本文档译自英文。 如果本文档的此版本与英文版本之间有任何冲突、不确定性或明显的不一致,以英文版为准。 如果您有改进我们翻译的建议,请在我们的网站政策仓库中开一个议题

GitHub 数据保护附录

本文内容

此文档对您有帮助吗?

帮助我们创建出色的文档!

所有 GitHub 文档都是开源的。看到错误或不清楚的内容了吗?提交拉取请求。

做出贡献

或, 了解如何参与。

Version Effective Date: July 20, 2020

简介

双方同意,GitHub 数据保护和安全附录(统称为“数据保护附录”“DPA”)管辖双方在与 GitHub Enterprise Cloud 托管服务(简称为“服务”)相关的客户个人数据处理与安全方面的义务。 GitHub 在此 DPA 中向使用服务的所有客户做出承诺。 客户对非 GitHub 产品的使用由单独的条款(包括不同的隐私和安全条款)管辖。

如果 DPA 与客户与 GitHub 的协议中任何其他条款之间有任何冲突或不一致,以 DPA 为准。 DPA 的条款取代 GitHub 隐私声明中的任何冲突条款,非冲突条款可能适用于处理本文定义的客户个人数据。 为明确起见,与附件 1 中标准合同条款第 10 条一致,标准合同条款优先于 DPA 中任何其他条款。

GITHUB 数据保护

1. 定义。

1.1 “适用数据保护法律”是指与处理及使用客户个人数据相关、适用于客户使用 GitHub 和 GitHub 服务的法律、法规、监管框架或其他立法,包括:

a. 《欧盟通用数据保护条例 2016/679》("GDPR"),以及生效且适用的任何实施中或相应的等效国家法律或法规;以及

b. 《2018 年加州消费者隐私法案》,加利福尼亚州 民事 法典第 1798.100 及其后各段 ("CCPA");以及

c. 《 2018 年英国数据保护法》及其中包含的 GDPR 实施条例。

1.2 “控制方”、“数据主体”、“成员国”、“个人数据”、“个人数据泄露”、“处理”、“处理方”和“监督机构”的含义采用“适用数据保护法律”中的定义。 如果发生冲突,GDPR 中的含义优先。

1.3 “客户个人数据”是指客户为控制方的任何个人数据,无论是客户提供给 GitHub 处理还是 GitHub 履行其在本协议下义务的过程中产生的个人数据。 包括诸如帐单信息、IP 地址、公司电子邮件地址以及客户作为控制方的任何其他个人数据。

1.4 “客户仓库数据”是指客户在其任何私有仓库中上传或创建的任何数据或信息。

1.5 “数据泄露”是指个人数据泄露或者任何其他已确认或合理怀疑的客户受保护数据泄露。

1.6 “最终用户”是指控制 GitHub 帐户并且已同意 GitHub 服务条款及其个人数据被 GitHub 传输、存储或处理的个别数据主体。 例如,客户每个有 GitHub 帐户的员工或承包商也是 GitHub 最终用户。

1.7 数据处理“允许的目的”是指按本协议“GitHub 隐私声明”及本附录 A 所述提供服务的有限和特定目的,或者数据主体授权使用客户个人数据的目的。

1.8 “受保护数据”包括 GitHub 根据本协议代表客户处理的任何客户个人数据和任何客户仓库数据。

1.9 “敏感数据”是指显示种族或民族;政见、宗教、信仰或工会成员资格;为唯一识别自然人而进行的遗传数据或生物数据处理;健康、自然人性别或性取向相关数据;违法行为、刑事定罪或安全措施相关数据等的任何客户个人数据。

2. 身份与合规。

2.1 数据处理。

GitHub 可作为其接收的与本协议相关的任何客户个人数据的处理方,并且 GitHub 只根据本协议及其他书面通信所述的客户指示将客户个人数据用于允许的目的。 如果 GitHub 无法遵守客户的指示,比如由于与适用数据保护法律冲突,或者适用数据保护法律或其他法律要求处理,则 GitHub 将在允许的范围内通知客户。 GitHub 在美国或欧盟处理所有客户个人数据;但 GitHub 的子处理方可能在美国或欧盟以外处理数据。 此外,GitHub 可作为任何客户仓库数据的处理方。

2.2 数据控制方。

GitHub 从客户以及直接从创建最终用户帐户的数据主体接收客户个人数据。 客户其直接传输到 GitHub 的客户个人数据的唯一控制方。

2.3 GitHub 合规性;数据传输。

GitHub 将遵守与客户个人数据处理相关的适用数据保护法律。

为提供服务而从欧盟、欧洲经济区、英国和瑞士传出任何客户个人数据,均应遵守附件 1(标准合同条款)中的标准合同条款。 GitHub 将遵守欧洲经济区和瑞士数据保护法有关收集、使用、传输、保留和其他方式处理来自欧洲经济区、英国和瑞士的客户个人数据的要求。 所有向第三国或国际组织传输客户个人数据的行为都将受到 GDPR 第 46 条所述的适当保护措施的约束,并且此类传输和保护措施将根据 GDPR 第 30(2) 条的规定进行记录。

此外,GitHub 还通过了欧盟-美国 和瑞士-美国认证。 In addition, GitHub is certified to the EU-U.S. and Swiss-U.S. Privacy Shield Frameworks and the commitments they entail, although GitHub does not rely on the EU-U.S. Privacy Shield Framework as a legal basis for transfers of Personal Data in light of the judgment of the Court of Justice of the EU in Case C-311/18. GitHub agrees to notify Customer if it makes a determination that it can no longer meet its obligation to provide the same level of protection as is required by the Privacy Shield principles. GitHub 同意,在确定无法再履行其义务提供隐私盾原则所要求的保护级别时通知客户。

3. 数据保护。

3.1 目的限制。

GitHub 仅为允许的目的处理和传播受保护数据,除非双方书面同意扩展的目的。

3.2 数据质量和相称性。

GitHub 将保持客户个人数据的准确性和最新性,或使客户能够做到这一点。 GitHub 将采取商业上合理的措施来确保其代表客户收集的任何受保护数据充分、相关且传输和处理符合相关目的。 在任何情况下 GitHub 都不会有意代表客户收集敏感数据。 客户同意,GitHub 服务未预期存储敏感数据;如果客户选择将敏感数据上传到服务,则客户必须遵守 GDPR 第 9 条或适用数据保护法律中的同等条款。

3.3 数据保留和删除。

在客户合理要求时,除非法律禁止,否则 GitHub 将在三天内退回、销毁或去识别所有位置存储、不再需要用于允许目的的所有客户个人数据及相关数据。 GitHub 可在适用数据保护法律需要的范围内保留客户个人数据及相关数据,并且仅保留适用数据保护法律要求的范围和期限,但 GitHub 要确保客户个人数据仅用于适用数据保护法律指定的目的,而不能用于其他目的,同时客户个人数据仍受适用数据保护法律的保护。

3.4 数据处理。

关于处理客户的受保护数据,GitHub 根据 GDPR 第 28(3) 条的要求提供以下信息:

a. 客户个人数据处理的主题和期限在协议和本附录中描述。

b. 客户个人数据的处理性质和目的在本附录第 3.1 条描述。

c. 要处理的客户个人数据类型在“GitHub 隐私声明”中描述,包括用户名、密码、电子邮件地址和 IP 地址等客户个人数据。 GitHub 还处理客户帐户记帐所需的信息,但不处理或存储信用卡信息。 客户可选择向 GitHub 提供其他客户个人数据,如客户的配置文件设置,或者将客户个人数据上传到其 GitHub 仓库。

d. 与客户个人数据相关的数据主体类别是客户本身及其最终用户。

e. 客户的义务和权利在协议和本附录中描述。

4. 安全和审核义务。

4.1 技术和组织安全措施。

考虑技术、实施成本、处理性质、处理范围、处理背景和目的,以及自然人权利和自由的不同可能性和严重性的风险,GitHub 在处理受保护数据时将实施适当的技术和组织措施来确保适合风险的安全性,比如防止意外或非法销毁、丢失、篡改、未授权披露或访问。 GitHub 将定期监控是否符合这些措施,并在协议整个期限内继续采取适当的保护措施。 有关 GitHub 与安全保护相关的责任,请参阅 GitHub 安全附录第 1.1 条。

4.2 事件响应和违规通知。

GitHub 将遵守 GitHub 安全附录和适用数据保护法律中的信息安全义务,包括数据泄露通知义务。 有关 GitHub 与数据泄露及通知相关的责任,请参阅 GitHub 安全附录第 1.2 条。

4.3 GitHub 人员。

GitHub 声明并保证,将采取合理措施确保处理受保护数据的所有 GitHub 人员已同意对受保护数据保密,并且已接受遵守本附录和适用数据保护法律的适当培训。

4.4 记录。

GitHub 将维护代表客户执行的处理活动所有类别的完整、准确和最新书面记录,其中包含适用数据保护法律要求的信息。 在协助不会对 GitHub 的安全性或个别数据主体的隐私权利产生风险的范围内,GitHub 将应客户要求向其提供合理需要的这些记录,比如帮助客户证明其遵守适用数据保护法律。 要详细了解 GitHub 的要求以便在发生安全事件时提供协助,请参阅 GitHub 安全附录的第 1.2 条。

4.5 合规报告。

GitHub 将根据 GitHub 安全附录第 2.3 条提供安全合规报告,并根据 GitHub 安全附录第 2.3 条提供隐私合规报告。 客户同意,适用数据保护法律(包括适用的 GDPR 第 28(3)(h) 条)授予的任何信息和审核权利将通过这些合规报告来满足,并且仅限于不提供充分信息的 GitHub 合规报告条款的范围,或者客户必须响应监管或监督机构审核的范围。 GitHub 安全附录第 3.1 条描述双方与监管或监督机构审核相关的责任。

4.6 协助。

对于数据隐私影响评估、数据主体权利请求、监督机构咨询及其他类似事务等问题,GitHub 将向客户提供合理的协助,在每一种情况下只与客户个人数据的处理相关,并且考虑处理的性质。

5. 受保护数据的使用和披露。

5.1 不用于营销。

GitHub 不将受保护数据用于宣传第三方内容,也不向任何第三方销售受保护数据,因合并或收购而造成的数据转移除外。

5.2 GitHub 隐私声明。

“GitHub 隐私声明”公布在 https://help.github.com/articles/github-privacy-statement/ 上,详细说明 GitHub 的隐私和数据使用做法,包括对 cookie 的使用、争议解决流程以及 GitHub 的 GDPR 合规的进一步详情。

6. 再处理和向外传输。

6.1 数据保护。

GitHub 对受保护数据向外传输到其再处理方(如其第三方支付处理方)负责。 如果 GitHub 将受保护数据传输到第三方再处理方,或者 GitHub 安装、使用或允许第三方或第三方服务代表 GitHub 处理受保护数据,GitHub 将确保第三方再处理方受书面协议约束,要求他们提供至少与本 DPA 和适用数据保护法律对 GitHub 要求相同级别的机密性、安全性和隐私保护。

6.2 GitHub 再处理方的接受。

客户授权 GitHub 根据协议的第 6 部分以及任何其他限制指定(并允许每个再处理方根据第 6 部分指定)再处理方。 GitHub 自本附录生效日期起可继续使用当前使用的再处理方。

6.3 外部再处理的总体同意。

客户总体上同意 GitHub 使用外部再处理方,条件是 GitHub 符合以下要求:

a. 任何外部再处理方必须书面同意只在欧洲委员会已经宣布具有“充分”保护级别的国家处理数据;或只按照与“标准合同条款”相当的条款处理数据,或根据适当欧洲数据保护机构授予的“具约束力公司规则”批准处理数据,或根据合规且有效的欧盟-美国和瑞士-美国 隐私盾认证处理数据;以及

b. GitHub 将外部再处理方对客户个人数据的访问严格限于仅执行此服务所需,并且 GitHub 会禁止再处理方出于任何其他目的而处理客户个人数据。

6.4 再处理方披露协议。

GitHub 在 https://docs.github.com/articles/github-subprocessors-and-cookies/ 上维护其用来处理客户个人数据的外部再处理方清单,包括处理的客户个人数据类别、再处理方执行的处理类型说明以及处理的地点。 GitHub 将应客户的书面申请而向客户提供再处理方清单以及规范他们处理客户个人数据的条款。 根据再处理方保密性限制,GitHub 在向客户提供清单和条款之前可能会删除任何机密或商业敏感信息。 在 GitHub 不能向客户披露机密或敏感信息的情况下,双方同意,GitHub 将提供其合理可以提供的与其再处理协议相关的所有信息。

6.5 对再处理方的异议。

GitHub 在增加或删除任何再处理方时,将在其 https://github.com/github/site-policy 网站中公告更改,提前向第三方提供书面通知,包括第 6.4 条中所列的类别。 如果客户对 GitHub 新增再处理方持有合理的异议,客户必须及时书面通知 GitHub。 GitHub 将尽可能采取商业合理的努力为受影响的服务提供替代解决方案,以避免招异议的再处理方处理数据。 如果 GitHub 无法提供替代解决方案而双方在九十天内无法解决冲突,客户可终止协议。

7. 终止。

7.1 暂停。

如果 GitHub 未履行保持适当安全或隐私保护级别的义务,客户可临时暂停所有客户个人数据的传输,或禁止代表客户进行的客户个人数据收集和处理,直到 GitHub 履行义务或协议终止。

7.2 因故终止。

除了客户在协议项上拥有的任何终止权利之外,在下列情况下,客户亦可在不损害法律或衡平法的任何其他要求时终止协议:

a. GitHub 通知客户无法再履行其隐私保护义务;

b. 根据第 7.1 条,所有客户个人数据的传输、收集或处理已经临时暂停超过一个月;

c. GitHub 实质性或持续违反本附录下的任何保证或表示;

d. GitHub 不再经营业务、解散、破产或清盘;或

e. 客户根据第 6.5 条反对再处理方,并且 GitHub 在九十天内无法提供替代解决方案。

7.3 违约。

不遵守本附录的重大条款被视为协议下的重大违约。

7.4 未履行义务。

如果法律或法规的变动导致本附录的执行无法进行或商业上不合理,则双方可善意重新协商本附录。 如果重新协调无法解决问题,或者双方无法达成协议,则双方可在三十天后终止协议。

7.5 通知。

如果 GitHub 确定其无法再履行本附录项下的隐私义务,GitHub 将立即书面通知客户。

7.6 修改。

GitHub 可在提前三十天通知客户后,根据适用数据保护法律的要求不时修改本附录。

7.7 终止要求。

终止后,GitHub 必须:

a. 采取合理、适当的措施停止处理客户个人数据;

b. 在终止后的九十天内,删除或去识别 GitHub 根据第 3.3 条代表客户存储的任何客户个人数据;以及

c. 向客户提供合理的保证,确保 GitHub 已履行其在第 7.7 条中的义务。

8. 数据处理责任。

8.1 限制。

适用数据保护法律限制的除外,在本附录下提出的任何要求需遵守关于责任限制的协议条款。

附件 1 - 标准合同条款 (处理方)

客户执行的适用协议包括由 GitHub, Inc 签署的《数据保护附录》的本附件 1。

在使用标准合同条款需要监管机构批准的国家/地区,除非客户获得了所需的监管机构批准,否则根据欧洲委员会 2010/87/EU(2010 年 2 月)的规定,客户不得根据标准合同条款确定从此类国家/地区出口数据的合法性。

根据《通用数据保护条例》(EU 2016/679) 第 46(2) 条针对将个人数据转移给在无法确保充分数据保护级别的第三国设立的处理方之规定,客户(作为数据出口方)和 GitHub(作为数据进口方,其签名见下文)每一方(合称为“双方”)都同意以下合同条款(以下简称“条款”或“标准合同条款”),以便在数据出口方将附录 1 中规定的个人数据转移给数据进口方时,为个人的隐私、基本权利和自由提供充分保障。

第 1 条:定义

(a) “个人数据”、“特殊数据类别”、“处理”、“控制方”、“处理方”、“数据主体”和“监督机构”应采用《通用数据保护条例》(EU 2016/679) 在个人数据处理和此类数据自由流通的个人保护方面规定的含义;

(b) “数据出口方”是指负责转移个人数据的控制方;

(c) “数据进口方”是指从数据出口方接收个人数据,并在数据转移后,根据数据出口方的指示和条款规定代表其处理此类数据的处理方,并且不受第三国系统的约束,确保数据根据《通用数据保护条例》(EU 2016/679) 第 45(2) 条的规定得到充分保护。

(d) “再处理方”是指数据进口方或数据进口方的任何其他再处理方雇佣的任何处理方,他们从数据进口方或数据进口方的任何其他再处理方接收个人数据,并在数据转移后,根据其指示、条款规定以及书面分包合同的条款代表其执行数据处理活动;

(e) “适用的数据保护法”是指保护个人基本权利和自由的立法,尤其是保护个人在处理个人数据方面的隐私权,适用于数据出口方所在成员国的数据控制方;

(f) “技术和组织安全措施”是指旨在保护个人数据不受意外或非法破坏或意外丢失、更改、未经授权披露或访问的措施,尤其是涉及网络数据传输的处理以及针对所有其他非法处理方式。

第 2 条:转移细节

转移细节,尤其是特殊类别个人数据的转移,应遵守下文附录 1 中的规定,该附录构成了本条款的组成部分。

第 3 条:第三方受益人条款

  1. 数据主体可以作为第三方受益人对数据出口方执行本条、第 4(b) 至 (i)、第 5(a) 至 (e) 和 (g) 至 (j)、第 6(1) 和 (2)、第 7、第 8(2) 和第 9 至 12 条。

  2. 在数据出口方事实上已经消失或在法律上不复存在的情况下,数据主体可对数据进口方执行本条、第 5(a) 至 (e) 和 (g)、第 6、第 7、第 8(2) 和第 9 至 12 条,除非任何继承实体通过合同或法律的实施承担了数据出口方的全部法律义务,并因此承担了数据出口方的权利和义务,在这种情况下,数据主体可以针对此类实体执行这些条款。

  3. 在数据出口方和数据进口方事实上已经消失或在法律上不复存在或已经破产的情况下,数据主体可对再处理方执行本条、第 5(a) 至 (e) 和 (g)、第 6、第 7、第 8(2) 和第 9 至 12 条,除非任何继承实体通过合同或法律的实施承担了数据出口方的全部法律义务,并因此承担了数据出口方的权利和义务,在这种情况下,数据主体可以针对此类实体执行这些条款。 再处理方的此类第三方责任应限于其在本条款下的处理业务。

  4. 如果数据主体有明确的意愿并且国家法律允许,当事方不反对由协会或其他机构代表数据主体。

第 4 条:数据出口方的义务

数据出口方同意并保证:

(a) 个人数据的处理,包括数据转移过程,已经并将继续按照适用的数据保护法的相关规定进行(并且在适用的情况下通知数据出口方所在成员国的相关当局),并且不违反该国有关规定;

(b) 已指示并将在个人数据处理服务期间指示数据进口方,仅代表数据出口方并根据适用的数据保护法和本条款来处理所转移的个人数据;

(c) 数据进口方将为下文附录 2 中规定的技术和组织安全措施提供充分保证;

(d) 在评估了适用数据保护法的要求后,安全措施适用于保护个人数据,使其免受意外或非法破坏或意外丢失、更改、未经授权的披露或访问,尤其是涉及网络数据传输的处理以及针对所有其他非法处理方式,并在考虑到最新技术和实施成本的情况下,确保这些措施能够提供与处理所带来的风险和要保护数据的性质相适应的安全水平;

(e) 确保遵循安全措施;

(f) 如果数据转移涉及特殊类别的数据,则已经或将在转移之前或之后尽快告知数据主体,其数据可能被传输到《一般数据保护条例》 (EU 2016/679) 所指的无法提供充分保护的第三国;

(g) 如果数据出口方决定继续转移或取消中止,则根据第 5(b) 和第 8(3) 条,将从数据进口方或任何再处理方收到的任何通知转发给数据保护监管机构;

(h) 应要求向数据主体提供条款副本(附录 2 除外)、安全措施概要说明,以及必须根据条款制定的任何再处理服务合同副本,除非条款或合同包含商业信息,在这种情况下,它可以删除这些商业信息;

(i) 在再处理的情况下,处理活动由再处理方根据第 11 条执行,对个人数据和数据主体的权利提供至少与本条款下数据进口方相同的保护级别;以及

(j) 确保遵守第 4(a) 至 (i) 条。

第 5 条:数据进口方的义务

数据进口方同意并保证:

(a) 只代表数据出口方并按照其指示和条款处理个人数据;如果出于任何原因无法提供此类遵循,则迅速将无法遵循的情况通知数据出口方, 在这种情况下,数据出口方有权中止数据转移和/或终止合同;

(b) 没有理由认为适用于它的法律会阻止它履行从数据出口方那里收到的指示和它在合同下的义务,如果该立法发生变化,可能对条款规定的保证和义务产生重大不利影响,则在知情后立即通知数据出口方,在这种情况下,数据出口方有权中止数据转移和/或终止合同;

(c) 在处理所转移的个人数据之前,已实施附录 2 中规定的技术和组织安全措施;

(d) 将以下情况迅速通知数据出口方:

(i) 执法机关提出披露个人数据等任何具有法律约束力的要求,除非另有禁止,例如刑法禁止通知以保护执法调查的机密性,

(ii) 任何意外或未经授权的访问,以及

(iii) 直接从数据主体收到的任何请求,但不会对该请求作出回应,除非另有授权;

(e) 迅速妥善处理数据出口方就其处理所转移个人数据而提出的所有询问,并遵守监管机构关于处理所转移数据的建议;

(f) 应数据出口方的要求,提交其数据处理设施,以供审核本条款所涵盖的处理活动,此类审核应由数据出口方或由独立成员组成并拥有受保密义务约束的所需专业资格的检查机构进行,在适用的情况下,经监管机构同意,由数据出口方选择;

(g) 应要求向数据主体提供条款副本或任何现有的再处理合同,除非条款或合同包含商业信息,在这种情况下,可以删除此类商业信息,但附录 2 除外,在数据主体无法从数据出口方获得副本的情况下应替换为安全措施概要说明;

(h) 在再处理的情况下,事先通知数据出口方并获得其事先书面同意;

(i) 再处理方的处理服务将按照第 11 条的规定执行;以及

(j) 迅速将其根据本条款缔结的任何再处理方协议的副本发送给数据出口方。

第 6 条:赔偿责任

  1. 双方同意,因任何一方或再处理方违反第 3 条或第 11 条所述义务而遭受损害的任何数据主体,有权就所遭受的损害向数据出口方索取赔偿。

  2. 如果由于数据进口方或其再处理方违反第 3 条或第 11 条所述的任何义务,数据主体无法根据第 1 款向数据出口方提出索赔,其原因是数据出口方事实上已消失或在法律上不复存在或已破产,数据进口方同意,数据主体可以像向数据出口方索赔一样向数据进口方提出索赔,除非任何继承实体通过合同或法律实施承担了数据出口方的全部法律义务,在这种情况下,数据主体可以针对此类实体履行其权利。 数据进口方不得以再处理方违反其义务为由而推卸自己的责任。

  3. 如果由于再处理方违反第 3 条或第 11 条所述的任何义务,数据主体无法根据第 1 和第 2 款向数据出口方或数据进口方提出索赔,其原因是数据出口方和数据进口方均事实上已消失或在法律上不复存在或已破产,再处理方同意,数据主体可以像向数据出口方或数据进口方索赔一样,就再处理方在本条款下的处理业务向其提出索赔,除非任何继承实体通过合同或法律实施承担了数据出口方或数据进口方的全部法律义务,在这种情况下,数据主体可以针对此类实体履行其权利。 再处理方的赔偿责任应限于其在本条款下的处理业务。

第 7 条:调解和管辖权

  1. 数据进口方同意,如果数据主体援引第三方受益权和/或根据条款要求赔偿损失,数据进口方将接受数据主体的以下决定:

(a) 将争议交由独立人士调解,或在适用的情况下,由监管机构进行调解;

(b) 将争议提交给数据出口方所在成员国的法院处理。

  1. 双方同意,数据主体的选择不影响其根据国内法或国际法的其他规定寻求补救的实质性或程序性权利。

第 8 条:与监管机构的合作

  1. 数据出口方同意向监督机构交存本合同副本,如果监督机构或适用的数据保护法要求交存此类副本。

  2. 双方同意,监管机构有权对数据进口方和任何再处理方进行审核,审计范围和条件与适用数据保护法对数据出口方规定的审核相同。

  3. 如果存在阻止根据第 2 款对数据进口方或任何再处理方进行审核的适用立法,数据进口方应立即通知数据出口方。 在这种情况下,数据出口方应有权采取第 5(b) 条规定的措施。

第 9 条:管辖法律。

本条款应受数据出口方所在成员国的法律管辖。

第 10 条:合同变更

双方承诺不改变或修改条款。 但这并不妨碍双方在必要时添加有关业务问题的条款,前提是它们不与本条款相冲突。

第 11 条:再处理

  1. 未经数据出口方事先书面同意,数据进口方不得将其代表数据出口方执行的任何处理业务分包出去。 如果数据进口方在征得数据出口方同意的情况下,将其在本条款下的义务分包出去,则必须与再处理方签订书面协议,该协议对再处理方施加的义务应与本条款对数据进口方施加的义务相同。 如果再处理方未能履行该书面协议规定的数据保护义务,则数据进口方仍应对数据出口方负全部责任,以履行该协议下的再处理方义务。

  2. 数据进口方与再处理方之间的事先书面合同还应规定第 3 条中所述的第三方受益人条款,以防数据出口方或数据进口方事实上已消失或在法律上不复存在或已破产,而且没有任何继承实体通过合同或法律实施承担数据出口方或数据进口方的全部法律义务,导致数据主体无法向他们提出第 6 条第 1 款所述的索赔。 再处理方的此类第三方责任应限于其在本条款下的处理业务。

  3. 第 1 款所述再处理合同的数据保护方面的规定应受数据出口方所在成员国的法律管辖。

  4. 数据出口方应保留根据本条款缔结并由数据进口方根据第 5(j) 条通知的再处理协议的清单,该清单应每年至少更新一次。 该清单应提供给数据出口方的数据保护监管机构。

第 12 条:个人数据处理服务终止后的义务

  1. 双方同意,在终止提供数据处理服务时,数据进口方和再处理方应根据数据出口方的选择,将传输的所有个人数据及其副本返还给数据出口方,或者销毁所有个人数据并向数据出口方提供相关证明,除非适用于数据进口方的法律阻止其返还或销毁所传输的全部或部分个人数据。 在这种情况下,数据进口方应保证将确保所传输个人数据的机密性,并且不再主动处理所传输的个人数据。

  2. 数据进口方和再处理方保证,将应数据出口方和/或监管机构的要求,提交其数据处理设施以接受第 1 款所述的审核。

标准合同条款附录 1

数据出口方:客户是数据出口方。

数据进口方:数据进口方是全球软件和服务生产商 GitHub, Inc.。

数据主体:数据主体是数据出口方的代表和最终用户,包括数据出口方的员工、承包商、协作者和客户。 数据主体还可能包括试图向数据进口方提供的服务的用户传达或传输个人信息的个人。 GitHub 承认,根据客户对服务的使用情况,客户可以选择在客户个人数据中包含来自以下任何类型数据主体的个人数据:

  • 数据出口方的员工、承包商和临时工(现任、前任、未来);
  • 上述人员的家属;
  • 数据出口方的协作者/联系人(自然人)或法律实体协作者/联系人的员工、承包商或临时工(现任、未来、前任);
  • 用户(例如,顾客、客户、患者、访客等)以及作为数据出口方服务用户的其他数据主体;
  • 合作伙伴、利益相关者或与数据出口方的员工积极协作、交流或以其他方式互动的个人和/或使用数据出口方提供的应用程序和网站等沟通工具的个人;
  • 被动地与数据出口方交互的利益相关者或个人(例如,因为他们是调查、研究的对象,或者是数据出口方的文件或通信中提到的对象);或
  • 具有职业特权的专业人士(如医生、律师、公证人、宗教工作者等)。

数据类别:在服务范围内,以电子形式包含在电子邮件、文档和其他数据中的所传输个人数据。 GitHub 承认,根据客户对服务的使用情况,客户可以选择在客户个人数据中包含来自以下任何类别的个人数据:

  • 身份验证数据(例如,用户名、电子邮件、密码);
  • 联系信息(例如,电子邮件);
  • 唯一标识号和签名(IP 地址、跟踪 Cookie 或类似技术中的唯一标识符)。
  • 其他的唯一识别信息。 数据主体可能包含更多数据,例如真实姓名、头像图片和其他个人信息;

特殊类别的数据(如适用):数据进口方在向数据出口方提供服务时不会有意收集或处理任何特殊类别的数据。

但是,由于数据进口方提供存储服务,并且不控制其存储的数据类别,因此数据出口方可以选择传输特殊类别的数据。 所以,数据出口方应全权负责确保其遵守适用法律和法规规定的与收集和处理任何特殊类别数据有关的所有义务,包括在处理敏感个人数据之前获得数据主体的明确同意。

处理业务:所传输的个人数据将受以下基本处理活动的约束:GitHub 将个人数据用于《GitHub 隐私声明》(见 https://docs.github.com/articles/github-privacy-statement)和 DPA 的“数据处理”部分规定的有限目的。 分包商:根据 DPA,数据进口方可以雇佣其他公司代表他们提供有限的服务,例如提供客户支持。 任何此类分包商只能以提供数据进口商委托的服务为目的而获取客户个人数据,并且不得将客户个人数据用于任何其他目的。

标准合同条款附录 2

数据进口方根据第 4(d) 和 5(c) 条实施的技术和组织安全措施的说明:

1. 人员。数据进口方的人员未经授权不得处理客户个人数据。 人员有义务对任何客户个人数据保密,即使在他们的工作结束后,这一义务仍将继续。

2. 数据隐私联系人。数据进口方的数据隐私专员的联系地址如下: GitHub, Inc. Attn: Privacy 88 Colin P. Kelly Jr. Street San Francisco, CA 94107 USA

3. 技术和组织措施。数据进口方已实施并将保持适当的技术和组织措施、内部控制和信息安全程序,以保护客户个人数据(如 GitHub 安全附件中所定义)免遭意外丢失、破坏或更改;未经授权的披露或访问;或非法破坏。GitHub 安全附件中规定的技术和组织措施、内部控制和信息安全程序在此通过此引用并入本附录 2 中,并且对数据进口方具有约束力,如同它们在本附录 2 中全部列出一样。 GitHub Inc. 的签名如下。

代表数据进口方签署标准合同条款、附录 1 和附录 2

屏幕截图,2020-07-20,下午 2 20 29

Lynn Hashimoto,产品与监管法律部主管

GitHub, Inc.

安全附件

1. 信息安全计划。

1.1 安全管理。

在协议的整个期限内,GitHub 将维护并执行与行业公认框架一致的书面信息安全计划(“安全计划”);包含采用合理设计的安全保护措施,保护客户受保护数据的机密性、完整性、可用性及弹性;适合 GitHub 业务运营的性质、规模和复杂性;遵守适用数据保护法律以及 GitHub 业务所在地适用的其他特定信息安全相关法律和法规。

a. 安全官。 GitHub 指定了资深员工负责监管和执行其安全计划,以及负责关于信息安全事务的治理和内部沟通。

b. 安全计划更改。 GitHub 不会对其安全计划做出对任何客户受保护数据安全性有不利影响的更改,根据适用的法律和法规,更改需发出通知。

c. GitHub 将保持标准的安全行业做法,包括但不限于:

  • 漏洞管理计划
  • 安全开发培训、审查和代码编写实践
  • 生产系统逻辑和物理访问控制
  • 外部技术评估和审核
  • 安全政策、标准和标准操作程序
  • 安全和隐私意识培训

1.2 安全事件管理。

在协议的整个期限内以及适用时,GitHub 将提供如下安全事件管理计划:

a. 安全可用性和上报。 GitHub 将维护适当的全天候安全联系和上报流程,以确保客户和员工可以向 GitHub 安全团队提交问题。

b. 事件响应。 如果 GitHub 知悉会导致客户个人数据意外或非法销毁、丢失、篡改、未授权披露或访问的安全违规(每个都是“安全事件”),GitHub 将及时 (1) 向客户通知安全事件;(2) 调查安全事件并向客户提供安全事件的详细信息;(3) 采取合理的措施减小影响,并尽可能减小安全事件造成的损害。

c. 通知。 安全事件通知将通过 GitHub 选择的方式提交给客户的一个或多个管理员。 客户独自负责确保客户的管理员监控并回应任何通知。 客户独自负责履行事件通知法律下适用于客户的义务,并且履行与任何安全事件相关的任何第三方通知义务。

d. 合理协助。 GitHub 将采取商业合理的努力协助客户履行其在适用法律或法规下的义务,以向相关的监管机构和数据主体通知该等安全事件。

1.3 对分包商和供应商的尽职调查。

GitHub 在使用分包商和供应商时将保持适当的尽职调查。 GitHub 将维护至少三年的供应商评估报告和任何评估工作。

1.4 数据中心物理保护。

在 GitHub 使用第三方供应商托管生产环境的范围内,GitHub 将选择符合行业标准所述物理安全控制、并且发出年度外部审核报告(如 SOC 2 或 ISO 27001 认证)的供应商。 对电信区域、机箱或机架或者网络设备及其他“数据传输线路”或设备的访问的控制如下:

a. 访问将由一个或多个入口的胸卡读取器控制;

b. 仅用作出口的大门只有“单向”球形门拉手或安装有防护杆出口装置;

c. 所有大门配备有门报警器触点;

d. 所有出口门都有视频监控;以及

e. 所有读卡和视频系统都会连接到发电机或 UPS 备份系统。

2. 信息申请和合规报告。

2.1 信息申请。

对客户每年不超过一次的书面申请,GitHub 将回应一次评估安全和合规风险相关信息的信息申请。 回应将在收到申请后三十天内以书面形式提供,任何申请需要澄清时待定。

2.2 回应内容。

GitHub 将根据提供的数据和服务自由裁量包含,在其年度回应中包含 GitHub 认为相关的生产数据中心、IaaS、PaaS 或私人托管提供商的相关审计报告。

2.3 GitHub 安全审计报告。

GitHub 将执行外部审计以产生 SOC1、2 类审核报告和 SOC2、2 类审计报告。 GitHub 将在协议期限内继续每年至少执行一次审核并发布相应的报告。

3. 配合监管审计。

如果客户意识到监管审计或因应主管机关的审计需要 GitHub 的参与,GitHub 将全力配合相关申请,提供对相关知情人员、文档和应用软件的访问权限。 客户对任何此类监管或主管机关审计具有以下责任:

a. 客户必须确保使用独立第三方(意指监管者或监管者的代表),并且客户不能访问与其不相关的发现和数据。

b. 该等审计通知必须是书面的,并且要及时提供给 GitHub,等待监管者通知,并且允许适当人员提供协助。 当监管机构未提前向客户通知审计或调查时,GitHub 将及时按照监管机构的要求回应。

c. 任何第三方审计机构必须在监管机构允许的范围向 GitHub 披露任何发现和建议的措施。

d. 在监管审计时,只允许在正常上班时间(太平洋时间)访问。

e. 在法律允许的范围内,客户必须对通过 GitHub 任何该等审计收集的性质为机密的任何信息保密。

此文档对您有帮助吗?

帮助我们创建出色的文档!

所有 GitHub 文档都是开源的。看到错误或不清楚的内容了吗?提交拉取请求。

做出贡献

或, 了解如何参与。