Фонд ПО Python (PSF) сообщил о том, что в марте и апреле 2023 года он получил три повестки с требованием предоставить данные пользователей PyPI – репозитория программного обеспечения для языка программирования Python. Все три повестки были выданы Министерством юстиции США без объяснения правовых обстоятельств. Всего были запрошены данные, связанные с пятью именами пользователей PyPI.
Запрошенные данные включали:
имена, связанные с идентифицированными учетными записями,
адреса (включая почтовые, электронные, жилые и служебные),
записи о соединениях,
записи о времени сеансов и связанные с ними сетевые идентификаторы,
даты создания учетных записей,
номера телефонов и IP-адреса, используемые при регистрации,
способ и источник оплаты,
загруженные пакеты Python
журналы загрузки IP-адресов любых пакетов PyPI, загруженных идентифицированными пользователями
В фонде подчеркнули, что конфиденциальность пользователей PyPI имеет первостепенное значение и, что они делает все возможное, чтобы не допустить разглашения их данных. Однако в данном случае PSF по совету юристов решил, что единственный вариант действий – предоставить запрошенные данные.
В PSF также сообщили, что сейчас они разрабатывает новые политики хранения и раскрытия данных, чтобы учитывать разнообразные интересы сообщества Python и защитить личные данные от ненужных запросов или компрометации. Новые правила будут ясно изложены для сообщества и будут касаться процедур для будущих запросов данных от правительства, сроков и объемов хранения личных данных.