AI监管 | 美国各州和地方开始以零敲碎打的方式推进AI监管(外媒编译)
编者按
2021年,全球范围内对于人工智能的监管已经开始从理论探讨走向实际的立法和执法阶段,标志性的事件就是欧盟提出了《欧洲议会和理事会关于制定人工智能统一规则(《人工智能法》)和修正某些欧盟立法的条例》的提案,以及我国国家互联网信息办公室发布的《互联网信息服务算法推荐管理规定》。
关于人工智能安全和监管,本公号发布过以下文章:
今天和大家分享的是一篇外国机构分析的翻译,展示了美国关于AI立法的最新进展。
随着人工智能(AI)越来越多地嵌入到产品、服务和商业决策中,美国各州和地方立法者一直在考虑并通过一系列有关人工智能的法律。
即使美国联邦政府更密切地关注人工智能,包括美国国家标准技术研究所(NIST)开发的人工智能风险管理框架,一些州和地方似乎准备跳到前面,它们通过了新的法律和新的法规。
2021年颁布的若干法律涉及人工智能
2021年,包括阿拉巴马州、科罗拉多州、伊利诺伊州、密西西比州和纽约市在内的几个管辖区颁布了专门针对人工智能使用的立法。他们的方法各不相同,从建立机构研究人工智能的影响,到在政府担心对个人的伤害风险增加的情况下对人工智能的使用进行监管。
例如,这些法律中的一些侧重于研究或促进人工智能。例如,阿拉巴马州的法律设立了一个先进技术和人工智能委员会,其负责"审查并向州长、立法机构和其他有关各方提供关于先进技术和[人工智能]在该州的使用和发展的建议"。该委员会必须"每年向州长和议会提交一份年度报告,说明委员会可能提出的与先进技术和人工智能有关的行政或政策行动的任何建议"。密西西比州的法律——被称为"密西西比州计算机科学和网络教育平等法案"——实施了强制性的K-12计算机科学课程,其中必须包括人工智能和机器学习的教学,以及其他领域和主题。
其他法律在人工智能方面的监管力度更大。最值得注意的是,纽约市颁布了一项算法问责法,禁止纽约市的雇主和就业机构使用"自动就业决策工具",除非该工具已接受年度审计,检查是否存在基于种族或性别的歧视,并且最近的审计结果摘要可在雇主或就业机构的网站上公开。新法律还要求使用这种人工智能工具的雇主或职业介绍所向雇员和候选人提供通知,并在雇主或职业介绍所的网站上或应候选人或雇员的书面要求提供有关自动就业决定工具的其他信息。该法授权了私人诉讼权,并对雇主或职业介绍所每次违规行为处以500美元至1500美元的罚款。
科罗拉多州也在2021年颁布了一项人工智能法。科罗拉多州的人工智能法采取了部门方法,禁止保险公司使用"任何外部消费者数据和信息来源,以及使用了外部消费者数据和信息来源的算法或预测模型","使用的方式会基于种族、肤色、民族或族裔出身、宗教、性别、性取向、残疾、性别认同或性别表达等产生的不公平歧视"。该法律要求科罗拉多州保险专员为保险公司颁布相关规则,这些规则必须要求保险公司,除其他事项外:(1) 向专员提供用于开发和实施算法和预测模型的数据信息;(2) 解释保险公司如何使用外部消费者数据和信息来源,以及使用这些数据的算法和预测模型;(3) 建立并维持"一个风险管理框架或类似的过程或程序,其目的是在实际可行的范围内确定保险人在使用[此类数据、算法和预测模型]时是否存在基于种族、肤色、民族或族裔出身、宗教、性别、性取向、残疾、性别认同或性别表达的不公平歧视";(4) 提供对风险管理框架结果的评估,以及为尽量减少不公平歧视的风险而采取的行动,包括持续监测;以及 (5) 证明保险人已持续适当地实施风险管理框架。这项法律是在科罗拉多州全面隐私法《科罗拉多州隐私法》的基础上制定的,该法将于2023年7月1日开始生效。值得注意的是,科罗拉多州隐私法——与弗吉尼亚州新的综合隐私法一样——为消费者提供了一项权利,可以选择拒绝为促进产生法律或类似重大影响的决策而对其个人数据进行自动剖析的处理。
作为额外的例子,伊利诺伊州近年来通过了两项与人工智能有关的法律。首先,《伊利诺伊州未来工作法》建立了一个特别工作组,除其他事项外,研究新兴技术对未来工作的影响。该法案的立法结果解释说,"技术的进步,特别是工作的自动化和人工智能能力的扩大,已经并将继续对我们21世纪经济中的工作类型、质量和数量产生深刻的影响"。其次,伊利诺伊州还颁布了《人工智能视频面试法》,规定在招聘过程中"使用[]人工智能分析......申请人提交的视频"的雇主有通知、同意、分享、删除和报告的义务。具体而言,要求申请人录制面试视频并使用人工智能分析视频的雇主必须:(1) 通知申请人,人工智能可能被用来分析申请人的面试视频,并考虑申请人是否适合该职位;(2) 向每个申请人提供信息,解释人工智能如何工作,以及人工智能用来评估申请人的一般特征类型;以及(3) 获得申请人的同意。该法律还限制了视频的共享,并赋予申请人删除视频的权利。2021年的法律修正案对"完全依靠对视频面试的[人工智能]分析来确定申请人是否会被选中参加当面面试"的雇主提出了报告要求。具体而言,这些雇主必须每年向州商业和经济机会部报告特定的人口信息,而该部则需要分析所报告的人口数据,并每年向州长和大会报告这些数据是否披露了使用人工智能的种族偏见。
加州有望通过解决人工智能的隐私规则
除了2021年颁布的这些法律外,各企业应当着重关注加州的隐私规则制定过程,因为新的加州隐私保护局(California Privacy Protection Agency)是负责制定规则和执行《加州隐私权利法》(CPRA)的机构,预计将在今年发布关于人工智能的法规。虽然法规要求在2022年7月前通过最终规则,但在2月17日的CPPA董事会会议上,执行董事Ashkan Soltani宣布,法规草案将被推迟。
CPRA特别责成该机构"就企业使用自动决策技术,包括画像,以及要求企业对访问请求的回应包括有关这些决策过程中涉及的逻辑的有意义的信息,以及对该过程对消费者可能产生的结果的描述,提出管理访问和选择退出权利的法规"。2021年9月,CPPA发布了《关于拟议规则制定的初步意见邀请》,其中提出了四个关于解释该机构自动决策规则制定权的问题:
哪些活动应被视为构成 "自动决策技术 "和/或 "画像"的活动。
消费者何时能够获取有关企业使用自动决策技术的信息,以及消费者和企业应遵循哪些程序来促进获取信息。
企业必须向消费者提供哪些信息以回应访问请求,包括企业必须做什么以提供自动决策过程中涉及的"有意义的逻辑信息"。
消费者在自动决策方面选择退出的权利范围,以及消费者和企业应遵循哪些程序来促进选择退出。
加利福尼亚州规范某些自动决策过程的努力可能为更大程度的人工智能监管打开大门,应密切关注。
这种拼凑的方法,如果继续下去,可能会在管理人工智能在不同司法管辖区的许多用途的监管合规方面产生问题。随着法律和监管形势的发展,开发和部署人工智能的公司应继续监测美国各州和地方对人工智能的做法。
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
关于保护网络和信息系统安全的相关文章包括:
关于我国的《个人信息保护法》的相关文章包括:
业务场景中的数据跨境流动的文章如下:
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令