Skip to main content

GitHub 数据保护协议

简介

双方同意,本《GitHub 数据保护协议》(以下简称“DPA”)规定了他们在个人数据,以及与 GitHub, Inc.(以下简称“GitHub”)提供的在线服务相关的客户数据(如果 DPA 条款中明确规定)的处理和安全方面的义务。 DPA(包括其附录和附件)是 GitHub 与根据 GitHub 客户协议从 GitHub 获取在线服务的任何客户(以下简称“客户”)之间的协议,并通过引用并入 GitHub 客户协议。

如果 DPA 条款与 GitHub 客户协议中的任何其他条款之间存在任何冲突或不一致,则以 DPA 条款为准。 DPA 条款的规定取代 GitHub 隐私声明中可能适用于个人数据处理的任何相互冲突的规定。 为明确起见,标准合同条款优先于 DPA 条款的任何其他条款。

适用的 DPA 条款与更新

更新限制

当客户续订或新订购在线服务时,应遵守当时的 DPA 条款,且该 DPA 条款在该在线服务的新订购有效期内不会更改。

新功能、补充程序或相关软件

尽管已规定上述更新限制,当 GitHub 推出新的功能、补充程序或相关软件(即以前的订购不包含的内容)时,可能会提供客户使用这些新的功能、补充程序或相关软件应遵循的条款,或者更新相应的 DPA。 如果这些条款中包含对 DPA 条款的任何实质性不利变更,GitHub 将为客户提供新的功能、补充程序或相关软件以供其使用,且不会失去一般在线服务的现有功能。 如果客户不使用新功能、补充程序或相关软件,则相应的新条款将不适用。

政府规定和要求

尽管已有上述更新限制规定,但在以下情形中,GitHub 可能会修改或终止特定国家/地区或管辖权地的在线服务:(1) 这些国家/地区或管辖权地当前或未来的任何政府要求或义务要求 GitHub 遵守并非普遍适用于在当地运营的所有企业的任何法规或要求;(2) 由于存在该等政府要求或义务,如果 GitHub 不对在线服务进行修改,则将无法继续运营在线服务;(3) 基于该等政府要求或义务,GitHub 认为这些 DPA 条款或在线服务可能与此类要求或义务相冲突。

电子通知

GitHub 可能会以电子方式(包括通过电子邮件或 GitHub 识别的网站)向客户提供有关在线服务的信息和通知。 通知自 GitHub 发出之日起生效。

早期版本

DPA 条款提供适用于当前可用的在线服务的条款。 如需 DPA 条款的早期版本,客户可以联系其经销商或 GitHub 客户经理。

定义

本 DPA 中使用但未定义的术语应沿用其在 GitHub 客户协议中的含义。 在本 DPA 中会使用以下术语(定义如下):

CCPA”是指加州民法典 §1798.100 et seq. 中所规定的 《加州消费者隐私法案》 及其实施条例。

“客户数据”指客户通过使用在线服务向 GitHub 提供或以 GitHub 的名义提供的所有数据,包括所有文本、声音、视频或图像文件以及软件。

数据保护要求”指 GDPR、当地 EU/EEA 数据保护法律、CCPA 和任何适用的法律法规,以及与以下两方面相关的其他法律要求:(a) 隐私和数据安全;(b) 任何个人数据的使用、收集、保留、存储、保护、披露、传输、处置及其他处理。

诊断数据”指 GitHub 从客户本地安装软件中收集或获取的与在线服务相关的数据。 诊断数据也可称为遥测。 诊断数据不包括客户数据、服务生成数据或专业服务数据。

DPA 条款”是指本 DPA 中的条款以及 GitHub 客户协议中任何在线服务特定条款,这些条款专门针对特定在线服务(或在线服务功能)补充或修改本 DPA 中的隐私和安全条款。 如果 DPA 与此类在线服务特定条款之间存在任何冲突或不一致,则对于适用的在线服务(或在线服务的功能),须以在线服务特定条款为准。

GDPR”是指欧洲议会和欧盟理事会 2016 年 4 月 27 日颁布的,关于在处理个人数据时对自然人的保护、此类数据的自由移动以及废除指令 95/46/EC 的法规 (EU) 2016/679(一般数据保护条例)。 就英国而言,“GDPR”是指由《2018 年英国欧盟(退出)法》转入英国国家法律的法规 (EU) 2016/679,并由《2019 年英国数据保护、隐私和电子通信(修正案等)(退出欧盟)条例》修订(可能会不时修订)。

当地 EU/EEA 数据保护法律”是指实施 GDPR 的任何附属法律和法规。

GDPR 相关条款”是指附件 3 中的条款,根据这些条款,GitHub 会按照 GDPR 第 28 条的要求,就其个人数据处理活动作出具有约束力的承诺。

GitHub 关联公司”是指直接或间接控制 GitHub、由 GitHub 控制或 GitHub 参与共同控制的任何实体。

GitHub 客户协议”是指客户就在线服务与 GitHub 签订的服务协议或其他协议。

GitHub 隐私声明”是指 https://docs.github.com/en/github/site-policy/github-privacy-statement 上提供的 GitHub 隐私声明。

在线服务”是指 GitHub 根据与客户商定的 GitHub 客户协议向客户提供的任何服务或软件,包括预览、更新、补丁、Bug 修复和技术支持。

“个人数据”是指与已确定身份或可确定身份的自然人相关的任何信息。 可确定身份的自然人指能够直接或间接地通过身份标识(例如,姓名、身份证号、位置数据、在线身份标识)或特定于该自然人身体、生理、基因、心理、经济、文化或社会身份的一个或多个因素确定其身份的人。

预览版”是指为预览、评估、演示或试用目的而提供的在线服务,或在线服务的预发布版本。

专业服务数据”是指客户为获取专业服务,由客户或客户代表向 GitHub 提供(或客户授权 GitHub 通过在线服务获取)或者由 GitHub 或 GitHub 代表依据客户与 GitHub 签订的合约获取或处理的所有数据,包括所有文本、声音、视频、图像文件或软件。 专业服务数据包括支持数据。

服务生成数据”指 GitHub 通过在线服务的操作生成或派生的数据。 服务生成数据不包括客户数据、诊断数据或专业服务数据。

标准合同条款”是指根据下面本 DPA 中“数据传输和位置”一节适用于个人情况、用于个人数据传输的标准合同条款之一:

  • 2021 年 6 月 4 日的标准合同条款(模块 2:从控制方转移到处理方),如 GDPR 第 46 条所述并经欧盟委员会执行决定 (EU) 2021/91 批准,用于根据欧洲议会和理事会的法规 (EU) 2016/679 将个人数据传输到第三国(“标准合同条款 (EU/EEA)”)。 标准合同条款 (EU/EEA) 位于附件 1 中。
  • 2010 年 2 月 5 日发布的标准合同条款(处理方),如 GDPR 第 46 条所述,经欧盟委员会第 2010/87/EU 号决定批准,并经英国监管或监督机构认可用于与从英国传输数据相关的用途,适用于将个人数据传输到在第三国成立的处理方(这些处理方不保证提供足够程度的数据保护)的情形(“标准合同条款 (UK)”)。 标准合同条款 (UK) 位于附件 2 中。

子处理方”是指 GitHub 用于代表客户处理与在线服务相关的个人数据的其他处理方,如 GDPR 第 28 条所述。

支持数据”指客户为获取本协议所涵盖的在线服务的技术支持,由客户或客户代表通过与 GitHub 签订的合约向 GitHub 提供(或客户授权 GitHub 通过在线服务获取)的所有数据,包括所有文本、声音、视频、图像文件或软件。 支持数据是专业服务数据的一部分。

本 DPA 中使用但未定义的术语(例如“个人数据泄露”、“处理”、“控制方”、“处理方”、“概况分析”、“个人数据”和“数据主体”)将沿用 GDPR 第 4 条所定义的含义,而不管 GDPR 是否适用。 术语“数据输入者”和“数据输出者”具有标准合同条款中规定的含义。

为明确起见,如上所述,定义为客户数据、诊断数据、服务生成数据和专业服务数据的数据可能包含个人数据。 为了便于说明,请参见下面插入的图表:

personal_data_types
以上是 DPA 中定义的数据类型的可视化表示形式。 所有个人数据均作为其他数据类型的一部分处理(所有这些数据也包括非个人数据)。 支持数据是专业服务数据的一部分。 除非另有明确说明,否则 DPA 条款仅适用于个人数据。 ## 一般条款

遵守法律

GitHub 将遵守适用于其对在线服务的提供的所有法律和法规,包括安全违规行为通知法和数据保护要求。 但是,GitHub 不负责遵守适用于客户或客户行业,但通常不适用于信息技术服务提供商的任何法律或法规。 GitHub 不确定客户数据是否包含受任何特定法律或法规约束的信息。 所有安全事件均受下面的安全事件通知条款约束。

客户必须遵守与其使用在线服务相关的所有适用法律和法规,包括与生物数据、通信保密和数据保护要求相关的法律。 客户应负责确定在线服务是否适合用于存储和处理受特定法律或法规约束的信息,且有责任以符合客户的法律和法规义务的方式使用在线服务。 客户负责响应第三方就客户对在线服务的使用提出的任何要求,如要求根据美国《千禧年数字著作权法案》或其他适用法律下架内容。

数据保护条款

本部分 DPA 包括以下小节:

  • 范围
  • 数据处理的性质;所有权
  • 已处理数据的披露
  • 个人数据处理;GDPR
  • 数据安全
  • 安全事件通知
  • 数据传输和位置
  • 数据保留和删除
  • 处理方保密承诺
  • 有关使用子处理方的通知和管理
  • 教育机构
  • CJIS 客户协议、HIPAA 业务伙伴、生物识别数据
  • 加州消费者隐私法案 (CCPA)
  • 如何联系 GitHub
  • 附录 A – 安全措施

范围

DPA 条款适用于所有在线服务。

与在线服务通常采用的隐私和安全措施相比,预览版采用的此类措施可能会减少或有所不同。 除非另有规定,否则客户不应使用预览版来处理具有法律或法规遵从性要求的个人数据或其他数据。 本 DPA 中的以下条款对预览版不适用:个人数据处理;GDPR、数据安全和加州消费者隐私法案。

数据处理的性质;所有权

除非 DPA 条款中另有规定,否则 GitHub 将按照所述使用和以其他方式处理客户数据和个人数据,并在 (a) 根据客户的书面指示向客户提供在线服务,和/或 (b) 为了向客户交付在线服务而进行合法的业务经营活动时,遵守下述限制。 在双方之间,客户保有对客户数据的所有权利、所有权和权益。 除了本节中客户授予 GitHub 的权利之外,GitHub 未获得有关客户数据的任何权利。 本段落不影响 GitHub 在其许可给客户的软件或服务中的权利。

处理数据以便为客户提供在线服务

就本 DPA 而言,“提供”在线服务包括:

  • 交付客户及其用户所许可、配置和使用的功能,包括提供个性化用户体验;
  • 故障排除(例如预防、检测和修复问题);以及
  • 持续改进(例如安装最新更新,以及对用户生产力、可靠性、效力和安全性进行改进)。

在提供在线服务时,GitHub 将仅代表客户并按照客户的书面指示使用或以其他方式处理个人数据。

为保证 GitHub 的合法经营活动而进行处理

就本 DPA 而言,“GitHub 的合法经营活动”由以下各项组成,每项均作为向客户交付在线服务的一个事件:(1) 帐单和帐户管理;(2) 报酬(例如计算员工佣金和合作伙伴奖励);(3) 内部报告和业务建模(例如,预测、收入、产能规划、产品战略);(4) 打击可能影响 GitHub 或在线服务的欺诈、滥用、网络犯罪或网络攻击;(5) 改进可访问性、隐私或能效等核心功能;以及 (6) 财务报告和履行法律义务(遵守下文概述的已处理数据的披露限制);(7) GitHub 为客户个人用户创建或管理最终用户帐户和配置文件(除非客户自己创建、管理或以其他方式控制此类最终用户帐户或配置文件);(8) 与客户未提供的个人数据相关的其他目的,这些数据存储在 GitHub 存储库中或与专业服务相关。

在处理 GitHub 的合法业务运营时,GitHub 将不会出于以下目的使用或以其他方式处理专业服务数据:(a) 用户分析,(b) 广告或类似商业目的,(c) 数据销售或经纪,或 (d) 本节规定的目的以外的任何其他目的。

已处理数据的披露

GitHub 将不会披露或允许任何人访问已处理的数据,除非:(1) 客户指示;(2) 本 DPA 规定;或者 (3) 法律要求。 就本节而言,“已处理数据”指:(a) 客户数据;(b) 个人数据;以及 (c) GitHub 根据 GitHub 客户协议处理的与在线服务相关的、属于客户机密信息的任何其他数据。 所有已处理数据的处理都应遵守 GitHub 客户协议中的保密义务。

除非法律要求,否则 GitHub 不会向执法部门披露或允许其访问已处理数据。 如果执法部门要求 GitHub 提供已处理数据,GitHub 将建议执法部门直接与客户联系,由客户向其提供相关数据。 如果执法部门强制要求 GitHub 向其披露或允许其访问已处理数据,GitHub 将立即通知客户并提供要求的副本,除非法律禁止提供。

收到任何其他第三方对已处理数据的请求后,GitHub 应立即通知客户,除非法律禁止这样做。 除非法律要求,否则 GitHub 将拒绝相关请求。 如果该请求有效,GitHub 将尝试安排第三方直接从客户处请求数据。

GitHub 不会向任何第三方提供:(a) 对已处理数据的直接、间接、全部或自由访问权限;(b) 用于保护已处理数据安全的平台加密密钥或破解此类加密的能力;或 (c) 对已处理数据的访问权限(如果 GitHub 意识到相关数据将用于第三方的请求中所述目的以外的目的)。

为支持上述条款,GitHub 可能会向第三方提供客户的基本联系信息。

个人数据处理;GDPR

GitHub 处理的与在线服务相关的所有个人数据均作为客户数据、专业服务数据(包括支持数据)、诊断数据或服务生成数据的一部分获取。 客户通过使用在线服务向 GitHub 提供或以他们的名义提供的所有数据也是客户数据。 假名标识符可能包含在诊断数据或服务生成数据中,也属于个人数据。 假名化或去标识化但不匿名的任何个人数据,或从个人数据派生的个人数据同样属于个人数据。

如果 GitHub 是受 GDPR 约束的个人数据的处理方或子处理方,则该处理活动受附件 3 中 GDPR 相关条款的约束,并且双方还同意本小节(“个人数据的处理;GDPR”)中的以下条款:

处理方与控制方的角色与职责

客户和 GitHub 同意,客户是个人数据的控制方,GitHub 是此类数据的处理方,除非 (a) 客户充当个人数据的处理方,此时 GitHub 是子处理方;或 (b) GitHub 客户协议或本 DPA 中另有规定。 当 GitHub 充当个人数据的处理方或子处理方时,它将仅代表客户并按照客户的书面指示处理个人数据。 客户同意,其 GitHub 客户协议(包括 DPA 条款和任何适用的更新)连同产品文档以及客户使用和配置在线服务中相关功能的活动,系客户就个人数据的处理向 GitHub 作出的完整书面指示。 可以在 https://docs.github.com 或后续位置中找到有关在线服务的使用和配置的信息。 任何附加或替代的说明必须依照修订客户的 GitHub 客户协议的流程得到认可。 在适用 GDPR 且客户是处理方的任何情况下,客户向 GitHub 保证,客户的指示(包括任命 GitHub 作为处理方或子处理方)已获得相关控制方的授权。

如果 GitHub 在向客户提供在线服务的合法经营活动中须遵照 GDPR 使用或以其他方式处理个人数据,则 GitHub 将遵守 GDPR 针对此类使用规定的独立数据控制方应尽的义务。 GitHub 为保证合法经营活动而处理此类数据时,应接受 GDPR 针对数据“控制方”规定的额外责任,以便:(a) 在 GDPR 规定的范围内,遵守法规要求;(b) 为客户提供更高的透明度,并确认 GitHub 在进行此类处理时应承担的责任。 GitHub 使用保护措施保护正在处理的个人数据,包括本 DPA 中指明以及 GDPR 第 6(4) 条中所述的数据。 对于本段落所述的个人数据处理,GitHub 做出附件 1附件 2(如适用)中所述标准合同条款中规定的承诺;出于这些目的,(i) 与 GitHub 的合法业务运营相关的任何 GitHub 披露个人数据(如附件 1 的附录 III 或附件 2 的附录 3(如适用)所述)被视为“相关披露”,并且 (ii) 附件 1 的附录 III 或附件 2 的附录 3(如适用)中的承诺适用于此类个人数据。

处理详细信息

双方确认并同意:

  • 主题。 处理活动的主题仅限于本 DPA 前文中的“数据处理的性质;所有权”一节以及 GDPR 范围内的个人数据。
  • 处理活动的持续时间。 处理活动的持续时间须符合客户指令和 DPA 条款。
  • 处理活动的性质和目的。 处理活动的性质和目的须为依照客户的 GitHub 客户协议提供在线服务,以及保证 GitHub 向客户提供在线服务时的合法经营活动(详见本 DPA 前文中的“数据处理的性质;所有权”一节)。
  • 数据类别。 GitHub 在提供在线服务时处理的个人数据类型包括:(i) 客户选择包含在客户数据或专业服务数据中的个人数据(包括但不限于支持数据);(ii) GDPR 第 4 条中明确识别的可能包含在诊断数据或服务生成数据中的个人数据。 客户选择包含在客户数据或专业服务数据(包括但不限于支持数据)中的个人数据类型,可能是客户根据 GDPR 第 30 条作为控制方维护的记录中确定的任何类别的个人数据,包括附件1 附录 I 或附件 2 附录 1(如适用)中所述的个人数据类别。
  • 数据主体。 数据主体的类别是客户的代表和最终用户,例如员工、承包商、合作方和客户,可能包括客户根据 GDPR 第 30 条作为控制方维护的记录中指明的任何其他类别的数据主体,包括附件 1 附录 I 或附件 2 附录 1(如适用)中所述的数据主体类别。

数据主体权利;请求协助

GitHub 向客户提供服务将符合在线服务功能以及 GitHub 作为数据主体的个人数据处理方的角色,有能力满足数据主体要求行使 GDPR 赋予的权利的请求。 如果 GitHub 接收到客户数据主体发出的要求行使 GDPR 赋予的一项或多项权利的请求,该请求涉及 GitHub 是数据处理方或子处理方的在线服务,则 GitHub 应让数据主体直接向客户提出请求。 客户负责回应任何此类请求,包括必要时使用在线服务的功能。 GitHub 满足客户的合理请求,协助客户响应此类数据主体请求。

处理活动的记录

如果 GDPR 要求 GitHub 收集和维护与客户有关的某些信息的记录,客户将应要求将此类信息提供给 GitHub,并保持其准确和最新。 如果 GDPR 要求,GitHub 可将任何此类信息提供给监管机关。

数据安全

GitHub 将实施和维护适当的技术和组织措施以及安全保障措施,以防止意外或非法破坏、丢失、更改、未经授权披露或访问 GitHub 代表客户处理的客户数据和个人数据,并按照客户与在线服务相关的书面指示进行处理。 GitHub 将定期监控这些措施和保障措施的遵守情况,并在 GitHub 客户协议的整个期限内继续采取适当措施。 附录 A – 安全保护措施包含对 GitHub 实施的技术和组织措施以及安全保护措施的描述。

客户需自行负责独立确定在线服务的技术和组织措施以及安全保障措施是否符合客户的要求,包括其在适用的数据保护要求下的任何安全义务。 客户承认并同意(考虑现有技术、实施成本、处理其客户数据和个人数据的性质、范围、背景和目的,以及自然人权利和自由的不同可能性和严重性的风险),GitHub 对于其客户数据和个人数据实施和维护的技术、组织措施和安全保障措施提供了适合于风险的安全级别。 客户负责实施和维护客户提供或控制的组件的隐私保护和安全措施。

GitHub 将根据客户要求提供安全合规性报告,例如外部 SOC1、类型 2 和 SOC2、类型 2 审计报告。 客户同意,适用的数据保护要求(包括 GDPR 第 28(3)(h) 条)授予的任何信息和审计权利将由这些合规性报告满足,并且仅在 GitHub 提供的合规性报告未提供足够信息的情况下,或者在客户必须响应监管或监督机构审计或调查的范围内出现。

如果客户受到监管或监督机构的审计或调查,或因应监管或监督机构的要求进行需要 GitHub 参与的审计或调查,并且无法通过 GitHub 通常向其客户提供的审计报告、文档或合规性信息合理地履行客户的义务(在客户监管机构允许的情况下),则 GitHub 将根据以下条款和条件及时响应客户的附加说明和信息请求:

  • GitHub 将提供接触具备丰富相关知识的人员的机会,以及对相关文档和应用程序软件的访问权限。
  • 客户和 GitHub 将在事先的书面协议(电子邮件可接受)中就范围、时间、持续时间、控制和证据要求达成一致,前提是此同意要求不允许 GitHub 不合理地延迟其合作。
  • 客户必须确保其监管机构在正常工作时间内使用独立的、经认可的第三方审计公司,提前向 GitHub 发出合理的书面通知,并遵守合理的保密程序。 客户、其监管机构或其监管机构的代表均无权访问 GitHub 其他客户的任何数据,也无权访问未参与在线服务的 GitHub 系统或设施。
  • 客户负责承担与 GitHub 与客户监管审计合作相关的所有成本和费用,包括 GitHub 所花费的任何和所有时间的所有合理成本和费用,以及 GitHub 执行的服务费率。
  • 如果 GitHub 与客户监管审计合作生成的报告包含与 GitHub 相关的任何调查结果,客户将在客户监管机构允许的情况下与 GitHub 共享此类报告、调查结果和建议的操作。

安全事件通知

如果 GitHub 意识到存在会导致客户数据或者 GitHub 代表客户并按照客户与在线服务相关的书面指示处理的个人数据意外或非法销毁、丢失、篡改、未授权披露或访问的安全违例活动(每一个都属于一次“安全事件”),GitHub 将及时 (1) 向客户通知安全事件;(2) 调查安全事件并向客户提供安全事件的详细信息;(3) 采取合理的措施降低影响,并尽可能减少安全事件造成的损害。

安全事件通知将通过 GitHub 选择的任何方式(包括电子邮件)发送给客户的一个或多个管理员。 客户应自行负责确保其提供给 GitHub 的联系信息的准确性,确保客户的管理员监控并响应任何通知。 客户全权负责遵守适用于客户的事件通知法规下的义务,履行与任何安全事件相关的任何第三方通知义务。

GitHub 将尽合理努力协助客户履行 GDPR 第 33 条或其他适用法律或法规规定的客户义务,将安全事件通知相关监管或监督机构以及个人数据主体。

GitHub 根据本节规定通知或响应安全事件不表示 GitHub 承认与安全事件有关的任何过错或责任。

如有任何可能的帐户或身份验证凭据的误用或任何与在线服务有关的安全事件,客户必须立刻通知 GitHub。

数据传输和位置

GitHub 代表客户并按照客户与在线服务相关的书面指示处理的个人数据不得传输到某个地理位置,也不得在某个地理位置进行存储和处理,除非符合 DPA 条款和本节下面提供的保护措施。 考虑到此类保护措施,客户指定 GitHub 将个人数据传输到美国或 GitHub 或其子处理方运营的任何其他国家/地区,并存储和处理个人数据以提供在线服务,除非这些 DPA 条款中另有说明。

在欧盟、欧洲经济区、英国和瑞士以外地区为提供在线服务而进行的所有客户数据和个人数据的传输活动都须受附件 1 中标准合同条款 (EU/EEA) 的约束。 在英国以外地区为提供在线服务而进行的所有客户数据和个人数据的传输活动都须受附件 2 中标准合同条款 (UK) 的约束。 就附件 2 中的标准合同条款 (UK) 而言,对“欧盟”、“EU”、“欧洲经济区”、“EEA”或“成员国”的引用须被解释为在合理必要和适当的情况下指代英国,以使标准合同条款 (UK) 在从英国传输个人数据的场景中具备完整的效力和影响。 无论自 2020 年 1 月 31 日起,英国是否不再是欧盟或欧洲经济区的成员国,这都适用。

在每种情况下,GitHub 都将遵守适用的欧盟、欧洲经济区、英国和瑞士数据保护法以及其他数据保护要求,以将个人数据传输到此类司法管辖区以外的接收方或司法管辖区。 在适用的情况下,所有此类个人数据的传输都将受到 GDPR 第 46 条所述的适当保护措施的约束,并且此类传输和保护措施将根据 GDPR 第 30(2) 条进行记录。

在遵守上述保护措施的情况下,GitHub 可能会自行决定将个人数据传输到全球司法管辖区和地理位置,并在其自行决定认为与在线服务相关的合理必要范围内传输、存储和以其他方式处理个人数据。

数据保留和删除

根据客户的合理要求,除非法律禁止,否则 GitHub 将在存储在线服务的所有位置,代表 GitHub 并按照客户与在线服务相关的书面指示,在请求后 30 天内归还或销毁 GitHub 处理的所有客户数据和个人数据,前提是不再需要这些数据和个人数据来提供在线服务或数据主体已授权处理其个人数据。 GitHub 可能会在适用的数据保护要求或其他适用法律要求的范围内保留客户数据或个人数据,并且仅在适用的数据保护要求或其他适用法律要求的范围和期限内保留,前提是 GitHub 将确保仅在必要时出于适用数据保护要求或其他适用法律规定的目的处理客户数据或个人数据,而不会出于其他目的进行处理,并且客户数据或个人数据仍受适用的数据保护要求或其他适用法律的保护。

处理方保密承诺

GitHub 将确保其代表客户处理与在线服务相关的客户数据和个人数据的人员 (i) 将仅根据客户的指示或本 DPA 中所述处理此类数据,并且 (ii) 即使在其参与结束后,也有义务维护此类数据的机密性和安全性。 GitHub 须根据适用的数据保护要求或其他适用法律和行业标准,定期为具有客户数据和个人数据访问权限的员工提供强制性的数据隐私和安全培训与教育。

有关使用子处理方的通知和管理

GitHub 可能会聘用子处理方来代表 GitHub 提供某些有限或辅助服务。 客户同意这种参与方式并且同意 GitHub 关联公司以子处理方的身份进行参与。 如果根据适用法律、标准合同条款或 GDPR 相关条款需要此类同意,上述授权将构成客户事先书面同意 GitHub 分包处理个人数据。

GitHub 应负责保证其子处理方履行本 DPA 中规定的 GitHub 的义务。 GitHub 在 GitHub 网站 https://github.com/subprocessors(或后续位置)上提供有关子处理方的信息。 雇用任何子处理方时,GitHub 将通过书面合同确保子处理方仅可为交付 GitHub 委托提供的服务而访问和使用客户数据或个人数据,而不得将客户数据或个人数据用于任何其他目的。 GitHub 应确保子处理方受相应书面协议的约束,且此类协议须要求子处理方至少提供本 DPA 要求 GitHub 提供的数据保护级别,包括个人数据的披露限制。 GitHub 同意监督子处理方,以确保履行这些合同义务。

GitHub 可能不时雇用新的子处理方。 在向任何新的子处理方提供访问客户数据的权限之前,GitHub 将会通知客户(通过更新网站 https://github.com/github-subprocessors-list 或后续位置),并且向客户提供获取任何新子处理方更新通知的机制。 如果 GitHub 为新的在线服务聘请了新的子处理方,GitHub 将在该在线服务可用之前通知客户。

如果客户不认可新的子处理方,则可以终止对受影响在线服务的任何订购,而不会受到处罚,但前提是应在相关通知期结束之前提供书面终止通知。 客户还可以随终止通知一起解释不认可的理由,以便 GitHub 能够根据适用的顾虑重新评估任何此类新的子处理方。 如果受影响的在线服务是套件(或单独购买的服务)的一部分,则任何终止在线服务的行为也将适用于整个套件。 终止后,GitHub 将从后续客户账单或客户经销商账单中删除对已终止在线服务的任何订购的付款义务。

教育机构

如果客户是受《家庭教育权和隐私权法案》(20 U.S.C. § 1232g) (FERPA) 或类似的州学生或教育隐私法(统称为“教育隐私法”)约束的教育机构或机构,未经 GitHub 事先书面和明确同意并与 GitHub 签订单独的协议来管理各方在 GitHub 处理与在线服务相关的此类个人数据方面的权利和义务,客户不得向 GitHub 提供此类教育隐私法所涵盖的个人数据。

根据上述规定,如果客户打算向 GitHub 提供 FERPA 所涵盖的个人数据,则双方同意并承认,就本 DPA 而言,GitHub 属于“学校官方”,享有个人数据包含的“合法的教育利益”(这些术语已根据 FERPA 及其实施法规进行了定义)。 客户了解,GitHub 可能仅掌握有限的客户的学生和学生父母的联系信息或并不拥有此类信息。 因此,客户将负责就任何最终用户使用适用法律可能要求的在线服务征得任何学生或家长的同意,并代表 GitHub 向学生(或者,对于未满 18 岁且未在高等教育机构就读的学生,向学生家长)通知要求根据适用法律的要求披露 GitHub 拥有的个人数据的任何司法命令或法律传票。

CJIS 客户协议、HIPAA 业务伙伴、生物识别数据

除非事先获得 GitHub 的书面和明确同意,否则客户不得向 GitHub 提供以下任何个人数据

  • 与客户根据 FBI 刑事司法信息服务或相关安全政策收集或以其他方式处理的刑事定罪和违法行为或个人数据有关。
  • 构成受保护的健康信息,受美国卫生与公众服务部发布的隐私、安全和违规通知规则、《联邦法规》第 45 篇第 160 和 164 部分(根据 1996 年《健康保险流通与责任法案》(公法 104-191)或州健康或医疗隐私法确立)的约束。
  • 作为临床试验或其他生物医学研究的一部分收集,该研究受联邦人类受试者保护政策(共同规则)的约束或根据联邦保护政策(共同规则)进行。
  • 受州、联邦或外国生物识别隐私法的约束,或以其他方式构成生物识别信息,包括有关个人的身体、生理、生物或行为特征的信息,或从此类信息中得出的信息,这些信息单独使用或与其他信息结合使用来确定个人身份。

加州消费者隐私法案 (CCPA)/加州隐私权法案 (CPRA)

如果 GitHub 代表客户并根据客户书面指示在 CCPA 范围内处理个人数据,则 GitHub 向客户做出以下额外承诺。 GitHub 将代表客户处理个人数据,而不会

  • 出售个人数据,CCPA 中定义了“出售”一词。 - 以书面形式或电子或其他方式将个人数据共享、出租、发布、披露、传播、提供、转让或以其他方式口头传达给第三方,以进行跨情境行为定向广告,无论是否用于货币或其他有价约因,包括不涉及货币兑换的针对跨情境行为定向广告的交易。
  • 出于 DPA 条款和 GitHub 客户协议中指定的业务目的以外的任何目的保留、使用或披露个人数据,包括出于 DPA 条款或 GitHub 客户协议中指定的业务目的以外的商业目的,或 CCPA 允许的其他目的。
  • 在与客户的直接业务关系之外保留、使用或披露个人数据。
  • 将个人数据与其从第三方或代表第三方接收或从加利福尼亚州居民处收集的个人信息相结合,但 GitHub 可能会将个人数据组合在一起,以执行 CCPA 或根据 CCPA 通过或颁布的任何法规允许的任何业务目的。

如何联系 GitHub

如果客户认为 GitHub 未遵守其隐私或安全承诺,可以联系客户支持或使用 https://support.github.com/contact/privacy 上的 GitHub 隐私 Web 表单。 GitHub 的邮寄地址是:

GitHub Privacy
GitHub, Inc.
88 Colin P. Kelly Jr. Street
San Francisco, California 94107 USA

GitHub B.V. 是 GitHub 在欧洲经济区的数据保护代表。 可以通过以下地址 联系 GitHub B.V. 的隐私代表:

GitHub B.V.
Vijzelstraat 68-72
1017 HL Amsterdam
The Netherlands

附录 A – 安全保护措施

GitHub 已实施并将维护 GitHub 代表客户处理的客户数据和个人数据,并且根据客户与 GitHub 服务相关的书面指示,采取以下技术和组织措施以及安全保障措施,这些措施与本 DPA(包括 GDPR 相关条款)中的安全承诺相结合,是 GitHub 对该数据安全性的唯一责任:

领域惯例
信息安全组织安全责任方。 GitHub 已任命一位或多位安全官负责协调和监控安全政策及程序。

安全角色和责任。 有权访问客户数据和个人数据的 GitHub 人员受保密义务的约束。

风险管理程序。 GitHub 执行年度风险评估。
在安全文档失效之后,GitHub 将根据相应保留要求来保留其安全文档。

供应商管理。 GitHub 具有供应商风险评估流程、供应商合同条款以及与供应商签订的其他数据保护协议。
资产管理资产清单。 GitHub 维护存储客户数据和个人数据的所有介质的清单。 只有获得书面访问授权的 GitHub 人员方可访问此类介质清单。

资产处理
- GitHub 对客户数据和个人数据进行分类,以帮助识别数据并允许对其进行适当限制。
- GitHub 传达员工对数据保护的责任和问责制,最严重的情形下可导致被解雇。
GitHub 人员在远程访问客户数据和个人数据或在 GitHub 设施之外处理客户数据和个人数据之前,必须获得 GitHub 授权。
人力资源安全安全培训。 作为初始入职培训的一部分,GitHub 要求所有新员工完成安全性和隐私性认知培训。 所有员工都必须参加年度培训,以便为安全和隐私基础知识设立基准。
物理和环境安全对设施的物理访问。 GitHub 只允许已确认身份的授权人员出入处理客户数据和个人数据的信息系统所在的设施。

对组件的物理访问。 GitHub 维护包含客户数据和个人数据的介质的收发记录,包括介质类型、授权发送人/接收人、日期和时间、介质数量、所含客户数据类型。

防止中断。 GitHub 使用各种行业标准系统,防止由于电源故障或线路干扰导致数据丢失。

组件报废处置。 不再需要客户数据和个人数据时,GitHub 将使用行业标准流程来删除该数据。
通信和运营管理运营策略。 GitHub 维护安全文档,此类文档描述 GitHub 的安全措施和相关程序,以及能够访问客户数据的 GitHub 人员的责任。

数据恢复程序
- GitHub 长期维护客户数据和个人数据的多份副本,以便能够从该副本恢复客户数据和个人数据,但备份频率不得低于每周一次(除非在该时段内没有更新任何客户数据和个人数据)。
- GitHub 将客户数据和个人数据副本及数据恢复程序保存在不同于处理客户数据和个人数据的主要计算机设备所在位置的地方。
- GitHub 制定特定程序来监管对客户数据副本的访问。
- GitHub 会记录数据恢复工作,包括负责人员、对所恢复数据的描述,在适用的情况下,还会记录在数据恢复过程中必须手动输入哪些数据(如果有)。

恶意软件。 GitHub 具有威胁检测控件,可帮助识别和响应对客户数据的异常或可疑访问,包括源自公共网络的恶意软件。

数据超越边界
- GitHub 会加密或允许客户加密通过公共网络传输的客户数据和个人数据。
- GitHub 限制对从其设施取出的介质上的客户数据和个人数据的访问。

事件日志记录。 GitHub 会记录或允许客户记录信息系统的访问和使用情况,包含客户数据、注册访问 ID、时间、授予或拒绝的授权以及相关活动。
访问控制访问策略。 GitHub 维护能够访问客户数据的人员的安全权限记录。

访问授权
- GitHub 将维护并更新有权访问包含客户数据的 GitHub 系统的相关人员的记录。
- GitHub 将指定可以授权、更改或取消数据和资源的访问权限的人员。
- GitHub 会确保,如果有多个人员能够访问包含客户数据的系统时,在技术和架构可行且商业上合理的前提下,每个人都会具有单独的标识符/登录名。

最小权限
- 仅允许技术支持人员在需要时访问客户数据和个人数据。
- GitHub 只允许需要访问客户数据和个人数据才能履行其工作职能的人员访问这些数据。 GitHub 员工仅根据其在组织中的角色被授予对生产系统的访问权限。

完整性和保密性

- GitHub 指示 GitHub 人员在计算机无人值守时禁用管理会话。
- GitHub 以一种在生效期间经过加密或无法辨识的方式来存储密码。

身份验证
- GitHub 使用行业标准做法来确定试图访问信息系统的用户的身份,并对他们进行身份验证。
- 如果身份验证机制仅基于密码,则 GitHub 要求密码长度至少为八个字符。
- GitHub 确保不将已停用或过期的员工标识符授予其他人员。
- GitHub 将监控或允许客户监控使用无效密码反复尝试访问信息系统的行为。
- GitHub 将维护行业标准程序,停用已被破坏或无意中泄露的密码。
- GitHub 采用行业标准密码保护做法,包括在分配或分发密码时和存储期间保持密码的机密性和完整性的做法。

网络设计。 GitHub 会采取控制措施,以确保存储客户数据和个人数据的系统都不是用于 GitHub 业务运营的同一逻辑网络的一部分。
信息安全事件管理事件响应流程
- GitHub 维护安全事件的记录,其中包含事件描述、时间段、违规后果、报告者姓名、事件报告对象以及事件处理的详细信息。
- 如果 GitHub Security 确认或合理怀疑 GitHub.com 客户受到数据泄露的影响,我们将毫不迟疑地通知客户
- GitHub 会跟踪或允许客户跟踪客户数据的泄露,包括在什么时间向谁披露了哪些数据。

服务监控。 GitHub 采用各种连续监控解决方案来预防、检测和缓解对站点的攻击。
业务连续性管理- GitHub 会维护适用于处理客户数据和个人数据的 GitHub 信息系统所在设施的应急计划。
- GitHub 的冗余存储及其恢复数据的程序旨在尝试按照客户数据和个人数据丢失或破坏之前的原始或上次复制的状态来重建数据。

附件 1 - 标准合同条款 (EU/EEA)

控制方到处理方

第 I 节

条款 1

目的与范围

  1. 这些标准合同条款的目的是确保个人数据向第三方国家/地区的传输符合法规 (EU) 2016/679(即《一般数据保护条例》,由欧洲议会和欧盟理事会于 2016 年 4 月 27 日颁布,涉及处理个人数据时对自然人的保护以及此类数据的自由移动)的要求。
  2. 双方:
    1. 传输个人数据的自然人或法人、公共当局、机构或其他团体(以下简称“实体”),如附录 I.A 所列(以下简称“数据输出者”),以及
    2. 直接或通过另一个实体(也是这些条款的缔约方)从数据输出者接收个人数据、已同意这些标准合同条款
    (以下简称“条款”)的位于第三个国家/地区的实体,如附录 I. A 所列(以下简称“数据输入者”)。
  3. 如附录 I.B 之规定,这些条款适用于个人数据的传输。
  4. 这些条款的附录包含其中提及的附件,构成这些条款的组成部分。
条款 2

条款的效力和不变性

  1. 这些条款规定了适当的保障措施,包括可强制执行的数据主体权利和有效的法定补偿(依据法规 (EU) 2016/679 的第 46(1) 条和第 46(2)(c) 条)以及针对数据从控制方到处理方和/或从处理方到子处理方的传输的标准合同条款(依据法规 (EU) 2016/679 的第 28(7) 条),前提是它们未经修改,除非为了选择适当的模块或在附录中添加或更新信息。 这并不妨碍双方在更广泛的合同中包括这些条款中规定的标准合同条款和/或添加其他条款或额外保障措施,前提是它们不直接或间接地与这些条款相抵触或损害数据主体的基本权利或自由。
  2. 这些条款不影响数据输出者根据法规 (EU) 2016/679 须承担的义务。
条款 3

第三方受益人

  1. 数据主体可以作为第三方受益人,针对数据输出者和/或数据输入者调用和执行这些条款,但以下情况除外:
    1. 条款 1、条款 2、条款 3、条款 6、条款 7;
    2. 条款 8.1(b)、8.9(a)、(c)、(d) 和 (e);
    3. 条款 9(a)、(c)、(d) 和 (e);
    4. 条款 12(a)、(d) 和 (f);
    5. 条款 13;
    6. 条款 15.1(c)、(d) 和 (e);
    7. 条款 16(e);
    8. 条款 18(a) 和 (b)。
  2. 第 (a) 段不损害法规 (EU) 2016/679 规定的数据主体的权利。
条款 4

解释

  1. 如果这些条款使用法规 (EU) 2016/679 中定义的术语,这些术语的含义须与其在该条例中的含义相同。
  2. 这些条款须按照法规 (EU) 2016/679 的规定进行阅读和解释。
  3. 这些条款的解释不得与法规 (EU) 2016/679 规定的权利和义务相冲突。
条款 5

层次结构

如果这些条款与双方签订的、在这些条款商定或随后签订时存在的相关协议的规定存在矛盾,则须以这些条款为准。

条款 6

传输说明

有关传输的详细信息,特别是被传输的个人数据的类别以及数据传输的目的,将在附录 I.B 中指定。

条款 7

对接条款

  1. 非本条款缔约方的实体,经双方同意,可作为数据输出者或数据输入者,通过填写附录并签署附录 I.A 随时加入这些条款。
  2. 一旦填写附录并签署附录 I.A,加入实体须成为本条款的缔约方,并根据其在附录 I.A 中的头衔享有数据输出者或数据输入者的权利和义务。
  3. 加入的实体在成为缔约方之前的时间段内不享有根据这些条款产生的任何权利,也无须承担因这些条款产生的任何义务。

第 II 节 - 双方的义务

条款 8

数据保护保障措施

数据输出者保证其已采取合理努力,确定数据输入者能够通过实施适当的技术和组织措施,履行其在这些条款下的义务。

8.1 说明

  1. 数据输入者须仅根据数据输出者的书面指示处理个人数据。 数据输出者可以在整个合同期间给出此类指示。
  2. 如果数据输入者无法遵守这些指示,须立即通知数据输出者。

8.2 目的限制

除非有数据输出者的进一步指示,否则数据输入者须仅出于附录 I.B 所述的数据传输的特定目的处理个人数据。

8.3 透明度

数据输出者须根据要求,将这些条款(包括双方完成的附录)的副本免费提供给数据主体。 出于保护商业秘密或其他机密信息(包括附录 II 中描述的措施和个人数据)的需要,数据输出者可以在共享副本之前对这些条款附录的部分文本进行编校,但在数据主体无法理解其内容或行使其权利时,数据输出者须提供一份有意义的摘要。 双方须根据要求,在可能的情况下向数据主体提供编校的理由,但不得透露编校的信息。 本条款不影响数据输出者根据法规 (EU) 2016/679 第 13 条和第 14 条须承担的义务。

8.4 准确性

如果数据输入者意识到其收到的个人数据不准确或已过时,则须立即通知数据输出者。 在这种情况下,数据输入者须与数据输出者合作删除或纠正数据。

8.5 处理、擦除或退还数据的期限

数据输入者的数据处理只能在附录 I.B 规定的期限内进行。 在停止提供处理服务后,数据输入者须根据数据输出者的选择,删除代表数据输出者处理的所有个人数据,并向数据输出者证明其已经这样做,或者将代表其处理的所有个人数据传回给数据输出者并删除现有副本。 在数据被删除或退还之前,数据输入者须继续确保遵守这些条款。 如果适用于数据输入者的当地法律禁止退还或删除个人数据,数据输入者保证将继续确保遵守这些条款,并且仅会在当地法律要求的范围和时间内处理这些数据。 这不会影响条款 14,尤其是条款 14(e) 下针对数据输入者的此要求:在整个合同期限内,如果数据输入者有理由相信它正在或已经成为不符合条款 14(a) 要求的法律或惯例的管辖对象,则应通知数据输出者。

8.6 处理的安全性

  1. 数据输入者以及数据输出者(数据传输期间)须实施适当的技术和组织措施,以确保数据的安全,包括防止安全违规行为导致数据被意外或非法的破坏、丢失、更改、未经授权披露或访问(以下简称“个人数据泄露”)。 在评估适当的安全级别时,双方须适当考虑技术现状、实施成本、数据处理的性质、范围、情境和目的以及处理数据主体的数据过程中涉及的风险。 如果数据处理的目的可以在采用加密或假名的情况下实现,双方尤其须考虑采用加密或假名,包括在传输过程中。 在使用假名的情况下,用于将个人数据归为特定数据主体的附加信息须在可能的情况下由数据输出者独家控制。 在履行本段规定的义务时,数据输入者至少须实施附录 II 中规定的技术和组织措施。 数据输入者须进行定期检查,以确保这些措施继续提供适当水平的安全性。
  2. 数据输入者须仅在执行、管理和监控合同严格需要的范围内,允许其员工访问个人数据。 它须确保被授权处理个人数据的人员已承诺对个人数据进行保密或承诺履行相应的法定保密义务。
  3. 如果数据输入者根据这些条款处理的个人数据发生泄露,数据输入者须采取适当措施来解决泄露问题,包括采取措施减轻其不利影响。 数据输入者还须在知晓泄露情况后立即通知数据输出者,不得出现不当延误。 此类通知须包含可从其获取更多信息的联系点的详细信息、泄露性质的描述(如果可行,须包括相关数据主体和个人数据记录的类别和大致数量)、其可能的后果以及为解决数据泄露而采取或提议的措施,包括酌情减轻其可能不利影响的措施。 如果不可能同时提供所有信息,初始通知须包含当时可用的信息,并且后续信息须在可用时立即提供,不得无故拖延。
  4. 数据输入者须根据处理性质并结合数据输入者所掌握的信息,配合和协助数据输出者,使数据输出者能够履行其在法规 (EU) 2016/679 下的义务,尤其是酌情通知相关控制方或主管监管机构以及受影响的数据主体。

8.7 敏感数据

如果传输的个人数据会揭示种族或民族、政见、宗教或哲学信仰或工会成员资格、遗传数据或用于唯一识别自然人的生物特征数据、有关健康或个人性生活或性取向的数据,或与刑事定罪和犯罪有关的数据(以下简称“敏感数据”),数据输入者应该运用附录 I.B 中所述的具体限制和/或额外保护措施。

8.8 进一步传输

数据输入者须仅根据数据输出者的书面指示向第三方披露个人数据。 此外,仅在以下情况下才可以向位于欧盟以外的第三方(1)(与数据输入者位于同一国家/地区或位于另一个第三国家/地区)披露数据(以下简称“进一步传输”):该第三方在适当的模块下受或同意受这些条款的约束,或者:

  1. 进一步传输到的国家/地区受益于根据法规 (EU) 2016/679 第 45 条做出的、涵盖进一步传输的充分性决定;
  2. 第三方根据法规 (EU) 2016/679 第 46 或 47 条,确保对相关处理采取适当的保障措施;
  3. 在特定行政、监管或司法程序的背景下,进一步传输是确立、行使或抗辩法律主张所必需的;或者
  4. 进一步传输是保护数据主体或其他自然人的切身利益所必需的。

  5. 任何进一步传输的前提条件都是数据输入者必须遵守这些条款下的所有其他保障措施,特别是目的限制。

8.9 文档和合规性

  1. 数据输入者须及时、充分地处理数据输出者提出的与这些条款下的处理相关的询问。
  2. 双方须能够证明其遵守了这些条款。 特别是,数据输入者须保留有关代表数据输出者进行的处理活动的适当文件。
  3. 数据输入者须向数据输出者提供证明遵守本条款中规定的义务所需的所有信息,并应数据输出者的要求,允许并协助以合理的间隔或在出现不合规迹象时对本条款所涵盖的处理活动进行审计。 在决定审查或审计时,数据输出者可能会考虑数据输入者持有的相关认证。
  4. 数据输出者可以选择自行进行审计或委托独立审计师进行审计。 审计可能包括对数据输入者的场所或物理设施进行检查,并且适当情况下,须在合理通知的情况下进行。
  5. 双方须根据要求向主管监管机构提供 (b) 和 (c) 段所述的信息,包括任何审计的结果。
条款 9

使用子处理方

  1. 一般书面授权:数据输入者拥有数据输出者从商定列表中聘用子处理方的一般授权。 数据输入者须至少提前 90 天以书面形式明确通知数据输出者通过添加或更换子处理方对该列表进行的任何有意更改,从而让数据输出者有足够的时间能够在聘用子处理方之前对此类更改提出异议。 数据输入者须向数据输出者提供必要的信息,使数据输出者能够行使其反对权。
  2. 如果数据输入者聘用子处理方(代表数据输出者)执行特定的处理活动,则数据输入者须通过书面合同的方式进行,该合同实质上规定了与数据输入者根据这些条款须承担的义务相同的数据保护义务,包括数据主体的第三方受益人权利。(2)双方同意,数据输入者遵守本条款即表示数据输入者履行了其在条款 8.8 下的义务。 数据输入者须确保子处理方遵守数据输入者根据这些条款应承担的义务。
  3. 数据输入者须根据数据输出者的要求提供此类子处理方协议和任何后续修订的副本。 在保护商业秘密或其他机密信息(包括个人数据)的必要范围内,数据输入者可以在共享副本之前编辑协议文本。
  4. 数据输入者须继续就子处理方对其与数据输入者签订的合同中的义务的履行情况,对数据输出者承担全部责任。 如果子处理方未能履行其在该合同项下的义务,数据输入者须通知数据输出者。
  5. 数据输入者须与子处理方就第三方受益人条款达成一致意见,依据该条款,如果数据输入者事实上消失、在法律上不复存在或破产,数据输出者有权终止子处理方合同,并指示子处理方删除或归还个人数据。
条款 10

数据主体权利

  1. 数据输入者须将其从数据主体收到的任何请求及时通知数据输出者。 除非获得数据输出者的授权,否则数据输入者不得自行回应该请求。
  2. 数据输入者须协助数据输出者履行其义务,响应数据主体根据法规 (EU) 2016/679 行使其权利的请求。 在这方面,双方须在附录 II 中提出适当的技术和组织措施,同时考虑到处理的性质、提供协助的方式以及所需协助的范围和程度。
  3. 在履行 (a) 和 (b) 款规定的义务时,数据输入者须遵守数据输出者的指示。
条款 11

纠正

  1. 数据输入者须通过个人通知或在其网站上以透明且易于访问的格式将授权处理投诉的联系点告知数据主体。 它须迅速处理从数据主体收到的任何投诉。
  2. 如果数据主体与其中一方在这些条款的遵守方面发生争议,该方须尽最大努力及时友好地解决问题。 双方须相互通报此类争议,并在适当情况下合作解决此类争议。
  3. 如果数据主体根据第 3 条援引第三方受益人权利,数据输入者须接受数据主体的以下决定:
    1. 根据条款 13 向其经常居住地或工作地点所在成员国的监管机构或主管监管机构提出投诉;
    2. 将争议提交给条款 18 所指的主管法院。
  4. 双方同意,根据法规 (EU) 2016/679 第 80(1) 条规定的条件,数据主体可由非营利机构、组织或协会代表。
  5. 数据输入者须遵守适用的欧盟或成员国法律下具有约束力的决定。
  6. 数据输入者同意,数据主体作出的选择不会损害其依照适用法律寻求补救措施的实质性和程序性权利。
条款 12

责任

  1. 各方须对因违反本条款而给另一方造成的任何损害承担责任。
  2. 数据输入者须对数据主体负责,并且数据主体有权就数据输入者或其子处理方因违反这些条款下的第三方受益人权利而对数据主体造成的任何实质性或非实质性损害获得赔偿。
  3. 尽管有 (b) 段的规定,但数据输出者须对数据主体负责,并且数据主体有权就数据输出者或其数据输入者(或其子处理方)因违反这些条款下的第三方受益人权利而对数据主体造成的任何实质性或非实质性损害获得赔偿。 这不影响数据输出者的责任,如果数据输出者是代表控制方行事的处理方,则不影响控制方根据法规 (EU) 2016/679 或法规 (EU) 2018/1725(如适用)应承担的责任。
  4. 双方同意,如果根据 (c) 段的规定,数据输出者对数据输入者(或其子处理方)造成的损害承担责任,则数据输出者有权向数据输入者追回与数据输入者对这些损害承担的责任相对应的那部分赔偿。
  5. 如果因违反这些条款而对数据主体造成的任何损害由多方负责,则所有责任方均须承担连带责任,并且数据主体有权针对其中任何一方向法院提起诉讼。
  6. 双方同意,如果根据 (e) 款的规定,一方须承担责任,则其有权向另一方追回与其对这些损害承担的责任相对应的那部分赔偿。
  7. 数据输入者不得援引子处理方的行为来逃避其自身的责任。
条款 13

监管

  1. [如果数据输出者位于欧盟成员国:]负责确保数据输出者遵守关于数据传输的法规 (EU) 2016/679(如附录 I.C 所示)的监管机构须作为主管监管机构。

    [如果数据输出者不是在欧盟成员国成立,但根据法规 (EU) 2016/679 第 3(2) 条,其成立的位置属于法规 (EU) 2016/679 适用的地域范围,并且已根据法规 (EU) 2016/679 第 27(1) 条任命了代表:]法规 (EU) 2016/679 第 27(1) 条所指的代表所在成员国的监管机构(如附录 I.C 所示)须作为主管监管机构。

    [如果数据输出者不是在欧盟成员国成立,但根据法规 (EU) 2016/679 第 3(2) 条,其成立的位置属于法规 (EU) 2016/679 适用的地域范围,同时它不必根据法规 (EU) 2016/679 第 27(2) 条任命代表:]因向数据主体提供商品或服务而根据本条款传输其个人数据的数据主体,或其行为受到监控的数据主体所在的成员国之一的监管机构(如附录 I.C 所示)须作为主管监管机构。

  2. 数据输入者同意在旨在确保遵守这些条款的任何程序中,服从主管监管机构的管辖并配合其工作。 特别是,数据输入者同意回应询问、接受审计并遵守监管机构采取的措施,包括补救和补偿措施。 它须向监管机构提供已采取的必要行动的书面确认。

第 III 节 – 地方法律以及受到公共机关访问时的义务

条款 14

影响对条款的遵守情况的当地法律和惯例

  1. 双方保证,他们没有理由相信适用于数据输入者处理个人数据的第三目的地国家/地区的法律和惯例(包括披露个人数据的任何要求或授权公共机关访问的措施)会阻止数据输入者履行其在这些条款下的义务。 这是基于这样一种理解,即尊重基本权利和自由的本质,并且不超过民主社会中为保障法规 (EU) 2016/679 的第 23(1) 条所列目标之一所必需和相称的范围的法律和惯例不与这些条款相矛盾。
  2. 双方声明,在提供 (a) 段中的保证时,他们特别考虑了以下要素:
    1. 传输的具体情况,包括处理链的长度、涉及的参与者数量和使用的传输渠道;预期的进一步传输;收件人类型;处理的目的;传输的个人数据的类别和格式;发生传输的经济部门;传输数据的存储位置;
    2. 第三目的地国家/地区的法律和惯例 — 包括要求向公共机关披露数据或授权此类机关访问的法律和惯例 — 与传输的具体情况以及适用的限制和保障措施相关(3)
    3. 任何相关的合同、技术或组织保障措施已到位,以补充这些条款下的保障措施,包括在传输过程中采取的措施以及在目的地国家/地区处理个人数据的措施。
  3. 数据输入者保证,在根据 (b) 段进行评估时,已尽最大努力向数据输出者提供相关信息,并同意将继续与数据输出者合作以确保遵守这些条款。
  4. 双方同意根据 (b) 段记录评估,并根据要求将其提供给主管监管机构。
  5. 数据输入者同意,如果在同意这些条款后的整个合同期限内,数据输入者有理由相信自己正在或已经受到不符合 (a) 段要求的法律或惯例的约束,则立即通知数据输出者,包括第三国家/地区法律的变化或表明此类法律在实践中的应用不符合 (a) 段要求的措施(例如披露请求)。
  6. 根据 (e) 段发出通知后,或者如果数据输出者有理由相信数据输入者无法再履行其在这些条款下的义务,数据输出者须立即确定适当的措施(例如确保安全性和保密性的技术或组织措施),以便由数据输出者和/或数据输入者采用来解决这种情况。 如果数据输出者认为无法为此类传输提供适当的保护措施,或者主管监管机构指示这样做,则数据输出者须暂停数据传输。 在这种情况下,数据输出者有权终止与根据这些条款处理个人数据相关的合同。 如果合同涉及两个以上的当事方,除非双方另有约定,否则数据输出者可以仅针对相关方行使此终止权。 如果合同根据本条款终止,则条款 16(d) 和 (e) 适用。
条款 15

受到公共机关访问时数据输入者的义务

15.1 通知

  1. 数据输入者同意,在以下情况下,立即通知数据输出者,并在可能的情况下及时通知数据主体(必要时借助数据输出者的帮助):
    1. 根据目的地国家/地区的法律,数据输入者收到来自公共机关(包括司法机关)的具有法律约束力的要求,要求披露根据这些条款传输的个人数据;此类通知须包括有关所请求的个人数据、请求机关、请求的法律依据和所提供的响应的信息;或者
    2. 数据输入者获悉公共机关根据目的地国家/地区的法律直接访问根据这些条款传输的个人数据;此类通知须包括数据输入者可获得的所有信息。
  2. 如果目的地国家/地区的法律禁止数据输入者通知数据输出者和/或数据主体,则数据输入者同意尽最大努力获得禁令的豁免,以期尽快传达尽可能多的信息。 数据输入者同意记录其最大努力,以便能够根据数据输出者的要求展示它们。
  3. 在目的地国家/地区法律允许的情况下,数据输入者同意在合同期限内定期向数据输出者提供尽可能多的与收到的请求相关的信息(特别是请求数量、请求的数据类型)、提出请求的机关、请求是否受到质疑以及此类质疑的结果等)。
  4. 数据输入者同意在合同期限内根据 (a) 至 (c) 段保留信息,并应要求将其提供给主管监管机构。
  5. (a) 至 (c) 段不影响数据输入者根据条款 14(e) 和条款 16 在其无法遵守这些条款时立即通知数据输出者的义务。

15.2 审查合法性和数据最小化

  1. 数据输入者同意审查披露请求的合法性,特别是它是否仍在向提出请求的公共机关授予的权力范围内,并在经过仔细评估后判定根据目的地国家/地区的法律、国际法规定的适用义务和国际礼让原则,有合理理由认为该请求非法时对其提出质疑。 数据输入者须在相同条件下寻求上诉的可能性。 当对请求提出质疑时,数据输入者须寻求临时措施以中止请求的效力,直到主管司法机关对其是非曲直做出决定为止。 在适用的程序规则要求这样做之前,它不得披露所要求的个人数据。 这些要求不会影响数据输入者在条款 14(e) 下的义务。
  2. 数据输入者同意记录其法律评估和对披露请求的任何质疑,并在目的地国家/地区法律允许的范围内向数据输出者提供该文件。 它还须根据要求将其提供给主管监管机构。
  3. 数据输入者同意根据对请求的合理解释,在回应披露请求时提供允许的最少量信息。

第 IV 节 – 最终条款

条款 16

未遵守条款和终止

  1. 如果数据输入者因任何原因而无法遵守这些条款,须立即通知数据输出者。
  2. 如果数据输入者违反这些条款或无法遵守这些条款,数据输出者须暂停向数据输入者传输个人数据,直到合规性再度得到保障或合同终止。 这不影响条款 14(f)。
  3. 在以下情况下,数据输出者有权终止与根据这些条款处理个人数据相关的合同:
    1. 数据输出者已根据 (b) 段暂停向数据输入者传输个人数据,并且在合理时间内以及在任何情况下在暂停后一个月内未恢复对这些条款的遵守;
    2. 数据输入者严重或屡次违反这些条款;或者
    3. 数据输入者未能遵守主管法院或监管机构对其在这些条款项下的义务做出的具有约束力的决定。

    在这些情况下,它须将此类不合规情况通知主管监管机构和数据输出者。 如果合同涉及两个以上的当事方,除非双方另有约定,否则数据输出者可以仅针对相关方行使此终止权。
  4. 在根据 (c) 段终止合同之前已转移的个人数据须由数据输出者选择立即退还给数据输出者或全部删除。 这同样适用于数据的任何副本。 数据输入者须向数据输出者证明数据已被删除。 在数据被删除或退还之前,数据输入者须继续确保遵守这些条款。 如果适用于数据输入者的当地法律禁止退还或删除所传输的个人数据,数据输入者保证将继续确保遵守这些条款,并且仅会在当地法律要求的范围和时间内处理这些数据。
  5. 在以下情况下,任一方都可以取消同意受这些条款的约束:(i) 欧盟委员会根据法规 (EU) 2016/679 第 45(3) 条做出决定,该决定涵盖这些条款所适用的个人数据的传输;或 (ii) 法规 (EU) 2016/679 成为个人数据传输目的地国家/地区法律框架的一部分。 这不影响适用于法规 (EU) 2016/679 下相关处理的其他义务。
条款 17

管辖法律

这些条款受欧盟成员国之一的法律管辖,前提是该法律允许第三方受益人权利。 双方同意,这须为荷兰的法律。

条款 18

法院和管辖权地选择

  1. 因这些条款而引发的任何争议须由欧盟成员国的法院解决。
  2. 双方同意这须为荷兰法院。
  3. 数据主体还可以在交由其经常居住地所在成员国的法院解决之前对数据输出者和/或数据输入者提起法律诉讼。
  4. 双方同意亲自提交到上述法院的管辖权地。

附录 I

标准合同条款 (EU/EEA)

A. 缔约方清单

数据输出者:客户是数据输出者
名称:请参阅 GitHub 客户协议
地址:请参阅 GitHub 客户协议
联系人的姓名、职位和联系方式:请参阅 GitHub 客户协议
与根据这些条款传输的数据相关的活动:
数据输出者是 DPA 和 GitHub 客户协议中定义的在线服务或专业服务用户。
签名和日期:请参阅 GitHub 客户协议(DPA 和标准合同条款 (EU/EEA) 已合并到 GitHub 客户协议中)
角色(控制方/处理方):控制方(除非客户协议中另有约定)。

数据输入者
名称:GitHub, Inc.
地址:88 Colin P Kelly Jr St, San Francisco, CA 94107, USA
联系人的姓名、职位和联系方式:Frances Wiet,隐私主管,fwiet@github.com
与根据这些条款传输的数据相关的活动:
GitHub, Inc. 是全球软件和服务生产商
签名和日期:请参阅 GitHub 客户协议(DPA 和标准合同条款 (EU/EEA) 已合并到 GitHub 客户协议中)
角色(控制方/处理方):处理方,或根据客户协议中的规定聘用的子处理方。

B. 传输说明

个人数据被传输的数据主体的类别:

数据主体包括数据输出者的代表和最终用户,包括数据输出者的员工、承包商、合作者和客户。 数据主体还可能包括尝试与数据输出者提供的服务的用户进行通信或向其传输个人数据的个人。 GitHub 确认,根据客户对在线服务或专业服务的使用情况,客户可以选择在个人数据中包含以下任何数据主体类型的个人数据:

  • 数据输出者的(当前、以前或未来的)员工、承包商和临时员工;
  • 数据输出者的合作方/联系人(自然人)或者法律实体合作方/联系人的员工、承包商或临时员工(当前、以前或准员工);
  • 作为数据输出者服务的用户和其他数据主体;
  • 与数据输出者的员工进行积极协作、交流或以其他方式互动,和/或使用数据输出者提供的应用程序和网站等通信工具的合作伙伴、利益相关方或个人。

所传输的个人数据的类别:

传输的包含在电子邮件或文档中的个人数据,以及在线服务或专业服务环境中的其他电子数据。 GitHub 确认,根据客户对在线服务或专业服务的使用情况,客户可以选择在个人数据中包含以下任何类别的个人数据:

  • 基本个人数据(例如出生地点、街道名称和门牌号(地址)、邮政编码、居住城市、居住国家/地区、手机号码、名字、姓氏、姓名的首字母、电子邮件地址、性别、出生日期);
  • 身份验证数据(例如用户名、密码或 PIN 码、安全性问题、审计线索);
  • 联系人信息(例如地址、电子邮件、电话号码、社交媒体标识符;紧急联系人详细信息);
  • 唯一的标识号和签名(例如 IP 地址、员工编号、学生编号);
  • 假名标识符;
  • 照片、视频和音频;
  • Internet 活动(例如浏览历史记录、搜索历史记录、阅读和查看活动);
  • 设备标识(例如 IMEI 号码、SIM 卡号、MAC 地址);
  • 概况分析(例如基于观察到的犯罪或反社会行为,或基于访问过的 URL、点击流、浏览日志、IP 地址、域、安装的应用程序的匿名配置文件,或基于营销偏好的配置文件);
  • 数据主体自愿提供的特殊数据类别(例如种族或民族、政见、宗教或哲学信仰、工会成员资格、遗传数据、用于唯一识别自然人的生物数据、有关健康的数据、有关自然人的性生活或性取向的数据,或与刑事定罪或犯罪有关的数据);或者
  • GDPR 第 4 条规定的任何其他个人数据。

传输的敏感数据(如果适用)和充分考虑到数据的性质和所涉及的风险而应用的限制或保护措施,例如严格的目的限制、访问限制(包括仅允许接受过专业培训的员工访问)、保留对数据的访问记录、对进一步传输的限制或额外的安全措施:
GitHub 不会请求或要求敏感数据,并且仅在客户或数据主体决定提供此类数据时才会接收这些数据。

传输频率(例如,数据是一次性传输还是连续传输):

作为在线服务或专业服务的一部分持续存在。

处理的性质:

传输的个人数据将受以下基本处理活动的约束:

  1. 数据处理的持续时间和目的。 数据处理的持续时间须为数据输出者和数据输入者之间适用的 GitHub 客户协议中指定的期限。 数据处理的目的是提供在线服务和专业服务。
  2. 个人数据访问。 对于适用的 GitHub 客户协议指定的期限,数据输入者将根据其选择并根据适用法律的必要条件:(1) 向数据输出者提供更正、删除或阻止个人数据的能力,或 (2) 代表其进行此类更正、删除或阻止。
  3. 数据输出者的指示。 对于在线服务和专业服务,数据输入者将严格按照数据输出者的指示执行操作。

数据传输和进一步处理的目的:

DPA 的“个人数据的处理;GDPR”一节中介绍了处理个人数据的范围和目的。 数据输入者在全球范围内运营数据中心和管理/支持设施网络,则可依照 DPA 的“安全实践和策略”一节,在数据传输者或其子处理方运营此类设施的任何法律管辖范围内进行数据处理。

个人数据的保留期限,如果无法获得该期限,则为用于确定该期限的标准:

数据输出者使用在线服务或专业服务的权利期满或终止后,它可能会提取个人数据,并且数据输入者将根据适用于本协议的 DPA 条款删除个人数据。

对于向(子)处理方的传输,还需指定处理的主题、性质和持续时间:

依照 DPA,数据输入者可以聘请其他公司代表其提供有限服务,例如提供客户支持。 仅允许所有此类分包商为了交付数据输入者委托提供的服务而获取个人数据,而不得将个人数据用于任何其他目的。 除非提前更换特定的分包商,否则处理将按照数据输出者和数据输入者之间适用的 GitHub 客户协议指定的期限进行。

C. 主管监管机构

根据第 13 条确定主管监管机构:

负责确保数据输出者遵守法规 (EU) 2016/679 的监管机构。

附录 II

标准合同条款 (EU/EEA)

技术和组织措施,包括确保数据安全的技术和组织措施

数据输入者为确保适当级别的安全性,同时考虑到处理的性质、范围、背景和目的,以及对自然人的权利和自由造成的风险,而实施的技术和组织措施的描述(包括任何相关认证)。

  1. 数据安全认证。 数据输入者持有以下数据安全认证:
    • SOC 1,类型 2;
    • SOC 2,类型 2;
    • NIST,在纳入 FedRAMP 低影响/定制 ATO 的范围内。
  2. 人员。 未经授权,数据输入者的工作人员不得处理个人数据。 工作人员有义务对任何此类个人数据保密,即使在其离职之后,此义务也将继续存在。
  3. 数据隐私联系人。 可以通过以下地址联系数据输入者的数据隐私专员:

    GitHub, Inc.
    联系人:Privacy
    88 Colin P. Kelly Jr. Street
    San Francisco, California 94107 USA

  4. 技术和组织措施。 数据输入者已经实施并将维持适当的技术和组织措施、内部控制和信息安全例程,以保护个人数据(如 DPA 的安全做法和策略部分中所定义),防止意外丢失、销毁或更改;未经授权的披露或访问;或者非法销毁,如下所述:DPA 数据安全部分规定的技术和组织措施,内部控制和信息安全程序在此通过此引用并入附件 1 的本附录 II,并且对数据输入者具有约束力,如同它们在附件 1 的本附录 2 中全部列出一样。

对于向(子)处理方的传输,还描述了(子)处理方为能够向控制方提供帮助而采取的特定技术和组织措施,对于从处理方到子处理方的传输,则向数据输出者提供:

供应商管理计划 - 第三方风险计划

数据输入者具有供应商风险评估流程、供应商合同条款以及与供应商签订的其他数据保护协议。 当请求新的用例时,将对供应商进行重新评估。 数据输入者的供应商风险计划是结构化的,因此所有数据输入者的供应商风险评估都在自上次审查日期起两年后更新。

被视为高风险的供应商,例如数据中心提供商或根据数据输入者的监管或合同要求存储或处理范围内数据的其他供应商,每年都会进行重新评估。

附录 III

标准合同条款 (EU/EEA)

额外保护措施附录

GitHub, Inc.(简称“GitHub”)通过本标准合同条款 (EU/EEA) 的额外保护措施附录(简称本“附录”)为客户提供额外保护措施,并为与客户个人数据相关的数据主体提供额外补救措施。

本附录是对标准合同条款 (EU/EEA) 的补充,但不构成对标准合同条款的更改或修改。

  1. 质疑命令。 除了标准合同条款 (EU/EEA) 第 15.1 条之外,如果 GitHub 收到任何第三方的命令,要求强制披露根据标准合同条款 (EU/EEA) 传输的任何个人数据,GitHub 须:
    1. 尽一切合理的努力安排第三方直接从客户处请求数据;
    2. 立即通知客户,除非提出要求的第三方所适用的法律禁止,如果禁止通知客户,则应尽一切合法努力获得免除该禁令的权利,以便尽快向客户传达更多信息;
    3. 基于请求方法律方面的缺陷或与欧盟法律或适用成员国法律的任何相关冲突,尽一切合法努力对披露命令提出异议。

    本节所说的合法努力不包括根据相关管辖权地的法律会导致民事或刑事处罚的行为,例如蔑视法庭。
  2. 数据主体的赔偿。 根据第 3 节和第 4 节的规定,对于 GitHub 因应非欧盟/欧洲经济区政府机构或执法机构的命令披露标准合同条款 (EU/EEA) 规定的个人数据(简称“相关披露”)而对数据主体造成的任何实质性或非实质性损害,GitHub 须对数据主体进行赔偿。 尽管有上述规定,但如果数据主体已经从 GitHub 或其他方面就同一损害获得了赔偿,那么 GitHub 将无义务对数据主体作出本节(第 2 节)中规定的赔偿。
  3. 赔偿条件。 第 2 节规定的赔偿的条件是数据主体确定 GitHub 作出了以下行为并获得了 GitHub 的确认:
    1. GitHub 进行了相关披露;
    2. 非欧盟/欧洲经济区政府机构或执法机构基于相关披露对数据主体提起正式诉讼;
    3. 相关披露直接导致数据主体遭受实质性或非实质性损害。

    数据主体承担条件 a. 至 c. 的 举证责任。
    尽管有上述规定,但如果 GitHub 确认相关披露未违反 GDPR 第 V 章规定的义务,则 GitHub 没有义务按照第 2 节中的规定赔偿数据主体。
  4. 损害范围。 第 2 节规定的赔偿仅限于 GDPR 中规定的实质性和非实质性损害,并且不包括后果性损害赔偿以及并非由于 GitHub 违反 GDPR 造成的所有其他损害。
  5. 权利的行使。 不论标准合同条款 (EU/EEA) 第 3 条或第 12 条有任何限制,数据主体都可以对 GitHub 行使本附录授予数据主体的权利。 数据主体只能以个人名义提出本附录中的索赔,索赔不得包含在集体、团体或代表诉讼中。 本附录授予数据主体的权利是数据主体的个人权利,不得转让。
  6. 变更通知。 除了标准合同条款 (EU/EEA) 的第 14 条之外,GitHub 同意并保证,没有理由相信适用于其或其子处理方的法律(包括在任何通过其自身或通过子处理方将个人数据传输到的国家/地区)会阻止其履行从数据输出者收到的指令及其在本附录或标准合同条款 (EU/EEA) 下的义务,如果本法规的变更有可能对本附录或标准合同条款 (EU/EEA) 所提供的担保和义务产生重大不利影响,GitHub 将在知悉后立即将变更通知客户,在这种情况下,客户有权暂停数据传输和/或终止合同。
  7. 终止。 如果欧洲委员会、主管成员国的监督机构或者欧盟或主管成员国的法庭批准了适用于标准合同条款 (EU/EEA) 所涵盖数据传输的其他合法传输机制(如果这些机制仅适用于某些数据传输,则本附录将仅针对那些传输终止),并且不需要本附录中规定的额外保护措施,本附录将自动终止。

附件 2 - 标准合同条款 (UK)

客户签署 GitHub 客户协议包括签署本附件 2,再由 GitHub, Inc 连署该协议。

根据欧盟委员会 2010/87/EU(2010 年 2 月)的规定,在使用标准合同条款需要监管机构批准的国家/地区,标准合同条款无法用于从该国家/地区合法出口数据,除非客户获得了监管机构的批准。

自 2018 年 5 月 25 日起,在下面的标准合同条款中引用指令 95/46/EC 中的各条款将被视为是引用 GDPR 中的相关和适当条款。

依据有关将个人数据传输至位于第三方国家/地区(并不确保充分的数据保护)的处理方事宜的 95/46/EC 指令第 26(2) 条,客户(作为数据输出者)和 GitHub, Inc.(作为数据输入者,其签名见下文)(以下均简称“方”,合称为“双方”)均同意以下合同条款(以下简称“条款”或“标准合同条款”),以便针对数据输出者将本附录 1 中指定的个人数据传输给数据输入者的事宜,给予隐私保护以及个人的基本权利和自由方面的充分保护。

条款 1:定义

  1. “个人数据”、“特殊类别的数据”、“处理”、“控制方”、“处理方”、“数据主体”和“监督机构”沿用欧洲议会和欧盟理事会 1995 年 10 月 24 日关于涉及个人数据处理的个人保护以及此类数据自由流动的 95/46/EC 指令中的定义;
  2. “数据输出者”指传输个人数据的控制方;
  3. “数据输入者”指同意从数据输出者处接收供在传输完成后按照数据输出者的指示以及“条款”中的条款代表数据输出者进行的处理活动使用的个人数据,且不受指令 95/46/EC 第 25(1) 条规定的旨在确保提供充分的保护措施的第三方国家/地区的制度约束的处理方;
  4. “子处理方”指数据输入者或数据输入者的任何其他子处理方聘用的,同意从数据输入者或数据输入者的任何其他子处理方处接收专供在传输完成后依照数据输出者的指示、“条款”中的条款和书面子合同中的条款,代表数据输出者进行的数据处理活动使用的数据的处理方。
  5. “适用的数据保护法”指保护个人的基本权利和自由(特别是其关于处理个人数据的隐私权)的法律,适用于数据输出者所在成员国的数据控制方;
  6. “技术和组织安全措施”指旨在保护个人数据免受意外或非法破坏,或者免遭意外丢失、更改、未经授权的披露或访问(特别是在数据处理涉及通过网络进行的数据传输时),并使个人数据免受所有其他非法的数据处理活动侵害的措施。

条款 2:传输详细信息

有关转让的详细信息,特别是特殊类别的个人数据(如果适用),将在下面构成条款的组成部分的附录 1 中指定。

条款 3:第三方受益人条款

  1. 数据主体可以作为第三方受益人,对数据输出者实施本条款、条款 4(b) 至 (i)、条款 5(a) 至 (e),以及 (g) 至 (j)、条款 6(1) 和 (2)、条款 7、条款 8(2) 和条款 9 至 12。
  2. 如果数据输出者事实上已消失或者在法律上已不复存在,数据主体可以对数据输入者实施本条款、条款 5(a) 至 (e) 和 (g)、条款 6、条款 7、条款 8(2) 和条款 9 至 12,除非任何后续实体已根据协议或依照现行法律承担数据输出者的全部法定义务,从而享有数据输出者的权利并承担其义务,在此情况下,数据主体可以对此类实体实施这些条款。
  3. 如果数据输出者和数据输入者事实上已消失、在法律上已不复存在或者已经破产,数据主体可以对子处理方实施本条款、条款 5(a) 至 (e) 和 (g)、条款 6、条款 7、条款 8(2) 和条款 9 至 12,除非任何后续实体已根据协议或依照现行法律承担数据输出者的全部法定义务,从而享有数据输出者的权利并承担其义务,在此情况下,数据主体可以对此类实体实施这些条款。 子处理方的此类第三方责任须限于其根据条款的自有的处理操作。
  4. 如果数据主体明确表明此类意愿且国家/地区法律允许,双方不反对数据主体由关联公司或其他机构进行代表。

条款 4:数据输出者的义务

数据输出者同意并保证:

  1. 处理活动(包括传输本身)已经并将继续依照适用的数据保护法的相关规定进行(并且在适用时,已将处理活动告知数据输出者的成立地点所属的成员国中的有关机关),并且不违反该成员国的相关规定。
  2. 其已告知并将在整个个人数据处理服务持续期间内告知数据输入者,仅可代表数据输出者且依照适用的数据保护法和“条款”来处理传输的个人数据;
  3. 数据输入者将提供关于下面的附录 2 中指定的技术和组织安全措施的充分保证;
  4. 已在评估适用的数据保护法后确认,安全措施足以保护个人数据免受意外或非法破坏,或者免遭意外丢失、更改、未经授权的披露或访问(特别是在数据处理涉及通过网络进行的数据传输时),以及保护个人数据免受所有其他非法形式的数据处理行为侵害,并且这些措施可以确保在当前技术水平以及实施这些措施的成本允许的范围内,提供应对数据处理活动及数据的性质所带来的风险所需的安全级别;
  5. 其将确保遵循安全措施;
  6. 如果传输涉及特殊类别的数据,数据主体已被通知,或者在传输之前(或之后尽快)被通知,其数据可能会被传输至未按照 95/46/EC 指令之规定提供充分保护的第三方国家/地区;
  7. 在数据输出者决定继续传输或取消暂停时,将依照条款 5(b) 和条款 8(3)之规定从数据输入者或任何子处理方处接收到的通知转发给数据保护监管机关;
  8. 在收到请求后,向数据主体提供条款的副本(附录 2 除外)、安全措施概述,以及须依照条款签订的任何子处理服务合同的副本,但条款或合同中包含商业信息的除外,在此情况下,其可以删除此类商业信息;
  9. 在进行子处理时,处理活动会由子处理方根据条款 11 执行,且该子处理方至少会提供与条款要求数据输入者提供的个人数据保护级别和数据主体权利相同的个人数据保护级别和数据主体权利。
  10. 其将确保遵守条款 4(a) 至 (i)。

条款 5:数据输入者的义务

数据输入者同意并保证:

  1. 仅代表数据输出者且按照其指示和条款之要求处理个人数据;如果出于任何原因,其无法遵守此类指示和条款,其同意立即通知数据输出者,此时数据输出者有权暂停数据传输并且/或者终止合同;
  2. 其没有任何理由相信,对其适用的法律会妨碍其遵守从数据输出者处获得的指示或履行合同规定的义务,并且当该法律发生可能会对“条款”中规定的保证和义务产生重大不利影响的变更时,在其知晓此类变更后,其会立即将这一变更告知数据输出者,此时数据输出者有权暂停数据传输并且/或者终止合同;
  3. 在处理传输的个人数据之前,其已实施附录 2 中指定的技术和组织安全措施;
  4. 其将及时向数据输出者通知以下事项:
    1. 任何由执法机关提出的要求披露个人数据且具有法律约束力的请求,但另有规定禁止这种通知行为的除外,例如依据刑法保持执法调查的机密性的要求而禁止披露的情况,
    2. 任何意外或未经授权的访问,以及
    3. 任何直接从数据主体处接收且未予回应的请求,但其已被授权这样做的除外;
    迅速妥善处理数据输出者就其处理所转移个人数据而提出的所有询问,并遵守监管机构关于处理所传输数据的建议; 应数据输出者的要求,提交其数据处理设施,以供审核本条款所涵盖的处理活动,此类审核须由数据输出者或由独立成员组成并拥有受保密义务约束的所需专业资格的检查机构进行,在适用的情况下,经监管机构同意,由数据输出者选择;
  5. 在接到请求后,向数据主体提供“条款”或任何现有子处理合同的副本,但“条款”或合同包含商业信息的除外,在此情况下,其可以删除此类商业信息(附录 2 是一个例外,当数据主体无法从数据输出者处获得其副本时,须使用安全措施概述替换附录 2);
  6. 在进行子处理时,其已提前通知数据输出者,并已获得数据输出者的事先书面同意;
  7. 子处理方提供的处理服务将依照条款 11 执行;以及
  8. 及时向数据输出者发送根据条款达成的任何子处理方协议的副本。

条款 6:责任

  1. 双方同意因任何一方或子处理方违反条款 3 或条款 11 中所提及的义务而遭受损失的任何数据主体均有权针对所遭受的损失从数据输出者那里得到相应补偿。
  2. 如果由于数据输出者事实上已消失、在法律上已不复存在或者已经破产,数据主体无法根据第 1 段的内容对数据输出者提出索赔(由数据输入者或其子处理方违反任何条款 3 或条款 11 中所提及的义务而产生),数据输入者同意数据主体可以对数据输入者提出索赔,如同其就是数据输出者,除非任何后续实体已根据协议或依照现行法律承担数据输出者的全部法定义务,在此情况下,数据主体可针对此类实体行使其权利。

    数据输入者不得依赖于子处理方违反其义务的行为,来逃避其自身的责任。
  3. 如果由于数据输出者和数据输入者事实上已消失、在法律上已不复存在或者已经破产,数据主体无法对第 1 段和第 2 段中所提及的数据输出者或数据输入者提出索赔(由数据输入者或其子处理方违反任何条款 3 或条款 11 中所提及的义务而产生),子处理方同意数据主体可以根据条款对数据子处理方就其自有的处理操作提出索赔,如同其就是数据输出者或数据输入者,除非任何后续实体已根据协议或依照现行法律承担数据输出者的全部法定义务,在此情况下,数据主体可针对此类实体行使其权利。 子处理方的责任须限于其根据条款的自有的处理操作。

条款 7:仲裁和管辖权

  1. 数据输入者同意,如果数据主体根据条款对其提出第三方受益者权利和/或损失索赔,数据输入者将接受数据主体的决定:
    1. 将争议提交独立人士或监督机构(如果适用)进行调解;
    2. 将争议提交到数据输出者所在成员国的法院。
  2. 双方同意数据主体作出的选择不会影响其依照其他国家/地区或国际法规定寻求补救措施的实质性和程序性权利。

条款 8:与监督机构协作

  1. 数据输出者同意备案与监督机构签署的协议的副本(如果其要求备案,或者适用的数据保护法要求备案)。
  2. 双方同意,监督机构有权对数据输入者和任何子处理方进行审查,审查范围和所依据的条件与根据适用的数据保护法审查数据输出者相同。
  3. 如果任何适用于数据输入者和子处理方的法律妨碍了第 2 段中所述的对数据输入者或任何子处理方进行的审查,则数据输入者应该立即将这一情况通知数据输出者。 在此情况下,数据输出者须有权采取条款 5(b) 中预见的措施。

条款 9:管辖法律。

这些条款须受数据输出者所在成员国的法律的约束。

条款 10:合同的变动

双方保证不改变或修改条款。 但这并不排除双方还会在需要时就业务相关的问题添加条款(只要不与条款相矛盾)。

条款 11:子处理

  1. 在未事先获得数据输出者的书面同意时,数据输入者不须分包根据条款代表数据输出者执行的处理操作。 当数据输入者征得数据输出者的同意并根据条款分包其义务时,其只须通过与子处理方签署书面协议的方式进行分包,该协议将向子处理方施加与根据条款向数据输入者施加的义务相同的义务。 当子处理方无法根据此类书面协议履行其数据保护义务时,数据输入者须对数据输出者根据此类协议履行子处理方的义务完全负责。
  2. 数据输入者和子处理方事先签署的书面协议还须提供条款 3 中规定的第三方受益人条款,该条款适用于由于数据输出者或数据输入者事实上已消失或者在法律上已不复存在,或者已经破产且无后续实体根据协议或依照现行法律承担数据输出者或数据输入者的全部法定义务,数据主体无法对他们提出条款 6 第 1 段中所提及索赔的情况。 子处理方的此类第三方责任须限于其根据条款的自有的处理操作。
  3. 第 1 段所提及的与合同中的子处理数据保护方面有关的规定须受数据输出者所在成员国的法律的约束。
  4. 数据输出者须保留根据条款签署、由数据输入者依照条款 5 (j) 通知的子处理协议的列表(须至少每年更新一次)。 该列表须提供给数据输出者的数据保护监督机构。

条款 12:个人数据处理服务终止之后的义务

  1. 双方同意,在数据处理服务的规定终止之后,数据输入者和子处理方须根据数据输出者的选择,向数据输出者退回所有传输的个人数据和副本,或者须销毁所有个人数据并向数据输出者证明数据已销毁,除非法律禁止数据输入者退回或销毁传输的全部或部分个人数据。 在此情况下,数据输入者应保证它能保证传输的个人数据的保密性,而且将不再主动处理传输的个人数据。
  2. 数据输入者和子处理方保证,其将按照数据输出者和/或监督机构的请求,提交其数据处理设备以进行第 1 段中所提及的措施的审查。

标准合同条款 (UK) 的附录 1

数据输出者:客户是数据输出者。 数据输出者是 DPA 和 GitHub 客户协议中定义的在线服务或专业服务用户。

数据输入者:数据输入者是 GitHub, Inc.(全球软件和服务的生产商)。

数据主体:数据主体包括数据输出者的代表和最终用户,包括数据输出者的员工、承包商、合作者和客户。 数据主体还可能包括尝试与数据输出者提供的服务的用户进行通信或向其传输个人数据的个人。 GitHub 确认,根据客户对在线服务或专业服务的使用情况,客户可以选择在个人数据中包含以下任何数据主体类型的个人数据:

  • 数据输出者的(当前、以前或未来的)员工、承包商和临时员工;
  • 数据输出者的合作方/联系人(自然人)或者法律实体合作方/联系人的员工、承包商或临时员工(当前、以前或准员工);
  • 作为数据输出者服务的用户和其他数据主体;
  • 与数据输出者的员工进行积极协作、交流或以其他方式互动,和/或使用数据输出者提供的应用程序和网站等通信工具的合作伙伴、利益相关方或个人。

数据类别:传输的包含在电子邮件或文档中的个人数据,以及在线服务或专业服务环境中的其他电子数据。 GitHub 确认,根据客户对在线服务或专业服务的使用情况,客户可以选择在个人数据中包含以下任何类别的个人数据:

  • 基本个人数据(例如出生地点、街道名称和门牌号(地址)、邮政编码、居住城市、居住国家/地区、手机号码、名字、姓氏、姓名的首字母、电子邮件地址、性别、出生日期);
  • 身份验证数据(例如用户名、密码或 PIN 码、安全性问题、审计线索);
  • 联系人信息(例如地址、电子邮件、电话号码、社交媒体标识符;紧急联系人详细信息);
  • 唯一的标识号和签名(例如 IP 地址、员工编号、学生编号);
  • 假名标识符;
  • 照片、视频和音频;
  • Internet 活动(例如浏览历史记录、搜索历史记录、阅读和查看活动);
  • 设备标识(例如 IMEI 号码、SIM 卡号、MAC 地址);
  • 概况分析(例如基于观察到的犯罪或反社会行为,或基于访问过的 URL、点击流、浏览日志、IP 地址、域、安装的应用程序的匿名配置文件,或基于营销偏好的配置文件);
  • 数据主体自愿提供的特殊数据类别(例如种族或民族、政见、宗教或哲学信仰、工会成员资格、遗传数据、用于唯一识别自然人的生物数据、有关健康的数据、有关自然人的性生活或性取向的数据,或与刑事定罪或犯罪有关的数据);或者
  • GDPR 第 4 条规定的任何其他个人数据。

处理操作:传输的个人数据将受以下基本处理活动的约束:

  1. 数据处理的持续期间和对象。 数据处理的持续时间须为数据输出者和数据输入者之间适用的 GitHub 客户协议中指定的期限。 数据处理的目的是提供在线服务和专业服务。
  2. 数据处理的范围和目的。 DPA 的“个人数据的处理;GDPR”一节中介绍了处理个人数据的范围和目的。 数据输入者在全球范围内运营数据中心和管理/支持设施网络,则可依照 DPA 的“安全实践和策略”一节,在数据传输者或其子处理方运营此类设施的任何法律管辖范围内进行数据处理。
  3. 个人数据访问。 对于适用的 GitHub 客户协议指定的期限,数据输入者将根据其选择并根据适用法律的必要条件:(1) 向数据输出者提供更正、删除或阻止个人数据的能力,或 (2) 代表其进行此类更正、删除或阻止。
  4. 数据输出者的指示。 对于在线服务和专业服务,数据输入者将仅遵照数据输出者的指示(如 GitHub 所转达)行事。
  5. 个人数据的删除或返还。 数据输出者使用在线服务或专业服务的权利期满或终止后,它可能会提取个人数据,并且数据输入者将根据适用于本协议的 DPA 条款删除个人数据。

分包商:依照 DPA,数据输入者可以聘请其他公司代表其提供有限服务,例如提供客户支持。 仅允许所有此类分包商为了交付数据输入者委托提供的服务而获取个人数据,而不得将个人数据用于任何其他目的。

标准合同条款 (UK) 的附录 2

数据输入者依照条款 4(d) 和 5(c) 实施的技术和组织安全措施说明:

  1. 人员。 未经授权,数据输入者的工作人员不得处理个人数据。 工作人员有义务对任何此类个人数据保密,即使在其离职之后,此义务也将继续存在。
  2. 数据隐私联系人。 可以通过以下地址联系数据输入者的数据隐私专员:
    GitHub, Inc.
    联系人:Privacy
    88 Colin P. Kelly Jr. Street
    San Francisco, California 94107 USA
  3. 技术和组织措施。 数据输入者已经实施并将维持适当的技术和组织措施、内部控制和信息安全例程,以保护个人数据(如 DPA 的安全做法和策略部分中所定义),防止意外丢失、销毁或更改;未经授权的披露或访问;或者非法销毁,如下所述:DPA 的安全做法和策略部分中规定的技术和组织措施、内部控制和信息安全例程在此通过提及方式纳入本附录 2,并且对数据输入者有约束力,如同它们全部在本附录 2 中规定一样。

标准合同条款 (UK) 的附录 3

额外保护措施附录

GitHub, Inc.(简称“GitHub”)通过本标准合同条款 (UK) 的额外保护措施附录(简称本“附录”)为客户提供额外保护措施,并为与客户个人数据相关的数据主体提供额外补救措施。

本附录是对标准合同条款 (UK) 的补充,但不构成对标准合同条款的更改或修改。

  1. 质疑命令。 除了标准合同条款 (UK) 第 5(d)(i) 条之外,如果 GitHub 收到任何第三方的命令,要求强制披露根据标准合同条款 (UK) 传输的任何个人数据,GitHub 须:
    1. 尽一切合理的努力安排第三方直接从客户处请求数据;
    2. 立即通知客户,除非提出要求的第三方所适用的法律禁止,如果禁止通知客户,则应尽一切合法努力获得免除该禁令的权利,以便尽快向客户传达更多信息;
    3. 基于请求方法律方面的缺陷或与欧盟法律或适用成员国法律的任何相关冲突,尽一切合法努力对披露命令提出异议。

    本节所说的合法努力不包括根据相关管辖权地的法律会导致民事或刑事处罚的行为,例如蔑视法庭。
  2. 数据主体的赔偿。 根据第 3 节和第 4 节的规定,对于 GitHub 因应非欧盟/欧洲经济区政府机构或执法机构的命令披露标准合同条款 (UK) 规定的个人数据(简称“相关披露”)而对数据主体造成的任何实质性或非实质性损害,GitHub 须对数据主体进行赔偿。 尽管有上述规定,但如果数据主体已经从 GitHub 或其他方面就同一损害获得了赔偿,那么 GitHub 将无义务对数据主体作出本节(第 2 节)中规定的赔偿。
  3. 赔偿条件。 第 2 节规定的赔偿的条件是数据主体确定 GitHub 作出了以下行为并获得了 GitHub 的确认:
    1. GitHub 进行了相关披露;
    2. 非欧盟/欧洲经济区政府机构或执法机构基于相关披露对数据主体提起正式诉讼;
    3. 相关披露直接导致数据主体遭受实质性或非实质性损害。

    数据主体承担条件 a. 至 c. 的 举证责任。
    尽管有上述规定,但如果 GitHub 确认相关披露未违反 GDPR 第 V 章规定的义务,则 GitHub 没有义务按照第 2 节中的规定赔偿数据主体。
  4. 损害范围。 第 2 节规定的赔偿仅限于 GDPR 中规定的实质性和非实质性损害,并且不包括后果性损害赔偿以及并非由于 GitHub 违反 GDPR 造成的所有其他损害。
  5. 权利的行使。 不论标准合同条款 (UK) 第 3 条或第 6 条有任何限制,数据主体都可以对 GitHub 行使本附录授予数据主体的权利。 数据主体只能以个人名义提出本附录中的索赔,索赔不得包含在集体、团体或代表诉讼中。 本附录授予数据主体的权利是数据主体的个人权利,不得转让。
  6. 变更通知。 除了标准合同条款 (UK) 的第 5(b) 条之外,GitHub 同意并保证,没有理由相信适用于其或其子处理方的法律(包括在任何通过其自身或通过子处理方将个人数据传输到的国家/地区)会阻止其履行从数据输出者收到的指令及其在本附录或标准合同条款 (UK) 下的义务,如果本法规的变更有可能对本附录或标准合同条款 (UK) 所提供的担保和义务产生重大不利影响,GitHub 将在知悉后立即将变更通知客户,在这种情况下,客户有权暂停数据传输和/或终止合同。
  7. 终止。 如果欧洲委员会、主管成员国的监督机构或者欧盟或主管成员国的法庭批准了适用于标准合同条款(UK) 所涵盖数据传输的其他合法传输机制(如果这些机制仅适用于某些数据传输,则本附录将仅针对那些传输终止),并且不需要本附录中规定的额外保护措施,本附录将自动终止。

    签署标准合同条款 (UK) 的附录 1、附录 2 和

附件 3 – 欧盟《一般数据保护条例》条款

GitHub 在 GDPR 相关条款中向所有客户所作出的承诺将于 2018 年 5 月 25 日生效。 无论 (1) 以其他方式适用于任何给定的在线服务订购的 GitHub 客户协议和 DPA 版本如何,或是否存在 (2) 引用本附件的任何其他协议,这些对客户的承诺都对 GitHub 具有约束力。

在本 GDPR 相关条款中,客户和 GitHub 同意,客户是客户个人数据的控制方,而 GitHub 是此类数据的处理方,但客户作为个人数据处理方的情况除外,此时 GitHub 是子处理方。 本 GDPR 相关条款适用于 GitHub 代表客户在 GDPR 的范围内处理个人数据。 本 GDPR 相关条款并不会限制或减少 GitHub 在与客户签署的 GitHub 客户协议或其他协议中向客户作出的数据保护承诺。 本 GDPR 相关条款不适用于 GitHub 作为个人数据控制方的情况。

相关 GDPR 义务:第 28、32 和 33 条

  1. 在未事先获得客户的明确或一般书面授权的情况下,GitHub 不得雇用其他处理方。 如果获得的是一般书面授权,则 GitHub 须将有关增加或更换其他处理方的任何拟议变更通知客户,以便客户有机会就此类变更提出反对意见。 (第 28(2) 条)
  2. 依照欧洲联盟(以下简称“欧盟”)法律或欧盟成员国法律的规定,GitHub 对个人数据的处理须受本 GDPR 相关条款的约束,这些条款对 GitHub 和客户均具有约束力。 客户的许可协议(包括本 GDPR 相关条款)规定了处理的内容和持续期间、处理的性质和目的、个人数据的类型、数据主体的类别以及客户的义务和权利。 特别是,GitHub 须满足以下要求:
    1. 只能依照客户的书面指示处理个人数据,包括有关将个人数据传输到第三方国家/地区或国际组织,但对 GitHub 有约束力的欧盟法律或欧盟成员国法律要求这样做的情况除外;在此类情况下,GitHub 须在处理个人数据之前通知客户收到该法律要求,除非该法律以保护公共利益为由禁止发出此类通知;
    2. 确保授权处理个人数据的人员承诺对个人数据进行保密或承诺履行相应的法定保密义务;
    3. 采取 GDPR 第 32 条所要求的所有措施;
    4. 遵守第 1 段和第 3 段中所述的有关雇用其他处理方的条件;
    5. 根据处理性质,通过采取适当的技术和组织措施,竭尽所能协助客户履行其义务,以满足 GDPR 第 III 章中规定的行使数据主体权利的要求;
    6. 根据处理性质并结合 GitHub 所掌握的信息,协助并确保客户履行 GDPR 第 32 至 36 条所规定的义务;
    7. 在停止提供与处理相关的服务时,根据用户所做出的选择,删除所有个人数据或将所有个人数据返还给客户,并删除现有副本,但欧盟法律或欧盟成员国法律要求存储个人数据的情况除外;
    8. 为客户提供所有必要信息,以证明已履行 GDPR 第 28 条所规定的义务,并允许客户或受客户委托的其他审查师进行审查(包括检查)并积极配合审查工作。

    如果 GitHub 认为某条指令违反了 GDPR 或其他欧盟数据保护条例或欧盟成员国数据保护条例,GitHub 须立即通知客户。 (第 28(3) 条)

  3. 如果 GitHub 雇用其他处理方来代表客户执行特定的处理活动,则本 GDPR 相关条款中规定的相同数据保护义务将以合同或欧盟法律或欧盟成员国法律所规定的其他法定形式强制施加给该其他处理方,具体来说,须提供充分的保障,以实施适当的技术和组织措施,确保个人数据处理符合 GDPR 的相关要求。 如果该其他处理方未能履行其数据保护义务,则 GitHub 须继续对客户负责,并全面履行该其他处理方的义务。 (第 28(4) 条)
  4. 考虑到技术现状、实施成本、数据处理的性质、范围、背景环境和目的,以及自然人的权利和自由发生变化的可能性和严重性风险,客户和 GitHub 须采取适当的技术和组织措施,以确保实施与相关风险相应的安全级别,尤其是酌情包括:
    1. 个人数据的假名化和加密;
    2. 确保处理系统和服务具有持续的保密性、完整性、可用性和故障恢复能力;
    3. 当发生物理或技术事件时,及时恢复个人数据的可用性和可访问性的能力;以及
    4. 对技术和组织措施的有效性进行定期测试、考核和评估的流程,以确保数据处理的安全性。 (第 32(1) 条)
  5. 在评估适当的安全级别时,须考虑处理带来的风险,特别是意外或非法破坏、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据(第 32(2) 条)。
  6. 客户和 GitHub 须采取措施,以确保在未获得客户指令的情况下,经客户或 GitHub 授权访问个人数据的任何自然人不得处理个人数据,除非欧盟法律或欧盟成员国法律要求其这样做(第 32(4) 条)。
  7. GitHub 须在发现个人数据泄露后立即通知客户(第 33(2) 条)。 此类通知包括根据第 33(3) 条处理方必须向控制方提供的、微软可合理获得的信息。

《欧洲经济区协定》(EEA 协定)规定将欧洲联盟的内部市场扩大到冰岛、列支敦士登和挪威这三个欧洲经济区国家。 欧盟数据保护立法,包括法规 (EU) 2016/679,受欧洲经济区协议的约束,并已纳入其附录 XI。 因此,就本条款而言,数据输入者向位于欧洲经济区的第三方披露的任何信息均不符合向外传输的条件。

(2) 根据第 7 条,在相应模块下加入这些条款的子处理方可能满足此要求。

(3) 关于此类法律和惯例对遵守这些条款的影响,可将不同的要素视为总体评估的一部分。 这些要素可包括公共当局以前要求披露或没有此类请求的相关且有案可稽的实践经验,涵盖有充分代表性的时限。 这特指内部记录或其他文件,这些文件是根据尽职调查连续起草的,并经高级管理层认证,前提是这些信息可以合法地与第三方共享。 如果依靠这一实际经验得出数据输入者遵守这些条款的结论,则需要得到其他相关客观要素的支持,缔约方应仔细考虑这些要素在可靠性和代表性方面是否具有足够的份量来支持这一结论。 特别是,缔约方必须考虑其实际经验是否得到证实,是否与关于同一部门内是否存在请求和/或实践中法律适用情况的公开可获得或以其他方式可获得的可靠信息相矛盾,例如判例法和独立监督机构的报告。