اگر کسبوکار شما هجده ماه گذشته را صرف ایجاد برنامه انطباق با قانون هوش مصنوعی کلرادو بر اساس سیاستهای مدیریت ریسک، ارزیابیهای تأثیر سالانه و تعهدات وظیفه مراقبت در برابر تبعیض الگوریتمی کرده است، قوانین زیر پای شما تغییر کرده است. در ۱۴ مه ۲۰۲۶، جرد پولیس، فرماندار کلرادو، لایحه مجلس سنا ۲۶-۱۸۹ (SB 26-189) را امضا کرد که قانون اصلی هوش مصنوعی کلرادو را پیش از آنکه تعهدات اصلی آن اجرایی شود، منسوخ و جایگزین کرد. چارچوب جدید، استاندارد وظیفه مراقبت، الزام برنامه رسمی مدیریت ریسک و دستور ارزیابی تأثیر سالانه را حذف کرده است. به جای آنها، یک رژیم شفافیت محدودتر قرار گرفته است که بر پایه اطلاعیههای پیش از استفاده، افشاهای پس از پیامدهای نامطلوب و مجموعهای کوچک از حقوق مصرفکننده مرتبط با «فناوری تصمیمگیری خودکار تحت پوشش» بنا شده است.
برای مؤسسان، مدیران منابع انسانی، وامدهندگان، بیمهگران، مدیران مراقبتهای بهداشتی، مالکان و اپراتورهای SaaS که هزینههای مشاوره دلاری را صرف چارچوب اصلی SB 24-205 کردهاند، واکنش طبیعی احساس آرامش است. اما این آرامش باید با احتیاط همراه باشد. قانون جدید همچنان تعهدات واقعی را بر کسبوکارهای تقریباً با هر اندازهای تحمیل میکند، همچنان ریسک اجرای قانون توسط دادستان کل کلرادو را ایجاد میکند و همچنان از شما میخواهد که نقاط تماس فناوری تصمیمگیری خودکار با تصمیمات سرنوشتساز در عملیات خود را نقشهبرداری کنید. بار انطباق سبکتر شده است، اما صفر نیست، و تاریخ اجرایی ۱ ژانویه ۲۰۲۷ سریعتر از آنچه اکثر تیمها با در نظر گرفتن چرخههای بودجهبندی و مذاکرات مجدد با تأمینکنندگان انتظار دارند، فرا میرسد.
این راهنما تغییرات، موارد باقیمانده، مشمولان قانون، کارهای مشخصی که باید قبل از ۱ ژانویه ۲۰۲۷ انجام دهید و چگونگی هماهنگی تعهدات کلرادو با مجموعهای ناهمگون از سایر قوانین ایالتی و فدرال هوش مصنوعی که اکنون دامنگیر کسبوکارهای فعال در چندین حوزه قضایی شده است را بررسی میکند.
چه اتفاقی برای قانون اصلی هوش مصنوعی کلرادو افتاد
قانون اصلی هوش مصنوعی کلرادو که با عنوان SB 24-205 تدوین شده بود، در مه ۲۰۲۴ امضا شد و قرار بود در ۱ فوریه ۲۰۲۶ اجرایی شود. این اولین قانون جامع هوش مصنوعی ایالتی در ایالات متحده بود و با الهام از رویکرد لایهبندی ریسکِ قانون هوش مصنوعی اتحادیه اروپا مدلسازی شده بود. چارچوب اصلی با انتقادات مداوم شرکتهای فناوری، گروههای تجاری و قانونگذاران هر دو حزب مواجه شد که معتقد بودند این قانون نوآوریهای درون ایالتی را مجازات میکند، هزینههایی نامتناسب با ریسک واقعی تبعیض الگوریتمی تحمیل میکند و شرکتهای کوچک را مجبور به ایجاد برنامههای حاکمیتی مشابه با مؤسسات مالی تحت نظارت میکند.
در طول نشست قانونگذاری سال ۲۰۲۵، مجمع عمومی تاریخ اجرا را از ۱ فوریه ۲۰۲۶ به ۳۰ ژوئن ۲۰۲۶ تمدید کرد تا به قانونگذاران فرصت بازنگری در قانون را بدهد. در مه ۲۰۲۶، لایحه SB 26-189 تصویب و امضا شد که قانون اصلی را لغو و آن را با چارچوبی بهمراتب محدودتر جایگزین کرد که از ۱ ژانویه ۲۰۲۷ اجرایی میشود. دادستان کل کلرادو موظف است تا همان تاریخ، تدوین مقررات اجرایی را به پایان برساند، و این دفتر اعلام کرده است که اجرای قانون تا زمان تکمیل مقررات و دادن فرصت معقول به کسبوکارها برای همسویی، آغاز نخواهد شد.
نتیجه عملی برای تیم انطباق شما: هرگونه مستندات، بستههای بررسی دقیق تأمینکنندگان یا قالبهای ارزیابی تأثیری که بر اساس چارچوب SB 24-205 ساختهاید همچنان به عنوان یک پایه ارزش دارند، اما باید آنها را بهجای استاندارد اصلی وظیفه مراقبت، با تعهدات SB 26-189 بازنگری کنید.
چه چیزهایی باقی ماند و چه چیزهایی حذف شد
درک تفاوت بین قانون قدیم و جدید حائز اهمیت است زیرا مشاوران و فروشندگان هنوز در حال فروش چارچوبهای SB 24-205 هستند. در اینجا مواردی که حذف شده، موارد جدید و مواردی که باقی ماندهاند آورده شده است.
موارد حذف شده از قانون اصلی:
- وظیفه مراقبت معقول برای محافظت از مصرفکنندگان در برابر تبعیض الگوریتمی
- الزام به سیاست و برنامه رسمی مدیریت ریسک
- دستور ارزیابی تأثیر سالانه شامل اهداف، ورودیهای داده، کاهش ریسک، نظارت و ریسک تبعیض
- تعهد ۹۰ روزه کشف و افشا در رابطه با تبعیض الگوریتمی شناسایی شده
- چارچوب معافیت بهکارگیرندگان کوچک با آزمون چهار مرحلهای آن (این بخش بازسازی شده و عیناً حفظ نشده است)
موارد جدید تحت لایحه SB 26-189:
- دامنه محدودتر حول «فناوری تصمیمگیری خودکار تحت پوشش» (ADMT) بهجای «سیستم هوش مصنوعی پرخطر»
- یک چارچوب اطلاعیه دو مرحلهای: اطلاعیه پیش از استفاده قبل از بهکارگیری در یک تصمیم سرنوشتساز، به اضافه افشای پس از پیامد نامطلوب ظرف ۳۰ روز
- حق دسترسی مصرفکنندگان به دادههای شخصی استفاده شده توسط ADMT تحت پوشش و اصلاح آنها
- حق درخواست بررسی انسانی معنادار برای تصمیمات سرنوشتساز، در صورت امکانپذیر بودن فنی
- الزام به دسترسیپذیری که تمام اطلاعیهها را به دست مصرفکنندگان دارای معلولیت و تسلط محدود به زبان انگلیسی برساند
- یک حاشیه امن (Safe Harbor) که به بهکارگیرندگان اجازه میدهد اطلاعیه پیش از استفاده را از طریق یک اعلان عمومی برجسته در نزدیکی محل تعامل با مصرفکننده برآورده کنند
موارد باقیمانده در ماهیت:
- فهرست دستهبندیهای تصمیمات سرنوشتساز: آموزش، اشتغال، خدمات مالی یا وامدهی، خدمات دولتی ضروری، خدمات مراقبتهای بهداشتی، مسکن، بیمه و خدمات حقوقی
- اجرای انحصاری توسط دادستان کل کلرادو بدون حق دعوای خصوصی برای افراد
- تلقی تخلفات به عنوان شیوههای تجاری فریبکارانه تحت قانون حمایت از مصرفکننده کلرادو
- تمایز کلی بین توسعهدهندگان (کسانی که ADMT را میسازند یا تغییرات اساسی در آن ایجاد میکنند) و بهکارگیرندگان (کسانی که از آن برای اتخاذ تصمیمات سرنوشتساز در مورد مصرفکنندگان کلرادو استفاده میکنند)
چه کسی در محدوده شمول قرار دارد
قانون جدید برای هر توسعهدهنده یا بهکارگیرنده «فناوری تصمیمگیری خودکار» (ADMT) تحت پوششی اعمال میشود که تصمیمات تبعاتدار درباره مصرفکنندگان کلرادو میگیرد یا بر آنها تأثیر مادی میگذارد. قلمرو جغرافیایی بر اساس محل سکونت مصرفکننده تعیین میشود، نه مکان کسبوکار شما؛ بنابراین یک شرکت SaaS دورکار-محور که دفتر مرکزی آن در آستین است یا یک شرکت تأمین نیروی انسانی در نیویورک که متقاضیان را به کارفرمایان کلرادو معرفی میکند، دقیقاً در محدوده شمول این قانون قرار میگیرند.
یک تصمیم تبعاتدار طبق قانون SB 26-189، هر تصمیمی است که اثر قانونی مادی یا تأثیر مشابه قابلتوجهی بر ارائه، رد، هزینه یا شرایط خدمات در هشت دسته داشته باشد: ثبتنام یا فرصتهای تحصیلی، اشتغال یا فرصتهای شغلی، خدمات مالی یا وامدهی، خدمات دولتی ضروری، خدمات مراقبتهای بهداشتی، مسکن، بیمه یا خدمات حقوقی. این فهرست اکثر تصمیمات حساس و سرنوشتسازی را که کسبوکارهای کوچک و متوسط هر روز درباره افراد میگیرند، در بر میگیرد.
نمونههای واقعی از موارد استفاده تحت پوشش عبارتند از: ابزارهای غربالگری رزومه که به متقاضیان کار امتیاز میدهند، مدلهای پذیرهنویسی اعتباری که وامها را تأیید یا رد میکنند، موتورهای قیمتگذاری بیمه که حق بیمه را تعیین میکنند، ابزارهای غربالگری مستأجر که متقاضیان اجاره را فیلتر میکنند، سیستمهای پشتیبانی از تصمیمات بالینی که بر اولویتبندی یا ارجاع بیماران تأثیر میگذارند، مدرسهای هوش مصنوعی یا ابزارهای پذیرش که توسط ارائهدهندگان آموزش آنلاین استفاده میشوند، و ابزارهای پذیرش یا تریاژ در کلینیکهای کمک حقوقی یا وبسایتهای مؤسسات حقوقی. چتباتهای خدمات مشتری، شخصیسازی بازاریابی، ابزارهای بهرهوری داخلی و هوش مصنوعی مولد که برای پیشنویس محتوا استفاده میشود، عموماً خارج از محدوده شمول قرار میگیرند، مگر اینکه تأثیر مادی بر یکی از تصمیمات تبعاتدار ذکرشده داشته باشند.
الزام به اطلاعرسانی پیش از استفاده
قبل از اینکه یک بهکارگیرنده از یک ADMT تحت پوشش برای تأثیرگذاری مادی بر یک تصمیم تبعاتدار استفاده کند، باید به مصرفکننده اطلاعیهای واضح و برجسته بدهد که نشان دهد ADMT در حال استفاده است یا استفاده خواهد شد. این اطلاعیه باید با زبانی ساده، هدف سیستم، نوع تصمیم تبعاتداری که در آن دخیل است و چگونگی بهرهمندی مصرفکننده از حقوق اعطایی توسط قانون را شرح دهد.
موضوع «حاشیه امن» (Safe Harbor) در اینجا حائز اهمیت است. قانون به جای ارائه اطلاعیه فردی در لحظه هر تعامل، به شما اجازه میدهد این الزام را از طریق یک اعلان عمومی برجسته که در نقاط تعامل با مصرفکننده به راحتی قابل دسترسی باشد، برآورده کنید. در عمل، این بدان معناست که یک صفحه افشای هوش مصنوعی که به وضوح در پورتال اپلیکیشن، جریان پذیرش وام، صفحه فرود غربالگری مستأجر یا پورتال پذیرش بیمار لینک شده باشد، عموماً کافی خواهد بود؛ مشروط بر اینکه لینک از نظر بصری به تراکنش مربوطه نزدیک باشد و متن افشا برای یک خواننده غیرمتخصص نوشته شده باشد.
سه اشتباه رایج در تدوین که باید از آنها اجتناب کرد: اول، افشای اطلاعات را در یک سیاست حفظ حریم خصوصی کلی دفن نکنید؛ قانون صراحت دارد که این مورد باید به طور معقولی به تراکنش مربوطه نزدیک باشد. دوم، به اصطلاحات تخصصی صنعت مانند «فناوری تصمیمگیری خودکار» یا «ADMT» بدون ترجمه و توضیح تکیه نکنید؛ الزام دسترسیپذیری شامل دسترسی شناختی و زبانی است، نه فقط سازگاری با صفحهخوانها. سوم، اطلاعیههایی ننویسید که نقش هوش مصنوعی را در تصمیمگیری پنهان یا کمرنگ جلوه میدهند؛ عبارات مبهم مانند «ما ممکن است از فناوری برای کمک به خود استفاده کنیم» استانداردهای زبان سادهای را که مورد تأیید دادستان کل باشد، برآورده نخواهند کرد.
افشای ۳۰ روزه نتایج نامطلوب
هنگامی که یک ADMT تحت پوشش، تأثیر مادی بر یک تصمیم تبعاتدار بگذارد که منجر به نتیجهای نامطلوب برای مصرفکننده شود، بهکارگیرنده باید ظرف ۳۰ روز پس از تصمیم، توضیحی به زبان ساده از نقش ADMT ارائه دهد. نتیجه نامطلوب شامل رد درخواست، قطع یک خدمت موجود، قیمتگذاری به میزان قابلتوجهی نامناسبتر، یا هر تصمیمی است که مزیتی را که مصرفکننده در غیر این صورت دریافت میکرد، کاهش دهد.
این افشاگری نیازی به فاش کردن اسرار تجاری، وزنهای مدل یا الگوریتمهای اختصاصی ندارد. آنچه مورد نیاز است، توصیفی است که یک مصرفکننده متعارف بتواند درک کند: سیستم چه مواردی را در نظر گرفته، چه نقشی در تصمیم داشته، چه دستههایی از دادههای شخصی را پردازش کرده و مصرفکننده چگونه میتواند حقوق دسترسی، اصلاح و بازبینی انسانی خود را اعمال کند. تغییرات محتوایی بر اساس نوع صنعت مجاز است؛ بنابراین، افشای اقدام نامطلوب یک وامدهنده میتواند بر قالبهای اطلاعیه «مقررات B قانون فرصت برابر اعتباری» تکیه کند و افشای یک بهکارگیرنده در حوزه سلامت میتواند بر اساس هنجارهای موجود در ارتباط با بیمار باشد.
این کار را با الزامات افشای فدرال همسو کنید، نه اینکه به عنوان یک مسیر موازی با آن برخورد کنید. اگر قبلاً در حال ارسال اطلاعیه اقدام نامطلوب «قانون گزارشدهی اعتباری منصفانه»، اطلاعیه اقدام صورتگرفته «قانون فرصت برابر اعتباری» یا ارتباطات سازگار با HIPAA هستید، به جای ایجاد یک نامه جدید و موازی مخصوص کلرادو، همان اطلاعیه موجود را بسط دهید. مهلت ۳۰ روزه تحت قانون SB 26-189 عموماً با زمانبندی آن اطلاعیههای فدرال سازگار است، اگرچه باید ضربالاجلها را مورد به مورد بررسی کنید زیرا استثناهایی وجود دارد.
حقوق مصرفکننده برای دسترسی، اصلاح و بازبینی انسانی
سه حق برای مصرفکننده در این چارچوب جدید تعریف شده است. مصرفکنندگان میتوانند درخواست دسترسی به دادههای شخصی پردازششده توسط ADMT درباره خود را داشته باشند. مصرفکنندگان میتوانند درخواست اصلاح دادههای شخصی نادرست را داشته باشند. و مصرفکنندگان میتوانند در صورت امکانپذیر بودن فنی، درخواست بازبینی انسانی معنادار برای تصمیم تبعاتدار را داشته باشند.
حقوق دسترسی و اصلاح تا حد زیادی با حقوقی که قبلاً تحت «قانون حریم خصوصی کلرادو» (CPA) برای دادههای شخصی به طور کلی وجود داشت، همپوشانی دارند. از نظر عملیاتی، تمیزترین رویکرد این است که جریان کاری موجود برای «درخواست موضوع داده» (DSR) در CPA را برای رسیدگی به درخواستهای خاص ADMT گسترش دهید، نه اینکه یک کانال پذیرش مجزا بسازید. مشخص کنید کدام سیستمها حاوی چه دستههایی از دادههای شخصی مورد استفاده در ADMT هستند، تیم پذیرش حریم خصوصی یا منابع انسانی خود را در مورد دستههای جدید آموزش دهید و زمانبندی پاسخگویی خود را مستند کنید.
حق بازبینی انسانی، چالشبرانگیزترین پرسش در بحث انطباق است. قانون، بازبینی انسانی «معنادار» را در صورت امکانپذیر بودن فنی الزامی میکند، که با تایید صوری و ماشینیِ خروجی الگوریتم تفاوت دارد. بازبینی معنادار معمولاً مستلزم آن است که شخصی با اختیار ابطال تصمیم، واقعاً شرایط مصرفکننده را بررسی کند، اطلاعاتی فراتر از امتیاز الگوریتمی را در نظر بگیرد و توانایی عملی برای رسیدن به نتیجهای متفاوت داشته باشد. قید «از نظر فنی امکانپذیر» مواردی را که تصمیم زیربنایی اصلاً نمیتواند توسط انسان بازبینی شود، مستثنی میکند، اما صرفِ دشواری یا هزینه، توجیهی برای عدم انجام آن نیست.
تعهدات توسعهدهنده
توسعهدهندگان فناوریهای تصمیمگیری خودکار (ADMT) تحت پوشش، دارای تعهدات موازی هستند که بر ارائه آنچه پیادهسازان برای انطباق در مراحل پاییندستی نیاز دارند، تمرکز دارد. چارچوب اصلی SB 24-205 از توسعهدهندگان میخواست که مستندات گستردهای درباره منابع دادههای آموزشی، معیارهای عملکرد، موارد استفاده در نظر گرفته شده و ریسکهای شناختهشده تبعیض الگوریتمیک نگهداری کنند. تحت قانون SB 26-189، این تعهدات کاهش یافته اما حذف نشدهاند.
یک توسعهدهنده باید مستندات کافی در اختیار پیادهساز قرار دهد تا پیادهساز بتواند تعهدات مربوط به اطلاعیه و افشای خود را برآورده کند؛ از جمله شرح موارد استفاده در نظر گرفته شده برای ADMT، دستههای دادههای شخصی که پردازش میکند، دستههای خروجیهایی که تولید میکند و محدودیتهای شناختهشده مرتبط با بافت تصمیمگیریهای بااهمیت. توسعهدهندگان همچنین باید یک بیانیه عمومی منتشر کنند که خلاصهای از ADMT ارائه شده و نحوه مدیریت ریسکهای مرتبط با تصمیمات بااهمیت را شرح دهد.
اگر ابزارهای هوش مصنوعی را به پیادهسازان کلرادو میفروشید یا مجوز استفاده از آنها را میدهید، گفتگو درباره قراردادهای تأمینکننده از هماکنون آغاز شده است. انتظار داشته باشید که مشتریان پیادهساز، کارتهای مدل (model cards) استاندارد، برگههای داده و تعهدات قراردادی مخصوص ADMT را درخواست کنند. با تهیه یک افشای یکصفحهای ADMT که میتوانید به قراردادهای اصلی خدمات (MSAs) و بستههای تمدید پیوست کنید، از این روند پیشی بگیرید.
ملاحظات کسبوکارهای کوچک
معافیت اصلی پیادهسازان کوچک در SB 24-205 یک آزمون چهار مرحلهای بود که پیادهسازان با کمتر از ۵۰ کارمند تماموقت را تحت شرایطی خاص از الزامات ارزیابی تأثیر معاف میکرد. SB 26-189 به جای حفظ عین این معافیت، نحوه برخورد با کسبوکارهای کوچک را بازسازی کرده است، زیرا الزام زیربنایی ارزیابی تأثیر دیگر وجود ندارد.
برای اکثر پیادهسازان کوچک و متوسط، ردپای عملی انطباق تحت قانون جدید واقعاً ناچیز است: نگهداری یک صفحه شفاف برای افشای ADMT که در نقطه تعامل با مصرفکننده به راحتی قابل دسترسی باشد، ایجاد یک فرایند ۳۰ روزه برای پاسخگویی به پیامدهای نامطلوب، گسترش گردشکار فعلی درخواستهای موضوع داده (data subject request) برای پوشش دسترسی و اصلاح دادههای ADMT، و مستندسازی یک فرایند بررسی انسانی برای تصمیماتی که الگوریتم به طور مادی بر آنها تأثیر میگذارد. اکثر شرکتهایی که به خوبی مدیریت میشوند، میتوانند این زیرساخت را در چند هفته کار متمرکز راهاندازی کنند، به ویژه اگر از قبل برنامه قانون حریم خصوصی کلرادو (CPA) را اجرا کرده باشند.
بزرگترین عوامل هزینه برای کسبوکارهای کوچک، خودِ اطلاعیهها نیستند، بلکه کارهای بالادستی مربوط به شناسایی محل وجود ADMTهای تحت پوشش در کسبوکار است. یک غافلگیری رایج، کشف این موضوع است که یک ابزار SaaS آماده که ویژگیهای هوش مصنوعی توسط تأمینکننده در آن تعبیه شده، برای اهداف تصمیمگیری بااهمیت به عنوان ADMT تحت پوشش عمل میکند، حتی اگر کسبوکار پیادهساز هرگز فکر نمیکرد که در حال پیادهسازی هوش مصنوعی است. پلتفرمهای غربالگری مستأجر، ابزارهای خودکار پذیرهنویسی، ابزارهای استخدام تقویتشده با هوش مصنوعی و ماژولهای پشتیبانی از تصمیمگیری بالینی تعبیه شده در سیستمهای پرونده الکترونیک سلامت (EHR)، همگی از موارد رایجی هستند که باعث غافلگیری میشوند.
نحوه هماهنگی این قانون با سایر قوانین هوش مصنوعی و حریم خصوصی
کلرادو در خلأ قانونگذاری نمیکند و اجرای یک برنامه انطباق هماهنگ، بسیار ارزانتر از اجرای مجموعهای از برنامههای مجزا برای هر ایالت است. نکات کلیدی هماهنگی برای برنامهریزی در سالهای ۲۰۲۶ و ۲۰۲۷ عبارتند از:
قانون حریم خصوصی کلرادو (CPA). قانون CPA در حال حاضر به مصرفکنندگان کلرادو حق دسترسی، اصلاح و حذف دادهها را میدهد و تعهدات مربوط به انصراف از پروفایلسازی و ارزیابی حفاظت از دادهها را بر کنترلگرانی که «پروفایلسازی در جهت پیشبرد تصمیماتی که اثرات قانونی یا مشابه آن را دارند» انجام میدهند، تحمیل میکند. برنامه CPA شما پایه طبیعی برای برنامه SB 26-189 شماست، زیرا گردشکارهای درخواست موضوع داده، الگوهای قرارداد با تأمینکنندگان و زیرساختهای اطلاعیه به مصرفکننده، همپوشانی سنگینی دارند.
قانون محلی ۱۴۴ شهر نیویورک. شهر نیویورک برای ابزارهای خودکار تصمیمگیری استخدامی که برای غربالگری ساکنان نیویورک استفاده میشوند، ممیزیهای سالانه سوگیری مستقل را الزامی میکند. قانون SB 26-189 ممیزی سوگیری را الزامی نمیکند، اما مستندات تولید شده برای ممیزی LL 144 شواهد پشتیبان مفیدی هستند که نشان میدهند شما ریسک تبعیض الگوریتمیک را در نظر گرفتهاید، در صورتی که دادستان کل کلرادو پرسوجو کند.
قانون مصاحبه ویدیویی هوش مصنوعی ایلینوی و لایحه AB 2930 کالیفرنیا. هر دو تعهدات مربوط به اطلاعیه هوش مصنوعی در بافت استخدام را تحمیل میکنند که با افشاهای مربوط به استخدام در کلرادو همپوشانی دارند. یک اطلاعیه هوش مصنوعی استخدامی واحد ایجاد کنید که به جای سه اطلاعیه مجزا، هر سه قانون را برآورده کند.
قانون هوش مصنوعی اتحادیه اروپا (EU AI Act). اگر به کاربران اتحادیه اروپا نیز خدمات میدهید، الزامات مستندسازی سیستمهای پرخطر و نظارت انسانی در قانون هوش مصنوعی اتحادیه اروپا بسیار سختگیرانهتر از چارچوب جدید کلرادو است. مستندات اتحادیه اروپا معمولاً میتواند با تغییرات جزئی، تعهدات کلرادو را برآورده کند.
اجرای توسط EEOC و DOJ. راهنمای فنی ماه مه ۲۰۲۳ کمیسیون فرصتهای شغلی برابر (EEOC) در مورد رویههای انتخاب استخدامی هوش مصنوعی تحت عنوان Title VII و اولویتهای اجرایی ADA توسط وزارت دادگستری (DOJ)، هر دو ریسکهای فدرال ضد تبعیض در هوش مصنوعی استخدامی را ایجاد میکنند که مستقل از قوانین اطلاعیه ایالتی وجود دارند. رعایت تعهدات اطلاعیه کلرادو، شما را در برابر اجرای حقوق مدنی فدرال مصون نمیدارد.
NIST AI RMF. همسو کردن حاکمیت داخلی شما با چارچوب مدیریت ریسک هوش مصنوعی NIST نسخه ۱.۰ توسط SB 26-189 الزامی نیست، اما توسط نهادهای ناظر در حوزههای قضایی مختلف و توسط مشتریان سازمانی که در حال ارزیابی تأمینکنندگان هوش مصنوعی هستند، به عنوان یک مبنای قابل دفاع پذیرفته شده است.
یک نقشه راه عملی ۱۲ هفتهای برای انطباق
برای یک کسبوکار کوچک یا متوسط که از صفر شروع میکند، کارهایی که باید انجام شود تا برای ۱ ژانویه ۲۰۲۷ آماده باشد، به چهار مرحله تقسیم میشود.
هفتههای ۱ تا ۳ - فهرستبرداری. شناسایی هر ابزار، فروشنده یا سیستم داخلی که هرگونه تصمیمی را در هشت دسته تصمیمگیری مهم در مورد مصرفکنندگان کلرادو اتخاذ میکند یا بهطور مادی بر آن تأثیر میگذارد. ویژگیهای هوش مصنوعی تعبیهشده در نرمافزارهای اشتراکی (SaaS) شخص ثالث را نیز شامل کنید. برای هر مورد، طبقهبندی کنید که آیا تحت پوشش ADMT (فناوری تصمیمگیری خودکار) قرار میگیرد یا خیر و مستند کنید که توسعهدهنده آن کیست.
هفتههای ۴ تا ۶ - هماهنگی با فروشندگان. با هر توسعهدهنده ADMT تحت پوشش تماس بگیرید و بسته مستنداتی را که برای حمایت از تعهدات شما در زمینه اطلاعرسانی و افشا ارائه میدهند، درخواست کنید. در مورد هرگونه اصلاحیه قرارداد لازم برای پوشش غرامت، پشتیبانی از اصلاح دادهها و همکاری در پاسخگویی به نتایج نامطلوب مذاکره کنید.
هفتههای ۷ تا ۹ - طراحی فرآیند و اطلاعرسانی. پیشنویس صفحه اطلاعرسانی پیش از استفاده، قالب افشای نتایج نامطلوب، الحاقیه گردش کار درخواستهای موضوع داده و فرآیند بازبینی انسانی را تهیه کنید. هر یک را از نظر زبان ساده و قابلیت دسترسی بررسی کنید. به کارکنان بخش خدمات مشتریان، منابع انسانی و بخش پذیرهنویسی (ارزیابی ریسک) آموزش دهید.
هفتههای ۱۰ تا ۱۲ - راهاندازی و آمادهسازی برای حسابرسی. اطلاعیهها را منتشر کنید، فرآیندهای جدید را به مرحله اجرا برسانید و پرونده مستنداتی را که ممکن است بازرس دادستان کل درخواست کند، آماده کنید: قراردادهای فروشندگان، تصاویر صفحههای اطلاعرسانی، گزارشهای پاسخگویی، سوابق بازبینی انسانی و لیستهای آموزشی. یک حسابرسی داخلی ششماهه برنامهریزی کنید.
تیمی که از اواسط سال ۲۰۲۶ شروع کند، زمان کافی در اختیار خواهد داشت. تیمی که تا سه ماهه چهارم صبر کند، با دشواری روبرو خواهد شد، بهویژه با توجه به چرخه اصلاح قراردادهای فروشندگان که بهطور معمول در مقیاس سازمانی ۶۰ تا ۹۰ روز طول میکشد.
سوابق انطباق خود را مانند دفاتر مالیتان شفاف نگه دارید
چه در حال نقشهبرداری از موجودیهای ADMT باشید، چه در حال ردیابی افشای نتایج نامطلوب یا ایجاد فایل مستندات قابل دفاع برای حسابرسی که ممکن است بازرس دادستان کل درخواست کند، همان اصولی که در سوابق مالی صادق است، برای سوابق انطباق نیز صدق میکند: شفافیت، کنترل نسخه و توانایی بازسازی هر عدد در هر مقطع زمانی، بیش از فرمت اهمیت دارد. Beancount.io حسابداری متن-ساده (Plain-text accounting) را فراهم میکند که به شما دید کاملی نسبت به دادههای مالیتان میدهد، بدون جعبههای سیاه و بدون وابستگی انحصاری به فروشنده (Vendor lock-in). رایگان شروع کنید و ببینید چرا توسعهدهندگان، تیمهای مالی و مدیران متمایل به انطباق، به حسابداری متن-ساده روی میآورند.
منابع: