生效日期:2026 年 1 月 1 日
本 OpenAI 資料處理附錄(「DPA」)補充並納入至 OpenAI 服務協議(「協議」)中,以規範服務的使用,並從生效日期起由上文訂明的客戶(「客戶」)與 OpenAI OpCo, LLC 代表自身及其附屬公司(如適用)簽訂;倘客戶位於歐洲經濟區國家或瑞士,則由 OpenAI Ireland Ltd. 代表自身及其附屬公司(如適用)簽訂(「OpenAI」)。本 DPA 中未定義的大楷術語具有協議中規定的含義。本 DPA 中,OpenAI 和客戶分別稱為「一方」,並統稱「雙方」。客戶聲明其能夠合法訂立本協議,如代表某實體訂立本協議,則聲明其具備約束該實體的法律權力。點擊「我同意」,接受訂單或使用服務,即表示客戶已同意本協議。
1. 詳情。
- 1.1 範圍和職責。為根據協議向客戶提供服務,OpenAI 或會代表客戶處理客戶資料。OpenAI 作為資料處理者代表客戶行事,相關處理受本 DPA 約束。
- 1.2 處理詳情。OpenAI 只會根據協議及本資料處理附錄 (DPA),出於向客戶提供服務的目的而處理客戶資料。有關客戶資料的性質、持續時間,以及涉及的客戶資料類型和資料當事人類別的詳細資料,已在本 DPA 附表 1(處理詳情)中列出。OpenAI 和客戶各自同意遵守與服務相關的資料保護法律規定的義務。
2. OpenAI 的責任。
- 2.1 客戶指示。雙方同意,本 DPA、協議(包括訂單表格),以及透過 OpenAI 在服務中提供的配置工具和其他工具所提供的任何指示,構成客戶關於 OpenAI 處理客戶資料的書面指示(「客戶指示」)。OpenAI 將僅根據客戶指示處理客戶資料。然而,倘適用法律要求 OpenAI 處理客戶資料,OpenAI 將在處理前通知客戶相關要求,除非法律禁止相關做法。
- 2.2 客戶須知。如果 OpenAI 認為客戶的指示違反資料保護法律,OpenAI 將立即以書面形式通知客戶。OpenAI 若收到執法機關提出的具法律約束力的客戶資料披露要求,將在法律允許的範圍內通知客戶。
- 2.3 保密。OpenAI 將確保所有被 OpenAI 授權處理客戶資料的人士均承諾保密或遵受適當的法定保密義務。
- 2.4 資料當事人請求。若 OpenAI 收到根據資料保護法律對客戶資料行使資料當事人權利的請求(「資料當事人請求」),OpenAI 將在法律允許的範圍內通知客戶。未經客戶事先書面授權,OpenAI 不會回應任何此類請求,惟客戶授權 OpenAI 在必要時將資料當事人請求轉交給客戶,以便客戶能夠直接回應。考慮到處理的性質,OpenAI 將在可行範圍內協助客戶實施適當的技術和組織措施,以便客戶能夠回應資料當事人的請求。
- 2.5 安全防護。OpenAI 將根據協議規定,實施並維持合理適當的組織和技術安全措施以保護客戶資料。
- 2.6 協助客戶。OpenAI 會考慮處理的性質和 OpenAI 可獲得的資訊,向客戶提供合理協助,以助客戶遵守資料保護法律規定的義務,包括在適當情況下,協助準備有關 OpenAI 處理客戶資料的資料保護影響評估,並在資料保護法律要求客戶需與對此類處理具有管轄權的監管機構進行磋商時,協助客戶進行相關磋商。
- 2.7 個人資料外洩。OpenAI 在知悉任何個人資料外洩後,將在沒有不當延誤的情況下通知客戶。OpenAI 將向客戶提供合理協助,以協助客戶遵守其在資料保護法律下對此類個人資料外洩的義務。
- 2.8 合規評估。OpenAI 將在客戶提出合理的書面要求並在資料保護法律要求的範圍內:(i) 每年不超過一次,向客戶提供 OpenAI 的私隱和安全政策及其他必要資訊,以證明 OpenAI 履行本 DPA 下的義務;以及 (ii) 在雙方已簽訂適當保密協議的前提下,允許並協助由客戶或代表客戶進行的審計或檢查,費用由客戶自行承擔。此類審計或檢查必須:(A) 以對 OpenAI 的業務構成最小干擾的方式進行;(B) 必要時確認 OpenAI 正在以符合本 DPA 的方式處理客戶資料;以及 (C) 每年不得超過一次。在資料保護法律允許的情況下,OpenAI 可以向客戶提供一份與 OpenAI 遵守本 DPA 相關的審計報告摘要。此類結果和文件,包括任何審計或檢查的結果,應為 OpenAI 的機密資訊。
- 2.9 聘用子處理者。客戶特此授權 OpenAI 聘用子處理者名單內列明之子處理者,以處理與服務相關的客戶資料。倘子處理者名單有任何變更,OpenAI 會經由網誌文章、服務內通知或其他合理方式通知客戶;倘客戶在子處理者名單網站訂閱了電郵通知,則會以電郵形式收取通知。客戶可在收悉變更通知後 30 天內,按照子處理者名單中規定的指示或聯絡 privacy@openai.com 以反對使用此類額外子處理者。在此情況下,OpenAI 將與客戶合作以解決其疑慮,並提供商業上合理的替代方案或解決方案。如果根據 OpenAI 的合理判斷,任何替代方案或解決方案均不具有商業可行性,或在 OpenAI 收悉客戶異議通知後 30 天內,未能以雙方滿意的方式解決異議,則任何一方均有權終止若不使用新子處理者將無法提供的服務之相關協議、任何訂單或使用。此情況下,客戶將獲退還相關終止日期後的期間或時段之任何相應預付費用。
- 2.10 子處理者義務。OpenAI 應與每個子處理者簽訂合約,對其施加與 OpenAI 根據本 DPA 所承擔的義務相當的責任。在本協議所包含之責任限制的約束下,OpenAI 將對其子處理者的作為和不作為承擔責任,其承擔的責任範圍與 OpenAI 自身實施此類作為或不作為時根據本 DPA 承擔的責任範圍相同
- 2.11 資料退還或刪除。協議到期或終止後,OpenAI 將根據客戶的指示,歸還或刪除客戶資料及現存副本。除非適用法律要求保留客戶資料,在這種情況下,OpenAI 應隔離並保護該資料,使其免遭任何進一步處理,除非適用法律另有要求。
3. 客戶責任。
- 3.1 通知及授權。客戶聲明、保證並承諾已提供所有必要的通知,並在整個期限內擁有並將保持所有必要的權利、同意和授權,以便在資料保護法律要求的範圍內,向 OpenAI 提供客戶資料,並授權 OpenAI 根據協議(包括本 DPA)處理客戶資料。
- 3.2 合作。客戶應與 OpenAI 合理合作,協助 OpenAI 履行適用資料保護法律規定的一切義務。
- 3.3 配置。在不影響 OpenAI 在本 DPA 第 2.5 節所述之安全義務的情況下,客戶茲確認並同意,客戶負責服務的某些配置和設計決策,並以符合適用資料保護法律的方式實施這些配置和設計決策(例如保留期限、刪除等)。
4. 國際資料傳輸。
- 4.1 歐洲經濟區及瑞士資料。OpenAI 根據本 DPA 處理的客戶資料可能受歐洲經濟區或瑞士的資料保護法律約束(「歐洲經濟區和瑞士資料」)。不論本 DPA 的 OpenAI 適用合約方為何,客戶僅此指示 OpenAI Ireland Limited 按照本 DPA 處理任何歐洲經濟區和瑞士資料。就 OpenAI Ireland Limited 將歐洲經濟區和瑞士資料傳輸至位於歐洲經濟區或瑞士以外的其他 OpenAI 關聯公司或第三方以提供服務而言,此類傳輸將根據包含標準合約條款 (SCCs) 的協議進行以確保採取適當保障措施來保護客戶資料,或根據歐盟委員會依據 GDPR 第 45 條所作的資料保障足夠度評估決定而進行。
- 4.2 英國資料。OpenAI 根據本 DPA 處理的客戶資料可能受英國資料保護法律約束(「英國資料」)。不論本 DPA 的 OpenAI 適用合約方為何,客戶僅此指示 OpenAI OpCo, LLC 按照本 DPA 及經英國附錄修訂的 SCC 處理任何英國資料,該附錄被視為已簽訂(並透過此引用納入本 DPA)並如附表 1 所述完成。
5. 進一步要求。
在美國私隱法律適用的範圍內:
- 5.1 OpenAI 同意 (a) 不向客戶提供金錢或其他有價值的對價以換取客戶資料。各方承認並同意,客戶並無將客戶資料「出售」(根據美國私隱法律的定義)予 OpenAI;(b) 不「出售」(根據美國私隱法律的定義)或「分享」(根據 CCPA 的定義)個人資料;(c) 作為服務的一部分,在客戶允許或指示 OpenAI 以去識別化處理受美國私隱法律約束的客戶資料時,OpenAI 應 (i) 採取合理措施防止此類去識別化數據被用於推斷或以其他方式與特定自然人或家庭相關的資料;(ii) 公開承諾以去識別化維護及使用此類數據,並且不會嘗試重新識別資料,惟當美國私隱法律允許則屬例外;以及 (iii) 在與任何其他方(包括子處理者)共用去識別數據之前,以合約形式要求任何此類接收者遵守本條款 (c)(i)-(iii) 的要求;(d) 在客戶資料受 CCPA 約束的情況下 (i) 不保留、使用、披露或以其他方式處理客戶資料,惟屬協議中指明的業務目的所必需則屬例外,包括但不限於本 DPA 附表 1 中列出的內容;(ii) 不在 OpenAI 與客戶之間的直接商業關係之外保留、使用、披露或以其他方式處理客戶資料;(iii) 不將任何客戶資料與 OpenAI 從任何其他第三方接收或代表任何其他第三方收集的個人資料或 OpenAI 自己與個人互動中收集的個人資料合併,惟倘因客戶作出指示或 CCPA 另有允許,OpenAI 可根據 CCPA 允許之目的合併客戶資料則屬例外;(iv) 如果 OpenAI 確定無法再履行其在 CCPA 下的義務,則應毫無不當延誤地通知客戶;以及 (v) 如果客戶合理認為 OpenAI 處理客戶資料不符合 CCPA 的要求,在客戶合理通知 OpenAI 後,雙方應真誠合作以解決問題,或者如果在合作後客戶合理判斷問題無法解決,OpenAI 將根據客戶的書面指示停止處理受影響的客戶資料。
- 5.2 客戶同意不採取任何可能導致以下後果的行動:(a) 根據美國私隱法律,將提供客戶資料予 OpenAI 的行為構成「銷售」,或根據 CCPA 構成「分享」(或美國私隱法律下的同等概念);或(ii) 使 OpenAI 根據 CCPA 不再構成「服務提供者」,或根據美國私隱法律不再構成「資料處理者」。
6. 定義。
「客戶資料」是指 OpenAI 為提供服務而代表客戶處理的個人資料。
「資料控制者」具有資料保護法律賦予「控制者」(或其他類似術語)的含義。
「資料處理者」具有資料保護法律賦予「處理者」(或其他類似術語)的含義。
「資料保護法律」是指 OpenAI 處理服務相關客戶資料時所需遵守的資料私隱和資料保護法律。
「資料當事人」具有資料保護法律賦予「資料當事人」(或其他類似術語)的含義。
「GDPR」是指歐洲議會及理事會於 2016 年 4 月 27 日通過的《歐盟條例 2016/679》。
「個人資料」具有資料保護法律賦予「個人資料」或「個人資訊」(或其他類似術語)的定義。
「個人資料外洩」是指因安全漏洞導致 OpenAI、其子處理者或代表 OpenAI 行事的任何其他第三方所儲存、傳輸或以其他方式處理的客戶資料遭到意外或非法破壞、遺失、更改、未經授權披露或存取。
「處理」具有資料保護法律賦予「處理」(或其他類似術語)的含義。
「SCC」是指歐盟委員會於 2021 年 6 月 4 日通過的標準合約條款,適用於將個人資料傳輸至第三國(或會不時修訂、更新或替換)。
「子處理者」是指 OpenAI 為提供服務而委託處理客戶資料的子處理者,並會在子處理者名單中列出。
「子處理者名單」是指可在以下網址獲得的名單:https://platform.openai.com/subprocessors(在新視窗中開啟)。
「英國附錄」是指由資訊專員根據《2018 年資料保護法律》第 119A(1) 條發佈的歐盟 SCC 的英國附錄。
「美國私隱法律」是指一組適用於美國居民的資料保護法律,包括但不限於《加州消費者私隱法》(「CCPA」)。
附表 1
處理詳情
1. 性質及目的:
協議下服務的執行。
2. 持續時間:
條款及其後所需的時間,以便雙方在條款結束後履行各自適用的義務,包括刪除資料。
3. 客戶資料類別:
客戶或會向服務提交個人資料,實際資料類別將取決於客戶對服務的使用,並由客戶全權酌情決定,但可能包括但不限於姓名、聯絡資料、人口統計資料,或客戶的終端用戶以非結構化資料形式提供的任何其他資訊。
4. 資料當事人類別:
資料當事人可能包括但不限於客戶的僱員、客戶、供應商以及一般終端用戶。
5. 敏感資料傳輸(如適用):
敏感資料的傳輸(如適用)以及充分考慮資料性質和所涉及風險的限制或保障措施,例如嚴格的用途限制、存取限制(包括只有經過專門培訓的員工才能存取)、儲存資料存取記錄、限制後續傳輸或額外的安全措施。
除非用戶意外地將敏感資料包含在非結構化資料中,否則不會傳輸任何敏感資料
6. 頻率:
傳輸的頻率(例如,資料是一次性傳輸還是連續傳輸)。
根據客戶使用服務的情況持續進行
7. 傳輸至子處理者:
根據 DPA 第 2.9 條,子處理者將在必要時處理客戶資料以履行服務。此類處理將在協議期間進行,除非另有書面協議。
8. 第 4.2 節下英國資料傳輸的 SCC 資訊:
- 當客戶是資料控制者且 OpenAI 作為資料處理者處理客戶資料時,SCC 的單元二(控制者到處理者)適用。當客戶是資料處理者,而 OpenAI 作為子處理者處理客戶資料時,SCC 的單元三(處理者到子處理者)適用。
- 8.2 對於 SCC 的每個單元,在適用的情況下,以下內容適用:(i) 第 7 條中的可選對接條款不適用;(ii) 在第 9 條中,選項 2(一般書面授權)適用,並且提前通知子處理者變更的最短時間段應按照 DPA 第 2.9 節中的規定執行;(iii) 在第 11 條中,可選語言不適用;(iv) 特此刪除第 13 條中的所有方括號;(v) 在第 17 條(選項 1)中,SCC 將受英格蘭和威爾斯法律管轄;(vi) 在第 18(b) 條中,爭議將由英格蘭和威爾斯的法院解決;(vii) 本附表 1 包含 SCC 附件 I 和附件 III 中要求的資訊;(viii) DPA 第 2.5 節(安全性)包含 SCC 附件 II 中要求的資訊;(ix) 主管監管機構為資訊專員辦公室(「ICO」)。
- 8.3 資料輸出方:即協議所述的客戶;資料輸入方:OpenAI OpCo, LLC,1455 3rd Street, San Francisco, CA 94158,資料保護員,privacy@openai.com。