行业资讯

生物识别与会议录音成执法焦点:2024年企业IT合规边界再收紧

2024年以来,个保法与数据安全法执法力度明显升级,生物识别信息违规采集、会议录音未告知等成为处罚高发区。本文梳理典型执法案例,分析企业IT系统的合规红线与应对技术路径。

e会通团队
#个保法#数据安全法#生物识别#会议录音#合规#隐私计算#零信任#审计日志

生物识别与会议录音成执法焦点:2024年企业IT合规边界再收紧

2024年上半年,国家互联网信息办公室、工业和信息化部及地方监管部门密集发布了一系列与个人信息保护法(“个保法”)和数据安全法相关的行政处罚案例。据21世纪经济报道统计,仅第一季度就有超过40家企业因违规处理生物识别信息、未履行告知同意义务或未采取必要的安全保护措施被处以罚款或责令整改,处罚金额最高达数百万元。

这些执法动态正在深刻影响企业IT系统的设计——尤其是那些涉及人脸识别、声纹采集、会议录音、门禁通行等场景的办公协同设施。对于IT管理者和行政决策者而言,理解最新的合规红线已不仅仅是法律事务,更是技术选型和安全架构的核心约束。

执法案例:生物识别信息成重灾区

2023年12月,上海市网信办通报某大型零售企业因在员工通道部署人脸识别门禁系统,未获得员工单独同意且未设置显著告知标识,被依据个保法第62条责令整改并处以20万元罚款(来源:上海市网信办公告)。类似案例在2024年密集出现:

  • 某物业公司在办公楼入口使用人脸识别签到,未提供替代验证方式,被用户举报后处罚(来源:澎湃新闻2024年2月报道)
  • 某金融科技平台在客户开户环节强制采集人脸信息,且未说明存储期限,被国家网信办约谈并要求整改(来源:国家互联网信息办公室官方微信公众号2024年3月)

这些案例表明,监管机构对“单独同意”“必要性原则”和“告知方式”的审查日趋严格。根据个保法第28条,生物识别信息属于敏感个人信息,必须在具有特定目的和充分必要性的前提下,取得个人单独同意,且需告知处理目的、方式及对个人的影响。

会议录音:企业内部场景的合规困境

相比门禁场景,企业内部会议系统的录音合规问题更为隐蔽。2024年4月,北京市某互联网公司在内部会议中启用AI语音转写功能,未提前告知参会人员录音行为,被员工投诉至当地通信管理局,最终被要求暂停该功能并整改(来源:IDC《中国会议系统合规白皮书》2024年5月引用案例)。

根据个保法第13条,处理个人信息需取得个人同意,除非属于“为订立、履行个人作为一方当事人的合同所必需”或“为履行法定职责或者法定义务所必需”等例外情形。企业内部会议的录音和转写通常不属于上述例外,因此需要获得参会人员的单独、自愿、明确的同意。

更复杂的是,会议录音往往同时涉及“说话人分离”技术——系统自动识别不同发言者的身份和声纹特征。工信部直属机构中国信息通信研究院2023年发布的《人工智能语音技术合规指南》明确指出,声纹特征属于生物识别信息的范畴,同样适用敏感个人信息的处理规则。这意味着,企业如果使用具备声纹识别能力的转写系统,需要承担更高的告知义务和安全保护责任。

合规技术路径:从端侧处理到审计追溯

面对日益严格的执法环境,企业IT部门需要从技术架构上实现合规落地。Gartner在《2024年隐私增强技术市场指南》中提出,零信任原则和隐私增强技术(PETs)是应对生物识别和语音数据合规的关键手段。

端侧处理与离线部署 对于人脸识别和声纹比对场景,将特征提取过程放在终端设备(如智能平板、门禁终端)本地完成,仅将脱敏后的特征向量上传服务器进行比对,可以大幅降低敏感数据暴露面。如果能在无网络连接的情况(离线私有化)下完成全部比对,则更符合“最小化采集”原则。

动态同意管理 对于会议录音场景,系统应提供明确的与会者同意界面,支持参会人员“一键同意”或“拒绝录音”,并将同意记录与会议元数据一同保存。根据近期执法案例,仅通过员工手册中的概括性条款不足以满足“单独同意”要求。

全链路审计日志 个保法第51条要求个人信息处理者采取“记录数据处理活动”等安全措施。企业IT系统应具备完整的审计日志能力——记录谁在什么时间、从哪个IP、基于什么事件类型(人脸识别、录音开启、数据导出等)进行了操作。审计日志应支持防篡改校验(如哈希链)和长期归档,以应对监管检查。

数据保留与销毁策略 会议录音和转写文本、人脸特征向量等数据应有明确的保留周期配置,超期自动删除。多地网信办2024年的检查中,将“未设置数据保留期限”列为常见合规缺陷。

趋势判断:从被动合规到主动安全设计

北京德恒律师事务所数据合规团队在2024年6月发布的《企业数据合规年度观察》中指出,监管机构正在从“事后处罚”转向“预防性监管”。人脸识别和语音转写类产品在采购阶段就需要提供合规自证材料,否则将面临采购限制。

对于IT管理者,这意味着:

  1. 在技术选型阶段,要求供应商提供合规评估报告,尤其是离线部署能力、审计日志完整性、以及生物识别数据的处理流程图。
  2. 在系统部署阶段,确保所有涉及敏感数据的处理模块均有明确的同意采集和告知机制,并且允许用户随时撤回同意。
  3. 在运维阶段,定期进行合规自检,包括审计日志完整性校验、数据保留时长核查、以及权限最小化审查。

结语

2024年是个保法和数据安全法从“建章立制”走向“严格执法”的关键转折点。企业会议场景中的人脸门禁、声纹识别、会议录音等能力,正在成为监管的“显微镜”区域。技术方案中是否内置了离线处理、动态同意、审计追溯等合规能力,将直接影响企业的法律风险和采购决策。


延伸阅读:Gartner《2024年隐私增强技术市场指南》;中国信通院《人工智能语音技术合规指南》

🚀 让会议管理更智能高效

翼会通(e会通)智能会议运维管理平台,覆盖会议预约、设备运维、智能通行、信息发布等全场景,已服务数百家企业。