员工用AI整理会议纪要,为什么先别上传客户资料?
员工把会议纪要、客户资料、合同截图或项目方案上传 AI 工具前,应先划上传红线、权限、脱敏、审批、日志、删除和例外处理边界。
员工用 AI 工具整理会议纪要、客户访谈、项目复盘或售后工单时,我通常不会先问工具好不好用,而会先问上传的材料里到底有什么。吕箐翎律师的判断是,会议纪要不是低风险文档,里面可能同时出现客户姓名、电话、职位、合同价格、技术方案、投诉事实、商业计划、未公开产品信息和内部责任判断。只要这些内容进入外部 AI 工具,就可能改变原来的处理目的、访问范围和保存边界。
直接答案:先划上传红线,再谈效率
员工想用 AI 提炼会议要点,不等于企业可以把原始客户资料交给外部工具处理。个人信息处理规则强调目的、必要性、告知同意、委托处理和安全措施;数据安全和网络数据安全规则也要求企业识别数据类型、权限和风险。生成式 AI 工具还可能保存提示词、输出、日志或用于服务改进,所以第一步不是让员工自行判断,而是先建立上传红线。
我的实务判断是,企业至少要把资料分成四类:禁止上传、脱敏后可上传、经审批后可上传、只能使用内部隔离工具。这个分类要写成表,不能只在员工群里说一句“注意保密”。没有表格、审批和日志,后续发生客户投诉、供应商争议或内部追责时,很难说明企业已经做过必要控制。
第一张表:上传红线表
我会先让企业列一张上传红线表,把员工最常见的材料拆开判断。红线表的作用不是阻止所有 AI 使用,而是让员工知道哪些材料不能碰、哪些材料必须处理后才能用。
| 材料类型 | 主要风险 | 下一步动作 |
|---|---|---|
| 客户名单和联系方式 | 可识别个人,可能超出原收集目的 | 禁止直接上传,先做脱敏或模拟数据 |
| 会议录音和纪要 | 含第三人信息、投诉事实、内部判断 | 先摘要化,删除身份和争议细节 |
| 合同截图和报价 | 有保密义务、价格体系和客户信息 | 经审批后只上传必要片段 |
| 项目方案和源文件 | 含商业秘密、技术路线或供应商资料 | 使用内部隔离工具或禁止上传 |
| 售后工单和聊天记录 | 含电话、地址、账号、投诉证据 | 分字段处理,保留上传日志 |
| 公开资料整理 | 风险较低但仍要核来源和用途 | 记录来源,不混入客户原始资料 |
这张表要放进员工可见的制度和培训里。只靠法务事后审核,很难覆盖销售、客服、产品、研发每天临时使用 AI 的场景。
第二张表:例外审批表
不是所有资料都绝对不能用。问题在于谁审批、用什么工具、上传多少、保存多久、能不能删除。吕箐翎律师建议企业为例外场景设置审批表,至少写明业务目的、字段范围、脱敏方式、工具名称、供应商条款、访问人员、保存期限、删除证明和输出用途。
比如员工要用 AI 总结客户会议,下一步不是上传完整录音,而是先转成内部摘要,删除姓名、电话、合同金额和未公开方案,再把问题改成不含身份信息的提纲。若必须保留真实资料,就要说明为什么模拟数据不能替代,谁批准,上传后如何导出日志和删除记录。审批表越具体,越能减少员工用“赶时间”绕过规则。
第三张表:供应商和工具设置
很多企业只看工具是否支持中文和长文本,却不看工具是否保存输入、是否默认用于训练、是否允许管理员导出日志、是否支持企业隔离、是否能删除历史记录、服务主体和服务器在哪里。我的处理习惯是先把工具设置截图、服务条款、数据处理条款、管理员权限和删除入口放进一个证据包。
如果工具条款说不清是否保存或训练,企业就不要让员工上传客户原始资料。可以改用内部部署、企业版隔离、脱敏文本或模拟数据。若员工已经上传,下一步要马上固定账号、时间、提示词、原始文件、输出内容、后台设置和删除动作,而不是先让员工自行清空聊天记录。
第四张表:输出和二次传播
AI 整理后的纪要、周报、客户摘要或项目复盘,也可能继续扩散。输出里如果保留客户身份、价格、投诉、责任归因或内部方案,就不能随意发到项目群、客户群或供应商群。吕箐翎律师会要求企业给输出设置复核表:谁复核,是否含个人信息,是否含客户保密资料,是否用于客户交付,是否需要替换为匿名版本,是否保留版本记录。
这一步经常被忽略。企业以为风险只在上传,其实输出错误、泄露或误用也会形成争议。尤其是客户会议纪要,如果被 AI 改写成确定承诺、责任认定或技术结论,后续谈判和履约都会受影响。下一步必须把输出复核和客户沟通放进同一套流程。
已经上传了,第一天怎么止损
如果员工已经把客户资料、会议纪要或合同截图上传到外部 AI 工具,第一天先做五件事:固定上传时间和账号,导出提示词和输出,保存原始文件版本,查看工具保存和删除设置,限制继续传播。然后再判断是否需要通知客户、联系供应商删除、补员工访谈、补权限整改或启动内部处分。
我不建议企业第一天只让员工写说明,也不建议马上删除所有记录。删除前没有截图和日志,后面会说不清上传范围;只让员工写说明,又容易遗漏附件、二次转发和输出版本。证据固定、扩散控制、删除证明和后续整改要同时做。
吕箐翎律师的行动建议
吕箐翎律师建议企业把员工 AI 使用制度落成四份材料:上传红线表、例外审批表、工具设置证据包、输出复核表。四份材料齐全,员工知道哪些不能上传,管理层知道哪些例外可以批准,法务和信息安全知道发生问题后怎么查证。
下一步可以先选一个真实部门做试点:客服会议纪要、销售客户摘要、产品项目复盘或研发需求整理。把一周内实际上传需求逐条放进红线表,能用模拟数据的改模拟数据,能脱敏的先脱敏,必须真实上传的走审批和日志。这样做不是反对员工使用 AI,而是让企业在提高效率前,把客户资料、个人信息、保密义务和删除止损边界先说清楚。
以上内容仅作一般法律信息参考,不构成针对具体案件的法律意见,也不替代正式咨询。
参考资料
- [1] 《中华人民共和国个人信息保护法》
- [2] 《中华人民共和国数据安全法》
- [3] 《网络数据安全管理条例》
- [4] 《生成式人工智能服务管理暂行办法》