2021年透明度报告:1月至6月

艾比·沃尔默的形象

在GitHub,我们把开发人员放在首位,努力为代码协作提供一个安全、开放和包容的平台。这意味着我们致力于最小化对软件项目的干扰,保护开发人员的隐私,并在内容审核和用户信息披露方面对开发人员保持透明。这种透明度是至关重要的,因为它对人们的隐私、对信息的访问以及对影响其内容的决定提出争议的能力都有潜在的影响。考虑到这一点,我们已经发布了七年前的透明度报告(202020192018201720162015,2014)通知开发者社区关于GitHub的内容审核和用户信息的披露。

一份关于内容审核的联合国报告建议网络平台通过(1)内容删除政策的透明和(2)尽可能严格地限制内容来促进表达和获取信息的自由。在GitHub,我们两者都做。看看我们贡献查阅联合国专家的报告以了解更多细节。

我们通过以下方式促进透明度:

  • 公开制定我们的政策开源这样我们的用户就可以提供输入并跟踪更改
  • 解释我们做出决策的原因
  • 当我们需要限制内容时,随时通知用户,并附上我们的理由
  • 允许用户上诉删除他们的内容
  • 公开发布所有数字千年版权法(DMCA)和我们在公共仓库中实时处理的政府撤下请求

我们在符合合法限制的前提下,尽可能通过以下方式限制内容删除:

  • 调整我们的可接受的使用政策对言论自由的限制,例如对仇恨言论的限制国际人权法
  • 当我们看到有可能时,为用户提供纠正或删除特定内容的机会,而不是阻止整个存储库
  • 只在那些非法的地区限制对内容的访问(地理封锁),而不是为全球所有用户删除内容
  • 在删除基于涉嫌规避版权控制的内容之前美国DMCA第1201节或其他国家的类似法律),我们小心翼翼审查法律和技术两方面的要求,并给予用户选择寻求独立的法律意见由GitHub。

这份报告包括了什么

这一次,我们以六个月为周期进行报告,而不是每年一次,以提高我们的透明度水平。在之前的报告中,我们对过去几年的数据进行了一些比较。由于这份报告涵盖了2021年的六个月,我们还对2020年的统计数据添加了更多的粒度,以便与2020年上半年(1月至6月)和2020年下半年(7月至12月)进行一些比较。

在本期报告中,我们继续关注开发者和公众感兴趣的领域,例如我们收到的来自政府的请求——无论是关于我们的用户的信息还是删除用户发布的内容——以及与版权相关的删除。与版权相关的撤下(我们通常称之为DMCA撤下)与GitHub尤其相关,因为我们用户的很多内容都是软件代码,可以获得版权保护。也就是说,GitHub上只有一小部分内容是DMCA通知的主题(在10万个存储库中不到4个)。吸引内容被删除是开发者和公众都感兴趣的另一个领域。

综上所述,在这份透明度报告中,我们将审查2021年1月至6月的以下统计数据:

继续阅读更多细节。如果你不熟悉我们在本报告中使用的任何GitHub术语,请参阅GitHub术语表

要求披露用户信息

GitHub的法律要求用户资料的指引解释我们如何处理合法授权的请求,包括执法请求、传票、法庭命令、搜查令以及国家安全信函和命令。我们遵循法律,同时也要求用户对数据的请求遵守最高的法律标准。

某些合法授权的用户数据请求通常范围有限,不需要法官或地方法官的审查。例如,传票和国家安全信函都是强迫某人提供文件或就某一特定主题作证的书面命令,两者都不需要司法审查。国家安全函件只能用于国家安全事务,因此受到了进一步的限制。

相比之下,搜查令和法院命令都需要司法审查。国家安全命令是一种法庭命令,可以用来生成信息或授权监视。国家安全命令是由外国情报监视法庭该法庭是美国处理国家安全事务的专门法庭。

正如我们在的指导方针

  • 我们只发布信息给第三方时,适当的法律需求已经满足,我们认为有必要遵守我们的法律要求,或在紧急情况下,我们认为,信息披露是必要的,防止紧急危险的死亡或严重身体伤害一个人。
  • 我们需要传票披露某些类型的用户信息,如名称、电子邮件地址或IP地址相关联的一个帐户,除非在非常罕见的情况下,我们决定披露(尽可能有限)是必要的,防止紧急涉及死亡或严重身体伤害的危险,一个人。
  • 对于所有其他类型的用户信息,比如用户访问日志或私人存储库的内容,我们需要法庭命令或搜查令。
  • 我们会通知所有受影响的用户对其帐户信息的任何请求,除非法律或法院命令禁止我们这样做。

从2021年1月至6月,GitHub收到了172个要求披露用户信息的请求,而2020年1月至6月和2020年7月至12月分别收到了172和131个请求。在这172个申请中,我们处理了102个传票(96个刑事案件和6个民事案件)、47个法院命令、13个搜查令和3个紧急情况申请(与绑架、剥削儿童、炸弹威胁有关)。这些请求还包括7个跨境数据请求,我们将在本报告的后面分享更多信息。这些请求中绝大多数(96.4%)来自执法部门。剩下的3.49%是民事请求,所有这些请求都来自于民事诉讼当事人想要了解另一方的信息。

这些数字代表了我们收到的所有用户信息请求,无论我们是否披露了信息,但有一个例外:我们甚至被禁止陈述我们收到的国家安全信函或命令是否或有多少。更多的信息是下面.在下一节中,我们将介绍关于披露和通知的其他信息。

饼状图显示了处理的用户信息法律请求的不同类型:刑事传票(55.8%)、刑事法庭命令(27.3%)、刑事搜查令(7.56%)、跨境请求(4.07%)、民事传票(3.49%)和紧急情况(1.74%)。

信息披露和通知

我们仔细审查所有披露用户数据的请求,以确保它们遵守我们的政策和满足所有适当的法律要求,并在不符合的地方予以驳回。因此,我们没有在回应每一个请求时透露用户信息。在某些情况下,请求不够具体,在我们要求澄清后,请求方撤回了请求。在其他情况下,我们收到了非常广泛的请求,我们能够限制我们提供的信息的范围。

当我们披露信息时,我们从不分享私人内容数据,除非是为了回应搜查令。例如,内容数据包括托管在私有存储库中的内容。对于所有其他请求,我们只共享非内容数据,其中包括基本帐户信息,如用户名和电子邮件地址,元数据,如帐户使用或权限信息,以及关于帐户活动或访问历史的日志数据。

在我们从2021年1月至6月处理的172项请求中,我们对其中140项进行了信息披露。具体来说,我们公开了94份传票(89份刑事传票,5份民事传票)、30份法院命令、13份搜查令,以及3份紧急情况下的信息。

饼图显示不同类型的法律请求:刑事传票(63.6%)、刑事法院命令(21.4%)、刑事搜查令(9.29%)、民事传票(3.57%)和紧急情况(2.14%)所披露的用户信息

这140项披露影响了871个账户。

表格显示已处理的披露用户信息的总请求数(173),受影响的帐户数(871),披露信息的总请求数(140),以及披露信息的请求百分比(81.40%)。

我们通知除非法律或法院命令阻止我们这样做,否则当我们回应法律要求而披露其信息时,用户将无法使用。在许多情况下,法律请求会伴随着法院命令,阻止我们通知用户,这通常被称为“禁言令”。在(罕见的)紧急情况下,如果我们认为为防止死亡或严重伤害或由于正在进行的调查而有必要延迟,我们可以披露信息并延迟通知。

在2021年上半年我们披露信息的140次中,我们只能通知用户5次,因为其他135次请求要么是伴随着禁言令,要么是在紧急情况下收到的。这与2020年同期相比有所增加,当时我们从1月到6月只能通知用户6次,7月到12月只能通知用户7次,因为其他97个和84个请求分别伴随着禁言令。

合并条形图的用户通知法律请求披露打破紧急情况,通知发送和禁口令(没有通知发送)随时间。在2021年上半年(1月至6月),图表显示了3个紧急情况、6个通知和132个禁令。

在6个月的时间内,根据紧急情况、已发送的通知和禁言令(未发送通知),对法律请求披露的用户通知的组合柱状图:2020年H1(6个通知,97个禁令),2020年H2(7个通知,84个禁令),2021年H1(3个紧急情况,6个通知,132个禁令)。

虽然有禁言令的请求数量在总体请求中所占比例继续呈上升趋势,但这与我们处理的刑事请求数量有关。刑事案件中的法律请求通常会伴随着禁言令,因为执法部门经常声称通知会干扰调查。在紧急情况下收到的请求也是如此。另一方面,民事案件通常是公开记录的,法律程序的目标往往是诉讼的一方,因此无需保密。在报告期间,我们处理的民事请求中没有一个附有禁言令,这意味着我们通知了每一个受影响的用户。

从2021年1月至6月,我们继续看到我们处理的民事请求(3.6%)与我们在报告期间通知用户的能力(3.6%)之间存在相关性。我们过去几年的数据也反映出通知百分比与民事请求百分比相关的趋势:

  • 通报率为6.8%,民事请求率为6.9%
  • 2019年通报率为3.7%,民事请求率为3.1%
  • 2018年,9.1%的通知请求和11.6%的民事请求
  • 2017年,18.6%的通知请求和23.5%的民事请求
  • 2016年,20.6%的通知和8.8%的民事请求
  • 2015年,41.7%的通知和41.7%的民事请求
  • 2014年,40%的通知请求和43%的民事请求

国家安全信件和命令

我们能够合法披露的信息非常有限国家安全信函外国情报监视法(FISA)命令.美国司法部(DOJ)发布了指导方针,只允许我们报告有关这类请求的信息,范围从0开始,为250。如下所示,我们从2021年1月到6月收到了0-249个通知,影响了0-249个账户。

收到的国家安全和订单表(0-249)和受影响的账户(0-249)。

跨境数据请求

美国以外的政府可以通过美国司法部(DOJ)通过相互法律援助条约(MLAT)或类似形式的国际法律程序,对用户信息提出跨境数据请求。我们的法律要求用户资料的指引解释我们如何处理来自外国执法部门的用户信息请求。从本质上讲,当外国政府从GitHub寻求用户信息时,我们将政府指示给司法部,以便司法部可以确定该请求是否符合美国的法律保护。

如果确实如此,司法部会向我们发出传票、法庭命令或搜查令,然后我们会像从美国政府收到的任何其他请求一样处理这些请求。当我们从司法部收到这些请求时,它们不一定有足够的背景,让我们知道它们是否来自另一个国家。然而,当他们确实表明这一点时,我们会在传票、法庭命令和搜查令的统计数据中捕捉这些信息。

从2021年1月到6月,我们直接收到了7个外国政府的请求。这些请求来自四个国家:巴西、德国、印度和日本。与我们上述的指导方针一致,在每一个案例中,我们都将这些政府提交给司法部,让其使用MLAT程序。

在下一节中,我们将描述我们收到的两类主要的删除或屏蔽用户内容的请求:政府删除请求和DMCA删除通知。

政府在拆卸

GitHub不时会收到来自政府的请求,要求删除他们认为在当地管辖范围内非法的内容。当我们应政府要求删除内容时,我们会尽可能将其限制在非法内容的管辖范围内(不是在任何地方)。此外,我们总是公开发布导致阻塞的官方请求政府在拆卸库它创建了一个公共记录,人们可以看到政府要求GitHub删除内容。

当我们收到请求时,我们确认是否:

  • 这一请求来自一个官方政府机构
  • 一位官员发出了一份确认内容的实际通知
  • 一位官员详细说明了该国非法行为的来源

如果我们认为这三个问题的答案都是“是”,那么我们就会以我们所能看到的最狭隘的方式屏蔽内容,例如,只在地方管辖范围内屏蔽内容。

从2021年1月到6月,GitHub收到并处理了4个政府基于当地法律的撤下请求——两个来自俄罗斯,两个来自中国。这导致俄罗斯和中国分别有39个项目(两个实体店和37个仓库)被封锁。相比之下,在2020年,我们在上半年处理了21次拆卸,在下半年处理了23次拆卸,全部来自俄罗斯。与2020年同期相比,我们在2021年上半年处理的政府撤职请求数量明显减少。

除了基于违反当地法律的请求,GitHub还处理了政府提出的四项要求,即删除违反服务条款的内容,影响到4个账户和13个项目,时间为2021年1月至6月。这些请求涉及网络钓鱼(美国)、恶意软件(美国)和版权,根据我们的DMCA下拉政策(中国)处理。

DMCA共有

与我们的内容审核方法一致,GitHub处理DMCA声明,最大限度地保护开发者,我们在设计DMCA删除政策时考虑到了开发者。我们收到的大多数内容删除请求都是根据《数字千年版权法》提交的,该法案允许版权所有者要求GitHub删除他们认为侵犯其版权的内容。如果发布侵权内容的用户认为下架是一个错误或识别错误,他们可以发送反通知,要求GitHub恢复这些内容。

此外,在处理一个有效的下架通知,声称只有一部分存储库是侵权的,或如果我们看到这种情况,我们给用户一个机会来解决在通知中确定的索赔。我们现在还对所有声称规避技术保护措施的有效通知都这样做。这样,如果用户删除或纠正通知中确定的特定内容,我们就不必禁用任何内容。这是我们DMCA政策的一个重要元素,考虑到用户在他们的项目中对彼此代码的依赖程度。

每次我们收到有效的DMCA撤下通知时,我们都会编辑个人信息,以及任何我们无法确定存在违规的报告url。然后我们把通知寄到公共DMCA库

我们的DMCA可拆卸的政策解释更多关于DMCA的过程,以及撤下通知和反通知之间的区别。它还列出提出有效请求的要求,包括考虑提交通知的人合理使用

收到并处理了拆下通知

从2021年1月至6月,GitHub收到并处理了980份有效的DMCA撤下通知。这是我们删除内容或要求用户删除内容的单独通知的数量。此外,我们在2021年1月至6月期间收到并处理了20个有效的反通知、4个撤销通知、1个撤销通知和1个撤销通知,共1006个通知。在本报告期内,我们没有收到任何与DMCA撤下要求有关的法律行动通知。

DMCA通知总数表按撤销通知或撤销反通知(981)、撤销通知、撤销通知和撤销通知(25)和已提交的法律诉讼通知(0)计算。

内容可以被删除,也可以被恢复。在某些情况下,如果我们收到以下内容之一,我们会恢复被删除的内容:

  • 反通知:内容被删除的人向我们提供了足够的信息,声称内容被删除是错误或识别错误的结果。
  • 撤销:提交撤销申请的人改变了主意,要求撤销。
  • 撤销:GitHub在收到一个看似完整的撤下请求后,随后收到了使其失效的信息,我们改变了最初遵守撤下通知的决定。

这些"撤销"和"撤销"的定义都是指撤销请求。然而,对于反通知,同样的情况也会发生。从2021年1月至6月,我们处理了一次反通知撤销。

在同一时期内,每月的拆下通知总数为118至218条。每月的反通知、撤销和逆转的总数从1到8。

处理的DMCA撤下通知与按月处理的撤销、撤销和反通知的组合条形图。

受DMCA撤下请求影响的项目

通常,一个下架通知可以包含多个项目。对于这些实例,我们查看了2021年1月至6月由于DMCA撤下请求而被撤下的项目总数,包括存储库、图表和GitHub Pages网站。基于反向通知、撤销或逆转而恢复的项目每月总数从负1到34不等。(“负一”表示一个反通知,我们将其反转,因为它被证明是无效的。)我们每月收到的反通知、撤销通知和撤销通知的数量不到dmca相关通知的1%到近2%。这意味着大多数情况下,当我们收到一个有效的下架通知时,内容就会被删除并保持下来。从2021年1月到6月,我们总共取消了7675个项目,恢复了53个项目,这意味着7622个项目保持了下来。

尽管7622个项目听起来可能很多,但它还不到GitHub上存储库的千分之四。

它还计算了许多目前正在进行的项目。当用户根据下架通知做出改变时,我们将其计算在“滞留”数中。因为报告的内容一直在下降,所以即使项目的其余部分仍然在上升,我们也将其包括进来。这些是在恢复的数量之外的。

因DMCA撤销通知或撤销反通知而撤销的项目与因DMCA撤销通知、撤销或撤销而恢复的项目的组合柱状图。

规避索赔

在我们的DMCA报告中,我们还特别关注了声称绕过DMCA第1201节下的技术保护措施的撤下通知。GitHub要求DMCA撤下通知完整且可起诉的额外信息,因为它声称存在规避行为。我们可以通过搜索相关关键字的下架通知来估计我们处理的包含规避索赔的DMCA通知的数量。在此基础上,我们可以估计,在我们从2021年1月至6月处理的980个通知中,有12个通知(1.2%)与规避有关。尽管近年来这一比例在上升,但在2020年上半年有所下降:

  • 63个,占2020年所有通知的3.0%
  • 占2019年所有通知的49个或2.78%
  • 2018年有33个或1.83%的通知
  • 2017年通知数量为25或1.81%
  • 2016年通知数量为36个或4.74%
  • 占2015年通知总数的3.56%

尽管在过去几年中,针对规避行为的下架通知有所增加,但它们相对较少,与规避行为有关的下架通知的比例在所有下架通知的2%到5%之间波动。虽然我们目前的数据是基于通知的关键字搜索,但我们最近实现了分类,这将允许我们在未来的透明度报告中更密切地跟踪和报告这些数据。

饼图显示仅因侵犯版权(968)和规避而收到的撤下通知(12)。

收到未完成的DMCA撤下通知

所有这些数字都是关于我们收到的有效通知。我们也收到了很多关于版权侵权的不完整或不充分的通知。因为这些通知不会导致我们删除内容,所以我们目前没有跟踪我们收到多少未完成的通知,或者我们的用户在不发送删除通知的情况下解决问题的频率。

基于DMCA的数据在过去几年里,我们发现从2014年到2019年底收到和处理的DMCA通知有所增加。这种增长与存储库在同一时期内的增长密切相关,因此受拆下影响的存储库的比例随着时间的推移保持相对一致。自2020年1月以来,下线呈现出平均下降趋势,除了2020年10月下线的youtube-dl,尽管我们后来恢复了该项目。

看看每个月的下架数量便会发现,平均每个月大约会增加2个下架通知,平均每个月影响大约24个项目(不包括youtube-dl和其他异常值)。

因DMCA下线而下线的项目随时间逐月处理图表,回归线显示每月下线超过24个

DMCA下架通知随时间逐月处理的图表,回归线显示每月约增加2次下架通知。

经处理的DMCA撤下通知与随时间推移受影响的项目对比图。H1-2021年期间,有7675个项目受到981个通知的影响,这些通知与2018年至2019年的前几个季度密切相关。

上诉和其他复职

复职,包括上诉的结果,是公平对待我们用户的关键组成部分,尊重他们对删除内容或账户限制的补救权。当我们撤销为响应违反服务条款而禁用存储库、隐藏帐户或暂停用户对帐户的访问而采取的操作时,就会发生恢复。虽然有时会发生这种情况,因为用户对限制访问其内容的决定(上诉)提出异议,但在许多情况下,我们会在用户删除违反我们服务条款的内容并同意今后不再违反这些内容后恢复账户或存储库。为本报告的目的,我们研究了以下方面的恢复:

  • 滥用:违反我们的可接受使用政策,垃圾邮件和恶意软件除外
  • 贸易管制:违反贸易制裁限制的行为

GitHub的服务条款包括内容和行为限制,在我们的可接受的使用政策社区指导原则.这些限制包括歧视性内容、电子邮件、骚扰、色情内容、煽动暴力、虚假信息和冒充。注意:出于本报告的目的,我们不包括与垃圾邮件或恶意软件有关的上诉,尽管我们的服务条款也对这些内容进行了限制。

当我们确定发生了违反服务条款的情况时,我们可以采取一些强制措施。按照我们以最狭隘的方式限制内容以解决违规问题的方法,有时我们可以通过禁用一个存储库(删除一个项目)来解决问题,而不是对整个帐户采取行动。其他时候,我们可能需要在帐户级别采取行动,例如,如果同一个用户跨多个存储库提交相同的违规。

在帐户级别上,在某些情况下,我们只需要隐藏用户的帐户内容——例如,当违规是基于公开发布的内容时——同时仍然允许用户访问他们的帐户。在其他情况下,我们只需要限制用户对其账户的访问——例如,当违反行为是基于他们与其他用户的交互时——同时仍然允许其他用户访问他们的共享内容。对于像GitHub这样的协作软件开发平台,我们意识到我们需要提供这个选项,以便其他用户仍然可以访问他们可能想在项目中使用的内容。

我们根据采取的行动类型报道了限制和恢复措施。从2021年1月到6月,我们隐藏了1785个账户,恢复了120个隐藏账户。我们限制了一个账户所有者对33个账户的访问并恢复了12个账户的访问。对于1479个账户,我们都隐藏和限制了账户所有者的访问权限,解除了这两个限制,完全恢复了18个账户,解除了一个但不解除另一个,部分恢复了五个账户。至于项目层面的滥用限制,从2021年1月至6月,我们禁用了877个项目,仅恢复了49个项目。这些不包括与DMCA相关的下架或恢复(例如由于反通知),这在上面的DMCA部分中有报告)。

表显示隐藏帐户限制和恢复的总数(1 785个限制;120恢复),帐户访问受限(33;12)、账户隐藏和访问受限(1479;18个和5个部分),项目被取消(877个;49)。

贸易管制合规

我们致力于让世界上尽可能多的开发者在GitHub上进行合作。美国政府已经对几个国家和地区实施了制裁(包括克里米亚、古巴、伊朗、朝鲜和叙利亚),这意味着GitHub并不能在所有这些地方完全可用。然而,GitHub将继续与美国监管机构一起,为受制裁地区的开发者提供尽可能多的代码协作服务。例如,我们获得了美国政府的许可,允许伊朗的开发者完全使用所有GitHub服务.我们正在继续为克里米亚和叙利亚以及其他受制裁地区的开发商争取类似的结果。我们的服务也是一般向古巴的开发商开放除特别指定的国民外,包括某些政府官员。

尽管贸易管制法律要求GitHub限制某些地区的账户访问,但我们允许用户对这些限制提出上诉,并与他们合作,在法律允许的范围内恢复尽可能多的账户。在许多情况下,我们可以恢复用户的帐户(批准上诉),例如,当他们从临时旅行到一个限制地区返回时,或者当他们的帐户被错误标记时。更多关于GitHub和贸易控制的信息可以在这里找到

我们于2019年7月开始跟踪与制裁有关的申诉。与滥用相关的违规行为不同,我们必须始终在帐户级别采取行动(而不是能够禁用存储库),因为贸易管制法律要求我们限制用户对GitHub的访问。从2021年1月至6月,591名用户呼吁实施贸易控制相关账户限制,而2020年1月至6月和2020年7月至12月分别有1099名和1437名用户呼吁实施贸易控制相关账户限制。在我们从2021年1月至6月收到的591起上诉中,我们批准了531起,拒绝了56起,并要求处理4起案件的进一步信息。我们还收到了29个不受贸易管制的用户错误提交的上诉,因此我们将他们排除在下面的分析之外。

饼图显示,贸易管制上诉结果分别为批准(89.8%)、拒绝(9.48%)和要求提供更多信息(0.677%)。

不同地区的诉求差异很大,据报道有455人来自克里米亚,75人来自伊朗,57人来自叙利亚,还有一人来自朝鲜。在绝大多数案件中,我们都能够批准上诉。虽然在我们获得GitHub在该地区完全可用的许可之前,我们收到了来自伊朗的一些请求,但最终我们能够批准所有请求。在10个案例中,我们无法在数据中指定一个地区的上诉。我们在下表中将它们标记为“未知”,并将它们排除在下表中的区域总数中。

按区域显示贸易管制呼吁结果的表格。克里米亚:409人通过,43人拒绝,其他3人采取行动。伊朗:73,2 * (* GitHub获得为伊朗用户提供服务的许可后,这些用户不再受限制),0。朝鲜:1,0,0。叙利亚:47,10,0。未知:31,0,1。

结论

GitHub仍然致力于维护透明度和促进自由表达,这是我们对开发者承诺的重要组成部分。我们的目标是通过提供与开发人员和软件开发平台最相关的内容删除领域的深入解释,在我们的透明度方法中以实例为先导。这一次,我们将透明度报告的频率从一年增加到六个月(2021年1月至6月)。我们还发布了一些工具改进,使我们能够在未来的报告中涵盖开发人员感兴趣的其他领域。我们承诺的关键是确保我们尽可能减少公开的数据量,或尽可能合法地删除的内容量。通过我们的透明度报告,我们将继续阐明我们自己的做法,同时也希望为平台治理的更广泛讨论做出贡献。

我们希望今年的报告对您有所帮助,并鼓励您这样做让我们知道如果您对将来的报告中添加的内容有建议。想了解更多关于我们如何制定GitHub的政策和程序,请查看我们的网站政策库


遵循Twitter上的GitHub政策有关影响开发商的法律法规的更新。