法律与合规如何影响治理、保留和风险缓解
人工智能(AI)驱动的会议工具正以前所未有的速度被广泛应用于工作场所。Microsoft Teams、Zoom 和 Webex 等平台现在提供自动记录、转录和总结视频会议的功能,而且往往是实时的。其吸引力不言而喻。这些功能有望提高效率,提供可搜索的记录,并减少行政工作。
然而,对于法律、人力资源和合规职能部门来说,这些工具也提出了有关数据管理、特权、准确性和工作场所行为的基本问题。如果没有正确的管理,这些工具可能会破坏诉讼策略、侵蚀保密保护,并改变员工参与敏感讨论的方式。
采用的速度加剧了这些风险。推广工作通常由 IT 或业务部门推动,只有在开始使用后才会引入法律部门。当会议内容具有高度敏感性并可能在诉讼中被发现时,这种被动局面就尤其成问题。看似无伤大雅的绩效考核、工作场所调查或工会战略的记录可能很快就会成为证据。
安全部署的关键在于识别人工智能会议工具在哪些方面以及如何引入法律风险,并在其嵌入日常运营之前建立深思熟虑的实用控制措施。以下部分概述了主要风险领域和内部法律顾问应采取的保障措施。
主要风险领域
永久业务记录和保留挑战
根据公司政策和适用法律,人工智能生成的记录誊本、摘要和录音可被视为正式业务记录。因此,它们可能会因诉讼搁置或监管调查而受到保存义务的限制,通常会被保存数年之久。这可能会大大增加存储成本,更重要的是,会使敏感对话在本应删除的很长时间后仍然存在。未进行保存或对删除管理不善可能会引发湮没索赔或监管制裁。
特权和保密风险
记录律师-当事人对话、人力资源审议或内部审计可能会无意中放弃特权保护,尤其是在与第三方共享或由第三方存储输出结果的情况下。许多人工智能供应商将数据存储在供应商控制的基础设施中,而标准合同条款可能不承认法律特权或工作成果保护。此外,供应商通常保留使用客户数据来训练人工智能模型的权利,从而增加了向非预期受众暴露机密战略、法律建议和人事信息的风险。
准确性和可靠性问题
自动转录和摘要工具缺乏人工判断,容易出错。当多人同时发言时,这些工具可能会错误识别发言者、混淆听起来相似的名字、遗漏缩略语或技术术语,或曲解前后交流。它们还可能捕捉到旁人的评论、背景讨论或不完整的想法,而这些本不打算成为记录的一部分或接受外部审查。在争议中,监管机构或对立双方可能会将人工智能生成的记录视为比正式会议记录更具权威性,从而引发可信度问题,并且一旦发现不准确之处就很难纠正。
对讨论的寒蝉效应
披露或意识到主动录音和转录会改变会议动态。员工可能会因为害怕被 "记录在案 "而避免提出问题、对自己的言论进行消毒或推迟问题的上报。这种 "寒蝉效应 "会阻碍积极主动地解决问题,降低讨论的坦诚度,并最终影响治理。
数据管理和供应商控制
人工智能会议工具的输出通常由供应商存储和处理,这些供应商通常位于隐私法不同的司法管辖区。供应商系统可能遵循与组织要求不一致的其他安全协议和加密标准。如果没有健全的合同条款,公司可能无法防止二次使用(包括人工智能模型训练)或控制敏感内容的披露。参加外部托管的、使用主动人工智能工具的会议会进一步增加风险,因为内容可能会在您的治理框架之外被记录、存储和传播,从而超出您的控制范围。
实际考虑因素和保障措施
定义明确的使用界限
对何时可以使用人工智能会议工具实施明确的指导。禁止在涉及法律顾问、人力资源调查、内部审计或敏感战略讨论的会议上录音或转录。考虑纳入指导原则,要求在启动任何人工智能工具之前,提前向与会者披露,以确保征得同意并提高认识。
要求在分发前进行人工审核
制定禁止自动分发原始人工智能记录或摘要的程序。建立人工审核流程,以核实准确性、删除非正式评论或敏感语言,并确保与组织偏好的语气保持一致。将审查过的记录明确标注为 "正式",并注明使用人工智能生成的输出结果,以及人工智能输出结果是补充性的,而非权威性的。
更新保留和法律保留流程
将人工智能生成的输出整合到现有的数据保留计划、法律保留流程和删除协议中。限制只有授权人员才能访问录音和记录誊本。考虑采用加密和其他安全措施来保护存储的数据。
加强供应商合同保障
在采用或扩展人工智能会议解决方案前进行尽职调查。合同应确认数据所有权、终止时的安全删除,并要求通知任何数据泄露或披露请求。验证供应商的安全实践是否符合相关法律法规标准。此外,还应考虑禁止人工智能培训的任何二次使用。
员工教育和培训
提高认识是减少滥用和风险的关键。培训员工如何正确使用人工智能工具、录音对话的法律影响以及在需要转录的会议中保持专业精神的重要性。鼓励将任何有关未经授权录音的问题上报。让员工方便地了解人工智能政策,并随着人工智能技术的发展不断更新。
在大范围推广前进行试点
首先在低风险环境中测试人工智能会议工具,以便在全公司部署该技术之前发现潜在问题。法律、合规、隐私和人力资源部门从一开始就应成为评估团队的一部分。
将人工智能会议工具扩展到日常运营中需要积极的监督。合规和法律部门应为如何处理人工智能生成的内容制定框架,确保准确性、一致性、保留和特权不受损害。通过明确的使用政策、集成的保留流程、强有力的供应商条款和定期培训,公司可以拥抱人工智能功能,避免不必要的风险。
