Мы предлагаем этот процесс удаления личной информации в качестве исключительной услуги только для контента с высоким уровнем риска, который нарушает Условия предоставления услуг GitHub, например, когда ваша безопасность находится под угрозой из-за открытых учетных данных для доступа. В этом руководстве описана информация, которая нужна GitHub от вас для обработки запроса на удаление личной информации из репозитория.
Что такое личная информация?
Для целей настоящего документа под «личной информацией» понимается контент, который (i) должен был оставаться конфиденциальным и (ii) публичная доступность которого представляет конкретный или направленный риск для безопасности вас или вашей организации.
«Угроза безопасности» относится к ситуации, связанной с физической опасностью, кражей личных данных или повышенной вероятностью несанкционированного доступа к физическим или сетевым объектам.
Запросы на удаление личной информации подходят для:
- учетных данных доступа, таких как имена пользователей в сочетании с паролями, токены доступа или другие чувствительные сведения, которые могут предоставить доступ к серверу, сети или домену вашей организации.
- токенов AWS и других аналогичных реквизитов для доступа, которые предоставляют доступ третьему лицу от вашего имени. Вы должны быть в состоянии показать, что токен действительно принадлежит вам.
- документации (например, сетевых схем или архитектуры), представляющей определенный риск для безопасности организации.
- информации, связанной с вами как физическим лицом и представляющей угрозу безопасности (например, номера социального страхования или другие государственные идентификационные номера).
Запросы на удаление личной информации не подходят для:
- внутренних имен серверов, IP-адресов и URL-адресов самих по себе. Вы должны быть в состоянии показать, что их использование в конкретном файле или фрагменте кода представляет угрозу безопасности.
- простых упоминаний личности, имен, бренда, доменного имени или других ссылок на вашу компанию в файлах на GitHub. Вы должны быть в состоянии сформулировать, почему использование идентификационных данных вашей компании представляет угрозу безопасности вашей компании.
- целых файлов или репозиториев, которые не представляют особой угрозы безопасности, но, по вашему мнению, нежелательны.
- запросов на удаление контента, который может нарушать ваши авторские права или права вашей организации. Если у вас есть вопросы о том, как GitHub решает вопросы, связанные с авторскими правами, или вы хотите сообщить о контенте, потенциально нарушающем авторские права, ознакомьтесь с нашей Политикой предотвращения нарушений DMCA. Процесс удаления личной информации, как правило, не предназначен для удаления полных файлов или репозиториев — только для определенных фрагментов личной информации в этих файлах. Несмотря на возможные случаи, когда файлы полностью заполнены личной информацией, вы должны обосновать угрозу безопасности для удаления таких файлов, и это может увеличить время, необходимое для обработки вашего запроса.
- Споры о товарных знаках. Если у вас есть вопросы о том, как GitHub обрабатывает вопросы, связанные с товарными знаками, или вы хотите сообщить о контенте, содержащем товарные знаки или знаки обслуживания вашей организации, ознакомьтесь с нашей Политикой в отношении товарных знаков.
- Жалобы в отношении персональных данных. Если вы хотите получить доступ, передать, изменить или удалить свои персональные данные на GitHub, свяжитесь с нами через нашу Форму для связи по вопросам конфиденциальности.
- Контент регулируется нашими Правилами сообщества, включая вредоносное ПО или универсальные инструменты. Если у вас есть вопросы о наших Правилах сообщества или вы считаете, что контент на GitHub может нарушать наши правила, вы можете использовать Содержимое отчета для связи с нами.
Что нужно знать
Сначала спросите вежливо. Мы рекомендуем перед отправкой нам запроса на удаление данных связаться с пользователем напрямую. Возможно, он указал контактную информацию на своей публичной странице профиля или в файле README или Support репозитория, или вы можете связаться с ним, создав вопрос или запрос на включение изменений в репозитории. Это не является обязательным, но приветствуется.
Никаких ботов. Вы должны иметь подготовленного специалиста для оценки фактов в каждом запросе, который вы отправляете. Если вы передаете свои полномочия третьим лицам, убедитесь, что вы знаете, как они работают, и убедитесь, что они не используют автоматических ботов для массовой подачи жалоб. Эти жалобы часто включают данные, не представляющие угрозы безопасности, и не содержат достаточных объяснений, что требует дополнительных ответных действий и приводит к задержкам, даже если жалоба обоснована.
Отправляйте правильный запрос. Как отмечалось выше, мы предлагаем этот процесс удаления личной информации в качестве исключительной услуги только для контента с высоким уровнем риска. Мы не можем использовать этот процесс для удаления других типов контента, например контента, потенциально нарушающего авторские права, и мы не можем обрабатывать какие-либо другие типы запросов на удаление одновременно с обработкой запросов на удаление личной информации. Мы сможем помочь вам быстрее, если вы отправите запросы на удаление личной информации отдельно от любых запросов на удаление потенциально нарушающего права контента. Если вы не уверены, касается ли ваш запрос только личной информации или касается и других юридических вопросов, проконсультируйтесь с юристом.
Время обработки. Хотя мы обрабатываем запросы на удаление личной информации так быстро, насколько это возможно, но из-за большого количества запросов, которые мы обрабатываем, рассмотрение вашего запроса может занять некоторое время. Дополнительные запросы или несколько запросов от дополнительных контактных лиц могут привести к задержкам.
Как это на самом деле работает?
-
Жалоба расследуется заявителем. Запрашивающая сторона должна провести собственное расследование и предоставить нам детали, которые нам нужны, — самое главное, объяснение того, почему данные представляют угрозу безопасности. GitHub не имеет права искать или принимать первоначальные решения в отношении личной информации от имени какого-либо лица или организации.
-
Заявитель отправляет запрос на удаление личной информации. После проведения расследования заявитель подготавливает и отправляет запрос на удаление личной информации на GitHub. Если запрос недостаточно подробен, то чтобы продемонстрировать угрозу безопасности и чтобы GitHub смог найти данные, в своем ответе мы попросим предоставить дополнительную информацию.
-
GitHub просит пользователя внести изменения. В большинстве случаев мы свяжемся с пользователем, создавшим репозиторий, и предоставим ему возможность удалить или изменить личную информацию, указанную в запросе, либо оспорить претензию.
-
Пользователь уведомляет GitHub об изменениях. Если пользователь решит внести указанные изменения, он должен сообщить нам об этом в течение отведенного ему времени. Если он этого не сделает, мы отключим репозиторий. Если пользователь уведомит нас о внесении изменений, мы проверим, были ли внесены изменения, а затем уведомим заявителя.
ИЛИ
-
Пользователь может оспорить запрос. Если пользователь считает, что рассматриваемый контент не является личной информацией, подпадающей под действие настоящей Политики, он может оспорить его. В этом случае мы, как правило, оставляем заявителю возможность связаться с пользователем и решить вопрос напрямую с ним в пределах разумного.
-
Заявитель рассматривает изменения. Если пользователь вносит изменения, заявитель должен их просмотреть. Если изменений недостаточно, то заявитель должен предоставить GitHub подробную информацию с объяснением причин. GitHub может отключить репозиторий или предоставить пользователю дополнительную возможность внести изменения.
-
Пользователь может запросить дополнительное время для внесения изменений. Если пользователь упустил возможность удалить личную информацию, указанную в уведомлении, мы можем предоставить ему дополнительное время примерно 1 рабочий день по запросу для внесения этих изменений. В этом случае GitHub уведомит заявителя.
Что насчет «вилок»? (или Что такое «вилка»?)
Одной из лучших особенностей GitHub является возможность для пользователей «разветвлять» репозитории друг друга. Что это значит? По сути, это означает, что пользователи могут сделать копию проекта на GitHub в свои собственные репозитории. В соответствии с лицензией или законом пользователи могут затем вносить изменения в эту «вилку», чтобы либо вернуться к основному проекту, либо просто сохранить как свою собственную вариацию проекта. Каждая из этих копий является "Глоссарий GitHub" исходного репозитория, который, в свою очередь, также может называться "родительским" для вилки.
GitHub не будет автоматически отключать «вилки» при отключении родительского репозитория. Это связано с тем, что «вилки» принадлежат разным пользователям и могут быть существенно изменены. GitHub не проводит никаких независимых расследований «вилок». Мы ожидаем, что те, кто отправляет запросы на удаление личной информации, проведут это расследование и, если они сочтут, что «вилки» также содержат личную информацию, прямо включат «вилки» в свой запрос.
Если на момент отправки уведомления вы определили все существующие «вилки» этого репозитория, мы обработаем обоснованную претензию против всех «вилок» в этой сети на момент обработки уведомления. Мы бы сделали это, учитывая вероятность того, что все вновь созданные «вилки» будут содержать один и тот же контент. Кроме того, если заявленная сеть, которая содержит указанный контент, превышает сто (100) репозиториев и, таким образом, будет трудно проверить ее целиком, мы можем рассмотреть возможность отключения всей сети, если вы укажете в своем уведомлении, что на основании относительно репрезентативного количества «вилок», которые вы рассмотрели, вы считаете, что все или большинство содержат тот же контент, что и родительский репозиторий.
Отправка запроса на удаление личной информации
Учитывая тип контента GitHub (в основном программный код) и способ управления этим контентом (с помощью Git), нам необходимо, чтобы жалобы были как можно более конкретными. Для того чтобы проверить, что пользователь полностью удалил личную информацию, нам нужно знать, где именно ее искать.
Эти рекомендации предназначены для того, чтобы максимально упростить обработку запросов на удаление личной информации.
Ваш запрос должен включать:
- рабочую ссылку на каждый файл, содержащий личную информацию. (Обратите внимание, что мы не можем работать с результатами поиска, примерами или снимками экрана).
- конкретные номера строк в каждом файле, содержащем личную информацию.
- краткое описание того, каким образом каждый выявленный вами элемент представляет риск безопасности для вас или вашей организации. Важно, чтобы вы предоставили объяснение того, каким образом данные представляют риск для безопасности, а не просто заявили, что это так.
- Если вы являетесь третьим лицом, выступающим в качестве агента организации, сталкивающейся с угрозой безопасности, включите заявление о том, что у вас есть законное право действовать от имени этой организации.
- ДОПОЛНИТЕЛЬНО: Сообщите нам, если ваш запрос особо срочный и объясните почему. Мы отвечаем на все запросы на удаление личной информации в максимально сжатые сроки. Однако, если этот запрос особенно критичен ко времени, например в случае недавнего раскрытия учетных данных, пожалуйста, объясните, почему это так важно.
Как отправить запрос
Вы можете отправить запрос на удаление личной информации через нашу Форму обратной связи. Пожалуйста, включите версию вашего запроса в виде обычного текста непосредственно в сообщении. Отправка вашего запроса во вложении может привести к задержке обработки.
Споры
Если вы получили от нас запрос на удаление личной информации, вы можете оспорить его, ответив на наше электронное письмо и сообщив нам — как можно более подробно — почему вы считаете, что рассматриваемый контент не является личной информацией, подпадающей под действие настоящей Политики.