TL;DR
AI会议助手安全吗? 并非所有都安全。2025年,Otter.ai因未经同意录制而面临集体诉讼(opens in new tab),Fireflies.ai因收集生物识别数据被起诉(opens in new tab),查普曼大学因安全问题禁止使用Read AI(opens in new tab)。云端会议工具存在真实的隐私风险:数据存储在第三方服务器上、AI使用您的对话进行训练、未经适当同意就进行录制。要实现真正安全的会议转录,本地处理(如Meetily)可将您的数据保留在您的设备上。
目前,超过62%的组织(opens in new tab)使用AI会议助手。市场规模在2025年已爆发式增长至35亿美元(opens in new tab),预计到2035年将达到340亿美元。
但随着采用率的增长,诉讼、大学禁令和隐私丑闻也在增加。
如果您正在使用基于云端的会议AI,您需要了解其中的风险。如果您正在评估各种选项,本指南将帮助您区分安全的工具和存在问题的工具。
警钟:2025年AI会议助手诉讼案
Otter.ai集体诉讼(2025年8月)
2025年8月,Justin Brewer在加州联邦法院对Otter.ai提起集体诉讼(opens in new tab)。指控相当严重:
"该公司的AI驱动转录服务……默认情况下不会征求会议参与者的录制许可,也未能提醒参与者录音内容会与Otter共享以改进其人工智能系统。"
起诉书(opens in new tab)中的主要指控:
- Otter的"OtterPilot"未经所有参与者同意就自动加入会议
- 会议数据被用于训练Otter的AI模型,但未获得明确许可
- 该服务将获取同意的义务转嫁给客户,而非直接获取
- 违反了电子通信隐私法(ECPA)(opens in new tab)、计算机欺诈和滥用法(CFAA)(opens in new tab)和加州侵犯隐私法(CIPA)(opens in new tab)
该案件(Brewer诉Otter.ai Inc.,案件编号5:25-cv-06911)仍在审理中,Otter的答辩截止日期已延至2025年11月(opens in new tab)。
加州是双方同意州
加州法律要求在录制对话前获得所有各方的同意(opens in new tab)。Otter仅向会议主持人(而非所有参与者)寻求同意的做法直接违反了这一要求。
Fireflies.ai诉讼案(2025年12月)
仅仅几个月后,Fireflies.ai也面临法律挑战(opens in new tab)。伊利诺伊州居民Katelin Cruz提起诉讼,指控:
"Fireflies.AI的会议助手录制、分析、转录并存储每位会议参与者的独特声音特征(即'声纹')……包括从未创建Fireflies账户、从未同意其服务条款、也从未给予书面同意的人员。"
该诉讼指控违反了伊利诺伊州生物信息隐私法(BIPA)(opens in new tab):
- 未经同意收集生物识别语音数据
- 未发布数据保留或销毁政策
- 用户报告称即使删除账户后,机器人仍继续加入会议(opens in new tab)
查普曼大学禁止Read AI(2025年8月)
学术机构也在采取行动。2025年8月,查普曼大学信息系统部门发布了安全通知(opens in new tab):
"经过调查,由于安全、隐私和机构数据风险,禁止使用Read AI。"
该大学列举了以下担忧:
- 数据脱离机构控制
- 缺乏充分的数据保护
- 免费AI工具存在安全漏洞
这并非个案。医疗、教育和政府等各行业的组织正越来越多地限制基于云端的会议AI。
为什么云端会议AI存在隐私风险
上述诉讼并非偶然——它们反映了云端会议工具处理数据方式的系统性问题。
1. 您的对话被用于训练AI
大多数云端会议工具使用您的转录内容来改进其模型。来自Otter.ai自己的文档(opens in new tab):
"Otter使用专有方法在训练模型前对用户数据进行去标识化处理。"
即使是"去标识化"的数据也会带来风险。Otter.ai诉讼案指控(opens in new tab)参与者未被告知其对话将被用于训练AI——这是严重的同意违规。
2. 数据存储在第三方服务器上
当您使用云端会议AI时,您的录音存放在他人的服务器上:
| 服务商 | 数据位置 | 您的控制权 |
|---|---|---|
| Otter.ai | AWS(美国) | 有限 |
| Fireflies | 云端(美国) | 有限 |
| Read AI | 云端 | 有限 |
| Meetily | 您的设备 | 完全控制 |
这很重要,因为:
- 29%的AI泄露源于第三方SaaS平台(opens in new tab)
- AI相关泄露的平均成本为572万美元(opens in new tab)
- 未监控AI的组织泄露成本高出67万美元(opens in new tab)
3. 未经同意自动加入
一个特别令人担忧的模式:云端会议工具未经所有参与者明确许可就自动加入会议。
来自用户对Fireflies的投诉(opens in new tab):
"默认情况下,Fireflies会加入每个日历事件,并与所有与会者共享会议记录……试图关闭它就像试图从腿上拔掉蜱虫一样困难。"
这不仅仅是令人烦恼——它可能违反12个需要所有方同意的州(opens in new tab)的窃听法:
- 加利福尼亚州
- 佛罗里达州
- 伊利诺伊州
- 马里兰州
- 马萨诸塞州
- 密歇根州
- 蒙大拿州
- 新罕布什尔州
- 宾夕法尼亚州
- 华盛顿州
- 康涅狄格州(民事责任)
- 特拉华州
4. 影子AI正在爆发
Gartner预测到2027年,40%的数据泄露将涉及"影子AI"(opens in new tab)——员工在未经IT批准的情况下使用的未授权AI工具。
会议AI特别容易受到影响,因为:
- 员工在没有监督的情况下安装浏览器扩展
- 日历集成自动激活
- IT可能不知道哪些会议正在被录制
40%的组织已经经历过AI相关的隐私事件(opens in new tab),97%遭受泄露的组织缺乏充分的AI访问控制(opens in new tab)。
云端与本地:安全对比
| Feature | 本地AI(Meetily)Recommended | 云端AI(Otter、Fireflies) |
|---|---|---|
| 数据位置录音存储在哪里 | 仅在您的设备上 | 第三方服务器 |
| AI训练您的数据是否用于改进模型 | 从不 | 是(去标识化) |
| 同意要求谁必须批准录制 | 您决定 | 通常仅主持人 |
| 泄露风险服务商被黑客攻击的风险 | 无(无云端) | 高 |
| 离线功能无需互联网即可工作 | 完整 | 无 |
| 合规控制HIPAA/GDPR设计合规 | 完全 | 有限 |
| 审计透明度可以验证数据的处理方式 | 开源 | 专有 |
谁应该避免使用云端会议AI?
根据法律环境和合规要求,以下组织应该对基于云端的会议转录三思:
医疗机构(HIPAA)
会议录音通常包含受保护的健康信息(PHI)。虽然Otter.ai在2025年7月实现了HIPAA合规(opens in new tab),Fireflies推出了"Fireflies for Healthcare"(opens in new tab),但这些都需要:
- 企业计划(每用户每月25-35美元以上)
- 商业伙伴协议(BAA)
- 信任第三方数据处理
本地处理完全消除了第三方风险——当PHI从不离开您的设备时,不需要BAA。
律师事务所(特权保护问题)
法律专家警告(opens in new tab),允许会议AI供应商访问转录内容可能会放弃律师-客户特权:
"允许笔记记录供应商访问或为自己目的使用转录内容,可能会为放弃特权提供依据,这在发生法律纠纷时会成为问题。"
金融服务(SOX、PCI、SEC)
金融法规要求严格的数据控制。GSC数据显示(opens in new tab)有关"ai会议助手数据安全金融"和"ai会议助手金融法规"的积极搜索。
云端工具带来的审计复杂性是本地处理可以避免的。
教育机构(FERPA、机构政策)
继查普曼大学之后,许多机构正在实施AI工具审查流程(opens in new tab)。云端会议AI通常无法通过这些审查。
欧洲组织(GDPR)
Fireflies在美国服务器上处理数据(opens in new tab),这造成了GDPR传输问题。GDPR要求(opens in new tab)对离开欧盟的数据提供充分保护——美国云服务在这方面面临持续的法律不确定性。
GDPR提示:同意并非总是足够
即使获得同意,GDPR的数据最小化原则(opens in new tab)可能与记录、存储和分析一切的会议AI相冲突。具有用户控制保留期的本地处理是最安全的方法。
如何评估会议AI安全性
在选择会议助手之前,请问以下问题:
1. 数据去向何处?
- 最佳: 留在您的设备上(本地处理)
- 可接受: 您公司的云端(自托管)
- 有风险: 供应商的云服务器
2. 是否无机器人?
可见的会议机器人造成摩擦,并经常引发当前诉讼核心的同意问题。无机器人选项:
- Meetily - 本地捕获系统音频
- Granola - Mac原生,无机器人(但云端处理)
- 平台原生 - Zoom AI、Microsoft Copilot(无外部机器人)
3. 同意模式是什么?
- 是否需要所有参与者的同意?
- 能否未经明确批准就自动加入?
- 当有人说"不要录制"时会发生什么?
4. 代码是否可审计?
开源工具让您可以准确验证数据的处理方式。专有工具需要信任。
| 工具 | 开源 | 可审计 |
|---|---|---|
| Meetily | 是(MIT) | 完全 |
| Otter.ai | 否 | 否 |
| Fireflies | 否 | 否 |
| Whisper(模型) | 是 | 完全 |
5. 数据保留政策是什么?
Fireflies诉讼案特别指出(opens in new tab)缺乏已发布的保留/销毁政策是BIPA违规行为。
本地优先的替代方案
如果上述风险让您担忧,本地AI处理从架构上解决了这些问题——不是通过政策承诺,而是通过技术设计。
本地会议AI的工作原理:
- 从您设备的系统音频捕获音频
- 使用OpenAI Whisper(opens in new tab)等模型在您的CPU/GPU上运行转录
- 本地生成摘要(或使用您选择的API)
- 所有数据保留在您的机器上
这对隐私意味着什么:
- 没有服务器泄露可以暴露您的会议(数据不在那里)
- 没有同意歧义(您控制录制)
- 没有AI训练使用您的对话(数据从不离开)
- 完全GDPR/HIPAA合规(无第三方处理者)
任何会议AI的最佳实践
无论您选择云端还是本地,请遵循以下指南:
对于组织
- 创建批准工具列表 - 不要让员工随意安装会议AI
- 审查隐私政策 - 特别是数据训练和保留条款
- 建立同意协议 - 如何通知参与者?
- 考虑司法管辖区 - 12个州需要所有方同意(opens in new tab)
- 定期审计 - 哪些AI工具有日历访问权限?
对于个人
- 阅读隐私政策 - 特别是AI训练部分
- 检查自动加入设置 - 如果可能,请禁用
- 宣布录制 - 即使工具没有
- 审查数据保留 - 删除不需要的录音
- 考虑本地选项 - 用于敏感对话
对于与外部方的会议
- 始终披露AI录制 - 法律和道德要求
- 提供为敏感话题关闭的选项 - 建立信任
- 不要依赖机器人检测 - 有些工具不会明显显示机器人
- 获得明确同意 - 在某些州,口头同意是不够的
常见问题
Frequently Asked Questions
Key Takeaways
- 1云端会议AI面临严重的法律挑战:Otter.ai和Fireflies.ai都面临2025年关于同意和数据实践的诉讼
- 2查普曼大学因隐私问题禁止Read AI——更多机构禁令可能会出现
- 3美国12个州要求录制时所有方同意,这为自动加入会议机器人带来法律风险
- 440%的组织经历过AI相关的隐私事件;97%缺乏充分的控制措施
- 5本地AI处理(如Meetily)通过将所有内容保留在您的设备上来消除第三方数据暴露
- 6对于HIPAA、GDPR和法律合规,本地处理在架构上比云端承诺更安全
- 7始终向会议参与者披露AI录制——这在法律和道德上都是必需的
结论
AI会议助手市场正处于转折点。快速采用(62%的组织)已经超过了隐私保护的步伐,导致了2025年的诉讼和禁令。
模式很清楚:
- 自动加入会议的云端工具在法律上很脆弱
- 未经明确同意使用数据进行AI训练违反了隐私期望
- 机构开始禁止无法证明充分数据保护的工具
如果您的会议包含敏感信息——客户讨论、健康数据、法律策略、财务细节——云端会议AI会带来不必要的风险。
本地处理不仅仅是隐私偏好;它正在成为合规要求。
像Meetily这样将数据保留在您设备上的工具从架构上解决了这些问题。没有云端泄露可以暴露您的会议。没有模糊的同意模式。没有第三方AI训练使用您的对话。
诉讼将在法庭上做出裁决。但您不必等待就可以保护您组织最敏感的对话。
有关会议隐私的更多信息,请参阅我们关于GDPR合规会议转录和HIPAA会议要求的指南。
Get Started with Meetily
Meetily Pro
Advanced features for teams with priority support.
Business
Volume licensing & dedicated support for teams.
