یہ اصل انگریزی دستاویز کا مشینی ترجمہ ہے۔ اس ترجمے اور اصل انگریزی ورژن کے درمیان کسی بھی تضاد کی صورت میں، انگریزی ورژن ہی معتبر تصور ہوگا۔ اصل انگریزی ورژن پڑھیں
ChatGPT آپ کے بارے میں کتنا ڈیٹا اسٹور کرتا ہے؟ ایک تکنیکی آڈٹ
2026-04-02 · Caiioo Team
اگر آپ کام پر ChatGPT استعمال کرتے ہیں، تو غالباً آپ کے آجر کے ذہن میں کچھ سوالات ہوں گے۔ اگر آپ خود آجر ہیں، تو آپ کو یقیناً ہونے چاہئیں۔
یہ اس بات کا تکنیکی آڈٹ ہے کہ OpenAI کیا جمع کرتا ہے، اسے کتنی دیر تک رکھتا ہے، اور ریگولیٹڈ صنعتوں میں ٹیموں کے لیے اس کے کیا معنی ہیں۔ ہم یہ بھی دیکھیں گے کہ Bring Your Own Key (BYOK) آرکیٹیکچر اس مساوات کو مکمل طور پر کیسے بدل دیتا ہے۔
ChatGPT کیا اسٹور کرتا ہے: مکمل تصویر
OpenAI کی اپنی ہیلپ سینٹر دستاویزات کے مطابق چیٹس "آپ کے اکاؤنٹ میں تب تک محفوظ رہتی ہیں جب تک آپ انہیں دستی طور پر حذف نہیں کر دیتے۔" جب آپ چیٹ حذف کرتے ہیں، تو اسے "فوری طور پر آپ کے اکاؤنٹ سے ہٹا دیا جاتا ہے اور 30 دنوں کے اندر OpenAI سسٹمز سے مستقل طور پر حذف کرنے کے لیے شیڈول کر دیا جاتا ہے" -- الا یہ کہ اسے پہلے ہی ڈی-آئیڈینٹی فائی کر دیا گیا ہو، یا OpenAI کو اسے سیکیورٹی یا قانونی ذمہ داریوں کے لیے برقرار رکھنا ضروری ہو۔
لیکن گفتگو کہانی کا صرف ایک حصہ ہے۔ OpenAI کی رازداری کی پالیسی وسیع پیمانے پر خودکار ڈیٹا اکٹھا کرنے کی وضاحت کرتی ہے:
- لاگ ڈیٹا -- IP ایڈریس، براؤزر کی قسم اور ترتیبات، درخواستوں کی تاریخ اور وقت، اور آپ سروسز کے ساتھ کیسے تعامل کرتے ہیں
- استعمال کا ڈیٹا -- مواد کی وہ اقسام جنہیں آپ دیکھتے ہیں یا جن میں شامل ہوتے ہیں، وہ خصوصیات جو آپ استعمال کرتے ہیں، وہ اقدامات جو آپ اٹھاتے ہیں، اور وہ فیڈ بیک جو آپ جمع کرواتے ہیں
- ڈیوائس کی معلومات -- ڈیوائس کا نام، آپریٹنگ سسٹم، ڈیوائس آئیڈینٹی فائر، اور براؤزر کی قسم
- اکاؤنٹ کی معلومات -- نام، رابطے کی تفصیلات، ادائیگی کی معلومات، اور لین دین کی تاریخ
یہ میٹا ڈیٹا ہر صارف کے لیے ایک تفصیلی طرز عمل کا پروفائل بناتا ہے۔ یہاں تک کہ اگر آپ کبھی بھی پرامپٹ میں حساس معلومات شیئر نہیں کرتے، تب بھی آپ کے استعمال کے پیٹرن آپ کے کام کے بارے میں اہم معلومات ظاہر کرتے ہیں۔
وہ عدالتی حکم جس نے سب کچھ بدل دیا
مئی 2025 میں، New York Times v. OpenAI کاپی رائٹ قانونی چارہ جوئی میں مجسٹریٹ جج اونا ٹی وانگ کی جانب سے ایک وفاقی عدالتی حکم (کیس نمبر 1:23-cv-11195, S.D.N.Y.) نے OpenAI کو پابند کیا کہ وہ "تمام آؤٹ پٹ لاگ ڈیٹا کو برقرار رکھے اور الگ کرے جو بصورت دیگر حذف کر دیا جاتا" -- غیر معینہ مدت کے لیے۔ OpenAI کی نظرثانی کی درخواست 16 مئی 2025 کو مسترد کر دی گئی تھی۔
عملی طور پر اس کا مطلب یہ ہے کہ: اگر آپ نے اپنی چیٹس حذف بھی کر دیں، تب بھی OpenAI قانونی طور پر انہیں محفوظ رکھنے کا پابند ہو سکتا ہے۔ ان کی پرائیویسی پالیسی میں بیان کردہ 30 دن کی حذف کرنے کی مدت عدالتی حکم کے ذریعے کالعدم ہو جاتی ہے۔ جنوری 2026 میں، ڈسٹرکٹ جج سڈنی اسٹین نے اس حکم کو برقرار رکھا، جس کے تحت OpenAI کو ثبوت کے طور پر 20 ملین ڈی-آئیڈینٹی فائیڈ صارف لاگز -- پرامپٹس اور آؤٹ پٹس -- کا نمونہ پیش کرنے کی ضرورت ہے۔
آپ کی گفتگو مستقبل کے ماڈلز کی تربیت کر سکتی ہے
بذریعہ ڈیفالٹ، کنزیومر پلانز پر ہونے والی گفتگو ماڈل کی تربیت کے لیے استعمال کی جاتی ہے۔ OpenAI کی اپنی ہیلپ سینٹر دستاویزات میں کہا گیا ہے: "جب آپ افراد کے لیے ہماری خدمات جیسے کہ ChatGPT، Codex، اور Sora استعمال کرتے ہیں، تو ہم آپ کے مواد کو اپنے ماڈلز کی تربیت کے لیے استعمال کر سکتے ہیں۔" آپ پرائیویسی پورٹل کے ذریعے یا Settings > Data Controls کے ذریعے اس سے باہر نکل سکتے ہیں -- لیکن جیسا کہ OpenAI نوٹ کرتا ہے، "ایک بار جب آپ آپٹ آؤٹ کر لیتے ہیں، تو نئی گفتگو ہمارے ماڈلز کی تربیت کے لیے استعمال نہیں کی جائے گی۔" پہلے سے جمع کرایا گیا کوئی بھی ڈیٹا ٹریننگ پائپ لائن میں رہتا ہے۔
آپٹ آؤٹ کرنے سے یہ بھی تبدیل نہیں ہوتا کہ آپ کا ڈیٹا کتنی دیر تک اسٹور کیا جاتا ہے۔ یہ صرف اس بات کو تبدیل کرتا ہے کہ آیا اسے ماڈلز کو بہتر بنانے کے لیے استعمال کیا جاتا ہے یا نہیں۔
Enterprise بمقابلہ انفرادی: ایک دو سطحی نظام
OpenAI ایک واضح دو سطحی پرائیویسی ماڈل چلاتا ہے:
| انفرادی (Free/Plus/Pro) | Enterprise/Edu | |
|---|---|---|
| ڈیٹا برقرار رکھنا | غیر معینہ مدت (عدالتی حکم) | ایڈمن کے زیر کنٹرول |
| ٹریننگ کا استعمال | ڈیفالٹ ہاں (آپٹ آؤٹ دستیاب) | ڈیفالٹ ٹریننگ نہیں |
| عدالتی حکم سے مستثنیٰ؟ | نہیں | ہاں |
| ایڈمن کنٹرولز | کوئی نہیں | مکمل ریٹینشن پالیسیاں |
| حذف کرنے کا ٹائم لائن | 30 دن (جب اجازت ہو) | 30 دن، ایڈمن کے ذریعے قابل ترتیب |
انفرادی صارفین کے لیے، اس بات کی ضمانت دینے کا کوئی طریقہ نہیں ہے کہ آپ کا ڈیٹا واقعی حذف ہو گیا ہے۔ Enterprise صارفین کے لیے، ورک اسپیس ایڈمنسٹریٹرز ریٹینشن کو کنٹرول کرتے ہیں، اور ڈیٹا ڈیفالٹ طور پر ٹریننگ کے لیے استعمال نہیں ہوتا ہے۔
چھوٹی اور درمیانی ٹیموں کے لیے مسئلہ: Enterprise پلانز نمایاں کم از کم حد سے شروع ہوتے ہیں۔ ایک 10 افراد کی کنسلٹنگ فرم Enterprise-ٹیئر کے پرائیویسی کنٹرولز تک رسائی حاصل نہیں کر سکتی۔
GDPR تعمیل: ایک کھلا سوال
ChatGPT کے غیر معینہ مدت تک ڈیٹا رکھنے کے طریقے GDPR کی تعمیل پر سنگین سوالات اٹھاتے ہیں، خاص طور پر ڈیٹا منیمائزیشن اور اسٹوریج کی حد کے اصولوں کے حوالے سے۔ مارچ 2023 میں، اٹلی کی ڈیٹا پروٹیکشن اتھارٹی (Garante per la Protezione dei Dati Personali) نے ایک ہنگامی حکم جاری کیا جس میں عارضی طور پر ChatGPT پر پابندی لگا دی گئی، جس میں GDPR کے آرٹیکلز 5، 6، 8، 13، اور 25 کی خلاف ورزیوں کا حوالہ دیا گیا -- بشمول ڈیٹا اکٹھا کرنے کے لیے قانونی بنیاد کی عدم موجودگی، صارفین کو پرائیویسی نوٹس نہ دینا، اور عمر کی تصدیق نہ کرنا۔ OpenAI کی جانب سے تبدیلیاں نافذ کرنے کے بعد اپریل 2023 میں پابندی اٹھا لی گئی تھی، لیکن وسیع تر ریگولیٹری صورتحال اب بھی غیر واضح ہے۔
ریگولیٹڈ صنعتوں -- قانونی، صحت کی دیکھ بھال، مالیاتی خدمات -- میں کلائنٹ ڈیٹا سنبھالنے والی ٹیموں کے لیے، ChatGPT استعمال کرنے کا مطلب OpenAI کو بطور ڈیٹا پروسیسر قبول کرنا ہے۔ یہ GDPR آرٹیکل 28 کی ذمہ داریوں کو متحرک کرتا ہے: آپ کو ڈیٹا پروسیسنگ ایگریمنٹ (DPA) کی ضرورت ہے، آپ کو پروسیسنگ کی سرگرمیوں کو دستاویزی شکل دینے کی ضرورت ہے، اور آپ کو یہ یقینی بنانے کی ضرورت ہے کہ پروسیسر آپ کی سیکیورٹی ضروریات کو پورا کرتا ہے۔
پوشیدہ قیمت: تعمیل کا بوجھ
جب آپ کی ٹیم ChatGPT استعمال کرتی ہے، تو OpenAI آپ کی تعمیل کی زنجیر میں ایک ڈیٹا پروسیسر بن جاتا ہے۔ اس کا مطلب ہے:
- ڈیٹا پروسیسنگ ایگریمنٹ (DPA) درکار ہے -- جو یہ واضح کرے کہ OpenAI آپ کی طرف سے ذاتی ڈیٹا کو کیسے ہینڈل کرتا ہے، سیکیورٹی اقدامات، ذیلی پروسیسنگ کی حدود، اور خلاف ورزی کی اطلاع کی ذمہ داریوں کی وضاحت کرتا ہے۔
- GDPR آرٹیکل 28 کی ذمہ داریاں فعال ہو جاتی ہیں -- پروسیسرز کو صرف آپ کی ہدایات کے مطابق ڈیٹا پروسیس کرنا چاہیے، رازداری کو یقینی بنانا چاہیے، سیکیورٹی اقدامات نافذ کرنے چاہئیں، خلاف ورزیوں کی اطلاع دینی چاہیے، اور آڈٹ کی اجازت دینی چاہیے۔
- آپ کے سیکیورٹی ریویو میں OpenAI شامل ہونا چاہیے -- ہر وینڈر رسک اسیسمنٹ، ہر SOC 2 آڈٹ سوال، ہر کلائنٹ سیکیورٹی سوالنامے میں اب ایک اضافی انحصار شامل ہے۔
20 افراد کی لاء فرم یا ہیلتھ کیئر پریکٹس کے لیے، یہ تعمیل کا بوجھ خود سبسکرپشن سے زیادہ مہنگا ہو سکتا ہے۔
BYOK آرکیٹیکچر کیا تبدیل کرتا ہے
Bring Your Own Key (BYOK) ایک ایسا آرکیٹیکچرل پیٹرن ہے جہاں AI ٹول آپ کے ڈیٹا کو کبھی نہیں چھوتا۔ اس کے بجائے:
- آپ اپنا API کی فراہم کرتے ہیں AI فراہم کنندہ (OpenAI، Anthropic، Google، وغیرہ) سے
- سوالات براہ راست روٹ ہوتے ہیں آپ کے ڈیوائس سے فراہم کنندہ تک -- ٹول کبھی بھی درمیان میں نہیں آتا
- ٹول کچھ بھی اسٹور نہیں کرتا -- نہ گفتگو، نہ میٹا ڈیٹا، نہ رویے کے پروفائلز
- ٹول وینڈر کے ساتھ کسی DPA کی ضرورت نہیں ہے -- کیونکہ یہ ڈیٹا پروسیسر نہیں ہے
ڈیٹا کے بہاؤ کا فرق بنیادی ہے:
| ChatGPT (کلاؤڈ ہوسٹڈ) | BYOK آرکیٹیکچر | |
|---|---|---|
| ڈیٹا کا راستہ | آپ > OpenAI سرورز > ماڈل > OpenAI > آپ | آپ > براہ راست فراہم کنندہ API > آپ |
| درمیانی واسطہ | OpenAI تمام سوالات کو ہینڈل کرتا ہے | کوئی نہیں -- براہ راست API کالز |
| ڈیٹا کی نمائش | پلیٹ فارم لاگ کرتا ہے اور تمام سوالات دیکھتا ہے | فراہم کنندہ صرف API کال دیکھتا ہے |
| اسٹوریج | OpenAI کے سرورز پر، غیر معینہ مدت کے لیے | صرف مقامی ڈیوائس پر |
| ٹول وینڈر بطور پروسیسر؟ | ہاں | نہیں |
BYOK کے ساتھ، آپ کا تعمیل کا رشتہ صرف اس AI فراہم کنندہ کے ساتھ ہوتا ہے جسے آپ منتخب کرتے ہیں، ان شرائط پر جن پر آپ براہ راست بات چیت کرتے ہیں۔ ٹول خود آپ کی تعمیل کی زنجیر کے لیے پوشیدہ ہے۔
آپ کی ٹیم کے لیے اس کا کیا مطلب ہے
2,600 پرائیویسی اور سیکیورٹی پروفیشنلز کے 2026 کے سروے میں پایا گیا کہ 64% لوگ جنریٹو AI ٹولز کے ذریعے نادانستہ طور پر حساس ڈیٹا شیئر کرنے کے بارے میں فکر مند ہیں -- پھر بھی تقریباً آدھے لوگ ذاتی یا غیر عوامی ڈیٹا داخل کرنے کا اعتراف کرتے ہیں۔ تشویش اور رویے کے درمیان یہ فرق ہی وہ جگہ ہے جہاں خطرہ موجود ہے۔
اگر آپ اپنی تنظیم میں AI گورننس کے ذمہ دار ہیں، تو پوچھنے کے لیے یہ سوالات ہیں:
- کیا آپ کا AI ٹول ڈیٹا پروسیسر ہے؟ اگر ہاں، تو آپ کو DPA، تعمیل کی دستاویزات، اور جاری وینڈر رسک اسیسمنٹ کی ضرورت ہے۔
- گفتگو کا ڈیٹا کہاں رہتا ہے؟ کلاؤڈ ہوسٹڈ کا مطلب ہے وینڈر کے سرورز۔ لوکل-فرسٹ اسٹوریج کے ساتھ BYOK کا مطلب ہے آپ کے ڈیوائسز۔
- کیا آپ حذف کرنے کی ضمانت دے سکتے ہیں؟ ChatGPT کے عدالتی حکم کے تحت ڈیٹا رکھنے کے ساتھ، کنزیومر پلانز کے لیے جواب فی الحال نہیں ہے۔
- کیا آپ کی ٹیم کے پاس مستقل ٹولنگ ہے؟ 20 لوگوں میں انفرادی سبسکرپشنز کا مطلب ہے 20 الگ الگ تعمیل کے رشتے۔
- کل لاگت کیا ہے؟ اس میں نہ صرف سبسکرپشن فیس، بلکہ تعمیل کا بوجھ، DPA مذاکرات، اور وینڈر رسک اسیسمنٹ کا وقت بھی شامل کریں۔
لب لباب
ChatGPT ایک طاقتور ٹول ہے۔ یہ ایک ڈیٹا پروسیسر بھی ہے جو آپ کی گفتگو کو غیر معینہ مدت تک محفوظ رکھتا ہے، انہیں ڈیفالٹ طور پر ٹریننگ کے لیے استعمال کرتا ہے، اور ایک عدالتی حکم کے تحت کام کرتا ہے جو اس کی اپنی ڈیلیٹ کرنے کی پالیسیوں پر فوقیت رکھتا ہے۔
افراد کے لیے، یہ سمجھوتے قابل قبول ہو سکتے ہیں۔ کلائنٹ کی خفیہ معلومات، مریضوں کا ڈیٹا، مالیاتی ریکارڈ، یا مسابقتی معلومات سنبھالنے والی ٹیموں کے لیے، یہ ایک حقیقی خطرہ ہیں۔
BYOK آرکیٹیکچر ٹول فراہم کرنے والے کو تعمیل کی مساوات سے مکمل طور پر نکال دیتا ہے۔ آپ کا ڈیٹا کبھی بھی کسی درمیانی واسطے کو نہیں چھوتا۔ کسی DPA کی ضرورت نہیں۔ ٹول فراہم کرنے والے کے ساتھ GDPR آرٹیکل 28 کی کوئی ذمہ داری نہیں۔ تیسرے فریق کے سرورز پر آپ کی ٹیم کی گفتگو کا کوئی غیر معینہ مدت تک ذخیرہ نہیں۔
انتخاب AI اور بغیر AI کے درمیان نہیں ہے۔ یہ گورننس کے ساتھ AI اور اس کے بغیر AI کے درمیان ہے۔
Caiioo مقامی اسٹوریج کے ساتھ BYOK آرکیٹیکچر استعمال کرتا ہے۔ آپ کی گفتگو کبھی بھی ہمارے سرورز کو نہیں چھوتی۔ ہمارے پرائیویسی آرکیٹیکچر کے بارے میں مزید جانیں یا مفت میں شروع کریں