本文档译自英文。 如果本文档的此版本与英文版本之间有任何冲突、不确定性或明显的不一致,以英文版为准。 如果您有改进我们翻译的建议,请在我们的网站政策仓库中开一个议题

Microsoft 批量许可的 GitHub 补充条款

本文内容

Version Effective Date: April 1, 2020

以下 GitHub 补充条款(包括任何适用的订单)用于补充客户的 Microsoft 批量许可协议(“Microsoft 客户协议”),并与 Microsoft 客户协议一起管辖客户对产品(定义见下文)的使用。 Microsoft 客户协议通过此引用并入本协议。 这些补充条款中使用但未定义的大写术语采用 Microsoft 客户协议中赋予的含义。

这些补充条款适用于以下 GitHub 产品(详细定义见下文,统称为“产品”):

  • GitHub Enterprise (comprised of GitHub Enterprise Server, which may include Add-on Software, and GitHub Enterprise Cloud) and GitHub One;

  • 任何相关的支持;以及

  • 任何相关的专业服务。

这些 GitHub 补充条款包含以下“部分”和“附录”,均通过引用并入本协议:

  • 第 1 部分:GitHub Enterprise 服务器许可条款;

  • 第 2 部分:GitHub Enterprise Cloud 服务条款;

  • 第 3 部分:一般规定;

  • 附录 A:数据保护附录 (DPA);

  • 附录 B:安全附录;以及

  • 附录 C:定义。

第 1 部分:GITHUB ENTERPRISE 服务器许可条款

第 1 部分详述适用于客户使用软件的条款。

1.1 许可的授予。

GitHub 授予客户非独占、不可转让、全球、免版税、有限期的许可,以许可他们出于客户的内部业务目的,在适用的订阅期内根据文档安装和使用软件,并且仅适用于客户订单中所述的订阅许可数。 软件包含第三方许可给 GitHub 的组件,其中包括其许可证需要 GitHub 为可用组件提供源代码的软件。 这些组件的源代码将在请求时提供。 Without limiting the foregoing, this license permits Customer to download and run Microsoft SQL Server Standard Edition container image for Linux files (“SQL Server Images”), which may be used only with the Software as documented. Customer’s right to use the SQL Server Images ends when Customer no longer has rights to use the Software, and Customer must uninstall the SQL Server Images when its right to use them ends. Microsoft Corporation may disable SQL Server Images at any time.

1.2 限制。

除了法律或适用的第三方许可明确允许之外,客户及其附属公司不得也不得允许任何第三方:(i) 再许可、销售、租赁、出租、转让、让渡或再分发软件;(ii) 出于第三方利益而托管软件;(iii) 披露或允许任何第三方访问软件,本第 1 部分明确许可的除外;(iv) 入侵或修改许可密钥,或者避开或更改任何许可注册过程;(v) 修改软件或创建派生作品,或者将软件与其他软件合并,客户修改除外;(vi) 反汇编、反编译、绕过任何代码混淆,或者对软件全部或部分进行逆向工程或尝试推导其任何源代码;(vii) 修改、遮盖或删除软件或文档中包含的任何所有权通告;或 (viii) 以这些 GitHub 补充条款未明确允许的其他方式使用或复制软件或文档。

1.3 交付。

GitHub 将在安全、有密码保护的网站提供许可密钥给客户下载。 本第 1 部分的所有交付都是电子形式。 为避免疑问,客户负责安装任何软件,并承认 GitHub 在提供许可密钥后对软件没有进一步的交付义务。 当有更新时,GitHub 将放在同一网站上供下载。 客户必须在商业合理的基础上更新软件,但每年不少于一 (1) 次。 客户负责对其用户名和密码保密。

1.4 验证。

在 GitHub 请求时,客户应及时向 GitHub 提供软件生成的报告,以便我们验证客户是否按照这些 GitHub 补充条款使用软件。 对于超出这些 GitHub 补充条款的任何其他使用,GitHub 将向客户开发票,从其首次使用之日起生效。

1.5 支持

GitHub 将根据 Microsoft 客户协议所述为软件提供技术支持。 GitHub may provide enhanced Support offerings for the Software and Service (including the Premium, Premium Plus, and Engineering Direct Support offerings) in accordance with the Support terms, and at the Support level, Fees, and Subscription Term specified in an Order Form or SOW. Notwithstanding anything to the contrary in the Microsoft Customer Agreement, (i) GitHub will use reasonable efforts to correct any material, reproducible errors in the Software upon Customer's notification of an error but will not be responsible for providing Support where (a) someone (other than GitHub) modifies the Software; (b) Customer changes its operating system or environment in a way that adversely affects the Software or its performance; (c) Customer uses the Software in a manner other than as authorized under the Microsoft Customer Agreement, this Section 1 or the Documentation; or (d) there is a Customer accident or negligence, or misuse of the Software; and (ii) GitHub will only Support a given Release for one (1) year from the original Release date, or six (6) months from the last Update of the Release, whichever is longer.

1.6 更新;发行版。

1.6.1 一般。

GitHub 将在客户下载软件和许可密钥的安全网站上提供软件的更新和发行版。

1.6.2 支持的发行版。

对软件发行版,GitHub 只提供从原始发行日期起一 (1) 年的支持,或提供从发行版最近更新日期起六 (6) 个月的支持(取较长者)。 如果客户需要软件早期发行版的支持,必须根据共同商定的订单或 SOW 支付支持费用。

1.7 附加软件。

附加软件基于每个用户授予许可。 For the avoidance of doubt, and unless otherwise set forth in an Order Form, the number of Subscription Licenses Customer has at any given time for Add-On Software must equal the number of Subscription Licenses Customer has for the Products under this Agreement. 例如,如果客户已持有 100 用户的产品订阅许可,想要购买 Insights 订阅,则该客户必须购买 100 用户的 Insights 订阅许可。

1.8 Data Protection Considerations for Use of GitHub Insights and Learning Lab for Enterprise Server.

If Customer’s planned use of GitHub Insights or Learning Lab for Enterprise Server involves processing personal data, Customer is solely responsible for determining whether or not to complete a data protection impact assessment or otherwise secure formal legal analysis of Customer’s planned use. It is in Customer’s sole discretion whether to use GitHub Insights or Learning Lab for Enterprise Server to process Customer’s employees’ and/or users’ data, and if Customer does so, Customer is solely responsible for conducting such processing in compliance with applicable law.

1.9 有限软件保证。

GitHub 保证,自首次下载之日起九十 (90) 天内,未经修改的软件实质上符合其文档所述。 GitHub 不保证客户对软件的使用不会中断或者软件的运行没有错误。 如果客户以本第 1 部分和文档未明确允许的任何方式修改或使用软件,则此保证将不适用。 GitHub 因违反此有限保证而产生的唯一责任以及客户获得的唯一补偿将按照 Microsoft 客户协议中的规定。

第 2 部分:GITHUB ENTERPRISE CLOUD 服务条款

当客户或 GitHub 代表客户在服务上创建公司帐户和/或组织时,本第 2 部分详述适用于客户使用服务的条款。

2.1 帐户条款。

2.1.1 帐户控制。

(i) 用户。客户承认,用户对其个人帐户及其中的内容保留最终的管理控制权。 GitHub 的标准服务条款管辖用户对服务的使用,但本第 2 部分下所述的用户活动除外。

(ii) 组织。根据本第 2 部分,客户对代表客户创建的任何组织以及发布到其组织内仓库的用户生成内容具有最终管理控制权。 本第 2 部分将管辖客户组织的使用。

2.1.2 帐户要求。

要创建帐户,客户必须符合以下条件:

(i) 客户不得为 13 岁以下的儿童创建任何个人帐户。 如果 GitHub 发现任何未满 13 岁的用户,将立即终止该用户的帐户。 如果客户或其用户位于美国以外的国家,该国家的最小年龄限制可能更大,在这种情况下,客户有责任遵守该国的法律。

(ii) 用户登录名不能多人共享。

(iii) 客户在以下情况下不得使用服务 (a) 违反美国或任何其他司法管辖区的出口管制或制裁法律,(b) 如果位于或常住于遭受美国“外国资产管制办公室”(OFAC) 全面制裁的国家或地区,或 (c) 如果客户是特别指定国民 (SDN) 或代表其工作,或者是遭受类似封锁或被拒绝方禁令的个人。 更多信息请参阅 GitHub 的贸易管制政策

2.1.3 帐户安全。

客户负责:(i) 在其公司帐户下发布的所有内容和发生的活动;(ii) 保持其帐户登录凭据的安全;以及 (iii) 在获悉通过其帐户对服务的任何未授权使用或访问时及时通知 GitHub。 GitHub 对客户不遵守本第 2.1.3 所造成的任何损失或损害概不负责。

2.1.4 其他条款。

在某些情况下,第三方的条款可能适用于客户对服务的使用。 例如,客户可能是本身具有条款或许可协议的组织的成员;客户可能下载与服务相集成的应用程序;或者,客户可能使用服务向另一项服务验证。 尽管 Microsoft 客户协议(包括这些 GitHub 补充条款)是 GitHub 与客户的完整协议,但其他方的条款将控制他们与客户的关系。

2.1.5 U.S. 联邦政府条款。

如果客户是美国联邦政府机构或者在政府部门访问或使用服务的任何部分,则美国联邦政府修正适用,并且客户同意其条款。

2.2 遵守法律;可接受的使用;隐私。

2.2.1 遵守法律法规。

客户对服务的使用不得违反任何相关法律,包括版权法或商标法、出口管制法律或其司法管辖区的法规。

2.2.2 可接受的使用。

客户对服务的使用必须遵守 GitHub 可接受的使用政策GitHub 社区指导方针。 客户不得在任何司法管辖区将服务用于非法、淫秽、冒犯性或欺诈性内容或活动,例如鼓吹或造成伤害;干扰或违反网络或系统的完整性或安全性;避开过滤器;发送主动、辱骂或欺诈性消息、病毒或有害代码;或者违反第三方权利。

2.2.3 隐私。

GitHub 隐私声明和所附的附录 A:数据保护附录提供 GitHub 隐私和数据使用实践的详细通告。 任何个人、实体或服务从服务收集数据都必须遵守 GitHub 隐私声明,特别是收集用户个人信息(如“GitHub 隐私声明”中的定义)时。 如果客户从 GitHub 收集任何用户个人信息,则客户仅将其用于外部用户已授权的目的。 客户将合理保护任何此类个人信息,并且客户会及时响应 GitHub 或外部用户的投诉、删除请求以及“不要联系”请求。

2.3 内容责任;所有权;许可权利。

2.3.1 关于用户生成内容的责任。

客户在使用服务时可能创建或上传用户生成的内容。 客户对其通过服务发布、上传、链接或以其他方式提供的用户生成内容独自负责,无论用户生成的内容是何种形式。 GitHub 对用户生成内容的任何公开显示或滥用概不负责。

2.3.2 内容所有权、发布权利和许可授予。

(i) 客户保留客户创建或拥有的客户内容的所有权。 客户承认:(a) 对客户内容负责,(b) 只会提供客户有权利发布的客户内容(包括第三方或用户生成的内容),以及 (c) 客户将完全遵守与客户发布的客户内容相关的任何第三方许可。

(ii) 客户免费授予第 2.3.3 至 2.3.6 条所述的权利,用于这两条所述的目的,直到客户从 GitHub 服务器中删除客户内容,但公开发布以及外部用户已经复刻的内容除外,这些内容的有效期直到所有客户内容复刻从 GitHub 服务器中删除。 如果客户上传的客户内容具有已经向 GitHub 授予运行服务所需的许可,则无需其他许可。

2.3.3 向 GitHub 授予的许可。

客户向 GitHub 授予存储、剖析和显示客户内容的权利,并仅在提供服务需要时才创建偶尔的副本。 这些权利包括将客户内容复制到 GitHub 数据库和制作备份;向客户以及客户选择要向其显示内容的人员显示客户内容;将客户内容剖析为搜索索引或在 GitHub 的服务器上分析;与客户选择要共享的外部用户共享客户内容;以及执行客户内容,有点像音乐或视频一样。 这些权利适用于公共和私有仓库。 此许可并未向 GitHub 授予销售客户内容或者在服务外部分发或使用内容的权利。 客户向 GitHub 授予以无归属方式使用客户内容所需的权利,以及根据提供服务的需要对客户内容进行合理改编的权利。

2.3.4 向外部用户授予的许可。

(i) 客户快速发布的任何内容,包括议题、评论以及对外部用户仓库的贡献,都可供其他人查看。 只要将其仓库设置为公开显示,即表示客户同意允许外部用户查看客户的仓库以及对其复刻。

(ii) 如果客户将其页面和仓库设为公开显示,客户向外部用户授予非独占、全球许可,允许他们通过服务使用、显示和执行客户内容,以及通过 GitHub 提供的功能(例如通过复刻)只在服务上重制允许的客户内容。 如果客户采用许可,则可以授予对客户内容的更多权利。 如果客户上传其未创建或拥有的客户内容,则客户负责确保其上传的客户内容根据向外部用户授予这些许可的条款进行许可。

2.3.5 仓库许可下的参与。

只要客户参与包含许可通告的仓库,则表示客户在相同的条款下许可该等参与,并且同意其有权利在这些条款下许可该等参与。 如果客户使用单独的协议在不同的条款下许可其参与,如参与者许可协议,则该协议优先。

2.3.6 精神权利。

客户对其上传、发布或提交到服务任何部分的客户内容保留所有精神权利,包括完整性和归属的权利。 但客户对 GitHub 放弃这些权利并且同意不宣称这些权利,唯一目的是让 GitHub 合理行使第 2.3 条中宣称的权利,而没有任何其他目的。

2.4 私有仓库。

2.4.1 控制。

客户负责管理对其私有仓库的访问,包括邀请、组织和团队的管理控制以及访问的终止。

2.4.2 保密。

GitHub 将客户私有仓库中的客户内容视为客户的机密信息。 GitHub 将根据 Microsoft 客户协议中适用的保密条款 ,对私有仓库的客户内容进行严格的保护和保密。

2.4.3 访问。

GitHub 只能在以下情况下访问客户的私有仓库 (i) 经客户同意并确认,出于支持原因,或者 (ii) 出于安全原因而需要访问时。 客户可选择对其私有仓库启用其他访问权限。 例如,客户可向不同的 GitHub 服务或功能授予对私有仓库中客户内容的额外访问权限。 这些权利可能根据服务或功能而不同,但 GitHub 仍会将客户私有仓库中的客户内容视为客户的机密信息。 如果这些服务或功能除了提供服务所需的权限之前,还需要其他权限,GitHub 将会说明这些权限。

2.4.4 除外条款。

如果 GitHub 有理由认为私有仓库的内容违反法律或这些 GitHub 补充条款,则 GitHub 有权访问、审查和删除该内容。 此外,法律可能要求 GitHub 披露客户私有仓库中的内容。 除非法律要求另有约束或者是回应安全威胁或其他安全风险,否则 GitHub 对此类操作需发出通知。

2.5. 知识产权通告。

2.5.1 GitHub 对内容的权利。

服务外观的版权归 © GitHub, Inc. 所有。 保留所有权利。 未经 GitHub 明确的书面许可,客户不得重复、复制或重复使用 HTML/CSS、Javascript 或者可视设计元素或概念的任何部分。

如果客户是版权所有者,并且认为服务上的内容侵犯了其版权,则客户可根据 GitHub 的数字千禧年版权法政策联系 GitHub - 通过其 DMCA 表联系 GitHub 或发电子邮件到 copyright@github.com。

2.5.3 GitHub 商标和徽标。

如果客户要使用 GitHub 的商标,客户必须遵守 GitHub 的所有商标指导方针,包括 GitHub 徽标和使用页面中的政策。

2.6 暂停。

在客户违反了 Microsoft 客户协议(包括这些 GitHub 补充条款)的情况下,或者 GitHub 出于保护服务的完整性、可操作性和安全性的目的,GitHub 有权随时暂停对服务的全部或任何部分的访问,暂停立即生效,可能通知,也可能不通知。 除非法律或法律程序禁止,或为了防止对服务或任何第三方迫在眉睫的伤害,否则 GitHub 通常会在此类暂停时或之前以横幅或电子邮件的形式提供通知。 GitHub 将根据需要自由裁量善意定制任何暂停,以保持服务的完整性、操作性和安全性。

2.7 与 GitHub 的通信。

出于合同目的,客户 (1) 同意通过其提交的电子邮件地址或通过服务接收电子形式的通信;和 (2) 同意 GitHub 以电子形式提供的所有服务条款、协议、通知、披露和其他通信可满足任何法律要求(如果以书面形式提供的这些通信可满足法律要求)。 本部分不影响客户不可放弃的权利。

2.8 服务水平。

2.8.1 计划的优点 - 正常运行时间的保证和计算。

GitHub 保证服务每个季度的正常运行时间为 99.95%。 这表示断电对 GitHub 基本服务的中断不会影响超过 50% 的活跃用户,且时间不超过季度的 .05%。 如果 GitHub 未达到 99.95% 的季度正常运行时间保证率,GitHub 得向客户发放服务积分。 GitHub 的正常运行时间计算基于其通过 web、API 及 Git 客户端界面服务的请求成功百分比。

2.8.2 除外条款。

正常运行时间保证的除外情况包括以下原因导致的中断:(i) 客户的行为、疏忽或滥用服务,包括违反 Microsoft 客户协议和这些 GitHub 补充条款的行为;(ii) 客户的网络连接故障;(iii) 超出 GitHub 合理控制范围的因素,包括不可抗力事件以及第三方服务或技术;或 (iv) 客户的设备、服务或其他技术。

2.8.3 正常运行时间服务积分的计算;正常运行时间服务积分的兑换。

如果 GitHub 的季度正常运行时间百分比掉到 99.95% 以下,则客户有权获得等于其为超过季度正常运行时间保证率的断电时间所支付金额的 25 倍服务积分。 服务积分在每个季度结束时计算,只能按要求授予。 要了解 GitHub 的正常运行时间百分比,客户可在每个季度结束时索取正常运行时间报告。 要被授予服务积分,帐户所有者或帐单管理员必须在每个季度结束后三十 (30) 天内代表客户发送书面申请。 服务积分不能保存。 服务积分被授予后,会自动应用到客户的下一张帐单。 书面申请应发送到 GitHub 支持

2.8.4 免责声明;责任限制。

GitHub 的状态页未连接到此部分所述的正常运行时间保证,不是 GitHub 正常运行时间的准确表示,不能用于计算服务积分。 服务积分在每个季度付费服务的三十 (30) 天内有效。 服务积分是 GitHub 未能履行此部分所述的正常运行时间义务时唯一的补救措施。

2.9 服务更改。

GitHub 通过更新和添加新功能来更改服务。 根据第 2.8 条,GitHub 保留随时临时或永久修改或中止服务(或其任何部分)的权利,可能通知或不通知。

2.10 附加服务功能。

某些服务功能可能受 GitHub 附加产品条款中规定的附加条款的约束。 客户访问或使用这些功能,即表示同意 GitHub 附加产品条款。

第 3 部分:一般规定。

第 3 部分规定适用于客户购买和使用任何产品的条款和条件。

3.1 期限;终止;终止的影响。

3.1.1 期限。

这些 GitHub 补充条款的有效期持续至一方根据本第 3.1 部分终止它们。

3.1.2 为便利而终止;帐户注销。

任一方都可终止订单或这些 GitHub 补充条款,不需要理由,但必须在当前订阅期结束前至少三十 (30) 天发出书面通知。 If Customer elects to terminate an Order Form or these GitHub Supplemental Terms, it is Customer's responsibility to properly cancel its account with GitHub by going into Settings in the global navigation bar at the top of the screen. GitHub 无法通过回复电子邮件或电话申请来注销帐户。

3.1.3 因实质违规而终止。

如果一方违反这些 GitHub 补充条款下的实质性义务并且在收到通知后三十 (30) 天内未弥补违规的影响,则另一方可在通知后立即终止这些 GitHub 补充条款。 如果客户的帐户被暂停超过 90天,GitHub 可能会终止这些 GitHub 补充条款。

3.1.4 终止的影响。

在这些 GitHub 补充条款终止后,客户不得执行其他订单;但这些 GitHub 补充条款对尚未完成的所有订单保持有效。 当订单终止或到期时,对于该订单:(i) 订阅期将立即结束;(ii) 订单中的任何订阅许可将自动终止,并且客户不再有权使用产品;(iii) 如果在终止前欠有任何费用,客户必须立即支付这些费用;(iv) 客户必须销毁其拥有或控制的所有软件副本,并且向 GitHub 书面证实已经销毁;(v) 每一方应在服务允许的范围内立即归还(或应另一方的要求销毁)属于另一方的所有机密信息。 尽管有上述规定,但客户可继续使用软件来迁移其数据,并且可申请在本协议或订单终止或到期后最长九十 (90) 天的时间来迁移其仓库中的数据;不过,客户在此期间不得将软件或服务用于生产。 根据其性质应合理幸存的任何条款在本协议或订单终止或到期时都将幸存。

3.2 反馈。

客户可向 GitHub 提供关于产品的反馈。 反馈是客户自愿提供的,并且不是客户的机密信息,即使被指定为机密信息。 GitHub 可出于以下目的充分运用和利用此类反馈:(i) 改善 GitHub 现有和未来产品的运行、功能、使用以及商业化;和 (ii) 发布有关产品质量的汇总统计信息,但任何此类发布中不得包含用于明确识别客户、其员工或客户专有软件代码的数据。

3.3 遵守法律法规。

客户在使用产品时应遵守所有适用的法律和法规,包括但不限于数据保护和雇佣法律和法规。

3.4 优先级

如果补充条款与订单之间发生冲突,则订单事项以订单为准。 如果补充条款(包括任何订单)与 Microsoft 客户协议之间发生冲突,则补充条款只管辖其主题事项。

附录 A:GITHUB 数据保护附录

1. 定义。

1.1 The "Applicable Data Protection Laws" means certain laws, regulations, regulatory frameworks, or other legislations relating to the processing and use of Personal Data, as applicable to Customer's use of GitHub and the GitHub Service, including:

a. 《欧盟通用数据保护条例 2016/679》("GDPR"),以及生效且适用的任何实施中或相应的等效国家法律或法规;以及

b. 美国商务部和欧洲委员会的《欧盟--美国隐私盾框架》(“隐私盾”)或可能修订的任何后续立法(参阅 https://www.privacyshield.gov/ 或任何后续 URL)。 “隐私盾原则”是指通告、选择、转移责任、安全性、数据完整性和目的限制、访问、资源、执行和责任等原则。

1.2 “控制方”、“数据对象”、“成员国”、“个人数据”、“个人数据泄露”、“处理”、“处理方”和“监督机构”的含义采用“适用数据保护法律”中的定义。 如果发生冲突,GDPR 中的含义优先。

1.3 “客户个人数据”是指客户为控制方的任何个人数据,无论是客户提供给 GitHub 处理的,还是 GitHub 履行其在这些 GitHub 补充条款下之义务的过程中产生的。 包括诸如帐单信息、IP 地址、公司电子邮件地址以及客户作为控制方的任何其他个人数据。

1.4 “客户仓库数据”是指客户在其任何私有仓库中上传或创建的任何数据或信息。

1.5 A "Data Breach" means a Personal Data Breach or any other confirmed or reasonably suspected breach of Customer's Protected Data.

1.6 “最终用户”是指控制 GitHub 帐户并且已同意 GitHub 服务条款及其个人数据被 GitHub 传输、存储或处理的个别数据主体。 例如,客户每个有 GitHub 帐户的员工或承包商也是 GitHub 最终用户。

1.7 数据处理“允许的目的”是指按这些 GitHub 补充条款、GitHub 隐私声明及本附录 A 所述提供服务的有限和特定目的,或者数据主体授权使用客户个人数据的目的。

1.8 “受保护数据”包括 GitHub 根据这些 GitHub 补充条款代表客户处理的任何客户个人数据和任何客户仓库数据。

1.9 “敏感数据”是指显示种族或民族;政见、宗教、信仰或工会成员资格;为唯一识别自然人而进行的遗传数据或生物数据处理;健康、自然人性别或性取向相关数据;违法行为、刑事定罪或安全措施相关数据等的任何个人数据。

2. 身份与合规。

2.1 数据处理。 GitHub 将作为根据这些 GitHub 补充条款收集的任何客户个人数据的处理方,并且 GitHub 只出于客户指示允许的目的处理客户个人数据,如这些 GitHub 补充条款及其他书面通信所述。 如果 GitHub 无法遵守客户的指示,比如由于与适用数据保护法律冲突,或者适用数据保护法律或其他法律要求处理,则 GitHub 将在允许的范围内通知客户。 GitHub 在美国或欧盟处理所有客户个人数据;但 GitHub 的子处理方可能在美国或欧盟以外处理数据。 此外,GitHub 可作为任何客户仓库数据的处理方。

2.2 数据控制方。GitHub 从客户以及直接从创建最终用户帐户的数据主体接收个人数据。 客户其直接传输到 GitHub 的客户个人数据的唯一控制方。

2.3 GitHub 合规。GitHub 表示并保证遵守管辖个人数据跨境传输的“隐私盾”。 只要隐私盾仍然是有效的数据传输机制,GitHub 将在 GitHub 补充条款有效期内保持隐私盾认证。 如果 GitHub 无法保持认证,或隐私盾未保持有效的数据传输机制,请参阅第 7 部分。 GitHub 将遵守与个人数据处理相关的适用数据保护法律。

3. 数据保护。

3.1 目的限制。 GitHub 仅为允许的目的处理和传播受保护数据,除非双方书面同意扩展的目的。

3.2 数据质量和比例性。 GitHub 将保持客户个人数据准确和最新,或让客户这样做。 GitHub 将采取商业上合理的措施来确保其代表客户收集的任何受保护数据充分、相关且传输和处理符合相关目的。 在任何情况下 GitHub 都不会有意代表客户收集敏感数据。 客户同意,GitHub 服务未预期存储敏感数据;如果客户选择将敏感数据上传到服务,则客户必须遵守 GDPR 第 9 条或适用数据保护法律中的同等条款。

3.3 数据保留和删除。在客户合理要求时,除非法律禁止,否则 GitHub 将在三天内退回、销毁或去识别所有位置存储、不再需要用于允许目的的所有客户个人数据及相关数据。 GitHub 可在适用数据保护法律需要的范围内保留客户个人数据及相关数据,并且仅保留适用数据保护法律要求的范围和期限,但 GitHub 要确保客户个人数据仅用于适用数据保护法律指定的目的,而不能用于其他目的,同时客户个人数据仍受适用数据保护法律的保护。

3.4 数据处理。 GitHub 提供 GDPR 第 28(3) 条要求的以下信息,而不管其对客户受保护数据的处理为何:

a. 客户个人数据处理的主题和期限在 GitHub 补充条款和本附录中描述。

b. 客户个人数据的处理性质和目的在本附录第 3.1 条描述。

c. 要处理的客户个人数据类型在“GitHub 隐私声明”中描述,包括用户名、密码、电子邮件地址和 IP 地址等客户个人数据。 GitHub 还处理客户帐户记帐所需的信息,但不处理或存储信用卡信息。 客户可选择向 GitHub 提供其他客户个人数据,如客户的配置文件设置,或者将客户个人数据上传到其 GitHub 仓库。

d. 与客户个人数据相关的数据主体类别是客户本身及其最终用户。

e. 客户的义务和权利在 GitHub 补充条款和本附录中描述。

4. 安全和审核义务。

4.1 技术和组织安全措施。考虑到现有技术水平、实施成本、处理的性质、范围、背景和目的,以及自然人权利和自由的不同可能性和严重性的风险,GitHub 在处理受保护数据时将实施适当的技术和组织措施,以确保适合风险的安全级别,比如防止意外或非法销毁、丢失、篡改、未授权披露或访问。 GitHub 将定期监控是否符合这些措施,并在 GitHub 补充条款整个期限内继续采取适当的保护措施。 有关 GitHub 与安全保护相关的责任,请参阅 GitHub 安全附录第 1.1 条。

4.2 事件响应和违规通知。 GitHub 将遵守 GitHub 安全附录和适用数据保护法律中的信息安全义务,包括数据泄露通知义务。 有关 GitHub 与数据泄露及通知相关的责任,请参阅 GitHub 安全附录第 1.2 条。

4.3 GitHub 人员。 GitHub 表示并保证将采取合理措施确保处理受保护数据的所有 GitHub 人员已同意对受保护数据保密,并且已接受遵守本附录和适用数据保护法律的适当培训。

4.4 记录。 GitHub 将维护代表客户执行的处理活动所有类别的完整、准确和最新书面记录,其中包含适用数据保护法律要求的信息。 在协助不会对 GitHub 的安全性或个别数据主体的隐私权利产生风险的范围内,GitHub 将应客户要求向其提供合理需要的这些记录,比如帮助客户证明其遵守适用数据保护法律。 要详细了解 GitHub 的要求以便在发生安全事件时提供协助,请参阅 GitHub 安全附录的第 1.2 条。

4.5 合规报告。 GitHub 将根据 GitHub 安全附录第 2.3 条提供安全合规报告,并根据 GitHub 安全附录第 2.3 条提供隐私合规报告。 客户同意,适用数据保护法律(包括适用的 GDPR 第 28(3)(h) 条)授予的任何信息和审核权利将通过这些合规报告来满足,并且仅限于不提供充分信息的 GitHub 合规报告条款的范围,或者客户必须响应监管或监督机构审核的范围。 GitHub 安全附录第 3.1 条描述双方与监管或监督机构审核相关的责任。

4.6 协助。对于数据隐私影响评估、数据主体权利请求、监督机构咨询及其他类似事务等问题,GitHub 将向客户提供合理的协助,在每一种情况下只与客户个人数据的处理相关,并且考虑处理的性质。

5. 受保护数据的使用和披露。

5.1 不用于营销。 GitHub 不将受保护数据用于宣传第三方内容,也不向任何第三方销售受保护数据,因合并或收购而造成的数据转移除外。

5.2 GitHub 隐私声明。“GitHub 隐私声明”公布在 https://help.github.com/en/github/site-policy/github-privacy-statement/ 上,详细说明 GitHub 的隐私和数据使用做法,包括对 cookie 的使用、争议解决流程以及关于 GitHub 遵守 GDPR 的更多详情。

6. 再处理和向外传输。

6.1 数据保护。 GitHub 对受保护数据向外传输到其再处理方(如其第三方支付处理方)负责。 如果 GitHub 将受保护数据传输到第三方再处理方,或者 GitHub 安装、使用或允许第三方或第三方服务代表 GitHub 处理受保护数据,GitHub 将确保第三方再处理方受合同约束,以遵守或提供至少与隐私盾原则和适用数据保护法律对再处理方要求相同级别的机密性、安全性和隐私保护。

6.2 GitHub 子处理商的接受。客户授权 GitHub 根据 GitHub 补充条款的第 6 部分以及任何其他限制来指定(并允许每个子处理商根据第 6 部分指定)子处理商。 GitHub 自本附录生效日期起可继续使用当前使用的再处理方。

6.3 外部再处理的总体同意。客户总体上同意 GitHub 使用外部再处理方,条件是 GitHub 符合以下要求:

a. 任何外部再处理方必须书面同意只在欧洲委员会已经宣布具有“充分”保护级别的国家处理数据;或只按照与“标准合同条款”相当的条款处理数据,或根据适当欧洲数据保护机构授予的“具约束力公司规则”批准处理数据,或根据合规的美国-欧盟隐私盾认证处理数据;以及

b. GitHub 将外部再处理方对客户个人数据的访问严格限于仅执行此服务所需,并且 GitHub 会禁止再处理方出于任何其他目的而处理客户个人数据。

6.4 子处理商披露协议。 GitHub 在 https://help.github.com/articles/github-subprocessors-and-cookies/ 上维护其用来处理客户个人数据的不断更新的子处理商列表,包括处理的客户个人数据类别、子处理商执行的处理类型说明以及处理的地点。 GitHub 将应客户的书面申请而向客户提供再处理方清单以及规范他们处理客户个人数据的条款。 根据再处理方保密性限制,GitHub 在向客户提供清单和条款之前可能会删除任何机密或商业敏感信息。 在 GitHub 不能向客户披露机密或敏感信息的情况下,双方同意,GitHub 将提供其合理可以提供的与其再处理协议相关的所有信息。

6.5 对再处理方的异议。GitHub 在增加或删除任何再处理方时,将在其 https://github.com/github/site-policy 网站中公告更改,提前向第三方提供书面通知,包括第 6.4 条中所列的类别。 如果客户对 GitHub 新增再处理方持有合理的异议,客户必须及时书面通知 GitHub。 GitHub 将尽可能采取商业合理的努力为受影响的服务提供替代解决方案,以避免招异议的再处理方处理数据。 如果 GitHub 无法提供替代解决方案而双方在九十天内无法解决冲突,客户可终止 GitHub 补充条款。

7. 终止。

7.1 暂停。如果 GitHub 未履行保持足够的安全或隐私保护级别的义务,客户可暂停传输所有客户个人数据,或暂时禁止代表客户收集和处理客户个人数据,直到违规问题修复或 GitHub 补充条款终止。

7.2 因故终止。客户除了在 GitHub 补充条款下拥有的任何终止权利之外,在下列情况下,客户亦可在不损害法律或衡平法的任何其他要求时终止协议:

a. GitHub 通知客户无法再履行其隐私保护义务;

b. 根据第 7.1 条,所有客户个人数据的传输、收集或处理已经临时暂停超过一个月;

c. GitHub 实质性或持续违反本附录下的任何保证或表示;

d. GitHub 不再经营业务、解散、破产或清盘;或

e. 客户根据第 6.5 条反对再处理方,并且 GitHub 在九十天内无法提供替代解决方案。

7.3 违约。不遵守本附录的实质性条款将被视为实质性违反 GitHub 补充条款。

7.4 未履行义务。如果法律或法规的变动导致本附录的执行无法进行或商业上不合理,则双方可善意重新协商本附录。 如果重新协调无法解决问题,或者双方无法达成协议,则双方可在三十天后终止 GitHub 补充条款。

7.5 通知。如果 GitHub 确定其无法再履行本附录项下的隐私义务,GitHub 将立即书面通知客户。

7.6 修改。GitHub 可在提前三十天通知客户后,根据适用数据保护法律的要求不时修改本附录。

7.7 终止要求。在终止后,GitHub 必须:

a. 采取合理、适当的措施停止处理客户个人数据;

b. 在终止后的九十天内,删除或去识别 GitHub 根据第 3.3 条代表客户存储的任何客户个人数据;以及

c. 向客户提供合理的保证,确保 GitHub 已履行其在第 7.7 条中的义务。

8. 数据处理责任。

8.1 限制。除适用的数据保护法限制外,根据本附录提出的任何主张均应受 Microsoft 客户协议中责任限制相关条款的约束。

附录 B:安全附录

1. 信息安全计划。

1.1 安全管理。

在 GitHub 补充条款的整个期限内,GitHub 将维护并执行与行业公认框架一致的书面信息安全计划(“安全计划”);包含采用合理设计的安全保护措施,保护客户受保护数据的机密性、完整性、可用性及弹性;适合 GitHub 业务运营的性质、规模和复杂性;遵守适用数据保护法律以及 GitHub 业务所在地适用的其他特定信息安全相关法律和法规。

a. 安全官。 GitHub 指定了资深员工负责监管和执行其安全计划,以及负责关于信息安全事务的治理和内部沟通。

b. 安全计划更改。 GitHub 不会对其安全计划做出对任何客户受保护数据安全性有不利影响的更改,根据适用的法律和法规,更改需发出通知。

c. GitHub 将保持标准的安全行业做法,包括但不限于:

  • 漏洞管理计划
  • 安全开发培训、审查和代码编写实践
  • 生产系统逻辑和物理访问控制
  • 外部技术评估和审核
  • 安全政策、标准和标准操作程序
  • 安全和隐私意识培训

1.2 安全事件管理。在 GitHub 补充条款的整个期限内以及适用时,GitHub 将提供如下安全事件管理计划:

a. 安全可用性和上报。 GitHub 将维护适当的全天候安全联系和上报流程,以确保客户和员工可以向 GitHub 安全团队提交问题。

b. 事件响应。 如果 GitHub 知悉会导致客户数据或个人数据意外或非法销毁、丢失、篡改、未授权披露或访问的安全违规(每个都是“安全事件”),GitHub 将及时 (1) 向客户通知安全事件;(2) 调查安全事件并向客户提供安全事件的详细信息;(3) 采取合理的措施减小影响,并尽可能减小安全事件造成的损害。

c. 通知。 安全事件通知将通过 GitHub 选择的方式提交给客户的一个或多个管理员。 客户独自负责确保客户的管理员监控并回应任何通知。 客户独自负责履行事件通知法律下适用于客户的义务,并且履行与任何安全事件相关的任何第三方通知义务。

d. 合理协助。 GitHub 将采取商业合理的努力协助客户履行其在适用法律或法规下的义务,以向相关的监管机构和数据主体通知该等安全事件。

1.3 对分包商和供应商的尽职调查。GitHub 在使用分包商和供应商时将保持适当的尽职调查。 GitHub 将维护至少三年的供应商评估报告和任何评估工作。

1.4 数据中心物理保护。在 GitHub 使用第三方供应商托管生产环境的范围内,GitHub 将选择符合行业标准所述物理安全控制、并且发出年度外部审核报告(如 SOC 2 或 ISO 27001 认证)的供应商。 对电信区域、机箱或机架或者网络设备及其他“数据传输线路”或设备的访问的控制如下:

a. 访问将由一个或多个入口的胸卡读取器控制;

b. 仅用作出口的大门只有“单向”球形门拉手或安装有防护杆出口装置;

c. 所有大门配备有门报警器触点;

d. 所有出口门都有视频监控;以及

e. 所有读卡和视频系统都会连接到发电机或 UPS 备份系统。

2. 信息申请和合规报告。

2.1 信息申请。对客户每年不超过一次的书面申请,GitHub 将回应一次评估安全和合规风险相关信息的信息申请。 回应将在收到申请后三十天内以书面形式提供,任何申请需要澄清时待定。

2.2 回应内容。GitHub 将根据提供的数据和服务自由裁量包含,在其年度回应中包含 GitHub 认为相关的生产数据中心、IaaS、PaaS 或私人托管提供商的相关审计报告。

2.3 GitHub 安全审计报告。 GitHub 将执行外部审计以产生 SOC1、2 类审核报告和 SOC2、2 类审计报告。 GitHub 将在 GitHub 补充条款期限内继续每年至少执行一次审核并发布相应的报告。

3. 配合监管审计。

3.1 监管审计。如果客户意识到监管审计或因应主管机关的审计需要 GitHub 的参与,GitHub 将全力配合相关申请,提供对相关知情人员、文档和应用软件的访问权限。 客户对任何此类监管或主管机关审计具有以下责任:

a. 客户必须确保使用独立第三方(意指监管者或监管者的代表),并且客户不能访问与其不相关的发现和数据。

b. 该等审计通知必须是书面的,并且要及时提供给 GitHub,等待监管者通知,并且允许适当人员提供协助。 当监管机构未提前向客户通知审计或调查时,GitHub 将及时按照监管机构的要求回应。

c. 任何第三方审计机构必须在监管机构允许的范围向 GitHub 披露任何发现和建议的措施。

d. 在监管审计时,只允许在正常上班时间(太平洋时间)访问。

e. 在法律允许的范围内,客户必须对通过 GitHub 任何该等审计收集的性质为机密的任何信息保密。

附录 C:第 1-3 部分的定义

“活跃用户”是指在断电时尝试访问服务的用户。

”Add-On Software” means Advanced Security, Insights, Learning Lab for Enterprise Server, and other additional Software add-on products that GitHub may offer from time to time.

“高级安全”是指使客户能够通过可自定义的自动语义代码分析来识别安全漏洞的软件功能。

“附属公司”是指一方直接或间接控制或者共同控制的任何实体,这里的“控制”是指对实体的所有权或者直接管理权超过百分之五十 (50%)。

“所有用户”统指客户的用户以及使用服务的外部用户。

“Connect”“GitHub Connect” 是指软件中用于支持软件与服务相连接的功能。 GitHub Connect 的使用受 GitHub 附加产品条款中规定的 GitHub Connect 条款的约束。

“内容”是指通过服务刊登、显示或提供的任何文本、数据、文章、图像、照片、图片、软件、应用程序、设计、功能及其他材料。

“公司帐户”是指用户代表实体创建的帐户。

“客户”统指通过单击“我同意”或类似按钮,或者通过访问产品,与 GitHub 签订这些 GitHub 补充条款的公司或组织,以及客户的附属机构和代表。

“客户内容”是指客户创建、拥有或持有权利的内容。

“客户修改”是指客户为软件随附或链接的开源许可下许可的任何库开发漏洞修复、自定义或其他功能时所独自进行的软件修改。

“文档”是指与 GitHub 提供给客户的软件或服务相关的任何手册、文档及其他支持材料。

“生效日期”是以下日期中的较早日期 (i) 客户同意这些 GitHub 补充条款的上述条款和条件,或 (ii) 第一次下单购买产品。

“基本服务”是旨 GitHub 核心版本控制功能必要的服务,包括创建、复刻和克隆仓库;创建、提交和合并分支;创建、审查和合并拉取请求;以及 web、API 和 Git 客户端连接到核心 Git 工作流程。 下面是未包含的外围功能和服务示例:web 挂钩、Gist、页面和电子邮件通知。

“外部用户”是指访问或使用服务的个人,不包括客户的用户。

“费用”是指客户因以下原因而必须向 GitHub 支付的费用:(i) 在适用的订阅期内使用产品,或 (ii) 获得专业服务,此类费用反映在订单或 SOW 中。

“反馈”是指对 GitHub 产品或服务的任何想法、知识、算法、代码贡献、意见、增强要求、建议或任何其他反馈。

“复刻”是指将一个仓库的内容复制到另一个仓库。

GitHub"统指 GitHub, Inc.、其附属公司和代表。

“GitHub 内容”是指 GitHub 创建、拥有或持有权利的内容。

"GitHub Insights"“Insights” 是一种软件功能,可为客户提供与其使用软件有关的指标、分析和建议。 GitHub Insights 不包含 GitHub 原有的组织洞察和仓库洞察功能

“GitHub One” means the Product bundle which includes GitHub Enterprise, Advanced Security, Insights, Learning Lab for Enterprise Server, and Premium Plus or Engineering Direct Support.

"Learning Lab for Enterprise Server" means the Software feature that enables Users to learn about GitHub functionality, including associated Documentation.

“许可密钥”是指软件的访问控制机制使用的数据文件,可让客户安装、操作和使用软件。

“机器帐户”是指代表机器帐户接受适用服务条款、提供有效的电子邮件地址并负责其操作的个人注册的帐户。 机器帐户专用于执行自动化任务。 多个用户可指示机器帐户的操作,但帐户所有者对机器的操作最终负责。

“订单”是指双方用来订购产品的书面或电子文档(包括报价)。

“组织”是指与一个实体或者一个或多个用户相关的共享工作空间,其中多个用户可以一次协作处理多个项目。 用户可以是多个组织的成员。

“中断”是指基本服务中断,影响 50% 以上的活跃用户。

“私有仓库”是指允许用户控制内容访问权限的仓库。

“专业服务”是指 GitHub 根据共同执行的 SOW 提供的培训、咨询或实现服务。 专业服务不包括支持。

“公共仓库”是指其内容对所有用户可见的仓库。

“发行版”是指 GitHub 一般提供给其用户的软件版本,包括文档对应的任何更改,其中包含增强、新特色或新功能,更改一般用第一个小数点右边(如 x.x.x 改为 x.y.x)或左边(如 x.x.x 改为 y.x.x)的数字变动来表示。

“代表”是指一方的员工、代理、独立承包商、顾问以及法律和财务顾问。

“擦除”擦除是指通过自动化过程(如自动程序或网络爬虫 )从服务中提取数据,不包括通过 GitHub 的 API 收集信息。

“服务”是指托管的 GitHub Enterprise Cloud 服务。 服务包括:组织帐户、SAML 单点登录、访问配置及任何适用的文档。 此功能和服务列表并不详尽,可能会不时更新。

“服务积分”是指 GitHub 返还给合格帐户的美元信用,计算方式如下所述。

“软件”是指 GitHub Enterprise Server 本地软件。 软件包括 GitHub 向客户提供的或客户根据这些 GitHub 补充条款可访问的 GitHub Connect 功能、任何适用文档、任何软件更新以及客户订阅中包含的附加软件(如果有)。

“SOW”是指共同执行的工作声明,其中详述 GitHub 将会执行的专业服务、任何相关费用以及每一方的相关义务。

“订阅许可”是指分配给每个用户代表客户安装、操作、访问及使用产品的许可。 客户在其 GitHub Enterprise Server 实例和 GitHub Enterprise Cloud 组织上为每个用户只分配一个订阅许可。 每个用户可以访问客户允许的多个客户 Enterprise Server 实例或 Enterprise Cloud 组织。 但为了明确,在客户向用户分配订阅许可后,客户没有权限对订阅许可复刻而让一个客户在 Enterprise Server 上使用某订阅许可,同时让另一个用户在另一个 GitHub Enterprise Server 实例或 GitHub Enterprise Cloud 的组织上使用同一个订阅许可。 订阅许可基于每个用户授予,多个用户不能使用同一个订阅许可。 客户仅在同一订阅许可最后重新分配起九十 (90) 天后才可再次分配给新用户,除非是以下原因的重新分配 (i) 永久硬件故障或丢失,(ii) 用户雇用或合同终止,或 (iii) 为涵盖用户的缺席而临时分配订阅许可。 当客户将订阅许可从一个用户重新分配给另一个用户时,客户必须阻止前用户访问该订阅许可和客户的组织。

“订阅期”是指从订单适用生效日期起一 (1) 年或订单中另外规定的时间。

“支持”是指 GitHub 可能为服务或软件提供的技术支持。

“更新”是指 GitHub 一般提供给其用户的软件版本,包括文档对应的任何更改,其中包含错误更正或漏洞修复,更改一般用第二个小数点右边(如 x.x.x 改为 x.x.y)的数字变动来表示。

"正常运行时间“是指在指定季度中 GitHub 基本服务不会出现影响 50% 以上活跃用户的中断的时间百分比。

“用户”(i) 对于软件,是指发起软件执行或与之交互或指示软件执行其功能的个人或机器帐户;以及 (ii) 对于服务,是指以下个人或机器帐户 (a) 访问或使用服务,(b) 访问或使用客户帐户的任何部分,或 (c) 指示使用客户帐户执行功能,在每种情况下都是代表客户。 用户数不应超过客户购买的订阅许可数。

“用户生成的内容”是指第三方或外部用户创建或拥有的内容。

问问别人

找不到要找的内容?

联系我们