Code Velocity
企业级人工智能

OpenAI 企业隐私:深入解析数据所有权与安全性

·5 分钟阅读·OpenAI·原始来源
分享
AfrikaansالعربيةAzərbaycanБългарскиবাংলাCatalàČeštinaDanskDeutschΕλληνικάEnglishEspañolEestiفارسیSuomiFilipinoFrançaisעבריתहिन्दीHrvatskiMagyarBahasa IndonesiaÍslenskaItaliano日本語ქართული한국어LietuviųLatviešuМакедонскиBahasa MelayuNederlandsNorskPolskiPortuguêsRomânăРусскийSlovenčinaSlovenščinaShqipСрпскиSvenskaKiswahiliதமிழ்ไทยTürkçeУкраїнськаاردوTiếng Việt中文
OpenAI 企业隐私:为使用 AI 工具的企业提供安全的数据所有权和控制

title: "OpenAI 企业隐私:深入解析数据所有权与安全性" slug: "enterprise-privacy" date: "2026-03-06" lang: "zh" source: "https://openai.com/enterprise-privacy/" category: "企业级人工智能" keywords:

  • OpenAI
  • 企业隐私
  • 数据安全
  • 数据所有权
  • GDPR 合规
  • SOC 2 审计
  • ChatGPT Enterprise
  • API 平台
  • 商业数据
  • AI 隐私
  • 数据控制
  • 模型训练 meta_description: "深入了解 OpenAI 全面的企业隐私承诺,详细阐述数据所有权、SOC 2 等安全协议,以及 ChatGPT Business、Enterprise 和 API 解决方案在 GDPR 合规方面的表现。" image: "/images/articles/enterprise-privacy.png" image_alt: "OpenAI 企业隐私:为使用 AI 工具的企业提供安全的数据所有权和控制" quality_score: 94 content_score: 93 seo_score: 95 companies:
  • OpenAI schema_type: "NewsArticle" reading_time: 5 faq:
  • question: "OpenAI 会使用我的商业数据来训练其 AI 模型吗?" answer: "默认情况下,OpenAI 不会使用您的商业数据(包括来自 ChatGPT Business、Enterprise、Healthcare、Edu、Teachers 或 API 平台的所有输入和输出)来训练其模型。这项承诺确保您的专有信息保持机密,除非您通过反馈机制明确选择加入以改进服务。核心原则是默认不进行训练,赋予企业对其知识产权的重大控制权。"
  • question: "OpenAI 如何确保企业数据的安全性和合规性?" answer: "OpenAI 实施了强大的数据安全和合规措施,包括成功通过 SOC 2 审计,确认符合行业标准。数据在静态时(AES-256)和传输中(TLS 1.2+)都经过加密。严格的访问控制、全天候待命的安全团队以及漏洞奖励计划(Bug Bounty Program)进一步加强了安全性。合规性包括为 GDPR 支持提供数据处理附录(DPAs),以及为教育平台提供学生数据隐私协议,这表明了对全球隐私标准的承诺。"
  • question: "企业对 OpenAI 平台内的数据保留有哪些控制权?" answer: "对于 ChatGPT Enterprise、Healthcare 和 Edu,工作区管理员控制数据保留策略。对于 ChatGPT Business 和 Teachers,个人终端用户控制对话保留。删除或未保存的对话通常会在 30 天内从 OpenAI 的系统中删除,除非法律义务要求更长的保留期。较短的保留期可能会影响对话历史等产品功能,这需要在隐私和功能之间取得平衡以实现最佳使用。"
  • question: "使用 OpenAI 服务进行商业活动时,所产生的输入和输出归谁所有?" answer: "在业务用户和 OpenAI 之间,您保留向其服务提供的所有输入权利。在法律允许的范围内,您还拥有从其服务中合法接收的任何输出。OpenAI 仅获取提供服务、遵守适用法律和执行政策所需的权利。这种明确的所有权划分确保通过 AI 工具生成的知识产权牢牢归客户所有。"
  • question: "GPTs 和应用程序如何与 OpenAI 的企业隐私承诺相结合?" answer: "在企业 ChatGPT 环境(Enterprise、Business、Healthcare、Teachers、Edu)中使用 GPTs 或应用程序时,相同的隐私承诺适用。内部共享的 GPTs 遵守现有数据政策和默认不进行训练的原则。如果管理员允许公开共享 GPTs,则可能需要额外的审查,尽管医疗保健领域不支持此功能。应用程序在连接到内部/第三方资源时会尊重权限,并且 OpenAI 默认不会使用通过这些应用程序访问的数据来训练模型,从而维护了隐私。"
  • question: "我所在组织内的其他人或 OpenAI 员工可以访问对话和聊天记录吗?" answer: "访问权限因产品而异。在 ChatGPT Enterprise、Edu 和 Healthcare 中,终端用户可以查看自己的对话,工作区管理员可以通过合规性 API 访问审计日志。经授权的 OpenAI 员工仅在事件解决、基于用户许可的恢复或法律要求下才能访问对话。对于 Business 和 Teachers 产品,员工访问权限仅限于工程支持、滥用调查和法律合规,第三方承包商也会在严格保密的情况下审查滥用行为。"
  • question: "OpenAI 的 API 平台能否用于受保护健康信息 (PHI) 等敏感数据?" answer: "虽然 ChatGPT for Healthcare 旨在支持 HIPAA 合规性,适用于受保护健康信息 (PHI),但 API 平台是否能直接用于 PHI 还需要进一步澄清。鉴于 OpenAI 强大的合规标准,包括其 API 的 SOC 2 Type 2 认证,将 API 用于 PHI 通常需要特定的合同协议,例如业务伙伴协议 (BAA)。组织应直接咨询 OpenAI 以处理敏感健康数据。"

OpenAI 企业隐私:用 AI 守护您的商业数据

在人工智能快速发展的背景下,企业越来越多地利用强大的 AI 模型来推动创新、提高效率和实现增长。然而,AI 的采用,特别是大型语言模型的应用,也带来了关于数据隐私、安全性和所有权的关键问题。AI 研究和部署领域的领导者 OpenAI 已经为其企业客户制定了一个全面的框架来解决这些担忧。本文将深入探讨 OpenAI 的承诺,确保企业能够自信地整合 AI。

OpenAI 对企业数据隐私的坚定承诺

OpenAI 深知对于企业而言,信任至关重要。其针对企业用户的隐私框架围绕三个核心支柱:所有权控制权安全性。这些承诺广泛适用于其一系列面向商业的产品,包括 ChatGPT Business、ChatGPT Enterprise、ChatGPT for Healthcare、ChatGPT Edu、ChatGPT for Teachers 及其 API 平台。目标是向企业提供明确的保证,确保其宝贵数据仍归自己所有,并得到最大程度的妥善处理。

这一理念直接解决了企业在考虑 AI 工具时最常见的疑虑之一:担心其专有数据可能被用于训练模型或变得公开可访问。OpenAI 的方法旨在主动降低这些风险,使组织能够在不损害其敏感信息或竞争优势的情况下从 AI 中获益。

数据所有权与控制:赋能您的企业

OpenAI 企业隐私政策的核心是对数据所有权的坚定立场。默认情况下,OpenAI 不会使用您的商业数据来训练其模型。 这包括通过其企业级服务生成的所有输入和输出。这项承诺对于维护数据机密性至关重要,并确保专有信息保留在您组织内部。

此外,OpenAI 明确声明您拥有您的输入和输出(在法律允许的范围内),从而巩固您的知识产权。这意味着使用其工具生成的任何创意内容、代码或分析都属于您的企业。

控制权不仅限于所有权,还延伸到数据在内部的管理方式。SAML SSO(单点登录)等功能提供企业级身份验证,简化访问管理。精细的控制允许组织规定谁可以访问其工作区内的功能和数据。对于那些构建自定义解决方案的企业,通过 API 平台训练的自定义模型是您独有的,不会被共享。此外,工作区管理员可以直接控制 ChatGPT Enterprise、ChatGPT for Healthcare 和 ChatGPT Edu 等产品的数据保留策略,使他们能够将数据生命周期管理与内部合规要求保持一致。

GPTs 和应用程序在企业环境中的集成也遵循这些原则。在工作区内部构建和共享的 GPTs 遵守相同的隐私承诺,确保内部数据保持私密。同样,当 ChatGPT 通过应用程序连接到内部或第三方应用程序时,它会尊重现有的组织权限,并且关键的是,OpenAI 默认不会使用通过这些集成访问的任何数据来训练其模型。这种全面的方法使企业能够利用先进的 AI 功能,同时对其数据保持严格的监督。

通过强大的安全性和合规性巩固信任

OpenAI 对企业隐私的承诺以强大的安全措施和对公认合规标准的遵守为基础。该公司已成功完成 SOC 2 审计,这证实其控制措施符合行业安全和保密基准。这项独立验证为企业提供了关于 OpenAI 系统完整性的重要保证。

数据保护通过加密得到进一步加强。所有静态数据均使用行业标准加密算法 AES-256 进行加密,而客户、OpenAI 及其服务提供商之间传输的数据则使用 TLS 1.2+ 进行保护。严格的访问控制限制了谁可以访问数据,并且一支全天候待命的安全团队随时准备响应任何潜在事件。OpenAI 还运营着一个漏洞奖励计划,鼓励负责任地披露漏洞。如需更详细的信息,企业可以查阅 OpenAI 专门的信任门户。

从合规性角度来看,OpenAI 积极支持企业履行监管义务。他们为 ChatGPT Business、ChatGPT Enterprise 和 API 等符合条件的产品提供数据处理附录(DPAs),以协助遵守 GDPR 等隐私法。对于教育机构,ChatGPT Edu 和 Teachers 产品设有特定的学生数据隐私协议,这突显了他们针对不同行业的定制方法。

值得注意的是,虽然 OpenAI 确实采用自动化内容分类器和安全工具来了解服务使用情况,但这些过程会生成关于商业数据的元数据,而不包含商业数据本身。对商业数据的人工审查受到严格限制,并且仅在特定条件下按服务逐一进行,进一步保障了机密性。

OpenAI 多样化产品套件的定制隐私

OpenAI 提供一系列 ChatGPT 产品,每款产品都针对特定的用户需求而设计,其隐私配置也体现了这种专业化。

  • ChatGPT Enterprise 专为大型组织打造,提供高级控制和部署速度。
  • ChatGPT Edu 服务于大学,提供适用于学术用途的类似管理控制。
  • ChatGPT for Healthcare 是一个安全的协作空间,旨在支持 HIPAA 合规性,对医疗保健组织至关重要。
  • ChatGPT Business 为小型和成长型团队提供协作工具和自助服务访问。
  • ChatGPT for Teachers 专为美国 K-12 教育工作者定制,融合了教育级保护和管理控制。
  • API Platform 为开发者提供直接访问 GPT-5 等强大模型的权限,从而实现自定义应用程序开发。有关 API 功能的详细信息,您可以查阅 GPT-5.2 Codex 等文章。

尽管核心隐私承诺保持一致,但在这些平台上的对话可见性和数据保留控制等方面存在细微差别。下表说明了一些关键隐私功能差异:

功能ChatGPT Enterprise/Edu/HealthcareChatGPT BusinessChatGPT for TeachersAPI 平台
用于模型训练的数据(默认)
数据所有权(输入/输出)用户/组织用户/组织用户/组织用户/组织
管理员数据保留控制否(终端用户控制)否(终端用户控制)不适用(用户/开发者控制)
SOC 2 认证是(Type 2)是(Type 2)遵循最佳实践是(Type 2)
DPA/SDPA 可用是(DPA/SDPA)是(DPA)是(SDPA)是(DPA)
管理员审计日志访问是(合规性 API)不适用

对于 ChatGPT Enterprise、Edu 和 Healthcare 等产品,工作区管理员可以通过合规性 API 访问对话和 GPTs 的审计日志,提供强大的监督功能。相比之下,对于 ChatGPT Business 和 Teachers,对话可见性通常仅限于终端用户,OpenAI 的内部访问权限在严格条件下仅限于特定的运营和合规需求。

管理数据保留和负责任的 AI 使用

数据保留是企业隐私的一个关键方面。OpenAI 提供灵活的保留策略,ChatGPT Enterprise、Edu 和 Healthcare 的工作区管理员能够控制数据保留时长。对于 ChatGPT Business 和 ChatGPT for Teachers,个人终端用户通常管理其对话保留设置。默认情况下,任何删除或未保存的对话会在 30 天内从 OpenAI 的系统中删除,除非法律要求需要更长的保留期。值得注意的是,保留数据可以启用对话历史等功能,而较短的保留期可能会影响产品体验。

OpenAI 的方法反映了对企业多样化需求的深刻理解,从大型企业到个体教育工作者。通过提供量身定制的隐私控制和合规支持,他们使更广泛的组织能够安全负责地采用 AI,为所有人扩展 AI。这种对隐私的奉献确保了随着 AI 能力的进步,企业能够继续自信地创新,同时知晓其敏感信息受到保护。

原始来源

https://openai.com/enterprise-privacy/

常见问题

Does OpenAI use my business data to train its AI models?
By default, OpenAI does not use your business data—including inputs and outputs from ChatGPT Business, Enterprise, Healthcare, Edu, Teachers, or the API Platform—for training its models. This commitment ensures your proprietary information remains confidential, unless you explicitly opt-in through feedback mechanisms for service improvement. The core principle is non-training by default, granting enterprises significant control over their intellectual property.
How does OpenAI ensure the security and compliance of enterprise data?
OpenAI enforces robust data security and compliance measures, including successful SOC 2 audits, affirming adherence to industry standards. Data is encrypted at rest (AES-256) and in transit (TLS 1.2+). Strict access controls, a 24/7/365 on-call security team, and a Bug Bounty Program bolster security. Compliance includes offering Data Processing Addendums (DPAs) for GDPR support and Student Data Privacy Agreements for educational platforms, demonstrating a commitment to global privacy standards.
What control do businesses have over their data retention within OpenAI's platforms?
For ChatGPT Enterprise, Healthcare, and Edu, workspace administrators control data retention policies. For ChatGPT Business and Teachers, individual end users control conversation retention. Deleted or unsaved conversations are typically removed from OpenAI's systems within 30 days, unless legal obligations require longer retention. Shorter retention periods might impact product features like conversation history, balancing privacy with functionality for optimal use.
Who owns the inputs and outputs generated when using OpenAI's services for business?
Between the business user and OpenAI, you retain all rights to the inputs provided to their services. You also own any output rightfully received from their services, to the extent permitted by law. OpenAI only acquires rights necessary to provide services, comply with applicable laws, and enforce policies. This clear ownership delineation ensures intellectual property generated through AI tools remains firmly with the client.
How do GPTs and Apps integrate with OpenAI's enterprise privacy commitments?
When using GPTs or Apps within enterprise ChatGPT environments (Enterprise, Business, Healthcare, Teachers, Edu), the same privacy commitments apply. Internally shared GPTs adhere to existing data policies and non-training defaults. Public sharing of GPTs, if enabled by admins, may incur additional review, though not supported for healthcare. Apps connect to internal/third-party sources respecting permissions, and OpenAI does not train models on data accessed via these applications by default, maintaining privacy.
Are conversations and chat histories accessible to others within my organization or to OpenAI employees?
Access varies by product. In ChatGPT Enterprise, Edu, and Healthcare, end users view their own conversations, and workspace admins can access audit logs via a Compliance API. Authorized OpenAI employees access conversations only for incident resolution, user permission-based recovery, or legal mandates. For Business and Teachers, employee access is limited to engineering support, abuse investigation, and legal compliance, with third-party contractors also reviewing for abuse under strict confidentiality.
Can OpenAI's API Platform be used for sensitive data like Protected Health Information (PHI)?
While ChatGPT for Healthcare is designed to support HIPAA compliance, suitable for Protected Health Information (PHI), the direct question for the API Platform's PHI use needs further clarification. Given OpenAI's robust compliance standards, including SOC 2 Type 2 certification for its API, using the API for PHI would generally necessitate specific contractual agreements, such as a Business Associate Agreement (BAA). Organizations should consult OpenAI directly for handling sensitive health data.

保持更新

将最新AI新闻发送到您的收件箱。

分享