Bỏ qua nội dung chính
OpenAI

Updated: 1 tháng 12, 2025

Phụ lục xử lý dữ liệu của OpenAI

Tải tệp PDF(mở trong cửa sổ mới)

Có hiệu lực: ngày 1 tháng 1 năm 2025

(Xem Phụ lục xử lý dữ liệu trước đây)

Phụ lục xử lý dữ liệu (“DPA”) này của OpenAI bổ sung và được đưa vào Thỏa thuận dịch vụ của OpenAI (“Thỏa thuận”) điều chỉnh việc sử dụng Dịch vụ và được ký vào Ngày có hiệu lực giữa khách hàng được xác định ở trên (“Khách hàng”) và OpenAI OpCo, LLC, thay mặt cho công ty này và các Công ty liên kết của công ty này, nếu thích hợp, trừ khi Khách hàng ở một quốc gia thuộc Khu vực kinh tế Châu Âu hoặc Thụy Sĩ, trong trường hợp đó, phụ lục này được ký với OpenAI Ireland Ltd., thay mặt cho công ty này và thay mặt cho các Công ty liên kết của công ty này, nếu thích hợp (“OpenAI”). Các thuật ngữ viết hoa không được định nghĩa trong DPA sẽ mang ý nghĩa được quy định trong Thỏa thuận. Trong DPA này, OpenAI và Khách hàng được gọi riêng là “Bên” và được gọi chung là “Các bên.” Khách hàng cam kết rằng mình có đủ năng lực pháp luật để ký Thỏa thuận này và, nếu ký Thỏa thuận thay cho một pháp nhân thì Khách hàng có đủ thẩm quyền pháp lý để ràng buộc pháp nhân đó. Khi nhấp vào “Tôi đồng ý,” chấp nhận Đơn đặt hàng hoặc sử dụng Dịch vụ, Khách hàng đồng ý với Thỏa thuận này.

1. Chi tiết.

  • 1.1 Phạm vi và vai trò. Là một phần của việc cung cấp Dịch vụ cho Khách hàng theo Thỏa thuận, OpenAI có thể Xử lý Dữ liệu khách hàng thay mặt Khách hàng. OpenAI đóng vai trò là Bên xử lý dữ liệu thay mặt cho Khách hàng và DPA này điều chỉnh việc Xử lý đó.
  • 1.2 Chi tiết về việc xử lý. OpenAI sẽ chỉ Xử lý Dữ liệu khách hàng nhằm mục đích cung cấp Dịch vụ cho Khách hàng theo Thỏa thuận và DPA này. Chi tiết về bản chất, thời gian, cũng như các loại Dữ liệu khách hàng và các danh mục Chủ thể dữ liệu liên quan được nêu trong Phụ lục 1 (Chi tiết về việc xử lý) của DPA này. OpenAI và Khách hàng đồng ý tuân thủ các nghĩa vụ tương ứng của mình theo Luật bảo vệ dữ liệu liên quan đến Dịch vụ.

2. Nghĩa vụ của OpenAI.

  • 2.1 Hướng dẫn của khách hàng. Các bên đồng ý rằng DPA này, Thỏa thuận (bao gồm Biểu mẫu đặt hàng) và bất kỳ hướng dẫn nào được cung cấp thông qua các công cụ cấu hình và các công cụ khác trong Dịch vụ do OpenAI cung cấp trong Dịch vụ, cấu thành các hướng dẫn được ghi lại của Khách hàng về việc xử lý Dữ liệu khách hàng của OpenAI (“Hướng dẫn của khách hàng”). OpenAI sẽ chỉ xử lý Dữ liệu khách hàng theo Hướng dẫn của khách hàng, trừ khi luật hiện hành mà OpenAI tuân theo yêu cầu làm như vậy, trong trường hợp đó, OpenAI sẽ thông báo cho Khách hàng về yêu cầu này trước khi xử lý, trừ khi bị pháp luật cấm làm như vậy.
  • 2.2 Thông báo cho Khách hàng. OpenAI sẽ nhanh chóng thông báo bằng văn bản cho Khách hàng nếu theo quan điểm của OpenAI, một Hướng dẫn của khách hàng vi phạm Luật bảo vệ dữ liệu. OpenAI sẽ, trong phạm vi pháp luật cho phép, thông báo cho Khách hàng nếu OpenAI nhận được yêu cầu tiết lộ Dữ liệu khách hàng có tính ràng buộc về mặt pháp lý từ cơ quan thực thi pháp luật.
  • 2.3 Tính bí mật. OpenAI sẽ đảm bảo rằng tất cả những người được OpenAI ủy quyền xử lý Dữ liệu khách hàng đều cam kết bảo mật hoặc tuân theo nghĩa vụ bảo mật theo luật định thích hợp.
  • 2.4 Yêu cầu của chủ thể dữ liệu. Trong phạm vi pháp luật cho phép, OpenAI sẽ thông báo cho Khách hàng nếu OpenAI nhận được yêu cầu thực hiện quyền của chủ thể dữ liệu theo Luật bảo vệ dữ liệu (“Yêu cầu của chủ thể dữ liệu”) đối với Dữ liệu khách hàng.  OpenAI sẽ không phản hồi bất kỳ yêu cầu nào như vậy nếu không có sự ủy quyền trước bằng văn bản của Khách hàng, ngoại trừ việc Khách hàng cho phép OpenAI chuyển Yêu cầu của chủ thể dữ liệu khi cần thiết để Khách hàng có thể phản hồi trực tiếp. Có tính đến bản chất của hoạt động xử lý, OpenAI sẽ hỗ trợ Khách hàng bằng cách thực hiện các biện pháp phù hợp về mặt kỹ thuật và tổ chức, trong phạm vi có thể, để cho phép Khách hàng phản hồi Yêu cầu của chủ thể dữ liệu.
  • 2.5 Bảo mật. OpenAI sẽ thực hiện và duy trì các biện pháp bảo mật hợp lý và phù hợp về mặt tổ chức và kỹ thuật để bảo vệ Dữ liệu khách hàng, như được nêu trong Thỏa thuận.
  • 2.6 Hỗ trợ Khách hàng. OpenAI sẽ, có tính đến bản chất của việc xử lý và thông tin có sẵn cho OpenAI, cung cấp sự hỗ trợ hợp lý cho Khách hàng để giúp Khách hàng tuân thủ các nghĩa vụ của mình theo Luật bảo vệ dữ liệu khi thích hợp, bao gồm việc chuẩn bị các đánh giá về tác động của việc bảo vệ dữ liệu liên quan đến việc xử lý Dữ liệu khách hàng của OpenAI và, khi cần thiết, Khách hàng tham vấn với cơ quan giám sát có thẩm quyền đối với việc xử lý đó, nếu việc tham vấn như vậy được yêu cầu bởi Luật bảo vệ dữ liệu.
  • 2.7 Vi phạm dữ liệu cá nhân. OpenAI sẽ thông báo cho Khách hàng mà không chậm trễ quá mức sau khi phát hiện bất kỳ trường hợp vi phạm dữ liệu cá nhân nào. OpenAI sẽ cung cấp hỗ trợ hợp lý cho Khách hàng để giúp Khách hàng tuân thủ nghĩa vụ của mình theo Luật bảo vệ dữ liệu liên quan đến sự cố Vi phạm dữ liệu cá nhân như vậy.
  • 2.8 Đánh giá sự tuân thủ. OpenAI sẽ, theo yêu cầu hợp lý bằng văn bản của Khách hàng và trong phạm vi yêu cầu của Luật bảo vệ dữ liệu: (i) không quá một lần mỗi năm, cung cấp cho Khách hàng các chính sách về quyền riêng tư và bảo mật của OpenAI cùng các thông tin cần thiết khác để chứng minh việc tuân thủ các nghĩa vụ của OpenAI theo DPA này; và (ii) với điều kiện Các bên có một thỏa thuận bảo mật phù hợp, cho phép và đóng góp vào các quy trình kiểm toán hoặc kiểm tra do Khách hàng thực hiện hoặc thay mặt Khách hàng, với chi phí do Khách hàng tự chi trả.  Quy trình kiểm toán hoặc kiểm tra này phải: (A) được thực hiện theo cách thức giảm thiểu tối đa sự gián đoạn đối với hoạt động kinh doanh của OpenAI; (B) cần thiết để xác nhận rằng OpenAI đang xử lý Dữ liệu khách hàng phù hợp với Phụ lục xử lý dữ liệu này; và (C) không được diễn ra quá một lần mỗi năm. Trong phạm vi Luật bảo vệ dữ liệu cho phép, OpenAI có thể cung cấp cho Khách hàng một bản tóm tắt các Báo cáo kiểm toán có liên quan đến việc tuân thủ DPA này của OpenAI. Các kết quả và tài liệu như vậy, bao gồm kết quả của bất kỳ quy trình kiểm toán hoặc kiểm tra nào, sẽ là Thông tin mật của OpenAI.
  • 2.9 Việc thuê Đơn vị xử lý phụ. Theo đây, Khách hàng cấp quyền chung cho OpenAI thuê các Đơn vị xử lý phụ được liệt kê trong Danh sách đơn vị xử lý phụ để xử lý Dữ liệu khách hàng liên quan đến Dịch vụ. OpenAI sẽ thông báo cho Khách hàng về bất kỳ thay đổi nào đối với Danh sách đơn vị xử lý phụ thông qua bài đăng trên blog, thông báo trong Dịch vụ hoặc các phương thức hợp lý khác, hoặc qua email nếu Khách hàng đăng ký nhận thông báo qua email trên trang Danh sách đơn vị xử lý phụ. Khách hàng có thể phản đối việc sử dụng Đơn vị xử lý phụ bổ sung trong vòng 30 ngày kể từ khi nhận được thông báo thay đổi bằng cách làm theo hướng dẫn được nêu trong Danh sách đơn vị xử lý phụ hoặc bằng cách liên hệ với privacy@openai.com. Trong trường hợp đó, OpenAI sẽ làm việc với Khách hàng để giải quyết mối quan ngại của Khách hàng và đưa ra các giải pháp hoặc lựa chọn thay thế hợp lý về mặt thương mại. Nếu không có phương án thay thế hoặc giải pháp nào là khả thi về mặt thương mại theo đánh giá hợp lý của OpenAI, hoặc việc phản đối không được giải quyết thỏa đáng cho Các bên trong vòng 30 ngày kể từ khi OpenAI nhận được thông báo phản đối của Khách hàng, thì bất kỳ Bên nào cũng có thể chấm dứt Thỏa thuận hoặc bất kỳ Đơn đặt hàng hoặc việc sử dụng nào liên quan đến Dịch vụ mà không thể cung cấp nếu không sử dụng Đơn vị xử lý phụ mới. Trong trường hợp đó, Khách hàng sẽ được hoàn lại bất kỳ khoản phí đã thanh toán trước nào áp dụng trong phạm vi mà các khoản phí này bao gồm khoảng thời gian hoặc thời hạn sau ngày chấm dứt đó.
  • 2.10 Nghĩa vụ của Đơn vị xử lý phụ. OpenAI sẽ ký kết các thỏa thuận theo hợp đồng với từng Đơn vị xử lý phụ, áp đặt cho họ các nghĩa vụ tương đương với những nghĩa vụ mà OpenAI phải tuân theo theo DPA này. Tùy thuộc vào các giới hạn trách nhiệm được bao gồm trong Thỏa thuận, OpenAI sẽ vẫn chịu trách nhiệm đối với các hành vi và thiếu sót của các Đơn vị xử lý phụ trong phạm vi mà OpenAI sẽ phải chịu trách nhiệm theo DPA này nếu chính OpenAI thực hiện các hành vi hoặc gây ra các thiếu sót đó.
  • 2.11 Trả lại hoặc xóa dữ liệu. Sau khi Thỏa thuận hết hạn hoặc chấm dứt, OpenAI sẽ trả lại hoặc xóa Dữ liệu khách hàng và bản sao hiện có theo hướng dẫn của Khách hàng, trừ khi việc lưu giữ Dữ liệu khách hàng là bắt buộc theo luật hiện hành, trong trường hợp đó OpenAI sẽ tách biệt và bảo vệ dữ liệu đó khỏi bất kỳ việc xử lý nào khác, ngoại trừ trong phạm vi cần thiết theo luật hiện hành.

3. Nghĩa vụ của Khách hàng.

  • 3.1 Thông báo và ủy quyền. Khách hàng tuyên bố, bảo đảm và cam kết rằng Khách hàng đã cung cấp tất cả thông báo cần thiết, và đã có và sẽ duy trì trong suốt Thời hạn tất cả các quyền, sự chấp thuận và ủy quyền cần thiết, trong phạm vi yêu cầu theo Luật bảo vệ dữ liệu, để cung cấp Dữ liệu khách hàng cho OpenAI và cho phép OpenAI xử lý Dữ liệu khách hàng liên quan đến Thỏa thuận, bao gồm Phụ lục xử lý dữ liệu này.
  • 3.2 Hợp tác. Khách hàng phải hợp tác một cách hợp lý với OpenAI để hỗ trợ OpenAI thực hiện bất kỳ nghĩa vụ nào của mình theo Luật bảo vệ dữ liệu hiện hành.
  • 3.3 Cấu hình. Không ảnh hưởng đến các nghĩa vụ bảo mật của OpenAI được quy định tại Mục 2.5 của DPA này, Khách hàng xác nhận và đồng ý rằng chính Khách hàng chịu trách nhiệm đối với một số quyết định cấu hình và thiết kế cho Dịch vụ và việc triển khai các quyết định cấu hình và thiết kế đó (ví dụ: thời gian lưu giữ, xóa, v.v.) theo cách tuân thủ Luật bảo vệ dữ liệu hiện hành.

4. Chuyển giao dữ liệu quốc tế.

  • 4.1 Dữ liệu thuộc EEA và Thụy Sĩ. Dữ liệu khách hàng được OpenAI xử lý theo DPA này có thể thuộc phạm vi của Luật bảo vệ dữ liệu của Khu vực kinh tế Châu Âu hoặc Thụy Sĩ (“Dữ liệu thuộc EEA và Thụy Sĩ”). Bất kể Bên ký hợp đồng OpenAI áp dụng theo DPA là ai, Khách hàng theo đây chỉ đạo OpenAI Ireland Limited xử lý bất kỳ Dữ liệu thuộc EEA và Thụy Sĩ nào theo DPA này. Trong phạm vi OpenAI Ireland Limited chuyển Dữ liệu thuộc EEA và Thụy Sĩ cho các Công ty liên kết khác của OpenAI hoặc bên thứ ba ngoài Khu vực kinh tế Châu Âu hoặc Thụy Sĩ để cung cấp Dịch vụ, việc chuyển dữ liệu đó sẽ được thực hiện trên cơ sở các thỏa thuận có chứa SCC đảm bảo các biện pháp bảo vệ thích hợp cho việc bảo vệ Dữ liệu khách hàng được áp dụng hoặc một quyết định về mức độ bảo vệ đầy đủ do Ủy ban Châu Âu ban hành theo Điều 45 của GDPR.
  • 4.2 Dữ liệu thuộc Vương quốc Anh. Dữ liệu khách hàng được OpenAI xử lý theo DPA này có thể thuộc phạm vi của Luật bảo vệ dữ liệu của Vương quốc Anh (“Dữ liệu thuộc Vương quốc Anh”). Bất kể Bên ký hợp đồng OpenAI áp dụng theo DPA này là ai, Khách hàng theo đây chỉ đạo OpenAI OpCo, LLC xử lý bất kỳ Dữ liệu thuộc Vương quốc Anh nào theo DPA này và theo các SCC được sửa đổi bởi Phụ lục bổ sung của Vương quốc Anh, được coi là đã được ký (và được đưa vào DPA này bằng cách dẫn chiếu) và được hoàn tất như mô tả trong Phụ lục 1.

5. Các yêu cầu bổ sung.

Trong phạm vi Luật về quyền riêng tư của Hoa Kỳ áp dụng:

  • 5.1 OpenAI đồng ý (a) không cung cấp cho Khách hàng bất kỳ khoản tiền hoặc lợi ích có giá trị nào để đổi lấy Dữ liệu khách hàng từ Khách hàng. Các bên thừa nhận và đồng ý rằng Khách hàng đã không “bán” (như thuật ngữ này được định nghĩa trong Luật về quyền riêng tư của Hoa Kỳ) Dữ liệu khách hàng cho OpenAI; (b) không “bán” (như thuật ngữ này được định nghĩa trong Luật về quyền riêng tư của Hoa Kỳ) hoặc “chia sẻ” (như thuật ngữ này được định nghĩa trong CCPA) Dữ liệu cá nhân; (c) trong phạm vi Khách hàng cho phép hoặc hướng dẫn OpenAI xử lý Dữ liệu khách hàng như thuật ngữ này được định nghĩa trong Luật về quyền riêng tư của Hoa Kỳ dưới dạng đã được ẩn danh như một phần của Dịch vụ, OpenAI sẽ (i) áp dụng các biện pháp hợp lý để ngăn chặn dữ liệu đã được ẩn danh đó được sử dụng để suy luận thông tin về, hoặc liên kết với, một cá nhân hoặc hộ gia đình cụ thể; (ii) cam kết công khai duy trì và sử dụng dữ liệu đã được ẩn danh đó dưới dạng đó và không cố gắng xác định lại thông tin, trừ khi được Luật về quyền riêng tư của Hoa Kỳ cho phép; và (iii) trước khi chia sẻ dữ liệu đã được ẩn danh với bất kỳ bên nào khác, bao gồm cả các Nhà xử lý phụ, yêu cầu hợp đồng bất kỳ người nhận nào tuân thủ các yêu cầu của điều khoản này (c)(i)-(iii); và (d) khi Dữ liệu khách hàng thuộc phạm vi CCPA (i) không giữ lại, sử dụng, tiết lộ hoặc xử lý Dữ liệu khách hàng ngoại trừ khi cần thiết cho các mục đích kinh doanh được quy định trong Thỏa thuận, bao gồm nhưng không giới hạn như được nêu trong Phụ lục 1 của DPA này; (ii) không giữ lại, sử dụng, tiết lộ hoặc xử lý Dữ liệu khách hàng theo bất kỳ cách nào ngoài mối quan hệ kinh doanh trực tiếp giữa OpenAI và Khách hàng; (iii) không kết hợp bất kỳ Dữ liệu khách hàng nào với Dữ liệu cá nhân mà OpenAI nhận được từ hoặc thay mặt cho bất kỳ bên thứ ba nào khác hoặc thu thập từ các tương tác của OpenAI với các cá nhân, với điều kiện OpenAI có thể kết hợp Dữ liệu khách hàng cho một mục đích được CCPA cho phép nếu được Khách hàng chỉ đạo hoặc được CCPA cho phép; (iv) thông báo cho Khách hàng mà không chậm trễ quá mức nếu OpenAI xác định rằng OpenAI không thể đáp ứng nghĩa vụ của mình theo CCPA; và (v) nếu Khách hàng tin tưởng một cách hợp lý rằng việc Xử lý dữ liệu khách hàng của OpenAI không phù hợp với các yêu cầu của CCPA và khi Khách hàng thông báo hợp lý về điều đó cho OpenAI, Các bên sẽ cùng nhau làm việc một cách có thiện chí để khắc phục vấn đề, hoặc, nếu sau khi làm việc cùng nhau, Khách hàng xác định một cách hợp lý rằng vấn đề không thể khắc phục thì OpenAI sẽ ngừng Xử lý Dữ liệu khách hàng bị ảnh hưởng theo chỉ dẫn bằng văn bản từ Khách hàng.
  • 5.2 Khách hàng đồng ý không thực hiện bất kỳ hành động nào có thể (a) khiến việc cung cấp Dữ liệu khách hàng cho OpenAI trở thành hành động “bán” theo Luật về quyền riêng tư của Hoa Kỳ hoặc hành động “chia sẻ” theo CCPA (hoặc các khái niệm tương đương theo Luật về quyền riêng tư của Hoa Kỳ); hoặc (ii) khiến OpenAI không phải là một “nhà cung cấp dịch vụ” theo CCPA hoặc một “đơn vị xử lý” theo Luật về quyền riêng tư của Hoa Kỳ.

6. Định nghĩa.

Dữ liệu khách hàng” nghĩa là Dữ liệu cá nhân được OpenAI xử lý thay mặt cho Khách hàng để cung cấp Dịch vụ.

Bên kiểm soát dữ liệu” có nghĩa như được gán cho thuật ngữ “bên kiểm soát” (hoặc một thuật ngữ tương tự) theo Luật bảo vệ dữ liệu.

"Bên xử lý dữ liệu" có nghĩa như được gán cho thuật ngữ "bên xử lý" (hoặc một thuật ngữ tương tự) theo Luật bảo vệ dữ liệu.

Luật bảo vệ dữ liệu” nghĩa là các luật về bảo vệ dữ liệu và quyền riêng tư đối với dữ liệu áp dụng cho việc OpenAI xử lý Dữ liệu khách hàng liên quan đến Dịch vụ. 

Chủ thể dữ liệu” có nghĩa như được gán cho thuật ngữ “chủ thể dữ liệu” (hoặc một thuật ngữ tương tự) theo Luật bảo vệ dữ liệu.

GDPR” nghĩa là Quy định (Liên minh Châu Âu) 2016/679 của Nghị viện Châu Âu và Hội đồng ngày 27/04/2016

Dữ liệu cá nhân” có nghĩa như được gán cho thuật ngữ “dữ liệu cá nhân” hoặc “thông tin cá nhân" (hoặc một thuật ngữ tương tự khác) theo Luật bảo vệ dữ liệu.

Vi phạm dữ liệu cá nhân” nghĩa là vi phạm bảo mật dẫn đến việc phá hủy, làm mất, thay đổi, tiết lộ trái phép hoặc truy cập một cách vô tình hoặc trái pháp luật Dữ liệu khách hàng được lưu trữ, truyền tải hoặc xử lý bởi OpenAI, Đơn vị xử lý phụ của OpenAI, hoặc bất kỳ bên thứ ba nào khác hành động thay mặt OpenAI.

Xử lý” có nghĩa như được gán cho thuật ngữ “xử lý” (hoặc một thuật ngữ tương tự) theo Luật bảo vệ dữ liệu.

SCC” nghĩa là các điều khoản tiêu chuẩn trong hợp đồng đối với việc chuyển dữ liệu cá nhân sang các quốc gia thứ ba được Ủy ban Châu Âu thông qua vào ngày 04/06/2021 (có thể được sửa đổi, cập nhật hoặc thay thế tùy từng thời điểm).

Đơn vị xử lý phụ” nghĩa là các đơn vị xử lý phụ mà OpenAI đã thuê để xử lý Dữ liệu khách hàng liên quan đến Dịch vụ, được liệt kê trong Danh sách đơn vị xử lý phụ.

Danh sách đơn vị xử lý phụ” nghĩa là danh sách có tại địa chỉ sau https://platform.openai.com/subprocessors(mở trong cửa sổ mới).

Phụ lục bổ sung của Vương quốc Anh” nghĩa là phụ lục bổ sung của Vương quốc Anh cho EU SCC do Uỷ ban thông tin ban hành theo điều 119A(1) của Đạo luật bảo vệ dữ liệu năm 2018.

Luật về quyền riêng tư của Hoa Kỳ” nghĩa là tập hợp con của các Luật bảo vệ dữ liệu áp dụng cho cư dân Hoa Kỳ, bao gồm nhưng không giới hạn ở Đạo luật về quyền riêng tư của người tiêu dùng tại California (“CCPA”).

Phụ lục 1

Chi tiết về việc xử lý

1. Bản chất và mục đích:

Việc thực hiện các Dịch vụ theo Thỏa thuận.

2. Thời gian:

Thời hạn và thời gian cần thiết sau đó để các Bên thực hiện nghĩa vụ hiện hành của mình sau khi kết thúc Thời hạn, bao gồm cả việc xóa dữ liệu.

3. Danh mục Dữ liệu khách hàng:

Khách hàng có thể gửi Dữ liệu cá nhân cho Dịch vụ, các loại dữ liệu này sẽ phụ thuộc vào việc Khách hàng sử dụng Dịch vụ, điều này được xác định và kiểm soát bởi Khách hàng theo quyết định riêng của mình, nhưng có thể bao gồm nhưng không giới hạn ở tên, thông tin liên hệ, thông tin nhân khẩu học, hoặc bất kỳ thông tin nào khác do Người dùng cuối của Khách hàng cung cấp dưới dạng dữ liệu không có cấu trúc.

4. Các loại chủ thể dữ liệu:

Chủ thể dữ liệu có thể bao gồm nhưng không giới hạn ở nhân viên, khách hàng, nhà cung cấp của Khách hàng và nói chung là Người dùng cuối.

5. Dữ liệu nhạy cảm được chuyển giao (nếu áp dụng):

Dữ liệu nhạy cảm được chuyển giao (nếu có) và các hạn chế hoặc biện pháp bảo vệ áp dụng phù hợp với bản chất của dữ liệu và các rủi ro liên quan, chẳng hạn như giới hạn nghiêm ngặt về mục đích sử dụng, hạn chế quyền truy cập (bao gồm chỉ cho phép nhân viên đã được đào tạo chuyên môn truy cập), ghi nhật ký truy cập dữ liệu, hạn chế việc chuyển tiếp dữ liệu hoặc áp dụng các biện pháp bảo mật bổ sung.

Không có dữ liệu nhạy cảm nào dự kiến được chuyển giao, trừ khi người dùng vô tình đưa dữ liệu nhạy cảm này vào dữ liệu không có cấu trúc

6. Tần suất:

Tần suất chuyển giao dữ liệu (ví dụ: dữ liệu được chuyển một lần hay liên tục).

Liên tục tùy thuộc vào việc Khách hàng sử dụng Dịch vụ

7. Chuyển giao cho Đơn vị xử lý phụ:

Theo Điều 2.9 của DPA, Đơn vị xử lý phụ sẽ xử lý Dữ liệu khách hàng khi cần thiết để thực hiện Dịch vụ. Việc Xử lý này sẽ diễn ra trong suốt thời hạn của Thỏa thuận, trừ khi có thỏa thuận khác bằng văn bản.

8. Thông tin về SCC đối với việc chuyển giao Dữ liệu thuộc Vương quốc Anh theo Mục 4.2:

  • 8.1 Mô-đun hai (Từ Bên kiểm soát dữ liệu đến Bên xử lý dữ liệu) của SCC sẽ được áp dụng khi Khách hàng là Bên kiểm soát dữ liệu và OpenAI xử lý Dữ liệu khách hàng với tư cách là Bên xử lý dữ liệu. Mô-đun ba (Từ Bên xử lý dữ liệu đến Bên xử lý dữ liệu phụ) của EU SCC sẽ được áp dụng khi Khách hàng là Bên xử lý dữ liệu và OpenAI xử lý Dữ liệu khách hàng với tư cách là bên xử lý dữ liệu phụ.
  • 8.2 Đối với từng mô-đun của EU SCC, nếu có áp dụng thì các điều khoản sau đây sẽ được áp dụng: (i)Điều khoản tùy chọn về việc tham gia bổ sung trong Điều 7 sẽ không được áp dụng; (ii) Trong Điều 9, Tùy chọn 2 (ủy quyền bằng văn bản chung) sẽ được áp dụng và thời hạn tối thiểu để thông báo trước về việc thay đổi Đơn vị xử lý phụ sẽ tuân theo quy định tại Mục 2.9 của DPA này; (iii) Trong Điều 11, ngôn ngữ tùy chọn sẽ không được áp dụng; (iv) Tất cả dấu ngoặc vuông trong Điều 13 theo đây sẽ được loại bỏ; (v) Trong Điều 17 (Tùy chọn 1), SCC sẽ được điều chỉnh theo pháp luật của Anh và xứ Wales; (vi) Trong Điều 18(b), các tranh chấp sẽ được giải quyết tại tòa án của Anh và xứ Wales; (vii) Phụ lục 1 này chứa các thông tin được yêu cầu trong Phụ lục I và Phụ lục III của SCC; (viii) Mục 2.5 (Bảo mật) của DPA chứa thông tin được yêu cầu trong Phụ lục II của SCC, (ix) cơ quan giám sát có thẩm quyền là Ủy ban thông tin (“ICO”).
  • 8.3 (Các) đơn vị xuất dữ liệu: Khách hàng theo Thỏa thuận; (Các) đơn vị nhập dữ liệu: OpenAI OpCo, LLC, 1455 3rd Street, San Francisco, CA 94158, Cán bộ bảo vệ dữ liệu, privacy@openai.com.

Ký kết Thỏa thuận xử lý dữ liệu(mở trong cửa sổ mới)