2024年5月17日星期五,科罗拉多州州长贾里德·波利斯签署SB205法案(《人工智能交互消费者保护法》)正式生效,该法案将于2026年2月1日开始实施。
与其他州(如犹他州和佛罗里达州)颁布的人工智能(AI)法律不同,这项新法律是美国首部针对"高风险人工智能系统"的综合性立法。 该法律特别要求开发者和部署高风险AI系统的实体采取合理谨慎措施防止算法歧视,并规定若满足特定条件且公开披露相关高风险AI系统的信息,则可推定其已履行合理谨慎义务(该推定可被反驳)。
尽管该法律对可能不被视为"高风险"的人工智能系统使用限制甚少,但它仍可为其他正在考虑制定监管法规的立法机构提供范本。
范围
与《科罗拉多州隐私法》不同,该法律适用于所有在科罗拉多州开展业务且使用"高风险人工智能系统"的开发者和部署者(即企业),无论受影响的消费者数量多少。
高风险人工智能系统
法律将"高风险人工智能系统"定义为那些作出或对作出"重大"决策具有实质性影响的系统。其中"实质性影响"指:该因素在重大决策中起到辅助作用、能够改变重大决策结果,或由人工智能系统生成。法律明确将以下领域的人工智能系统列为"高风险人工智能系统":
- 教育入学或机会
- 就业或就业机会
- 金融或贷款服务
- 基本政府服务
- 医疗保健服务
- 住房
- 保险
- 法律服务
该法律排除以下人工智能系统:(i)执行狭窄程序性任务的系统;或(ii)用于检测决策模式或偏离既往决策模式的系统,且此类系统并非旨在替代或影响人类评估或审查。该法规还排除某些技术,例如网络安全软件和垃圾邮件过滤技术,当这些技术并非重大决策中的实质性因素时。
算法歧视
法律要求高风险人工智能系统的开发者和部署者均须采取合理谨慎措施,避免算法歧视——即任何基于实际或感知年龄、肤色、残疾、族裔、遗传信息、语言障碍、国籍、种族、宗教、生殖健康、性别、退伍军人身份或其他分类标准导致非法差异化待遇或影响的情况。 但法律豁免因开发者或部署公司出于以下唯一目的使用高风险人工智能系统所导致的任何歧视:
- 自主测试其自身系统,以识别并纠正歧视性行为/产出的事件或风险。
- 扩大申请人、客户或参与者群体,以增加多样性或纠正历史歧视。
该法律还排除私人俱乐部或其他非公开场所的任何作为或不作为。
开发者责任
该法律确立了一项可反驳的推定:若人工智能系统的开发者在开发过程中遵循特定程序,则推定其已采取合理谨慎措施避免算法歧视,包括:
- 向此类高风险人工智能系统的部署者提供系统信息,包括其目的、预期效益、预期用途、运行方式、潜在风险以及任何已知或可预见的算法歧视。开发者还必须提供有关系统如何进行训练和性能评估的信息,以及算法歧视的证据。
- 为部署者提供开展高风险人工智能系统影响评估所需的所有文件。
- 公开提供信息,概述开发者所开发或故意修改的高风险系统类型。
- 向部署者提供信息,说明开发者自身如何在开发过程中管理算法歧视的合理或可预见风险,以及在高风险人工智能系统后续被修改时如何应对。
- 在获悉算法歧视风险后90天内,向科罗拉多州总检察长及部署方披露任何已知或可合理预见的算法歧视风险。
未遵循此类程序的开发者可能面临艰巨挑战,需证明其已采取合理谨慎措施避免算法歧视。
用户责任
部署这些人工智能系统的公司还负有责任,需采取合理谨慎措施保护消费者免受任何已知或可预见的歧视风险。该法律确立了双重可反驳推定:若组织遵循包括以下内容在内的特定程序,则推定人工智能系统部署方已履行合理谨慎义务以避免算法歧视:
所有用户:
- 每年至少审查一次每个高风险人工智能系统的部署情况,以发现任何算法歧视的迹象。
- 向消费者提供有关高风险人工智能系统对其作出的重大决策的信息,并为消费者提供机会,使其能够更正可能用于作出此类重大决策的任何不正确个人数据。部署者还必须为消费者提供机会,使其能够通过人工审查(在技术可行的情况下)对高风险人工智能系统作出的不利重大决策提出申诉。
- 在发现高风险人工智能系统存在或极可能存在算法歧视行为后90天内,向科罗拉多州总检察长披露该情况。
仅适用于在部署高风险人工智能系统期间始终满足以下所有要求的企业:(a)拥有超过五十(50)名全职员工;(b)不使用部署者自有数据训练高风险人工智能系统;以及(c)仅将高风险人工智能系统用于部署者披露的预期用途。
- 实施高风险人工智能系统的风险管理政策和计划。
- 对每个高风险人工智能系统进行影响评估。
- 公开提供汇总信息,说明已部署的高风险系统类型,并说明部署方如何管理任何已知或可预见的算法歧视风险。
- 公开披露有关部署者在高风险人工智能系统中收集和使用信息的内容、来源及范围的信息。
附加要求
法律进一步要求,任何开发者或部署者在提供旨在与消费者交互的人工智能 系统时,必须向消费者披露其正在与人工智能系统而非真人进行交互。
其他除外责任
本法不适用于从事特定活动的开发者或部署者,包括为遵守其他联邦、州或市政法律而采取的行动,配合并开展特定调查,采取措施保护消费者生命或人身安全,以及开展特定研究活动。
执行
法律不允许私人提起诉讼,而是将执法权专属授予科罗拉多州总检察长。根据该法规,总检察长还拥有酌情权制定进一步规则,包括针对开发商的补充文件与要求规则、通知与披露要求、风险管理政策与影响评估要求、与可反驳推定相关的范围及指导调整,以及执法抗辩的具体要求。
然而,该法律同时规定,若开发者和部署者遵循法案或总检察长指定的其他国家或国际公认的人工智能风险管理框架,则可主张积极抗辩。目前涵盖的框架包括美国国家标准与技术研究院(NIST)人工智能风险管理框架及ISO/IEC 42001标准。
对业务的影响
新法规最终为开发者和部署高风险人工智能系统的公司提供了框架,指导其如何评估并采取合理谨慎措施以避免算法歧视。尽管新法将于2026年2月1日才正式生效,但高风险人工智能系统的开发者和部署者可能需要投入大量资源,在新法生效前完成文件记录及其他义务。
开发者应开始采取以下行动,为新法规做好准备:
- 在构思或创建高风险人工智能系统时,就应着手编纂——更理想的是直接创建——所有必须向消费者披露或向部署方提供以供其开展影响评估的必要文件。这些文件的关键内容应包括:开发者如何训练该高风险人工智能系统,以及如何检测并纠正潜在的算法歧视问题。
- 请做好准备,向部署此类高风险人工智能系统的机构作出回应并提供补充文件,这些机构可能要求更详细的文件,或对现有文件的内容提出质疑。
- 开始起草关于开发者所开发(或有意且实质性修改)的高风险系统类型的公开声明,并准备说明开发者如何管理已知或可预见的算法歧视风险,必要时做好辩护准备。
- 开始制定政策(经适当法律审查及其他利益相关方审查),用于向总检察长通报由高风险人工智能系统引发或极可能引发的算法歧视行为。
另一方面,用户应开始执行以下行动项目,为新法规做好准备:
- 开始制定基于标准人工智能风险管理框架(如美国国家标准与技术研究院人工智能风险管理框架和/或ISO/IEC 42001)的风险管理政策和计划。
- 开始为其部署的高风险人工智能系统制定影响评估,并准备在必要时向开发者要求提供更多信息。
- 建立流程,每年至少对每个高风险人工智能系统进行一次算法歧视审查(若系统或其使用方式发生重大变更,则需更频繁地审查)。
- 若高风险人工智能系统对消费者作出重大决策,应考虑起草包含所有必要事项的格式通知书,并为消费者提供申诉机会,使其能要求人工复核该决策。
- 开始制定程序,使消费者能够更正高风险人工智能系统使用的任何不正确个人数据。受《科罗拉多州隐私法》约束的企业,已熟悉向消费者提供更正不正确个人数据的权利,以及如何验证个人数据最初是否存在错误。
- 开始起草关于已部署高风险系统类型的公开声明,并说明如何管理已知或可预见的算法歧视风险。受《科罗拉多州隐私法》约束的企业已熟悉相关要求:这些公开声明还需包含部署方收集和使用信息的性质、来源及范围。
- 开始制定政策(经适当法律审查及其他利益相关方审查),要求向总检察长通报由高风险人工智能系统引发或合理可能引发的算法歧视行为。
开发人员和部署人员还应持续关注科罗拉多州总检察长发布的后续指导意见。根据总检察长依据《科罗拉多州隐私法》颁布法规的惯例,新出台的法规可能范围广泛,且其要求提供的细节可能超出法律表面规定的范围。
延伸阅读
为深入解析这项新法规对雇主及人力资源领域人工智能系统应用的影响,富乐律师事务所劳动与就业团队特撰写了预期影响指南。点击此处阅读配套文章。
若您对本法律要求有任何其他疑问,请联系本文作者或福里尔律师事务所人工智能业务领域的 其他合伙人或资深顾问。
