商业数据隐私、安全与合规
信任、安全与隐私是 OpenAI 使命的核心要素。无论你使用的是 ChatGPT Enterprise、ChatGPT Business、ChatGPT Edu、ChatGPT 医疗保健版、ChatGPT 教师版,还是我们的 API 平台,贵组织的数据始终保持机密、安全无虞,并完全归你所有。
OpenAI 获得众多机构与企业的信任
OpenAI 安全与隐私
在默认情况下,我们不会使用贵组织的数据来训练我们的模型。
默认情况下,我们不会使用来自 ChatGPT Enterprise、ChatGPT Business、ChatGPT Edu、ChatGPT 医疗保健版、ChatGPT 教师版或 API 平台的数据(包括输入和输出)来训练或改进我们的模型。我们的模型基于互联网上公开可用的知识、通过第三方合作提供的数据,以及由我们的研究人员提供或生成的信息进行训练。如果你希望帮助我们改进模型,可以在 API 控制面板中选择明确加入(在新窗口中打开)。
贵组织的数据在静态存储和传输过程中均会被加密,无论是在你与 OpenAI 之间,还是在 OpenAI 与其服务提供商之间。
无论贵组织是进行数据输入还是结果输出,业务数据始终受到保护,防止未经授权的访问。我们采用强大的行业标准加密技术来保障数据安全,其中包括静态存储时的 AES-256 加密,以及传输过程中的 TLS 1.2 或更高版本。
通过企业密钥管理 (EKM)(在新窗口中打开),客户可以自主控制自己的加密密钥,从而为安全与合规再添一层保障。
我们为符合条件的组织提供数据保留控制权,帮助贵组织保持合规。
符合条件的组织可以自行配置 OpenAI 保留业务数据的时长,包括在 API 平台选择启用零数据保留策略。
了解更多关于 ChatGPT Enterprise、Business、Edu 以及 API 平台(在新窗口中打开)的数据保留政策。
我们在产品和基础设施中融入安全设计。
安全始于设计。我们采用零信任和纵深防御的方法来指导整体安全计划。我们的软件开发生命周期确保从产品设计之初就将安全融入架构,并妥善应对供应链风险。我们在终端、基础设施、网络和应用层面实施分层安全控制。同时,我们也在下一代技术(如智能体)的研究与安全方面投入大量资源。
我们通过全面的测试与监控来保护贵组织的数据。
我们的 OpenAI 安全团队全年 365 天、每天 24 小时待命,以应对潜在的安全事件,并通过自动化警报与人工调查流程来处理可疑活动。OpenAI 的基础设施定期接受独立第三方的审计,包括红队测试和对抗性评估,以确保始终符合最高安全标准。
合规与治理
我们遵循行业标准和监管合规要求。
OpenAI 的数据保护实践支持贵组织遵守并符合 GDPR、CCPA 及其他隐私法律,并符合 CSA STAR(在新窗口中打开)、SOC 2 Type 2 信任服务标准(在新窗口中打开)以及 ISO/IEC 27001(在新窗口中打开)、27017(在新窗口中打开)、27018(在新窗口中打开)、27701(在新窗口中打开) 认证。我们为 ChatGPT 医疗保健版和医疗保健 API 客户提供与 OpenAI 的业务合作协议 (BAA)(在新窗口中打开),以支持其 HIPAA 合规要求。同时,我们也支持客户签署数据处理附录,以满足企业数据处理需求。
我们提供数据驻留服务,帮助贵组织满足区域合规需求。
符合条件的 ChatGPT Enterprise、ChatGPT Edu、ChatGPT 医疗保健版和 API 平台客户可以将敏感客户内容静态存储在美国、欧洲、英国、日本、加拿大、韩国、新加坡、澳大利亚、印度和阿联酋,以满足当地的数据主权合规管理要求。
除了静态数据驻留,符合条件的客户还可以选择在美国或欧洲进行区域内 GPU 推理,API 客户则可通过受支持的 API 端点明确选择在美国或欧洲进行数据处理(包括 GPU 推理和非 GPU 处理)。
详细了解 ChatGPT(在新窗口中打开) 和 API(在新窗口中打开) 数据驻留的信息。
产品安全控制
我们提供企业级的访问管理功能,让你的 IT 团队能够高效管理用户和权限。这些功能有助于确保只有授权人员才能访问你的系统,为贵组织提供对敏感信息访问的全面控制权。
了解如何在 API(在新窗口中打开) 和 ChatGPT 中管理访问控制。
多因素身份验证 (MFA)(在新窗口中打开),增加额外安全层(支持 TOTP 认证)
角色管理(在新窗口中打开):定义三类用户 — 成员、管理员和所有者
GPT 控制:启用或禁用对第三方 GPT 的访问
单点登录 (SAML SSO):用户可通过一组凭据无缝访问多个应用
基础分析:追踪工作空间内模型和功能的使用情况
Includes everything in Business
SCIM(在新窗口中打开) enables IT administrators to automate provisioning and deprovisioning of user accounts
Role-based access controls(在新窗口中打开) to create and assign custom roles by group, and set permissions for tools like apps, shared projects, GPTs, and web search
User analytics for real-time visibility into adoption, engagement, and usage trends
Microsoft Intune support on iOS/iPadOS for managing mobile access through Intune App Protection Policies and Conditional Access
MFA(在新窗口中打开),增加额外安全层(支持 TOTP 认证)
SAML SSO:用户可通过一套凭据无缝访问多个应用
项目和项目限制(在新窗口中打开):在工作空间内精细地控制访问、使用和支出
Admin API(在新窗口中打开):使组织所有者和安全团队能够管理访问和权限
Audit Logs API(在新窗口中打开):提供对安全与合规风险的完整可见性
使用情况控制面板(在新窗口中打开):在功能、产品、团队或项目层面跟踪 API 使用情况