版本生效日期：2020年7月20日

介绍

双方同意GitHub数据保护和安全展览（以下统称为“数据保护附录”或“ DPA”）规定了与GitHub Enterprise Cloud托管服务有关的客户个人数据的处理和安全义务（在“服务”）。GitHub在此DPA中对使用该服务的所有客户做出承诺。客户对非GitHub产品的使用由单独的条款（包括不同的隐私和安全条款）管辖。

如果DPA与客户与GitHub的协议中的任何其他条款之间存在任何冲突或不一致，则以DPA为准。DPA的条款取代了GitHub隐私声明中任何冲突的条款，否则这些条款可能适用于处理此处定义的客户个人数据。为清楚起见，与附件1中的标准合同条款第10条一致，标准合同条款优先于DPA中的任何其他条款。

GITHUB数据保护

1. 定义。

1.1“ 适用的数据保护法 ”是指与处理和使用客户个人数据有关的某些法律，法规，监管框架或其他法律，适用于客户对GitHub和GitHub服务的使用，包括：

a. 《欧盟通用数据保护条例 2016/679》("GDPR")，以及生效且适用的任何实施中或相应的等效国家法律或法规；以及

b。加州《 2018年加州消费者隐私法》民法典§§1798.100及以下 （“ CCPA”）；和

C。《 2018年英国数据保护法》及其中包含的GDPR实施。

1.2“ 控制者 ”，“ 数据主体 ”，“ 会员国 ”，“ 个人数据 ”，“ 个人数据违反 ”，“ 处理 ”，“ 处理器 ”和“ 监督机构 ”具有适用数据保护中赋予它们的含义法律。如果发生冲突，GDPR中的含义优先。

1.3 “客户个人数据”是指客户为控制方的任何个人数据，无论是客户提供给 GitHub 处理还是 GitHub 履行其在本协议下义务的过程中产生的个人数据。 包括诸如帐单信息、IP 地址、公司电子邮件地址以及客户作为控制方的任何其他个人数据。

1.4 “客户仓库数据”是指客户在其任何私有仓库中上传或创建的任何数据或信息。

1.5 “数据泄露”是指个人数据泄露或者任何其他已确认或合理怀疑的客户受保护数据泄露。

1.6 “最终用户”是指控制 GitHub 帐户并且已同意 GitHub 服务条款及其个人数据被 GitHub 传输、存储或处理的个别数据主体。 例如，客户每个有 GitHub 帐户的员工或承包商也是 GitHub 最终用户。

1.7 数据处理“允许的目的”是指按本协议“GitHub 隐私声明”及本附录 A 所述提供服务的有限和特定目的，或者数据主体授权使用客户个人数据的目的。

1.8 “受保护数据”包括 GitHub 根据本协议代表客户处理的任何客户个人数据和任何客户仓库数据。

1.9“ 敏感数据 ”是指任何显示种族或民族血统的客户个人数据；政治见解，宗教或哲学信仰或工会会员；为了唯一地识别自然人的目的而处理遗传数据或生物统计数据；有关健康，自然人的性生活或性取向的数据；以及与犯罪，刑事定罪或安全措施有关的数据。

2. 身份与合规。

2.1数据处理。

GitHub会充当其根据协议收到的任何客户个人数据的处理者，并且GitHub只会根据协议和其他书面通讯所代表的客户指示，仅出于许可目的处理客户个人数据。 如果 GitHub 无法遵守客户的指示，比如由于与适用数据保护法律冲突，或者适用数据保护法律或其他法律要求处理，则 GitHub 将在允许的范围内通知客户。 GitHub 在美国或欧盟处理所有客户个人数据；但 GitHub 的子处理方可能在美国或欧盟以外处理数据。 此外，GitHub 可作为任何客户仓库数据的处理方。

2.2数据控制器。

GitHub从客户以及直接从创建最终用户帐户的数据主体接收客户个人数据。客户其直接传输到 GitHub 的客户个人数据的唯一控制方。

2.3 GitHub合规性; 数据传输。

GitHub将在处理客户个人数据方面遵守适用的数据保护法律。

为了提供服务而从欧盟，欧洲经济区，英国和瑞士转移出的所有客户个人数据均应受附件1中的标准合同条款（标准合同条款）的约束。GitHub将遵守欧洲经济区和瑞士数据保护法关于收集，使用，转移，保留和其他处理来自欧洲经济区，英国和瑞士的客户个人数据的要求。客户个人数据向第三国或国际组织的所有转移将受到GDPR第46条所述的适当保护措施的约束，并且此类转移和保护措施将根据GDPR第30（2）条记录。

此外，尽管GitHub并没有将EU-US Privacy Shield Framework作为转移个人数据的法律依据，但GitHub已通过了EU-US和Swiss-US Privacy Shield框架及其所承担的承诺的认证。欧盟法院对C-311 / 18号案件的判决。GitHub同意，如果确定无法再履行其提供隐私保护原则所要求的相同级别的保护的义务，则通知客户。

3. 数据保护。

3.1目的限制。

除非双方书面同意扩展用途，否则GitHub仅会出于许可目的处理和传达受保护的数据。

3.2数据质量和比例。

GitHub will keep the Customer Personal Data accurate and up to date, or enable Customer to do so. GitHub 将采取商业上合理的措施来确保其代表客户收集的任何受保护数据充分、相关且传输和处理符合相关目的。 在任何情况下 GitHub 都不会有意代表客户收集敏感数据。 客户同意，GitHub 服务未预期存储敏感数据；如果客户选择将敏感数据上传到服务，则客户必须遵守 GDPR 第 9 条或适用数据保护法律中的同等条款。

3.3数据保留和删除。

根据客户的合理要求，除非法律禁止，否则GitHub将在请求后的30天内不再需要其用于许可目的的情况下，在存储该信息的所有位置返回，销毁或取消标识所有客户个人数据和相关数据。GitHub 可在适用数据保护法律需要的范围内保留客户个人数据及相关数据，并且仅保留适用数据保护法律要求的范围和期限，但 GitHub 要确保客户个人数据仅用于适用数据保护法律指定的目的，而不能用于其他目的，同时客户个人数据仍受适用数据保护法律的保护。

3.4数据处理。

GitHub提供了GDPR第28条第3款要求的有关其处理客户的受保护数据的以下信息：

a. 客户个人数据处理的主题和期限在协议和本附录中描述。

b. 客户个人数据的处理性质和目的在本附录第 3.1 条描述。

c. 要处理的客户个人数据类型在“GitHub 隐私声明”中描述，包括用户名、密码、电子邮件地址和 IP 地址等客户个人数据。 GitHub 还处理客户帐户记帐所需的信息，但不处理或存储信用卡信息。 客户可选择向 GitHub 提供其他客户个人数据，如客户的配置文件设置，或者将客户个人数据上传到其 GitHub 仓库。

d. 与客户个人数据相关的数据主体类别是客户本身及其最终用户。

e. 客户的义务和权利在协议和本附录中描述。

4. 安全和审核义务。

4.1技术和组织安全措施。

考虑到现有技术水平，实施成本，处理的性质，范围，背景和目的以及自然人权利和自由的可能性和严重性变化的风险，GitHub将实施适当的技术和 组织措施，以确保通过处理受保护数据而呈现出与风险相对应的安全级别，例如防止意外或非法破坏，丢失，更改，未经授权的披露或访问。GitHub 将定期监控是否符合这些措施，并在协议整个期限内继续采取适当的保护措施。 有关 GitHub 与安全保护相关的责任，请参阅 GitHub 安全附录第 1.1 条。

4.2事件响应和违规通知。

GitHub将遵守GitHub Security Exhibit和适用的数据保护法中的信息安全义务，包括数据违规通知义务。 有关 GitHub 与数据泄露及通知相关的责任，请参阅 GitHub 安全附录第 1.2 条。

4.3 GitHub人员

GitHub表示并保证将采取合理步骤，确保所有处理受保护数据的GitHub人员已同意对受保护数据进行保密，并已接受有关遵守本附录和适用数据保护法的充分培训。

4.4记录。

GitHub将维护代表客户执行的所有处理活动类别的完整，准确和最新的书面记录，其中包含适用数据保护法所要求的信息。在协助不会对 GitHub 的安全性或个别数据主体的隐私权利产生风险的范围内，GitHub 将应客户要求向其提供合理需要的这些记录，比如帮助客户证明其遵守适用数据保护法律。 要详细了解 GitHub 的要求以便在发生安全事件时提供协助，请参阅 GitHub 安全附录的第 1.2 条。

4.5合规报告。

GitHub将根据GitHub Security Exhibit的第2.3节提供安全合规性报告，并根据GitHub Security Exhibit的第2.3节提供隐私合规性报告。 客户同意，适用数据保护法律（包括适用的 GDPR 第 28(3)(h) 条）授予的任何信息和审核权利将通过这些合规报告来满足，并且仅限于不提供充分信息的 GitHub 合规报告条款的范围，或者客户必须响应监管或监督机构审核的范围。 GitHub 安全附录第 3.1 条描述双方与监管或监督机构审核相关的责任。

4.6协助。

GitHub将在涉及数据隐私影响评估，数据主体权利要求，与监管机构的磋商以及其他类似事项方面为客户提供合理的帮助，在每种情况下，仅涉及处理客户个人数据并考虑到其性质处理。

5. 受保护数据的使用和披露。

5.1在营销中无用。

GitHub不会将受保护的数据用于广告第三方内容，也不会将受保护的数据出售给任何第三方，除非作为合并或收购的一部分。

5.2 GitHub隐私声明。

可以在隐私声明公开获得的GitHub隐私声明提供了有关GitHub隐私和数据使用实践的详细通知，包括cookie的使用，争议解决流程以及有关GitHub的GDPR合规性的更多详细信息。

6. 再处理和向外传输。

6.1数据保护。

GitHub负责将受保护的数据继续传输到其子处理器，例如第三方支付处理器。如果GitHub确实将受保护的数据传输到第三方子处理器，或者GitHub安装，使用或启用了第三方或第三方服务来代表GitHub处理受保护的数据，则GitHub将确保第三方子处理器受书面协议约束，该协议要求它们至少提供与本DPA和适用数据保护法所要求的GitHub相同级别的机密性，安全性和隐私保护。

6.2接受GitHub子处理器。

客户授权GitHub根据第6节和协议中的任何其他限制任命（并允许根据本第6节任命的每个子处理器任命）子处理器。GitHub 自本附录生效日期起可继续使用当前使用的再处理方。

6.3后续子处理的一般同意书

客户提供GitHub参与后续子处理器的一般同意，条件是GitHub符合以下要求：

一个。任何后续的子处理程序都必须书面同意仅处理欧洲委员会宣布拥有“适当”保护级别的国家/地区中的数据；或仅以与标准合同条款等效的条款处理数据，或根据欧洲数据保护主管部门授予的具有约束力的公司规则批准，或根据合规且有效的欧盟-美国隐私保护和瑞士-美国隐私保护认证；和

b. GitHub 将外部再处理方对客户个人数据的访问严格限于仅执行此服务所需，并且 GitHub 会禁止再处理方出于任何其他目的而处理客户个人数据。

6.4子处理器协议的披露。

GitHub维护了一个用于处理客户个人数据的后续子处理器列表，网址为https://www.w3cschool.cn/githubcn/githubcn-eqy33ax5.html，包括已处理的客户个人数据的类别，对子处理器执行的处理类型的描述以及其处理的位置。GitHub 将应客户的书面申请而向客户提供再处理方清单以及规范他们处理客户个人数据的条款。 根据再处理方保密性限制，GitHub 在向客户提供清单和条款之前可能会删除任何机密或商业敏感信息。 在 GitHub 不能向客户披露机密或敏感信息的情况下，双方同意，GitHub 将提供其合理可以提供的与其再处理协议相关的所有信息。

6.5反对子处理器。

GitHub将在其https://github.com/github/site-policy网站上宣布更改，以在三十（30）天前书面通知您添加或删除任何子处理器，包括第6.4节中列出的类别。如果客户对 GitHub 新增再处理方持有合理的异议，客户必须及时书面通知 GitHub。 GitHub 将尽可能采取商业合理的努力为受影响的服务提供替代解决方案，以避免招异议的再处理方处理数据。 如果 GitHub 无法提供替代解决方案而双方在九十天内无法解决冲突，客户可终止协议。

7. 终止。

7.1 暂停。

如果GitHub违反其维护适当级别的安全或隐私保护的义务，则客户可以暂时中止所有客户个人数据的传输或禁止代表客户收集和处理客户个人数据，直到违约得到修复为止。或协议终止。

7.2因故终止。

除客户根据本协议享有的任何终止权利外，在以下情况下，客户可以终止本协议，而不会损害法律或权益方面的任何其他索赔：

a. GitHub 通知客户无法再履行其隐私保护义务；

b. 根据第 7.1 条，所有客户个人数据的传输、收集或处理已经临时暂停超过一个月；

c. GitHub 实质性或持续违反本附录下的任何保证或表示；

d. GitHub 不再经营业务、解散、破产或清盘；或

e. 客户根据第 6.5 条反对再处理方，并且 GitHub 在九十天内无法提供替代解决方案。

7.3违反。

如果不遵守本附录的重要规定，则视为违反该协议。

7.4执行失败。

如果法律或法规的变更使本附录的履行无法进行或在商业上不合理，则各当事方可真诚地重新谈判本附录。 如果重新协调无法解决问题，或者双方无法达成协议，则双方可在三十天后终止协议。

7.5通知。

如果GitHub确定不再能够履行本附录中的隐私义务，则GitHub将立即以书面形式通知客户。

7.6修改。

GitHub可能会根据适用的数据保护法不时修改该附录，并在三十天内通知客户。

7.7端接要求。

终止后，GitHub必须：

a. 采取合理、适当的措施停止处理客户个人数据；

b. 在终止后的九十天内，删除或去识别 GitHub 根据第 3.3 条代表客户存储的任何客户个人数据；以及

c. 向客户提供合理的保证，确保 GitHub 已履行其在第 7.7 条中的义务。

8. 数据处理责任。

8.1局限性。

除适用的数据保护法所限制外，根据本附录提出的任何索赔均应遵守协议中有关责任限制的条款。

附件1 –标准合同条款（处理方）

客户执行适用的协议包括执行本附件1至GitHub数据保护附录，该附录由GitHub，Inc.签署。

在需要使用标准合同条款获得监管批准的国家/地区中，除非客户有要求，否则不能根据欧洲委员会2010/87 / EU（2010年2月）依据标准合同条款来合法地从该国出口数据监管批准。

出于《通用数据保护条例》（EU 2016/679）第46（2）条的规定，将个人数据转移到在第三方国家/地区建立的未确保足够数据保护水平的处理器中，客户（作为数据出口商）和GitHub（作为数据导入者，其签名显示在下面），每个都是“当事方”，一起是“当事方”，已就以下合同条款（“合同”或“标准合同条款”）达成协议，以提供适当的保护措施关于保护隐私，个人的基本权利和自由，以供数据导出者将附录1中指定的个人数据转移到数据导入者。

第1条：定义

（a）“个人数据”，“特殊数据类别”，“过程/处理”，“控制者”，“处理器”，“数据主体”和“监督机构”应具有与《通用数据保护条例》相同的含义。 （EU 2016/679）关于在处理个人数据方面的个人保护以及此类数据的自由流通；

（b）“数据导出者”是指传输个人数据的控制者；

（c）“数据导入者”是指同意在数据传输后按照其指示和条款从其接收代表其处理的个人数据的处理者，并且不受第三国确保《通用数据保护条例》（EU 2016/679）第45（2）条所指的适当保护的系统；

（d）“子处理器”是指数据进口者或数据进口者的任何其他子处理器雇用的，同意从数据进口者或数据进口者的任何其他子处理器接收的，专门用于处理以下活动的个人数据的任何处理器：转让后，按照数据出口商的指示，条款条款和书面分包合同的条款进行；

（e）“适用的数据保护法”是指保护个人的基本权利和自由，尤其是在处理个人数据方面的隐私权，该法律适用于成员国中的数据控制者，数据导出器已建立；

（f）“技术和组织安全措施”是指旨在保护个人数据免遭意外或非法破坏或意外丢失，更改，未经授权的披露或访问的措施，尤其是在处理涉及通过网络传输数据的情况下，以及所有其他非法形式的处理。

第2条：汇款明细

转让的细节，尤其是适用的个人数据的特殊类别，在以下附录1中进行了规定，该附录构成本条款的组成部分。

条款3：第三方受益人条款

1. 数据主体可以对本条款第4（b）至（i）条，第5（a）至（e）条以及（g）至（j），第6（1）和（2）条对数据导出者强制执行，第7条，第8（2）条和第9至12条作为第三方受益人。
2. 在数据导出者的情况下，数据主体可以对数据导入者强制执行本条，第5（a）至（e）和（g）条，第6条，第7条，第8（2）条和第9至12条。事实已经消失或法律上已经不存在，除非任何后续实体通过合同或法律实施承担了数据出口商的全部法律义务，从而承担了数据出口商的权利和义务，在这种情况下，数据主体可以对此类实体强制执行。
3. 在两个数据导出器都使用的情况下，数据主体可以对子处理器强制执行本条，第5（a）至（e）和（g）条，第6条，第7条，第8（2）条和第9至12条。并且数据导入者实际上已经消失或不再存在于法律中或已经破产，除非任何后续实体通过合同或法律实施方式承担了数据导出者的全部法律义务，从而承担了权利和义务。数据导出者的义务，在这种情况下，数据主体可以对此类实体强制执行。子处理器的此类第三方责任应仅限于其在本条款下的处理操作。
4. 当事人不反对协会或其他机构代表的数据主体，只要该数据主体明确表示希望并得到本国法律的允许。

条款4：数据导出者的义务

数据出口商同意并保证：

（a）已经并且将继续根据适用的数据保护法的有关规定进行个人数据的处理（包括传输本身）（并且在适用的情况下已通知相关当局）数据出口商所在的成员国）并且不违反该国的有关规定;

（b）它已指示并且在整个个人数据处理服务期间将指示数据导入者仅根据数据保护者的法律和条款，代表数据导出者处理传输的个人数据；

（c）数据导入者将为以下附录2中指定的技术和组织安全措施提供足够的保证；

（d）在评估了适用的数据保护法的要求之后，安全措施是适当的，以保护个人数据免遭意外或非法破坏或意外丢失，更改，未经授权的披露或访问，尤其是在处理涉及传输以下内容的情况下网络上的数据，并反对所有其他非法处理形式，并且这些措施应确保在考虑到现有技术水平和安全性的前提下，其安全级别适合处理过程所带来的风险以及要保护的数据的性质。实施费用；

（e）将确保遵守安全措施；

（f）如果转让涉及特殊类别的数据，则在转让之前或之后尽快通知或通知了有关数据主体，其数据可能会被转移到第三国，而第三国在该国未提供足够的保护通用数据保护条例（EU 2016/679）的含义；

（g）如果数据出口商决定继续转让或取消中止，则将根据第5（b）条和第8（3）条从数据进口商或任何子处理器收到的任何通知转发给数据保护监督机构；

（h）应要求向数据主体提供条款的副本（附录2除外），安全措施的简要说明以及必须签订的任何子处理服务合同的副本根据条款，除非条款或合同包含商业信息，否则在这种情况下，它可能会删除此类商业信息；

（i）在进行子处理的情况下，处理活动是由子处理器根据第11条进行的，该子处理器至少对个人数据和数据主体的权利提供与本条所述的数据导入者相同的保护等级; 和

（j）将确保遵守第4（a）至（i）条。

条款5：数据导入者的义务

数据导入者同意并保证：

（a）仅代表数据出口商并按照其指示和条款处理个人数据；如果由于某种原因不能提供这种合规性，它同意立即通知数据出口商其不能合规，在这种情况下，数据出口商有权中止数据传输和/或终止合同；

（b）没有理由相信适用的法律会阻止其履行从数据出口商处收到的指示以及合同中规定的义务，并且如果该法律发生变更，很可能会对于本条款所提供的保证和义务有重大不利影响，它将在知道后立即将更改通知数据出口商，在这种情况下，数据出口商有权中止数据传输和/或终止合同;

（c）在处理所转移的个人数据之前，它已经执行了附录2中指定的技术和组织安全措施；

（d）它将立即通知数据出口商有关：

（i）执法机关提出的任何具有法律约束力的披露个人数据的请求，除非另有禁止，例如根据刑法禁止为执法调查的机密性保密，

（ii）任何意外或未经授权的访问，以及

（iii）除非另有授权，否则直接从数据主体收到的任何请求，而无需响应该请求；

（e）及时适当地处理数据出口商有关其处理将要转移的个人数据的所有询问，并遵守监管当局关于处理所转移的数据的建议；

（f）应数据出口者的要求，将其数据处理设施提交给本条款所涵盖的处理活动的审核，该审核活动应由数据出口者或由独立成员组成并拥有所需专业人员的检查机构进行数据导出者在适用的情况下，经监管机构同意，选择由保密义务约束的资格；

（g）根据要求向数据主体提供条款的副本或任何现有的子处理合同，除非条款或合同包含商业信息，在这种情况下，可以删除此类商业信息，但附录2除外在数据主体无法从数据导出器获得副本的情况下，应以安全措施的简要描述代替；

（h）在进行子处理时，它先前已通知数据导出者并获得其事先书面同意；

（i）子处理器的处理服务将按照第11条的规定进行；和

（j）及时将其根据本条款缔结的任何子处理程序协议的副本发送给数据导出器。

条款6：责任

1. 双方同意，任何一方或子处理方因违反第3条或第11条中提到的义务而遭受损害的任何数据主体均有权从数据输出者处获得遭受损害的赔偿。
2. 如果数据主体由于数据进口商或其子处理器违反第3条或第11条中提到的任何义务而未能根据第1款向数据出口商提出索赔要求，因为数据导出者实际上已经消失或不再存在法律或已经破产，所以数据导入者同意，数据主体可以向数据导入者提出索赔，就好像它是数据导出者一样，除非任何后续实体都假定了整个数据出口商通过法律执行合同订立的法律义务，在这种情况下，数据主体可以对此类实体执行其权利。数据导入者可能不依靠子处理器违反其义务来避免其自身的责任。
3. 如果由于子处理器违反第3条或第11条中提到的任何义务而导致数据主体无法对第1和第2款中提到的数据导出器或数据导入器提出索赔，数据导出者和数据导入者均事实上已消失或不再存在法律或已破产，次级处理器同意该数据主体可就其在本条款下的处理操作向数据次级处理器提出索赔。除非数据继承者是通过合同或法律实施承担了数据导出者或数据导入者的全部法律义务，否则任何数据继承者都可以对此类实体执行其权利。子处理器的责任仅限于其在本条款下的处理操作。

条款7：调解和管辖权

1. 数据导入者同意，如果数据当事人依据其条款援引第三方受益人权利和/或要求赔偿损失，则数据导入者将接受数据当事人的决定：

（a）由独立人士或（如适用）监督机构将争议提交调解；

（b）将争议提交建立数据出口商所在成员国的法院处理。

1. 双方同意，数据主体的选择不会损害其根据国家或国际法的其他规定寻求补救的实质性或程序性权利。

条款8：与监管机构的合作

1. 如果数据出口商提出要求，或者根据适用的数据保护法要求存放该数据，则数据出口商同意将其副本存放在监管机构。
2. 各方同意，监管机构有权对数据导入者和任何子处理程序进行审核，该审核程序的范围和适用的条件应与适用数据下对数据导出者的审核相同保护法。
3. 数据导入者应根据第2款，立即将其适用的法规或阻止对数据导入者或任何子处理器进行审核的任何分处理器的适用法律告知数据导出者。在这种情况下，数据导出者应有权采取第5（b）条中规定的措施。

第9条：适用法律。

本条款应受数据出口商所在成员国的法律管辖。

条款10：合同变更

双方承诺不更改或修改条款。这并不排除当事方在与业务相关的问题上添加必要的条款，只要它们与该条款不矛盾即可。

第11条：子处理

1. 未经数据导出者的事先书面同意，数据导入者不得将根据本条款代表数据导出者执行的任何处理操作分包。如果数据导入者在数据导出者的同意下分包其在本条款下的义务，则应仅与子处理器达成书面协议，该子协议对子处理器施加了与数据导入者根据本协议所施加的相同义务。条款。如果分处理器未能履行该书面协议项下的数据保护义务，则数据进口方应对数据出口商承担全部责任，以履行该协议下的分处理器义务。
2. 如果数据主体无法提出第6条第1款所述的赔偿要求，则数据导入者与子处理器之间的事先书面合同还应规定第3条中规定的第三方受益人条款。反对数据出口商或数据进口商的事实，因为他们实际上已消失或不再存在于法律中或已破产，并且没有继任实体通过合同或法律规定承担数据出口商或数据进口商的全部法律义务。子处理器的此类第三方责任应仅限于其在本条款下的处理操作。
3. 第1款所指的与合同的子处理有关的数据保护方面的规定应受建立数据输出者的成员国的法律管辖。
4. 数据导出者应保留根据本条款缔结并由数据导入者根据第5（j）条通知的子处理协议的清单，该清单应每年至少更新一次。该列表应提供给数据导出者的数据保护监督机构。

第12条：个人数据处理服务终止后的义务

1. 双方同意，在终止数据处理服务的提供时，数据导入者和子处理器应根据数据导出者的选择，将所有转移的个人数据及其副本退还给数据导出者，或销毁所有个人数据并向数据出口商证明已这样做，除非对数据进口者施加的法律阻止其返回或销毁全部或部分已转移的个人数据。在这种情况下，数据导入者保证将保证传输的个人数据的机密性，并且将不再主动处理传输的个人数据。
2. 数据导入者和子处理程序保证，应数据导出者和/或监管机构的要求，它将提交其数据处理工具以审核第1款中提及的措施。

标准合同条款附录1

数据导出器：客户是数据导出器。

数据导入器：数据导入器是GitHub，Inc.，全球软件和服务生产商。

数据主体：数据主体包括数据导出者的代表和最终用户，包括数据导出者的雇员，承包商，合作者和客户。数据主体还可以包括试图与数据导入者提供服务的用户进行交流或转移个人信息的个人。GitHub承认，根据客户对服务的使用情况，客户可以选择将来自以下任何类型的数据主体的个人数据包括在客户个人数据中：

• 数据出口商的雇员，承包商和临时工（现任，前任，准工人）；
• 以上的从属关系；
• 数据出口商的合作者/联系人（自然人）或法人合作者/联系人的雇员，承包商或临时工（现任，准，前任）；
• 用户（例如，客户，客户，患者，访客等）和作为数据导出者服务用户的其他数据主体；
• 与数据导出者的员工积极协作，交流或互动的伙伴，利益相关者或个人，和/或使用诸如数据导出者提供的应用程序和网站之类的交流工具；
• 与数据输出者进行被动交互的利益相关者或个人（例如，因为他们是调查，研究的对象，或来自数据出口者或来自数据出口者的信函或文件中提到的对象）；要么
• 具有专业特权的专业人员（例如，医生，律师，公证人，宗教工作者等）。

数据类别：在服务范围内，以电子形式包含在电子邮件，文档和其他数据中的转移的个人数据。GitHub承认，根据客户对服务的使用，客户可以选择将以下任何类别的个人数据包括在客户个人数据中：

• 认证数据（例如，用户名，电子邮件，密码）；
• 联系信息（例如，电子邮件）；
• 唯一的标识号和签名（IP地址，跟踪cookie或类似技术中的唯一标识符）。
• 其他唯一标识信息。数据主体可能包含更多数据，例如真实姓名，头像图片和其他个人信息；

特殊类别的数据（如果适用）：数据导入器在为数据导出器提供服务时不会有意收集或处理任何特殊类别的数据。

但是，由于数据导入器提供存储服务并且不控制其存储的数据类别，因此数据导出器可以选择传输特殊类别的数据。因此，数据导出者应全权负责确保其遵守适用法律和法规施加的与收集和处理任何特殊类别数据有关的所有义务，包括在处理敏感个人数据之前获得数据主体的明确同意。

处理操作：传输的个人数据将受到以下基本处理活动的影响：GitHub将个人数据用于GitHub隐私声明中规定的有限目的，该声明可从隐私声明获得。以及DPA的“数据处理”部分。分包商：根据DPA，数据导入者可以雇用其他公司代表数据导入者提供有限的服务，例如提供客户支持。任何此类分包商都只能获得客户个人数据，仅用于提供数据导入者保留他们提供的服务，并且禁止他们将客户个人数据用于任何其他目的。

标准合同条款附录2

数据导入者根据第4（d）和5（c）条实施的技术和组织安全措施的说明：

1.人员。未经授权，数据导入者的人员将不会处理客户的个人数据。人员有义务对任何“客户个人数据”保密，即使在合同终止后，这一义务仍将继续。

2.数据隐私联系。可以从以下地址联系数据导入者的数据隐私官：GitHub，Inc.地址：隐私88 Colin P. Kelly Jr. Street旧金山，加利福尼亚州94107美国

3.技术和组织措施。数据导入者已实施并将维护适当的技术和组织措施，内部控制以及信息安全例程，以保护GitHub安全性展品中定义的客户个人数据，以防止意外丢失，破坏或更改；未经授权的披露或访问；或如下所述的非法销毁：GitHub Security Exhibit中阐述的技术和组织措施，内部控制和信息安全例程在此通过引用并入本附录2，对数据导入者具有约束力，就像它们在本附录2的全部内容。GitHub，Inc.的签名出现在下面。

代表数据导入者签署标准合同条款，附录1和附录2

产品与法规法律主管Lynn Hashimoto

GitHub公司

安全展览

1. 信息安全计划。

1.1 安全管理。

在本协议的整个期限内，GitHub将维持并执行与行业公认框架相一致的书面信息安全计划（“安全计划”）；包括合理设计以保护客户保护数据的机密性，完整性，可用性和弹性的安全性保障措施；适用于GitHub业务运营的性质，规模和复杂性; 并遵守适用于GitHub开展业务的地理区域的适用数据保护法律和其他与信息安全相关的特定法律和法规。

a. 安全官。 GitHub 指定了资深员工负责监管和执行其安全计划，以及负责关于信息安全事务的治理和内部沟通。

b. 安全计划更改。 GitHub 不会对其安全计划做出对任何客户受保护数据安全性有不利影响的更改，根据适用的法律和法规，更改需发出通知。

c. GitHub 将保持标准的安全行业做法，包括但不限于：

• 漏洞管理计划
• 安全开发培训、审查和代码编写实践
• 生产系统逻辑和物理访问控制
• 外部技术评估和审核
• 安全政策、标准和标准操作程序
• 安全和隐私意识培训

1.2安全事件管理。

在本协议的整个期限内（如果适用），GitHub将提供以下安全事件管理程序：

a. 安全可用性和上报。 GitHub 将维护适当的全天候安全联系和上报流程，以确保客户和员工可以向 GitHub 安全团队提交问题。

b。如果GitHub意识到安全受到破坏，导致意外或非法销毁，丢失，更改，未经授权的披露或访问客户个人数据（每个“安全事件”），则GitHub将迅速且无故拖延（1）将安全事件通知客户；（2）调查安全事件，并向客户提供有关安全事件的详细信息；（3）采取合理的步骤来减轻影响并最大程度地减少由安全事件造成的损害。

c. 通知。 安全事件通知将通过 GitHub 选择的方式提交给客户的一个或多个管理员。 客户独自负责确保客户的管理员监控并回应任何通知。 客户独自负责履行事件通知法律下适用于客户的义务，并且履行与任何安全事件相关的任何第三方通知义务。

d. 合理协助。 GitHub 将采取商业合理的努力协助客户履行其在适用法律或法规下的义务，以向相关的监管机构和数据主体通知该等安全事件。

1.3对分包商和供应商的尽职调查。

当使用分包商和供应商时，GitHub将保持适当的尽职调查。GitHub 将维护至少三年的供应商评估报告和任何评估工作。

1.4数据中心的物理保障。

如果GitHub利用第三方供应商托管生产环境，则GitHub将选择符合行业标准概述的物理安全控制并发布年度外部审核报告（例如SOC 2或ISO 27001认证）的供应商。对电信区域、机箱或机架或者网络设备及其他“数据传输线路”或设备的访问的控制如下：

a. 访问将由一个或多个入口的胸卡读取器控制；

b. 仅用作出口的大门只有“单向”球形门拉手或安装有防护杆出口装置；

c. 所有大门配备有门报警器触点；

d. 所有出口门都有视频监控；以及

e. 所有读卡和视频系统都会连接到发电机或 UPS 备份系统。

2. 信息申请和合规报告。

2.1信息请求。

根据客户的书面请求（每年一次），GitHub将响应一项信息请求，以评估与安全性和合规性风险相关的信息。 回应将在收到申请后三十天内以书面形式提供，任何申请需要澄清时待定。

2.2响应内容。

GitHub将根据其提供的数据和服务，自行决定在GitHub的年度响应中包括针对生产数据中心，IaaS，PaaS或私有托管提供商的相关审核报告，这些审核报告由GitHub自行决定。

2.3 GitHub安全审核报告。

GitHub将执行外部审核，以生成SOC1（类型2）审核报告和SOC2（类型2）审核报告。 GitHub 将在协议期限内继续每年至少执行一次审核并发布相应的报告。

3. 配合监管审计。

如果客户实现监管审核或响应要求GitHub参与的监管机构的审核，则GitHub将通过提供对相关知识渊博的人员，文档和应用软件的访问权限，来充分配合相关要求。客户对任何此类监管或主管机关审计具有以下责任：

a. 客户必须确保使用独立第三方（意指监管者或监管者的代表），并且客户不能访问与其不相关的发现和数据。

b. 该等审计通知必须是书面的，并且要及时提供给 GitHub，等待监管者通知，并且允许适当人员提供协助。 当监管机构未提前向客户通知审计或调查时，GitHub 将及时按照监管机构的要求回应。

c. 任何第三方审计机构必须在监管机构允许的范围向 GitHub 披露任何发现和建议的措施。

d. 在监管审计时，只允许在正常上班时间（太平洋时间）访问。

e. 在法律允许的范围内，客户必须对通过 GitHub 任何该等审计收集的性质为机密的任何信息保密。