Skip to main content

GitHub 数据保护协议

简介

双方同意,本《GitHub 数据保护协议》(“DPA”)规定了他们在个人数据的处理和安全方面的义务,并在 DPA 条款中明确规定的情况下,规定了与 GitHub, Inc.(“GitHub”)提供的在线服务相关的客户数据。 DPA(包括其附录和附件)是 GitHub 与根据 GitHub 客户协议从 GitHub 获取在线服务的任何客户(“客户”)之间的协议,并引用合并到 GitHub 客户协议。

如果 DPA 条款与 GitHub 客户协议中的任何其他条款之间存在任何冲突或不一致,则以 DPA 条款为准。 DPA 条款的规定取代 GitHub 隐私声明中可能适用于个人数据处理的任何相互冲突的规定。 为清楚起见,标准合同条款优先于 DPA 条款的任何其他条款。

适用的 DPA 条款和更新

更新限制

当客户续订或购买在线服务的新订阅时,届时现行的 DPA 条款将适用,并且在该在线服务的新订阅期限内不会更改。

尽管有上述更新限制,但当 GitHub 引入新功能、补充或相关软件(即以前未包含在订阅中的功能、补充或相关软件)时,GitHub 可能会向 DPA 提供适用于客户使用这些新功能、补充或相关软件的条款或更新。 如果这些条款包含对 DPA 条款的任何重大不利更改,GitHub 将为客户提供使用新功能、补充或相关软件的选择,而不会丢失正式发布的在线服务的现有功能。 如果客户不使用新功能、补充或相关软件,则相应的新条款将不适用。

政府法规和要求

尽管有上述更新限制,如果当前或将来有以下任何政府要求或义务,GitHub 可以在任何国家或司法管辖区修改或终止在线服务:(1) 使 GitHub 受到任何一般不适用于在该地运营的企业的法规或要求的约束,(2) GitHub 难以继续运营在线服务而不进行修改,和/或 (3) 导致 GitHub 认为 DPA 条款或在线服务可能与任何此类要求或义务相冲突。

电子通知

GitHub 可能会以电子方式(包括通过电子邮件或 GitHub 识别的网站)向客户提供有关在线服务的信息和通知。 通知自 GitHub 提供之日起发出。

早期版本

DPA 条款为当前可用的在线服务提供了条款。 对于早期版本的 DPA 条款,客户可以联系其经销商或 GitHub 客户经理。

定义

本 DPA 中使用但未定义的大写术语将具有 GitHub 客户协议中提供的含义。 本 DPA 中使用了以下定义的术语:

CCPA”是指《加州 民事 法典第 1798.100 及其实施条例中所述的 California Consumer Privacy Act(加州消费者隐私法)。

客户数据”是指由客户或代表客户通过使用在线服务提供给 GitHub 的所有数据,包括所有文本、声音、视频或图像文件以及软件。

数据保护要求”是指 GDPR、当地欧盟/欧洲经济区数据保护法、CCPA 以及与 (a)隐私和数据安全;(b) 任何个人数据的使用、收集、保留、存储、安全、披露、转移、处置和其他处理有关的任何适用法律、法规和其他法律要求。

诊断数据”是指 GitHub 从客户本地安装的与在线服务相关的软件收集或获取的数据。 诊断数据也可称为遥测数据。 诊断数据不包括客户数据、服务生成的数据或专业服务数据。

DPA 条款”是指本 DPA 中的条款以及 GitHub 客户协议中专门针对特定在线服务(或在线服务的功能)补充或修改本 DPA 中隐私和安全条款的任何在线服务特定条款。 如果 DPA 与此类在线服务特定条款之间存在任何冲突或不一致,则以适用于在线服务(或该在线服务的功能)为准。

GDPR”是指欧洲议会和理事会于 2016 年 4 月 27 日颁布的关于在个人数据处理和此类数据自由流动方面保护自然人的法规 (EU) 2016/679,并废除指令95/46/EC(通用数据保护条例)。 就英国而言,“GDPR”是指由《2018 年英国欧盟(退出)法》转入英国国家法律的法规 (EU) 2016/679,并由《2019 年英国数据保护、隐私和电子通信(修正案等) (退出欧盟)条例》修订(可能会不时修订)。

当地欧盟/欧洲经济区数据保护法”是指实施 GDPR 的任何从属立法和法规。

GDPR 相关条款”是指附件 3 中的条款,根据这些条款,GitHub 对 GDPR 第 28 条要求处理个人数据做出具有约束力的承诺。

GitHub 附属公司”是指 GitHub 直接或间接控制、受 GitHub 控制或与 GitHub 共同控制的任何实体。

GitHub 客户协议”是指客户与 GitHub 签订的在线服务服务或其他协议。

GitHub 隐私声明”是指 https://docs.github.com/en/github/site-policy/github-privacy-statement 提供的 GitHub 隐私声明。

在线服务”是指 GitHub 根据与客户商定的 GitHub 客户协议向客户提供的任何服务或软件,包括预览、更新、补丁、错误修复和技术支持。

个人数据”是指与已识别或可识别的自然人有关的任何信息。 可识别的自然人是指可以直接或间接识别的人,特别是通过参考诸如姓名,身份证号码、位置数据、在线标识符之类的标识符或特定于该自然人的身体、生理、遗传、精神、经济、文化或社会身份的一个或多个因素。

预览版”是指为预览、评估、演示或试用目的而提供的在线服务,或在线服务的预发布版本。

专业服务数据”是指由客户或代表客户(或客户授权 GitHub 从在线服务获取)提供给 GitHub 的所有数据,包括所有文本、声音、视频、图像文件或软件,或者由 GitHub 或代表 GitHub 通过与 GitHub 合作获得或代表 GitHub 获得或处理以获得专业服务。 专业服务数据包括支持数据。

服务生成的数据”是指 GitHub 通过在线服务的操作生成或派生的数据。 服务生成的数据不包括客户数据、诊断数据或专业服务数据。

标准合同条款”是根据下面本 DPA 中“数据传输和位置”部分适用于个人情况、用于个人数据传输的标准合同条款之一:

  • 2021 年 6 月 4 日的标准合同条款(模块 2:从控制方转移到处理方),如 GDPR 第 46 条所述并经欧盟委员会执行决定 (EU) 2021/91 批准,用于根据欧洲议会和理事会的法规 (EU) 2016/679 将个人数据传输到第三国(“标准合同条款 (EU/EEA)”)。 附件1所述的标准合同条款 (EU/EEA) 。
  • 2010 年 2 月 5 日的标准合同条款(处理方),如 GDPR 第 46 条所述,经欧盟委员会第 2010/87/EU 号决定批准,并经英国监管或监管机构认可用于从英国传输数据,用于将个人数据传输到在第三国成立的处理方,这些处理方无法确保足够程度的数据保护(“标准合同条款(英国)”)。 附件 2所述的标准合同条款 (UK) 。

子处理方”是指 GitHub 用于代表客户处理与在线服务相关的个人数据的其他处理方,如 GDPR 第 28 条所述。

支持数据”是指客户或代表客户(或客户授权 GitHub 从在线服务获取)通过与 GitHub 接洽向 GitHub 提供的所有数据,包括所有文本、声音、视频、图像文件或软件,以获得本协议涵盖的在线服务的技术支持。 支持数据是专业服务数据的子集。

本 DPA 中使用但未定义的小写术语,例如“个人数据泄露”、“处理”、“控制方”、“处理方”、“分析”、“个人数据”和“数据主体”,无论 GDPR 是否适用,其含义均与 GDPR 第 4 条中规定的含义相同。 术语“数据导入者”和“数据导出者”具有标准合同条款中给出的含义。

为清楚起见,如上文所述,定义为客户数据、诊断数据、服务生成数据和专业服务数据的数据可能包含个人数据。 为便于说明,请参阅下面插入的图表:

personal_data_types

以上是 DPA 中定义的数据类型的可视化表示形式。 所有个人数据都作为其他数据类型之一的一部分进行处理(所有这些数据类型也包括非个人数据)。 支持数据是专业服务数据的子集。 除非另有明确说明,否则 DPA 条款仅适用于个人数据。

一般条款

遵守法律

GitHub 将遵守适用于其提供在线服务的所有法律和法规,包括安全漏洞通知法律和数据保护要求。 但是,GitHub 不负责遵守适用于客户或客户所在行业且通常不适用于信息技术服务提供商的任何法律或法规。 GitHub 不确定客户数据是否包含受任何特定法律或法规约束的信息。 所有安全事件均受以下安全事件通知条款的约束。

客户必须遵守适用于其使用在线服务的所有法律和法规,包括与生物识别数据、通信机密性和数据保护要求相关的法律。 客户有责任确定在线服务是否适合于根据任何特定法律或法规存储和处理信息,以及以符合客户法律和监管义务的方式使用在线服务。 客户有责任响应第三方关于客户使用在线服务的任何请求,例如根据美国要求删除内容的请求。 《数码千年版权法》或其他适用法律。

数据保护

条款 DPA 的此部分包括以下小节:

  • 作用域
  • 数据处理的性质;所有权
  • 处理数据的披露
  • 个人数据的处理;GDPR
  • 数据安全
  • 安全事件通知
  • 数据传输和位置
  • 数据保留和删除
  • 处理方保密承诺
  • 关于使用子处理方的通知和控制
  • 教育机构
  • CJIS客户协议、HIPAA 业务伙伴、生物识别数据
  • 加州消费者隐私法案 (CCPA)
  • 如何联系 GitHub
  • 附录 A – 安全措施

作用域

DPA 条款适用于所有在线服务。

预览版可能采用比在线服务中通常提供的隐私和安全措施更少或不同的隐私和安全措施。 除非另有说明,否则客户不应使用预览版来处理个人数据或受法律或法规遵从性要求约束的其他数据。 本 DPA 中的以下条款不适用于预览版:个人数据的处理;GDPR、数据安全和加州消费者隐私法案。

数据处理的性质;所有权

除非 DPA 条款中另有规定,否则 GitHub 将按照所述使用和以其他方式处理客户数据和个人数据,并遵守以下规定的限制:(a) 根据客户记录的说明向客户提供在线服务,和/或 (b) 对于 GitHub 的合法业务运营事件,以便向客户提供在线服务。 在双方之间,客户保留客户数据的所有权利、所有权和利益。 GitHub 不会获得客户数据中的任何权利,除了在本节中授予 GitHub 的权利之外。 本段不影响 GitHub 向客户授予 GitHub 许可的软件或服务的权利。

处理以向客户提供在线服务

就本 DPA 而言,“提供”在线服务包括:

  • 提供客户及其用户许可、配置和使用的功能,包括提供个性化的用户体验;
  • 故障排除(例如,预防、检测和修复问题);和
  • 持续改进(例如,安装最新更新并改进用户工作效率、可靠性、有效性和安全性)。

在提供在线服务时,GitHub 将仅代表客户并按照客户记录的指示使用或以其他方式处理个人数据。

GitHub 合法业务运营的处理

就本 DPA 而言,“GitHub 的合法业务运营”包括以下内容,每个内容都作为向客户交付在线服务的事件:(1) 计费和帐户管理;(2) 薪酬(例如,计算员工佣金和合作伙伴激励);(3) 内部报告和业务建模(例如,预测、收入、产能规划、产品战略);(4) 打击可能影响 GitHub 或在线服务的欺诈、滥用、网络犯罪或网络攻击;(5) 提高可访问性,隐私性或能源效率的核心功能;(6) 财务报告和遵守法律义务(受以下概述的处理数据披露的限制);(7) GitHub 为客户个人用户创建或管理最终用户帐户和配置文件(除非客户创建、管理或以其他方式控制此类最终用户帐户或配置文件本身);(8) 与客户提供的个人数据相关的其他目的,这些数据未用于存储在 GitHub 存储库中或与专业服务相关。

在处理 GitHub 的合法业务运营时,GitHub 不会将个人数据用于以下目的:(a) 用户分析,(b) 广告或类似商业目的,(c) 数据销售或经纪,或 (d) 任何其他目的,但本节所述目的除外。

处理数据的披露

GitHub 不会披露或提供对任何已处理数据的访问权限,除非:(1) 根据客户的指示;(2) 如本 DPA 所述;或 (3) 根据法律要求。 就本节而言,“处理数据”是指:(a) 客户数据;(b) 个人数据和 (c) GitHub 处理的与在线服务相关的任何其他数据,这些数据是 GitHub 客户协议下客户的机密信息。 已处理数据的所有处理均受 GitHub 根据 GitHub 客户协议承担的保密义务的约束。

除非法律要求,否则 GitHub 不会向执法部门披露或提供对任何已处理数据的访问权限。 如果执法部门联系 GitHub 要求处理数据,GitHub 将尝试重定向执法机构,以直接向客户请求该数据。 如果必须向执法部门披露或提供对任何已处理数据的访问权限,GitHub 将立即通知客户并提供要求的副本,除非法律禁止这样做。

在收到任何其他第三方对已处理数据的请求后,GitHub 将立即通知客户,除非法律禁止。 GitHub 将拒绝该请求,除非法律要求遵守。 如果请求有效,GitHub 将尝试重定向第三方以直接向客户请求数据。

GitHub 不会向任何第三方提供:(a) 直接、间接、一揽子或不受限制地访问已处理数据;(b) 用于保护已处理数据的平台加密密钥或破解此类加密的能力;或 (c) 访问已处理的数据,如果 GitHub 知道该数据将用于第三方请求中所述目的以外的目的。

为了支持上述内容,GitHub 可能会向第三方提供客户的基本联系信息。

个人数据的处理;GDPR

GitHub 处理的与在线服务相关的所有个人数据均作为客户数据、专业服务数据(包括支持数据)、诊断数据或服务生成数据的一部分获取。 由客户或代表客户通过使用在线服务提供给 GitHub 的个人数据也是客户数据。 假名标识符可能包含在诊断数据或服务生成的数据中,也是个人数据。 任何假名化或去识别化但非匿名的个人数据,或从个人数据中得出的个人数据也是个人数据。

如果 GitHub 是受 GDPR 约束的个人数据的处理方或子处理方,则附件 3 中的 GDPR 相关条款管辖该处理,并且双方还同意本子节中的以下条款(“个人数据的处理;GDPR”):

处理方和控制方的角色和职责

客户和 GitHub 同意,客户是个人数据的控制方,GitHub 是此类数据的处理方,除非 (a) 当客户充当个人数据的处理方时,在这种情况下,GitHub 是子处理方;或 (b) GitHub 客户协议或本 DPA 中另有说明。 当 GitHub 充当个人数据的处理方或子处理方时,它将仅代表客户并按照客户记录的指示处理个人数据。 客户同意其 GitHub 客户协议(包括 DPA 条款和任何适用的更新)以及产品文档和客户对在线服务中功能的使用和配置,是客户向 GitHub 发出的用于处理个人数据的完整书面说明。 有关在线服务的使用和配置的信息,请访问 https://docs.github.com 或继任者的位置。 任何附加或替代说明必须根据修改客户的 GitHub 客户协议的过程达成一致。 在 GDPR 适用且客户是处理方的任何情况下,客户向 GitHub 保证客户的指示(包括指定 GitHub 为处理方或子处理方)已获得相关控制方的授权。

如果 GitHub 使用或以其他方式处理受 GDPR 约束的个人数据,以便将 GitHub 的合法业务运营事件交付给客户,GitHub 将遵守 GDPR 规定的独立数据控制方对此类用途的义务。 GitHub 接受 GDPR 下数据“控制方”在处理与其合法业务运营相关的额外责任,以:(a) 在 GDPR 要求的范围内,按照法规要求行事; (b) 提高客户的透明度,并确认 GitHub 对此类处理的责任。 GitHub 采用保护措施来保护处理中的个人数据,包括本 DPA 中确定的个人数据以及 GDPR 第 6(4) 条中所述的个人数据。 关于根据本段下的个人数据处理,GitHub 做出附件 1附件 2 (如适用)中所述标准合同条款中规定的承诺;出于这些目的,(i) 与 GitHub 的合法业务运营相关的任何 GitHub 披露个人数据(如 附件 1的附录 III 或附件 2 的附录 3(如适用)所述)被视为“相关披露”,以及 (ii) 附件 1的附录 III 或附件 2 的附录 3(如适用)中的承诺适用于此类个人数据。

处理详细信息

双方承认并同意:

  • 主题。 处理的主题仅限于本 DPA 中上述“数据处理性质;所有权“和 GDPR 的范围内的个人数据。
  • 处理的持续时间。 处理的持续时间应符合客户指示和 DPA 的条款。
  • 处理的性质和目的。 处理的性质和目的应是根据客户的 GitHub 客户协议提供在线服务,并为 GitHub 的合法业务运营事件向客户提供在线服务(详情如本 DPA 中“数据处理性质;所有权”一节所述)。
  • 数据类别。 GitHub 在提供在线服务时处理的个人数据类型包括:(i) 客户选择包含在客户数据或专业服务数据中的个人数据(包括但不限于支持数据); (ii) GDPR 第 4 条中明确识别的可能包含在诊断数据或服务生成数据中的个人数据。 客户选择包含在客户数据或专业服务数据(包括但不限于支持数据)中的个人数据类型,可能是客户根据 GDPR 第 30 条作为控制方维护的记录中确定的任何类别的个人数据,包括 附件1 附录 I 或附件 2 附录 1(如适用)中所述的个人数据类别。
  • 数据主体。 数据主体的类别是客户的代表和最终用户,例如员工、承包商、协作者和客户,可能包括客户根据 GDPR 第 30 条作为控制方维护的记录中标识的任何其他类别的数据主体,包括附件 1 附录 I 或附件 2 附录 1(如适用)中所述的数据主体类别。

数据主体权利;协助处理请求。

GitHub 将以符合在线服务功能和 GitHub 作为数据主体个人数据处理者的角色的方式,向客户提供满足数据主体请求以行使其在 GDPR 下的权利的能力。 如果 GitHub 收到来自客户数据主体的请求,要求在 GDPR 下行使其与 GitHub 作为数据处理者或子处理者的在线服务相关的一项或多项权利,则 GitHub 将重定向数据主体以直接向客户提出请求。 客户将负责响应任何此类请求,包括在必要时使用在线服务的功能。 GitHub 应遵从客户的合理要求,以协助客户响应此类数据主体请求。

处理活动记录

如果 GDPR 要求 GitHub 收集和维护与客户相关的某些信息的记录,则客户将在收到请求时向 GitHub 提供此类信息,并保持其准确性和最新性。 如果 GDPR 要求,GitHub 可能会向监管机构提供任何此类信息。

数据安全

GitHub 将实施和维护适当的技术和组织措施以及安全保障措施,以防止意外或非法破坏、丢失、更改、未经授权披露或访问 GitHub 代表客户处理的客户数据和个人数据,并按照客户与在线服务相关的书面指示进行处理。 GitHub 将定期监控这些措施和保障措施的遵守情况,并在 GitHub 客户协议的整个期限内继续采取适当措施。 附录 A – 安全保护措施 包含对 GitHub 实施的技术和组织措施以及安全保护措施的描述。

客户全权负责独立确定在线服务的技术和组织措施以及安全保障措施是否符合客户的要求,包括其在适用数据保护要求下的任何安全义务。 客户承认并同意(考虑现有技术、实施成本、处理其客户数据和个人数据的性质、范围、背景和目的,以及自然人权利和自由的不同可能性和严重性的风险),GitHub 对于其客户数据和个人数据实施和维护的技术、组织措施和安全保障措施提供了适合于风险的安全级别。 客户负责为客户提供或控制的组件实施和维护隐私保护和安全措施。

GitHub 将根据客户要求提供安全合规性报告,例如外部 SOC1、类型 2 和 SOC2、类型 2 审计报告。 客户同意,适用的数据保护要求(包括 GDPR 第 28(3)(h) 条)授予的任何信息和审计权利将由这些合规性报告满足,并且仅在 GitHub 提供的合规性报告未提供足够信息的情况下,或者在客户必须响应监管或监管机构审计或调查的范围内出现。

如果客户受到监管或监督机构的审计或调查,或因应监管或监督机构的要求进行需要 GitHub 参与的审计或调查,并且无法通过 GitHub 通常向其客户提供的审计报告、文档或合规性信息合理地履行客户的义务(在客户监管机构允许的情况下), 则 GitHub 将根据以下条款和条件及时响应客户的附加说明和信息请求:

  • GitHub 将提供对相关知识渊博的人员、文档和应用程序软件的访问。
  • 客户和 GitHub 将在事先的书面协议(电子邮件可接受)中就范围、时间、持续时间、控制和证据要求达成一致,前提是此同意要求不允许 GitHub 不合理地延迟其合作。
  • 客户必须确保其监管机构在正常工作时间内使用独立的、经认可的第三方审计公司,提前向 GitHub 发出合理的书面通知,并遵守合理的保密程序。 客户、其监管机构或其监管机构的代表均无权访问 GitHub 其他客户的任何数据,也无权访问未参与在线服务的 GitHub 系统或设施。
  • 客户负责与 GitHub 与客户监管审计合作相关的所有成本和费用,包括 GitHub 所花费的任何和所有时间的所有合理成本和费用,以及 GitHub 执行的服务费率。
  • 如果 GitHub 与客户监管审计合作生成的报告包含与 GitHub 相关的任何调查结果, 客户将在客户监管机构允许的情况下与 GitHub 共享此类报告、调查结果和建议的操作。

安全事件通知

如果 GitHub 知悉会导致客户数据或者 GitHub 代表客户并按照客户与在线服务相关的书面指示处理的个人数据意外或非法销毁、丢失、篡改、未授权披露或访问的安全违规(每个都是“安全事件”),GitHub 将及时 (1) 向客户通知安全事件;(2) 调查安全事件并向客户提供安全事件的详细信息;(3) 采取合理的措施减小影响,并尽可能减小安全事件造成的损害。

安全事件通知将通过 GitHub 选择的方式(包括通过电子邮件)提交给客户的一个或多个管理员。 客户应自行负责确保其与 GitHub 保持准确的联系信息,确保客户的管理员监控并响应任何通知。 客户独自负责履行事件通知法律下适用于客户的义务,并且履行与任何安全事件相关的任何第三方通知义务。

GitHub 将尽合理努力协助客户履行 GDPR 第 33 条或其他适用法律或法规规定的客户义务,将安全事件通知相关监管或监管机构以及个人数据主体。

GitHub 根据本节通知或响应安全事件,并非 GitHub 承认与安全事件有关的任何过错或责任。

客户必须及时通知 GitHub 任何可能滥用其帐户或身份验证凭据的行为,或与在线服务相关的任何安全事件。

数据传输和位置

GitHub 代表客户并按照客户与在线服务相关的书面指示处理的个人数据不得传输到某个地理位置,也不得在某个地理位置进行存储和处理,除非符合 DPA 条款和本节下面提供的保护措施。 考虑到此类保护措施,客户指定 GitHub 将个人数据传输到美国或 GitHub 或其子处理方运营的任何其他国家/地区,并存储和处理个人数据以提供在线服务,除非这些 DPA 条款中另有说明。

所有为提供在线服务而将个人数据传输到欧盟、欧洲经济区或瑞士时,受附件 1 中的标准合同条款 (EU/EEA) 的约束。 所有为提供在线服务而在英国境外传输个人数据的行为均应受附件 2 中的标准合同条款 (UK) 的约束。 就附件 2中的标准合同条款 (UK) 而言,对“欧盟”、“EU”、“欧洲经济区”、“EEA”或“成员国”的引用应被解释为在合理必要和适当的情况下指代英国,以使标准合同条款 (UK) 在从英国传输个人数据方面完全有效。 无论自 2020 年 1 月 31 日起,英国不再是欧盟或欧洲经济区的成员国,这都适用。

在每种情况下,GitHub 将遵守适用的欧盟、欧洲经济区、英国和瑞士数据保护法以及其他数据保护要求,以将个人数据传输到此类司法管辖区以外的接收方或司法管辖区。 在适用的情况下,所有此类个人数据的传输都将受到 GDPR 第 46 条所述的适当保护措施的约束,并且此类传输和保护措施将根据 GDPR 第 30(2) 条进行记录。

根据上述保护措施,GitHub 可能会自行决定将个人数据传输到全球司法管辖区和地理位置,并在其自行决定认为与在线服务相关的合理必要范围内传输、存储和以其他方式处理个人数据。

数据保留和删除

根据客户的合理要求,除非法律禁止,否则 GitHub 将在请求后 30 天内,在存储在线服务的所有位置,代表 GitHub 并按照客户与在线服务相关的书面指示,在请求后 30 天内归还或销毁 GitHub 处理的所有客户数据和个人数据,前提是不再需要这些数据和个人数据来提供在线服务或数据主体已授权处理其个人数据。 GitHub 可能会在适用的数据保护要求或其他适用法律要求的范围内保留客户数据或个人数据,并且仅在适用的数据保护要求或其他适用法律要求的范围内和期限内保留,前提是 GitHub 将确保仅在必要时出于适用数据保护要求或其他适用法律和没有其他目的,并且客户数据或个人数据仍受适用的数据保护要求或其他适用法律的保护。

处理方保密承诺

GitHub 将确保其代表客户处理与在线服务相关的客户数据和个人数据的人员 (i) 将仅根据客户的指示或本 DPA 中所述处理此类数据,并且 (ii) 即使在其参与结束后,也有义务维护此类数据的机密性和安全性。 GitHub 应根据适用的数据保护要求或其他适用法律和行业标准,为其员工提供定期和强制性的数据隐私和安全培训以及意识,以访问客户数据和个人数据。

关于使用子处理方的通知和控制

GitHub 可能会聘请子处理方代表其提供某些有限或辅助服务。 客户同意此参与,并同意 GitHub 附属公司作为子处理方。 上述授权将构成客户事先书面同意 GitHub 分包个人数据处理,前提是适用法律、标准合同条款或 GDPR 相关条款要求此类同意。

GitHub 负责其子处理方遵守 GitHub 在本 DPA 中的义务。 GitHub 在 GitHub 网站 https://github.com/subprocessors(或后续位置)上提供有关子处理方的信息。 在聘用任何子处理方时,GitHub 将通过书面合同确保子处理方只能访问和使用客户数据或个人数据来提供 GitHub 聘请他们提供的服务,并且禁止将客户数据或个人数据用于任何其他目的。 GitHub 将确保子处理方受书面协议的约束,这些协议要求他们至少提供 DPA 要求的 GitHub 数据保护级别,包括对个人数据披露的限制。 GitHub 同意监督子处理方,以确保履行这些合同义务。

GitHub 可能会不时聘请新的子处理方。 在向任何新的子处理方提供访问客户数据的权限之前,GitHub 将会通知客户(通过更新网站 https://github.com/github-subprocessors-list 或后续位置),并且向客户提供获取任何新子处理方更新通知的机制。 如果 GitHub 为新的在线服务聘请了新的子处理方,GitHub 将在该在线服务可用之前通知客户。

如果客户不批准新的子处理方,则客户可以在相关通知期结束前提供书面终止通知,以终止对受影响的在线服务的任何订阅,而不会受到处罚。 客户还可以在终止通知中解释对未批准的原因,以便 GitHub 能够根据适用的问题重新评估任何此类新的子处理方。 如果受影响的在线服务是套件(或类似的单次购买服务)的一部分,则任何终止都将适用于整个套件。 终止后,GitHub 将从向客户或其经销商提供的后续发票中删除终止在线服务的任何订阅的付款义务。

教育机构

如果客户是受《家庭教育权利和隐私法》、20 U.S.C. § 1232g (FERPA) 或类似州学生或教育隐私法(统称为“教育隐私法”)下法规约束的教育机构或机构,未经 GitHub 事先书面和具体同意并与 GitHub 签订单独的协议来管理各方在 GitHub 处理与在线服务相关的此类个人数据方面的权利和义务,客户不得向 GitHub 提供此类教育隐私法所涵盖的个人数据。

根据上述规定,如果客户打算向 GitHub 提供 FERPA 所涵盖的个人数据,则双方同意并承认,就本 DPA 而言,GitHub 是“学校官员”,在个人数据中具有“合法的教育利益”,因为这些术语已根据 FERPA 及其实施法规进行了定义。 客户了解 GitHub 可能拥有有限或没有客户学生和学生家长的联系信息。 因此,客户将负责就任何最终用户使用适用法律可能要求的在线服务征得任何学生或家长的同意,并代表 GitHub 向学生(或者,对于未满 18 岁且未在高等教育机构就读的学生,向学生家长)通知要求根据适用法律的要求披露 GitHub 拥有的个人数据的任何司法命令或法律传票。

CJIS客户协议、HIPAA 业务伙伴、生物识别数据

除非事先获得 GitHub 的书面和明确同意,否则客户不得向 GitHub 提供以下任何个人数据

  • 与客户根据 FBI 刑事司法信息服务或相关安全政策收集或以其他方式处理的刑事定罪和违法行为或个人数据有关。
  • 构成受保护的健康信息,受美国卫生与公众服务部发布的隐私、安全和违规通知规则、《联邦法规》第 45 篇第 160 和 164 部分(根据 1996 年《健康保险流通与责任法案》(公法 104-191)或州健康或医疗隐私法建立)的约束。
  • 作为临床试验或其他生物医学研究的一部分收集,该研究受联邦人类受试者保护政策(共同规则)的约束或根据联邦保护政策(共同规则)进行。
  • 受州、联邦或外国生物识别隐私法的约束,或以其他方式构成生物识别信息,包括有关个人的身体、生理、生物或行为特征的信息,或从此类信息中得出的信息,这些信息单独使用或与其他信息结合使用来确定个人身份。

加州消费者隐私法案 (CCPA)/ 加州隐私权法案 (CPRA)

如果 GitHub 代表客户并根据 CCPA 范围内的书面指示处理个人数据,则 GitHub 向客户做出以下额外承诺。 GitHub 将代表客户处理个人数据,而不会

  • 出售个人数据,CCPA 中定义了“出售”一词。 - 以书面形式或电子或其他方式将个人数据以口头、书面或电子或其他方式共享、出租、发布、披露、传播、转让或以其他方式传达给第三方,以进行情景式行为广告,无论是否用于货币或其他有价约因,包括交易用于不交换资金的情景式行为广告。
  • 出于 DPA 条款和 GitHub 客户协议中指定的商业目的以外的任何目的保留、使用或披露个人数据,包括出于 DPA 条款或 GitHub 客户协议中指定的商业目的以外的商业目的,或 CCPA 允许的其他目的。
  • 在与客户的直接业务关系之外保留、使用或披露个人数据。
  • 将个人数据与其从第三方或代表第三方接收或从加利福尼亚州居民处收集的个人信息相结合,但 GitHub 可能会将个人数据组合在一起,以执行 CCPA 或 CCPA 通过或颁布的任何法规允许的任何业务目的。

如何联系 GitHub

如果客户认为 GitHub 未遵守其隐私或安全承诺,客户可以联系客户支持或使用 https://support.github.com/contact/privacy 上的 GitHub 隐私 Web 表单。 GitHub 的邮寄地址是:

GitHub Privacy
GitHub, Inc.
88 Colin P. Kelly Jr. Street
San Francisco, California 94107 USA

GitHub B.V. 是 GitHub 在欧洲经济区的数据保护代表。 可以通过以下地址联系 GitHub B.V. 的隐私代表:

GitHub B.V.
Vijzelstraat 68-72
1017 HL Amsterdam
The Netherlands

附录 A – 安全保障

GitHub 已实施并将维护 GitHub 代表客户处理的客户数据和个人数据,并且根据客户与 GitHub 服务相关的 书面指示,采取以下技术和组织措施以及安全保障措施,这些措施与本 DPA(包括 GDPR 相关条款)中的安全承诺相结合,是 GitHub 对该数据安全性的唯一责任:

领域做法
信息安全组织安全所有权。 GitHub 已任命一名或多名安全官员负责协调和监控安全策略和程序。

安全角色和职责。 有权访问客户数据和个人数据的 GitHub 人员受保密义务的约束。

风险管理计划. GitHub 执行年度风险评估。
GitHub 在安全文档不再有效后,会根据其保留要求保留其安全文档。

供应商管理。 GitHub 具有供应商风险评估流程、供应商合同条款以及与供应商签订的其他数据保护协议。
资产管理资产库存。 GitHub 维护存储客户数据和个人数据的所有媒体的清单。 对此类媒体库存的访问仅限于有权拥有此类访问权限的 GitHub 人员。

资产处理
- GitHub 对客户数据和个人数据进行分类,以帮助识别数据并允许对其进行适当限制。
- GitHub 传达员工对数据保护的责任和问责制,包括因此而被解雇。
GitHub 人员在远程访问客户数据和个人数据或在 GitHub 设施之外处理客户数据和个人数据之前,必须获得 GitHub 授权。
人力资源安全安全培训。 GitHub 要求所有新员工完成安全和隐私意识培训,作为初始入职的一部分。 所有员工都必须参加年度培训,以便为安全和隐私基础知识提供基线。
物理和环境安全对设施的物理访问。 GitHub 将处理客户数据和个人数据的信息系统所在设施的访问权限限制为指定的授权个人。

对组件的物理访问. GitHub 维护包含客户数据的传入和传出媒体的记录,包括媒体类型、授权发件人/收件人、日期和时间、媒体数量以及其中包含的客户数据和个人数据的类型。

防破坏保护。 GitHub 使用各种行业标准系统来防止电源故障或线路干扰导致数据丢失。

组件处置。 GitHub 使用行业标准流程在不再需要时删除客户数据和个人数据。
通信和运营管理运营政策。 GitHub 维护安全文档,其中描述其安全措施以及有权访问客户数据的人员的相关程序和职责。

数据恢复程序
- GitHub 会持续进行,但频率不得低于每周一次(除非在此期间没有更新客户数据和个人数据),GitHub 会维护客户数据和个人数据的多个副本,从中可以恢复客户数据和个人数据。
- GitHub 将客户数据和个人数据的副本以及数据恢复过程,存储在与处理客户数据和个人数据的主计算机设备不同的位置。
- GitHub 制定了管理客户数据副本访问的特定程序。
- GitHub 记录数据恢复工作,包括负责人、还原数据的描述和(如适用)负责人,以及在数据恢复过程中必须手动输入的数据(如果有)。

恶意软件。 GitHub 具有威胁检测控件,可帮助识别和响应对客户数据的异常或可疑访问,包括源自公共网络的恶意软件。

数据超越边界
- GitHub 加密或使客户能够加密通过公共网络传输的客户数据和个人数据。
- GitHub 限制访问离开其设施的媒体中的客户数据和个人数据。

事件日志记录。 GitHub 记录或让客户记录、访问和使用包含客户数据的信息系统,注册访问 ID、时间、授予或拒绝的授权以及相关活动。
访问控制访问策略。 GitHub 维护有权访问客户数据的个人的安全权限记录。

访问授权
- GitHub 维护和更新有权访问包含客户数据的 GitHub 系统的人员的记录。
- GitHub 可识别可能授予、更改或取消对数据和资源的授权访问权限的人员。
- GitHub 确保在多个人有权访问包含客户数据的系统时,在技术和架构可行且商业上合理的前提下,这些个人具有单独的标识符/登录信息。

最小特权
- 仅允许技术支持人员在需要时访问客户数据和个人数据。
- GitHub 将对客户数据和个人数据的访问限制为仅需要此类访问权限以执行其工作职能的个人。 GitHub 员工仅根据其在组织中的角色被授予对生产系统的访问权限。

完整性和机密性

- GitHub 指示 GitHub 人员在计算机无人值守时禁用管理会话。
- GitHub 存储密码,使其在生效时经过加密或无法理解。

身份验证
- GitHub 使用行业标准做法来识别和验证尝试访问信息系统的用户。
- 如果身份验证机制仅基于密码,则 GitHub 要求密码长度至少为八个字符。
- GitHub 确保不会将已停用或过期的员工标识符授予其他个人。
- GitHub 监控或让客户监控使用无效密码访问信息系统的重复尝试。
- GitHub 维护行业标准程序,以停用已损坏或无意中泄露的密码。
- GitHub 使用行业标准的密码保护实践,包括在分配和分发密码时以及存储期间维护密码的机密性和完整性的实践。

网络设计。 GitHub 具有控制措施,可确保存储客户数据和个人数据的系统都不是用于 GitHub 业务运营的同一逻辑网络的一部分。
信息安全事件管理事件响应流程
- GitHub 维护安全事件的记录,其中包含事件描述、时间段、违规后果、报告者姓名、事件报告对象以及事件处理的详细信息。
- 如果 GitHub Security 确认或合理怀疑 GitHub.com 客户受到数据泄露的影响,我们将毫不拖延地通知客户
- GitHub 跟踪或使客户能够跟踪客户数据的披露,包括已向谁披露、向谁以及何时披露。

服务监控。 GitHub 采用各种连续监控解决方案来预防、检测和缓解对站点的攻击。
业务连续性管理- GitHub 为处理客户数据和个人数据的 GitHub 信息系统所在的设施维护应急和临时计划。
- GitHub 的冗余存储及其恢复数据的过程旨在尝试在丢失或销毁之前以原始或上次复制状态重建客户数据和个人数据。

附件 1 - 标准合同条款 (EU/EEA)

控制方到处理方

第一部分

第 1 条

目的和范围

  1. 这些标准合同条款的目的是确保符合 2016 年 4 月 27 日欧洲议会和理事会关于在处理个人数据方面保护自然人以及此类数据自由流动的要求(通用数据保护条例),以便将个人数据传输到第三国。
  2. 缔约方:
    1. 传输个人数据的自然人或法人、公共当局、机构或其他机构(以下简称“实体”),如附录 I.A 所列(以下简称“数据输出者”),以及
    2. 直接或通过另一个实体(也是这些条款的缔约方)从数据输出者接收个人数据、已同意这些标准合同条款(以下简称“条款”)
    的第三国实体,如附录 I. A 所列(以下简称“数据输入者”)。
  3. 这些条款适用于附录 I.B 中规定的个人数据传输。
  4. 这些条款的附录(包含附件)在此引用构成这些条款的组成部分。
第 2 条

条款的效力和不变性

  1. 这些条款根据法规 (EU) 2016/679 第 46(1) 条和第 46(2)(c) 条,以及关于从控制方到处理方和/或处理方到处理方的数据传输,根据法规 (EU) 2016/679 第 28(7) 条,规定了适当的保障措施,包括可执行的数据主体权利和有效的法律补救措施, 前提是它们未被修改,除非选择适当的模块或在附录中添加或更新信息。 这并不妨碍双方将这些条款中规定的标准合同条款纳入更广泛的合同和/或添加其他条款或额外的保障措施,前提是它们不直接或间接地与这些条款相矛盾或损害数据主体的基本权利或自由。
  2. 这些条款不影响数据输出者根据法规 (EU) 2016/679 所承担的义务。
第 3 条

第三方受益人

  1. 数据主体可以作为第三方受益人,针对数据输出者和/或数据输入者调用和执行这些条款,但以下情况除外:
    1. 第 1 条、第 2 条、第 3 条、第 6 条、第 7 条;
    2. 第 8.1(b)、8.9(a)、(c)、(d) 和 (e) 条;
    3. 第 9(a)、(c)、(d) 和 (e) 条;
    4. 第 12(a)、(d) 和 (f) 条;
    5. 第 13 条;
    6. 第 15.1(c)、(d) 和 (e) 条;
    7. 第 16(e) 条;
    8. 第 18(a) 和 (b) 条。
  2. (a) 款不损害数据主体根据法规 (EU) 2016/679 享有的权利。
第 4 条

解释

  1. 如果这些条款使用法规 (EU) 2016/679 中定义的术语,则这些术语应具有与该法规中相同的含义。
  2. 这些条款应根据法规 (EU) 2016/679 的规定进行阅读和解释。
  3. 这些条款的解释不应与法规 (EU) 2016/679 中规定的权利和义务相冲突。
第 5 条

等级

如果在这些条款已经商定或之后签订时,这些条款与双方之间相关协议的规定之间存在矛盾,则应以这些条款为准。

第 6 条

传输说明

附录 I.B 说明了传输的详细信息,特别是传输的个人数据类别及其传输目的。

第 7 条

衔接条款

  1. 非本条款缔约方的实体,经双方同意,可作为数据输出者或数据输入者,通过填写附录并签署附件 I.A 随时加入这些条款。
  2. 一旦完成附录并签署附件 I.A,加入实体应成为本条款的缔约方,并根据其在附件 I.A 中的指定享有数据输出者或数据输入者的权利和义务。
  3. 加入实体在成为缔约方之前的时期内,不享有本条款项下产生的任何权利或义务。

第 II 节 – 缔约方的义务

第 8 条

数据保护措施

数据输出者保证其已尽合理努力确定数据输入者能够通过实施适当的技术和组织措施来履行其在本条款下的义务。

8.1 说明

  1. 数据输入者应仅根据数据输出者的文件指示处理个人数据。 数据输出者可以在合同的整个期限内发出此类指示。
  2. 如果数据输入者无法遵循这些说明,应立即通知数据输出者。

8.2 目的限制

数据输入者应仅出于附件 I.B 中规定的特定传输目的处理个人数据,除非数据输出者的进一步指示。

8.3 透明度

在要求时,数据输出者应免费向数据主体提供这些条款的副本,包括双方填写的附录。 在保护商业秘密或其他机密信息(包括附件二中描述的措施和个人数据)所必需的范围内,数据输出者可以在共享副本之前编辑这些条款附录的部分文本,但应提供有意义的摘要,否则数据主体将无法理解其内容或行使其权利。 在要求时,双方应尽可能向数据主体提供编辑的原因,而不会泄露被编辑的信息。 本条款不影响数据输出者根据法规 (EU) 2016/679 第 13 条和第 14 条承担的义务。

8.4 准确度

如果数据输入者知悉到其收到的个人数据不准确或已过时,则应立即通知数据输出者。 在这种情况下,数据输入者应与数据输出者合作删除或纠正数据。

8.5 处理和删除或返回数据的持续时间

数据输入者的处理只能在附件 I.B 规定的期限内进行。 在提供处理服务结束后,数据输入者应根据数据输出者的选择,删除代表数据输出者处理的所有个人数据,并向数据输出者证明其已经这样做,或者将代表其处理的所有个人数据传回给数据输出者并删除现有副本。 在数据被删除或传回之前,数据输入者应继续确保遵守这些条款。 如果适用于数据输入者的当地法律禁止返回或删除个人数据,则数据输入者保证将继续确保遵守这些条款,并且只会在当地法律要求的范围内和时间内进行处理。 这不影响第 14 条,特别是第 14(e) 条规定的数据输入者在有理由相信数据输出者已经或已经受到不符合第 14(a) 条要求的法律或实践的约束时,在整个合同期限内通知数据输出者。

8.6 处理的安全性

  1. 数据输入者以及在传输过程中的数据输出者应实施适当的技术和组织措施,以确保数据的安全性,包括防止安全漏洞导致意外或非法破坏、丢失、更改、未经授权的数据披露或访问(以下简称“个人数据泄露”)。 在评估适当的安全级别时,双方应适当考虑现有技术、实施成本、性质、范围、背景和目的以及数据主体处理所涉及的风险。 双方应特别考虑诉诸加密或假名化,包括在传输过程中(如果这种方式可以实现处理目的)。 在假名化的情况下,用于将个人数据归因于特定数据主体的附加信息应尽可能由数据输出者独家控制。 在遵守本款规定的义务时,数据输入者应至少实施附件 II 中规定的技术和组织措施。 数据输入者应定期进行检查,以确保这些措施继续提供适当的安全级别。
  2. 数据输入者应仅在合同的实施、管理和监控所必需的范围内向其人员授予对个人数据的访问权限。 它应确保授权处理个人数据的人员已承诺保密或承担适当的法定保密义务。
  3. 如果数据输入者根据这些条款处理的个人数据发生个人数据泄露,数据输入者应采取适当措施解决违规行为,包括减轻其不利影响的措施。 数据输入者在意识到违规行为后,也应立即通知数据输出者。 此类通知应包含可以获得更多信息的联络点的详细信息,对违规行为性质的描述(在可能的情况下,包括数据主体和个人数据记录的类别和大致数量),其可能的后果以及为解决违规行为而采取或建议采取的措施,包括酌情减轻其可能的不利影响的措施。 如果不可能同时提供所有信息,则初始通知应载有当时可获得的信息,并在获得进一步信息后立即提供,不得无故拖延。
  4. 数据输入者应与数据输出者合作并协助数据输出者,使数据输出者能够遵守其根据法规 (EU) 2016/679 承担的义务,特别是通知主管监管机构和受影响的数据主体,同时考虑到处理的性质和数据输入者可获得的信息。

8.7 敏感数据

如果传输涉及揭示种族或民族血统、政治观点、宗教或哲学信仰或工会会员资格的个人数据、遗传数据或用于唯一识别自然人的生物特征数据、有关健康或个人性生活或性取向的数据,或与刑事定罪和犯罪有关的数据(以下简称“敏感数据”),则 数据输入者应适用附件 I.B 所述的具体限制和/或额外保障措施。

8.8 向外传输

数据输入者应仅根据数据输出者的文件指示向第三方披露个人数据。 此外,若要披露给位于欧盟以外的第三方(1)(与数据输入者在同一国家/地区或在另一个第三国,以下简称“向外传输”),则仅在第三方同意遵守这些条款或者在适当模块下满足以下条件时才可传输:

  1. 根据涵盖向外传输的法规 (EU) 2016/679 第 45 条受益于充分性决定的国家;
  2. 第三方根据 (EU) 2016/679 法规第 46 或 47 条,确保对相关处理采取适当的保障措施;
  3. 在特定的行政、监管或司法程序中,为了确立、行使或辩护法律索赔,必须进行向外传输;或
  4. 为了保护数据主体或其他自然人的切身利益而必须向外传输。

  5. 任何向外传输数据输入者均须遵守这些条款下的所有其他保护措施,特别是目的限制。

8.9 文档和合规性

  1. 数据输入者应及时、充分地处理数据输出者提出的与本条款项下的处理有关的查询。
  2. 双方应能够证明遵守这些条款。 特别是,数据输入者应保留有关代表数据输出者进行的处理活动的适当文档。
  3. 数据输入者应向数据输出者提供证明遵守本条款中规定的义务所需的所有信息,并应数据输出者的要求,允许并协助以合理的间隔或在出现不合规迹象时对本条款所涵盖的处理活动进行审计。 在决定审查或审计时,数据输出者可能会考虑数据输入者持有的相关认证。
  4. 数据输出者可以选择自己进行审计或委托独立审计师。 审计可包括在数据输入者的房舍或有形设施进行检查,在适当时应在合理通知的情况下进行。
  5. 缔约双方应根据要求向主管监督机构提供 (b) 和 (c) 项所述的信息,包括任何审计的结果。
第 9 条

使用子处理方

  1. 一般书面授权 数据输入者拥有数据输出者从商定列表中聘用子处理方的一般授权。 数据输入者应至少提前 90 天新增或替换子处理方,以书面形式明确通知数据输出者该列表的任何预期更改,从而使数据输出者有足够的时间在子处理方参与之前决定是否反对此类更改。 数据输入者应向数据输出者提供必要的信息,以使数据输出者能够行使其反对权。
  2. 如果数据输入者聘请子处理方(代表数据输出者)执行特定的处理活动,则应通过书面合同的方式进行,该合同实质上规定了与根据这些条款约束数据输入者的数据保护义务相同的数据保护义务,包括数据主体的第三方受益人权利。(2) 双方同意,通过遵守本条款,数据输入者履行了第 8.8 条规定的义务。 数据输入者应确保子处理方遵守数据输入者根据这些条款所承担的义务。
  3. 数据输入者需应数据输出者的要求,向数据输出者提供此类子处理方协议的副本以及任何后续修订。 在保护商业秘密或其他机密信息(包括个人数据)所必需的范围内,数据输入者可以在共享副本之前编辑协议文本。
  4. 数据输入者应继续对数据输出者承担全部责任,以履行子处理方根据其与数据输入者签订的合同所承担的义务。 数据输入者应将子处理方未能履行该合同规定的义务通知数据输出者。
  5. 数据输入者应与子处理方商定第三方受益人条款,如果数据输入者事实上已经消失、法律上不复存在或已经破产,则数据输出者应有权终止子处理方合同并指示子处理方删除或传回个人数据。
第 10 条

数据主体权利

  1. 数据输入者应将其从数据主体收到的任何请求及时通知数据输出者。 除非获得数据输出者的授权,否则数据输入者不得自行回应该请求。
  2. 数据输入者应协助数据输出者履行其义务,响应数据主体根据法规 (EU) 2016/679 行使其权利的请求。 在此方面,缔约双方应在附件 II 中列出适当的技术和组织措施,同时考虑到提供援助的处理性质,以及所需援助的范围和程度。
  3. 在履行 (a) 和 (b) 款规定的义务时,数据输入者应遵守数据输出者的指示。
第 11 条

补救

  1. 数据输入者应通过个人通知或在其网站上以透明且易于访问的格式通知数据主体有权处理投诉的联系点。 它应及时处理从数据主体收到的任何投诉。
  2. 如果数据主体与其中一方之间就遵守这些条款发生争议,该方应尽最大努力及时友好地解决问题。 缔约双方应随时向对方通报此类争议,并在适当情况下合作解决这些争议。
  3. 如果数据主体根据第 3 条援引第三方受益人权利,则数据输入者应接受数据主体的决定:
    1. 根据第 13 条,向其惯常居住地或工作地点的成员国的监督机构或主管监督机构提出投诉;
    2. 将争议提交第 18 条所指的主管法院。
  4. 双方接受数据主体可根据法规 (EU) 2016/679 第 80(1) 条规定的条件由非营利机构、组织或协会代表。
  5. 数据输入者应遵守根据适用的欧盟或成员国法律具有约束力的决定。
  6. 数据输入者同意,数据主体所做的选择不会损害他/她根据适用法律寻求补救措施的实质性和程序性权利。
第 12 条

责任

  1. 对于因违反这些条款而给另一方造成的任何损害,各方均应对另一方承担责任。
  2. 数据输入者应对数据主体负责,并且数据主体有权获得赔偿,因为数据输入者或其子处理方违反本条款下的第三方受益人权利而导致数据主体的任何重大或非物质损害。
  3. 尽管有 (b) 款的规定,数据输出者应对数据主体负责,并且数据主体有权获得赔偿,因为数据输出者或数据输入者(或其子处理方)违反本条款项下的第三方受益人权利而导致数据主体的任何重大或非重大损害。 这不影响数据输出者的责任,如果数据输出者是代表控制方行事的处理方,则不影响控制方根据法规 (EU) 2016/679 或法规 (EU) 2018/1725(如适用)承担的责任。
  4. 双方同意,如果数据输出者根据 (c) 款对数据输入者(或其子处理方)造成的损害承担责任,则其有权向数据输入者索回与数据输入者对损害的责任相对应的那部分赔偿。
  5. 如果不止一方对因违反这些条款而对数据主体造成的任何损害负责,则所有负责方均应承担连带责任,数据主体有权对其中任何一方提起诉讼。
  6. 缔约双方同意,如果一方根据 (e) 款承担责任,则其有权向另一方索回与其损害责任相对应的那部分赔偿。
  7. 数据输入者不得援引子处理方的行为来逃避其自身的责任。
第 13 条

监督

  1. [如果数据输出者在欧盟成员国成立:]如附件 I.C 所示,负责确保数据输出者遵守有关数据传输的法规 (EU) 2016/679 的监管机构应作为主管监管机构。

    [如果数据输出者不是在欧盟成员国建立的,但根据其第 3(2) 条属于法规 (EU) 2016/679 的适用范围,并且已根据法规 (EU) 2016/679 第 27(1) 条任命了代表:]法规 (EU) 2016/679 第 27(1) 条所指的成员国的监管机构,如附件 I.C 所示,应作为主管监督机构。

    [如果数据输出者不是在欧盟成员国建立的,但根据其第 3(2) 条属于法规 (EU) 2016/679 的适用范围,但不必根据法规 (EU) 2016/679 第 27(2) 条指定代表:如附件 I.C 所示,因向数据主体提供商品或服务而根据本条款向传输其个人数据的数据主体或其行为受到监控的数据主体,所在的成员国之一的监管机构应作为主管监管机构。

  2. 数据输入者同意服从主管监管机构的管辖,并在任何旨在确保遵守这些条款的程序中与主管监管机构合作。 特别是,数据输入者同意回应查询,提交审计并遵守监管机构采取的措施,包括补救和补偿措施。 它应向监督机构提供书面确认,证明已采取必要行动。

第 III 节 – 公共当局访问时的当地法律和义务

第 14 条

影响条款遵守情况的当地法律和惯例

  1. 双方保证,他们没有理由相信目的地第三国适用于数据输入者处理个人数据的法律和惯例,包括披露个人数据的任何要求或公共当局授权访问的措施,会阻止数据输入者履行其在这些条款下的义务。 这是基于这样的理解:尊重基本权利和自由的本质,并且不超过民主社会中维护 (EU) 2016/679 条例第 23(1) 条所列目标之一的必要及对应法律和实践与这些条款并不矛盾。
  2. 缔约双方声明,在提供 (a) 款中的保证时,他们特别适当考虑了以下要素:
    1. 传输的具体情况,包括处理链的长度、涉及的行为者数量和使用的传输渠道;预期的向外传输;接收者的类型;处理的目的;传输的个人数据的类别和格式;发生转移的经济部门;所传输数据的存储位置;
    2. 第三目的地国的法律和惯例 - 包括要求向公共当局披露数据或授权这些当局访问的法律和惯例 - 与传输的具体情况以及适用的限制和保障措施有关 (3)
    3. 为补充这些条款下的保障措施而实施的任何相关合同、技术或组织保障措施,包括在传输期间和在目的地国家/地区处理个人数据时适用的措施。
  3. 数据输入者保证,在进行 (b) 款规定的评估时,它已尽最大努力向数据输出者提供有关信息,并同意将继续与数据输出者合作,以确保遵守这些条款。
  4. 缔约双方同意将评估记录在 (b) 款下,并应要求提供给主管监督机构。
  5. 数据输入者同意,如果在同意这些条款后,数据输入者在合同期限内有理由相信其受到或变成受到不符合 (a) 款要求的法律或惯例的约束,包括在第三国法律发生变化或采取措施(例如披露请求)表明此类法律不符合 (a) 款要求的做法。
  6. 在根据 (e) 款发出通知后,或者如果数据输出者有理由相信数据输入者无法再履行本条款规定的义务,则数据输出者应立即确定数据输出者和/或数据输入者应采取的适当措施(例如,确保安全性和机密性的技术或组织措施),以解决这种情况。 如果数据输出者认为无法确保对数据传输采取适当的保护措施,或者主管监督机构指示这样做,则应暂停数据传输。 在这种情况下,数据输出者有权终止合同,只要它涉及根据这些条款处理个人数据。 如果合同涉及两个以上的缔约方,则数据输出者只能对相关缔约方行使此终止权,除非双方另有约定。 如果合同根据本条款终止,则第 16(d) 和 (e) 条适用。
第 15 条

数据输入者在公共当局访问时的义务

15.1 通知

  1. 如果数据输入者在以下情况下,同意立即通知数据输出者,并在可能的情况下及时通知数据主体(必要时借助数据输出者的帮助):
    1. 根据目的地国家/地区的法律,收到公共机构(包括司法机构)提出的具有法律约束力的请求,要求披露根据这些条款传输的个人数据;此类通知应包括有关所请求的个人数据、请求机构、请求的法律依据以及所提供的回复的信息;或
    2. 知悉公共当局根据目的地国家/地区的法律直接访问根据这些条款传输的个人数据;该通知应包括输入者可获得的所有信息。
  2. 如果根据目的地国家/地区的法律禁止数据输入者通知数据输出者和/或数据主体,则数据输入者同意尽最大努力获得禁令的豁免,以期尽快传达尽可能多的信息。 数据输入者同意记录其尽最大努力,以便能够根据数据输出者的要求展示它们。
  3. 在目的地国法律允许的情况下,数据输入者同意在合同期限内定期向数据输出者提供尽可能多的有关所收到请求的信息(特别是请求数量、请求的数据类型、请求的授权机构、请求是否受到质疑以及此类质疑的结果, 等等)。
  4. 数据输入者同意在合同期限内根据 (a) 至 (c) 款保留信息,并根据要求将其提供给主管监督机构。
  5. 第 (a) 至 (c) 款不影响数据输入者根据第 14(e) 条和第 16 条所承担的义务,即在数据输出者无法遵守这些条款时立即通知数据输出者。

15.2 审查合法性和尽量减少数据

  1. 数据输入者同意审查披露请求的合法性,特别是披露请求是否仍在授予请求公共当局的权力范围内,如果经过仔细评估后有合理的理由认为,根据目的地国的法律、 国际法和国际礼让原则规定的适用义务,该请求是非法的,则对请求提出质疑。 在相同条件下,数据输入者应寻求上诉的可能性。 在对请求提出质疑时,数据输入者应寻求采取临时措施,以期在主管司法当局就其案情作出决定之前,中止请求的效力。 在根据适用的程序规则要求之前,它不得披露所要求的个人数据。 这些要求不影响数据输入者根据第 14(e) 条所承担的义务。
  2. 数据输入者同意记录其法律评估和对披露请求的任何质疑,并在目的地国家/地区法律允许的范围内,向数据输出者提供文件。 它还应根据请求将其提供给主管监督机构。
  3. 数据输入者同意在响应披露请求时,根据对请求的合理解释,提供允许的最小信息量。

第 IV 部分 – 最终条款

第 16 条

不遵守条款和终止

  1. 如果数据输入者因任何原因无法遵守这些条款,应立即通知数据输出者。
  2. 如果数据输入者违反这些条款或无法遵守这些条款,则数据输出者应暂停向数据输入者传输个人数据,直到再次确保合规或合同终止。 这不影响第 14(f) 条。
  3. 数据输出者有权终止合同,只要涉及根据这些条款处理个人数据,其中:
    1. 数据输出者已根据 (b) 款暂停向数据输入者传输个人数据,并且不会在合理的时间内以及暂停后的一个月内恢复对这些条款的遵守;
    2. 数据输入者严重或持续违反这些条款;或
    3. 数据输入者不遵守主管法院或监管机构关于其在本条款下的义务的具有约束力的决定。

    在这些情况下,它应将这种不遵守情况通知主管监督机构。 如果合同涉及两个以上的缔约方,则数据输出者只能对相关缔约方行使此终止权,除非双方另有约定。
  4. 根据 (c) 款在合同终止之前传输的个人数据应由数据输出者选择立即传回给数据输出者或全部删除。 这同样适用于数据的任何副本。 数据输入者应向数据输出者证明数据已删除。 在数据被删除或传回之前,数据输入者应继续确保遵守这些条款。 如果适用于数据输入者的当地法律禁止返回或删除传输的个人数据,则数据输入者保证将继续确保遵守这些条款,并且只会在当地法律要求的范围内和时间内处理数据。
  5. 在以下情况下,任何一方均可撤销其受这些条款约束的同意: (i) 欧盟委员会根据法规 (EU) 2016/679 第 45(3) 条通过决定,该决定涵盖本条款适用的个人数据的传输;或 (ii) 法规 (EU) 2016/679 成为个人数据被传输到的国家的法律框架一部分。 这并不影响法规 (EU) 2016/679 下适用于相关处理的其他义务。
第 17 条

管辖法律

这些条款受欧盟成员国之一的法律管辖,前提是该法律允许第三方受益人权利。 双方同意,这是荷兰的法律。

第 18 条

法院和管辖权的选择

  1. 由这些条款引起的任何争议应由欧盟成员国的法院解决。
  2. 双方同意,这些法院应为荷兰法院。
  3. 数据主体还可以在他/她惯常居住的成员国的法院对数据输出者和/或数据输入者提起法律诉讼。
  4. 双方同意服从此类法院的管辖。

附 件 I

标准合同条款 (EU/EEA)

A. 缔约方清单

数据输出者:客户是数据输出者
姓名:请参阅 GitHub 客户协议
地址:请参阅 GitHub 客户协议
联系人的姓名、职位和联系方式:请参阅 GitHub 客户协议
与根据以下条款传输的数据相关的活动:
数据输出者是 DPA 和 GitHub 客户协议中定义的在线服务或专业服务的用户。
签名和日期:请参阅 GitHub 客户协议(DPA 和标准合同条款 (EU/EEA) 已合并到 GitHub 客户协议中
角色(控制方/处理方):控制方(除非客户协议中另有约定)。

数据输入者
姓名: GitHub, Inc.
地址: 88 Colin P Kelly Jr St, San Francisco, CA 94107, USA
联系人姓名、职位和联系方式: Frances Wiet,隐私主管,fwiet@github.com
根据这些条款传输的数据相关的活动:
GitHub, Inc. 是全球软件和服务生产商
签名和日期:请参阅 GitHub 客户协议(DPA 和标准合同条款 (EU/EEA) 已纳入 GitHub 客户协议)
角色(控制方/处理方):处理方或根据客户协议中的规定聘用的子处理方。

B. 传输说明

传输其个人数据的数据主体的类别:

数据主体是数据出口方的代表和最终用户,包括数据出口方的员工、承包商、协作者和客户。 数据主体还可能包括试图将个人数据传达或传输给数据输入者所提供服务的用户的个人。 GitHub 承认,根据客户对在线服务或专业服务的使用情况,客户可以选择在个人数据中包含来自以下任何类型的数据主体的个人数据:

  • 数据出口方的员工、承包商和临时工(现任、前任、未来);
  • 数据出口方的协作者/联系人(自然人)或法律实体协作者/联系人的员工、承包商或临时工(现任、未来、前任);
  • 作为数据输出者服务的用户和其他数据主体;
  • 合作伙伴、利益相关者或与数据出口方的员工积极协作、交流或以其他方式互动的个人和/或使用数据出口方提供的应用程序和网站等沟通工具的个人。

传输的个人数据类别:

在在线服务或专业服务的背景下,以电子形式包含在电子邮件、文档和其他数据中的传输的个人数据。 GitHub 承认,根据客户对在线服务或专业服务的使用情况,客户可以选择在个人数据中包含以下任何类别的个人数据:

  • 基本个人数据(例如出生地、街道名称和门牌号(地址)、邮政编码、居住城市、居住国、手机号码、名字、姓氏、姓名首字母缩写、电子邮件地址、性别、出生日期);
  • 身份验证数据(例如用户名、密码或 PIN 码、安全问题、审计跟踪);
  • 联系信息(例如地址、电子邮件、电话号码、社交媒体标识符;紧急联系方式);
  • 唯一的标识号和签名(例如 IP 地址、员工编号、学生编号);
  • 假名标识符;
  • 照片、视频和音频;
  • 互联网活动(例如浏览历史记录、搜索历史记录、阅读和查看活动);
  • 设备标识(例如 IMEI 号码、SIM 卡号码、MAC 地址);
  • 分析(例如,基于观察到的犯罪或反社会行为,或基于访问的 URL、点击流、浏览日志、IP 地址、域、安装的应用程序的假名个人资料,或基于营销偏好的个人资料);
  • 数据主体自愿提供的特殊类别的数据(例如种族或民族血统、政治观点、宗教或哲学信仰、工会会员资格、遗传数据、用于唯一识别自然人的生物特征数据、有关健康的数据、有关自然人的性生活或性取向的数据,或与刑事定罪或犯罪有关的数据);或
  • GDPR 第 4 条中确定的任何其他个人数据。

敏感数据,传输(如适用)并应用充分考虑数据性质和所涉风险的限制或保障措施,例如严格的目的限制、访问限制(包括仅限经过专门培训的员工访问)、保留访问数据的记录, 对向外传输的限制或其他安全措施:
GitHub 不会请求或要求敏感数据,并且仅在客户或数据主体决定提供此类数据时才会接收这些数据。

传输的频率(例如,数据是一次性传输还是连续传输):

作为在线服务或专业服务的一部分持续存在。

处理的性质:

传输的个人数据将受到以下基本处理活动的约束:

  1. 数据处理的持续时间和对象 。 数据处理的持续时间应为数据输出者和数据输入者之间适用的 GitHub 客户协议中指定的期限。 数据处理的目标是执行在线服务和专业服务。
  2. 个人数据访问。 对于适用的 GitHub 客户协议指定的期限,数据输入者将根据其选择并根据适用法律的必要条件:(1) 向数据输出者提供更正、删除或阻止个人数据的能力,或 (2) 代表其进行此类更正、删除或阻止。
  3. 数据输出者的指示。 对于在线服务和专业服务,数据输入者将严格按照数据输出者的指示执行操作。

数据传输和进一步处理的目的:

处理个人数据的范围和目的在本 DPA 的“个人数据的处理;GDPR“部分描述。 数据输入者运营数据中心和管理/支持设施的全球网络,可以在数据输入者或其子处理方根据 DPA 的“安全实践和政策”部分运营此类设施的任何司法管辖区进行处理。

个人数据将被保留的期限,如果无法保留,则确定该期限所用的标准:

在数据输出者使用在线服务或专业服务到期或终止后,它可能会提取个人数据,数据输入者将根据适用于本协议的 DPA 条款删除个人数据。

对于向(子)处理方的传输,还要指定处理的主题、性质和持续时间:

根据 DPA,数据输入者可以雇佣其他公司代表他们提供有限的服务,例如提供客户支持。 任何此类分包商将被允许获取个人数据,仅用于提供数据输入者委托他们提供的服务,并且禁止他们将个人数据用于任何其他目的。 除非提前更换特定的分包商,否则处理将按照数据导出者和数据导入者之间适用的 GitHub 客户协议指定的期限进行。

C. 主管监督机构

根据第 13 条确定主管监督机构:

负责确保数据输出者遵守法规 (EU) 2016/679 的监管机构。  

附 件 II

标准合同条款 (EU/EEA)

技术和组织措施,包括确保数据安全的技术和组织措施

描述数据输入者为确保适当的安全级别而实施的技术和组织措施(包括任何相关认证),同时考虑到处理的性质、范围、背景和目的,以及自然人的权利和自由的风险。

  1. 数据安全证书。 数据输入者持有以下数据安全证书:
    • SOC 1,类型 2;
    • SOC 2,类型 2;
    • NIST,在纳入 FedRAMP 低影响/定制 ATO 的范围内。
  2. 人员。 未经授权,数据输入者的人员不会处理个人数据。 工作人员有义务对任何此类个人数据保密,即使在其约定结束后,此义务也将继续存在。
  3. 数据隐私联系人。 可以通过以下地址联系数据输入者的数据隐私官:

    GitHub, Inc.
    Attn: Privacy
    88 Colin P. Kelly Jr. Street
    San Francisco, California 94107 USA

  4. 技术和组织措施。 数据输入者已实施并将维护适当的技术和组织措施、内部控制和信息安全例程,旨在保护个人数据(如 DPA 的“安全实践和政策”部分中所定义)免遭意外丢失、破坏或更改;未经授权的披露或访问;或非法破坏,如下所示:DPA 数据安全部分规定的技术和组织措施,内部控制和信息安全程序在此通过此引用并入附件 1 的本附录 II,并且对数据输入者具有约束力,如同它们在附件 1 的本附录 2 中全部列出一样。

对于向(子)处理方的传输,还描述了(子)处理方为能够向控制方提供帮助而采取的特定技术和组织措施,对于从处理方到子处理方的传输,则向数据输出者提供:

供应商管理计划 - 第三方风险计划

数据输入者具有供应商风险评估流程、供应商合同条款以及与供应商签订的其他数据保护协议。 当请求新的用例时,供应商将进行重新评估。 数据输入者的供应商风险计划是结构化的,因此所有数据输入者的供应商风险评估都会从上次审核日期起两年更新。

被视为高风险的供应商,例如数据中心提供商或根据数据输入者的监管或合同要求在范围内存储或处理数据的其他供应商,每年都会进行重新评估。

附录 III

标准合同条款 (EU/EEA)

附加保障措施附录

通过标准合同条款 (EU/EEA) 的附加保障措施附录(本“附录”),GitHub, Inc. (“GitHub”) 为客户提供了额外的保护措施,并为与客户个人数据相关的数据主体提供了额外的补救措施。

本附录是对标准合同条款 (EU/EEA) 的补充,并构成其一部分,但并非变更或修改。

  1. 命令质询。 除了标准合同条款 (EU/EEA) 第 15.1 条之外,如果 GitHub 收到任何第三方的订单,要求强制披露根据标准合同条款 (EU/EEA) 传输的任何个人数据,GitHub 应:
    1. 尽一切合理努力将第三方重定向到直接向客户请求数据;
    2. 及时通知客户,除非适用法律禁止给请求的第三方,如果禁止通知客户,请尽一切合法努力获得放弃禁令的权利,以便尽快向客户传达尽可能多的信息;和
    3. 根据请求方法律存在的任何法律缺陷或与欧盟法律或适用成员国法律的任何相关冲突,尽一切合法努力对披露令提出质询。

    就本节而言,合法努力不包括根据相关司法管辖区的法律可能导致民事或刑事处罚的行为,例如藐视法庭。
  2. 对数据主体的补偿。 根据第 3 节和第 4 节的规定,GitHub 应赔偿数据主体因 GitHub 披露根据标准合同条款 (EU/EEA) 传输的数据主体的个人数据(“相关披露”)而对数据主体造成的任何重大或非重大损害。 尽管有上述规定,但在数据主体已从 GitHub 或其他方面获得相同损害的赔偿的范围内,GitHub 没有义务根据本第 2 节对数据主体进行赔偿。
  3. 补偿条件。 第 2 节规定的补偿条件是数据主体在 GitHub 合理满意的情况下证明:
    1. GitHub 参与了相关披露;
    2. 相关披露是非 EU/EEA 政府机构或执法机构对数据主体提起正式诉讼的基础;以及
    3. 相关披露直接导致数据主体遭受重大或非物质损害。

    数据主体对条件 a. 至 c. 承担举证责任
    尽管有上述规定,但如果 GitHub 确定相关披露未违反其在 GDPR 第 V 章下的义务,则 GitHub 没有义务根据第 2 节对数据主体进行赔偿。
  4. 损害范围。 第 2 节规定的赔偿仅限于 GDPR 中规定的物质和非物质损害,并排除间接损害以及并非因 GitHub 违反 GDPR 而造成的所有其他损害。
  5. 权利行使。 根据本附录授予数据主体的权利可由数据主体针对 GitHub 强制执行,而不考虑标准合同条款 (EU/EEA) 第 3 条或第 12 条中的任何限制。 数据主体只能根据本附录以个人为基础提出索赔,而不能作为班级、集体、团体或代表诉讼的一部分。 根据本附录授予数据主体的权利是数据主体的个人权利,不得转让。
  6. 变更通知。 除了标准合同条款 (EU/EEA) 第 14 条之外,GitHub 同意并保证,它没有理由相信适用于其或其子处理方的法律(包括在个人数据由其自身或通过子处理方传输到的任何国家/地区)阻止其履行从数据输出者收到的指示及其在本附录或标准合同条款 (EU/EEA) 下的义务,如果本法律发生变更,可能对本附录或标准合同条款 (EU/EEA) 提供的保证和义务产生重大不利影响,它将在意识到这一变更后立即通知客户,在这种情况下,客户有权暂停数据传输和/或终止合同。
  7. 终止。 如果欧盟委员会、主管成员国监管机构或欧盟或主管成员国法院批准了适用于标准合同条款 (EU/EEA) 所涵盖的数据传输的不同合法传输机制(以及如果此类机制仅适用于某些数据传输,本附录仅因这些传输而终止),不需要本附录中规定的额外保障措施,则本附录将自动终止。

附件 2 – 标准合同条款(英国)

客户执行 GitHub 客户协议包括执行本附件 2,该附件 2 由 GitHub, Inc. 会签。

在使用标准合同条款需要监管机构批准的国家/地区,除非客户获得了所需的监管机构批准,否则根据欧洲委员会 2010/87/EU(2010 年 2 月)的规定,客户不得根据标准合同条款确定从此类国家/地区出口数据的合法性。

从 2018 年 5 月 25 日开始及之后,以下标准合同条款中对指令 95/46/EC 中各项条款的引用将被视为对 GDPR 中相关和适当条款的引用。

根据指令 95/46/EC 第 26(2) 条针对将个人数据转移给在无法确保充分数据保护级别的第三国设立的处理方之规定,客户(作为数据输出者)和 GitHub, Inc.(作为数据输入者,其签名见下文)每一方(合称为“双方”)都同意以下合同条款(以下简称“条款”或“标准合同条款”),以便在数据输出者将附录 1 中规定的个人数据传输到数据输入者时,为个人的隐私、基本权利和自由提供充分保障。

第 1 条:定义

  1. “个人数据”、“特殊数据类别”、“处理”、“控制方”、“处理方”、“数据主体”和“监管机构”的含义应与 1995 年 10 月 24 日欧洲议会和理事会关于在个人数据处理和此类数据自由流动方面保护个人的第 95/46/EC 号指令相同;
  2. “数据输出者”是指传输个人数据的控制方;
  3. “数据输入者”是指从数据输出者接收个人数据,并在数据转移后,根据数据输出者的指示和条款规定代表其处理此类数据的处理方,并且不受第三国系统的约束,确保数据根据指令 95/46/EC 第 25(1) 条的规定得到充分保护。
  4. “子处理方”是指数据输入者或数据输入者的任何其他子处理方雇佣的任何处理方,他们从数据输入者或数据输入者的任何其他子处理方接收个人数据,并在数据传输后,根据其指示、条款规定以及书面分包合同的条款代表其执行数据处理活动;
  5. “适用的数据保护法”是指保护个人基本权利和自由的立法,尤其是保护个人在处理个人数据方面的隐私权,适用于数据输出者所在成员国的数据控制方;
  6. “技术和组织安全措施”是指旨在保护个人数据不受意外或非法破坏或意外丢失、更改、未经授权披露或访问的措施,尤其是涉及网络数据传输的处理以及针对所有其他非法处理方式。

第 2 条:转移细节

转移细节,尤其是特殊类别个人数据的转移,应遵守下文附录 1 中的规定,该附录构成了本条款的组成部分。

第 3 条:第三方受益人条款

  1. 数据主体可以作为第三方受益人对数据出口方执行本条、第 4(b) 至 (i)、第 5(a) 至 (e) 和 (g) 至 (j)、第 6(1) 和 (2)、第 7、第 8(2) 和第 9 至 12 条。
  2. 在数据出口方事实上已经消失或在法律上不复存在的情况下,数据主体可对数据进口方执行本条、第 5(a) 至 (e) 和 (g)、第 6、第 7、第 8(2) 和第 9 至 12 条,除非任何继承实体通过合同或法律的实施承担了数据出口方的全部法律义务,并因此承担了数据出口方的权利和义务,在这种情况下,数据主体可以针对此类实体执行这些条款。
  3. 在数据出口方和数据进口方事实上已经消失或在法律上不复存在或已经破产的情况下,数据主体可对再处理方执行本条、第 5(a) 至 (e) 和 (g)、第 6、第 7、第 8(2) 和第 9 至 12 条,除非任何继承实体通过合同或法律的实施承担了数据出口方的全部法律义务,并因此承担了数据出口方的权利和义务,在这种情况下,数据主体可以针对此类实体执行这些条款。 再处理方的此类第三方责任应限于其在本条款下的处理业务。
  4. 如果数据主体有明确的意愿并且国家法律允许,当事方不反对由协会或其他机构代表数据主体。

第 4 条:数据出口方的义务

数据出口方同意并保证:

  1. 个人数据的处理,包括数据传输过程,已经并将继续按照适用的数据保护法的相关规定进行(并且在适用的情况下通知数据输出者所在成员国的相关当局),并且不违反该国有关规定;
  2. 已指示并将在个人数据处理服务期间指示数据输入者,仅代表数据输出者并根据适用的数据保护法和本条款来处理所传输的个人数据;
  3. 数据输入者将为下文附录 2 中规定的技术和组织安全措施提供充分保证;
  4. 在评估了适用数据保护法的要求后,安全措施适用于保护个人数据,使其免受意外或非法破坏或意外丢失、更改、未经授权的披露或访问,尤其是涉及网络数据传输的处理以及针对所有其他非法处理方式,并在考虑到最新技术和实施成本的情况下,确保这些措施能够提供与处理所带来的风险和要保护数据的性质相适应的安全水平;
  5. 确保遵循安全措施;
  6. 如果数据传输涉及特殊类别的数据,则已经或将在传输之前或之后尽快告知数据主体,其数据可能被传输到指令 95/46/EC 所指的无法提供充分保护的第三国;
  7. 如果数据输出者决定继续传输或取消中止,则根据第 5(b) 和第 8(3) 条,将从数据输入者或任何子处理方收到的任何通知转发给数据保护监管机构;
  8. 应要求向数据主体提供条款副本(附录 2 除外)、安全措施概要说明,以及必须根据条款制定的任何子处理服务合同副本,除非条款或合同包含商业信息,在这种情况下,它可以删除这些商业信息;
  9. 在子处理的情况下,处理活动由子处理方根据第 11 条执行,对个人数据和数据主体的权利提供至少与本条款下数据输入者相同的保护级别;以及
  10. 确保遵守第 4(a) 至 (i) 条。

第 5 条:数据进口方的义务

数据进口方同意并保证:

  1. 只代表数据输出者并按照其指示和条款处理个人数据;如果出于任何原因无法提供此类遵循,则迅速将无法遵循的情况通知数据输出者, 在这种情况下,数据输出者有权中止数据传输和/或终止合同;
  2. 没有理由认为适用于它的法律会阻止它履行从数据输出者那里收到的指示和它在合同下的义务,如果该立法发生变化,可能对条款规定的保证和义务产生重大不利影响,则在知情后立即通知数据输出者,在这种情况下,数据输出者有权中止数据传输和/或终止合同;
  3. 在处理所传输的个人数据之前,已实施附录 2 中规定的技术和组织安全措施;
  4. 将以下情况迅速通知数据输出者:
    1. 执法机关提出披露个人数据等任何具有法律约束力的要求,除非另有禁止,例如刑法禁止通知以保护执法调查的机密性,
    2. 任何意外或未经授权的访问,以及
    3. 直接从数据主体收到的任何请求,但不会对该请求作出回应,除非另有授权;
    迅速妥善处理数据输出者就其处理所转移个人数据而提出的所有询问,并遵守监管机构关于处理所传输数据的建议; 应数据输出者的要求,提交其数据处理设施,以供审核本条款所涵盖的处理活动,此类审核应由数据输出者或由独立成员组成并拥有受保密义务约束的所需专业资格的检查机构进行,在适用的情况下,经监管机构同意,由数据输出者选择;
  5. 应要求向数据主体提供条款副本或任何现有的子处理合同,除非条款或合同包含商业信息,在这种情况下,可以删除此类商业信息,但附录 2 除外,在数据主体无法从数据输出者获得副本的情况下应替换为安全措施概要说明;
  6. 在子处理的情况下,事先通知数据输出者并获得其事先书面同意;
  7. 子处理方的处理服务将按照第 11 条的规定执行;以及
  8. 迅速将其根据本条款缔结的任何子处理方协议的副本发送给数据输出者。

第 6 条:赔偿责任

  1. 双方同意,因任何一方或再处理方违反第 3 条或第 11 条所述义务而遭受损害的任何数据主体,有权就所遭受的损害向数据出口方索取赔偿。
  2. 如果由于数据输入者或其子处理方违反第 3 条或第 11 条所述的任何义务,数据主体无法根据第 1 款向数据输出者提出索赔,其原因是数据输出者事实上已消失或在法律上不复存在或已破产,数据输入者同意,数据主体可以像向数据输出者索赔一样向数据输入者提出索赔,除非任何继承实体通过合同或法律实施承担了数据输出者的全部法律义务,在这种情况下,数据主体可以针对此类实体履行其权利。

    数据输入者不得以子处理方违反其义务为由而推卸自己的责任。
  3. 如果由于再处理方违反第 3 条或第 11 条所述的任何义务,数据主体无法根据第 1 和第 2 款向数据出口方或数据进口方提出索赔,其原因是数据出口方和数据进口方均事实上已消失或在法律上不复存在或已破产,再处理方同意,数据主体可以像向数据出口方或数据进口方索赔一样,就再处理方在本条款下的处理业务向其提出索赔,除非任何继承实体通过合同或法律实施承担了数据出口方或数据进口方的全部法律义务,在这种情况下,数据主体可以针对此类实体履行其权利。 再处理方的赔偿责任应限于其在本条款下的处理业务。

第 7 条:调解和管辖权

  1. 数据进口方同意,如果数据主体援引第三方受益权和/或根据条款要求赔偿损失,数据进口方将接受数据主体的以下决定:
    1. 将争议交由独立人士调解,或在适用的情况下,由监管机构进行调解;
    2. 将争议提交给数据输出者所在成员国的法院处理。
  2. 双方同意,数据主体的选择不影响其根据国内法或国际法的其他规定寻求补救的实质性或程序性权利。

第 8 条:与监管机构的合作

  1. 数据出口方同意向监督机构交存本合同副本,如果监督机构或适用的数据保护法要求交存此类副本。
  2. 双方同意,监管机构有权对数据进口方和任何再处理方进行审核,审计范围和条件与适用数据保护法对数据出口方规定的审核相同。
  3. 如果存在阻止根据第 2 款对数据进口方或任何再处理方进行审核的适用立法,数据进口方应立即通知数据出口方。 在这种情况下,数据出口方应有权采取第 5(b) 条规定的措施。

第 9 条:管辖法律。

本条款应受数据出口方所在成员国的法律管辖。

第 10 条:合同变更

双方承诺不改变或修改条款。 但这并不妨碍双方在必要时添加有关业务问题的条款,前提是它们不与本条款相冲突。

第 11 条:再处理

  1. 未经数据出口方事先书面同意,数据进口方不得将其代表数据出口方执行的任何处理业务分包出去。 如果数据进口方在征得数据出口方同意的情况下,将其在本条款下的义务分包出去,则必须与再处理方签订书面协议,该协议对再处理方施加的义务应与本条款对数据进口方施加的义务相同。 如果再处理方未能履行该书面协议规定的数据保护义务,则数据进口方仍应对数据出口方负全部责任,以履行该协议下的再处理方义务。
  2. 数据进口方与再处理方之间的事先书面合同还应规定第 3 条中所述的第三方受益人条款,以防数据出口方或数据进口方事实上已消失或在法律上不复存在或已破产,而且没有任何继承实体通过合同或法律实施承担数据出口方或数据进口方的全部法律义务,导致数据主体无法向他们提出第 6 条第 1 款所述的索赔。 再处理方的此类第三方责任应限于其在本条款下的处理业务。
  3. 第 1 款所述再处理合同的数据保护方面的规定应受数据出口方所在成员国的法律管辖。
  4. 数据出口方应保留根据本条款缔结并由数据进口方根据第 5(j) 条通知的再处理协议的清单,该清单应每年至少更新一次。 该清单应提供给数据出口方的数据保护监管机构。

第 12 条:个人数据处理服务终止后的义务

  1. 双方同意,在终止提供数据处理服务时,数据进口方和再处理方应根据数据出口方的选择,将传输的所有个人数据及其副本返还给数据出口方,或者销毁所有个人数据并向数据出口方提供相关证明,除非适用于数据进口方的法律阻止其返还或销毁所传输的全部或部分个人数据。 在这种情况下,数据进口方应保证将确保所传输个人数据的机密性,并且不再主动处理所传输的个人数据。
  2. 数据进口方和再处理方保证,将应数据出口方和/或监管机构的要求,提交其数据处理设施以接受第 1 款所述的审核。

标准合同条款附录 1(英国)

数据输出者:客户是数据输出者。 数据输出者是 DPA 和 GitHub 客户协议中定义的在线服务或专业服务的用户。

数据输入者:数据输入者是全球软件和服务生产商 GitHub, Inc.。

数据主体:数据主体是数据输出者的代表和最终用户,包括数据输出者的员工、承包商、协作者和客户。 数据主体还可能包括试图将个人数据传达或传输给数据输入者所提供服务的用户的个人。 GitHub 承认,根据客户对在线服务或专业服务的使用情况,客户可以选择在个人数据中包含来自以下任何类型的数据主体的个人数据:

  • 数据出口方的员工、承包商和临时工(现任、前任、未来);
  • 数据出口方的协作者/联系人(自然人)或法律实体协作者/联系人的员工、承包商或临时工(现任、未来、前任);
  • 作为数据输出者服务的用户和其他数据主体;
  • 合作伙伴、利益相关者或与数据出口方的员工积极协作、交流或以其他方式互动的个人和/或使用数据出口方提供的应用程序和网站等沟通工具的个人。

数据类别:在线服务或专业服务范围内,以电子形式包含在电子邮件、文档和其他数据中的所传输个人数据。 GitHub 承认,根据客户对在线服务或专业服务的使用情况,客户可以选择在个人数据中包含以下任何类别的个人数据:

  • 基本个人数据(例如出生地、街道名称和门牌号(地址)、邮政编码、居住城市、居住国、手机号码、名字、姓氏、姓名首字母缩写、电子邮件地址、性别、出生日期);
  • 身份验证数据(例如用户名、密码或 PIN 码、安全问题、审计跟踪);
  • 联系信息(例如地址、电子邮件、电话号码、社交媒体标识符;紧急联系方式);
  • 唯一的标识号和签名(例如 IP 地址、员工编号、学生编号);
  • 假名标识符;
  • 照片、视频和音频;
  • 互联网活动(例如浏览历史记录、搜索历史记录、阅读和查看活动);
  • 设备标识(例如 IMEI 号码、SIM 卡号码、MAC 地址);
  • 分析(例如,基于观察到的犯罪或反社会行为,或基于访问的 URL、点击流、浏览日志、IP 地址、域、安装的应用程序的假名个人资料,或基于营销偏好的个人资料);
  • 数据主体自愿提供的特殊类别的数据(例如种族或民族血统、政治观点、宗教或哲学信仰、工会会员资格、遗传数据、用于唯一识别自然人的生物特征数据、有关健康的数据、有关自然人的性生活或性取向的数据,或与刑事定罪或犯罪有关的数据);或
  • GDPR 第 4 条中确定的任何其他个人数据。

处理操作:传输的个人数据将受到以下基本处理活动的约束:

  1. 数据处理的持续时间和对象。数据处理的持续时间应为数据输出者和数据输入者之间适用的 GitHub 客户协议中指定的期限。 数据处理的目标是执行在线服务和专业服务。
  2. 数据处理的范围。处理个人数据的范围和目的在本 DPA 的“个人数据的处理;GDPR“部分描述。 数据输入者运营数据中心和管理/支持设施的全球网络,可以在数据输入者或其子处理方根据 DPA 的“安全实践和政策”部分运营此类设施的任何司法管辖区进行处理。
  3. 个人数据访问。对于适用的 GitHub 客户协议指定的期限,数据输入者将根据其选择并根据适用法律的必要条件:(1) 向数据输出者提供更正、删除或阻止个人数据的能力,或 (2) 代表其进行此类更正、删除或阻止。
  4. 数据输出者的指示。 对于在线服务和专业服务,数据输入者严格按照 GitHub 传达的数据输出者的指示执行操作。
  5. 个人数据的删除或传回。在数据输出者使用在线服务或专业服务到期或终止后,它可能会提取个人数据,数据输入者将根据适用于本协议的 DPA 条款删除个人数据。

分包商:根据 DPA,数据进口方可以雇佣其他公司代表他们提供有限的服务,例如提供客户支持。 任何此类分包商将被允许获取个人数据,仅用于提供数据输入者委托他们提供的服务,并且禁止他们将个人数据用于任何其他目的。

标准合同条款附录 2(英国)

数据进口方根据第 4(d) 和 5(c) 条实施的技术和组织安全措施的说明:

  1. 人员。数据输入者的人员未经授权不得处理客户个人数据。 工作人员有义务对任何此类个人数据保密,即使在其约定结束后,此义务也将继续存在。
  2. 数据隐私联系人。数据输入者的数据隐私专员的联系地址如下:
    GitHub, Inc.
    Attn: Privacy
    88 Colin P. Kelly Jr. Street
    San Francisco, California 94107 USA
  3. 技术和组织措施。 数据输入者已实施并将维护适当的技术和组织措施、内部控制和信息安全例程,旨在保护个人数据(如 DPA 的“安全实践和政策”部分所定义)免遭意外丢失、破坏或更改;未经授权的披露或访问; 或非法销毁如下:DPA 的“安全实践和政策”部分中规定的技术和组织措施、内部控制和信息安全例程特此通过此引用并入本附录 2,并且对数据输入者具有约束力,就好像它们完全在本附录 2 中规定的那样。

标准合同条款附录 3(英国)

附加保障措施附录

通过标准合同条款(英国)的附加保障措施附录(本“附录”),GitHub, Inc. (“GitHub”) 为客户提供了额外的保护措施,并为与客户个人数据相关的数据主体提供了额外的补救措施。

本附录是对标准合同条款(英国)的补充,并构成其一部分,但并非变更或修改。

  1. 命令质询。 除了标准合同条款(英国)第 5(d)(i) 条之外,如果 GitHub 收到任何第三方的订单,要求强制披露根据标准合同条款(英国)传输的任何个人数据,GitHub 应:
    1. 尽一切合理努力将第三方重定向到直接向客户请求数据;
    2. 及时通知客户,除非适用法律禁止给请求的第三方,如果禁止通知客户,请尽一切合法努力获得放弃禁令的权利,以便尽快向客户传达尽可能多的信息;和
    3. 根据请求方法律存在的任何法律缺陷或与欧盟法律或适用成员国法律的任何相关冲突,尽一切合法努力对披露令提出质询。

    就本节而言,合法努力不包括根据相关司法管辖区的法律可能导致民事或刑事处罚的行为,例如藐视法庭。
  2. 对数据主体的补偿。 根据第 3 节和第 4 节的规定,GitHub 应赔偿数据主体因 GitHub 披露根据标准合同条款(英国)传输的数据主体的个人数据(“相关披露”)而对数据主体造成的任何重大或非重大损害。 尽管有上述规定,但在数据主体已从 GitHub 或其他方面获得相同损害的赔偿的范围内,GitHub 没有义务根据本第 2 节对数据主体进行赔偿。
  3. 补偿条件。 第 2 节规定的补偿条件是数据主体在 GitHub 合理满意的情况下证明:
    1. GitHub 参与了相关披露;
    2. 相关披露是非 EU/EEA 政府机构或执法机构对数据主体提起正式诉讼的基础;以及
    3. 相关披露直接导致数据主体遭受重大或非物质损害。

    数据主体对条件 a. 至 c. 承担举证责任
    尽管有上述规定,但如果 GitHub 确定相关披露未违反其在 GDPR 第 V 章下的义务,则 GitHub 没有义务根据第 2 节对数据主体进行赔偿。
  4. 损害范围。 第 2 节规定的赔偿仅限于 GDPR 中规定的物质和非物质损害,并排除间接损害以及并非因 GitHub 违反 GDPR 而造成的所有其他损害。
  5. 权利行使。 根据本附录授予数据主体的权利可由数据主体针对 GitHub 强制执行,而不考虑标准合同条款(英国)第 3 条或第 6 条中的任何限制。 数据主体只能根据本附录以个人为基础提出索赔,而不能作为班级、集体、团体或代表诉讼的一部分。 根据本附录授予数据主体的权利是数据主体的个人权利,不得转让。
  6. 变更通知。 除了标准合同条款(英国)第 5(b) 条之外,GitHub 同意并保证,它没有理由相信适用于其或其子处理方的法律(包括在个人数据由其自身或通过子处理方传输到的任何国家/地区)阻止其履行从数据输出者收到的指示及其在本附录或标准合同条款(英国)下的义务,如果本法律发生变更,可能对本附录或标准合同条款(英国)提供的保证和义务产生重大不利影响,它将在意识到这一变更后立即通知客户,在这种情况下,客户有权暂停数据传输和/或终止合同。
  7. 终止。 如果欧盟委员会、主管成员国监管机构或欧盟或主管成员国法院批准了适用于标准合同条款(英国)所涵盖的数据传输的不同合法传输机制(以及如果此类机制仅适用于某些数据传输,本附录仅因这些传输而终止),不需要本附录中规定的额外保障措施,则本附录将自动终止。

    签署标准合同条款(英国)、附录 1、附录 2 和

附件 3 – 欧盟通用数据保护法规条款

GitHub 对这些 GDPR 相关条款中的承诺自 2018 年 5 月 25 日起生效。 这些承诺对 GitHub 具有约束力,无论 (1) 适用于任何给定在线服务订阅的 GitHub 客户协议和 DPA 版本,或 (2) 引用此附件的任何其他协议。

就这些 GDPR 相关条款而言,客户和 GitHub 同意客户是个人数据的控制方,GitHub 是此类数据的处理方,除非客户充当个人数据的处理方,在这种情况下,GitHub 是子处理方。 这些 GDPR 相关条款适用于 GitHub 代表客户在 GDPR 范围内处理个人数据。 这些 GDPR 相关条款不限制或减少 GitHub 在 GitHub 客户协议或 GitHub 与客户之间的其他协议中对客户做出的任何数据保护承诺。 这些 GDPR 相关条款不适用于 GitHub 是个人数据控制方的情况。

相关 GDPR 义务:第 28、32 和 33 条

  1. 未经客户事先明确或一般书面授权,GitHub 不得聘请其他处理方。 在一般书面授权的情况下,GitHub 应将有关添加或替换其他处理器的任何预期更改通知客户,从而使客户有机会反对此类更改。 (第 28(2) 条)
  2. GitHub 的处理应受欧盟(以下简称“联盟”)或成员国法律下的这些 GDPR 相关条款的约束,并且对 GitHub 就客户具有约束力。 处理的主题和持续时间、处理的性质和目的、个人数据的类型、数据主体的类别以及客户的义务和权利均在客户的许可协议(包括这些 GDPR 相关条款)中规定。 特别是,GitHub 应:
    1. 仅根据客户书面指示处理个人数据,包括将个人数据传输到第三国或国际组织,除非管辖 GitHub 的联盟或成员国法律要求这样做;在这种情况下,GitHub 应在处理之前告知客户该法律要求,除非该法律以公共利益的重要理由禁止此类信息;
    2. 确保授权处理个人数据的人员已承诺保密或承担适当的法定保密义务。
    3. 根据 GDPR 第 32 条采取一切必要措施;
    4. 遵守第 1 和第 3 段所述的与另一处理方合作的条件;
    5. 考虑到处理的性质,尽可能通过适当的技术和组织措施协助客户,以履行客户对 GDPR 第 III 章中所述行使数据主体权利的请求做出回应的义务;
    6. 协助客户确保遵守 GDPR 第 32 至 36 条规定的义务,同时考虑到处理的性质和 GitHub 可获得的信息;
    7. 根据客户的选择,在与处理相关的服务结束后删除所有个人数据或将其传回给客户,并删除现有副本,除非联盟或成员国法律要求存储个人数据;
    8. 向客户提供所有必要的信息,以证明遵守 GDPR 第 28 条规定的义务,并允许并有助于客户或客户授权的其他审计员进行的审计,包括检查。

    如果 GitHub 认为某项指示违反了 GDPR 或其他联盟或成员国的数据保护规定,应立即通知客户。 (第 28(3) 条)

  3. 如果 GitHub 聘请其他处理方代表客户执行特定处理活动,则应通过合同或联盟或成员国法律规定的其他法律行为,对该其他处理方施加与 GDPR 相关条款中规定的相同数据保护义务,特别是提供足够的保证,以实施适当的技术和组织措施,使处理符合 GDPR。 如果该其他处理方未能履行其数据保护义务,则 GitHub 仍应对客户履行该其他处理方的义务承担全部责任。 (第 28(4) 条)
  4. 考虑到现有技术、实施成本和处理的性质、范围、背景和目的,以及自然人权利和自由的不同可能性和严重性的风险,客户和 GitHub 应实施适当的技术和组织措施,以确保与风险相适应的安全级别,在适当时尤其包括:
    1. 个人数据的假名化和加密;
    2. 确保处理系统和服务的持续机密性、完整性、可用性和弹性的能力;
    3. 在发生物理或技术事件时及时恢复个人数据的可用性和访问权限的能力;以及
    4. 定期测试、评估和评价技术和组织措施的有效性以确保处理安全性的过程。 (第 32(1) 条)
  5. 在评估适当的安全级别时,应考虑处理带来的风险,特别是意外或非法破坏、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据(第 32(2) 条)。
  6. 客户和 GitHub 应采取措施,确保任何在客户或有权访问个人数据的 GitHub 授权下行事的自然人不会处理这些数据(客户指示除外),除非联盟或成员国法律要求他或她这样做(第 32(4) 条)。
  7. GitHub 应在发现个人数据泄露后立即通知客户(第 33(2) 条)。 此类通知将包括处理方必须根据第 33(3) 条向控制方提供的信息,前提是此类信息可供 GitHub 合理获取。

(1)《欧洲经济区协定》(EEA 协定)规定将欧洲联盟的内部市场扩大到冰岛、列支敦士登和挪威这三个欧洲经济区国家。 欧盟数据保护立法,包括法规 (EU) 2016/679,受欧洲经济区协议的约束,并已纳入其附录 XI。 因此,就本条款而言,数据输入者向位于欧洲经济区的第三方披露的任何信息均不符合向外传输的条件。

(2) 根据第 7 条,在相应模块下加入这些条款的子处理方可以满足此要求。

(3) 关于此类法律和惯例对遵守这些条款的影响,可将不同的要素视为总体评估的一部分。 这些要素可包括公共当局以前要求披露或没有此类请求的相关和有案可稽的实践经验,涵盖有充分代表性的时限。 这特别是指内部记录或其他文件,这些文件是根据尽职调查连续起草的,并在高级管理层经过认证,前提是这些信息可以合法地与第三方共享。 如果依靠这一实际经验得出数据输入者遵守这些条款的结论,则需要得到其他相关、客观要素的支持,缔约方应仔细考虑这些要素在可靠性和代表性方面是否具有足够的份量来支持这一结论。 特别是,缔约方必须考虑其实际经验是否得到证实,是否与关于同一部门内是否存在请求和/或实践中法律适用情况的公开可获得或以其他方式可获得的可靠信息相矛盾,例如判例法和独立监督机构的报告。