши пользователи должны знать, что мы ценим их личную информацию и делаем все возможное для ее защиты. Как минимум, это означает предоставление данных третьим сторонам только после выполнения соответствующих юридических требований. Кроме того, мы надеемся ознакомить специалистов правоохранительных органов с системами GitHub, чтобы они могли более эффективно составлять запросы на предоставление данных и получать только ту информацию, которая необходима для проведения расследования.

Терминология GitHub

Прежде чем просить нас раскрыть данные, может быть полезно понять, как реализована наша система. На GitHub размещены миллионы репозиториев данных, использующих систему контроля версий Git. Хранилища на GitHub, которые могут быть общедоступными или частными, чаще всего используются для проектов разработки программного обеспечения, но также часто используются для работы с любым контентом.

  • Пользователи — пользователи представлены в нашей системе как личные учетные записи GitHub. Каждый пользователь имеет личный профиль и может владеть несколькими репозиториями. Пользователи могут создавать организации или получать приглашения присоединиться к ним или совместно работать над репозиторийм другого пользователя.

  • Участник совместной работы — Участником совместной работы является пользователь с доступом к чтению и записи в репозиторий, который приглашен для участия владельцем репозитория.

  • Организации — Организации — это группа из двух или более пользователей, которые обычно отражают реальные организации, такие как предприятия или проекты. Они управляются пользователями и могут содержать как репозитории, так и группы пользователей.

  • Хранилища— Хранилище — это один из основополагающих элементов GitHub. Их проще всего представить в виде папки проекта. Хранилище содержит все файлы проекта (включая документацию) и хранит историю изменений каждого файла. Хранилища могут иметь несколько соавторов и, по усмотрению администраторов, могут быть общедоступными или закрытыми.

  • Страницы — Страницы GitHub — это общедоступные веб-страницы, бесплатно размещенные на GitHub, которые пользователи могут легко публиковать с помощью кода, хранящегося в их репозиториях. Если у пользователя или организации есть Страница GitHub, ее обычно можно найти по URL-адресу, например https://username.github.io,или у них может быть веб-страница, содержащая личное доменное имя.

  • Gist — Gist — это фрагмент исходного кода или другого текста, которые пользователи могут использовать для хранения идей или обмена с друзьями. Как и обычные репозитории GitHub, Gists создаются с помощью Git, поэтому они автоматически становятся версионными, развиваемыми и загружаемыми. Gists могут быть общедоступными или секретными (доступными только через известный URL-адрес). Общедоступные Gists не могут быть преобразованы в секретные Gists.

Пользовательские данные GitHub.com

Вот неполный список видов данных, которые мы храним о пользователях и проектах на GitHub.

  • Общедоступные данные учетной записи — На GitHub в открытом доступе есть различная информация о пользователях и их репозиториях. Профили пользователей можно найти по URL-адресу, например https://github.com/username. Профили пользователей отображают информацию о том, когда пользователь создал свою учетную запись, а также об их общедоступной активности на GitHub.com и социальных взаимодействиях. Общедоступные профили пользователей также могут включать дополнительную информацию, которую пользователь может выбрать для общего доступа. Все общедоступные профили пользователей отображают:

    • Имя пользователя

    • Хранилища, которые пользователь пометил звездочкой

    • Других пользователей GitHub, на которых подписан пользователь

    • Пользователей, которые за ним следят

      При желании пользователь также может опубликовать следующую информацию:

    • Свое настоящее имя

    • Аватар

    • Аффилированную компанию

    • Свое местоположение

    • Общедоступный адрес электронной почты

    • Личную веб-страницу

    • Организации, членом которых является пользователь (в зависимости от предпочтений организации или пользователей)

  • Личные сведения учетной записи — GitHub также собирает и хранит определенные личные сведения о пользователях, как указано в нашей Политике конфиденциальности. К ним могут относиться:

    • Частные адреса электронной почты

    • Платежные реквизиты

    • Журналы доступа к системе безопасности

    • Данные о взаимодействиях с частными репозиториями

      Чтобы получить представление о типе личных сведений учетной записи, которую собирает GitHub, вы можете посетить личная панель мониторинга и посмотреть разделы в меню слева.

  • Данные учетной записи организации— Информация об организациях, их пользователях с правами администратора и репозиториях находится в открытом доступе на GitHub. Профили организации можно найти по URL-адресу, например https://github.com/organization. Профили общедоступных организаций также могут включать дополнительную информацию, которую владельцы решили сделать общедоступной. Все общедоступные профили организации отображают:

    • Наименование организации

    • Хранилища, которые владельцы отметили звездочками

    • Всех пользователей GitHub, являющихся владельцами организации

      При желании пользователи с правами администратора также могут опубликовать следующую информацию:

    • Аватар

    • Аффилированную компанию

    • Свое местоположение

    • Непосредственных участников и команды

    • Сотрудников

  • Общедоступные данные репозитория — На GitHub размещаются миллионы общедоступных проектов ПО с открытым кодом. Вы можете просмотреть практически любой общедоступный репозиторий (например, Документацию GitHub), чтобы получить представление об информации, которую собирает и хранит GitHub. К ней может относиться:

    • Сам код
    • Предыдущие версии кода
    • Стабильные релизные версии проекта
    • Информация о сотрудников, соавторах и членах репозитория
    • Журналы операций Git, таких как коммиты, ветвление, проталкивание, вытягивание, форкинг и клонирование
    • Разговоры, связанные с операциями Git, такие как комментарии к запросам на вытягивание или коммитам.
    • Документация по проекту, такая как проблемы и вики-страницы
    • Статистика и графики, показывающие вклады в проект и сеть участников

  • Данные частного репозитория — GitHub собирает и поддерживает тот же тип данных для частных хранилищ, что и для общедоступных хранилищ, за исключением того, что к данным частного репозитория могут получить доступ только специально приглашенные пользователи.

  • Другие данные — Кроме того, GitHub собирает аналитические данные, такие как посещения страниц и информация, которую иногда добровольно предоставляют наши пользователи (например, общение с нашей службой поддержки, данные опросов и/или регистрации на сайте).

Мы уведомим всех затронутых владельцев учетных записей.

Наша политика заключается в том, чтобы уведомлять пользователей о любых ожидающих запросах, касающихся их учетных записей или хранилищ, если только это не запрещено законом или постановлением суда. Прежде чем раскрыть информацию о пользователе, мы предпримем разумные усилия для уведомления всех затронутых владельцев учетных записей путем отправки сообщения на их проверенный адрес электронной почты с предоставлением копии повестки, судебного приказа или ордера, чтобы у них была возможность оспорить судебный процесс, если они того пожелают. В (редких) чрезвычайных обстоятельствах мы можем задержать уведомление, если сочтем, что задержка необходима для предотвращения смерти или серьезного ущерба или в связи с проводимым расследованием.

Раскрытие непубличной информации

В соответствии с нашей политикой раскрытие непубличной информации о пользователе в связи с гражданским или уголовным расследованием осуществляется только с согласия пользователя или при получении действительной повестки в суд, требования о проведении гражданского расследования, судебного приказа, ордера на обыск или другого аналогичного действительного судебного процесса. В определенных чрезвычайных обстоятельствах (см. ниже) мы также можем предоставлять ограниченную информацию, но только соответствующую характеру обстоятельств, и для получения любой информации, выходящей за эти рамки, нам потребуется судебное разбирательство. GitHub оставляет за собой право возражать против любых запросов на получение непубличной информацию. Если GitHub соглашается предоставить непубличную информацию в ответ на законный запрос, мы проведем разумный поиск запрошенной информации. Вот виды информации, которую мы согласимся предоставить, в зависимости от вида судебного процесса, в котором мы участвуем:

  • С согласия пользователя — По запросу GitHub предоставляет информацию о частной учетной записи непосредственно пользователю (или владельцу, если речь идет об учетной записи организации) или назначенной третьей стороне с письменного согласия пользователя после того, как GitHub убедится, что пользователь подтвердил свою личность.

  • С повесткой — В случае получения действительной повестки, требования о проведении гражданского расследования или аналогичного процессуального документа, выданного в связи с официальным уголовным или гражданским расследованием, мы можем предоставить определенную непубличную информацию об учетной записи, которая может включать:

    • Имена, связанные с учетной записью
    • Адреса электронной почты, связанные с учетной записью
    • Данные для выставления счетов
    • Дата регистрации и дата прекращения
    • IP-адрес, дата и время на момент регистрации учетной записи
    • IP-адреса, используемые для доступа к учетной записи в определенное время или событие, имеющее отношение к расследованию.

В случае организационных учетных записей мы можем предоставить имя (имена) и адрес (адреса) электронной почты владельца (владельцев) учетной записи, а также дату и IP-адрес на момент создания организационной учетной записи. Мы не будем предоставлять информацию о других участниках или вкладчиках (если таковые имеются) организационной учетной записи или любую дополнительную информацию об идентифицированном владельце (владельцах) учетной записи без последующего запроса к этим конкретным пользователям.

Обратите внимание, что доступная информация будет варьироваться от случая к случаю. Некоторая часть информации является необязательной для предоставления пользователями. В других случаях мы можем не собирать и не хранить такую информацию.

  • По решению суда_или_ордеру на обыск - Мы не будем раскрывать журналы доступа к учетной записи, если к этому не принуждает (i) решение суда, выданное в соответствии с 18 U.S.C. Раздел 2703(d), при предъявлении конкретных и четко сформулированных фактов, свидетельствующих о наличии достаточных оснований полагать, что запрашиваемая информация является актуальной и существенной для проводимого уголовного расследования; или (ii) ордер на обыск, выданный в соответствии с процедурами, описанными в Федеральных правилах уголовного судопроизводства или эквивалентными процедурами выдачи ордеров в штатах, при наличии достаточных оснований. В дополнение к закрытой информации об учетной записи, указанной выше, мы можем предоставить журналы доступа к учетной записи в ответ на постановление суда или ордер на обыск, которые могут включать:

    • Любые журналы, раскрывающие действия пользователя за определенный период времени.
    • Настройки учетной записи или частного репозитория (например, какие пользователи имеют определенные разрешения и т. д.)
    • Аналитические данные, относящиеся к пользователю или IP-адресу, такие как история посещенных страниц.
    • Журналы безопасного доступа, кроме создания учетной записи или для определенного времени и даты

  • Только с ордером на обыск — Мы не будем раскрывать частное содержимое любой учетной записи, если к этому не принуждает ордер на обыск, выданный в соответствии с процедурами, описанными в Федеральных правилах уголовного судопроизводства, или эквивалентными процедурами ордера штата при наличии достаточных оснований. В дополнение к закрытой информации об учетной записи и журналам доступа к учетной записи, упомянутым выше, мы также предоставим содержимое частной учетной записи в ответ на ордер на обыск, который может включать:

    • Содержание секретных Gists
    • Исходный код или другой контент в приватных репозиториях
    • Записи о вкладе и сотрудничестве для частных хранилищ
    • Сообщения или документация (например, проблемы или вики) в частных репозиториях.
    • Любые ключи безопасности, используемые для аутентификации или шифрования

  • В чрезвычайных обстоятельствах — Если мы получим запрос на информацию в определенных чрезвычайных обстоятельствах (когда мы считаем, что раскрытие информации необходимо для предотвращения чрезвычайной ситуации, связанной с угрозой смерти или серьезных физических травм для человека), мы можем раскрыть ограниченную информацию, которая, по нашему мнению, необходима для того, чтобы правоохранительные органы могли устранить чрезвычайную ситуацию. Для получения любой другой информации нам потребуется повестка в суд, ордер на обыск или постановление суда, как описано выше. Например, мы не будем раскрывать содержимое частных репозиториев без ордера на обыск. Прежде чем раскрыть информацию, мы подтверждаем, что запрос поступил от правоохранительных органов, орган направил официальное уведомление с кратким изложением чрезвычайной ситуации и тем, как запрошенная информация поможет в устранении чрезвычайной ситуации.

Возмещение затрат

В соответствии с законодательством штата и федеральным законодательством GitHub может требовать возмещения расходов, связанных с соблюдением законных требований, таких как повестка в суд, постановление суда или ордер на обыск. Мы взимаем плату только для возмещения некоторых расходов, и эти возмещения покрывают лишь часть расходов, которые мы фактически несем в связи с выполнением юридических распоряжений.

Хотя мы не взимаем плату в чрезвычайных ситуациях или в других неотложных обстоятельствах, мы добиваемся возмещения всех других юридических запросов в соответствии со следующим графиком, если иное не требуется по закону:

  • Первоначальный поиск до 25 идентификаторов: бесплатно
  • Составление информации/данных об абонентах до 5 учетных записей: бесплатно
  • Составление информации/данных об абонентах для более чем 5 учетных записей: 20 долларов США за одну учетную запись
  • Вторичный поиск: 10 долларов США за поиск

Сохранение данных

По официальному запросу правоохранительных органов США в связи с официальным уголовным расследованием, а также до вынесения судебного или иного постановления мы будем принимать меры по сохранению записей о счетах на срок до 90 дней.

Отправка запросов

Пожалуйста, отправляйте запросы на:

GitHub, Inc.
c/o Corporation Service Company
2710 Gateway Oaks Drive, Suite 150N
Sacramento, CA 95833-3505

Копии могут быть отправлены по электронной почте по адресу legal-support@github.com

Пожалуйста, делайте ваши запросы как можно более конкретными и узкими, включая следующую информацию:

  • Полная информация об органе, выдавшем запрос на информацию
  • Имя и бейдж/удостоверение личности ответственного агента
  • Официальный адрес электронной почты и контактный телефон
  • Интересующие имена пользователя, организации, репозитория
  • URL-адреса любых страниц, списков или файлов, представляющих интерес
  • Описание типов необходимых нам записей

Пожалуйста, дайте нам не менее двух недель на рассмотрение вашего запроса.

Уведомление о законопроекте 1242 Ассамблеи Калифорнии

Передавая GitHub судебный процесс, вы подтверждаете, что этот судебный процесс не связан с нарушением какого-либо закона, предусматривающего ответственность за действия, связанные с расторжением, которое является законными в Калифорнии.

Запросы от иностранных правоохранительных органов

Как американская компания, базирующаяся в Калифорнии, GitHub не обязан предоставлять данные иностранным правительствам в ответ на судебный процесс, инициированный иностранными властями. Должностные лица иностранных правоохранительных органов, желающие запросить информацию у GitHub, должны обратиться в Управление по международным делам Департамента юстиции США по уголовным делам. GitHub незамедлительно ответит на запросы, направленные через американский суд на основании договора о взаимной правовой помощи ("MLAT") или судебного письма.

Ответы на вопросы

Есть ли у вас есть еще вопросы, комментарии или предложения? Пожалуйста, свяжитесь с us через портал поддержки GitHub.