生效日期:2026 年 1 月 1 日
本 OpenAI 資料處理附錄(「DPA」)補充並納入 OpenAI 服務協議(「協議」),該協議規範服務的使用,自生效日起由上方識別的客戶(「客戶」)與 OpenAI OpCo, LLC 代表其自身及其附屬公司(如適用)簽訂,除非客戶位於歐洲經濟區國家或瑞士,則由 OpenAI Ireland Ltd. 代表其自身及其附屬公司(如適用)簽訂(「OpenAI」)。在 DPA 中未定義的大寫術語,其含義應以協議中所提供者為準。在本 DPA 中,OpenAI 和客戶各自稱為「一方」,合稱為「各方」。客戶聲明其有權合法簽訂本協議,並且若其代表某個實體簽訂本協議,則其擁有法律權限可約束該實體。按一下「我同意」接受訂購單或使用服務,即表示客戶同意本協議。
1. 詳細資料。
- 1.1 範圍與角色。作為根據本協議向客戶提供服務的一部分,OpenAI 可能會代表客戶處理客戶資料。OpenAI 代表客戶作為資料處理者,本DPA對此類處理進行規範。
- 1.2 處理詳細說明。OpenAI 將僅為根據本協議和本 DPA 向客戶提供服務的目的處理客戶資料。本 DPA 附表 1(處理詳細說明)詳列了有關資料處理的性質、持續時間,以及所涉及的客戶資料類型和資料當事人類別。OpenAI 和客戶各自同意遵守其在資料保護法下與服務相關的義務。
2. OpenAI 義務。
- 2.1 客戶指示。雙方同意,此 DPA、本協議(包括訂單表),以及透過 OpenAI 在服務中提供的配置工具和其他工具所提供的任何指示,構成客戶關於 OpenAI 處理客戶資料的書面指示(「客戶指示」)。OpenAI 將僅依照客戶指示處理客戶資料,除非適用法律要求 OpenAI 這麼做。在此情況下,除非法律禁止這樣做,否則 OpenAI 將在處理前告知客戶此要求。
- 2.2 通知客戶。若 OpenAI 認為客戶的指示違反資料保護法,OpenAI 將立即以書面通知客戶。若 OpenAI 收到執法機關提出揭露客戶資料的具有法律約束力的要求,OpenAI 將在法律允許的範圍內通知客戶。
- 2.3 保密性。OpenAI 將確保所有經 OpenAI 授權處理客戶資料的人員,均已承諾保密或履行適當的法定保密義務。
- 2.4 資料主體要求。若 OpenAI 收到根據資料保護法對客戶資料行使資料主體權利的要求(「資料主體要求」),OpenAI 將在法律允許的範圍內通知客戶。 OpenAI 不會在未經客戶事先書面授權的情況下回應任何此類要求,但客戶授權 OpenAI 在必要時重新導向資料主體要求,以便客戶直接回應。考慮到處理的性質,OpenAI 將協助客戶實施適當的技術和組織措施,在可能的範圍內,以便客戶回應資料主體的要求。
- 2.5 安全性。OpenAI 將實施並維護合理且適當的組織和技術安全措施,以保護協議中規定的客戶資料。
- 2.6 協助客戶。考慮到處理的性質和 OpenAI 可獲得的資訊,OpenAI 將向客戶提供合理的協助,以幫助客戶遵守《資料保護法》規定的義務,包括在適當情況下,就 OpenAI 對客戶資料的處理準備資料保護影響評估,並在必要時,若《資料保護法》要求,客戶應與具有管轄權的監管機構進行諮詢。
- 2.7 個人資料外洩。一旦得知任何個人資料外洩,OpenAI 會立即通知客戶。OpenAI 將向客戶提供合理的協助,協助客戶遵守《資料保護法》中與此類個人資料外洩相關的義務。
- 2.8 合規評估。OpenAI 將應客戶的合理書面要求並在《資料保護法》要求的範圍內:(i) 每年不超過一次,向客戶提供 OpenAI 的隱私和安全政策及其他必要資訊,以證明 OpenAI 遵守本 DPA 下的義務;以及 (ii) 在雙方簽訂適當保密協議的前提下,允許並協助由客戶或代表客戶進行的稽核或檢查,費用由客戶自行承擔。此類稽核或檢查必須:(A) 以對 OpenAI 業務干擾最小的方式進行;(B) 必要時確認 OpenAI 正在以符合此 DPA 的方式處理客戶資料;且 (C) 每年不得超過一次。在《資料保護法》允許的情況下,OpenAI 可以改為向客戶提供與 OpenAI 遵守此 DPA 相關的稽核報告摘要。此類結果和文件,包括任何稽核或檢查的結果,應為 OpenAI 的機密資訊。
- 2.9 次級處理商的聘用。客戶特此授權 OpenAI 聘用列於次級處理商名單中的次級處理商,以處理與服務相關的客戶資料。OpenAI 將透過部落格文章、服務內通知或其他合理方式,或如果客戶訂閱了次級處理商名單網站上的電子郵件通知,則透過電子郵件通知客戶次級處理商名單的任何變更。客戶可以在收到變更通知後的30天內,依照次級處理商名單中規定的指示或透過聯繫 privacy@openai.com,對使用此類額外的次級處理商提出異議。在此情況下,OpenAI 將與客戶合作解決其疑慮,並提供商業上合理的替代方案或解決方案。如果根據 OpenAI 的合理判斷,所有替代方案或解決方案均不具商業可行性,或者在 OpenAI 收到客戶異議通知後的 30 天內,異議未能得到雙方滿意的解決,則任何一方均可終止本協議、任何訂單表,或終止無法在不使用新委外處理商的情況下提供的服務。在此情況下,客戶將獲退還任何適用的預付費用,這些費用涵蓋終止日期之後的期間或條款。
- 2.10 次級處理商義務。OpenAI 應與每個次級處理商簽訂合約,要求他們承擔與 OpenAI 在此 DPA 下所承擔的義務相當的責任。根據本協議中的責任限制,OpenAI 將對其次級處理商的行為和疏忽承擔責任,與 OpenAI 自行執行此類行為或疏失時根據此 DPA 所承擔的責任範圍相同。
- 2.11 資料返還或刪除。在本協議到期或終止後,OpenAI 將根據客戶的指示,返還或刪除客戶資料及現有副本,除非適用法律要求保留客戶資料。在此情況下,OpenAI 將隔離並保護該資料,防止任何進一步處理,除非適用法律另有規定。
3. 客戶義務。
- 3.1 通知與授權。客戶聲明、保證並承諾,其已提供所有必要的通知,並在整個期限內擁有並將維持所有必要的權利、同意和授權,以便在《資料保護法》要求的範圍內,將客戶資料提供給 OpenAI,並授權 OpenAI 根據協議(包括本 DPA)處理客戶資料。
- 3.2 合作。客戶應合理地與 OpenAI 合作,以協助 OpenAI 履行其在適用的《資料保護法》下的任何義務。
- 3.3 配置。在不影響 OpenAI 在本 DPA 第 2.5 節中安全性義務的前提下,客戶承認並同意,客戶負責服務的某些配置和設計決策,並以符合適用《資料保護法》的方式實施這些配置和設計決策(例如,保留期限、刪除等)。
4. 國際資料傳輸。
- 4.1 EEA 與瑞士資料。OpenAI 根據本 DPA 處理的客戶資料可能屬於歐洲經濟區或瑞士的資料保護法(「EEA 與瑞士資料」)的範疇。無論根據本 DPA 的 OpenAI 適用合約方為何,客戶特此指示 OpenAI Ireland Limited 遵照本 DPA 處理任何 EEA 和瑞士資料。在 OpenAI Ireland Limited 將歐洲經濟區 (EEA) 和瑞士的資料傳輸至歐洲經濟區或瑞士以外的其他 OpenAI 關係企業或第三方以提供服務的情況下,將根據包含標準合約條款 (SCC) 的協議進行,以確保已設置適當的保障措施來保護客戶資料,或依據歐盟委員會根據 GDPR 第 45 條發布的充分性決定進行。
- 4.2 英國資料。由 OpenAI 根據此 DPA 處理的客戶資料可能屬於英國資料保護法(《英國資料》)的範疇。無論根據本 DPA 的 OpenAI 適用合約方為何,客戶特此指示 OpenAI OpCo, LLC 根據本 DPA 及經英國附錄修訂的 SCC 處理任何英國資料,這些文件視同已簽訂(並由本引用納入本 DPA),並如附表 1 所述完成。
5. 進一步的要求。
在《美國隱私法》適用的範圍內:
- 5.1 OpenAI 同意 (a) 不向客戶提供金錢或其他有價值的對價以換取客戶資料。各方承認並同意,客戶並未將客戶資料「出售」(根據美國隱私法的定義)給 OpenAI;(b) 不「出售」(根據美國隱私法的定義)或「分享」(根據 CCPA 的定義)個人資料;(c) 在客戶允許或指示 OpenAI 以去識別形式處理受美國隱私法約束的客戶資料作為服務的一部分時,OpenAI 應 (i) 採取合理措施防止此類去識別資料用於推斷或以其他方式連結到特定自然人或家庭;(ii) 公開承諾維持和使用此類去識別資料,並不嘗試重新識別該信息,除非美國隱私法允許;以及 (iii) 在與任何其他方(包括次級處理商)分享去識別資料之前,合約上要求任何此類收件者遵守本條款 (c)(i)-(iii) 的要求;以及 (d) 當客戶資料受 CCPA 約束時 (i) 不保留、使用、揭露或以其他方式處理客戶資料,除非是協議中指定的業務目的所必需的,包括但不限於本 DPA 附表 1 中列出的內容;(ii) 不在 OpenAI 與客戶之間的直接業務關係之外保留、使用、揭露或以其他方式處理客戶資料;(iii) 不將任何客戶資料與 OpenAI 從或代表任何其他第三方接收或從 OpenAI 自己與個人互動中收集的個人資料結合,前提是若客戶指示或 CCPA 另有允許,OpenAI 可以為 CCPA 允許的目的結合客戶資料;(iv) 若 OpenAI 確定其無法再履行其在 CCPA 下的義務,應毫不延遲地通知客戶;以及 (v) 若客戶合理地認為 OpenAI 處理客戶資料不符合 CCPA 的要求,並在客戶合理通知 OpenAI 後,雙方將本著誠意合作以解決問題,或者若在合作後客戶合理地確定問題無法解決,OpenAI 將根據客戶的書面指示停止處理受影響的客戶資料。
- 5.2 客戶同意不採取任何會導致以下情況的動作:(a) 提供客戶資料給 OpenAI 構成《美國隱私法》下的「出售」或 CCPA 下的「分享」(或《美國隱私法》下的同等概念);或 (ii) 導致 OpenAI 不視為 CCPA 下的「服務提供商」或《美國隱私法》下的「處理商」。
6. 定義。
「客戶資料」是指 OpenAI 代表客戶為提供服務而處理的個人資料。
「資料控制者」的涵義與《資料保護法》中「控制者」(或其他類似術語)所賦予的涵義相同。
「資料處理商」的涵義與《資料保護法》中「處理商」(或其他類似術語)所賦予的涵義相同。
「資料保護法」係指適用於 OpenAI 處理客戶資料時的資料隱私和資料保護法。
「資料主體」的定義與《資料保護法》中「資料主體」(或其他類似術語)的定義相同。
「GDPR」是指歐洲議會和理事會於 2016 年 4 月 27 日通過的《一般資料保護條例》(Regulation (EU) 2016/679)
「個人資料」的定義是根據《資料保護法》所賦予的「個人資料」或「個人資訊」(或其他類似術語)的涵義。
「個人資料外洩」是指安全性漏洞導致 OpenAI、其次級處理商或代表 OpenAI 行事的其他任何第三方所儲存、傳輸或以其他方式處理的客戶資料遭到意外或非法毀損、遺失、變更、未經授權揭露或存取。
「處理」是指在《資料保護法》中賦予「處理」(或其他類似術語)的意義。
「SCC」是指歐盟委員會於 2021 年 6 月 4 日採用的標準合約條款,用於將個人資料傳輸至第三國(可隨時修訂、更新或替代)。
「次級處理商」是指 OpenAI 為提供服務而處理客戶資料所聘用的次級處理商,列於次級處理商名單中。
「次級處理者名單」是指可在以下網址獲得的名單:https://platform.openai.com/subprocessors(在新視窗中開啟)。
「英國附錄」是指由資訊專員根據《2018 年資料保護法》第 119A(1) 條發佈的《EU 標準合約條款》的英國附錄。
「美國隱私法」是指適用於美國居民的資料保護法子集,包括但不限於《加州消費者隱私法》(「CCPA」)。
時間表 1
處理詳細說明
1. 性質與目的:
協議下服務的履行。
2. 持續期間:
期限以及期限結束後雙方履行適用義務(包括刪除資料)所需的時間。
3. 客戶資料類別:
客戶可能會將個人資料提交給本服務,具體類別取決於客戶對本服務的使用,這由客戶自行決定和控制,但可能包括(但不限於)姓名、聯絡資訊、人口統計資訊,或客戶的終端使用者以非結構化資料提供的其他任何資訊。
4. 資料主體類別:
資料主體可能包括但不限於客戶的員工、客戶、供應商以及一般的終端使用者。
5. 傳輸敏感資料(如適用):
所轉移的敏感資料(如適用)及已充分考量資料性質和風險的適用限制或保障措施,例如嚴格的目的限制、存取限制(僅限受過專業訓練的人員可存取)、保存資料存取記錄、限制後續傳輸或採取額外的安全措施。
除非使用者意外在非結構化資料中包含敏感資料,否則不會有意傳輸此類資料
6. 頻率:
轉移的頻率(例如,資料是否以一次性或持續性方式轉移)。
根據客戶使用本服務的情況持續提供
7. 傳輸至次級處理商:
根據 DPA 第 2.9 條,次級處理商將根據需要處理客戶資料以履行本服務。除非另有書面協議,否則此類處理將在協議期間內進行。
8.SCC 根據第 4.2 節傳輸英國資料的資訊:
- 當客戶為控制者且 OpenAI 作為處理商處理客戶資料時,適用 EU SCC 的模組二(控制者至處理商)。當客戶為資料處理商且 OpenAI 作為次級處理商處理客戶資料時,適用 SCC 的模組三(處理商至次級處理商)。
- 8.2 對於 SCC 的每個模組(如適用),適用以下規定:(i) 第 7 條中的選擇性對接條款不適用;(ii) 在第 9 條中,適用選項 2(一般書面授權),且次級處理商變更的事先通知最短期限應根據 DPA 第 2.9 條的規定;(iii) 第 11 條中的選擇性用語不適用;(iv) 第 13 條中的所有方括號皆予以移除;(v) 在第 17 條(選項 1)中,SCC 將受英格蘭和威爾斯法律管轄;(vi) 在第 18(b) 條中,爭議將由英格蘭和威爾斯的法院解決;(vii) 此附表 1 包含 SCC 附件 I 和附件 III 中要求的資訊;(viii) DPA 第 2.5 條(安全性)包含 SCC 附件 II 中要求的資訊;(ix) 主管監管機構為資訊專員辦公室(ICO)。
- 8.3 資料匯出者:根據協議的客戶;資料匯入者:OpenAI OpCo, LLC,1455 3rd Street, San Francisco, CA 94158,資料保護官,privacy@openai.com。