Руководство по юридическим запросам пользовательских данных

Вы сотрудник правоохранительных органов, проводящий расследование, которое может касаться пользовательского контента, размещенного на GitHub? Или, может быть, вы заботитесь о конфиденциальности и хотели бы знать, какую информацию мы передаем правоохранительным органам и при каких обстоятельствах. В любом случае вы находитесь на правильной странице.

В этих рекомендациях мы немного расскажем о том, что такое GitHub, о типах данных, которые у нас есть, и об условиях, при которых мы будем раскрывать персональную информацию пользователей. Однако, прежде чем мы углубимся в детали, вот несколько важных деталей, которые вы, возможно, захотите узнать:

• Мы будем уведомлять затронутых пользователей о любых запросах информации об их учетной записи, если это не запрещено законом или постановлением суда.
• Мы не будем раскрывать данные отслеживания местоположения, такие как журналы IP-адресов, без действительного судебного ордера или ордера на обыск.
• Мы не будем раскрывать ни частный пользовательский контент, включая содержимое частных репозиториев, без действительного ордера на обыск.

Об этих рекомендациях

Наши пользователи доверяют нам свои программные проекты и код — часто некоторые из их самых ценных деловых или личных активов. Для нас важно поддерживать это доверие, а это означает, что пользовательские данные должны быть безопасными, защищенными и конфиденциальными.

Хотя подавляющее большинство наших пользователей используют сервисы GitHub для создания новых предприятий, создания новых технологий и общего улучшения человечества, мы понимаем, что с миллионами пользователей, разбросанных по всему миру, обязательно найдется несколько червивых яблок в корзине. В этих случаях мы хотим помочь правоохранительным органам служить их законным интересам по защите населения.

Предоставляя рекомендации для сотрудников правоохранительных органов, мы надеемся найти баланс между часто конкурирующими интересами конфиденциальности пользователей и справедливости. Мы надеемся, что эти рекомендации помогут сформировать ожидания обеих сторон, а также повысить прозрачность внутренних процессов GitHub. Наши пользователи должны знать, что мы ценим их персональную информацию и делаем все возможное для ее защиты. Как минимум это означает предоставление данных третьим лицам только после выполнения соответствующих юридических требований. Таким же образом мы надеемся рассказать специалистам правоохранительных органов о системах GitHub, чтобы они могли более эффективно адаптировать свои запросы данных и нацеливаться только на ту информацию, которая необходима для проведения их расследования.

Терминология GitHub

Прежде чем просить нас раскрыть данные, может быть полезно понять, как реализована наша система. GitHub размещает миллионы репозиториев данных, используя Систему контроля версий Git. Репозитории на GitHub, которые могут быть общедоступными или частными, чаще всего используются для проектов разработки программного обеспечения, но также часто используются для работы с любым контентом.

• Пользователи — Пользователи представлены в нашей системе как личные учетные записи GitHub. Каждый пользователь имеет личный профиль и может владеть несколькими репозиториями. Пользователи могут создавать организации или получать приглашения присоединиться к ним или совместно работать над репозиторием другого пользователя.

• Соавторы — Соавтор — это пользователь с доступом для чтения и записи к репозиторию, который был приглашен внести свой вклад владельцем репозитория.

• Организации — Организации — это группа из двух или более пользователей, которые обычно отражают реальные организации, такие как предприятия или проекты. Они управляются пользователями и могут содержать как репозитории, так и группы пользователей.

• Репозитории — Репозиторий — один из самых основных элементов GitHub. Их проще всего представить в виде папки проекта. Репозиторий содержит все файлы проекта (включая документацию) и хранит историю изменений каждого файла. Репозитории могут иметь несколько соавторов и, по усмотрению администраторов, могут быть общедоступными или закрытыми.

• Страницы — Страницы GitHub — это общедоступные веб-страницы, бесплатно размещаемые на GitHub, которые пользователи могут легко публиковать с помощью кода, хранящегося в их репозиториях. Если у пользователя или организации есть страница GitHub, ее обычно можно найти по URL-адресу, например https://username.github.io или у них может быть веб-страница, сопоставленная с их собственным доменным именем.

• Источники информации — Источники информации — это фрагмент исходного кода или другого текста, который пользователи могут использовать для хранения идей или обмена ими с друзьями. Как и обычные репозитории GitHub, Источники информации создаются с помощью Git, поэтому они автоматически версионируются, разветвляются и загружаются. Источники информации могут быть общедоступными или секретными (доступными только через известный URL-адрес). Общедоступные Источники информации не могут быть преобразованы в секретные Источники информации.

Пользовательские данные на GitHub.com

Вот неполный список видов данных, которые мы храним о пользователях и проектах на GitHub.

• Данные публичной учетной записи — На GitHub в открытом доступе есть различная информация о пользователях и их репозиториях. Профили пользователей можно найти по URL-адресу, например https://github.com/username. Профили пользователей отображают информацию о том, когда пользователь создал свою учетную запись, а также об их общедоступной активности на GitHub.com и социальных взаимодействиях. Общедоступные профили пользователей также могут включать дополнительную информацию, которую пользователь может выбрать для общего доступа. Все общедоступные профили пользователей отображают:

  • Имя пользователя

  • Репозитории, которые пользователь пометил звездочкой

  • Другие пользователи GitHub, на которых подписан пользователь

  • Пользователи, которые следят за ними

    При желании пользователь также может опубликовать следующую информацию:

  • Их настоящее имя

  • Аватар

  • Аффилированная компания

  • Их местоположение

  • Общедоступный адрес электронной почты

  • Их личная веб-страница

  • Организации, членом которых является пользователь (в зависимости от предпочтений организации или пользователей)

• Данные частной учетной записи — GitHub также собирает и хранит определенную персональную информацию о пользователях, как указано в нашей Политике конфиденциальности. Это может включать:

  • Частные адреса электронной почты

  • Детали оплаты

  • Журналы безопасного доступа

  • Данные о взаимодействиях с частными репозиториями

    Чтобы получить представление о типе информации о частной учетной записи, которую собирает GitHub, вы можете посетить личная панель мониторинга и просмотрите разделы в левой строке меню.

• Данные учетной записи организации — На GitHub в открытом доступе есть информация об организациях, их административных пользователях и репозиториях. Профили организаций можно найти по URL-адресу, например https://github.com/organization. Общедоступные профили организаций также могут включать дополнительную информацию, которую владельцы могут выбрать для общего доступа. Все общедоступные профили организаций отображают:

  • Наименование организации

  • Репозитории, которые владельцы пометил звездочкой

  • Все пользователи GitHub, являющиеся владельцами организации

    При желании административные пользователи также могут опубликовать следующую информацию:

  • Аватар

  • Аффилированная компания

  • Их местоположение

  • Прямые участники и команды

  • Соавторы

• Данные общедоступного репозитория — GitHub является домом для миллионов общедоступных программных проектов с открытым исходным кодом. Вы можете просматривать практически любой общедоступный репозиторий (например, документы GitHub), чтобы получить представление о данных, которые GitHub собирает и поддерживает о репозиториях. Это может включать:

  • Сам код
  • Предыдущие версии кода
  • Стабильные версии выпуска проекта
  • Информация о соавторах, участниках и членах репозитория
  • Журналы операций Git, таких как коммиты, ветвление, отправка, вытягивание, разветвление и клонирование.
  • Обсуждения, связанные с операциями Git, такие как комментарии к запросам на вытягивание или коммитам
  • Документация по проекту, такая как проблемы и вики-страницы
  • Статистика и графики, показывающие вклады в проект и сеть участников

• Данные частного репозитория — GitHub собирает и поддерживает тот же тип данных для частных репозиториев, что и для общедоступных репозиториев, за исключением того, что только специально приглашенные пользователи могут получить доступ к данным частного репозитория.

• Другие данные — Кроме того, GitHub собирает аналитические данные, такие как посещения страниц и информация, которую иногда добровольно предоставляют наши пользователи (например, общение с нашей службой поддержки, данные опросов и/или регистрации на сайте).

Мы уведомим всех затронутых владельцев учетных записей

Наша политика заключается в том, чтобы уведомлять пользователей о любых ожидающих запросах, касающихся их учетных записей или репозиториев, если только это не запрещено законом или постановлением суда. Прежде чем раскрывать информацию о пользователе, мы приложим разумные усилия, чтобы уведомить всех затронутых владельцев учетных записей, отправив сообщение на их проверенный адрес электронной почты, предоставив им копию повестки в суд, постановление суда или ордер, чтобы у них была возможность оспорить в рамках юридического процесса, если они хотят. В (редких) неотложных обстоятельствах мы можем отложить уведомление, если мы решим, что задержка необходима для предотвращения смерти или серьезного вреда, или в связи с текущим расследованием.

Раскрытие непубличной информации

Наша политика заключается в раскрытии непубличной информации о пользователе в связи с гражданским или уголовным расследованием только с согласия пользователя или после получения действительной повестки в суд, требования гражданского расследования, постановления суда, ордера на обыск или другого подобного законного судебного процесса. В определенных неотложных обстоятельствах (см. ниже) мы также можем предоставлять ограниченную информацию, но только соответствующую характеру обстоятельств, и для чего-либо иного, помимо этого, потребуется юридический процесс. GitHub оставляет за собой право возражать против любых запросов на непубличную информацию. Если GitHub соглашается предоставить закрытую информацию в ответ на законный запрос, мы проведем разумный поиск запрошенной информации. Вот виды информации, которую мы согласимся предоставить, в зависимости от вида судебного процесса, на который мы вызваны:

• С согласия пользователя — GitHub предоставит информацию о частной учетной записи, если потребуется, непосредственно пользователю (или владельцу, в случае учетной записи организации) или назначенному третьему лицу с письменного согласия пользователя, как только GitHub убедится, что пользователь подтвердил свою личность.

• С повесткой — Если вручается действительная повестка в суд, требование гражданского расследования или повестка на аналогичный судебный процесс, вынесенный в связи с официальным уголовным или гражданским расследованием, мы можем предоставить определенную непубличную информацию об учетной записи, которая может включать:

  • Имена, связанные с учетной записью
  • Адреса электронной почты, связанные с учетной записью
  • Данные для выставления счетов
  • Дата регистрации и дата прекращения
  • IP-адрес, дата и время на момент регистрации учетной записи
  • IP-адреса, используемые для доступа к учетной записи в определенное время или событие, имеющее отношение к расследованию

В случае учетных записей организаций мы можем предоставить имена и адреса электронной почты владельцев учетных записей, а также дату и IP-адрес на момент создания учетной записи организации. Мы не будем предоставлять информацию о других членах или участниках, если таковые имеются, для учетной записи организации или любую дополнительную информацию об идентифицированных владельцах учетной записи без последующего запроса для этих конкретных пользователей.

Обратите внимание, что доступная информация будет варьироваться от случая к случаю. Некоторая информация не является обязательной для пользователей. В других случаях мы, возможно, не собирали или не сохраняли информацию.

• По решению суда или ордеру на обыск — Мы не будем раскрывать журналы доступа к учетной записи, если только мы не будем вынуждены сделать это (i) по распоряжению суда, вынесенному в соответствии с разделом 18 Свода законов США, параграф 2703(d), при демонстрации конкретных и поддающихся формулировке фактов, свидетельствующих о наличии разумных оснований полагать, что запрошенная информация имеет отношение к текущему уголовному расследованию и имеет существенное значение; или (ii) ордер на обыск, выданный в соответствии с процедурами, описанными в Федеральных правилах уголовного судопроизводства, или эквивалентными процедурами государственного ордера при наличии достаточных оснований. В дополнение к закрытой информации об учетной записи, указанной выше, мы можем предоставить журналы доступа к учетной записи в ответ на постановление суда или ордер на обыск, которые могут включать:

  • Любые журналы, раскрывающие действия пользователя за определенный период времени
  • Настройки учетной записи или частного репозитория (например, какие пользователи имеют определенные разрешения и т. д.)
  • Аналитические данные, относящиеся к пользователю или IP-адресу, такие как история посещенных страниц
  • Журналы безопасного доступа, кроме создания учетной записи или для определенного времени и даты

• Только с ордером на обыск — Мы не будем раскрывать личное содержимое любой учетной записи, если только мы не будем вынуждены сделать это в соответствии с ордером на обыск, выданным в соответствии с процедурами, описанными в Федеральных правилах уголовного судопроизводства, или эквивалентными процедурами государственного ордера при наличии вероятной причины. В дополнение к закрытой информации об учетной записи и журналам доступа к учетной записи, указанными выше, мы также предоставим частный контент учетной записи в ответ на постановление суда или ордер на обыск, которые могут включать:

  • Содержание секретных Источников информации
  • Исходный код или другой контент в частных репозиториях
  • Записи о вкладе и сотрудничестве для частных репозиториев
  • Сообщения или документация (например, проблемы или вики) в частных репозиториях
  • Любые ключи безопасности, используемые для аутентификации или шифрования

• В чрезвычайных обстоятельствах — Если мы получаем запрос на информацию при определенных неотложных обстоятельствах (когда мы считаем, что раскрытие информации необходимо для предотвращения чрезвычайной ситуации, связанной с опасностью смерти или серьезных телесных повреждений человека), мы можем раскрыть ограниченную информацию, которую мы сочтем необходимой для обеспечения правопорядка для устранения чрезвычайной ситуации. Для получения любой другой информации нам потребуется повестка в суд, ордер на обыск или постановление суда, как описано выше. Например, мы не будем раскрывать содержимое частных репозиториев без ордера на обыск. Прежде чем раскрывать информацию, мы подтверждаем, что запрос поступил от правоохранительных органов, орган направил официальное уведомление с кратким изложением чрезвычайной ситуации и тем, как запрошенная информация поможет в устранении чрезвычайной ситуации.

Возмещение затрат

В соответствии с законодательством штата и федеральным законодательством GitHub может требовать возмещения расходов, связанных с соблюдением законных требований, таких как повестка в суд, постановление суда или ордер на обыск. Мы взимаем плату только для возмещения некоторых расходов, и эти возмещения покрывают лишь часть расходов, которые мы фактически несем в связи с выполнением юридических распоряжений.

Хотя мы не взимаем плату в чрезвычайных ситуациях или в других неотложных обстоятельствах, мы добиваемся возмещения всех других юридических запросов в соответствии со следующим графиком, если иное не требуется по закону:

• Первоначальный поиск до 25 идентификаторов: Бесплатно
• Производство абонентской информации/данных до 5 учетных записей: Бесплатно
• Производство абонентской информации/данных для более чем 5 учетных записей: 20 долларов США на учетную запись
• Вторичные поиски: 10 долларов США на поиск

Сохранение данных

Мы предпримем шаги для сохранения учетных записей на срок до 90 дней по официальному запросу правоохранительных органов США в связи с официальными уголовными расследованиями и до вынесения судебного постановления или другого процесса.

Отправка запросов

Пожалуйста, отправляйте запросы на:

GitHub, Inc.
c/o Corporation Service Company
2710 Gateway Oaks Drive, Suite 150N
Sacramento, CA 95833-3505

Персонально адресованные копии в списках рассылки можно отправлять на адрес legal-support@github.com.

Пожалуйста, делайте ваши запросы как можно более конкретными и узкими, включая следующую информацию:

• Полная информация об органе, выдавшем запрос на информацию
• Имя и бейдж / удостоверение личности ответственного агента
• Официальный адрес электронной почты и контактный телефон
• Интересующие имена пользователя, организации, репозитория
• URL-адреса любых страниц, источников информации или файлов, представляющих интерес
• Описание типов записей, которые вам нужны

Подождите не менее двух недель, пока мы сможем изучить ваш запрос.

Запросы от иностранных правоохранительных органов

Как американская компания, базирующаяся в Калифорнии, GitHub не обязан предоставлять данные иностранным правительствам в ответ на судебный процесс, начатый иностранными властями. Должностные лица иностранных правоохранительных органов, желающие запросить информацию у GitHub, должны обратиться в Управление по международным делам Департамента юстиции США по уголовным делам. GitHub будет оперативно реагировать на запросы, которые направляются через суд США в виде договора о взаимной правовой помощи («MLAT») или судебного поручения.

Ответы на вопросы

У вас есть другие вопросы, комментарии или предложения? Свяжитесь с Поддержка GitHub.