如果你企业在过去 18 个月里,围绕风险管理政策、年度影响评估和算法歧视谨慎责任义务构建了科罗拉多州人工智能法案合规计划,那么规则刚刚发生了变化。2026 年 5 月 14 日,科罗拉多州州长贾里德·波利斯 (Jared Polis) 签署了参议院第 26-189 号法案,该法案在原科罗拉多州人工智能法案的核心义务生效前将其废除并取而代之。新框架取消了谨慎责任标准、正式的风险管理计划要求以及年度影响评估强制令。取而代之的是一个更窄的透明度制度,围绕“受规制的自动决策技术”的使用前通知、负面结果后披露以及一小部分消费者权利而构建。
对于一直在原 SB 24-205 框架上投入咨询费用的创始人、人力资源负责人、贷款机构、保险公司、医疗管理人员、房东和 SaaS 运营商来说,自然反应是如释重负。但这种宽慰应该是适度的。新法律仍然对几乎任何规模的企业施加了实质性义务,它仍然带来了科罗拉多州总检察长的执法风险,并且仍然要求你梳理自动决策技术在你的业务中哪些环节涉及到了重大决策。合规负担虽然减轻了,但并非为零,而且一旦考虑到预算周期和供应商重新谈判,2027 年 1 月 1 日的生效日期会比大多数团队预期的来得更快。
本指南详细介绍了法律的变化、保留的内容、适用范围、你在 2027 年 1 月 1 日之前具体需要做的事情,以及如何协调科罗拉多州的义务与目前影响跨司法管辖区运营企业的其他各州和联邦人工智能规则。
原科罗拉多州人工智能法案发生了什么
原科罗拉多州人工智能法案(编入法典为 SB 24-205)于 2024 年 5 月签署,原定于 2026 年 2 月 1 日生效。它是美国第一个综合性的州级人工智能法律,松散地借鉴了欧盟人工智能法案的风险分级方法。原框架遭到了技术公司、商业团体和两党立法者的持续批评,他们认为该法案会惩罚州内创新,施加与实际算法歧视风险不成比例的成本,并迫使小型公司建立可与受监管金融机构相媲美的治理计划。
在 2025 年立法会议期间,州议会将生效日期从 2026 年 2 月 1 日推迟到 2026 年 6 月 30 日,以便让立法者有时间修订法规。2026 年 5 月,SB 26-189 获得通过并签署,废除了原法案,并代之以一个实质上更窄的框架,该框架将于 2027 年 1 月 1 日生效。科罗拉多州总检察长必须在同一日期前完成实施细则的制定,该办公室表示,在规则制定完成且企业有合理机会进行调整之前,不会开始执法。
对于你的合规团队来说,实际的影响是:你根据 SB 24-205 框架构建的任何文件、供应商尽职调查包或影响评估模板仍然具有基础价值,但你需要根据 SB 26-189 的义务而非原先的谨慎责任标准进行重新调整。
保留了什么,消失了什么
了解新旧法律之间的差异至关重要,因为顾问和供应商仍在销售 SB 24-205 框架。以下是消失的内容、新增的内容以及实质保留的内容。
原法律中删除的内容:
- 保护消费者免受算法歧视的合理谨慎义务
- 正式的风险管理政策和计划要求
- 涵盖目的、数据输入、缓解、监控和歧视风险的年度影响评估强制令
- 与发现的算法歧视挂钩的 90 天发现与披露义务
- 带有四项测试的小型部署者豁免框架(此项已被重构,未逐字保留)
SB 26-189 下的新内容:
- 范围更窄,围绕“受规制的自动决策技术”而非“高风险人工智能系统”构建
- 两步走通知框架:在重大决策部署前的使用前通知,加上 30 天内的负面结果后披露
- 消费者有权访问并更正受规制 ADMT 所使用的个人数据
- 在技术可行的情况下,消费者有权要求对重大决策进行有意义的人工审查
- 无障碍要求:所有通知必须送达残障人士和英语能力有限的消费者
- 安全港条款:允许部署者通过在与消费者互动合理接近的显著位置公开发布来满足使用前通知
实质保留的内容:
- 重大决策类别列表:教育、就业、金融或贷款服务、基本政府服务、医疗保健服务、住房、保险和法律服务
- 由科罗拉多州总检察长专属执法,无私人诉权
- 违规行为被视为《科罗拉多州消费者保护法》下的欺诈性贸易行为
- 开发者(构建或实质性修改 ADMT 的人)与部署者(使用 ADMT 对科罗拉多州消费者做出重大决策的人)之间的一般区别
适用范围
新法律适用于任何受规管的自动化决策技术(ADMT)的开发者或部署者,只要该技术对科罗拉多州消费者做出重大决策或产生重大影响。地理范围由消费者的居住地决定,而非你的业务所在地。因此,一家总部位于奥斯汀的远程优先 SaaS 公司或一家为科罗拉多州雇主安置候选人的纽约人力资源服务机构,都明确属于规管范围。
根据 SB 26-189,重大决策是指对以下八类服务的提供、拒绝、成本或条款产生实质性法律影响或类似重大影响的任何决策:教育入学或机会、就业或就业机会、金融或信贷服务、基础政府服务、医疗保健服务、住房、保险或法律服务。该列表涵盖了中小企业每天针对个人做出的大多数高风险决策。
受规管用例的实际例子包括:对求职者进行评分的简历筛选工具、批准或拒绝贷款的信贷审批模型、设定保费的保险定价引擎、筛选租房申请人的租客筛查工具、影响患者预约或转诊的临床决策支持、在线教育供应商使用的 AI 导师或录取工具,以及法律援助诊所或律师事务所网站上的接待或分诊工具。客服聊天机器人、营销个性化、内部生产力工具以及用于内容起草的生成式 AI 通常不属于规管范围,除非它们实质性地影响了上述列出的重大决策之一。
使用前告知义务
在部署者使用受规管的 ADMT 实质性影响重大决策之前,部署者必须向消费者发出清晰且显眼的通知,说明正在使用或将要使用 ADMT。通知必须以通俗易懂的语言描述系统的目的、它参与的重大决策类型,以及消费者如何行使法律赋予的权利。
“安全港”条款在这里非常重要。该法律允许你通过在消费者互动的地点张贴合理的、显著的公共公告来履行这一义务,而不是在每次互动时都发送个性化通知。在实践中,这意味着在你的申请门户、贷款流程、租客筛查落地页或患者登记门户上提供一个链接清晰的 AI 披露页面通常就足够了,前提是该链接在视觉上靠近相关交易,且披露语言是为普通读者编写的。
应避免的三个撰写陷阱:首先,不要将披露内容埋没在通用的隐私政策中;法律要求其在视觉上合理靠近相关交易。其次,不要直接使用“自动化决策技术”或“ADMT”等行业术语而不进行解释;可访问性要求涵盖了认知和语言的可访问性,而不仅仅是屏幕阅读器的兼容性。第三,撰写的通知不要掩饰 AI 在决策中的作用;像“我们可能会使用技术来协助我们”这样含糊的语言,无法满足总检察长审查下的通俗语言标准。
30 天内不利结果披露
当受规管的 ADMT 实质性影响了对消费者产生不利结果的重大决策时,部署者必须在做出决策后的 30 天内提供关于 ADMT 所起作用的通俗语言说明。不利结果包括拒绝申请、终止现有服务、实质性不利的价格定价,或任何减少消费者本应获得的利益的决策。
此项披露不要求披露商业机密、模型权重或专有算法。它要求的是以普通消费者能够理解的方式,描述系统考虑了哪些因素、在决策中扮演了什么角色、处理了哪些类别的个人数据,以及消费者如何行使访问、更正和人工审核的权利。法律允许根据行业调整内容,因此贷款机构的不利行动披露可以参考现有的《平等信贷机会法》B 条例(Regulation B)的通知格式,医疗保健部署者的披露则可以建立在现有的患者沟通规范之上。
请将此项工作与相关的联邦披露义务相协调,而不是将其视为平行路径。如果你已经在发送《公平信用报告法》的不利行动通知、《平等信贷机会法》的已采取行动通知或符合 HIPAA 标准的沟通,请扩展现有通知,而不是建立一份多余的科罗拉多州专属信函。SB 26-189 规定的 30 天期限通常与这些联邦通知的时间要求相兼容,但你应该逐案对照截止日期,因为存在例外情况。
消费者访问、更正及人工审核的权利
新框架下赋予了消费者三项权利。消费者可以请求访问受规管 ADMT 处理的有关其个人的数据。消费者可以请求更正不准确的个人数据。在技术可行的情况下,消费者可以请求对重大决策进行有效的人工审核。
访问权和更正权与《科罗拉多州隐私法》(CPA)中针对通用个人数据已有的权利有很大重叠。在操作上,最简洁的方法是扩展你现有的 CPA 数据主体请求(DSR)流程来处理 ADMT 相关的特定请求,而不是构建独立的接收渠道。梳理哪些系统包含 ADMT 中使用的个人数据类别,对你的隐私或人力资源接收团队进行新类别培训,并记录你的响应时间线。
人工审核权是合规中更有趣的问题。法律要求在技术可行时进行有效的人工审核,这并不等同于对算法输出的人工“橡皮图章”式的形式审批。有效的审核通常要求拥有推翻决策权限的人员实际审查消费者的具体情况,考虑算法评分之外的信息,并具备达成不同结论的实际能力。“技术可行”这一限定词免除了那些底层决策根本无法由人工有效审核的情况,但它并不豁免仅仅因为不便或成本增加而产生的情况。
开发者义务
受监管 ADMT 的开发者负有并行义务,重点是为部署者提供满足下游合规要求所需的资料。最初的 SB 24-205 框架要求开发者维护关于训练数据源、性能指标、预期用途以及已知的算法歧视风险的详尽文档。在 SB 26-189 下,这些义务有所缩减,但并未消除。
开发者必须向部署者提供足够的文档,以便部署者履行其通知和披露义务,包括对 ADMT 预期用途的描述、其处理的个人数据类别、生成的输出类别,以及与重大决策背景相关的已知局限性。开发者还必须发布一份公开声明,总结其提供的受监管 ADMT 及其管理重大决策相关风险的方式。
如果你向科罗拉多州的部署者销售或授权 AI 工具,供应商合同层面的对话已经开始。预计部署者客户会要求提供标准化的模型卡(model cards)、数据表(data sheets)以及针对 ADMT 的特定合同陈述。请提前准备好一份一页纸的 ADMT 披露文档,以便附加到主服务协议(MSA)和续约包中。
小企业注意事项
最初 SB 24-205 的小型部署者豁免是一项四项标准的测试,在狭隘的条件下免除了全职等效员工少于 50 人的部署者的影响评估要求。SB 26-189 重新构建了小企业的待遇,而不是逐字保留豁免,因为基础的影响评估要求已不再存在。
对于大多数中小规模的部署者来说,新法下的实际合规工作量确实不大:在消费者交互点维护一个合理可及的清晰 ADMT 披露页面;建立一个为期 30 天的不利结果响应流程;扩展现有的数据主体请求工作流,以涵盖 ADMT 数据访问和更正;并为算法产生实质性影响的决策记录人工审查流程。大多数经营良好的公司在几周的专注工作内即可建立起这套体系,尤其是如果他们已经实施了《科罗拉多州隐私法》(Colorado Privacy Act)计划。
小企业最大的成本驱动因素不是通知本身,而是梳理业务中哪里存在受监管 ADMT 的上游工作。一个常见的意外发现是,即使部署业务从未认为自己部署了 AI,但供应商嵌入了 AI 功能的现成 SaaS 工具,在重大决策层面正发挥着受监管 ADMT 的作用。租客筛选平台、自动承保助手、AI 增强型招聘工具以及嵌入在 EHR(电子健康记录)系统中的临床决策支持模块都是常见的意外项。
如何与其它 AI 和隐私法协同
科罗拉多州并非闭门造车,一套协调一致的合规计划比一系列按州划分的独立计划运行成本要低得多。以下是 2026 年和 2027 年需要规划的关键协调点:
科罗拉多州隐私法 (CPA)。 CPA 已经赋予科罗拉多州消费者数据访问、更正和删除权,并对进行“为了推进产生法律或类似显著影响的决策而进行画像”的控制者施加了与画像相关的退出和数据保护评估义务。你的 CPA 计划是 SB 26-189 计划的自然基础,因为数据主体请求工作流、供应商合同模板和消费者通知基础设施高度重合。
纽约市 Local Law 144。 纽约市要求对用于筛选纽约市居民的自动化就业决策工具进行年度独立偏差审计。SB 26-189 不要求偏差审计,但如果科罗拉多州总检察长前来询问,为 LL 144 审计制作的文档是证明你已考虑算法歧视风险的有用支持证据。
伊利诺伊州 AI 视频面试法和加州 AB 2930。 两者都施加了招聘背景下的 AI 通知义务,这与科罗拉多州就业背景下的披露重合。建立一个统一的招聘 AI 通知以同时满足这三项要求,而不是准备三个独立的通知。
欧盟 AI 法案。 如果你也服务于欧盟用户,欧盟 AI 法案的高风险系统文档和人工监督要求比科罗拉多州的新框架要严格得多。欧盟的文档经过轻微调整,通常可以满足科罗拉多州的义务。
EEOC 和 DOJ 执法。 美国平等就业机会委员会 (EEOC) 2023 年 5 月发布的关于 AI 就业筛选程序的 Title VII 技术援助,以及司法部 (DOJ) 的 ADA 执法重点,都构成了就业 AI 领域独立于州通知法之外的联邦反歧视风险。遵守科罗拉多州的通知义务并不能免除你受到联邦民权执法的影响。
NIST AI RMF。 将你的内部治理与 NIST AI 风险管理框架 1.0 对齐并不是 SB 26-189 的法律要求,但它被各司法管辖区的监管机构以及进行 AI 供应商尽职调查的企业客户广泛接受为一个可辩护的基准。
为期十二周的合规实践路线图
对于一家从零开始的中小型企业,为 2027 年 1 月 1 日做好准备的工作分为四个阶段。
第 1 至 3 周:清查。 识别涉及科罗拉多州消费者的八类重大决策类别中,做出决策或对决策产生实质性影响的每一个工具、供应商或内部系统。包括第三方 SaaS 中的嵌入式 AI 功能。针对每一项,分类其是否属于受监管的 ADMT(自动化决策技术),并记录其开发者。
第 4 至 6 周:供应商协调。 联系受监管 ADMT 的每位开发者,索取他们为支持你的告知和披露义务而提供的文档包。协商任何必要的合同修订,以涵盖赔偿、数据纠正支持以及对不利结果响应的协作。
第 7 至 9 周:告知与流程设计。 起草使用前告知页面、不利结果披露模板、数据主体请求工作流扩展以及人工复核流程。对每一项进行通俗语言和无障碍审查。培训面向客户的员工、人力资源和承保人员。
第 10 至 12 周:上线与审计准备。 发布告知、将新流程上线,并建立总检察长调查员可能要求的文档档案:供应商合同、告知截图、响应日志、人工复核记录和培训名册。安排六个月后的内部审计。
从 2026 年年中开始起步的团队将拥有充裕的缓冲期。等到第四季度的团队将会手忙脚乱,特别是考虑到供应商合同修订周期,在企业规模下通常需要 60 到 90 天。
让你的合规记录像账本一样透明
无论你是在清查 ADMT 清单、追踪不利结果披露,还是在构建总检察长调查员可能要求的具备审计辩护力的文档档案,合规记录与财务记录适用同样的原则:透明度、版本控制以及在任何时间点重构任何数字的能力比格式更重要。Beancount.io 提供纯文本会计工具,让你对财务数据拥有完全的可见性,没有黑盒,也没有供应商锁定。免费开始使用,了解为什么开发者、财务团队和注重合规的运营者都在转向纯文本会计。
来源: