保险科技是人工智能的高风险应用吗？

快速阅读: 《国家法律评论》消息，保险科技与日益发展的美国AI法规同步增长，企业需关注法律动态，理解不同法规下AI系统的高风险界定及相应义务，以确保合规并有效管理风险。

尽管有许多适用于从事保险科技领域业务的公司的人工智能法规，但这些法律在义务方面并不统一。许多法规集中在不同的监管框架上，而公司的关注点将决定哪些义务适用于它。

例如，某些司法管辖区，如科罗拉多州和欧盟，已经颁布了专门针对“高风险人工智能系统”的人工智能法律，这些法律对部署符合此类分类的AI模型的公司施加了更高的负担。那么，什么是“高风险人工智能系统”呢？尽管在一个司法管辖区被视为“高风险人工智能系统”的许多部署在另一个司法管辖区也可能符合该分类，但每项法规对该术语的技术定义却大不相同。

欧洲的人工智能法案（欧盟人工智能法案）采取了渐进式、基于风险的合规义务方法。换句话说，与人工智能部署相关的风险越高，对公司使用人工智能的要求就越严格。根据欧盟人工智能法案第6条，如果该人工智能系统满足第1小节的两项条件之一，或者属于欧盟人工智能法案附件III中列出的高风险人工智能系统清单，则该系统被视为“高风险”。

科罗拉多州人工智能法案（CAIA），将于2026年2月1日生效，采用基于风险的方法来监管人工智能。CAIA专注于部署“高风险”人工智能系统，这些系统可能会导致“算法歧视”。根据CAIA的规定，“高风险”人工智能系统被定义为任何在部署时做出——或在做出重大决策中起到实质性作用的——“重大决策”的系统；即对保险的提供或保险费用有实质性影响的决策。值得注意的是，即使尚未通过的AI法案也认为与保险相关的活动属于拟议监管范围。例如，2025年3月24日，弗吉尼亚州州长格伦·杨金否决了该州提出的《高风险人工智能开发者和部署者法案》（也称为弗吉尼亚人工智能法案），该法案将适用于在弗吉尼亚州开展业务的“高风险”人工智能系统的开发者和部署者。与CAIA相比，弗吉尼亚人工智能法案对“高风险人工智能”的定义更为狭窄，仅关注那些没有有意义的人类监督且作为重大决策主要依据的系统。然而，即使在该未通过的法案下，如果一个人工智能系统旨在自主作出或实质性参与作出重大决策——即对任何消费者，包括但不限于保险——的提供或拒绝产生实质性法律或类似重大影响的决策，那么该系统也将被视为“高风险”。

保险科技是否被视为高风险？CAIA和未通过的弗吉尼亚人工智能法案都明确指出，做出有关保险的重大决策的人工智能系统被视为“高风险”，这无疑表明有一种趋势是将人工智能在保险科技领域的使用视为高风险进行监管。然而，这些法律将保险列入“重大决策”清单，并不一定意味着所有利用人工智能的保险科技必然会被视为高风险，无论依据这些法律还是未来可能出现的法律。例如，在CAIA下，只有当一个人工智能系统在部署时“做出”或“实质性参与”重大决策时，才被视为高风险。在未通过的弗吉尼亚人工智能法案下，人工智能系统必须“特别旨在自主作出或实质性参与作出重大决策”。因此，受不同适用法律约束的人工智能使用的范围必须结合企业的预期应用一起考虑，以更好地了解特定案例中的适当人工智能治理。虽然在保险领域存在各种利用人工智能的应用案例，这些应用可能导致影响投保人的重大决策，例如改善承保、欺诈检测和定价等，但也存在其他内部人工智能应用可能不会被视为高风险，具体取决于给定的阈值。例如，利用人工智能评估营销保险的战略方法或将新客户入职或索赔流程变得更高效，很可能不会触发被视为高风险所需的“重大决策”标准，无论是根据CAIA还是未通过的弗吉尼亚人工智能法案。此外，即便人工智能系统涉及重大决策，也不一定使其自动被视为高风险，因为例如，CAIA要求人工智能系统必须“做出”重大决策或“实质性参与”该重大决策。尽管欧盟人工智能法案并未明确将保险科技划分为高风险，但通过对附件III内容的分析也是可行的，因为附件III列出了可能受到保险科技领域部署的人工智能系统影响的一些人工智能用途。例如，利用模型评估信用资质以开发欧盟内定价模型的人工智能系统很可能触发法律规定的高风险标准。同样，用于评估申请人是否有资格获得覆盖的人工智能建模也可能触发更高的风险标准。根据欧盟人工智能法案第6(2)条，即使人工智能系统符合附件III中规定的分类，人工智能系统的部署者仍应进行必要的分析，以确认该人工智能系统的部署不会带来显著危害，包括通过实质性影响决策过程。值得注意的是，即使人工智能系统落入附件III的某一类别，但如果部署者通过文件记录的分析确认其部署不会带来显著危害，该人工智能系统将不被视为高风险。

若正在开发或部署“高风险人工智能系统”，应该怎么做？根据《科罗拉多州人工智能法案》（CAIA），在处理高风险人工智能系统时，各种义务将会生效。这些义务对开发者和部署者有所不同。开发者需在其网站上公开披露信息，以识别已部署的任何高风险人工智能系统，并解释如何管理已知或可能导致算法歧视的风险。开发者还必须在发现人工智能系统已经造成或可能导致算法歧视后的90天内通知科罗拉多州总检察长以及所有已知的部署者。开发者还需向部署者提供详细的附加文件，以说明高风险人工智能系统的情况。

根据《科罗拉多州人工智能法案》，部署者在利用高风险人工智能系统时有不同的义务。首先，当高风险人工智能系统将要做出或将实质性影响到消费者的重大决定时，部署者必须通知消费者。这包括：(i) 高风险人工智能系统的描述及其用途，(ii) 重大决定的性质，(iii) 部署者的联系方式，(iv) 如何访问所需网站披露的指示，以及(v) 消费者有权选择退出对其个人数据进行画像处理的信息。此外，当高风险人工智能系统的使用导致对消费者不利的决定时，部署者必须向消费者披露：(i) 重大决定的原因，(ii) 人工智能系统在不利决定中所起的作用程度，以及(iii) 决定所依据的数据类型及其来源，让消费者有机会更正用于该决定的数据并上诉不利决定的人类审查。开发者还必须就与人工智能系统相关的信息和风险作出额外披露。

鉴于失败的弗吉尼亚州人工智能法案也提出了类似的义务，可以合理地认为《科罗拉多州人工智能法案》是美国高风险人工智能治理考虑的路线图。

根据欧盟人工智能法第8条，高风险人工智能系统必须满足若干更具系统性的要求。这些要求包括实施、记录和维护风险管理系统的操作，该系统能够识别和分析人工智能系统可能对健康、安全或基本权利构成的合理可预见的风险，并采取适当且有针对性的风险管理措施来应对这些已识别的风险。根据这项法律的高风险人工智能治理还必须包括：

– 验证和测试高风险人工智能系统中使用的AI模型开发中的数据集，确保它们在人工智能系统预期用途方面具有足够的代表性、无错误且完整；
– 技术文档，证明高风险人工智能系统符合欧盟人工智能法规定的要求，在系统上市前起草并在其生命周期内定期维护；
– 人工智能系统必须在整个系统生命周期内自动记录事件（日志）；
– 人工智能系统的设计和开发需让自然人能够有效监督其运行，同时需包含说明人工智能系统预期用途及测试精度水平的说明；
– 高风险人工智能系统必须以能让自然人在使用时有效监督的形式开发；
– 人工智能系统的设计和开发需让自然人能够有效监督其运行，同时需包含说明人工智能系统预期用途及测试精度水平的说明；
– 高风险人工智能系统必须部署适当水平的准确性、稳健性和网络安全能力，这些能力需在人工智能系统整个生命周期内始终如一地执行。

在部署高风险人工智能系统时，在适用范围内的公司需分配必要资源，以全面评估其是否属于此类分类，并确保在部署人工智能系统之前全面评估并落实各种要求。

保险科技领域正在与不断扩大的美国人工智能法规体系同步增长。行业的审慎发展需要意识到相关的法律动态，包括在全国范围内的新兴监管概念。

(以上内容均由Ai生成)