Beancount.io LogoBeancount.io

Colorado SB 26-189: Посібник із дотримання вимог ШІ 2027 року для малих та середніх підприємств

15 хв. читанняMike ThriftMike Thrift
Colorado SB 26-189: Посібник із дотримання вимог ШІ 2027 року для малих та середніх підприємств

Якщо ваш бізнес витратив останні вісімнадцять місяців на створення програми відповідності Закону Колорадо про ШІ навколо політик управління ризиками, щорічних оцінок впливу та зобов'язань щодо належної обачності стосовно алгоритмічної дискримінації, правила для вас щойно змінилися. 14 травня 2026 року губернатор Колорадо Джаред Поліс підписав законопроєкт Сенату 26-189, який скасував і замінив оригінальний Закон Колорадо про ШІ ще до того, як його основні зобов'язання набрали чинності. Нова структура відкидає стандарт належної обачності, вимогу щодо формальної програми управління ризиками та мандат на щорічну оцінку впливу. На їхньому місці з'явився вужчий режим прозорості, побудований навколо повідомлень перед використанням, розкриття інформації після несприятливих результатів та невеликого пакета прав споживачів, пов'язаних із «охопленою технологією автоматизованого прийняття рішень».

Для засновників, HR-керівників, кредиторів, страховиків, адміністраторів охорони здоров'я, орендодавців та операторів SaaS, які витрачали кошти на консультації щодо оригінальної структури SB 24-205, природною реакцією є полегшення. Це полегшення має бути стриманим. Новий закон все ще накладає реальні зобов'язання на бізнес майже будь-якого розміру, він все ще створює ризик правозастосування з боку Генерального прокурора Колорадо і все ще вимагає від вас визначити, де технологія автоматизованого прийняття рішень торкається суттєвих рішень у вашій діяльності. Тягар дотримання вимог став легшим, але він не нульовий, а дата набрання чинності 1 січня 2027 року настане швидше, ніж очікує більшість команд, якщо врахувати цикли бюджетування та перегляд умов з постачальниками.

Цей посібник розповідає про те, що змінилося, що залишилося, на кого поширюється закон, що саме ви повинні зробити до 1 січня 2027 року та як координувати зобов'язання в Колорадо з мозаїкою інших державних і федеральних правил щодо ШІ, які тепер застосовуються до компаній, що працюють у кількох юрисдикціях.

Що сталося з оригінальним Законом Колорадо про ШІ

Оригінальний Закон Колорадо про ШІ, кодифікований як SB 24-205, був підписаний у травні 2024 року і мав набрати чинності 1 лютого 2026 року. Це був перший комплексний закон штату про ШІ в Сполучених Штатах, змодельований за зразком підходу Європейського Союзу до рівнів ризику в Законі про ШІ. Оригінальна структура викликала тривалу критику з боку технологічних компаній, бізнес-груп та законодавців від обох партій, які стверджували, що вона каратиме інновації всередині штату, накладатиме витрати, несумірні з реальним ризиком алгоритмічної дискримінації, і змушуватиме малі компанії створювати програми управління, порівнянні з програмами регульованих фінансових установ.

Під час законодавчої сесії 2025 року Генеральна Асамблея продовжила дату набрання чинності з 1 лютого 2026 року на 30 червня 2026 року, щоб дати законодавцям час для перегляду статуту. У травні 2026 року був прийнятий і підписаний законопроєкт SB 26-189, який скасовує оригінальний закон і замінює його суттєво вужчою структурою, яка набирає чинності 1 січня 2027 року. Генеральний прокурор Колорадо зобов'язаний завершити розробку правил впровадження до цієї ж дати, і відомство зазначило, що правозастосування не почнеться до завершення розробки правил і надання бізнесу розумної можливості привести свою діяльність у відповідність.

Практичний підсумок для вашої команди з дотримання вимог: будь-яка документація, пакети перевірки постачальників або шаблони оцінки впливу, які ви створили для структури SB 24-205, все ще мають цінність як основа, але вам потрібно перекалібрувати їх відповідно до зобов'язань SB 26-189, а не початкового стандарту належної обачності.

Що залишилося, а що зникло

Розуміння різниці між старим і новим законом має значення, оскільки консультанти та постачальники все ще продають структури SB 24-205. Ось що зникло, що з'явилося нове, а що залишилося.

Вилучено з оригінального закону:

  • Обов'язок належної обачності щодо захисту споживачів від алгоритмічної дискримінації
  • Вимога щодо формальної політики та програми управління ризиками
  • Мандат на щорічну оцінку впливу, що охоплює мету, вхідні дані, пом'якшення ризиків, моніторинг та ризик дискримінації
  • Зобов'язання щодо виявлення та розкриття інформації протягом 90 днів у зв'язку з виявленою алгоритмічною дискримінацією
  • Структура винятків для малих впроваджувачів з її тестом із чотирьох пунктів (вона реструктуризована, а не збережена дослівно)

Нове згідно з SB 26-189:

  • Вужча сфера застосування, зосереджена навколо «охопленої технології автоматизованого прийняття рішень» замість «системи штучного інтелекту високого ризику»
  • Двоетапна система повідомлень: повідомлення перед використанням перед впровадженням для прийняття рішення з суттєвими наслідками, плюс розкриття інформації після несприятливого результату протягом 30 днів
  • Право споживачів на доступ до персональних даних, що використовуються охопленою ТАПР, та їх виправлення
  • Право вимагати суттєвого перегляду людиною рішень із суттєвими наслідками, де це технічно можливо
  • Вимога щодо доступності, згідно з якою всі повідомлення повинні доходити до споживачів з обмеженими можливостями та обмеженим рівнем володіння англійською мовою
  • «Безпечна гавань», що дозволяє впроваджувачам виконувати вимогу щодо повідомлення перед використанням через помітне публічне розміщення в безпосередній близькості до взаємодії зі споживачем

Збережено по суті:

  • Список категорій рішень із суттєвими наслідками: освіта, працевлаштування, фінансові або кредитні послуги, основні державні послуги, медичні послуги, житло, страхування та юридичні послуги
  • Виключне правозастосування Генеральним прокурором Колорадо без приватного права на позов
  • Розгляд порушень як введення в оману в торговельній діяльності згідно із Законом Колорадо про захист прав споживачів
  • Загальний поділ на розробників (які створюють або суттєво змінюють ТАПР) та впроваджувачів (які використовують її для прийняття суттєвих рішень щодо споживачів у Колорадо)

Кого це стосується

Новий закон поширюється на будь-якого розробника або розгортача охоплюваної технології автоматизованого прийняття рішень (ADMT), яка приймає або суттєво впливає на важливі рішення щодо споживачів у Колорадо. Географія визначається місцем проживання споживача, а не місцезнаходженням вашого бізнесу, тому SaaS-компанія з головним офісом в Остіні, що працює віддалено, або кадрова фірма з Нью-Йорка, яка підбирає кандидатів для роботодавців у Колорадо, прямо підпадають під дію закону.

Важливим рішенням згідно зі статтею SB 26-189 є будь-яке рішення, що має суттєвий юридичний або аналогічно значущий вплив на надання, відмову, вартість або умови послуг у восьми категоріях: зарахування на навчання або освітні можливості, працевлаштування або можливості працевлаштування, фінансові або кредитні послуги, основні державні послуги, охорона здоров'я, житло, страхування або юридичні послуги. Цей список охоплює більшість доленосних рішень, які малий та середній бізнес щодня приймає щодо людей.

Реальні приклади охоплюваних випадків використання включають інструменти скринінгу резюме, які оцінюють кандидатів на роботу, моделі кредитного андеррайтингу, які схвалюють або відхиляють кредити, механізми ціноутворення страхування, які встановлюють премії, інструменти скринінгу орендарів, що фільтрують заявників, системи підтримки клінічних рішень, які впливають на те, які пацієнти записуються на прийом або отримують направлення, ШІ-тьютори або інструменти для вступу, що використовуються онлайн-платформами освіти, а також інструменти прийому або сортування звернень у клініках юридичної допомоги чи на вебсайтах юридичних фірм. Чат-боти обслуговування клієнтів, персоналізація маркетингу, внутрішні інструменти продуктивності та генеративний ШІ, що використовується для чернеток контенту, зазвичай не підпадають під дію закону, якщо вони суттєво не впливають на одне з перелічених важливих рішень.

Зобов'язання щодо повідомлення перед використанням

Перед тим як розгортач використає охоплювану ADMT для суттєвого впливу на важливе рішення, він повинен надати споживачу чітке та помітне повідомлення про те, що ADMT використовується або буде використовуватися. Повідомлення має простою мовою описувати мету системи, тип важливого рішення, на яке вона впливає, і те, як споживач може скористатися правами, наданими законом.

Тут має значення положення про «безпечну гавань». Замість того, щоб надавати індивідуальне повідомлення в момент кожної взаємодії, закон дозволяє виконати це зобов'язання через помітне публічне розміщення, розумно доступне в точках взаємодії зі споживачем. На практиці це означає, що сторінка розкриття інформації про ШІ з чітким посиланням на вашому порталі заявок, у процесі оформлення кредиту, на цільовій сторінці скринінгу орендарів або на порталі реєстрації пацієнтів зазвичай буде достатньою, за умови, що посилання знаходиться візуально поруч із відповідною транзакцією, а мова розкриття написана для звичайного читача.

Трьох помилок при складанні слід уникати. По-перше, не ховайте розкриття інформації в загальній політиці конфіденційності; закон вимагає, щоб воно було розумно наближене до відповідної транзакції. По-друге, не покладайтеся на галузевий жаргон на кшталт «технологія автоматизованого прийняття рішень» або «ADMT» без пояснення; вимога доступності охоплює когнітивну та мовну доступність, а не лише сумісність із програмами зчитування з екрана. По-третє, не пишіть повідомлення, які затушовують роль ШІ в рішенні; розпливчасті формулювання на кшталт «ми можемо використовувати технології, щоб допомогти нам» не задовольнять стандарт простої мови, який витримає перевірку Генерального прокурора.

30-денне розкриття інформації про несприятливий результат

Коли охоплювана ADMT суттєво впливає на важливе рішення, що призводить до несприятливого результату для споживача, розгортач повинен надати опис ролі ADMT простою мовою протягом 30 днів після прийняття рішення. Несприятливий результат включає відмову в заяві, припинення існуючої послуги, суттєво менш вигідне ціноутворення або будь-яке рішення, що зменшує вигоду, яку споживач отримав би в іншому випадку.

Розкриття не вимагає оприлюднення комерційної таємниці, ваг моделі або запатентованих алгоритмів. Натомість воно вимагає зрозумілого для звичайного споживача опису того, що система враховувала, яку роль вона відіграла в рішенні, які категорії персональних даних обробляла та як споживач може скористатися своїми правами на доступ, виправлення та перегляд людиною. Допускаються варіації контенту залежно від галузі, тому розкриття кредитора про несприятливу дію може спиратися на існуючі формати повідомлень згідно з Регламентом B Закону про рівні можливості кредитування, а розкриття розгортача у сфері охорони здоров'я може базуватися на існуючих нормах спілкування з пацієнтами.

Координуйте це з суміжними федеральними зобов'язаннями щодо розкриття інформації, а не розглядайте це як паралельний трек. Якщо ви вже надсилаєте повідомлення про несприятливі дії згідно із Законом про справедливу кредитну звітність, повідомлення про вжиті заходи згідно із Законом про рівні можливості кредитування або повідомлення, що відповідає вимогам HIPAA, розширте існуюче повідомлення замість створення надлишкового листа саме для Колорадо. 30-денний термін згідно з SB 26-189 загалом сумісний із термінами цих федеральних повідомлень, хоча вам слід зіставляти дедлайни в кожному конкретному випадку, оскільки існують винятки.

Права споживачів на доступ, виправлення та перегляд людиною

У рамках нової структури діють три права споживачів. Споживачі можуть запитати доступ до персональних даних, які охоплювана ADMT обробила щодо них. Споживачі можуть вимагати виправлення неточних персональних даних. І споживачі можуть вимагати змістовного перегляду людиною важливого рішення, якщо це технічно можливо.

Права на доступ та виправлення суттєво збігаються з правами, які вже існують відповідно до Закону про конфіденційність Колорадо (CPA) для персональних даних загалом. З операційної точки зору найчистішим підходом є розширення вашого існуючого процесу обробки запитів суб'єктів даних CPA для обробки запитів, специфічних для ADMT, замість створення окремого каналу прийому. Визначте, які системи містять певні категорії персональних даних, що використовуються в ADMT, навчіть свою команду з питань конфіденційності або HR роботі з новими категоріями та задокументуйте терміни реагування.

Право на перегляд людиною є більш цікавим питанням відповідності. Закон вимагає змістовного перегляду людиною, коли це технічно можливо, що не є тотожним формальному схваленню людиною результату алгоритму. Змістовний перегляд зазвичай вимагає, щоб особа, яка має повноваження скасувати рішення, фактично вивчила обставини споживача, врахувала інформацію поза межами алгоритмічної оцінки та мала практичну можливість дійти іншого висновку. Застереження «технічно можливо» виправдовує випадки, коли основне рішення взагалі не може бути змістовно переглянуте людиною, але воно не виправдовує просту незручність або витрати.

Зобов'язання розробників

Розробники ADMT (автоматизованих технологій прийняття рішень), що підпадають під дію закону, мають паралельні зобов'язання, зосереджені на забезпеченні деплоєрів усім необхідним для дотримання вимог на наступних ланках ланцюга. Оригінальна структура SB 24-205 вимагала від розробників вести велику документацію про джерела навчальних даних, метрики продуктивності, цільові сценарії використання та відомі ризики алгоритмічної дискримінації. Згідно з SB 26-189, ці зобов'язання були скорочені, але не скасовані.

Розробник повинен надати деплоєрам документацію, достатню для того, щоб деплоєр міг виконати свої зобов'язання щодо повідомлення та розкриття інформації, включаючи опис цільових сценаріїв використання ADMT, категорій персональних даних, які вона обробляє, категорій результатів, які вона генерує, та відомих обмежень, що стосуються контексту прийняття рішень зі значущими наслідками. Розробники також повинні опублікувати публічну заяву з коротким описом пропонованих ними ADMT та способів управління ризиками, пов'язаними з рішеннями зі значущими наслідками.

Якщо ви продаєте або ліцензуєте інструменти ШІ, які використовуються деплоєрами в Колорадо, обговорення контрактів з постачальниками вже розпочалося. Очікуйте, що клієнти-деплоєри запитуватимуть стандартизовані картки моделей (model cards), специфікації даних (data sheets) та специфічні для ADMT договірні зобов'язання. Випереджайте події, підготувавши односторінковий документ про розкриття інформації ADMT, який ви зможете додавати к основним договорам про надання послуг (MSA) та пакетам документів для продовження контракту.

Міркування для малого бізнесу

Оригінальне виключення для малих деплоєрів у SB 24-205 являло собою тест із чотирьох критеріїв, який звільняв деплоєрів з кількістю працівників менше 50 (у еквіваленті повної зайнятості) від вимоги щодо оцінки впливу за певних умов. SB 26-189 змінює підхід до малого бізнесу, а не зберігає виключення дослівним текстом, оскільки базова вимога щодо оцінки впливу більше не існує.

Для більшості малих та середніх деплоєрів практичне навантаження щодо дотримання нового закону є дійсно помірним: підтримувати чітку сторінку розкриття інформації ADMT, доступну в точці взаємодії зі споживачем; створити 30-денний процес реагування на несприятливі результати; розширити існуючий робочий процес обробки запитів суб'єктів даних, щоб охопити доступ до даних ADMT та їх виправлення; а також задокументувати процес перевірки людиною рішень, на які алгоритм суттєво впливає. Більшість компаній з ефективним управлінням можуть впровадити це за кілька тижнів цілеспрямованої роботи, особливо якщо у них вже діє програма відповідності Закону Колорадо про конфіденційність (CPA).

Найбільшими факторами витрат для малого бізнесу є не самі повідомлення, а попередня робота з інвентаризації того, де саме в бізнесі використовуються ADMT. Поширеною несподіванкою стає виявлення того, що готовий SaaS-інструмент із функціями ШІ, вбудованими постачальником, функціонує як ADMT для цілей прийняття рішень зі значущими наслідками, навіть якщо компанія-деплоєр ніколи не вважала, що впроваджує ШІ. Платформи для перевірки орендарів, майстри автоматизованого андеррайтингу, інструменти найму з використанням ШІ та модулі підтримки клінічних рішень, вбудовані в системи електронних медичних карток (EHR), — усе це поширені приклади неочікуваного включення в сферу дії закону.

Як це координується з іншими законами про ШІ та конфіденційність

Колорадо не впроваджує законодавство у вакуумі, і скоординована програма відповідності обходиться значно дешевше, ніж серія окремих програм для кожного штату. Ключові точки координації, які варто планувати на 2026 та 2027 роки:

Закон Колорадо про конфіденційність (CPA). CPA вже надає споживачам у Колорадо права на доступ до даних, їх виправлення та видалення, а також накладає на контролерів зобов'язання щодо відмови від профілювання та оцінки захисту даних при проведенні «профілювання для прийняття рішень, що мають юридичні або подібні значущі наслідки». Ваша програма CPA є природною основою для програми SB 26-189, оскільки робочі процеси запитів суб'єктів даних, шаблони контрактів з постачальниками та інфраструктура повідомлень для споживачів значною мірою збігаються.

Місцевий закон Нью-Йорка 144. Нью-Йорк вимагає щорічного незалежного аудиту на упередженість для автоматизованих інструментів прийняття рішень про найм, що використовуються для відбору мешканців Нью-Йорка. SB 26-189 не вимагає аудиту на упередженість, але документація, підготовлена для аудиту LL 144, є корисним доказом того, що ви врахували ризик алгоритмічної дискримінації, якщо Генеральний прокурор Колорадо звернеться із запитом.

Закон Іллінойсу про відеоінтерв'ю з ШІ та законопроєкт Каліфорнії AB 2930. Обидва накладають зобов'язання щодо повідомлення про використання ШІ в контексті найму, які перетинаються з розкриттям інформації в контексті працевлаштування в Колорадо. Створіть уніфіковане повідомлення про ШІ при наймі, яке задовольняє вимоги всіх трьох штатів, замість трьох окремих повідомлень.

Акт ЄС про ШІ. Якщо ви також обслуговуєте користувачів у ЄС, вимоги Акта ЄС про ШІ щодо документації систем високого ризику та нагляду з боку людини є значно суворішими, ніж нова структура Колорадо. Документація ЄС загалом може задовольнити зобов'язання Колорадо з незначними коригуваннями.

Виконання рішень EEOC та DOJ. Технічна допомога EEOC щодо процедур відбору персоналу за допомогою ШІ згідно з Розділом VII (травень 2023 року) та пріоритети Міністерства юстиції щодо виконання ADA (Закону про американців з інвалідністю) створюють федеральні ризики антидискримінаційного характеру при використанні ШІ у сфері працевлаштування, які існують незалежно від законів штатів про повідомлення. Дотримання зобов'язань Колорадо щодо повідомлення не звільняє вас від відповідальності за федеральним законодавством про цивільні права.

NIST AI RMF. Приведення вашого внутрішнього управління у відповідність до NIST AI Risk Management Framework 1.0 не є юридично обов'язковим згідно з SB 26-189, але широко визнається регуляторами в різних юрисдикціях та корпоративними клієнтами, що проводять перевірку постачальників ШІ, як обґрунтований базовий рівень.

Практична дванадцятитижнева дорожня карта комплаєнсу

Для малого або середнього бізнесу, що починає з нуля, робота з підготовки до 1 січня 2027 року поділяється на чотири етапи.

Тижні 1–3 — Інвентаризація. Визначте кожен інструмент, постачальника або внутрішню систему, що приймає або суттєво впливає на будь-яке рішення у восьми категоріях значущих рішень щодо споживачів Колорадо. Включіть вбудовані функції ШІ у сторонніх SaaS-рішеннях. Для кожного з них класифікуйте, чи є воно охопленою ADMT (технологією автоматизованого прийняття рішень), і задокументуйте, хто є розробником.

Тижні 4–6 — Узгодження з постачальниками. Зверніться до кожного розробника охопленої ADMT і запитайте пакет документації, який вони нададуть для підтримки ваших зобов'язань щодо повідомлення та розкриття інформації. Обговоріть будь-які поправки до контрактів, необхідні для покриття відшкодування збитків, підтримки виправлення даних та співпраці у реагуванні на несприятливі результати.

Тижні 7–9 — Проектування повідомлень та процесів. Підготуйте чернетку сторінки повідомлення перед використанням, шаблон розкриття несприятливих результатів, розширення робочого процесу запитів суб'єктів даних та процес перевірки людиною. Проведіть кожен з них через перевірку на зрозумілість мови та доступність. Проведіть навчання для персоналу, що працює з клієнтами, HR та андерайтерів.

Тижні 10–12 — Запуск та підготовка до аудиту. Опублікуйте повідомлення, запустіть нові процеси у виробництво та створіть файл документації, який може запитати слідчий Генерального прокурора: контракти з постачальниками, скріншоти повідомлень, журнали відповідей, записи перевірок людиною та списки учасників навчання. Заплануйте внутрішній аудит через шість місяців.

Команда, яка почне в середині 2026 року, матиме достатній запас часу. Команда, яка чекатиме до четвертого кварталу, діятиме в умовах поспіху, особливо враховуючи цикл внесення змін до контрактів із постачальниками, який на корпоративному рівні зазвичай триває від 60 до 90 днів.

Ведіть свої записи про комплаєнс так само прозоро, як і бухгалтерію

Незалежно від того, чи проводите ви інвентаризацію ADMT, відстежуєте розкриття несприятливих результатів чи створюєте файл документації для захисту під час аудиту, який може запитати слідчий Генерального прокурора, до записів про комплаєнс застосовується той самий принцип, що й до фінансових звітів: прозорість, контроль версій та можливість відновити будь-яку цифру в будь-який момент часу важливіші за формат. Beancount.io пропонує plain-text бухгалтерський облік, який забезпечує повну видимість ваших фінансових даних без «чорних скриньок» і прив’язки до постачальника. Почніть безкоштовно і дізнайтеся, чому розробники, фінансові команди та операційні директори, орієнтовані на комплаєнс, переходять на plain-text облік.

Джерела: