最后更新:
注意:本页面有较新的英文版本。 () 阅读英文页面
Let’s Encrypt 隐私政策将从三个情景来描述我们如何收集、使用、披露您的信息:
-
当您作为信任方,访问使用 Let’s Encrypt 的证书进行 HTTPS 加密的网站时,
-
当您是用户,即,当您请求并使用 Let’s Encrypt 中的证书时,
-
当您是 Let’s Encrypt 网站、社区讨论论坛、letsencrypt.org 下的其他网页以及第三方社交媒体网站上 Let’s Encrypt 运营的帐户的访问者时。
信任方
当您使用带有 Let’s Encrypt 证书的 HTTPS 网站或其他 TLS 服务时,您的浏览器(或 TLS 客户端)将请求 Let’s Encrypt 以检查证书是否已被撤销(“OCSP 请求”)。如果您的浏览器发出 OCSP 请求,我们的服务器将自动在服务器的临时日志文件中记录您的 IP 地址、浏览器和操作系统。我们绝不会使用 OCSP 请求中的数据来构建档案或识别个人。临时日志仅用于服务运作上的目的,通常在不到七天的时间内删除。我们可能会长时间保留一部分服务器日志,以便调查软件出错或滥用情况。如果我们这样做,我们将在完成调查后删除任何存储的日志。我们还可能从服务器日志计算、保留和发布聚合信息,例如哪些证书生成最大量的请求。我们将始终努力确保此类数据集不包含有关可识别用户或设备的活动的信息。
用户
如果您是用户,则您将从 Let’s Encrypt 请求受信任的证书,以用于公开担保您对某些可在互联网上访问的域名有控制权。作为证明该控制权的过程的一部分,Let’s Encrypt 将收集与证书认证和管理相关的各种信息。该信息包括:您访问 Let’s Encrypt 服务所用的 IP 地址;所有请求证书的域名解析得到的所有 IP 地址;与所有验证请求相关的服务器信息;所有入站 HTTP/ACME 请求和所有出站验证请求的完整日志;以及从您的客户端软件发送,或推断自您的客户端软件的信息。由于合同必要性和公共利益(参见 GDPR),我们将存储此信息至少七年。我们需要能够向公众(包括那些依赖我们证书可信度的人)展示我们的服务按预期执行。因此,我们可能无法删除包括 IP 地址在内的某些信息。该信息可能以多种方式公开,包括通过公共 API、公共存储库和/或公共讨论。
您可以选择提供联系信息(例如您的电子邮件地址)以用于帐户服务和恢复目的。您的联系信息不会被公开,而且它只会根据下文提到的“执法请求与情有可原的情况”被分享。您若提供电子邮件地址,即表示您同意接收我们提供的与服务相关的电子邮件。您可以随时通过点击我们电子邮件底部的“取消订阅”链接,或通过 security@letsencrypt.org 与我们联系,来取消订阅与服务相关的电子邮件。我们不会将您的联系信息用于营销或促销目的。
您可能需要从存储库下载客户端软件,例如由 Debian、Ubuntu、RedHat 或 GitHub 运营的存储库。您与此类软件存储库的交互,受该存储库自己的隐私政策和/或使用条款的约束。
访客
当您是浏览 Let’s Encrypt 网站的访客时,您可以选择捐赠。捐款由我们信任的支付合作伙伴(包括 DonorBox、Stripe 和 PayPal)处理,具体选择取决于所选的付款方式。我们会在您捐赠时收集您的姓名和电子邮件地址。未经您的同意,我们不会使用您的电子邮件地址与您联系,除非我们认为有必要解决与特定捐赠有关的问题。您与 DonorBox,Stripe 和 PayPal 的交互受其各自隐私政策的约束。我们绝不会收集或保留任何与捐款相关的信用卡或银行信息。如果我们收集现实地址,我们只会在合理需要的时间内保留您的现实地址信息,以便完成与您相关的物流运输。
您可以选择通过在本网站上注册或向其他营销渠道提供您的电子邮件地址,以接收 Let’s Encrypt 的通讯邮件。该通讯邮件通过 MailChimp 发送,您与 MailChimp 的互动受其隐私政策的约束。我们可能偶尔会向您的电子邮件地址发送与 Let’s Encrypt 相关的个性化通信。我们绝不会出售您的信息。您可以选择通过 MailChimp 或发送电子邮件至 press@letsencrypt.org,以从我们的列表中删除您的电子邮件地址。
如果您注册使用 Let’s Encrypt 社区支持论坛,您提供的个人信息和您在那里的行为受我们的服务托管商和论坛软件提供商 Civilized Discourse Construction Kit 的隐私政策的约束。我们不会通过提供此支持论坛来收集或维护个人信息。
此外,我们使用 Google Analytics 来估计网站上的流量和热门网页。作为该服务的一部分,我们会在我们的网站上放置 Google Analytics 的 Cookies。这些 Cookies 不包含个人信息,但可以在我们的网站上随时间唯一识别您的浏览器软件。我们尊重 Do Not Track 请求标头,为所有访客严格限制我们的分析服务可以收集和分享的信息。
执法请求与情有可原的情况
在我们拥有您的个人身份信息的期间内,我们可能会在有限的情况下向第三方披露这些信息。这些情况包括:当我们征得您的同意或我们真诚地相信法律要求我们这样做时(例如根据传票或其他司法或行政命令)。当我们真诚地相信有必要防止生命损失、人身伤害、财产损失或重大财务损失时,我们可能也会披露帐户恢复信息。
如果法律要求我们披露您提交的信息,我们将尝试事先通知您这一情况(除非我们被禁止这样做,或者这样做是徒劳的),以给您反对披露信息的机会。我们将尝试通过任何合理可行的方式提供此通知。如果您不质疑披露请求,我们将会按法律要求提供您的信息。
此外,我们保留自行决定独立反对某些我们认为不合适的(访问我们产品和技术的用户的信息的)请求的权利。
欧洲经济区的信任方、用户和访客在 GDPR 下享有哪些权利?我该如何行使这些权利?
我们按照本政策的规定处理个人数据。我们发送电子邮件前需要您的同意。当我们收集IP地址时,我们根据能够证明服务按预期执行的合同必要性处理该数据。请注意,我们可能无法删除包括IP地址在内的信息,因为在确定证书的可信度时,其他人必须依赖这些信息。在某些情况下,我们可能会根据法定义务或是保护您或其他人的重要利益而处理个人数据。
位于欧洲经济区(EEA)的个人对其个人信息拥有一定的权利,这包括访问、更正或删除我们通过您使用本网站处理的个人数据的权利。如果您是 EEA 的信任方、用户或访客,您可以:
-
通过发送电子邮件至 security@letsencrypt.org 索取个人数据报告。此报告将包含我们拥有的有关您的个人数据,这些数据以结构化、常用且可移植的格式提供给您。请注意,在我们披露任何信息之前,我们可能会要求您提供其他信息以验证您的身份。
-
通过 security@letsencrypt.org 与我们联系,要求更正或删除您的信息。
-
反对我们处理您的信息。您可以要求我们停止使用您的信息,包括我们使用您的信息向您发送服务电子邮件。您可以随时通过点击 Let’s Encrypt 电子邮件中的“取消订阅”链接,撤销对于接收服务电子邮件的许可。
-
向监管机构投诉。如果您位于欧洲经济区,并认为我们没有遵守数据保护法,您有权向当地监管机构提出投诉。
要获取更多信息或报告隐私问题,请联系:security@letsencrypt.org