数据请求概述
此翻译文本仅供参考。如果本版本与英文版本存在任何歧义,则以英文版本为准。
Slack 致力于建立信任感和透明度
在以下文档和常见问答中,你可以找到我们处理来自政府和执法机构的数据请求以及处理民事第三方数据请求的政策和准则。你还可以找到关于我们收到的请求数量和相应回复的年度报告。
数据请求政策
作为我们“建立信任感和透明度”承诺的一部分,我们的数据请求政策概述了 Slack 回复客户数据请求的政策和程序。本政策为我们处理第三方数据请求、法律当局的请求、客户通告以及国际数据请求提供了实践指导。
透明度报告
Salesforce 每年会发布一次包括 Slack 在内的 Salesforce 公司在上一日历年收到的有关法律执行和政府请求的信息。这些透明度报告概述了 Salesforce 维护客户机密的指导原则、每年收到的请求数量,以及与回应相关的数据。过去几年的透明度报告可以在 Slack 的法律文件归档中找到。
常见问题
Slack 如何处理来自政府和执法机构的请求?
如我们的隐私政策和服务条款所述,Slack 是一个高效的在线工作平台。如果我们收到来自政府或执法机构的有效法律程序,我们可能有义务根据适用法律提供用户数据。我们的数据请求政策概述了我们针对这些请求的要求,我们的透明度报告显示了我们每年从政府和执法机构收到的请求的类型和数量。
我应该在何处发送法律程序?
执法机构和政府机构(包括国际政府和执法机构)的所有请求都可以发送至我们的法律程序电子邮件别名:legalprocess@slack.com
为了处理我的请求,Slack 需要哪些信息?
除了所有必要的和适用的法律要求,所有法律程序请求都应包括以下信息:(a) 政府机构或执法机构,(b) 相关的刑事或民事问题,以及 (c) 关于 Slack 工作区的识别信息,包括相关的客户和用户名、日期范围、Slack 工作区网址 (slackname.slack.com) 和所索取数据的类型。请求还必须发自政府发布的电子邮件帐户,且包含提出请求的官员的完整联系信息。
Slack 收到执法机构的请求时,会如何处理?
我们会仔细审查所有的请求,以确保其合法性,并着力保护用户隐私。对于不清楚、过于宽泛或不恰当的请求,Slack 会拒绝或提出疑问。
你们多久向政府和执法机构提供一次数据?
我们的透明度报告详细说明了我们每年接收的请求数量。当前报告的时间范围是从 2019 年 1 月 1 日至 12 月 31 日,并详细说明了这一年收到的传票、搜查令和其他数据请求的数量。报告中还包括我们提供的信息类型,包括内容性和非内容性数据。
你们是否会协助执法机构和政府机构进行通讯监控?
Slack 不会对客户进行实时监控,也不会自愿为政府提供对有关用户的任何数据的访问权以达到监视目的。请阅读我们的透明度报告获取更多信息。
根据美国《外国情报监听法》第 702 条,Slack 是否有资格接收“上游”或批量监控令?
没有。与美国的所有其他通信平台一样,在为客户提供服务时,Slack 属于电子通信服务(“ECS”)或远程计算服务(“RCS”)(分别如《美国法典》第 18 条第 2510 款和 2711 款所定义)。因此,美国政府有可能根据美国《外国情报监听法》第 702 条对 Slack 发出针对性指令。
但是,Slack 没有资格接收 702“上游”监控令。由于美国政府实施了美国《外国情报监听法》第 702 条,它使用的上游指令仅针对流经为第三方传输流量的互联网骨干提供商的流量。请查看隐私和公民自由监督委员会关于根据美国《外国情报监听法》(2014 年 7 月 2 日)第 702 条执行监控计划执行的报告(35-40 页),网址:https://fas.org/irp/offdocs/pclob-702.pdf。Slack 不提供这种骨干服务,而是只传输与其客户相关的流量。所以,它没有资格接收主要在 Schrems II 判决中解决且被其认定有问题的指令类型。
Slack 是否会协助美国当局根据行政令 12333 大规模收集信息?
Slack 不会向根据行政令执行监控的 12333 美国当局提供任何协助。再者,行政令12333 并未赋予美国政府强制要求公司对这些活动提供协助的权利,Slack 也不会自愿提供协助。因此,Slack 不会、也不得被法令强制要求采取任何行动来协助按行政令12333 提供这种大规模监控。
Slack 如何保护动态数据和静态数据?
Slack 采用一系列技术和组织措施来防止拦截、监控或以其他方式对传输数据进行未授权访问的行为。例如,Slack 会对所有数据传输进行加密,以防止第三方获取此类数据(例如政府机构可能在数据传输过程中获得对传输机制的物理访问权)。Slack 仅通过 TLS 1.2 在 HTTPS 上安全传输数据。此功能始终启用,以防止任何第三方篡改或利用两个端点(Slack 和我们的客户)之间传输的数据。
我们的企业密钥管理工作区可创建一个不可变的审计日志,以便客户在每次有人访问其数据时都收到通知,从而提供额外保护。保存或生成 EKM 内容的行为将在提供给客户的访问日志中触发一个可观察的条目。客户还可以撤销加密密钥,以防止访问未加密的内容。
美国《云计算法案》的通过是否会影响到 Slack 处理美国政府法律请求的方式?
不会。2018 年颁布的《云计算法案》明确规定了美国执法请求的地理范围,并且为 Slack 等公司提出针在特定情况下与外国法律冲突的请求质疑提供了法定依据。《云计算法案》并没有改变针对用户数据提供的任何现有法律和隐私保护,Slack 会对所有相关法律程序(包括根据《云计算法案》颁布的程序)进行同样严格的审查。
在应对执法机构或政府机构提出的法律程序时,可能会披露哪些类型的数据?
内容性数据包括用户生成的数据,例如公开和私人消息、帖子、文件和私信。Slack 需要收到搜查令,才能向执法机构提供此类数据。
非内容性数据系指基本帐户信息(例如名称和电子邮件地址、个人档案信息、注册信息、登录历史记录和账单信息)和其他非内容性元数据(例如消息或文件的日期、时间以及发件人/收件人)。根据请求的数据类型,Slack 可能要求提供传票或法院指令,才会提供此数据。
搜查令、法院指令和执法传票之间有何区别?
搜查令系指由法官或地方法官在发现可能原因后发出的指令。需要搜查令才能获取通讯内容。
法院指令是指法院发现政府已经证明有合理的理由相信所索取的信息与正在调查的刑事案件有关或有重要联系的情况。政府可以通过法院指令获得与工作区有关的基本非内容性数据和元数据,但不能获得内容性数据。
执法传票是由政府机构发出的一种强制性要求,要求提供一组有限的信息,例如客户的姓名、地址、服务年限或付款方式和资金来源,以支持授权的刑事案件调查。
政府和/或执法机构可以从 Slack 获得删除的数据吗?
通常不保留数据。除非客户根据其数据留存设置保留了已删除的数据,否则数据被删除后将立即从 Slack 的系统中移除。数据删除后,可能在我们的安全备份中留存一段有限时间(最多 14 天,但通常时间会更短)。备份期结束之后,Slack 将从生产系统中硬删除所有信息。数据完全删除之后,Slack 无法出于任何目的检索这些数据,包括为了回复政府和执法机构的请求。
Slack 如何处理紧急请求?
如果你遇到涉及死亡危险或严重身体伤害的紧急情况,并且你认为 Slack 拥有的数据可能是减轻这种伤害的必要条件,授权执法人员应通过 legalprocess@slack.com 联系我们,我们将评估该请求。
在向政府或执法机构提供数据之前,你们会通知客户吗?
除非 Slack 被禁止通知客户或有明显迹象表明存在非法行为或造成伤害的风险,否则 Slack 会在披露数据之前通知客户,一般是向主要拥有者发送电子邮件,以便客户立即寻求法律救济。
第三方或民事数据请求会如何处理呢?
第三方若要索取数据,应直接联系 Slack 工作区拥有者。我们鼓励各方尽可能在我们不干预的情况下管理他们的请求。工作区拥有者应该能够自行运行导出,以符合适当的法律请求要求。如果你需要这些导出操作方面的协助,主要拥有者可以联系我们,确认他们是否具有出于法律需要进行导出的资格。
请注意,《美国法典》第 18 条第 2701 款《存储通信法》严格禁止 Slack 等提供商将通信内容披露给第三方。根据《存储通信法》,单凭民事传票或民事法院指令不足以从 Slack 工作区获取内容。