Можно ли вставлять данные компании и клиентов в ChatGPT: чек-лист безопасности
Публичные или уже обезличенные материалы можно рассматривать для работы с ChatGPT/ИИ по правилам компании. Политика конфиденциальности OpenAI указывает, что сервис собирает Personal Data, предоставленные во вводе, включая prompts и загружаемый контент.
Create a landscape editorial hero image for this Studio Global article: 公司同客戶資料可以貼落 ChatGPT 嗎?AI 安全清單. Article summary: 可以用 ChatGPT/AI 協助公開或已去識別化內容;但客戶個人資料、合約、財務數字和公司機密不應原文貼入一般或未經公司批准的工具,高風險資料只應在有合約與管理控制的批准環境處理。[5][7]. Topic tags: ai, chatgpt, openai, privacy, data protection. Reference image context from search candidates: Reference image 1: visual subject "短答:可以用AI,但不要把敏感原文直接貼上去如果內容已公開、沒有個人資料、沒有商業機密,風險通常較低;但如果涉及客戶個人資料、公司機密、合約、財務數字" source context "公司同客戶資料可以貼落 ChatGPT 嗎?AI 安全清單 | 回答 | Studio Global" Reference image 2: visual subject "螢幕截圖顯示「我的 GPT」選單,其中包含投影片母片、資料分析工具、內容創作工具、技術文件編寫工具和人力資源助手等選項。另外還有「探索 GPT Store」選項,並列出「啟動會議記錄摘要」和「投影片大綱」等任務。" source context "企業專用 ChatGPT" Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical groundi
openai.com
Перед тем как вставлять рабочий документ, письмо клиента или выгрузку из CRM в ChatGPT, главный вопрос — не просто безопасен ли ChatGPT. Важнее понять другое: насколько чувствительны данные, разрешила ли компания такой способ обработки, есть ли у используемого ИИ-сервиса договорные и административные меры контроля, и действительно ли задаче нужен исходный текст целиком.
Этот материал опирается на публичную политику конфиденциальности OpenAI и страницы OpenAI о корпоративной работе с данными. Если ваша компания использует другого поставщика ИИ, отдельно проверяйте его условия, внутренние правила компании и требования договоров с клиентами.
Короткий вывод: публичное — можно рассматривать, чувствительное — не вставлять как есть
Если текст уже опубликован, не содержит персональных данных, клиентской информации и непубличных коммерческих сведений, его обычно проще использовать для задач вроде редактирования, резюме, классификации или генерации идей. Но даже в таком случае стоит следовать внутренней политике компании по использованию ИИ.
Если же в материале есть имена клиентов, телефоны, e-mail, адреса, данные документов, платежная информация, условия договоров, непубличные финансовые цифры, клиентские списки, стратегия продукта или иные конфиденциальные сведения, консервативный подход такой: не вставлять исходный текст в личный аккаунт, общий публичный инструмент или любой ИИ-сервис, который компания не одобрила. Политика конфиденциальности OpenAI прямо указывает, что OpenAI собирает Personal Data, которые пользователь предоставляет во вводе к сервисам, включая prompts, а также загружаемые файлы, изображения, аудио и видео.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
「Можно ли вставлять данные компании и клиентов в ChatGPT: чек-лист безопасности」的簡短答案是什麼?
Публичные или уже обезличенные материалы можно рассматривать для работы с ChatGPT/ИИ по правилам компании.
首先要驗證的關鍵點是什麼?
Публичные или уже обезличенные материалы можно рассматривать для работы с ChatGPT/ИИ по правилам компании. Политика конфиденциальности OpenAI указывает, что сервис собирает Personal Data, предоставленные во вводе, включая prompts и загружаемый контент.
接下來在實務上我該做什麼?
Более безопасный подход: сначала классифицировать данные, удалить идентификаторы, оставить только минимум нужного контекста, а высокорисковые материалы обрабатывать только в одобренной корпоративной среде с подходящим...
Корпоративные решения могут снизить часть рисков, но это не пропуск на ввод любых данных. OpenAI указывает, что ChatGPT Business, ChatGPT Enterprise и API Platform предоставляют ownership and control в отношении business data, включая ввод и вывод, а также допускают заключение Data Processing Addendum, или DPA, для поддержки соблюдения GDPR и других законов о приватности. OpenAI также упоминает политики хранения данных, Enterprise Key Management, или EKM, поддержку соответствия GDPR, CCPA и ряду стандартов безопасности и комплаенса.
Сначала классифицируйте данные
Тип данных
Примеры
Более безопасный подход
Открытый или низкочувствительный контент
Уже опубликованный текст сайта, общие маркетинговые материалы, черновик без внутренних цифр
Можно использовать по правилам компании. Не добавляйте лишний внутренний контекст и личные комментарии.
Персональные данные клиентов
Имя, телефон, e-mail, адрес, данные документа, банковские или платежные сведения
Не вставляйте исходный текст. Сначала удалите или замените всё, что позволяет идентифицировать человека, и оставьте только то, что нужно для задачи.
Используйте краткое описание, тестовые данные или обезличенную версию. Если нужен оригинал, работайте только в одобренной корпоративной среде.
Клиентские списки и продажи
Экспорт из CRM, список клиентов, статусы сделок, полные тексты жалоб
Не загружайте весь файл. Возьмите минимальный фрагмент, предварительно удалив идентификаторы.
Данные с дополнительными ограничениями
Медицинские, платежные, кадровые, идентификационные или клиентские досье
Без разрешения не вводите. Сначала уточните у ИБ, юристов, комплаенса или руководителя.
Почему даже просьба просто отредактировать текст требует осторожности
Промпт — это тоже ввод данных
Многие воспринимают вставку текста в чат как нечто менее серьезное, чем загрузку файла. Но с точки зрения обработки данных prompt, вложение и другой загруженный контент всё равно становятся входными данными сервиса. Политика конфиденциальности OpenAI перечисляет prompts и загружаемый контент среди пользовательского ввода, в котором могут содержаться Personal Data.
Отсюда базовое правило: минимизируйте ввод. Если можно не вставлять оригинал — не вставляйте. Если достаточно краткого описания — не загружайте весь документ. Если можно убрать имя, телефон, номер заказа или адрес — уберите до обращения к ИИ.
Корпоративная версия помогает, но не заменяет правила компании
OpenAI пишет, что корпоративные сервисы дают клиентам ownership and control над business data, а для ChatGPT Business, ChatGPT Enterprise и API возможно заключение DPA для поддержки соблюдения GDPR и других законов о приватности. На странице о business data также упоминаются политики хранения данных, EKM и практики защиты данных, поддерживающие соответствие GDPR, CCPA и некоторым рамкам безопасности и комплаенса.
Это важные элементы управления риском. Но компания всё равно должна заранее определить: какие данные можно вводить, какие нужно обезличивать, какие нельзя вводить вообще, кто имеет право пользоваться инструментом и как сообщать об ошибке или утечке.
Безопасность инструмента не означает, что любые данные можно выносить
Даже если ИИ-сервис предоставляет корпоративные меры контроля, сами данные могут быть ограничены клиентским договором, внутренним режимом конфиденциальности или отраслевыми требованиями. Правильный вопрос звучит так: должна ли эта информация покидать исходную контролируемую среду?
Четыре вопроса перед вставкой текста в ChatGPT
1. Есть ли здесь персональные или клиентские данные?
Если информация прямо или косвенно позволяет идентифицировать человека или клиента, относитесь к ней как к высокорисковой. На практике сначала удалите имена, телефоны, e-mail, адреса, номера аккаунтов, номера заказов, номера обращений, данные документов и платежные сведения. Это соответствует базовому факту: prompt и загружаемый контент являются входом сервиса.
2. Это коммерческая тайна или внутренняя информация?
Даже без персональных данных текст может быть чувствительным для бизнеса. Примеры: цены, условия договора, непубличная выручка, внутренние процессы, продуктовая стратегия, клиентская база. Такие материалы не стоит вставлять в неутвержденный инструмент только потому, что нужно быстро сократить или переписать текст.
3. Вы используете одобренную компанией ИИ-среду?
Личный аккаунт, бесплатный инструмент или внешний ИИ-сервис без проверки не должны считаться рабочей средой для обработки корпоративных данных. Если задача действительно требует работы с business data, используйте инструмент, который одобрен компанией и имеет нужные договорные и технические контроли. Проверьте, подходят ли DPA, политика хранения данных, EKM и другие механизмы управления требованиям вашей организации.
4. Нужен ли ИИ исходный текст целиком?
Во многих задачах полный документ не нужен. Например, чтобы подготовить ответ на жалобу клиента, часто достаточно указать суть проблемы, желаемый тон и допустимые следующие шаги. Настоящее имя клиента, телефон, адрес, номер заказа или полный текст договора в таком случае могут быть лишними.
Более безопасный рабочий процесс
Шаг 1. Проверьте внутренние правила. Посмотрите, есть ли в компании политика использования ИИ, классификация данных, ограничения по клиентским договорам или требования комплаенса. Если уверенности нет, не решайте самостоятельно, что всё должно быть нормально.
Шаг 2. Сначала классифицируйте, потом вводите. Ответьте, есть ли в тексте персональные данные, клиентские сведения, внутренние секреты, договоры, финансовая информация, платежные данные или другие чувствительные материалы. Если ответ да или не уверен, обращайтесь с текстом как с высокорисковым.
Шаг 3. Минимизируйте и обезличьте. Не вставляйте оригинал, если достаточно краткого описания. Не загружайте весь файл, если нужен один абзац. Заменяйте реальные имена, названия компаний, телефоны, e-mail, адреса, номера счетов, заказов и обращений на нейтральные обозначения: клиент А, поставщик Б, заказ 123.
Шаг 4. Высокорисковые данные — только в одобренной среде. Если без исходных business data не обойтись, используйте корпоративное решение, которое компания проверила и согласовала. Убедитесь, что DPA, политика хранения данных, EKM или другие контроли действительно подходят для вашего сценария.
Шаг 5. При сомнениях повышайте уровень согласования. Если речь о клиентах, сотрудниках, документах, платежах, медицинских данных, договорах, финансах или непубличной стратегии, сначала спросите службу информационной безопасности, юристов, комплаенс или руководителя.
Пример: как переписать prompt безопаснее
Не стоит писать так:
Вот полное письмо клиента с телефоном, адресом, номером заказа и условиями договора. Напиши ответ.
Лучше так:
Ниже обезличенное краткое описание жалобы. Клиент А сообщает, что доставка товара задержалась на 10 дней, и просит возврат. Подготовь вежливый ответ: признай проблему, предложи следующий шаг и не добавляй фактов, которых нет в описании.
Такой подход не делает риск нулевым, но уменьшает ненужное раскрытие персональных и корпоративных данных. С учетом того, что OpenAI указывает на сбор Personal Data во вводе к сервисам, минимизация ввода — базовая мера безопасности.
Означает ли корпоративный тариф, что можно вставлять всё?
Нет. Корпоративные версии и API могут дать больше договорных, административных и технических механизмов контроля. OpenAI заявляет, что соответствующие корпоративные сервисы предоставляют ownership and control над business data и позволяют заключить DPA для поддержки соблюдения GDPR и других законов о приватности. OpenAI также упоминает EKM, политики хранения данных и практики защиты данных, поддерживающие GDPR, CCPA и ряд рамок безопасности и комплаенса.
Но эти меры — только часть управления риском. Организация всё равно должна определить, какие данные разрешено вводить, какие нужно обезличивать, какие полностью запрещены для ввода, кто отвечает за доступ и как фиксировать инциденты.
Быстрый чек-лист перед вводом данных в ChatGPT или другой ИИ
Внутренняя политика компании разрешает этот сценарий.
В тексте нет персональных данных клиентов или они надежно обезличены.
В тексте нет коммерческой тайны или обработка таких данных заранее одобрена.
Вы вводите только минимально необходимый фрагмент, а не весь исходный документ.
Используется одобренный компанией инструмент, а не личный или непроверенный аккаунт.
Для корпоративного решения проверены DPA, политика хранения данных и соответствующие механизмы управления.
При сомнениях вы сначала обращаетесь к ИБ, юристам, комплаенсу или руководителю.
Практическое правило простое: публичные и низкочувствительные данные можно использовать с ИИ в рамках политики компании. Всё, что связано с клиентами, договорами, финансами, документами, платежами, непубличной бизнес-информацией или коммерческой тайной, не вставляйте как есть в общий или не одобренный ИИ-инструмент. Сначала минимизируйте и обезличьте данные, а при необходимости работайте только в корпоративной контролируемой среде.
openai.comPrivacy policy - OpenAI
captaincompliance.comChatGPT Data Security & Privacy: The Complete Guide for Users and Enterprises - Captain Compliance
hungyichen.comChatGPT Enterprise Plan Comparison Guide: Business vs Enterprise vs API (2026) | Hung-Yi Chen
Comments
0 comments