公司開 AI 會議筆記前要查清 6 件事:錄音提示、保存同刪除點處理
Tech News

公司開 AI 會議筆記前要查清 6 件事:錄音提示、保存同刪除點處理

圖片:via TechNews 科技新報 — https://infosecu.technews.tw/2026/07/18/ai-meeting-note-tools-efficiency-privacy-trap/
TechLab 編輯部(譯)·

Teams、Zoom、Meet 同第三方 bot,資料處理方法可以差好遠

慳咗手寫筆記,多咗一批要管嘅資料

AI 會議筆記已經由獨立 app,變成 Teams、Zoom 同 Google Meet 入面隨手撳到嘅功能。佢可以錄音、分辨邊個講嘢、整逐字稿,再抽出決定同待辦事項,開完會唔使再執半個鐘筆記。不過一開呢類功能,公司同時多咗聲音、逐字稿、摘要、參加者名稱,甚至畫面分享內容要管。不過用起上嚟方唔方便只係其中一部分,公司仲要查清邊個睇到、資料留幾耐,同埋刪除後有冇副本留下。

TechNews 科技新報報道引述私隱同保安專家,提醒公司會議可能包含聲音特徵、客戶資料同商業機密。呢個提醒方向合理,不過技術上要講準:speaker diarization 通常係將錄音分成「講者 A、講者 B」,或者配對會議參加者,未必代表系統建立咗可用作身份認證嘅生物辨識聲紋。兩樣嘢唔應該撈埋講,但原始錄音一旦外洩,仍然可以俾人用嚟模仿聲音、做釣魚內容或者重組敏感對話。

1. 開始之前,所有人會收到咩提示

第一件事係睇清楚提示出現喺邊。Google Meet 官方話,預先開啟 Gemini 筆記功能後,參加者入會時會見到畫面通知;Zoom 開啟 AI 會議功能亦會向參加者顯示提示。Otter 就較複雜,Enterprise 可以喺會前寄錄音通知,亦有 Teams 錄音權限頁,但實際效果受平台、方案同公司設定影響。一封寄咗去垃圾郵件嘅電郵,唔應該當成會議入面人人都清楚同意。

香港《私隱條例》冇一條簡單規則話所有錄音都一定要逐一取得同意,但收集個人資料要公平、目的要講清楚。私隱公署曾處理主管暗中錄低員工工作表現會議嘅個案,認為錄音本身未必違法,但事前冇通知員工,構成不公平收集。公司比較穩陣嘅做法,係主持人口頭講明會錄低咩、用嚟做咩、邊個收到摘要,同埋畀參加者提出異議。

2. 錄音、逐字稿同摘要分別放喺邊

唔好只問「資料有冇加密」,仲要逐件問保存位置。Teams 錄影同逐字稿一般落到主辦人 OneDrive 或 SharePoint,亦可以受 Microsoft Purview 保存政策管理;Google Meet 產生嘅會議筆記會變成 Google Docs,放入主辦人 Drive,再按分享設定交畀受邀人士。Google 特別提醒,「所有受邀人士」可以包括冇真正出席嗰班人,日曆邀請名單太闊就有機會派多咗。

第三方 bot 又係另一套帳戶、權限同供應商鏈。Fireflies 官方話會議內容唔會用嚟訓練模型,外部模型供應商亦採用零資料保存安排;呢度嘅「零保存」主要講處理資料嘅供應商,唔等於用家帳戶內完全冇逐字稿。採購時要供應商畫清資料流:原始聲音、逐字稿、摘要、搜尋索引同備份,各自去咗邊,唔好接受一句「企業級安全」就算。

3. 刪除一場會議,實際會刪走幾多份

刪除功能最容易令人有錯覺。Zoom 管理員可以設定會議摘要自動刪除期限,會議期間亦有停用 AI 同刪除已產生內容嘅控制;Teams 錄影、逐字稿同其他 AI 產物就可能分散喺 OneDrive、SharePoint、會議聊天同合規保存系統。刪咗錄音,唔代表日曆附件、電郵摘要、匯出檔案、CRM 記錄同同事下載過嘅副本會一齊消失。

公司要預先定一個按會議類型分級嘅保存表,例如一般內部更新、招聘面試、客戶會議、法律意見同未公布業績,唔應該共用同一個期限。亦要實際測試刪除:由主辦人刪除之後,管理員、參加者、外部訪客同整合服務仲睇唔睇到。供應商話資料「可刪除」,唔等於公司已確認錄音、摘要同其他副本全部按政策處理好。

4. 「唔用嚟訓練」要問到邊一層

Zoom 官方承諾唔會用客戶嘅聲音、影片、聊天、畫面分享等通訊內容訓練 Zoom 或第三方 AI 模型;Google 亦話,未經許可唔會用 Workspace 內容訓練 Workspace 以外嘅生成式 AI 模型。Fireflies 同樣公開表示會議內容唔會用作內部或外部模型訓練。呢啲承諾有用,但採購合約仍要寫清楚,因為產品方案、意見回饋、故障診斷同人工支援可能有另一套處理條款。

公司要問嘅唔止「train 唔 train」,仲包括供應商會唔會保留 prompt、摘要評分、用家提交嘅錯誤例子,同有冇員工可以為支援個案查看內容。Zoom 就列明,用家主動提交嘅意見可能連同 prompt 交由員工檢視。訓練政策只係資料用途其中一格,唔代表所有人工存取同產品改良用途都自動關閉。

5. 企業管理設定有冇真係鎖好

同一款工具,個人免費帳戶同企業版可以係兩回事。IT 要查管理員可唔可以統一關閉自動加入、限制外部分享、設定保存期限、查閱操作紀錄、選擇資料地區,同撤銷離職員工權限。Teams、Zoom 同 Google Workspace 本身有較完整嘅公司管理層,但一個員工用私人帳戶拉第三方 bot 入會,就可能繞過原有保存同存取政策。

比較工具時亦要睇「冇 bot」模式。Teams、Zoom 同 Meet 嘅內置功能通常直接用平台原有身份、日曆同權限;Otter 等工具就可以用 bot 身份入會,亦有桌面 app 直接擷取電腦聲音。內置功能唔代表風險低,只係資料較容易收返入現有 Microsoft、Google 或 Zoom 管理範圍。公司已經有成熟嘅權限同合規設定,通常先查內置方案夠唔夠用會較實際。

6. 員工點認出同拒絕陌生會議 bot

參加者見到 Otter、Fireflies、Fathom 或其他唔認識嘅名稱入 waiting room,唔好因為個名有「notes」就直接放行。先問邊個邀請、屬於邊個帳戶、會錄低咩資料,同摘要會派畀邊個;冇人認頭,主持人就應該拒絕加入或者移除。就算 bot 已入場,亦可以要求暫停錄音,等主持人講清楚安排先繼續敏感議題。

員工自己亦要檢查日曆整合,因為部分工具可以設定自動加入所有有視像連結嘅會議。離開試用服務時,要取消日曆權限、停用自動加入,再刪除舊內容。公司政策最好提供一條清楚渠道,畀員工或外部客戶拒絕錄音後仍可繼續開會,例如改由指定同事手寫決定事項。工具再方便,都唔應該令參加者得返「接受錄音或者退出會議」兩個選擇。

真正要管嘅係成條資料鏈

AI 會議筆記值得用,尤其係長會議、跨時區團隊同要追大量待辦事項嘅工作。不過採購評分唔可以淨係比較摘要準確度同支援幾多語言。公司最少要完成一次私隱風險評估,實際走過通知、拒絕、分享、下載、保存同刪除流程,再決定邊類會議可以開。涉及人事、法律、醫療、客戶身份資料、未公布交易或者系統密碼嘅會議,直接禁用自動錄音通常會省返更多手尾。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook