跳至主要内容
OpenAI

Updated: 2025年12月1日

OpenAI 数据处理附录

下载 PDF(在新窗口中打开)

生效日期:2026年1月1日

查看之前的数据处理附录

本《OpenAI 数据处理附录》(“DPA”) 是《OpenAI 服务协议》(“协议”)的补充文件,并构成本协议的组成部分,该协议旨在规范服务的使用。本附录自生效日起生效,由上方标识的客户(“客户”)与 OpenAI OpCo, LLC(代表其自身及关联方,如适用)签署;如客户位于欧洲经济区国家或瑞士,则由 OpenAI Ireland Ltd.(代表其自身及关联方,如适用)签署(以下统称“OpenAI”)。本 DPA 中未定义的首字母大写术语,其含义以协议的规定为准。在本 DPA 中,OpenAI 和客户各称为“一方”,合称为“各方”。客户声明,其具备签署协议的合法能力;若代表某一实体签署协议,则其拥有约束该实体的合法授权。客户通过点击“我同意”、接受订单表或使用服务,即表示同意本协议。

1. 详细信息。

  • 1.1 适用范围与角色。根据协议,OpenAI 在向客户提供服务的过程中,可代表客户处理客户数据。OpenAI 作为数据处理者代表客户行事,本 DPA 将规范此类数据处理行为。
  • 1.2 数据处理详情。OpenAI 仅可依据协议及本 DPA 的约定,为向客户提供服务之目的处理客户数据。有关客户数据的性质、处理期限、数据类型及所涉数据主体类别的详细信息,已载明于本 DPA 的附表 1(数据处理详情)。OpenAI 与客户均同意遵守数据保护相关法律中与服务相关的各自义务。

2. OpenAI 的义务。

  • 2.1 客户指示。双方同意,本 DPA、协议(包括订单表)以及通过 OpenAI 在服务中提供的配置工具及其他工具发出的任何指示,均构成客户关于 OpenAI 处理客户数据的书面指示(“客户指示”)。OpenAI 仅会依据客户指示处理客户数据,除非 OpenAI 应遵守的适用法律要求其进行处理;在此情况下,OpenAI 将在处理前通知客户,除非法律禁止此类通知。
  • 2.2 向客户发出的通知。如果 OpenAI 认为某一客户指示违反数据保护相关法律,应及时以书面形式通知客户。在法律允许的范围内,如果 OpenAI 收到执法机关提出的具有法律约束力的客户数据披露请求,应通知客户。
  • 2.3 保密性。OpenAI 应确保所有经其授权处理客户数据的人员均已承诺承担保密义务,或受适当的法定保密义务约束。
  • 2.4 数据主体请求在法律允许的范围内,如果 OpenAI 收到与客户数据相关的、依据数据保护相关法律行使数据主体权利的请求(“数据主体请求”),应通知客户。未经客户事先书面授权,OpenAI 不得对该等请求作出回应,但客户授权 OpenAI 可根据需要将数据主体请求转介给客户,以便客户直接回应。考虑到数据处理的性质,OpenAI 应在可行范围内,通过实施适当的技术及组织措施协助客户回应数据主体请求。
  • 2.5 安全性。OpenAI 将按照协议的约定,实施并维持合理且适当的组织及技术安全措施,以保护客户数据。
  • 2.6 对客户的协助。OpenAI 将在考虑数据处理性质及自身可获取信息的前提下,向客户提供合理协助,帮助客户履行其在数据保护相关法律下的义务,包括在适当情况下协助客户编制与 OpenAI 处理客户数据相关的数据保护影响评估;如果数据保护相关法律要求进行磋商,且有必要时,协助客户与对该等数据处理具有管辖权的监管机构进行磋商。
  • 2.7 个人数据泄露。OpenAI 在知晓任何个人数据泄露事件后,将毫不拖延地通知客户。OpenAI 将向客户提供合理协助,帮助客户履行其在数据保护相关法律下与该等个人数据泄露相关的义务。
  • 2.8 合规性评估。在客户提出合理书面请求且符合数据保护相关法律要求的范围内,OpenAI 将:(i) 每年不超过一次,向客户提供其隐私及安全政策以及其他必要信息,以证明其已履行本 DPA 项下的义务;(ii) 在双方已签署适当保密协议的前提下,允许并配合由客户或代表客户开展的审计或检查,相关费用由客户自行承担。该等审计或检查必须满足以下要求:(A) 以对 OpenAI 业务运营影响最小的方式进行;(B) 仅为确认 OpenAI 处理客户数据的方式符合本 DPA 的约定;(C) 每年开展次数不超过一次。在数据保护相关法律允许的情况下,OpenAI 可向客户提供与本 DPA 合规相关的审计报告概要,替代直接提供完整审计报告。该等结果及相关文件(包括任何审计或检查的结果)均属于 OpenAI 的机密信息。
  • 2.9 子处理者的聘用。客户特此授予 OpenAI 一般授权,允许其聘用列于子处理者清单中的子处理者,处理与服务相关的客户数据。OpenAI 将通过博客文章、服务内通知或其他合理方式,或通过电子邮件(如果客户已在子处理者清单网站订阅电子邮件通知),将向客户通知子处理者清单的任何变更。客户可在收到变更通知后的 30 天内,通过遵循子处理者清单中规定的指示或联系 privacy@openai.com,反对使用该等新增子处理者。在此情况下,OpenAI 将与客户合作解决其顾虑,并提供商业上合理的替代方案或解决方案。如果经 OpenAI 合理判断,所有替代方案或解决方案在商业上均不可行,或在 OpenAI 收到客户异议通知后的 30 天内,双方未能就异议达成满意解决方案,则任何一方均有权终止协议、任何订单表,或终止无法在不使用该新增子处理者的情况下提供的相关服务。在此情况下,客户已支付的、涵盖终止日期之后期间的相关预付费用,将予以退还。
  • 2.10 子处理者的义务。OpenAI 将与每位子处理者签订合同,约定其承担与本 DPA 项下 OpenAI 所承担义务相当的责任。根据协议中规定的责任限制,OpenAI 对其子处理者的行为和疏忽承担的责任,与 OpenAI 在 DPA 下对自身行为和疏忽承担的责任相同。
  • 2.11 数据返还或删除。协议到期或终止后,OpenAI 将根据客户的指示,返还或删除客户数据及现有副本,除非适用法律要求保留该等客户数据。如果适用法律要求保留客户数据,OpenAI 将该等数据隔离保护,避免进一步处理,除非适用法律另有要求。

3. 客户义务。

  • 3.1 通知和授权。客户声明、保证并承诺,已根据数据保护相关法律的要求,提供所有必要通知,并在整个协议期限内持续拥有且维持所有必要的权利、同意及授权,以便向 OpenAI 提供客户数据,并授权 OpenAI 依据协议(包括本 DPA)的约定处理客户数据。
  • 3.2 合作。客户应合理配合 OpenAI,协助其履行在适用数据保护相关法律下的任何义务。
  • 3.3 配置。在不影响本 DPA 第 2.5 节项下 OpenAI 安全义务的前提下,客户确认并同意,其负责服务的部分配置及设计决策,并应按照适用数据保护法律的要求,实施该等配置及设计决策(如数据保留期限、数据删除等)。

4. 国际数据转移。

  • 4.1 EEA 和瑞士数据。OpenAI 依据本 DPA 处理的客户数据,可能属于欧洲经济区或瑞士数据保护相关法律的适用范围(“EEA 及瑞士数据”)。无论本 DPA 项下适用的 OpenAI 合同方为何,客户特此指示 OpenAI Ireland Limited 依据本 DPA 处理所有 EEA 及瑞士数据。如果 OpenAI Ireland Limited 需将 EEA 及瑞士数据转移至其他 OpenAI 关联方或欧洲经济区或瑞士以外的第三方以提供服务,其转移行为应基于包含 SCC 的协议开展(确保已落实客户数据保护的适当保障措施),或依据 GDPR 第 45 条欧盟委员会发布的充分性认定进行。
  • 4.2 英国数据。OpenAI 依据本 DPA 处理的客户数据,可能属于英国数据保护相关法律的适用范围(“英国数据”)。无论本 DPA 项下适用的 OpenAI 合同方为何,客户特此指示 OpenAI OpCo, LLC 依据本 DPA 及经英国附录修订的 SCC 处理所有英国数据;该等条款视为已签订(并通过本引用并入本 DPA),且按附表 1 所述完成相关约定。

5. 补充要求。

如果美国隐私法律适用:

  • 5.1 OpenAI 同意:(a) 不向客户提供金钱或其他有价值的对价以换取客户数据。双方确认并同意,客户未将客户数据“出售”(按美国隐私法律定义)给 OpenAI;(b) 不“出售”(按美国隐私法律定义)或“共享”(按《加州消费者隐私法案》(CCPA)定义)个人数据;(c) 如果客户允许或指示 OpenAI 以去标识化形式处理受美国隐私法律约束的客户数据(作为服务的一部分),OpenAI 应:(i) 采取合理措施,防止该等去标识化数据被用于推断特定自然人或家庭的相关信息,或与该等主体建立关联;(ii) 公开承诺以去标识化形式维护和使用该等数据,不尝试重新标识信息(美国隐私法律允许的情况除外);以及 (iii) 在向任何其他方(包括子处理者)共享去标识化数据前,通过合同约定要求所有接收方遵守本款第 (c)(i)-(iii) 项的要求;(d) 如果客户数据受 CCPA 约束:(i) 不保留、使用、披露或以其他方式处理客户数据,除非是协议中规定的业务目的所必需的(包括但不限于本 DPA 附表 1 所列目的);(ii) 不在 OpenAI 与客户的直接业务关系之外,以任何形式保留、使用、披露或以其他方式处理客户数据;(iii) 不将客户数据与 OpenAI 从其他第三方(或代表其他第三方)获取的个人数据,或 OpenAI 从自身与个人的互动中收集的个人数据进行合并,但经客户指示或 CCPA 另有允许的,OpenAI 可为本款允许的目的进行合并;(iv) 如果 OpenAI 确定其无法再履行 CCPA 项下义务,应毫不拖延地通知客户;(v) 如果客户合理认为 OpenAI 对客户数据的处理不符合 CCPA 要求,并就此向 OpenAI 发出合理通知,双方应本着诚信原则合作解决问题;如果合作后客户仍合理认为问题无法解决,OpenAI 应根据客户的书面指示停止处理受影响的客户数据。
  • 5.2 客户同意不采取任何可能导致以下情况的行为:(i) 使向 OpenAI 提供客户数据被认定为美国隐私法律下的“出售”或 CCPA 下的“共享”(或美国隐私法律下的同等概念);或 (ii) 使 OpenAI 不再具备 CCPA 下的“服务提供商”资格或美国隐私法律下的“处理者”资格。

6. 定义

客户数据”是指 OpenAI 为提供服务而代表客户处理的个人数据。

数据控制者”是指数据保护法律赋予“控制者”(或其他类似术语)的含义。

数据处理者”是指数据保护法律赋予“处理者”(或其他类似术语)的含义。

数据保护法律”是指适用于 OpenAI 处理与服务相关客户数据的数据隐私及数据保护法律。

数据主体”是指数据保护法律赋予“数据主体”(或其他类似术语)的含义。

GDPR”是指欧盟议会及理事会 2016 年 4 月 27 日通过的《通用数据保护条例》(欧盟法规 (EU) 2016/679)。

个人数据”是指数据保护法律赋予“个人数据”或“个人信息”(或其他类似术语)的含义。

个人数据泄露”是指安全措施被破坏,导致 OpenAI、其子处理者或任何代表 OpenAI 行事的第三方所存储、传输或以其他方式处理的客户数据,被意外或非法销毁、丢失、篡改、未经授权披露或访问的事件。

处理”是指数据保护法律赋予“处理”(或其他类似术语)的含义。

SCC”是指欧盟委员会 2021 年 6 月 4 日通过的、用于向第三国转移个人数据的标准合同条款(可能不时修订、更新或替换)。

子处理者”是指 OpenAI 为处理与服务相关的客户数据而聘用的子处理者,具体列于子处理者清单。

子处理者清单”是指可通过以下地址获取的清单:https://platform.openai.com/subprocessors(在新窗口中打开)

英国附录”是指信息专员依据《2018 年数据保护法》第 119A (1) 条发布的、适用于欧盟 SCC 的英国附录。

美国隐私法律”是指适用于美国居民的数据保护相关法律子集,包括但不限于《加州消费者隐私法案》(“CCPA”)。

附表 1

处理详情

1. 性质和目的

协议项下服务的履行。

2. 持续期限:

协议期限,以及期限届满后双方履行各自适用义务(包括数据删除)所需的时间。

3. 客户数据类别

客户可向服务提交个人数据,具体类别取决于客户对服务的使用情况(由客户自行决定和控制),可能包括但不限于姓名、联系信息、人口统计信息,或客户终端用户在非结构化数据中提供的其他任何信息。

4. 数据主体类别

数据主体可能包括但不限于客户的员工、客户、供应商及一般终端用户。

5. 转移的敏感数据(如适用)

敏感数据的转移(如适用)及相应的限制或保护措施,充分考虑数据的性质及相关风险,例如严格的用途限制、访问权限限制(仅限经过专业培训的员工访问)、记录数据访问、限制进一步转移或采取额外的安全措施。

除非用户在非结构化数据中意外包含敏感数据,否则不会转移敏感数据。

6. 转移频率

数据转移的频率(例如,是一次性转移还是持续转移)。

根据客户对服务的使用情况持续进行。

7. 向子处理者转移

根据 DPA 第 2.9 条,子处理者将根据履行服务的需要处理客户数据。该等处理应在协议有效期内进行,除非另有书面约定。

8. 第 4.2 节项下英国数据转移的 SCC 相关信息

  • 8.1 当客户为数据控制者且 OpenAI 作为数据处理者处理客户数据时,适用 SCC 的第二模块(控制者到处理者)。当客户为数据处理者,OpenAI 作为子处理者处理客户数据时,适用 SCC 的第三模块(从处理者到子处理者)。
  • 8.2 对于 SCC 的每个模块(如适用),以下规定适用:(i) 第 7 条中的可选对接条款不适用;(ii) 在第 9 条中,适用选项 2(一般书面授权),子处理者变更的事先通知最短时间期限应如 DPA 第 2.9 节所述;(iii) 在第 11 条中,可选语言不适用;(iv) 第 13 条中的所有方括号特此删除;(v) 在第 17 条(选项 1)中,SCC 将受英格兰和威尔士法律管辖;(vi) 在第 18(b) 条中,争议将在英格兰和威尔士的法院解决;(vii) 本附表 1 包含 SCC 附录 I 和附录 III 所要求的信息;(viii) DPA 第 2.5 节(安全性)包含 SCC 附录 II 所要求的信息;(ix) 主管监督机构是信息专员办公室 (“ICO”)。
  • 8.3 数据导出方:协议项下的客户;数据导入方:OpenAI OpCo, LLC(地址:1455 3rd Street, San Francisco, CA 94158),数据保护官联系方式为 privacy@openai.com

签署数据处理协议(在新窗口中打开)