GitHub 全球候选人数据隐私声明

GitHub（下文称“我们”或“GitHub”）非常重视您的隐私。我们尊重所有个人的隐私权，致力于本着负责任的态度，依照适用的法律处理个人数据。本隐私声明，以及我们在收集数据时可能向您提供的补充协议和其他通知，用于说明 GitHub 处理哪些个人数据、我们如何使用此等个人数据，以及您对此等个人数据享有的权利。

请注意，本隐私声明适用于您作为候选人时我们对个人数据的处理。

本声明不适用于您作为消费者使用 GitHub 消费者产品的情况，亦不适用于您在 GitHub 候选人身份之外的活动。 GitHub 消费者产品可能包含服务、网站、应用、软件、服务器以及设备。如果要详细了解 GitHub 针对您以消费者身份使用其产品时的数据收集情况，请参阅我们的 GitHub 隐私声明。

本声明不作为、亦不得解读为构成任何关于录用、任何福利或特定情形下特定待遇的明示或默示承诺或合同。本声明中的任何内容，均不得解释为 GitHub 为履行法定义务、或为调查涉嫌不当行为或违反公司政策或法律之情形而处理候选人数据的能力限制规则，但一切必须以遵守当地法律要求为前提。

GitHub 对个人数据的处理在任何情况下均须遵守适用当地法律、内部政策的相关要求，以及（在适用或适当情况下）与员工代表通过协商达成的任何要求。如果本声明与您所在管辖权地的法律存在冲突，应以当地法律为准。

我们处理的个人数据

（这可能包括您提供给我们的数据、我们收集或生成的数据，或我们分配给您的数据。）

我们在业务运营中会收集、使用和存储（统称为“处理”）各种类型的个人数据。在您是候选人的情况下，我们处理的个人数据类型通常仅限于以下目的所需的范围：与您就 GitHub 职业机会进行接洽、考量您申请 GitHub 特定职位（包括候选人筛选、面试安排与管理、合法的背景审查）的适配程度，以及在您获得并接受录用通知后为您办理 GitHub 入职手续。

我们处理的个人数据包括但不限于以下内容：

姓名和联系方式数据。您的名字和姓氏、员工编号、电子邮件地址、邮寄地址、电话号码、照片、受益人及紧急联系人详细信息，以及其他类似联系数据。此外，您可以选择向 GitHub 提供额外的联系信息，例如个人电子邮件地址和/或手机号码。

人口统计数据。您的出生日期和性别，以及更敏感的个人数据（亦称特殊类别数据），包括种族和民族、宗教信仰、政治或哲学信仰、工会会员身份、或您的健康状况、残疾状况、性取向、性别认同及跨性别身份等相关信息。此外，我们可能询问您的婚育状态及服役状况。

国家识别信息。您的国民身份证/护照、公民身份状态、居留权与工作许可状态、社会保障号码或其他纳税人/政府识别号码。

雇用详细信息。您的职位/岗位、帐户凭证、办公地点和/或远程工作地点、雇佣合同、录用通知书、入职日期、终止日期、绩效记录与纪律处分记录、工作时长、工牌活动信息、培训记录、休假情况、病假时间以及假期/假日记录。

配偶/伴侣及家属信息。您配偶和家属的姓名、出生日期和联系人详细信息。

背景信息。您的学术及专业资格、教育背景、简历、信用记录以及犯罪记录数据。

视频、声音和图像。在遵守当地法律要求、内部政策规定，以及（在适用情况下）与员工代表通过协商达成的要求的前提下，我们可能收集和使用您的视频、声音与图像数据。

财务信息。您的银行帐户详细信息、税务信息、薪资、退休帐户信息、公司津贴，以及管理薪资、税务、福利、股权与激励薪酬所需的其他信息。

推理。 通过推理形成反映您个人特征（例如工作经历与经验）、能力及资质的画像。

个人数据来源

除直接或间接向您本人收集个人数据外，我们还会从其他数据来源获取个人数据，包括：

我们从处理的个人数据中生成或推导出的关于您的推断数据。
由您提供或关于您的证明人信息，包括来自前雇主和现雇主的此类信息。
第三方或公共来源（例如，出于招聘目的，从 LinkedIn 个人资料等公共求职社交来源获取的信息）。
我们的供应商及其他服务提供商：例如，在符合法律规定的前提下，如果我们需要通过第三方供应商对您进行合法的背景审查，该供应商会向我们提供有关您过往教育、就业、信用和/或犯罪记录的信息。

我们处理个人数据的目的

我们出于下述目的收集并处理您的个人数据，包括但不限于以下各项。未能按照要求提供您的个人数据，将导致我们无法完成以下任务和/或履行我们的法定义务。

招聘和录用。用于我们的招聘与录用目的，包括：与您接洽 GitHub 职位机会、考量您对特定职位的申请、候选人筛选、面试安排与管理、合法审查及背景调查，以及录用通知书准备。

薪资、报酬与会计。用于薪资与报酬活动，包括：税务申报、股权与激励薪酬管理、激励计划管理、费用报销及其他会计事务。

福利登记。用于与福利登记相关的活动。

职业规划与发展。用于职业规划与发展的相关活动，包括评估和提供 GitHub 职业机会。

平等机会评估与合理便利。为管理与评估我们的就业机会平等性、多元化、包容性及可及性计划，包括监督并确保平等待遇与机会、提供工作相关便利或调整，以及推进我们的全球机会平等倡议。

法律与政策合规管理与执行。为管理和执行我们的法律及政策合规项目与要求，包括：履行我们在合同、政府安全审查及适用 GitHub 政策项下的义务；维护所需记录；根据司法授权（例如，依据美国或外国管辖权地的法院命令、行政或司法程序、或其他公共机构的合法请求）收集或披露个人数据；开展合法的背景审查；遵守法律和法规（例如，关于最低工资、工作时间、税务、健康与安全、反歧视法律、政府报告义务、全球人员流动、举报人程序以及数据主体权利的法律法规）；以及调查潜在违规行为、行使或维护 GitHub 的法律权利（包括寻求法律建议、打击欺诈、保护员工及他人的生命安全）。

科学研究。用于科学研究的相关活动，包括出于公共利益的研究以及旨在贡献可推广知识的研究，但须在实施适当技术与组织控制措施的前提下（例如：数据匿名化与聚合、遵守我们的隐私标准、以及开展伦理与合规审查）。

个性化。用于个性化活动，例如，了解您的偏好以增强候选人体验，包括存储并遵从您的偏好与设置、授权您登录或以其他方式访问和使用我们的系统与资产。

AI 与自动化决策。随着 GitHub 逐渐在其产品中引入 AI 赋能体验，您的个人数据也可能被 AI 处理，从而为部署在 GitHub 租户上的特定功能与体验提供支持，例如聊天机器人功能、摘要生成功能等 AI 功能。在允许的情况下，人工智能 (AI) 与机器学习 (ML) 技术也可能用于处理您的数据，以实现本节所述的业务目的。 GitHub 对您数据的处理将遵循其打造负责任 AI 体验的承诺。我们也可能使用自动化决策系统，识别趋势与系统故障、监测并保护我们的系统与数据、提供聊天机器人及其他交互式服务，以及监控政策与程序的合规情况。

常规业务运营。用于常规业务运营，包括：业务的常规管理、实施与管理我们的商业应用程序与系统、以及促进沟通与协作。

为实现上述目的，我们可能合并使用来自不同来源的数据。

为实现前述目的（例如常规业务运营）而使用个人数据时，可能涉及到部署在 GitHub 租户上的 AI 赋能体验，例如聊天机器人功能、摘要生成功能等 AI 功能。涉及此类体验的数据处理，将遵循 GitHub 对打造负责任 AI 体验的承诺。

在适用法律允许的范围内，我们也可能在必要时针对其他合法业务目的处理个人数据。

根据法律要求，我们将针对上述用途征求您的同意；在征求您同意时，我们将确保您的同意是在知情、自愿的前提下作出，且您不会因任何拒绝或撤回同意的决定而遭受任何不利后果。

处理目的变更

我们仅会基于个人数据收集时对应的目的使用该数据，除非我们基于合理需求将其用于另一项兼容目的，且存在进一步处理的法律依据。例如，基于我们在招聘 GitHub 职位候选人方面的合法利益，我们可能会处理您在研究职位空缺时提供的个人数据。然而，一旦您申请并成功获得某一职位，我们可能会基于与您建立雇佣关系的目的处理您的个人数据。

我们披露个人数据的方式与原因

GitHub 仅会向具有合法业务需求的相关人员披露您的个人数据。每次披露个人数据时，我们将确保数据的使用方式符合本隐私声明（及任何与个人数据敏感度及分类相关的适用内部数据处理指南）。您的个人数据可能因以下合法目的向我们的子公司、关联公司及其他第三方（包括服务提供商）进行披露：

为实现上文所述的个人数据处理目的（参见“我们处理个人数据的目的”部分）；
为使第三方能够代表 GitHub 提供服务；
为履行我们的法定义务，遵循法规、政府安全审查或合同要求，或为响应数据主体权利、法院命令、行政或司法程序（例如传票、政府审计或搜查令）。数据接收方类别包括合同相关方、司法和政府机构；
为响应公共机构（例如监管机构、执法机关与国家安全组织）的合法请求；
为寻求外部律师的法律建议与其他外部专业人士（例如会计师、管理顾问等）的意见；
出于确立、行使或抗辩潜在、胁迫或实际诉讼的需要；
必要时保护 GitHub、您的切身利益（例如安全和安保）或他人的切身利益；或
依照您的同意用于其他目的。

请注意，如果法律要求对个人数据的披露做出限制，GitHub 将遵守该等要求。

您对个人数据的权利

在部分地区，依据适用的数据保护法律（例如“欧盟一般数据保护条例”和“英国一般数据保护条例”），您可能享有特定权利。有关区域/国家/地区的其他信息，请参阅本声明的补充协议。

Cookie 与 Web 信标的使用

网站页面可能使用 Cookie（置于设备上的小型文本文件）和类似技术。 Cookie 及类似技术允许我们存储并遵从您的偏好与设置；授权登录；防范欺诈；以及分析我们网站和在线服务的运行情况。

我们也会使用“Web 信标”协助投放 Cookie 和收集使用情况与性能数据。我们的网站可能包含第三方服务提供商的 Web 信标、Cookie 或类似技术。

您可以借助多种工具控制通过 Cookie、Web 信标及类似技术收集的数据。例如，您可以使用互联网浏览器中的有关控件限制所访问网站 Cookie 的使用权限，通过清除或拦截 Cookie 撤回您的同意。

个人数据的安全性

GitHub 致力于保护个人数据的安全性。我们利用各种安全技术和程序保护你的个人数据，以防在未经授权的情况下擅自访问、使用或披露此类信息。例如，我们会将您提供的个人数据存储在受控设施内、访问受限的计算机服务器上，也会对某些高度机密或敏感的个人数据实施传输加密与静态加密保护。

个人数据存储与处理位置

GitHub 业务范围遍及全球，因此个人数据可能需要传输到原始收集地以外的其他国家/地区。例如，我司总部位于美国，因此在其他国家/地区收集的个人数据会定期传输到美国进行处理。我们将个人数据从欧洲经济区和英国传输到其他国家/地区，其中一些国家/地区尚未达到欧盟委员会确定的数据保护水平。例如，这些国家/地区的法律可能无法保证您享有相同的权利，或者可能没有能够处理您的投诉的隐私监督机构。当我们进行此类传输时，我们会使用合同等各种法律机制（例如欧盟委员会根据委员会执行决定 2021/914 发布的标准合同条款），在数据传输中帮助保障您的权利和保护您的数据。若要详细了解欧盟委员会关于在 GitHub 处理个人数据的国家/地区保护个人数据的充足性的决定，请参阅欧盟委员会网站上的这篇文章。在下述情形中，我们也可能传输个人数据：(i) 您已同意向境外地区披露；(ii) 出于订立或履行合同的需要；(iii) 出于维护整体公共利益或确立、行使或执行法律权利的需求；(iv) 出于保护您或他人生命或人身安全的需要，但无法在合理时间内获得您的同意；(v) 数据已公开发布，且未明确禁止处理；或 (vi) 数据来自我们拥有合法访问权限的法定登记记录。

GitHub 遵循美国商务部制定的“欧盟-美国数据隐私框架”(EU-U.S. DPF) 及其英国补充条款。 GitHub 已向美国商务部认证，在根据欧盟-美国 DPF 处理从欧盟接收的个人数据，以及根据对欧盟-美国 DPF 的英国扩展处理从英国（和直布罗陀）接收的个人数据时，遵守欧盟-美国数据隐私框架原则（欧盟-美国 DPF 原则）。依据 DPF，在接收个人数据并传输给授权代表我们的第三方代理时，GitHub 需要对个人数据的处理承担相应责任。如果代理方在处理此等个人信息时违反了 DPF，GitHub 仍须依据 DPF 承担相应责任，除非 GitHub 能够证明导致损失的活动与公司没有任何关联。如果本隐私声明中的条款与“欧盟-美国 DPF”原则存在任何冲突，以后者中的“原则”为准。如果想要详细了解“数据隐私框架 (DPF)”计划以及查看我们的认证，请访问美国商务部数据隐私框架网站。

如果要对 GitHub 关于 DPF 框架的参与情况提出质疑或投诉，建议您通过电子邮件与我们联系。dpo@github.com 对于 GitHub 无法直接解决的任何 DPF 框架相关投诉，我们选择与相关欧盟数据保护机构（或由欧盟数据保护机构组建的专门小组）合作，用以解决与欧盟数据主体之间的争议；与英国信息专员办公室合作，用以解决与英国数据主体之间的争议。如果希望我们为您提供相关数据保护机构的联系方式，请与我们联系。依据“DPF 原则”的详细解释，具有约束力的仲裁可用于处理通过其他方式无法解决的其他投诉。 GitHub 服从美国联邦贸易委员会 (FTC) 的调查权和执法权。

我们对于个人数据的保留

我们将依据适用法律或监管要求存储个人数据，并保留数据到实现其初始收集目的为止，具体期限以我司数据保留计划为准。

对此隐私声明的更改

我们可能会不定期更新本隐私声明。对本隐私声明做出更新后，我们将修改隐私声明顶部的“上次更新时间”日期。建议定期查看本隐私声明，了解 GitHub 如何保护您的个人数据。

如何联系我们

如果对本隐私声明存在隐私相关的疑虑或疑问，请联系 dpo@github.com。

我们的地址：

GitHub B.V. Prins Bernhardplein 200, Amsterdam 1097JB The Netherlands

GitHub, Inc. 88 Colin P. Kelly Jr. St. San Francisco, CA 94107 United States

补充协议

加利福尼亚州补充协议

上次更新时间：2025 年 6 月

加利福尼亚州：您的权利

本部分内容旨在补充隐私声明中阐述的信息，适用于居住在加利福尼亚州的候选人。

根据“2020 年加利福尼亚州消费者隐私法案”（修订版）（下称“CCPA”），加利福尼亚州居民对其个人信息享有特定权利。本部分将阐述您的权利，并说明行使此类权利。请注意，在过去的十二 (12) 个月内，我们没有出售您的个人信息，也没有将此类信息用于跨场景广告行为。我们可能向子公司、关联公司及其他第三方（包括代表 GitHub 提供服务的服务提供商）披露某些个人信息，例如您的姓名、电子邮件地址及其他类似联系人数据，以及推断信息。

您有权在我们收集个人信息之时或之前收到此说明，从中了解个人信息收集、使用、保留和披露的情况。
您有权要求知情与访问我们在过去 12 个月内对您个人信息的收集和使用情况。收到并确认您的可验证请求后，我们可能会向您披露以下信息：
- 我们收集的个人信息类别。
- 所收集个人信息的来源类别。
- 收集该个人信息的业务或商业目的。
- 向其披露该个人信息的第三方类别。
- 收集的具体个人信息（也称数据可携权请求）。
- 如果我们曾因为商业目的披露您的个人信息，则也将提供一份披露清单，载明每类接收方获取的个人信息类别。
您有权请求我们更正不准确的个人信息。
您有权请求我们删除从您处收集并保留的个人信息，但需遵守特定例外规定。收到并确认您的可验证请求后，我们将从记录中删除或去标识化（同时指示服务提供商删除或去标识化）您的个人信息，除非适用例外规定。
我们不会“出售”或“共享”个人信息，在过去的 12 个月内也未曾有过此类行为。
我们不会为推断个体特征或其他额外目的使用或披露敏感个人信息。

请注意，上述权利并非绝对，在适用法律要求或允许我们拒绝处理您请求的情况下，您的请求可能不会受理。

仅您本人或授权代理人有权提出关于访问、更正或删除个人信息的可验证请求。

任何可验证请求（包括删除数据的请求）均须：

提供充分信息，确保我们能够核实您是所收集个人信息对应的本人或授权代表（例如，我们有权要求提供一份带有个人署名的书面授权，用以证明代理方有权代表您提出请求）。
详细描述您的请求，确保我们能够正确理解、评估并做出响应。

如果无法核实您的个人身份或请求权限，无法确认该个人信息与您相关，我们将无法响应您的请求或向您提供个人信息。即便没有在我处创建帐户，也能向我们提出可验证请求。

我们无权因您违法行使任何权利而对您做出处罚。

您可通过以下任一方式行使 CCPA 规定的各项权利：

向 dpo@github.com 提交请求

加拿大补充协议

上次更新时间：2023 年 10 月

下述附加条款适用于加拿大候选人。

收集方式

我们收集您直接提供的个人数据（例如通过求职申请流程），以及（如上所述）设备自动向我们提供的信息。我们也可能在征得您同意的情况下间接收集个人数据。例如，我们从第三方背景审查服务提供商处收集背景审查信息，我们也可能从招聘机构或工作证明人处获得个人数据。请参阅“我们处理的个人数据”部分，详细了解我们收集的个人数据。

个人数据的传输

我们与我们的服务提供商（包括关联公司）可能会在您所在省份以外（例如，对魁北克居民，在魁北克省以外）访问、存储及以其他方式处理个人数据，包括我们或我们服务提供商所在的加拿大其他地区、美国及其他外国管辖权地。如果适用法律或法律程序（包括我们或服务提供商运营所在管辖权地的外国法院、执法机构或其他政府主管部门的合法访问）要求或允许我们、关联公司及服务提供商披露，则可能会披露您的个人数据。

保留

我们将依据本政策所述的收集目的，出于满足法律或业务要求的需要，处理并保存您的个人数据，具体期限以我司数据保留计划为准。

您的权利

在适用法律规定的有限例外情形下，您有权访问、更新、修正和纠正我们保管和控制的个人数据中的不准确之处，撤回您对我们收集、使用和披露个人数据的同意（不过，员工不得撤回为管理其雇佣关系而必需收集的个人数据之同意）。要请求访问、更新、修正及纠正我们保管或控制的个人数据中的不准确之处，或撤回您的同意，可发送电子邮件至 dpo@github.com。我们可能要求提供特定个人数据，用于核实您本人或提出请求者的身份。

如何联系我们

如果您对本隐私声明、或我们及服务提供商（包括我们在加拿大境外的服务提供商）处理个人数据的方式存在任何疑问或意见，或请求访问或更正个人数据，或撤回您的同意，请通过电子邮件 dpo@github.com 与我们联系。

欧盟 (EU) 与英国 (UK)

上次更新时间：2025 年 6 月

欧盟和英国：您的数据主体权利

除隐私声明所述信息外，根据适用的数据保护法律，包括“欧盟一般数据保护条例”及“英国一般数据保护条例”（合称“GDPR”）以及用于实施或补充 GDPR 的当地法律，欧盟及英国候选人（包括位于欧盟及英国的个人，某些情况下还包含通常居住于欧盟及英国但身处国外的个人）可能享有特定权利，他们有权：

请求访问并获取个人数据副本；
请求更正（或纠正）已提供但不准确的个人数据；
请求清除（或删除）已不再需要满足其初始收集目的的数据，或 GitHub 无需基于其他正当目的保留的个人数据；
限制或反对处理个人数据；以及
在适用情况下，请求将个人数据提供（传输）给另一家公司。

请注意，上述权利受特定条件与例外规定的限制，其具体适用情况可能因涉及的个人数据类型以及 GitHub 处理该个人数据的特定依据而异。

要请求行使上述权利，请通过电子邮件或邮寄信件到下述地址联系 dpo@github.com：

GitHub B.V. Prins Bernhardplein 200, Amsterdam 1097JB The Netherlands

GitHub, Inc. 88 Colin P. Kelly Jr. St. San Francisco, CA 94107 United States

我们将依照适用的数据保护法考量和处理任何请求。请注意，我们可能请求你提供特定信息，用于确认您的身份。在部分情况下，如果因回应您的请求而产生行政成本，我们有权向您收取合理的行政费用；但我们将事先告知关于费用的详细情况。

如果对个人数据的处理需要基于您的同意，您有权随时撤回同意。但是，请注意，撤回同意不会影响此前基于该同意处理个人数据的合法性。

欧盟和英国候选人（包括位于欧盟及英国的个人，或通常居住于欧盟及英国但身处国外的个人），如果对我们处理个人数据的方式存在疑问，也可通过发送电子邮件至 dpo@github.com 联系我们的数据保护官。

我们当然希望您的任何问题都能得到及时解答，但如果遇到了我们无法解决的疑虑，您有权向欧盟及英国的相关数据保护监管机构发起投诉。

对于候选人，个人数据的控制者是所申请职位的相应 GitHub 实体。 GitHub 也是前述数据主体的特定个人数据的控制者。有关数据控制者相关的任何隐私查询，均应通过访问 dpo@github.com 或邮寄至以下地址进行：

GitHub B.V. Prins Bernhardplein 200, Amsterdam 1097JB The Netherlands

GitHub, Inc. 88 Colin P. Kelly Jr. St. San Francisco, CA 94107 United States

此外，合同或作业应用程序中也会提供数据控制者的联系人信息。

对于欧盟和英国候选人（包括在欧盟及英国工作的个人，或通常居住在欧盟及英国但身处国外的个人），我们将依据不同的合法依据收集和处理个人数据（如 DPN 所述），例如：出于运营业务、履行合同与法律义务、保护系统及数据安全性，或实现其他合法利益的需要。此类合法依据包括以下各项内容（或不定期发布的其他依据）：

合同履行：

管理雇佣或工作关系
薪资、报酬与会计
福利登记和管理

保护切身利益：

紧急通知

出于公共利益执行任务：

科学研究

遵守法定义务：

平等机会评估与合理便利
法律与政策合规管理与执行
公司交易

履行我们的合法权益：

招聘和录用
职业规划与发展
常规人力资源管理
平等机会评估与合理便利
法律与政策合规管理与执行
个性化
自动化决策
常规业务运营

我们基于合法权益处理您个人数据时，您在特定情形下可以对此类处理提出反对。在此类情况下，我们将停止处理您的个人数据，除非我们拥有令人信服的合法理由需要继续处理，或该处理基于法律原因而必须进行。

GitHub 全球候选人数据隐私声明

本文内容