Beancount.io LogoBeancount.io

Colorado SB 26-189: Ръководство за съответствие с ИИ за 2027 г. за малки и средни предприятия

17 минути четенеMike ThriftMike Thrift
Colorado SB 26-189: Ръководство за съответствие с ИИ за 2027 г. за малки и средни предприятия

Ако вашият бизнес е прекарал последните осемнадесет месеца в изграждане на програма за съответствие със Закона за ИИ на Колорадо, фокусирана върху политики за управление на риска, годишни оценки на въздействието и задължения за грижа срещу алгоритмична дискриминация, правилата току-що се промениха. На 14 май 2026 г. губернаторът на Колорадо Джаред Полис подписа Законопроект на Сената SB 26-189, който отмени и замени първоначалния Закон за ИИ на Колорадо, преди основните му задължения изобщо да влязат в сила. Новата рамка премахва стандарта за задължение за полагане на грижа, изискването за официална програма за управление на риска и мандата за годишна оценка на въздействието. На тяхно място идва по-тесен режим на прозрачност, изграден около известия преди употреба, разкриване на информация след неблагоприятен изход и малък набор от потребителски права, свързани с „обхваната технология за автоматизирано вземане на решения“.

За основатели, HR лидери, кредитори, застрахователи, администратори в здравеопазването, наемодатели и SaaS оператори, които са изразходвали консултантски бюджети за оригиналната рамка SB 24-205, естествената реакция е облекчение. Това облекчение обаче трябва да бъде премерено. Новият закон все още налага реални задължения на предприятия от почти всякакъв мащаб, все още създава риск от правоприлагане от страна на Главния прокурор на Колорадо и все още изисква от вас да картографирате къде технологията за автоматизирано вземане на решения докосва решения със значими последици във вашите операции. Тежестта за постигане на съответствие е по-малка, но не е нулева, а датата на влизане в сила 1 януари 2027 г. наближава по-бързо, отколкото повечето екипи очакват, след като се вземат предвид бюджетните цикли и предоговарянето с доставчици.

Този наръчник разглежда какво се е променило, какво е оцеляло, кой попада в обхвата, какво точно трябва да направите преди 1 януари 2027 г. и как да координирате задълженията си в Колорадо с мозайката от други щатски и федерални правила за ИИ, които сега засягат бизнесите, опериращи в множество юрисдикции.

Какво се случи с оригиналния Закон за ИИ на Колорадо

Оригиналният Закон за ИИ на Колорадо, кодифициран като SB 24-205, беше подписан през май 2024 г. и трябваше да влезе в сила на 1 февруари 2026 г. Той беше първият всеобхватен щатски закон за ИИ в Съединените щати и беше моделиран по подобие на подхода на Закона за ИИ на Европейския съюз, базиран на нивата на риск. Оригиналната рамка предизвика продължителни критики от страна на технологични компании, бизнес групи и двупартийни законодатели, които твърдяха, че тя ще накаже иновациите в щатa, ще наложи разходи, несъразмерни с действителния риск от алгоритмична дискриминация, и ще принуди малките компании да изграждат програми за управление, сравними с тези на регулираните финансови институции.

По време на законодателната сесия през 2025 г. Общото събрание удължи датата на влизане в сила от 1 февруари 2026 г. на 30 юни 2026 г., за да даде време на законодателите да преразгледат статута. През май 2026 г. беше приет и подписан SB 26-189, който отменя оригиналния закон и го заменя със значително по-тясна рамка, която влиза в сила на 1 януари 2027 г. Главният прокурор на Колорадо е длъжен да завърши изготвянето на правилата за прилагане до същата дата, като службата му посочи, че правоприлагането няма да започне, докато процесът по приемане на правила не приключи и предприятията не са имали разумна възможност да се приведат в съответствие.

Практическият резултат за вашия екип по съответствие: всяка документация, пакети за проверка на доставчици или шаблони за оценка на въздействието, които сте изградили спрямо рамката SB 24-205, все още имат стойност като основа, но трябва да ги калибрирате спрямо задълженията на SB 26-189, а не спрямо първоначалния стандарт за задължение за полагане на грижа.

Какво остана и какво изчезна

Разбирането на разликата между стария и новия закон е важно, тъй като консултанти и доставчици все още предлагат рамки, базирани на SB 24-205. Ето какво е премахнато, какво е ново и какво е запазено.

Премахнато от оригиналния закон:

  • Задължението за разумна грижа за защита на потребителите от алгоритмична дискриминация
  • Изискването за официална политика и програма за управление на риска
  • Мандатът за годишна оценка на въздействието, обхващащ целта, въвежданите данни, смекчаването на последиците, мониторинга и риска от дискриминация
  • Задължението за откриване и разкриване в рамките на 90 дни, свързано с открита алгоритмична дискриминация
  • Рамката за изключение за малки внедряващи субекти с нейния четирикомпонентен тест (това е преструктурирано, а не запазено дословно)

Ново съгласно SB 26-189:

  • По-тесен обхват, изграден около „обхваната технология за автоматизирано вземане на решения“ (ADMT), вместо „система с изкуствен интелект с висок риск“
  • Рамка за уведомяване в две стъпки: известие преди употреба преди внедряване в решение със значими последици, плюс разкриване след неблагоприятен изход в рамките на 30 дни
  • Право на потребителите на достъп и коригиране на лични данни, използвани от обхванатата ADMT
  • Право на искане на съществена човешка проверка на решения със значими последици, където това е технически осъществимо
  • Изискване за достъпност, според което всички известия трябва да достигат до потребители с увреждания и ограничено владеене на английски език
  • „Безопасно пристанище“, позволяващо на внедряващите субекти да изпълнят изискването за известие преди употреба чрез видно публично съобщение в разумна близост до взаимодействието с потребителя

Запазено по същество:

  • Списъкът с категории решения със значими последици: образование, заетост, финансови или кредитни услуги, основни държавни услуги, здравни услуги, жилищно настаняване, застраховане и правни услуги
  • Изключително право на прилагане от Главния прокурор на Колорадо без право на частен иск
  • Третиране на нарушенията като заблуждаващи търговски практики съгласно Закона за защита на потребителите в Колорадо
  • Общото разграничение между разработчици (които създават или съществено модифицират ADMT) и внедряващи субекти (които я използват за вземане на решения със значими последици за потребителите в Колорадо)

Кой попада в обхвата

Новият закон се прилага за всеки разработчик или внедряващ субект на обхваната технология за автоматизирано вземане на решения (ADMT), която взема или съществено влияе върху решения със значими последици за потребителите в Колорадо. Географският обхват се определя от местожителството на потребителя, а не от местоположението на вашия бизнес, така че SaaS компания, работеща предимно от разстояние със седалище в Остин, или фирма за подбор на персонал в Ню Йорк, която насочва кандидати към работодатели в Колорадо, попадат директно в обхвата.

Решение със значими последици съгласно SB 26-189 е всяко решение, което има съществен правен или подобен значим ефект върху предоставянето, отказа, цената или условията на услуги в осем категории: прием или възможности за образование, заетост или възможности за работа, финансови или кредитни услуги, основни държавни услуги, здравни услуги, жилищно настаняване, застраховане или правни услуги. Списъкът обхваща повечето от решенията с висок залог, които малките и средните предприятия вземат за хората всеки ден.

Примери от реалния свят за обхванати случаи на употреба включват инструменти за скрининг на автобиографии, които оценяват кандидати за работа, модели за кредитен андеррайтинг, които одобряват или отказват заеми, машини за ценообразуване на застраховки, които определят премии, инструменти за проверка на наематели, които филтрират кандидати за наем, подкрепа на клинични решения, която влияе върху това кои пациенти се планират или насочват, AI тутори или инструменти за прием, използвани от доставчици на онлайн образование, и инструменти за прием или триаж в клиники за правна помощ или уебсайтове на юридически кантори. Чатботовете за обслужване на клиенти, персонализацията на маркетинга, вътрешните инструменти за производителност и генеративният AI, използван за съставяне на съдържание, обикновено попадат извън обхвата, освен ако не влияят съществено върху едно от изброените решения със значими последици.

Задължението за уведомяване преди употреба

Преди внедряващият субект да използва обхваната ADMT за съществено влияние върху решение със значими последици, той трябва да предостави на потребителя ясно и видимо известие, че се използва или ще се използва ADMT. Известието трябва да описва на достъпен език целта на системата, вида решение със значими последици, за което тя допринася, и как потребителят може да упражни правата, предоставени от закона.

Разпоредбата за „безопасно пристанище“ е важна тук. Вместо да предоставяте индивидуално известие в момента на всяко взаимодействие, законът ви позволява да изпълните това задължение чрез видно публично съобщение, което е разумно достъпно в точките на взаимодействие с потребителя. На практика това означава, че ясно свързана страница за разкриване на AI в портала на вашето приложение, процеса за кандидатстване за заем, целевата страница за скрининг на наематели или портала за регистрация на пациенти обикновено ще бъде достатъчна, при условие че връзката е визуално близо до съответната транзакция и езикът на разкриването е написан за обикновения читател.

Три капана при съставянето, които трябва да се избягват. Първо, не крийте разкриването в обща политика за поверителност; законът изисква то да бъде в разумна близост до съответната транзакция. Второ, не разчитайте на индустриален жаргон като „технология за автоматизирано вземане на решения“ или „ADMT“ без превод; изискването за достъпност обхваща когнитивната и езиковата достъпност, а не само съвместимостта с екранни четци. Трето, не пишете известия, които маскират ролята на изкуствения интелект в решението; неясен език като „може да използваме технология, която да ни помага“ няма да удовлетвори стандарта за достъпен език, който да издържи на проверка от главния прокурор.

Разкриване на неблагоприятен резултат в 30-дневен срок

Когато обхваната ADMT съществено повлияе на решение със значими последици, което води до неблагоприятен резултат за потребителя, внедряващият субект трябва да предостави описание на достъпен език на ролята на ADMT в рамките на 30 дни след решението. Неблагоприятен резултат включва отказ на заявление, прекратяване на съществуваща услуга, съществено по-неблагоприятно ценообразуване или всяко решение, което намалява полза, която потребителят иначе би получил.

Разкриването не изисква разкриване на търговски тайни, тегла на моделите или патентовани алгоритми. Това, което се изисква, е описание, което разумен потребител може да разбере, за това какво е взела предвид системата, каква роля е изиграла в решението, какви категории лични данни е обработила и как потребителят може да упражни своите права за достъп, коригиране и преглед от човек. Разрешени са специфични за индустрията вариации в съдържанието, така че разкриването на кредитор за неблагоприятно действие може да се опира на съществуващите формати на известия по Регламент B от Закона за равни възможности за кредит, а разкриването на внедряващ субект в здравеопазването може да се гради върху съществуващите норми за комуникация с пациенти.

Координирайте това със съседните федерални задължения за разкриване, вместо да го третирате като паралелен процес. Ако вече изпращате известие за неблагоприятно действие съгласно Закона за честно кредитно отчитане, известие за предприето действие съгласно Закона за равни възможности за кредит или съвместима с HIPAA комуникация, разширете съществуващото известие, вместо да създавате излишно писмо, специфично за Колорадо. 30-дневният срок съгласно SB 26-189 обикновено е съвместим с времето на тези федерални известия, въпреки че трябва да планирате крайните срокове за всеки отделен случай, тъй като съществуват изключения.

Права на потребителите на достъп, коригиране и преглед от човек

Три потребителски права попадат в новата рамка. Потребителите могат да поискат достъп до личните данни, които обхванатата ADMT е обработила за тях. Потребителите могат да поискат коригиране на неточни лични данни. И потребителите могат да поискат съществен преглед от човек на решението със значими последици, когато това е технически осъществимо.

Правата на достъп и коригиране съвпадат в голяма степен с правата, които вече съществуват съгласно Закона за поверителност на Колорадо (CPA) за личните данни като цяло. Оперативно най-чистият подход е да разширите съществуващия си работен процес за искания от субекти на данни по CPA, за да обслужвате специфични за ADMT искания, вместо да изграждате отделен канал за прием. Опишете кои системи съдържат кои категории лични данни, използвани в ADMT, обучете екипа си за поверителност или човешки ресурси за новите категории и документирайте сроковете за отговор.

Правото на преглед от човек е по-интересният въпрос за съответствие. Законът изисква съществен преглед от човек, когато е технически осъществимо, което не е същото като формално потвърждение от човек на изхода от алгоритъма. Същественият преглед обикновено изисква лице с правомощия да отмени решението действително да проучи обстоятелствата на потребителя, да разгледа информация извън алгоритмичната оценка и да има практическа възможност да стигне до различно заключение. Условието за „техническа осъществимост“ изключва случаи, в които основното решение изобщо не може да бъде смислено прегледано от човек, но не оправдава просто неудобство или разходи.

Задължения на разработчиците

Разработчиците на обхванати ADMT (автоматизирани технологии за вземане на решения) имат паралелни задължения, насочени към предоставяне на внедрителите на това, което им е необходимо, за да спазват правилата по веригата. Първоначалната рамка на SB 24-205 изискваше разработчиците да поддържат обширна документация за източниците на данни за обучение, метриките за производителност, предвидените случаи на употреба и известните рискове от алгоритмична дискриминация. Съгласно SB 26-189 тези задължения са намалени, но не и премахнати.

Разработчикът трябва да предостави на внедрителите документация, достатъчна за внедрителя да изпълни своите задължения за уведомяване и разкриване на информация, включително описание на предвидените случаи на употреба на ADMT, категориите лични данни, които обработва, категориите резултати, които генерира, и известните ограничения, свързани с контекста на решения със значими последици. Разработчиците трябва също така да публикуват публично изявление, обобщаващо предлаганите от тях обхванати ADMT и начина, по който управляват рисковете, свързани с решения със значими последици.

Ако продавате или лицензирате инструменти с ИИ, използвани от внедрители в Колорадо, разговорът за договорите с доставчици вече е започнал. Очаквайте клиентите-внедрители да изискват стандартизирани моделни карти (model cards), информационни листове за данни и специфични за ADMT договорни клаузи. Подгответе се предварително, като изготвите едностранично оповестяване за ADMT, което можете да прикачите към главните споразумения за услуги (MSA) и пакетите за подновяване.

Съображения за малкия бизнес

Първоначалното освобождаване за малки внедрители в SB 24-205 беше тест от четири части, който освобождаваше внедрители с по-малко от 50 служители на пълно работно време от изискването за оценка на въздействието при определени условия. SB 26-189 преструктурира третирането на малкия бизнес, вместо да запази освобождаването дословно, тъй като основното изискване за оценка на въздействието вече не съществува.

За повечето малки и средни внедрители практическият отпечатък за съответствие съгласно новия закон е наистина скромен: поддържайте ясна страница за оповестяване на ADMT, която е разумно достъпна в точката на взаимодействие с потребителя, изградете 30-дневен процес за реагиране при неблагоприятни резултати, разширете съществуващия си работен процес за заявки от субекти на данни, за да обхване достъпа и коригирането на данни от ADMT, и документирайте процес на човешки преглед за решения, върху които алгоритъмът оказва съществено влияние. Повечето добре управлявани компании могат да внедрят това за няколко седмици фокусирана работа, особено ако вече имат програма по Закона за поверителност на Колорадо (CPA).

Най-големите разходи за малкия бизнес не са самите уведомления, а предварителната работа по инвентаризация на това къде в бизнеса съществуват обхванати ADMT. Честа изненада е откритието, че готов SaaS инструмент с вградени функции за ИИ от доставчика функционира като обхваната ADMT за целите на вземане на решения със значими последици, дори ако внедряващият бизнес никога не е смятал, че внедрява ИИ. Платформи за проверка на наематели, автоматизирани съветници за застрахователно оценяване, инструменти за наемане, подсилени с ИИ, и модули за подкрепа на клинични решения, вградени в системи за електронни здравни досиета, са често срещани изненадващи включвания.

Как това се координира с други закони за ИИ и поверителност

Колорадо не приема закони в изолирана среда и една координирана програма за съответствие е значително по-евтина за управление от поредица от изолирани структури за всеки щат поотделно. Ключовите точки за координация, които трябва да планирате за 2026 и 2027 г.:

Закон за поверителност на Колорадо (CPA). CPA вече дава на потребителите в Колорадо права за достъп, коригиране и изтриване на данни и вече налага задължения за отказ от профилиране и оценки за защита на данните на администратори, извършващи „профилиране в подкрепа на решения, които произвеждат правни или подобни значими последици“. Вашата програма по CPA е естествената основа за вашата програма по SB 26-189, тъй като работните процеси за заявки от субекти на данни, шаблоните за договори с доставчици и инфраструктурата за уведомяване на потребителите се припокриват в голяма степен.

Местен закон 144 на Ню Йорк (NYC Local Law 144). Ню Йорк изисква годишни независими одити за пристрастност за автоматизирани инструменти за вземане на решения за заетост, използвани за скрининг на жители на Ню Йорк. SB 26-189 не изисква одит за пристрастност, но документацията, изготвена за одит по LL 144, е полезно доказателство, че сте разгледали риска от алгоритмична дискриминация, ако главният прокурор на Колорадо отправи запитване.

Закон на Илинойс за видео интервюта с ИИ и Калифорнийски AB 2930. И двата налагат задължения за уведомяване за ИИ в контекста на наемане на работа, които се припокриват с разкритията в контекста на заетостта в Колорадо. Създайте единно уведомление за ИИ при наемане, което удовлетворява и трите, вместо три отделни уведомления.

Акт на ЕС за ИИ. Ако обслужвате и потребители в ЕС, изискванията на Акта на ЕС за ИИ за документация на високорискови системи и човешки надзор са значително по-строги от новата рамка на Колорадо. Документацията за ЕС обикновено може да удовлетвори задълженията в Колорадо с леки корекции.

Правоприлагане от EEOC и DOJ. Техническата помощ на EEOC от май 2023 г. по Дял VII относно процедурите за подбор при заетост с ИИ и приоритетите на Министерството на правосъдието (DOJ) за прилагане на ADA създават федерален риск от антидискриминация при заетостта с ИИ, който съществува независимо от щатските закони за уведомяване. Спазването на задълженията за уведомяване на Колорадо не ви предпазва от федералното прилагане на гражданските права.

NIST AI RMF. Привеждането на вашето вътрешно управление в съответствие с Рамката за управление на риска на ИИ на NIST 1.0 (NIST AI RMF) не се изисква по закон от SB 26-189, но се приема широко като защитима базова линия от регулаторите в различните юрисдикции и от корпоративни клиенти, извършващи проверки на доставчици на ИИ.

Практическа дванадесетседмична пътна карта за съответствие

За малък или среден бизнес, който започва от нулата, работата по подготовката за 1 януари 2027 г. се разделя на четири фази.

Седмици от 1 до 3 – Инвентаризация. Идентифицирайте всеки инструмент, доставчик или вътрешна система, която взема или съществено влияе върху всяко решение в осемте категории значими решения за потребителите в Колорадо. Включете вградените AI функции в SaaS на трети страни. За всеки от тях класифицирайте дали е обхванат от ADMT (Автоматизирана технология за вземане на решения) и документирайте кой е разработчикът.

Седмици от 4 до 6 – Съгласуване с доставчиците. Свържете се с всеки разработчик на обхваната ADMT технология и изискайте документационния пакет, който те ще предоставят в подкрепа на вашите задължения за уведомяване и разкриване на информация. Договорете всички необходими изменения в договорите, за да покриете обезщетенията, поддръжката за коригиране на данни и сътрудничеството при реагиране на неблагоприятни резултати.

Седмици от 7 до 9 – Дизайн на уведомленията и процесите. Подгответе страницата с уведомление преди употреба, шаблона за разкриване на неблагоприятни резултати, разширенията на работния процес за искания от субекти на данни и процеса на преглед от човек. Прегледайте всеки от тях за достъпност и ясен език. Обучете персонала за работа с клиенти, отделите по ЧР и служителите по андеррайтинг.

Седмици от 10 до 12 – Стартиране и подготовка за одит. Публикувайте уведомленията, внедрете новите процеси в производство и създайте файла с документация, който би изискал следовател от Главната прокуратура: договори с доставчици, екранни снимки на уведомления, лог на отговорите, записи от прегледи от човек и списъци от обучения. Насрочете шестмесечен вътрешен одит.

Екип, който започне в средата на 2026 г., разполага с комфортен период от време. Екип, който чака до четвъртото тримесечие, ще трябва да действа в условия на спешност, особено предвид цикъла за изменение на договори с доставчици, който при големите предприятия обикновено отнема от 60 до 90 дни.

Поддържайте записите си за съответствие толкова прозрачни, колкото и счетоводните си книги

Независимо дали картографирате ADMT инвентаризации, проследявате разкрития на неблагоприятни резултати или създавате защитим при одит файл с документация, който би изискал следовател от Главната прокуратура, същият принцип се прилага към записите за съответствие, както и към финансовите записи: прозрачността, контролът на версиите и способността за възстановяване на всяко число във всеки един момент са по-важни от формата. Beancount.io предоставя текстово базирано счетоводство (plain-text accounting), което ви дава пълна видимост върху вашите финансови данни, без „черни кутии“ и без обвързване с конкретен доставчик. Започнете безплатно и вижте защо разработчиците, финансовите екипи и операторите, загрижени за съответствието, преминават към plain-text accounting.

Източници: