Beancount.io LogoBeancount.io

قانون کلرادو SB 26-189: کتابچه راهنمای انطباق با هوش مصنوعی سال ۲۰۲۷ برای کسب‌وکارهای کوچک و متوسط

زمان مطالعه 17 دقیقهMike ThriftMike Thrift
قانون کلرادو SB 26-189: کتابچه راهنمای انطباق با هوش مصنوعی سال ۲۰۲۷ برای کسب‌وکارهای کوچک و متوسط

اگر کسب‌وکار شما هجده ماه گذشته را صرف ایجاد برنامه انطباق با قانون هوش مصنوعی کلرادو بر اساس سیاست‌های مدیریت ریسک، ارزیابی‌های تأثیر سالانه و تعهدات وظیفه مراقبت در برابر تبعیض الگوریتمی کرده است، قوانین زیر پای شما تغییر کرده است. در ۱۴ مه ۲۰۲۶، جرد پولیس، فرماندار کلرادو، لایحه مجلس سنا ۲۶-۱۸۹ (SB 26-189) را امضا کرد که قانون اصلی هوش مصنوعی کلرادو را پیش از آنکه تعهدات اصلی آن اجرایی شود، منسوخ و جایگزین کرد. چارچوب جدید، استاندارد وظیفه مراقبت، الزام برنامه رسمی مدیریت ریسک و دستور ارزیابی تأثیر سالانه را حذف کرده است. به جای آن‌ها، یک رژیم شفافیت محدودتر قرار گرفته است که بر پایه اطلاعیه‌های پیش از استفاده، افشاهای پس از پیامد‌های نامطلوب و مجموعه‌ای کوچک از حقوق مصرف‌کننده مرتبط با «فناوری تصمیم‌گیری خودکار تحت پوشش» بنا شده است.

برای مؤسسان، مدیران منابع انسانی، وام‌دهندگان، بیمه‌گران، مدیران مراقبت‌های بهداشتی، مالکان و اپراتورهای SaaS که هزینه‌های مشاوره دلاری را صرف چارچوب اصلی SB 24-205 کرده‌اند، واکنش طبیعی احساس آرامش است. اما این آرامش باید با احتیاط همراه باشد. قانون جدید همچنان تعهدات واقعی را بر کسب‌وکارهای تقریباً با هر اندازه‌ای تحمیل می‌کند، همچنان ریسک اجرای قانون توسط دادستان کل کلرادو را ایجاد می‌کند و همچنان از شما می‌خواهد که نقاط تماس فناوری تصمیم‌گیری خودکار با تصمیمات سرنوشت‌ساز در عملیات خود را نقشه‌برداری کنید. بار انطباق سبک‌تر شده است، اما صفر نیست، و تاریخ اجرایی ۱ ژانویه ۲۰۲۷ سریع‌تر از آنچه اکثر تیم‌ها با در نظر گرفتن چرخه‌های بودجه‌بندی و مذاکرات مجدد با تأمین‌کنندگان انتظار دارند، فرا می‌رسد.

این راهنما تغییرات، موارد باقی‌مانده، مشمولان قانون، کارهای مشخصی که باید قبل از ۱ ژانویه ۲۰۲۷ انجام دهید و چگونگی هماهنگی تعهدات کلرادو با مجموعه‌ای ناهمگون از سایر قوانین ایالتی و فدرال هوش مصنوعی که اکنون دامن‌گیر کسب‌وکارهای فعال در چندین حوزه قضایی شده است را بررسی می‌کند.

چه اتفاقی برای قانون اصلی هوش مصنوعی کلرادو افتاد

قانون اصلی هوش مصنوعی کلرادو که با عنوان SB 24-205 تدوین شده بود، در مه ۲۰۲۴ امضا شد و قرار بود در ۱ فوریه ۲۰۲۶ اجرایی شود. این اولین قانون جامع هوش مصنوعی ایالتی در ایالات متحده بود و با الهام از رویکرد لایه‌بندی ریسکِ قانون هوش مصنوعی اتحادیه اروپا مدل‌سازی شده بود. چارچوب اصلی با انتقادات مداوم شرکت‌های فناوری، گروه‌های تجاری و قانون‌گذاران هر دو حزب مواجه شد که معتقد بودند این قانون نوآوری‌های درون ایالتی را مجازات می‌کند، هزینه‌هایی نامتناسب با ریسک واقعی تبعیض الگوریتمی تحمیل می‌کند و شرکت‌های کوچک را مجبور به ایجاد برنامه‌های حاکمیتی مشابه با مؤسسات مالی تحت نظارت می‌کند.

در طول نشست قانون‌گذاری سال ۲۰۲۵، مجمع عمومی تاریخ اجرا را از ۱ فوریه ۲۰۲۶ به ۳۰ ژوئن ۲۰۲۶ تمدید کرد تا به قانون‌گذاران فرصت بازنگری در قانون را بدهد. در مه ۲۰۲۶، لایحه SB 26-189 تصویب و امضا شد که قانون اصلی را لغو و آن را با چارچوبی به‌مراتب محدودتر جایگزین کرد که از ۱ ژانویه ۲۰۲۷ اجرایی می‌شود. دادستان کل کلرادو موظف است تا همان تاریخ، تدوین مقررات اجرایی را به پایان برساند، و این دفتر اعلام کرده است که اجرای قانون تا زمان تکمیل مقررات و دادن فرصت معقول به کسب‌وکارها برای همسویی، آغاز نخواهد شد.

نتیجه عملی برای تیم انطباق شما: هرگونه مستندات، بسته‌های بررسی دقیق تأمین‌کنندگان یا قالب‌های ارزیابی تأثیری که بر اساس چارچوب SB 24-205 ساخته‌اید همچنان به عنوان یک پایه ارزش دارند، اما باید آن‌ها را به‌جای استاندارد اصلی وظیفه مراقبت، با تعهدات SB 26-189 بازنگری کنید.

چه چیزهایی باقی ماند و چه چیزهایی حذف شد

درک تفاوت بین قانون قدیم و جدید حائز اهمیت است زیرا مشاوران و فروشندگان هنوز در حال فروش چارچوب‌های SB 24-205 هستند. در اینجا مواردی که حذف شده، موارد جدید و مواردی که باقی مانده‌اند آورده شده است.

موارد حذف شده از قانون اصلی:

  • وظیفه مراقبت معقول برای محافظت از مصرف‌کنندگان در برابر تبعیض الگوریتمی
  • الزام به سیاست و برنامه رسمی مدیریت ریسک
  • دستور ارزیابی تأثیر سالانه شامل اهداف، ورودی‌های داده، کاهش ریسک، نظارت و ریسک تبعیض
  • تعهد ۹۰ روزه کشف و افشا در رابطه با تبعیض الگوریتمی شناسایی شده
  • چارچوب معافیت به‌کارگیرندگان کوچک با آزمون چهار مرحله‌ای آن (این بخش بازسازی شده و عیناً حفظ نشده است)

موارد جدید تحت لایحه SB 26-189:

  • دامنه محدودتر حول «فناوری تصمیم‌گیری خودکار تحت پوشش» (ADMT) به‌جای «سیستم هوش مصنوعی پرخطر»
  • یک چارچوب اطلاعیه دو مرحله‌ای: اطلاعیه پیش از استفاده قبل از به‌کارگیری در یک تصمیم سرنوشت‌ساز، به اضافه افشای پس از پیامد نامطلوب ظرف ۳۰ روز
  • حق دسترسی مصرف‌کنندگان به داده‌های شخصی استفاده شده توسط ADMT تحت پوشش و اصلاح آن‌ها
  • حق درخواست بررسی انسانی معنادار برای تصمیمات سرنوشت‌ساز، در صورت امکان‌پذیر بودن فنی
  • الزام به دسترسی‌پذیری که تمام اطلاعیه‌ها را به دست مصرف‌کنندگان دارای معلولیت و تسلط محدود به زبان انگلیسی برساند
  • یک حاشیه امن (Safe Harbor) که به به‌کارگیرندگان اجازه می‌دهد اطلاعیه پیش از استفاده را از طریق یک اعلان عمومی برجسته در نزدیکی محل تعامل با مصرف‌کننده برآورده کنند

موارد باقی‌مانده در ماهیت:

  • فهرست دسته‌بندی‌های تصمیمات سرنوشت‌ساز: آموزش، اشتغال، خدمات مالی یا وام‌دهی، خدمات دولتی ضروری، خدمات مراقبت‌های بهداشتی، مسکن، بیمه و خدمات حقوقی
  • اجرای انحصاری توسط دادستان کل کلرادو بدون حق دعوای خصوصی برای افراد
  • تلقی تخلفات به عنوان شیوه‌های تجاری فریبکارانه تحت قانون حمایت از مصرف‌کننده کلرادو
  • تمایز کلی بین توسعه‌دهندگان (کسانی که ADMT را می‌سازند یا تغییرات اساسی در آن ایجاد می‌کنند) و به‌کارگیرندگان (کسانی که از آن برای اتخاذ تصمیمات سرنوشت‌ساز در مورد مصرف‌کنندگان کلرادو استفاده می‌کنند)

چه کسی در محدوده شمول قرار دارد

قانون جدید برای هر توسعه‌دهنده یا به‌کارگیرنده «فناوری تصمیم‌گیری خودکار» (ADMT) تحت پوششی اعمال می‌شود که تصمیمات تبعات‌دار درباره مصرف‌کنندگان کلرادو می‌گیرد یا بر آن‌ها تأثیر مادی می‌گذارد. قلمرو جغرافیایی بر اساس محل سکونت مصرف‌کننده تعیین می‌شود، نه مکان کسب‌وکار شما؛ بنابراین یک شرکت SaaS دورکار-محور که دفتر مرکزی آن در آستین است یا یک شرکت تأمین نیروی انسانی در نیویورک که متقاضیان را به کارفرمایان کلرادو معرفی می‌کند، دقیقاً در محدوده شمول این قانون قرار می‌گیرند.

یک تصمیم تبعات‌دار طبق قانون SB 26-189، هر تصمیمی است که اثر قانونی مادی یا تأثیر مشابه قابل‌توجهی بر ارائه، رد، هزینه یا شرایط خدمات در هشت دسته داشته باشد: ثبت‌نام یا فرصت‌های تحصیلی، اشتغال یا فرصت‌های شغلی، خدمات مالی یا وام‌دهی، خدمات دولتی ضروری، خدمات مراقبت‌های بهداشتی، مسکن، بیمه یا خدمات حقوقی. این فهرست اکثر تصمیمات حساس و سرنوشت‌سازی را که کسب‌وکارهای کوچک و متوسط هر روز درباره افراد می‌گیرند، در بر می‌گیرد.

نمونه‌های واقعی از موارد استفاده تحت پوشش عبارتند از: ابزارهای غربالگری رزومه که به متقاضیان کار امتیاز می‌دهند، مدل‌های پذیره‌نویسی اعتباری که وام‌ها را تأیید یا رد می‌کنند، موتورهای قیمت‌گذاری بیمه که حق بیمه را تعیین می‌کنند، ابزارهای غربالگری مستأجر که متقاضیان اجاره را فیلتر می‌کنند، سیستم‌های پشتیبانی از تصمیمات بالینی که بر اولویت‌بندی یا ارجاع بیماران تأثیر می‌گذارند، مدرس‌های هوش مصنوعی یا ابزارهای پذیرش که توسط ارائه‌دهندگان آموزش آنلاین استفاده می‌شوند، و ابزارهای پذیرش یا تریاژ در کلینیک‌های کمک حقوقی یا وب‌سایت‌های مؤسسات حقوقی. چت‌بات‌های خدمات مشتری، شخصی‌سازی بازاریابی، ابزارهای بهره‌وری داخلی و هوش مصنوعی مولد که برای پیش‌نویس محتوا استفاده می‌شود، عموماً خارج از محدوده شمول قرار می‌گیرند، مگر اینکه تأثیر مادی بر یکی از تصمیمات تبعات‌دار ذکرشده داشته باشند.

الزام به اطلاع‌رسانی پیش از استفاده

قبل از اینکه یک به‌کارگیرنده از یک ADMT تحت پوشش برای تأثیرگذاری مادی بر یک تصمیم تبعات‌دار استفاده کند، باید به مصرف‌کننده اطلاعیه‌ای واضح و برجسته بدهد که نشان دهد ADMT در حال استفاده است یا استفاده خواهد شد. این اطلاعیه باید با زبانی ساده، هدف سیستم، نوع تصمیم تبعات‌داری که در آن دخیل است و چگونگی بهره‌مندی مصرف‌کننده از حقوق اعطایی توسط قانون را شرح دهد.

موضوع «حاشیه امن» (Safe Harbor) در اینجا حائز اهمیت است. قانون به جای ارائه اطلاعیه فردی در لحظه هر تعامل، به شما اجازه می‌دهد این الزام را از طریق یک اعلان عمومی برجسته که در نقاط تعامل با مصرف‌کننده به راحتی قابل دسترسی باشد، برآورده کنید. در عمل، این بدان معناست که یک صفحه افشای هوش مصنوعی که به وضوح در پورتال اپلیکیشن، جریان پذیرش وام، صفحه فرود غربالگری مستأجر یا پورتال پذیرش بیمار لینک شده باشد، عموماً کافی خواهد بود؛ مشروط بر اینکه لینک از نظر بصری به تراکنش مربوطه نزدیک باشد و متن افشا برای یک خواننده غیرمتخصص نوشته شده باشد.

سه اشتباه رایج در تدوین که باید از آن‌ها اجتناب کرد: اول، افشای اطلاعات را در یک سیاست حفظ حریم خصوصی کلی دفن نکنید؛ قانون صراحت دارد که این مورد باید به طور معقولی به تراکنش مربوطه نزدیک باشد. دوم، به اصطلاحات تخصصی صنعت مانند «فناوری تصمیم‌گیری خودکار» یا «ADMT» بدون ترجمه و توضیح تکیه نکنید؛ الزام دسترسی‌پذیری شامل دسترسی شناختی و زبانی است، نه فقط سازگاری با صفحه‌خوان‌ها. سوم، اطلاعیه‌هایی ننویسید که نقش هوش مصنوعی را در تصمیم‌گیری پنهان یا کمرنگ جلوه می‌دهند؛ عبارات مبهم مانند «ما ممکن است از فناوری برای کمک به خود استفاده کنیم» استانداردهای زبان ساده‌ای را که مورد تأیید دادستان کل باشد، برآورده نخواهند کرد.

افشای ۳۰ روزه نتایج نامطلوب

هنگامی که یک ADMT تحت پوشش، تأثیر مادی بر یک تصمیم تبعات‌دار بگذارد که منجر به نتیجه‌ای نامطلوب برای مصرف‌کننده شود، به‌کارگیرنده باید ظرف ۳۰ روز پس از تصمیم، توضیحی به زبان ساده از نقش ADMT ارائه دهد. نتیجه نامطلوب شامل رد درخواست، قطع یک خدمت موجود، قیمت‌گذاری به میزان قابل‌توجهی نامناسب‌تر، یا هر تصمیمی است که مزیتی را که مصرف‌کننده در غیر این صورت دریافت می‌کرد، کاهش دهد.

این افشاگری نیازی به فاش کردن اسرار تجاری، وزن‌های مدل یا الگوریتم‌های اختصاصی ندارد. آنچه مورد نیاز است، توصیفی است که یک مصرف‌کننده متعارف بتواند درک کند: سیستم چه مواردی را در نظر گرفته، چه نقشی در تصمیم داشته، چه دسته‌هایی از داده‌های شخصی را پردازش کرده و مصرف‌کننده چگونه می‌تواند حقوق دسترسی، اصلاح و بازبینی انسانی خود را اعمال کند. تغییرات محتوایی بر اساس نوع صنعت مجاز است؛ بنابراین، افشای اقدام نامطلوب یک وام‌دهنده می‌تواند بر قالب‌های اطلاعیه «مقررات B قانون فرصت برابر اعتباری» تکیه کند و افشای یک به‌کارگیرنده در حوزه سلامت می‌تواند بر اساس هنجارهای موجود در ارتباط با بیمار باشد.

این کار را با الزامات افشای فدرال همسو کنید، نه اینکه به عنوان یک مسیر موازی با آن برخورد کنید. اگر قبلاً در حال ارسال اطلاعیه اقدام نامطلوب «قانون گزارش‌دهی اعتباری منصفانه»، اطلاعیه اقدام صورت‌گرفته «قانون فرصت برابر اعتباری» یا ارتباطات سازگار با HIPAA هستید، به جای ایجاد یک نامه جدید و موازی مخصوص کلرادو، همان اطلاعیه موجود را بسط دهید. مهلت ۳۰ روزه تحت قانون SB 26-189 عموماً با زمان‌بندی آن اطلاعیه‌های فدرال سازگار است، اگرچه باید ضرب‌الاجل‌ها را مورد به مورد بررسی کنید زیرا استثناهایی وجود دارد.

حقوق مصرف‌کننده برای دسترسی، اصلاح و بازبینی انسانی

سه حق برای مصرف‌کننده در این چارچوب جدید تعریف شده است. مصرف‌کنندگان می‌توانند درخواست دسترسی به داده‌های شخصی پردازش‌شده توسط ADMT درباره خود را داشته باشند. مصرف‌کنندگان می‌توانند درخواست اصلاح داده‌های شخصی نادرست را داشته باشند. و مصرف‌کنندگان می‌توانند در صورت امکان‌پذیر بودن فنی، درخواست بازبینی انسانی معنادار برای تصمیم تبعات‌دار را داشته باشند.

حقوق دسترسی و اصلاح تا حد زیادی با حقوقی که قبلاً تحت «قانون حریم خصوصی کلرادو» (CPA) برای داده‌های شخصی به طور کلی وجود داشت، همپوشانی دارند. از نظر عملیاتی، تمیزترین رویکرد این است که جریان کاری موجود برای «درخواست موضوع داده» (DSR) در CPA را برای رسیدگی به درخواست‌های خاص ADMT گسترش دهید، نه اینکه یک کانال پذیرش مجزا بسازید. مشخص کنید کدام سیستم‌ها حاوی چه دسته‌هایی از داده‌های شخصی مورد استفاده در ADMT هستند، تیم پذیرش حریم خصوصی یا منابع انسانی خود را در مورد دسته‌های جدید آموزش دهید و زمان‌بندی پاسخگویی خود را مستند کنید.

حق بازبینی انسانی، چالش‌برانگیزترین پرسش در بحث انطباق است. قانون، بازبینی انسانی «معنادار» را در صورت امکان‌پذیر بودن فنی الزامی می‌کند، که با تایید صوری و ماشینیِ خروجی الگوریتم تفاوت دارد. بازبینی معنادار معمولاً مستلزم آن است که شخصی با اختیار ابطال تصمیم، واقعاً شرایط مصرف‌کننده را بررسی کند، اطلاعاتی فراتر از امتیاز الگوریتمی را در نظر بگیرد و توانایی عملی برای رسیدن به نتیجه‌ای متفاوت داشته باشد. قید «از نظر فنی امکان‌پذیر» مواردی را که تصمیم زیربنایی اصلاً نمی‌تواند توسط انسان بازبینی شود، مستثنی می‌کند، اما صرفِ دشواری یا هزینه، توجیهی برای عدم انجام آن نیست.

تعهدات توسعه‌دهنده

توسعه‌دهندگان فناوری‌های تصمیم‌گیری خودکار (ADMT) تحت پوشش، دارای تعهدات موازی هستند که بر ارائه آنچه پیاده‌سازان برای انطباق در مراحل پایین‌دستی نیاز دارند، تمرکز دارد. چارچوب اصلی SB 24-205 از توسعه‌دهندگان می‌خواست که مستندات گسترده‌ای درباره منابع داده‌های آموزشی، معیارهای عملکرد، موارد استفاده در نظر گرفته شده و ریسک‌های شناخته‌شده تبعیض الگوریتمیک نگهداری کنند. تحت قانون SB 26-189، این تعهدات کاهش یافته اما حذف نشده‌اند.

یک توسعه‌دهنده باید مستندات کافی در اختیار پیاده‌ساز قرار دهد تا پیاده‌ساز بتواند تعهدات مربوط به اطلاعیه و افشای خود را برآورده کند؛ از جمله شرح موارد استفاده در نظر گرفته شده برای ADMT، دسته‌های داده‌های شخصی که پردازش می‌کند، دسته‌های خروجی‌هایی که تولید می‌کند و محدودیت‌های شناخته‌شده مرتبط با بافت تصمیم‌گیری‌های بااهمیت. توسعه‌دهندگان همچنین باید یک بیانیه عمومی منتشر کنند که خلاصه‌ای از ADMT ارائه شده و نحوه مدیریت ریسک‌های مرتبط با تصمیمات بااهمیت را شرح دهد.

اگر ابزارهای هوش مصنوعی را به پیاده‌سازان کلرادو می‌فروشید یا مجوز استفاده از آن‌ها را می‌دهید، گفتگو درباره قراردادهای تأمین‌کننده از هم‌اکنون آغاز شده است. انتظار داشته باشید که مشتریان پیاده‌ساز، کارت‌های مدل (model cards) استاندارد، برگه‌های داده و تعهدات قراردادی مخصوص ADMT را درخواست کنند. با تهیه یک افشای یک‌صفحه‌ای ADMT که می‌توانید به قراردادهای اصلی خدمات (MSAs) و بسته‌های تمدید پیوست کنید، از این روند پیشی بگیرید.

ملاحظات کسب‌وکارهای کوچک

معافیت اصلی پیاده‌سازان کوچک در SB 24-205 یک آزمون چهار مرحله‌ای بود که پیاده‌سازان با کمتر از ۵۰ کارمند تمام‌وقت را تحت شرایطی خاص از الزامات ارزیابی تأثیر معاف می‌کرد. SB 26-189 به جای حفظ عین این معافیت، نحوه برخورد با کسب‌وکارهای کوچک را بازسازی کرده است، زیرا الزام زیربنایی ارزیابی تأثیر دیگر وجود ندارد.

برای اکثر پیاده‌سازان کوچک و متوسط، ردپای عملی انطباق تحت قانون جدید واقعاً ناچیز است: نگهداری یک صفحه شفاف برای افشای ADMT که در نقطه تعامل با مصرف‌کننده به راحتی قابل دسترسی باشد، ایجاد یک فرایند ۳۰ روزه برای پاسخگویی به پیامدهای نامطلوب، گسترش گردش‌کار فعلی درخواست‌های موضوع داده (data subject request) برای پوشش دسترسی و اصلاح داده‌های ADMT، و مستندسازی یک فرایند بررسی انسانی برای تصمیماتی که الگوریتم به طور مادی بر آن‌ها تأثیر می‌گذارد. اکثر شرکت‌هایی که به خوبی مدیریت می‌شوند، می‌توانند این زیرساخت را در چند هفته کار متمرکز راه‌اندازی کنند، به ویژه اگر از قبل برنامه قانون حریم خصوصی کلرادو (CPA) را اجرا کرده باشند.

بزرگترین عوامل هزینه برای کسب‌وکارهای کوچک، خودِ اطلاعیه‌ها نیستند، بلکه کارهای بالادستی مربوط به شناسایی محل وجود ADMTهای تحت پوشش در کسب‌وکار است. یک غافلگیری رایج، کشف این موضوع است که یک ابزار SaaS آماده که ویژگی‌های هوش مصنوعی توسط تأمین‌کننده در آن تعبیه شده، برای اهداف تصمیم‌گیری بااهمیت به عنوان ADMT تحت پوشش عمل می‌کند، حتی اگر کسب‌وکار پیاده‌ساز هرگز فکر نمی‌کرد که در حال پیاده‌سازی هوش مصنوعی است. پلتفرم‌های غربالگری مستأجر، ابزارهای خودکار پذیره‌نویسی، ابزارهای استخدام تقویت‌شده با هوش مصنوعی و ماژول‌های پشتیبانی از تصمیم‌گیری بالینی تعبیه شده در سیستم‌های پرونده الکترونیک سلامت (EHR)، همگی از موارد رایجی هستند که باعث غافلگیری می‌شوند.

نحوه هماهنگی این قانون با سایر قوانین هوش مصنوعی و حریم خصوصی

کلرادو در خلأ قانون‌گذاری نمی‌کند و اجرای یک برنامه انطباق هماهنگ، بسیار ارزان‌تر از اجرای مجموعه‌ای از برنامه‌های مجزا برای هر ایالت است. نکات کلیدی هماهنگی برای برنامه‌ریزی در سال‌های ۲۰۲۶ و ۲۰۲۷ عبارتند از:

قانون حریم خصوصی کلرادو (CPA). قانون CPA در حال حاضر به مصرف‌کنندگان کلرادو حق دسترسی، اصلاح و حذف داده‌ها را می‌دهد و تعهدات مربوط به انصراف از پروفایل‌سازی و ارزیابی حفاظت از داده‌ها را بر کنترل‌گرانی که «پروفایل‌سازی در جهت پیشبرد تصمیماتی که اثرات قانونی یا مشابه آن را دارند» انجام می‌دهند، تحمیل می‌کند. برنامه CPA شما پایه طبیعی برای برنامه SB 26-189 شماست، زیرا گردش‌کارهای درخواست موضوع داده، الگوهای قرارداد با تأمین‌کنندگان و زیرساخت‌های اطلاعیه به مصرف‌کننده، همپوشانی سنگینی دارند.

قانون محلی ۱۴۴ شهر نیویورک. شهر نیویورک برای ابزارهای خودکار تصمیم‌گیری استخدامی که برای غربالگری ساکنان نیویورک استفاده می‌شوند، ممیزی‌های سالانه سوگیری مستقل را الزامی می‌کند. قانون SB 26-189 ممیزی سوگیری را الزامی نمی‌کند، اما مستندات تولید شده برای ممیزی LL 144 شواهد پشتیبان مفیدی هستند که نشان می‌دهند شما ریسک تبعیض الگوریتمیک را در نظر گرفته‌اید، در صورتی که دادستان کل کلرادو پرس‌وجو کند.

قانون مصاحبه ویدیویی هوش مصنوعی ایلینوی و لایحه AB 2930 کالیفرنیا. هر دو تعهدات مربوط به اطلاعیه هوش مصنوعی در بافت استخدام را تحمیل می‌کنند که با افشاهای مربوط به استخدام در کلرادو همپوشانی دارند. یک اطلاعیه هوش مصنوعی استخدامی واحد ایجاد کنید که به جای سه اطلاعیه مجزا، هر سه قانون را برآورده کند.

قانون هوش مصنوعی اتحادیه اروپا (EU AI Act). اگر به کاربران اتحادیه اروپا نیز خدمات می‌دهید، الزامات مستندسازی سیستم‌های پرخطر و نظارت انسانی در قانون هوش مصنوعی اتحادیه اروپا بسیار سخت‌گیرانه‌تر از چارچوب جدید کلرادو است. مستندات اتحادیه اروپا معمولاً می‌تواند با تغییرات جزئی، تعهدات کلرادو را برآورده کند.

اجرای توسط EEOC و DOJ. راهنمای فنی ماه مه ۲۰۲۳ کمیسیون فرصت‌های شغلی برابر (EEOC) در مورد رویه‌های انتخاب استخدامی هوش مصنوعی تحت عنوان Title VII و اولویت‌های اجرایی ADA توسط وزارت دادگستری (DOJ)، هر دو ریسک‌های فدرال ضد تبعیض در هوش مصنوعی استخدامی را ایجاد می‌کنند که مستقل از قوانین اطلاعیه ایالتی وجود دارند. رعایت تعهدات اطلاعیه کلرادو، شما را در برابر اجرای حقوق مدنی فدرال مصون نمی‌دارد.

NIST AI RMF. همسو کردن حاکمیت داخلی شما با چارچوب مدیریت ریسک هوش مصنوعی NIST نسخه ۱.۰ توسط SB 26-189 الزامی نیست، اما توسط نهادهای ناظر در حوزه‌های قضایی مختلف و توسط مشتریان سازمانی که در حال ارزیابی تأمین‌کنندگان هوش مصنوعی هستند، به عنوان یک مبنای قابل دفاع پذیرفته شده است.

یک نقشه راه عملی ۱۲ هفته‌ای برای انطباق

برای یک کسب‌وکار کوچک یا متوسط که از صفر شروع می‌کند، کارهایی که باید انجام شود تا برای ۱ ژانویه ۲۰۲۷ آماده باشد، به چهار مرحله تقسیم می‌شود.

هفته‌های ۱ تا ۳ - فهرست‌برداری. شناسایی هر ابزار، فروشنده یا سیستم داخلی که هرگونه تصمیمی را در هشت دسته تصمیم‌گیری مهم در مورد مصرف‌کنندگان کلرادو اتخاذ می‌کند یا به‌طور مادی بر آن تأثیر می‌گذارد. ویژگی‌های هوش مصنوعی تعبیه‌شده در نرم‌افزارهای اشتراکی (SaaS) شخص ثالث را نیز شامل کنید. برای هر مورد، طبقه‌بندی کنید که آیا تحت پوشش ADMT (فناوری تصمیم‌گیری خودکار) قرار می‌گیرد یا خیر و مستند کنید که توسعه‌دهنده آن کیست.

هفته‌های ۴ تا ۶ - هماهنگی با فروشندگان. با هر توسعه‌دهنده ADMT تحت پوشش تماس بگیرید و بسته مستنداتی را که برای حمایت از تعهدات شما در زمینه اطلاع‌رسانی و افشا ارائه می‌دهند، درخواست کنید. در مورد هرگونه اصلاحیه قرارداد لازم برای پوشش غرامت، پشتیبانی از اصلاح داده‌ها و همکاری در پاسخگویی به نتایج نامطلوب مذاکره کنید.

هفته‌های ۷ تا ۹ - طراحی فرآیند و اطلاع‌رسانی. پیش‌نویس صفحه اطلاع‌رسانی پیش از استفاده، قالب افشای نتایج نامطلوب، الحاقیه گردش کار درخواست‌های موضوع داده و فرآیند بازبینی انسانی را تهیه کنید. هر یک را از نظر زبان ساده و قابلیت دسترسی بررسی کنید. به کارکنان بخش خدمات مشتریان، منابع انسانی و بخش پذیره‌نویسی (ارزیابی ریسک) آموزش دهید.

هفته‌های ۱۰ تا ۱۲ - راه‌اندازی و آماده‌سازی برای حسابرسی. اطلاعیه‌ها را منتشر کنید، فرآیندهای جدید را به مرحله اجرا برسانید و پرونده مستنداتی را که ممکن است بازرس دادستان کل درخواست کند، آماده کنید: قراردادهای فروشندگان، تصاویر صفحه‌های اطلاع‌رسانی، گزارش‌های پاسخگویی، سوابق بازبینی انسانی و لیست‌های آموزشی. یک حسابرسی داخلی شش‌ماهه برنامه‌ریزی کنید.

تیمی که از اواسط سال ۲۰۲۶ شروع کند، زمان کافی در اختیار خواهد داشت. تیمی که تا سه ماهه چهارم صبر کند، با دشواری روبرو خواهد شد، به‌ویژه با توجه به چرخه اصلاح قراردادهای فروشندگان که به‌طور معمول در مقیاس سازمانی ۶۰ تا ۹۰ روز طول می‌کشد.

سوابق انطباق خود را مانند دفاتر مالی‌تان شفاف نگه دارید

چه در حال نقشه‌برداری از موجودی‌های ADMT باشید، چه در حال ردیابی افشای نتایج نامطلوب یا ایجاد فایل مستندات قابل دفاع برای حسابرسی که ممکن است بازرس دادستان کل درخواست کند، همان اصولی که در سوابق مالی صادق است، برای سوابق انطباق نیز صدق می‌کند: شفافیت، کنترل نسخه و توانایی بازسازی هر عدد در هر مقطع زمانی، بیش از فرمت اهمیت دارد. Beancount.io حسابداری متن-ساده (Plain-text accounting) را فراهم می‌کند که به شما دید کاملی نسبت به داده‌های مالی‌تان می‌دهد، بدون جعبه‌های سیاه و بدون وابستگی انحصاری به فروشنده (Vendor lock-in). رایگان شروع کنید و ببینید چرا توسعه‌دهندگان، تیم‌های مالی و مدیران متمایل به انطباق، به حسابداری متن-ساده روی می‌آورند.

منابع: