Если ваш бизнес потратил последние восемнадцать месяцев на разработку программы соблюдения Закона Колорадо об ИИ, опираясь на политики управления рисками, ежегодные оценки воздействия и обязательства по соблюдению должной осмотрительности в отношении алгоритмической дискриминации, правила игры только что изменились. 14 мая 2026 года губернатор Колорадо Джаред Полис подписал законопроект Сената SB 26-189, который отменил и заменил первоначальный Закон Колорадо об ИИ еще до того, как его основные обязательства вступили в силу. Новая структура отказывается от стандарта должной осмотрительности, требования о формальной программе управления рисками и мандата на ежегодную оценку воздействия. Вместо них вводится более узкий режим прозрачности, построенный на уведомлениях перед использованием, раскрытии информации после неблагоприятных последствий и небольшом наборе прав потребителей, связанных с «регулируемой автоматизированной технологией принятия решений».
Для основателей, руководителей отделов кадров, кредиторов, страховщиков, администраторов здравоохранения, арендодателей и операторов SaaS, которые тратили средства на консультации по оригинальной структуре SB 24-205, естественной реакцией будет облегчение. Однако это облегчение должно быть умеренным. Новый закон по-прежнему накладывает реальные обязательства на предприятия практически любого размера, сохраняет риск правоприменения со стороны генерального прокурора Колорадо и требует от вас сопоставления того, где автоматизированные технологии принятия решений касаются значимых решений в вашей деятельности. Бремя соблюдения требований стало легче, но оно не равно нулю, а дата вступления в силу 1 января 2027 года наступит быстрее, чем ожидает большинство команд, если учитывать циклы бюджетирования и пересмотр контрактов с поставщиками.
В этом руководстве рассматривается, что изменилось, что сохранилось, кто попадает под действие закона, что именно вам нужно сделать до 1 января 2027 года и как координировать обязательства в Колорадо с мозаикой других государственных и федеральных правил в области ИИ, которые теперь распространяются на компании, работающие в нескольких юрисдикциях.
Что случилось с первоначальным законом Колорадо об ИИ
Первоначальный Закон Колорадо об ИИ, кодифицированный как SB 24-205, был подписан в мае 2024 года и должен был вступить в силу 1 февраля 2026 года. Это был первый комплексный закон штата об ИИ в Соединенных Штатах, созданный по образцу подхода Европейского союза к рискам, изложенного в Законе об ИИ. Оригинальная структура вызвала резкую критику со стороны технологических компаний, бизнес-групп и законодателей от обеих партий, которые утверждали, что она накажет инновации внутри штата, наложит расходы, несоразмерные фактическому риску алгоритмической дискриминации, и заставит небольшие компании создавать программы управления, сопоставимые с программами регулируемых финансовых институтов.
В ходе законодательной сессии 2025 года Генеральная Ассамблея продлила дату вступления в силу с 1 февраля 2026 года до 30 июня 2026 года, чтобы дать законодателям время для пересмотра статута. В мае 2026 года был принят и подписан SB 26-189, отменяющий первоначальный акт и заменяющий его существенно более узкой структурой, которая вступает в силу 1 января 2027 года. Генеральный прокурор Колорадо обязан завершить разработку правил по внедрению к той же дате, и ведомство указало, что правоприменение не начнется до тех пор, пока нормотворчество не будет завершено и у предприятий не будет разумной возможности адаптироваться.
Практический вывод для вашей группы по соблюдению нормативных требований: любая документация, пакеты проверки поставщиков или шаблоны оценки воздействия, которые вы создали для структуры SB 24-205, по-прежнему ценны как фундамент, но вам необходимо перекалибровать их в соответствии с обязательствами SB 26-189, а не с первоначальным стандартом должной осмотрительности.
Что осталось, а что исчезло
Понимание разницы между старым и новым законом имеет значение, поскольку консультанты и поставщики все еще продают структуры SB 24-205. Вот что ушло, что появилось нового и что сохранилось.
Удалено из первоначального закона:
- Обязанность проявлять разумную осмотрительность для защиты потребителей от алгоритмической дискриминации
- Требование о наличии формальной политики и программы управления рисками
- Мандат на ежегодную оценку воздействия, охватывающий цели, вводимые данные, меры по смягчению последствий, мониторинг и риски дискриминации
- Обязательство по обнаружению и раскрытию информации в течение 90 дней, связанное с выявленной алгоритмической дискриминацией
- Структура исключений для мелких пользователей с ее четырехкомпонентным тестом (она была пересмотрена, а не сохранена дословно)
Новое в SB 26-189:
- Более узкая сфера применения, сосредоточенная на «регулируемой автоматизированной технологии принятия решений» (ADMT), а не на «системе искусственного интеллекта высокого риска»
- Двухэтапная система уведомлений: уведомление перед использованием до развертывания при принятии значимого решения, плюс раскрытие информации после неблагоприятного исхода в течение 30 дней
- Право потребителей на доступ и исправление персональных данных, используемых регулируемой ADMT
- Право запрашивать содержательный человеческий анализ значимых решений, где это технически осуществимо
- Требование доступности: все уведомления должны доходить до потребителей с ограниченными возможностями и ограниченным знанием английского языка
- «Безопасная гавань», позволяющая пользователям выполнять обязательство по уведомлению перед использованием через заметную публичную публикацию, находящуюся в разумной близости к месту взаимодействия с потребителем
Сохранено по существу:
- Список категорий значимых решений: образование, трудоустройство, финансовые или кредитные услуги, основные государственные услуги, медицинские услуги, жилье, страхование и юридические услуги
- Исключительное правоприменение Генеральным прокурором Колорадо без права на частный иск
- Рассмотрение нарушений как обманных методов ведения торговли в соответствии с Законом Колорадо о защите прав потребителей
- Общее различие между разработчиками (которые создают или существенно модифицируют ADMT) и пользователями/развертывателями (которые используют ее для принятия значимых решений в отношении потребителей из Колорадо)
Кто попадает под действие закона
Новый закон распространяется на любого разработчика или лицо, применяющее (deployer) регулируемую технологию автоматизированного принятия решений (ТАПР), которая принимает или существенно влияет на значимые решения в отношении потребителей из Колорадо. Географический охват определяется местом жительства потребителя, а не местонахождением вашего бизнеса, поэтому SaaS-компания с удаленным режимом работы и штаб-квартирой в Остине или нью-йоркская рекрутинговая фирма, подбирающая кандидатов для работодателей из Колорадо, однозначно попадают под действие закона.
Значимым решением согласно SB 26-189 считается любое решение, которое имеет существенный правовой или аналогичный по значимости эффект на предоставление, отказ, стоимость или условия услуг в восьми категориях: зачисление в учебные заведения или образовательные возможности, трудоустройство или возможности трудоустройства, финансовые или кредитные услуги, важные государственные услуги, медицинские услуги, жилье, страхование или юридические услуги. Этот список охватывает большинство важных решений, которые малый и средний бизнес ежедневно принимает в отношении людей.
Примеры реальных сценариев использования включают инструменты скрининга резюме, оценивающие соискателей; модели кредитного андеррайтинга, одобряющие или отклоняющие займы; системы ценообразования в страховании, устанавливающие страховые премии; инструменты проверки арендаторов, фильтрующие заявки на аренду; системы поддержки принятия клинических решений, влияющие на запись пациентов или направления; ИИ-репетиторы или инструменты приема абитуриентов, используемые онлайн-платформами обучения; а также инструменты первичного приема или сортировки на сайтах юридических клиник или юридических фирм. Чат-боты службы поддержки, персонализация маркетинга, внутренние инструменты продуктивности и генеративный ИИ для подготовки контента обычно не подпадают под действие закона, если только они существенно не влияют на одно из перечисленных значимых решений.
Обязательство по уведомлению перед использованием
Перед тем как развертывающая сторона начнет использовать регулируемую ТАПР для существенного влияния на значимое решение, она должна предоставить потребителю четкое и заметное уведомление о том, что ТАПР используется или будет использоваться. Уведомление должно простым языком описывать назначение системы, тип значимого решения, на которое она влияет, и то, как потребитель может реализовать права, предоставленные законом.
Здесь важна концепция «безопасной гавани». Вместо того чтобы предоставлять индивидуальное уведомление в момент каждого взаимодействия, закон позволяет выполнить это обязательство через заметную публичную публикацию, доступную в точках взаимодействия с потребителем. На практике это означает, что ссылки на страницу раскрытия информации об ИИ на вашем портале заявок, в процессе оформления кредита, на целевой странице проверки арендаторов или на портале регистрации пациентов обычно будет достаточно, при условии, что ссылка визуально расположена рядом с соответствующей транзакцией, а текст раскрытия написан для рядового читателя.
Следует избегать трех ошибок при составлении текста. Во-первых, не прячьте раскрытие информации в общей политике конфиденциальности; закон требует, чтобы оно находилось в разумной близости к соответствующей транзакции. Во-вторых, не полагайтесь на отраслевой жаргон вроде «технология автоматизированного принятия решений» или «ТАПР» без пояснения; требование доступности касается когнитивной и языковой доступности, а не только совместимости с программами чтения с экрана. В-третьих, не пишите уведомления, которые затушевывают роль ИИ в решении; расплывчатые формулировки типа «мы можем использовать технологии, которые помогают нам» не пройдут проверку Генерального прокурора на соответствие стандарту понятного языка.
Раскрытие информации о неблагоприятном исходе в течение 30 дней
Если регулируемая ТАПР существенно влияет на значимое решение, которое приводит к неблагоприятному исходу для потребителя, развертывающая сторона должна предоставить описание роли ТАПР простым языком в течение 30 дней после принятия решения. Неблагоприятный исход включает отказ в удовлетворении заявки, прекращение существующей услуги, существенно менее выгодные условия ценообразования или любое решение, которое сокращает льготу или выгоду, которую потребитель в противном случае мог бы получить.
Раскрытие не требует обнародования коммерческой тайны, весов моделей или проприетарных алгоритмов. Требуется описание, понятное рядовому потребителю, о том, что именно система учитывала, какую роль она сыграла в решении, какие категории персональных данных она обрабатывала и как потребитель может реализовать свои права на доступ, исправление и проверку человеком. Допускаются вариации контента в зависимости от отрасли, так что уведомление кредитора о неблагоприятном действии может опираться на существующие форматы Регламента B Закона о равных кредитных возможностях, а раскрытие информации в сфере здравоохранения может основываться на существующих нормах общения с пациентами.
Координируйте это с сопутствующими федеральными обязательствами по раскрытию информации, а не рассматривайте это как отдельный процесс. Если вы уже отправляете уведомление о неблагоприятном действии в соответствии с Законом о добросовестной кредитной отчетности, уведомление о предпринятых действиях в соответствии с Законом о равных кредитных возможностях или сообщение, соответствующее требованиям HIPAA, расширьте существующее уведомление, а не создавайте дублирующее письмо специально для Колорадо. 30-дневный срок по закону SB 26-189 в целом совместим со сроками этих федеральных уведомлений, хотя вам следует сопоставлять дедлайны в каждом конкретном случае, так как существуют исключения.
Права потребителей на доступ, исправление и участие человека в проверке
В рамках новой структуры действуют три права потребителей. Потребители могут запрашивать доступ к персональным данным, которые регулируемая ТАПР обработала в их отношении. Потребители могут запрашивать исправление неточных персональных данных. И потребители могут запрашивать содержательную проверку значимого решения человеком, если это технически осуществимо.
Права на доступ и исправление во многом совпадают с правами, которые уже существуют в соответствии с Законом Колорадо о конфиденциальности (CPA) для персональных данных в целом. С операционной точки зрения наиболее эффективный подход — расширить существующий рабочий процесс обработки запросов субъектов данных CPA для обработки запросов, специфичных для ТАПР, а не создавать отдельный канал приема заявок. Определите, какие системы содержат те или иные категории персональных данных, используемых в ТАПР, обучите свою команду по конфиденциальности или HR работе с новыми категориями и задокументируйте сроки ответа.
Право на участие человека в проверке — более сложный вопрос комплаенса. Закон требует содержательной проверки человеком, если это технически осуществимо, что не равносильно формальному одобрению («резиновому штампу») выводов алгоритма. Содержательная проверка обычно требует, чтобы лицо, обладающее полномочиями отменить решение, действительно изучило обстоятельства потребителя, приняло во внимание информацию помимо оценки алгоритма и имело практическую возможность прийти к иному выводу. Оговорка «технически осуществимо» освобождает от ответственности в тех случаях, когда лежащее в основе решение вообще не может быть осмысленно проверено человеком, но она не оправдывает отказ по причине простого неудобства или затрат.
Обязательства разработчиков
Разработчики регулируемых ADMT (технологий принятия автоматизированных решений) несут параллельные обязательства, направленные на предоставление внедряющим сторонам (deployers) всего необходимого для соблюдения требований в цепочке поставок. Оригинальная структура SB 24-205 требовала от разработчиков ведения обширной документации об источниках данных для обучения, метриках производительности, предполагаемых сценариях использования и известных рисках алгоритмической дискриминации. В рамках SB 26-189 эти обязательства сокращены, но не отменены.
Разработчик должен предоставить внедряющим сторонам документацию, достаточную для выполнения ими обязательств по уведомлению и раскрытию информации, включая описание предполагаемых сценариев использования ADMT, категорий обрабатываемых персональных данных, категорий генерируемых выходных данных и известных ограничений, относящихся к контексту принятия юридически значимых решений. Разработчики также должны опубликовать публичное заявление с кратким описанием предлагаемых ими регулируемых ADMT и методов управления рисками, связанными с принятием значимых решений.
Если вы продаете или лицензируете инструменты ИИ, используемые внедряющими сторонами в Колорадо, диалог по контрактам с вендорами уже начался. Ожидайте, что клиенты-внедренцы будут запрашивать стандартизированные карточки моделей (model cards), паспорта данных (data sheets) и специфические для ADMT договорные заверения. Будьте на шаг впереди, подготовив одностраничное раскрытие информации об ADMT, которое вы сможете прилагать к генеральным соглашениям об оказании услуг (MSA) и пакетам документов для продления.
Соображения для малого бизнеса
Оригинальное исключение для малых внедряющих сторон в SB 24-205 представляло собой четырехэтапный тест, который освобождал компании с числом сотрудников менее 50 (в эквиваленте полной занятости) от требования проведения оценки воздействия при определенных условиях. SB 26-189 реструктурирует подход к малому бизнесу вместо дословного сохранения исключения, поскольку само базовое требование о проведении оценки воздействия больше не существует.
Для большинства малых и средних компаний-внедренцев практический объем комплаенса в рамках нового закона действительно умерен: поддерживать четкую страницу раскрытия информации об ADMT, доступную в точке взаимодействия с потребителем, создать 30-дневный процесс реагирования на неблагоприятные исходы, расширить существующий рабочий процесс обработки запросов субъектов данных на доступ к данным ADMT и их исправление, а также задокументировать процесс проверки человеком решений, на которые алгоритм оказывает существенное влияние. Большинство хорошо управляемых компаний могут наладить это за несколько недель целенаправленной работы, особенно если у них уже действует программа в соответствии с Законом Колорадо о конфиденциальности (CPA).
Основными факторами затрат для малого бизнеса являются не сами уведомления, а предварительная работа по инвентаризации того, где в бизнесе используются регулируемые ADMT. Распространенным сюрпризом становится обнаружение того, что готовый SaaS-инструмент со встроенными вендором функциями ИИ функционирует как регулируемая ADMT для целей принятия значимых решений, даже если внедряющий бизнес никогда не считал себя использующим ИИ. Платформы для проверки арендаторов, мастера автоматизированного андеррайтинга, инструменты для найма с использованием ИИ и модули поддержки принятия клинических решений, встроенные в системы электронных медицинских карт (EHR), — все это частые примеры неожиданного попадания под регулирование.
Координация с другими законами об ИИ и конфиденциальности
Колорадо не принимает законы в вакууме, и скоординированная программа комплаенса обходится значительно дешевле, чем серия разрозненных процессов для каждого штата. Ключевые точки координации, которые следует планировать на 2026 и 2027 годы:
Закон Колорадо о конфиденциальности (CPA). CPA уже предоставляет потребителям Колорадо права на доступ к данным, их исправление и удаление, а также налагает на контролеров, проводящих «профилирование в целях принятия решений, влекущих юридические или аналогичные значимые последствия», обязательства по отказу от профилирования и оценке защиты данных. Ваша программа CPA является естественной основой для программы по SB 26-189, поскольку рабочие процессы запросов субъектов данных, шаблоны контрактов с вендорами и инфраструктура уведомления потребителей во многом пересекаются.
Местный закон Нью-Йорка № 144 (NYC Local Law 144). Нью-Йорк требует проведения ежегодного независимого аудита на предвзятость для автоматизированных инструментов принятия решений о найме, используемых для проверки жителей Нью-Йорка. SB 26-189 не требует аудита на предвзятость, но документация, подготовленная для аудита по LL 144, является полезным подтверждением того, что вы учитывали риск алгоритмической дискриминации, если генеральный прокурор Колорадо обратится с запросом.
Закон Иллинойса о видеоинтервью с ИИ и калифорнийский законопроект AB 2930. Оба акта налагают обязательства по уведомлению об ИИ в контексте найма, которые пересекаются с требованиями Колорадо к раскрытию информации в контексте трудоустройства. Создайте единое уведомление об использовании ИИ при найме, удовлетворяющее всем трем актам, вместо трех отдельных уведомлений.
Закон ЕС об искусственном интеллекте (EU AI Act). Если вы также обслуживаете пользователей в ЕС, требования Закона ЕС об ИИ к документации систем высокого риска и человеческому надзору значительно строже, чем новая структура Колорадо. Документация ЕС, как правило, может удовлетворить обязательства в Колорадо при небольшой адаптации.
Правоприменение EEOC и DOJ. Техническая помощь EEOC от мая 2023 года по процедурам отбора персонала с использованием ИИ в соответствии с Разделом VII и приоритеты Министерства юстиции (DOJ) по обеспечению соблюдения Закона о гражданах с ограниченными возможностями (ADA) создают федеральные риски антидискриминационного законодательства в сфере ИИ для найма, которые существуют независимо от законов штатов об уведомлении. Соблюдение обязательств Колорадо по уведомлению не освобождает вас от ответственности в рамках соблюдения федеральных гражданских прав.
NIST AI RMF (Структура управления рисками ИИ NIST). Приведение вашего внутреннего управления в соответствие с NIST AI Risk Management Framework 1.0 не является юридически обязательным согласно SB 26-189, но широко признается регуляторами различных юрисдикций и корпоративными клиентами, проводящими аудит вендоров ИИ, как надежная базовая линия.
Практический двенадцатинедельный план обеспечения соответствия
Для малого или среднего бизнеса, начинающего с нуля, подготовка к 1 января 2027 года делится на четыре этапа.
Недели с 1 по 3 — Инвентаризация. Идентифицируйте каждый инструмент, поставщика или внутреннюю систему, которая принимает или существенно влияет на любое решение в восьми категориях значимых решений в отношении потребителей Колорадо. Включите встроенные функции ИИ в стороннем ПО (SaaS). Для каждого из них определите, относится ли он к регулируемым технологиям автоматизированного принятия решений (ADMT), и задокументируйте разработчика.
Недели с 4 по 6 — Согласование с поставщиками. Свяжитесь с каждым разработчиком регулируемых ADMT и запросите пакет документации, который они предоставят для поддержки ваших обязательств по уведомлению и раскрытию информации. Согласуйте любые изменения в контрактах, необходимые для покрытия возмещения убытков, поддержки исправления данных и сотрудничества при реагировании на неблагоприятные результаты.
Недели с 7 по 9 — Разработка уведомлений и процессов. Подготовьте страницу уведомления перед использованием, шаблон раскрытия информации о неблагоприятном исходе, расширения рабочих процессов для запросов субъектов данных и процесс проверки человеком. Проведите проверку каждого документа на предмет доступности и понятности изложения. Обучите персонал, работающий с клиентами, сотрудников отдела кадров и андеррайтеров.
Недели с 10 по 12 — Запуск и подготовка к аудиту. Опубликуйте уведомления, запустите новые процессы в производство и сформируйте файл документации, который может запросить следователь Генеральной прокуратуры: контракты с поставщиками, скриншоты уведомлений, журналы ответов, записи о проверках человеком и списки прошедших обучение. Запланируйте внутренний аудит через шесть месяцев.
Команда, начавшая работу в середине 2026 года, имеет комфортный запас времени. Команда, которая дотянет до четвертого квартала, окажется в сложной ситуации, особенно учитывая цикл внесения изменений в контракты с поставщиками, который на уровне предприятия обычно занимает от 60 до 90 дней.
Ведите записи о соответствии так же прозрачно, как и бухгалтерию
Составляете ли вы описи ADMT, отслеживаете ли раскрытие информации о неблагоприятных исходах или готовите файл документации для аудита, который может запросить следователь Генеральной прокуратуры, к комплаенс-записям применяется тот же принцип, что и к финансовым отчетам: прозрачность, контроль версий и возможность восстановить любую цифру в любой момент времени важнее формата. Beancount.io предлагает систему учета в текстовом формате (plain-text accounting), которая обеспечивает полную видимость ваших финансовых данных без «черных ящиков» и привязки к конкретному поставщику. Начните бесплатно и узнайте, почему разработчики, финансовые отделы и операционные специалисты, заботящиеся о комплаенсе, переходят на текстовый учет.
Источники: