ChatGPT Enterprise vs. Microsoft 365 Copilot vs. 自建 RAG：DACH 企业该买哪一个？

给奥地利、德国或瑞士企业的简短结论：如果您本就在 Microsoft 365 中办公，且价值在于您 Exchange、SharePoint 和 Teams 中的数据，就买 Microsoft 365 Copilot。如果您想要最强的通用助手，且数据散布在多种工具中而不仅是微软，就买 ChatGPT Enterprise。只有当您需要它们都无法提供的控制力时才自建 RAG 系统：按您自己的条件做数据驻留、在专有语料上做权限感知检索，或保持模型可移植，并且您拥有维护它的工程能力。这三者单独来看都不是"符合 GDPR"的。您仍然是数据控制者，决定您是否受到保护的是合同，而不是营销页面。

这是采购与工程视角，而非推销说辞。我们为客户构建并落地这三者，因此下面的对比关乎契合度与取舍，而非我们偏好哪个标志。价格与数据条款为 2026 年年中现状，且经常变动；在签约前请核对所链接的供应商页面。

对比一览

真正决定这件事的几个维度，并列展示。请将每个数字视为 2026 年年中的现状并重新核实。

有一个对 DACH 受众很重要、却容易被忽略的提醒：微软现在在 Copilot 内部使用了部分 Anthropic 模型，而这些不在欧盟数据边界的覆盖范围内，也不在境内处理的承诺之内。如果严格的数据位置说法正是您选择 Copilot 的原因，请确认哪些功能会路由到哪些模型。

ChatGPT Enterprise

三者中最强的通用助手，也是对您的数据跨工具存放位置最灵活的一个。OpenAI 默认不用业务数据训练，您拥有自己的输入与输出，且保留期限由管理员控制。它具备 SOC 2 Type 2、ISO 27001、面向 GDPR 的数据处理协议，以及面向健康数据的 BAA。欧盟数据驻留于 2025 年 2 月覆盖到静态存储，并于 2026 年 1 月扩展到欧洲区域内的推理，不过粒度是"欧洲"，并非指定的奥地利或瑞士数据中心。坦白的不足之处：OpenAI 不公布 ChatGPT Enterprise 的价格。您会看到的那些每席约 60 美元、最低 150 席的数字，是第三方估算，并非官方，因此请把它们当作销售对话的起点，而不是事实。

Microsoft 365 Copilot

如果您的工作本就发生在 Microsoft 365 中，这是阻力最小的路径，因为价值在于把答案建立在您自己的 Exchange、SharePoint 和 Teams 数据之上，并裁剪到每位用户本就被允许看到的范围。Enterprise 附加项为每位用户每月 30 美元、按年支付，并需要一份符合条件的基础许可证（如 E3 或 E5）；Business 层级更便宜，但上限为 300 名用户；而 Copilot Chat 对符合条件的订阅免费包含、无需额外付费。提示词、回复，以及 Copilot 通过 Microsoft Graph 访问到的数据，都不会用于训练基础模型，并保留在 Microsoft 365 服务边界之内，该边界运行于 Azure OpenAI 而非公开的 ChatGPT 服务。这里真正的风险不是模型，而是过度共享：Copilot 会乐意把用户在技术上有权访问的任何内容呈现出来，所以如果您的 SharePoint 权限一团乱，Copilot 会很快把这一点暴露出来。请在推广之前清理好权限和敏感度标签，而不是之后。

自建 RAG

当这些产品都无法提供您所需的控制力时，自建检索系统就是正确选择：按您的条件做完整数据驻留、在不存于 Microsoft 365 的语料上做权限感知检索，或拥有更换模型、避免锁定的自由。它也是工作量最大的。根据真实项目的粗略参考，概念验证大致落在 6,000 到 25,000 欧元之间，生产级 MVP 约 17,000 到 80,000，而带 SSO 与合规的自托管企业级方案则从 80,000 起；请将这些视为方向性参考，而非报价。成本的主要推动因素几乎从来不是模型。而是数据清洗、访问控制与集成，它们通常吞掉预算的 30% 到 50%。最难的部分无疑是权限：请在检索层用元数据过滤器在搜索运行之前就强制执行权限，而不是事后在应用里硬加。我们在 面向欧盟的 RAG 生产就绪检查清单 中对此做了深入展开。

还有一个值得点名的中间地带：像 Microsoft Copilot Studio 和 Azure AI Foundry，或 OpenAI 的代理工具，能让您定制并 ground 一个托管产品，而无需从零构建检索。当"买"太死板、"建"又太重时，这往往是务实的答案。

如何选择

请按真正约束您的那个限制来选，而不是按哪个演示最亮眼。

1. 选择 Microsoft 365 Copilot：当您已在 M365 E3 或 E5 上，价值在于以 Exchange、SharePoint 和 Teams 为基础，且欧盟数据边界加 Purview 治理满足您的数据保护门槛时。接受 Multi-Geo、网络查询与 Anthropic 模型方面的例外，并先清理好您的权限。
2. 选择 ChatGPT Enterprise：当您想要最强的通用助手与前沿模型，您的数据散布在多种 SaaS 工具中而不仅是微软，且"欧洲区域"驻留加一份已签署的 DPA 能满足您的要求时。
3. 自建 RAG：当您需要按自己条件的数据驻留或主权、在专有语料上做权限感知检索，或需要模型可移植，并且您拥有或将招聘工程与 MLOps 来承担维护时。
4. 从比您以为的更小处起步。 对大多数团队来说，正确的第一步是 Copilot 或 ChatGPT Enterprise 加上一次聚焦的赋能推动，只有当某个特定的高频工作流明确证明值得时，才去自建。我们在 如何在 2026 年于内部推广 AI 中描述了这个顺序。

"这些工具单独来看都不符合 GDPR。您才是数据控制者。产品给您积木，一份 DPA、一道数据边界、一套管理控制，而您的工作是把它们拼装成站得住脚的东西。采购决定是其中较轻松的那一半。"

不能跳过的 DACH 数据保护部分

无论您选哪一个，您仍然是数据控制者，这意味着有几件事不是可选项。您需要符合第 6 条的合法依据、在任何个人数据流动之前签署符合第 28 条的数据处理协议（即 AVV）、一个有效的传输机制，以及针对较高风险用途的数据保护影响评估。《欧盟-美国数据隐私框架》自 2023 年起提供充分性认定，但一项诉讼正在欧盟法院推进中，因此请将其视为临时性的，并保留标准合同条款作为后备。瑞士需要一个经框架认证的接收方、SCC、同意，或在欧盟与瑞士境内托管。对员工还有一条硬性界线：ChatGPT 的免费版和 Plus 消费层级没有 DPA，不适合用于公司的个人数据。如果有人把客户数据粘贴进个人账户，那是首先要解决的问题，要在这份对比中的任何内容变得有意义之前先解决。数据驻留本身是个深入话题，我们在 2026 年 AI 应用的欧盟数据驻留 中做了介绍。