弗吉尼亚州立法机构在科罗拉多州之后通过了第二部美国 AI 治理法案：比较 AI 法案

快速阅读: 据《JD Supra》最新报道，2025年2月20日，弗吉尼亚州通过了《高风险人工智能开发者和部署者法案》，要求高风险人工智能系统的开发者和部署者遵循特定治理要求。该法案将于2026年7月1日生效，与科罗拉多州的相关法案类似。弗吉尼亚州AI法案在适用范围、信息披露和执法方面有所不同，如对消费者的定义和罚款额度等。两法案均不设立私人诉讼权，各州总检察长拥有独家执法权。

2025年2月20日，弗吉尼亚州立法机关通过了《高风险人工智能开发者和部署者法案》（众议院第2094号法案，“弗吉尼亚州AI法案”），该法案要求高风险人工智能系统（“HRAI系统”）的开发者和部署者遵循特定的治理要求。如果弗吉尼亚州州长格伦·杨金签署该法案或在3月24日前未采取行动，该法案将于2026年7月1日生效，并且与科罗拉多州关于人工智能系统互动中的消费者保护法案（“科罗拉多州AI法案”）类似，后者将于2026年2月1日生效。随着弗吉尼亚州颁布全国第二部AI治理法，我们在此总结两部AI法案，并突出它们之间的主要差异。

**关键术语**

这两部AI法案主要对HRAI系统的开发者和部署者设定了义务。

– “开发者”是指开发或故意并实质上修改人工智能系统的公司，其中“故意并实质上修改”一个AI系统意味着有意图地改变AI系统，从而导致新的合理可预见的算法歧视风险。“算法歧视”指的是基于年龄、肤色、残疾、种族等受保护特征的非法差别待遇。开发者可能包括进一步训练AI系统的部署者。

– “部署者”是指部署HRAI系统的业务。

– “重大决策”是指对任何消费者的教育入学机会、就业机会、金融服务、医疗保健服务、住房、保险或法律服务的提供或拒绝产生实质性法律影响，或对其成本或条款产生实质性影响的决策。重大决策包括根据科罗拉多州AI法案影响基本治理服务的决策，以及根据弗吉尼亚州AI法案影响假释、缓刑、赦免或其他从监禁或监督中释放或重要状态的决策。

**范围**

弗吉尼亚州AI法案的适用范围比科罗拉多州AI法案更窄，主要是由于对HRAI系统的定义不同。例如：

– 根据弗吉尼亚州AI法案，HRAI系统指的是专门设计用于自主做出或显著贡献于做出重大决策的人工智能系统。如果开发者没有意图让其开发的AI系统用于高风险目的，即使部署者可以或已经将其用于此类目的，该AI系统在弗吉尼亚州法律下也可能不被视为HRAI系统。相比之下，在科罗拉多州AI法案下，如果AI系统被用于高风险目的，则无论开发者的原始意图如何，该系统都可能被归类为HRAI系统。

– 弗吉尼亚州AI法案的适用范围比科罗拉多州AI法案更窄，主要是由于对HRAI系统的定义不同。例如：根据弗吉尼亚州AI法案，如果AI系统是做出重大决策的主要依据，则该系统被视为HRAI系统。相反，在科罗拉多州AI法案下，如果AI系统有助于决策过程，则该系统可以被视为在做出重大决策时起到重要作用。

– AI法案各自要求AI系统影响消费者才能被分类为HRAI系统。虽然两部AI法案都将“消费者”定义为州居民，但弗吉尼亚州AI法案排除了在商业或雇佣背景下行事的个人。因此，弗吉尼亚州AI法案不适用于雇主使用AI系统对员工和承包商做出重大决策的情况。尽管科罗拉多州AI法案没有类似的商业或雇佣排除条款，但它确实部分排除了少于五十个全职等效员工且不使用自身数据训练HRAI系统的部署者。

**部署高风险人工智能系统的运营方必须通知消费者**

根据《弗吉尼亚州AI法案》，部署高风险人工智能系统的运营方必须通知消费者，告知他们已部署该系统，并在部署该系统时向消费者提供某些信息，包括人工智能系统的用途、不利决策的性质以及人工智能系统的描述。根据《弗吉尼亚州AI法案》，人工智能系统的描述必须包括某些具体信息，包括系统将测量或评估的个人特征或属性的说明，该系统如何使用自动化组件影响不利决策，以及系统中的人工组件。

如果系统用于做出或显著影响不利于消费者的决策，那么部署该系统的运营方必须向消费者提供某些信息。这包括对不利决策主要原因的解释。此外，运营方还必须提供更正由人工智能系统处理的任何错误个人信息的机会，以及对不利决定提出上诉的机会。

**维护人工智能系统库存**

根据《科罗拉多州AI法案》，部署高风险人工智能系统的运营方需在其网站上保存关于人工智能系统的某些信息，包括运营方当前部署的人工智能系统的类型，运营方收集和使用的数据的性质、来源和范围，以及运营方如何管理因部署每个高风险人工智能系统而可能产生的已知或合理可预见的算法歧视风险。

《弗吉尼亚州AI法案》没有这样的要求。

**与聊天机器人的披露要求**

根据《科罗拉多州AI法案》，开发人员和运营方必须告知消费者，如果人工智能系统旨在与消费者互动，则他们正在与人工智能系统互动，除非这对一个合理的普通人来说是显而易见的。这一要求独立于当运营方使用高风险人工智能系统时通知消费者的责任，但消费者不一定与系统互动。《弗吉尼亚州AI法案》没有这样的要求。

**医疗实体、金融机构和保险公司的排除条款**

AI法案不适用于根据《健康保险流通与责任法案》（HIPAA）作为受保护实体的开发人员或运营方，这些实体提供的医疗建议是由人工智能系统生成的，需要医疗保健提供者采取行动实施这些建议，并且不被认为是高风险的。AI法案还包括对银行、信用社和保险公司的排除条款，前提是满足某些条件。

**执法**

AI法案不设立私人诉讼权利，也不可作为私人诉讼的基础。各州总检察长根据各自AI法案拥有独家执法权。在科罗拉多州，总检察长可以对涉嫌违反《科罗拉多州AI法案》的行为提起执法行动，每次违规最高可处以20,000美元的民事罚款。在弗吉尼亚州，总检察长可以对涉嫌违反《弗吉尼亚州AI法案》的行为提起执法行动，每次违规最高可处以1,000美元的罚款，对于故意违规的罚款则在1,000至10,000美元之间。

**调查**

根据《科罗拉多州AI法案》，总检察长可以无须特定理由要求开发人员和运营方披露其高风险人工智能系统的某些信息。总检察长可以要求开发人员披露必须与其他开发人员共享的系统相关信息，以及运营方披露其风险管理政策、影响评估或相关记录。相比之下，《弗吉尼亚州AI法案》要求总检察长需要有理由相信企业已经或正在违反该法案，才能通过民事调查令请求此类信息。

**肯定性抗辩**

企业在科罗拉多州AI法案下有一个肯定性抗辩，如果他们（i）通过内部审查过程、红队测试或其他企业鼓励内部或外部用户提供的对抗性测试或反馈来纠正所谓的违规行为；（ii）遵守国家标准与技术研究所（NIST）的人工智能风险管理框架或其他总检察长认可的人工智能风险管理框架。同样，在弗吉尼亚州AI法案下，企业也有一个肯定性抗辩，如果他们（i）通过红队测试或其他方法发现所谓的违规行为；（ii）在发现违规行为后的四十五天内纠正该违规行为；（iii）向总检察长通知违规行为已被纠正，并提供证据证明任何由违规行为造成的损害已被减轻；（iv）否则符合弗吉尼亚州AI法案的规定。

**规则制定**

科罗拉多州总检察长根据科罗拉多州AI法案具有规则制定权。《弗吉尼亚州AI法案》未明确规定总检察长具有相同权力。

(以上内容均由Ai生成)