最近更新:
Let’s Encrypt 隐私政策将从以下三种场景描述我们如何收集、使用、披露您的信息:
- 当您作为依赖方访问使用 Let’s Encrypt 证书的 HTTPS 的网站时;
- 当您是我们的用户,申请并使用 Let’s Encrypt 证书时;
- 当您作为访客,访问 Let’s Encrypt 网站、社群论坛、letsencrypt.org 下其他网页以及 Let’s Encrypt 在第三方社交平台上运营的账户时。
Let’s Encrypt 服务由美国加利福尼亚州的非营利公益组织互联网安全研究组(ISRG)提供。
依赖方
当您使用具有 Let’s Encrypt 证书的 HTTPS 网站或其他 TLS 服务时,您的浏览器(或 TLS 客户端)将向 Let’s Encrypt 核实证书是否已被吊销(“OCSP 请求”)。 如果您的浏览器发出 OCSP 请求,我们的服务器将自动在服务器的临时日志文件中记录您的 IP 地址、浏览器和操作系统。 我们绝不会使用 OCSP 请求中的数据来构建档案或识别个人。 临时日志仅用于维持服务正常运作,通常会在七天内删除。 我们可能会长时间保留一部分服务器日志,以便调查软件出错或滥用情况。 如果我们这样做,我们将在完成调查后删除任何存储的日志。 我们也可能通过服务器日志测算统计数据,并予以保留或发布,例如哪些证书产生的请求量最大。 我们将始终努力确保此类数据集不包含可识别用户或设备的活动信息。
用户
作为用户,您向 Let’s Encrypt 申请可信数字证书,用于公开证实您对互联网上可寻址的若干域名拥有控制权。 在证明该控制权的流程中,Let’s Encrypt 将收集各种与证书认证和管理相关的信息。 该信息包括:您访问 Let’s Encrypt 服务所用的 IP 地址;所有请求证书的域名解析得到的所有 IP 地址;与所有验证请求相关的服务器信息;所有入站 HTTP/ACME 请求和所有出站验证请求的完整日志;以及从您的客户端软件发送,或推断自您的客户端软件的信息。 我们将根据受信根证书项目要求将此信息存储至少七年。 这种信息将最多储存十年。
我们需要能够向公众(包括那些依赖我们证书可信度的人)展示我们的服务正常运行。 因此,我们可能无法删除包括 IP 地址在内的某些信息。 该信息可能以多种方式公开,包括通过公共 API、公共存储库和/或公共讨论。
您可以选择提供邮箱地址等联系方式,以便获得账户服务或找回账户。 您的联系信息不会被公开,而且它只会根据下文提到的“执法请求与情有可原的情况”被分享。 提供邮箱地址即表示您同意收取我们的服务相关邮件。 您随时可以点击我们邮件底部的 “unsubscribe” 链接取消邮件订阅,或者您可以通过privacy@abetterinternet.org 随时联系我们 我们不会将您的联系信息用于营销或促销目的。
您可能需要从存储库(例如由 Debian、Ubuntu、RedHat 或 GitHub 运营的存储库)下载客户端软件。 您与此类软件存储库的交互,受该存储库自己的隐私政策和/或使用条款的约束。
访客
如果您是浏览 ISRG 网站的访客,您可以选择为我们捐款。 款项由我们信任的支付合作伙伴处理,包括 DonorBox、Stripe、Shopify 和 PayPal,具体取决于您所选的支付方式。捐款信息将存储在 ISRG 的 Salesforce 数据库中,如有必要还会录入 Sage Intacct 系统。 捐款时我们会收集您的姓名和电子邮箱,此外您还可以选择是否提供邮寄地址。 捐款完成后,我们会出于自身的正当利益使用您的信息,包括管理您的贡献、向您发送筹款提醒以及定期收取约定的款项。 您与 DonorBox、Stripe、PayPal、Shopify、The Giving Block、Gemini、SHIPHERO、Salesforce 以及 Sage Intacct 之间的交互受其各自的隐私协议约束。 我们不收集或保留与捐款有关的任何信用卡或银行信息。
您可以选择通过 ISRG 网站或其他营销渠道注册您的邮箱地址,以接收与 ISRG 项目相关的通讯邮件。 通过Salesforce发生的任何通信以及您与 Salesforce 的互动都受其隐私政策的制约。 我们偶尔会向您的邮箱发送与 ISRG 相关的推荐信息。 您可以通过邮件底部的链接或者联系 press@abetterinternet.org 取消订阅,从而将您的邮箱地址从我们的系统中删除。
如果您注册使用 ISRG 社区论坛,则您的个人信息和在论坛的行为受我们的服务托管兼软件提供商 Civilized Discourse Construction Kit 的隐私协议约束。 我们不会通过提供此支持论坛来收集或维护个人信息。
我们不会出售您的数据或信息
我们不会出售您的数据与信息。 包括所有依赖方、用户和访客的数据与信息。
执法请求与情有可原的情况
在我们拥有您的个人身份信息的期间内,我们可能会在有限的情况下向第三方披露这些信息。 此类情况包括:我们已经征得您的同意,或我们有充分理由相信披露信息属于法律义务(例如有传票或其他司法及行政命令为依据)。 如果为了防止生命财产损失、人身伤害或重大经济损失,我们有充分理由认为此举存在必要性,也可能会披露账户恢复信息。
如果法律要求我们披露您提交的信息,我们将尝试事先通知您这一情况(除非我们被禁止这样做,或者这样做是徒劳的),以给您反对披露信息的机会。 我们将尝试通过任何合理可行的方式提供此通知。 如果您不对披露请求提出异议,我们将会按法律要求提供您的信息。
此外,我们保留自行决定独立反对某些我们认为不适当的请求(访问我们的产品和技术用户的信息)的权利。
欧洲经济区的依赖方、用户和访客在 GDPR 下享有哪些权利?我该如何行使这些权利?
我们按照本政策的规定处理个人数据。 资料处理的目的和法律依据如下:
目的: 提供证书状态 (OCSP) 信息
法律依据: 合法利益
额外信息: 我们收集并处理来自依赖方的信息,以便可靠地提供证书状态信息。
目的: 提供证书签发和管理服务
**法律依据:**合同要求、合法利益
**额外信息:**我们收集并处理用户提供的信息,以便提供可靠安全的证书签发和管理服务,并向公众表明我们的服务正常运转。
目的: 向访客提供信息
**法律依据:**用户许可、合法利益
**额外信息:**我们收集并处理来自访客的数据,从而以高效可靠的方式通过网页和电子邮件提供信息。
**目的:**处理捐款与赞助咨询
法律依据: 合法利益
**额外信息:**我们收集并处理信息,用于受理捐款以及提供相关支持。
目的: 法律义务和情有可原的情况
**法律依据:**法定义务、合法利益
**额外信息:**当需要履行法律义务时,或为了防止生命财产损失、人身伤害或重大经济损失,当我们有充分理由认为确有必要时,我们可能会收集并处理相关信息。
请注意,我们可能无法删除包括IP地址在内的信息,因为在确定证书的可信度时,其他人必须依赖这些信息。 在某些情况下,我们可能会出于法定义务或为了保护您或他人的切身利益而处理个人数据。
您的个人数据可能会被收集至其他司法管辖区(包括美国),以供我们及我们的服务提供商存储并处理。 这些司法管辖区可能无法提供与您所处的司法管辖区(包括欧洲经济区)同等的数据保护等级。 我们已采取举措确保我们的服务提供商能够为欧洲经济区居民提供足够的个人数据保护等级,包括依据欧盟委员会核准的标准合同条款订立数据处理协议,或者采用欧盟委员会批准使用的其他保障措施。 您有权按下列联系方式通过电子邮件向我们了解您的个人信息具体是如何被传输至欧盟以外的。
位于欧洲经济区的个人对其个人信息享有法定权利,包括获取、更正、删除您在使用我们的网站和服务时由我们处理的个人数据。 如果您是位于欧洲经济区的依赖方、用户或访客,您可以:
-
邮件联系 privacy@abetterinternet.org 获取个人数据报告。 该报告包括我们所掌握的您的个人数据,并且以一种结构化、常用且便捷的格式提供。 请注意,在我们披露任何信息之前,我们可能会要求您提供其他信息以验证您的身份。
-
邮件联系 privacy@abetterinternet.org 要求更正或删除您的个人信息。
-
反对我们处理您的信息。 您可以要求我们停止使用您的信息,包括使用您的信息向您发送服务相关的电子邮件。 您可以随时通过点击 Let’s Encrypt 电子邮件中的“取消订阅”链接,撤销对于接收服务电子邮件的许可。
-
向监管机构投诉。 如果您位于欧洲经济区,并认为我们没有遵守数据保护法,您有权向当地监管机构提出投诉。
如需了解更多信息或反馈隐私问题,请联系 privacy@abetterinternet.org。