Обзор Закона штата Колорадо “О защите прав потребителей при взаимодействии с системами ИИ”
howtocomply_AI
В мае 2024 года в штате Колорадо вступил в силу закон "О защите прав потребителей при взаимодействии с системами искусственного интеллекта” (“Concerning Consumer Protections in Interactions with Artificial Intelligence Systems”). Сокращенно акт именуют Colorado AI Act (CAIA). Многим на ум сразу придет Регламент ЕС об ИИ. И не случайно: акт Колорадо также является первой попыткой среди штатов США принять более-менее комплексный акт. Также интересно, что по аналогии с Регламентом ЕС, в основе акта лежит риск-ориентированный подход. Несмотря на то, что акт уже принят, вступит в силу он лишь с 1 февраля 2026 года, что дает бизнесу довольно много времени на подготовку к соответствию его требованиям.
Идея закона
Акт был принят, чтобы защитить жителей штата Колорадо от дискриминации при использовании систем ИИ. Особенный упор делается на определение требований к субъектам, использующим системы ИИ повышенного риска (разберем в следующей части)
Под алгоритмической дискриминацией акт понимает следующее: любое состояние, при котором использование системы ИИ приводит к неправомерному дифференцированному обращению или воздействию, которое оказывает неблагоприятное воздействие на индивида или группу индивидов на основании их действительных или предполагаемых характеристик (например, возраста, цвета кожи, инвалидности, языка и т.п.).
Однако к алгоритмической дискриминации не относятся случаи, когда: а) система ИИ повышенного риска используется для целей улучшения качества работы системы по предотвращению алгоритмической дискриминации или расширения разнообразия и борьбе с исторической предвзятостью; б) система ИИ используется не для работы на публике, а в закрытом клубе в соответсвии с законодательством (42 U.S.C.SEC. 2000a (e)).
Терминология
Системы ИИ определяются аналогично прошлой редакции принципов ОЭСР (сравнить можно в моем материале тут):
Всякая машинная система, которая для достижения любой явной или неявно выраженной задачи, определяет на основе полученных системой выходных данных, каким образом генерировать выходные данные, включая контент, решения, прогнозы или рекомендации, которые могут влиять на физическую или виртуальную среду.
В соответсвии с риск-ориентированным подходом закон подразделяет все системы ИИ на две группы: системы ИИ повышенного риска и все остальные.
Под системой ИИ повышенного риска понимается любая система ИИ, которая при развертывании принимает решения или является существенным фактором в принятии последующего решения.
В акте установлен длинный перечень исключений, например:
если система ИИ предназначена для: а) выполнения узкой процедурной задачи; б) формирует модели принятия решений на основе уже существующих моделей и не предназначена для замены человеческих решений или влияния на них; в) технологии из содержащегося в законе перечня за исключением случаев, когда они используются в принятии важных решений.
Основные субъекты
Закон выделяет следующие группы субъектов: потребитель, эксплуатант, разработчик. Отмечу, что под эксплуатацией понимается использование системы ИИ повышенного риска.
Также важно отметить, что разработчиком может быть лицо, которое как разрабатывает систему ИИ, так и вносит в нее существенные улучшения. При этом существенное улучшение должно в результате привести к возникновению нового разумно прогнозируемого риска алгоритмической дискриминации (для систем ИИ повышенного риска сделаны отдельные исключения, например, самообучение).
Требования к разработчику
Разработчик должен проявлять разумную осторожность, чтобы защитить потребителей от любых известных или разумно прогнозируемых рисков алгоритмической дискриминации, возникающих в результате использования систем ИИ повышенного риска как непосредственно, так и в рамках договоров с другими субъектами.
Акт устанавливает набор требований для разработчиков систем ИИ повышенного риска. По большей части данные требования касаются необходимости ведения и раскрытия документации:
- Разработчик должен предоставить эксплуатантам и другим разработчикам:
а) описание разумно прогнозируемых целесообразных и нецелесообразных сценариев использования системы ИИ;
б) документацию (например, с описанием функциональности системы, ограничений ее работы, тренировочных наборов данных);
в) документы описывающие: предпринятые меры по оценке систем ИИ и обучающих наборов данных на предмет алгоритмической дискриминации, меры по митигированию возможных рисков функционирования системы ИИ, описание выходных данных работы системы и т.п.
г) любые иные документы, которые могут помочь эксплуатантам в борьбе с алгоритмический предвзятостью.
- Разработчик, который предоставляет свою систему ИИ эксплуатантам или другим разработчикам, должен передать им документацию, такую как, например, карточки моделей и наборов данных, оценки воздействия. Исключением является случай, когда разработчик и эксплуатант являются одним и тем же субъектом.
- На сайте разработчика должна быть информация с описанием разработанных и используемых систем ИИ, а также с проведенными мерами по оценке и митигированию рисков их функционирования.
- В случае, если разработчик получил информацию (сам или от эксплуатанта), что результаты функционирования системы ИИ привели к алгоритмической дискриминации, то он должен предоставить генеральному прокурору штата и другим разработчикам систем ИИ повышенного риска необходимую информацию о прогнозируемых и известных рисках работы системы ИИ в не более чем 90-дневный срок.
- Генеральный прокурор штата может затребовать в 90-дневный срок документы от разработчика для проведения проверки на их соответствие данному акту и другому законодательству.
Требования к эксплуатанту
- Эксплуатанты, которые применяют в своем бизнесе системы ИИ повышенного риска, должны разработать, применять и обновлять политику и программу управления рисками.
Политика и программа управления рисками должна быть основана на имеющихся системах управления рисками и лучших индустриальных практиках и учитывать особенности бизнеса и самих систем ИИ. В отдельных случаях предусматривается, что система управления рисками может быть разработана для бизнеса генеральным прокурором штата.
- Важно отметить, что политика и программа могут быть применены для разных систем ИИ, которые используются в рамках одного бизнеса.
- Эксплуатанты должны регулярно (ежегодно или 90 дней после существенной модификации) проводить оценку воздействия для систем ИИ повышенного риска. Закон устанавливает требования к содержанию оценки. Например, в нее должна входить информация о целях, рисках и сценариях использования системы ИИ, описание методов обеспечения прозрачности работы систем ИИ и последующего мониторинга ее функционирования. Документы должны храниться не менее трех лет.
- Эксплуатанты должны публиковать информацию о том, каким образом использовалась система ИИ повышенного риска. Отдельно необходимо указать на то, использовалась ли она в сценариях, отличных от тех, которые предполагались разработчиками.
- Эксплуатант или нанятая им третья сторона должна ежегодно проверять, не приводит ли функционирование системы ИИ повышенного риска к алгоритмической дискриминации.
- Закон устанавливает новые права потребителей в отношении взаимодействия с системами ИИ повышенного риска:
а) потребители должны быть проинформированы, если система искусственного интеллекта с высокой степенью риска используется для принятия важных решений (Consequential decision) в отношении них. Эти важные решения могут касаться существенных юридических и материальных вопросов. Перечень важных решений определен законом в первом разделе (6-1-1701).
б) если с помощью системы ИИ повышенного риска принимается неблагоприятное решение, потребители должны получить объяснение этого решения, включая то, как образом система ИИ способствовала принятию такого решения.
в) потребители могут исправлять неточности в персональных данных, использованных системой ИИ, и обжаловать автоматизированные решения для того, чтобы они были рассмотрены человеком.
г) потребители должны быть проинформированы о своем праве отказаться от профилирования при принятии автоматизированных решений в соответствии с Законом о конфиденциальности штата Колорадо.
- Эксплуатант должен разместить контактную информацию для потребителей в доступной для них форме и предоставить на своем сайте описание используемых систем ИИ повышенного риска и потенциальных рисках их использования.
- Как и разработчик, эксплуатант должен проинформировать генерального прокурора штата и других субъектов о инцеденте в 90-дневный срок. А генеральный прокурор штата имеет право потребовать от эксплуатанта предоставить рассмотренные выше документы тот же срок.
Исключения для отдельных эксплуатантов
Эксплуатанты систем ИИ повышенного риска, которые имеют: а) менее 50 постоянных работников; б) не используют собственные данные для работы и дообучения систем; в) используют системы ИИ в определенных разработчиком целях, предоставили потребителю оценку воздействия (собственную или разработчика), освобождаются от необходимости разработки политики и программы управления рисками, проведения оценки воздействия и размещения информации на сайте.
Требование о раскрытии информации для потребителя
Потребитель должен быть информирован о том, что взаимодействует с системой ИИ за исключеним тех случаев, когда это очевидно.
Контроль со стороны генерального прокурора штата
Важно отметить, что генеральный прокурор штата получает полномочия по контролю за исполнением требований закона. Нарушение этих требований приравнивается к недобросовестным коммерческим практикам, запрещенным законодательно. Однако положения закона не предоставляют права подачи частных исков.
Интересно, что в качестве убедительных доказательств соблюдения требований закона разработчики и эксплуатанты могут доказать, что:
- предприняли необходимые меры на основе отзыва от других эксплуатантов или потребителей, проанализировали проблему и провели тестирование по методу “красных команд”.
- соответствуют другим актам и документам, устанавливающим сходные или более жесткие требования: NIST AI RMF, ISO/IEC 42001, международные стандарты и акты других стран (например, Регламент ЕС об ИИ), системы управления рисками, разработанные генеральным прокурором штата.
Также генеральный прокурор штата может разрабатывать иные документы, которые необходимы для реализации положений закона.