以欧盟人工智能法案(欧盟 AI 法案)为蓝本,针对高风险人工智能(AI)系统的定制监管框架正在国际上以及在美国州级层面形成。尽管这些所谓的“高风险 AI 法律”,如科罗拉多州 AI 法案,在很大程度与欧盟 AI 法案相似,但在适用性、所需文件和其他监管要求方面存在一些关键区别。通常,“高风险”AI 系统是指用于做出或协助做出对某些环境中个人有重大影响的决策的系统。
在发布时,唯一拥有高风险 AI 框架的美国州是科罗拉多州。类似的高风险 AI 立法在弗吉尼亚州(HB 2094)也被提出,但最终被否决 。其他州实施了不同的 AI 框架,这些框架并未直接针对高风险 AI,例如加州 AI 透明度法案 、 加州生成式人工智能:训练数据透明度法案和犹他州人工智能政策法案 。这些 AI 框架超出了本文的范围。
Woods Rogers PLC 的 Beth Waller、Patrick Austin、Ross Broudy 和 John Pilch 讨论了美国高风险 AI 系统的监管,比较了各州的方法与欧盟 AI 法案和韩国基本法案。
比较科罗拉多州 AI 法案、欧盟 AI 法案、韩国基本法案、以及德克萨斯州和加州拟议的 AI 立法的关键要求。
以下是欧盟 AI 法案、韩国基本法案、科罗拉多 AI 法案、德克萨斯州责任 AI 治理法案草案以及加利福尼亚州自动化决策和安全法案草案等各项已实施和待实施高风险 AI 法律的要点相似性和差异性比较。
德克萨斯州负责任人工智能治理法案(草案立法)
加利福尼亚州自动化决策安全法案(草案立法)
禁止或禁止使用某些类型的 AI
是(例如,禁止使用 AI 系统进行社会评分)
在部署高风险人工智能系统之前需要进行影响评估
是(称为合规性评估)
是(用于做出重要决策的自动化决策系统)
对“低”或“最小”风险人工智能系统的要求
某些人工智能系统(例如深度伪造和聊天机器人)的透明度义务
消费者与高风险人工智能系统互动时的强制披露
仅适用于政府管理的 AI 系统
维护充分文档和日志的义务
仅适用于政府管理的 AI 系统
消费者有权申诉 AI 决策
省检察官办公室
欧洲委员会设立的 AI 办公室
省检察官办公室
州总检察长办公室
可能的罚款/罚金
违反科罗拉多州人工智能法案构成根据州法律的不公平交易行为,具体为第 6-1-105(1)(hhhh)节。本节可追回的损害赔偿包括实际遭受的损害赔偿金、500 美元或三倍损害赔偿。
罚款可能从7500万欧元(或全球年度营业额的1.5%)到3500万欧元(或全球年度营业额的7%)不等,具体取决于所指控的违规行为和组织的规模。
最高行政罚款可达3000万韩元(约合20780美元)。
与不可接受使用无关的未纠正违规行为,每起违规罚款为10000至12000美元。
每起违规的民事罚款最高可达25000美元。
欧盟 AI 法案如何监管高风险 AI 系统
根据《欧盟人工智能法案》,高风险人工智能系统在第六条(1)款中定义。一般来说,当人工智能系统满足以下任一条件时,根据欧盟人工智能法案将被视为高风险:
当人工智能系统被设计用于作为产品(或本身就是产品)的安全组件,并且该产品受欧盟特定协调立法(列于《欧盟人工智能法案》附件 I 中)的约束,需要接受第三方合格评定时;或者
当使用案例列于《欧盟人工智能法案》附件 III 中时。
被视为高风险的人工智能系统列表涵盖了多个类别,包括但不限于在生物识别、关键基础设施、教育和职业培训、就业、员工管理和自雇权方面的 AI 应用。对于高风险人工智能系统的分类存在各种豁免,例如当人工智能系统旨在执行狭窄的程序性任务、改善先前完成的人类活动的结果、在特定情况下检测决策模式或偏离先前的模式,或为《欧盟人工智能法案》附件 III 中列出的使用案例的高风险评估执行预备性任务时。
根据欧盟人工智能法案,高风险人工智能系统的提供者和部署者需要准备满足大量合规要求。适用要求包括但不限于以下内容。
实施风险管理系统:高风险人工智能系统需要在其整个生命周期中运行一个风险管理系统。
数据治理协议:用于开发高风险人工智能系统的训练、验证和测试数据应遵守适用于系统预期用途的数据治理和管理实践。
记录保存:根据欧盟人工智能法案,高风险人工智能系统必须能够在其整个生命周期内自动记录事件(日志)。
透明度义务:高风险人工智能系统的部署者必须从人工智能提供商那里获得足够透明的信息,以便他们能够解释人工智能系统的输出并适当使用。
准确性、鲁棒性和网络安全:根据欧盟人工智能法案,高风险人工智能系统需要以能够满足足够水平的准确性、鲁棒性和网络安全的方式进行设计和开发。此外,高风险人工智能系统在其整个生命周期中必须在这些方面保持一致的性能。
如何在美国科罗拉多州 AI 法律中监管高风险 AI 系统
2024 年 5 月,科罗拉多州成为美国第一个通过《科罗拉多州 AI 法案》实施全面高风险 AI 监管框架的州。与欧盟 AI 法案和韩国基本法案类似,科罗拉多州 AI 法案对高风险 AI 系统的开发者和部署者施加了重大的合规义务。根据科罗拉多州 AI 法案,高风险 AI 系统是指任何用于做出或成为做出重大决策的实质性因素的系统。在科罗拉多州法律下,重大决策通常涉及教育、就业、金融服务、住房、医疗保健或法律服务等领域。与欧盟 AI 法案一样,科罗拉多州 AI 法案将用于执行狭窄的程序任务和从先前决策中检测决策模式,而不旨在取代人类评估的系统,排除在高风险 AI 系统的定义之外。 然而,与欧盟人工智能法案不同,科罗拉多州人工智能法案下某些技术被视为非高风险,但如果用于做出或成为做出重要决策的实质性因素,则可能被归类为高风险,例如反欺诈、反恶意软件和拼写检查人工智能。
与欧盟人工智能法案和韩国基本法案类似,科罗拉多州人工智能法案要求高风险人工智能系统的开发者维护一系列合规性文件,包括:
一个概括性声明,描述该系统合理可预见的用途以及已知的危害或不适当用途
系统使用的类型数据、系统已知或可合理预见的限制、系统的目的以及系统预期的利益和用途的说明文档;
任何其他合理必要的文档,以帮助部署者理解系统的输出并监控系统的算法歧视性能;
部署者完成影响评估所需的文档和信息;
高风险人工智能系统的部署者还受到科罗拉多州人工智能法案下的各种合规义务。例如,高风险人工智能部署者在做出或成为影响消费者重大决策的实质性因素之前,必须通知消费者他们已部署高风险人工智能系统。这项强制披露必须包括以下内容:
高风险 AI 系统的描述及其目的;
具有重大影响的决策的性质;
部署者的联系方式;
如何访问所需网站披露的说明(详见下文);
关于消费者有权选择退出其个人数据用于画像处理的信息。
此外,高风险人工智能系统的部署者必须在他们的网站上明确且易于获取以下内容:
当前部署的高风险人工智能系统类型;
如何管理算法歧视可能产生的已知或合理可预见的风险;
部署者与人工智能系统相关联收集和使用的信息的性质、来源和范围。
韩国 AI 法律如何监管高风险 AI 系统
在全球舞台上,韩国效仿欧盟,通过了全面的 AI 监管框架。《人工智能发展基本法及建立信任基础法》(基本法)主要参照欧盟的 AI 法案。例如,与欧盟的类似法案一样,基本法采用基于风险的方法来监管某些类型 AI 系统的部署、运营和发展,包括高风险 AI 系统。基本法还赋予韩国行政部门监督和制定 AI 发展和部署标准的权力。
高风险人工智能系统的开发者和服务商面临重大的合规义务,这些系统被定义为“对人类生命、身体健康和基本权利有严重影响或可能造成危险的任何人工智能系统”,并用于以下领域:
对个人权利或义务产生重大影响的判断或评估,例如雇佣决策和贷款审查;
某些医疗设备的研究与使用;
能源和饮用水的供应;
核材料的管理和运营,以及交通系统的运输和运营;
刑事侦查或逮捕中生物识别信息的分析和使用;
早期教育中的学生评估;以及
未来由总统令确定的任何其他领域。
在韩国市场推出高风险 AI 系统之前,高风险 AI 系统的开发者和部署者需要准备好满足以下监管要求:
政府认证和预部署批准:根据新法律,科学部长有权检查高风险人工智能系统,并在其投入公开市场部署之前,证明其符合基本法的规定
消费者强制披露:高风险人工智能系统的部署者必须提前通知用户,特定产品或服务涉及使用高风险人工智能系统;
风险管理文件:高风险人工智能系统的开发者和部署者有义务实施特定的安全和可靠性措施,包括:
制定和实施风险管理计划;
建立保护用户的护栏;
保持充分的人类监督;
保留关于安全性和可靠性措施的记录;
合规调查:韩国高风险 AI 系统的开发者和部署者都需要准备好向当局提交相关数据和文件,否则将面临合规调查。
提出的州级立法,突出不同的 AI 监管框架
在州级层面监管高风险 AI 系统的可行性尚不确定。一度,似乎有州级政府带头监管高风险 AI 系统的势头。科罗拉多州迈出了第一步(如上所述),弗吉尼亚州也几乎效仿。然而,弗吉尼亚州高风险 AI 开发者和部署者法案被州长格伦·扬金否决,理由是额外的监管可能会扼杀 AI 创新。其他州正在考虑范围较小的 AI 立法。
目前,与科罗拉多州高风险人工智能监管框架最接近的州级立法是加州的议会法案1018,名为《自动决策安全法案》。议会法案1018并未具体使用或定义高风险人工智能系统这一术语。尽管如此,该法案包含了与科罗拉多州人工智能法相似的监管义务。例如,议会法案1018将要求人工智能开发者在其自动决策系统部署用于做出或协助做出重大决策之前对其进行评估,这些决策根据法案的定义,将实质性影响就业相关决策的成本、条款、质量或可及性、教育及职业培训、住房、医疗保健、金融服务、法律服务、刑事判决、政府服务获取、调解、仲裁、家庭规划和选举。
美国第1018号法案将对自动化决策系统实施严格监管,以防止人工智能驱动的歧视。例如,根据拟议的立法,人工智能开发者和部署者将必须对自动化决策系统进行性能评估和第三方审计,遵守数据保留要求,并满足人工智能驱动决策的透明度要求。
值得注意的是,之前在加利福尼亚州通过全面人工智能监管框架的尝试都失败了。事实上,类似的立法在2024年提出,但从未进入最终投票。是否能够获得足够的支持使第1018号法案在加利福尼亚州议会通过还有待观察。
弗吉尼亚州的否决案影响最为明显的地区是德克萨斯州。背景信息如下,德克萨斯州州议员乔瓦尼·卡普里格隆于 2024 年 12 月提出了一项全面的 AI 监管框架,名为《德克萨斯州负责任 AI 治理法案》(TRAIGA),该法案在很大程度上模仿了欧盟 AI 法案和科罗拉多州的 AI 法律。TRAIGA 的原始版本采取了基于风险的 AI 监管方法,并禁止使用具有“不可接受风险”的 AI,例如用于社会评分、捕捉生物识别标识和行为操纵的 AI 系统。
然而,TRAIGA 在德克萨斯州立法机构中并未获得太多支持,并且在弗吉尼亚州州长格兰·扬金否决案之后,反对声音更加激烈。缺乏支持促使卡普里格隆提交了一个经过改进的 TRAIGA 版本,即《第 149 号法案》(TRAIGA 2.0)。该版本删除了法案第一版中包含的许多监管义务。例如,TRAIGA 2.0 不涵盖或甚至不提及高风险 AI 系统。相反,TRAIGA 2.0 主要关注由政府机构开发和/或部署的 AI 系统。
在 TRAIGA 2.0 中,仅对与消费者互动的政府部署的人工智能系统(商业人工智能系统不受此类披露义务约束)的披露要求是必要的。此外,原始法案中要求人工智能开发者采取合理注意以保护消费者免受算法歧视可预见风险的护理义务已被删除。TRAIGA 2.0 用一项一般禁止以违法歧视受保护类别为目的开发或部署人工智能系统的规定取代了这些保护措施。然而,TRAIGA 2.0 表示,仅凭不同影响本身不足以证明有歧视意图。
是否 TRAIAGA 2.0 能够获得足够的支持以通过德克萨斯州立法机构,仍是一个悬而未决的问题。
AI 监管格局仍然不稳定
美国是否会有更多州采用基于风险的 AI 框架或采取不同的方法,还有待观察。在没有具体的联邦 AI 立法的情况下,围绕高风险 AI 系统的监管环境仍然处于变动之中,未来几年可能会发生重大变化,这取决于各个州如何选择监管 AI。目前,有多个州正在考虑采用高风险的 AI 立法方法,尤其是加利福尼亚州和德克萨斯州。然而,在弗吉尼亚州高风险 AI 立法失败之后,可能会有从全面的高风险 AI 监管转向更具有针对性、可能针对特定行业的 AI 法律和法规的趋势。
贝丝·沃勒校长
bwaller@woodsrogers.com
帕特里克·奥斯汀 咨询律师
patrick.austin@wrvblaw.com
罗斯·布鲁迪 协理
ross.broudy@woodsrogers.com
约翰·皮尔奇 网络安全/隐私分析师
jpilch@woodsrogers.com
弗吉尼亚州伍兹·罗杰斯律师事务所