全球人工智能法律法规解读 之「SB24-205科罗拉多州人工智能法案」

2024年5月17日生效的编号为“SB24-205”的科罗拉多州人工智能法案(“法案”),被认为是美国首个州级立法层面全面的人工智能监管法案。该法案全文共26页,由科罗拉多州参议院提出,旨在关注人工智能系统互动行为对消费者权益的影响,尤其是在与人工智能互动时的算法歧视问题,以确保人工智能系统不会对州内居民造成歧视或其他不利影响。此外,法案为人工智能系统的使用和开发设定了透明度和问责标准,进一步保护州内消费者免受高风险人工智能系统被滥用的威胁。

 

完善人工智能监管相关关键定义

 

该法案创新性地梳理并定义了人工智能监管中的重要概念。第6-1-1701条对“算法歧视”(Algorithmic Discrimination)、“关键性决策”(Consequential Decision)、“高风险人工智能系统”(High-risk Artificial Intelligence System)及其相关参与主体、“有意且实质性修改”(Intentional and Substantial Modification)和“实质性因素”(Substantial Factor)等重要概念进行了明确定义。同时,法案通过“白名单”形式,列举了不属于“算法歧视”和“高风险人工智能系统”范畴的具体事项,旨在降低法案的“副作用”,为人工智能系统开发者和部署者提供法律合规参考。

 

法案中所监管的“关键性决策”仅指对消费者具有重要法律意义的决策,涉及领域限于法案中所明确罗列的教育、雇佣、金融或贷款服务、基础政府服务、医疗、住房、保险和法律服务。由于法案中的“消费者”被定义为居住在科罗拉多州的个人,因此任何影响到该州内居住个人的高风险人工智能系统开发与部署都将触发法案的监管,这也意味着该法案将具有一定的域外效力。

 

总之,法案对关键概念的明确界定不仅提升了法案的可操作性,也为其他州的人工智能监管立法,尤其是在消费者权益保护领域,提供了宝贵的实践经验。

 

明确高风险人工智能系统开发者

的义务要求及推定合规情形

 

尽管该法案于2024年5月17日生效,但其关键条款的正式实施是2026年2月1日,即该法案设置了一个近21个月的“过渡期”。过渡期结束后,高风险人工智能系统的开发者将需要根据新法案承担更为严苛的法律义务。根据法案第6-1-1702条规定,自2026年2月1日起,法案要求高风险人工智能系统的开发者采取合理谨慎的措施,保护消费者免受该系统中任何已知或可被合理预见的算法歧视的影响。但如果开发者遵守法案中该条项下的具体规定,则可以推定其已采取合理谨慎的措施。

 

可被推定为已采取合理谨慎措施的行为包括:

  1. 向高风险人工智能系统的部署者或其他开发者提供一份声明,披露有关该系统的特定信息(第6-1-1702(2)条);

  2. 向高风险人工智能系统的部署者或其他开发者提供完成该系统影响评估所需的信息和文件(第6-1-1702(3)条);

  3. 发布公开声明,概述开发者已开发、或有意且实质性修改的高风险人工智能系统的类型,并披露目前向部署者或其他开发人员提供该等类型的情况。同时说明开发者如何管理因开发、或有意且实质性修改该系统而可能引发的已知或可合理预见的算法歧视风险(第6-1-1702(4)条);

  4. 在发现或收到部署者可靠报告后90天内,向总检察长、所有已知的部署者或其他开发者披露该系统已造成的、或可能造成的任何已知或可合理预见的算法歧视风险(第6-1-1702(5)条);‍‍

  5. 遵守总检察长根据法案第6-1-1707条制定的其他具体义务。

     

高风险人工智能系统部署者的

风险管理合规建议

法案在对高风险人工智能系统开发者提出较高法律义务要求的同时,也为该系统后续的部署者提供了较为清晰的合规路径,以合理降低其法律风险。根据法案第6-1-1703条,自2026年2月1日起,高风险人工智能系统的部署者与开发者一样,均被要求采取合理措施以保护消费者免受算法歧视的不利影响。然而,法案同时为部署者提供了多项风险管理措施建议,部署者满足这些措施后,可被推定已采取合理谨慎的措施。

 

这些措施包括:

  1. 实施高风险人工智能系统的风险管理政策和计划(第6-1-1703(2)(a)条);

  2. 完成高风险人工智能系统的影响评估(第6-1-1703(3)(a)(I)条),且保存至少三年记录(第6-1-1703(3)(b)(VII)(f)条);

  3. 每年审查部署的每个高风险人工智能系统,确保其不会引发算法歧视(第6-1-1703(3)(b)(VII)(g)条);

  4. 如果高风险人工智能系统对消费者做出关键性决策或成为关键性决策的实质性因素,部署者应在决策做出前向消费者通知相关特定事项(第6-1-1703(4)(a)条);

  5. 如果已部署的高风险人工智能系统在满足前述第4条的情况下,对消费者产生不利影响,部署者应主动向消费者提供相关信息(第6-1-1703(4)(b)条)。法案第6-1-1703(4)条要求,部署者向消费者发送的通知应当简明易懂、形式适当,并便于残疾人士接收(第6-1-1703(4)(c)(I)条);

  6. 在高风险人工智能系统做出关键性决策时,如果处理了不正确的个人数据,部署者应为消费者提供纠正机会(第6-1-1703(4)(b)(II)条);

  7. 如果部署高风险人工智能系统可能对消费者产生不利后果,应在技术可行的情况下为消费者提供上诉机会,并允许人工审核该上诉(第6-1-1703(4)(b)(III)条);

  8. 发布公开声明,总结部署者的高风险人工智能系统类型,说明如何管理因部署这些系统可能产生的算法歧视风险,以及收集和使用的信息的性质、来源和范围等重要信息(第6-1-1703(5)(a)条);

  9. 在发现高风险系统导致算法歧视后90天内,向总检察长报告该情况(第6-1-1703(7)条);‍‍

  10. 遵守总检察长根据法案第6-1-1707条制定的其他具体义务。

 

特别值得注意的是,法案建议,部署者在制定风险管理政策和计划时,可以参考以下框架,以增强其措施的合理性:

  1. 美国商务部国家标准与技术研究院(NIST)发布的《人工智能风险管理框架》(Artificial Intelligence Risk Management Framework)中的指导和标准;
  2. 国际标准化组织(ISO)颁布的ISO/IEC 42001标准,或其他公认的人工智能系统风险管理框架;
  3. 总检察长不时指定的人工智能系统风险管理框架。

充分参考上述框架将提升风险管理政策和计划的合理性,从而更容易满足“已采取合理措施”的法律推定要求,进而实现减责甚至免责。

 

主动披露应用人工智能系统的义务

根据法案第6-1-1704条的最新要求,在科罗拉多州开展业务的人工智能系统部署者或开发者,在部署或提供旨在与消费者互动的人工智能系统时,必须确保向每位与人工智能系统互动的消费者披露“该消费者正在与人工智能系统互动”的情况(第6-1-1704条)。这一披露义务旨在提高人工智能系统部署的透明度,帮助消费者在决策过程中更加审慎和自主。

 

尽管法案规定了该项披露要求,但并未明确具体的披露形式标准。例如,简单的人工智能内容标识是否足够?是否需要用通俗易懂的文字进行详细描述?是否要求消费者以某种形式确认该通知?此外,法案第6-1-1704条还规定了“显而易见”人工智能系统互动的豁免情形,但这一标准的具体范围和界定尚不明确。可以预见,未来人工智能系统的部署者或开发者在披露形式和内容上的多样化可能会面临来自执法机构的进一步挑战。

 

总检察长的宽泛执法权

法案中另一个值得注意的方面是赋予总检察长极大的执法权力。根据法案明确授权,自2026年2月1日起,科罗拉多州总检察长将拥有宽泛的权力,具体包括:要求人工智能系统开发者以指定的形式和方式向其披露信息;根据个人裁量权指定参考的人工智能系统风险管理框架;要求人工智能系统部署者或其委托的第三方披露风险管理政策等信息。这些权力具有专属性质,旨在确保法案的实施。

 

考虑到违反法案的主体将依据《科罗拉多州消费者保护法》(Colorado Consumer Protection Act)被认定为从事欺骗性贸易行为,并承担相应的法律后果,总检察长对法案的解释和执法力度将成为法律实务和理论界关注的焦点。法案实施后的配套执法细则目前尚不明确。

 

 

总结

 

尽管“SB24-205”科罗拉多州人工智能法案在26页的篇幅中系统地列出了相关义务性规定,但该法案并未排除人工智能系统的开发者或部署者根据其他现有法律法规(如侵权法等)履行相应法律义务。例如,配合并开展调查义务、在涉及消费者生命或人身安全时立即采取保护性措施、实施产品召回或修复技术错误等法定义务。可以说,该法案更像是在传统法律框架下,针对人工智能系统与消费者互动中出现的新问题所作的特别立法补充。

 

此外,人工智能系统的开发者、部署者或其他相关人员在符合该法案的特定要求时,可以将其作为积极辩护(Affirmative Defense)的依据,从而实现减责或免责的法律后果。对于保险公司、银行和信用合作社等特定金融机构,法案也设定了特定情境,要求这些机构只要达到特定条件,即可视为符合法案要求。

 

随着该法案的落地,它为已经或即将进入科罗拉多州市场的人工智能系统开发者和部署者敲响了合规警钟。距离法案实际施行还有近一年时间,受影响的主体有时间“未雨绸缪”地做好法律自查和合规规划工作,判断其开发或部署的人工智能系统是否会落入新法案的监管范畴。如果落入,如何在过渡期内逐步符合法案要求,并规划后续法律合规工作,以减少甚至避免法案对既有商业安排的不利影响。

 

考虑到州总检察长根据法案授权在具体执法层面拥有宽泛的执法权,受影响的企业在规划合规进程时,需紧密关注相关机构公示的政策文件,以及总检察长未来指定和更新的人工智能系统风险管理框架,密切跟踪这些动态将显著提升合规工作的效果。

 

最新进展

为了更好地实施法案中的相应规定,科罗拉多州设立了一个人工智能影响工作组(Artificial Intelligence Impact Task Force),负责审查与人工智能相关的问题,并向州技术委员会和州长办公室提出建议。

 

该工作组已于 2025 年 2 月发布了一份 11 页的最新报告,该报告第三部分分别针对:(1) 对建议变更有明显共识的问题;(2) 在额外时间和更多利益相关者参与下,看似可以达成共识的问题;(3) 实现共识可能取决于是否以及如何对多个相互关联部分进行变更的问题;(4) 在方法上存在明确分歧,需要创新的问题等四类问题提出了具体讨论和建议意见。

 

参考资料‍‍‍‍

法案全文链接

https://leg.colorado.gov/sites/default/files/2024a_205_signed.pdf

人工智能影响工作组报告全文链接

https://leg.colorado.gov/sites/default/files/images/report_and_recommendations_0.pdf

 
 

 

前一个:
后一个: