Patchwork 2.0:关于美国新兴州 AI 法律的常见问题解答以及如何应对它们
快速阅读: 据《JD Supra》称,美国科罗拉多州和弗吉尼亚州率先尝试人工智能监管,分别制定了相关法律。企业需识别自身角色,评估AI系统风险,准备合规材料,制定风险管理计划,以应对未来监管。两部法律分别于2026年2月1日和7月1日生效。
美国的隐私律师长期以来用“拼布”这个比喻来形容美国的隐私法律状况。早期迹象显示,这一比喻可能很快也适用于美国的人工智能监管:科罗拉多州去年通过了《关于与人工智能系统互动的消费者保护法》(简称“科罗拉多法案”),而弗吉尼亚州立法机构上个月通过了《高风险人工智能开发者和部署者法》(简称“弗吉尼亚法案”),该法案正等待州长签署。本文介绍了美国在人工智能监管方面的一些初步尝试,并为企业应如何准备提供了指导。
**这些法律是否适用于我的业务?**
如果贵公司开发任何人工智能系统,可能会受到科罗拉多法案某些规定的约束。同样地,只有当所开发的系统属于“高风险”时,才可能受到弗吉尼亚法案的约束。使用人工智能系统的公司只有当系统被认定为“高风险”时,才可能受到科罗拉多法案或弗吉尼亚法案的约束。
这两部法律针对某些人工智能系统的“开发者”和“部署者”(即实际使用者)设定了不同的要求。科罗拉多法案适用于在科罗拉多州开展业务并且(i)一般开发人工智能系统,或者(ii)部署特定“高风险人工智能系统”的个人。相比之下,弗吉尼亚法案将适用于在弗吉尼亚州开展业务并开发或部署“高风险人工智能系统”的任何人。
**什么是人工智能系统和高风险人工智能系统?**
科罗拉多法案将人工智能系统定义为“任何基于机器的系统,无论其目标明确与否,都能根据系统接收到的输入推断出如何生成可能影响物理或虚拟环境的内容、决策、预测或建议的输出”。弗吉尼亚法案的定义与此类似,但明确排除了在模型供部署者或消费者使用前用于开发、原型设计和研究的模型。
科罗拉多法案和弗吉尼亚法案通常一致认为,高风险人工智能系统是指作出或在很大程度上促成“重大决策”的系统。例如,对于仅执行特定任务的系统有例外情况,如“执行狭窄的程序任务”。此外,还包括检测决策模式但无意取代或影响先前完成的人类评估,以及执行某些安全和技术功能的系统。
根据科罗拉多法案和弗吉尼亚法案,“重大决策”是指对向任何消费者提供或拒绝(a)教育入学或教育机会,(b)就业或就业机会,(c)金融服务或贷款服务等产生实质性法律或其他重要影响的决策。根据弗吉尼亚法案,重大决策还包括关于假释、缓刑、赦免或其他从监禁或法院监督中释放或婚姻状态的决定。不过,由于更可能做出涉及这些标准决定的政府实体被排除在弗吉尼亚法案适用范围之外,因此这些标准的实际影响尚不清楚。
**如果我受这些法律约束,我需要做什么?**
具体要求取决于贵公司在开发、部署或两者兼有的角色。科罗拉多法案和弗吉尼亚法案对开发者的以下主要要求包括:
– **文档要求**:开发者通常需要开发并向部署者及其他开发者提供涵盖多个主题的文档。例如,文档的主题可以包括用于开发系统的数据以及减轻算法歧视影响的措施。
– **高风险人工智能系统的公开披露**:开发者还需在其网站或“公共用例清单”中清晰展示其开发的任何高风险人工智能系统,并提供有关如何管理和应对已知或合理可预见的算法歧视风险的信息。
– **向科罗拉多州总检察长及所有已知的相关系统部署者披露**:如果开发者发现或从可靠来源得知其高风险人工智能系统已经造成或极有可能造成算法歧视,开发者必须在90天内通知科罗拉多州总检察长及所有已知的相关系统部署者。弗吉尼亚法案没有类似的条款。
科罗拉多法案和弗吉尼亚法案对部署者的以下主要要求包括:
– **消费者通知**:科罗拉多法案和弗吉尼亚法案均规定了向消费者的各种披露,包括:
– 根据科罗拉多法案,需告知消费者正在与人工智能系统互动;
– 根据弗吉尼亚法案,需告知消费者正在与高风险人工智能系统互动。
– **关于算法偏差风险的披露**:科罗拉多法案下高风险人工智能系统的一般性质和目的,以及弗吉尼亚法案下与消费者互动的高风险人工智能系统的性质和目的。
– **不利决定通知**:如果高风险人工智能系统做出了不利于消费者的决定,部署者必须向消费者提供一份说明决定原因、高风险人工智能系统在多大程度上促成了该决定以及系统处理的数据类型及其来源的声明。消费者还必须有权对决定提出申诉并请求人工复核,并纠正用于做出决定的任何不准确的个人信息。
– **风险管理计划和影响评估**:科罗拉多法案和弗吉尼亚法案均包含有关风险管理计划和影响评估的规定,要求部署者和开发者:
– 维持合理的风险管理计划和政策,记录部署者用于识别、记录和减轻算法歧视风险的原则、流程和人员;
– 并进行影响评估,其中包含若干强制性组成部分,包括用于评估性能和已知限制的指标。
– **向科罗拉多州总检察长披露算法歧视**:部署者必须在发现歧视后的90天内通知科罗拉多州总检察长。
**这些法律如何执行?**
这两部法律均无私人诉讼权。执法权归各州总检察长所有。违反科罗拉多法案的行为在科罗拉多州被视为不公平和欺骗性的贸易行为,可处以最高每项违规20,000美元的民事罚款。弗吉尼亚法案规定一般违规每次罚款1,000美元,故意违规每次罚款10,000美元。
**这些法律何时生效?**
科罗拉多法案将于2026年2月1日生效。如果弗吉尼亚法案由州长签署,则将于2026年7月1日生效。
**我应该做些什么来准备?**
在科罗拉多州或弗吉尼亚州开展业务的企业(假设州长签署弗吉尼亚法案)应采取以下步骤进行准备:
– **清点当前和计划中的AI用例**:了解人工智能系统的开发和部署将是进一步法律分析的基础要求。对于每个AI用例,评估企业是开发者、部署者还是两者。由于义务因企业与AI系统的不同关系而异,明确企业在每个相关AI用例中扮演的角色是界定合规义务的关键。
– **对于每个AI用例,评估企业是开发者、部署者还是两者**:确定哪些AI用例涉及高风险AI系统。这项工作的最佳起点是评估任何AI系统是否在重大决策中发挥作用。如果重大决策受到影响,就可以评估AI系统的角色程度以及是否符合高风险标准。
– **确定哪些AI用例涉及高风险AI系统**:审查适用的披露要求,并在这些主题上准备相关内容,包括在必要时向消费者发出AI存在的通知。
– **借鉴州隐私法下用于数据保护评估的过程,进行并记录影响评估**:虽然要求不尽相同,但隐私法的要求具有足够的共通之处,可在AI环境中应用。
– **以NIST AI RMF或ISO/IEC 42001框架为基础,因为科罗拉多法案和弗吉尼亚法案均认可这些框架,起草并实施AI风险管理计划和政策**。
(以上内容均由Ai生成)
