德克萨斯州颁布《负责任人工智能治理法案》:AI监管新规与合规指南

德克萨斯州通过《负责任人工智能治理法案》,对企业与政府机构的AI使用设立新规范,包括禁止歧视性AI系统、新增政府披露要求,并修订生物识别与数据隐私法案,2026年1月生效。

2025年6月22日,德克萨斯州州长Greg Abbott签署了众议院第149号法案,即《德克萨斯负责任人工智能治理法案》(TRAIGA)。该法案对企业与政府实体在使用人工智能(AI)时设定了义务与禁令,修订了《德克萨斯生物识别标识符捕获与使用法案》(CUBI)以纳入特定豁免条款,并修订了《德克萨斯数据隐私与安全法案》(TDPSA),要求处理者协助控制者保护由AI系统处理的个人信息。TRAIGA将于2026年1月1日生效。

AI使用的义务与禁令

TRAIGA适用于以下主体:(i) 在德克萨斯州推广、广告或开展业务;(ii) 生产德克萨斯州居民使用的产品或服务;或 (iii) 在德克萨斯州开发或部署AI系统。该法案适用于所有符合其“AI系统”定义的系统,不仅限于高风险场景。“AI系统”的定义与《科罗拉多人工智能法案》一致,指任何基于机器的系统,为显性或隐性目标,从接收的输入中推断如何生成输出(如内容、决策、预测或建议),这些输出可影响物理或虚拟环境。

TRAIGA规定应广泛解释和应用该法案,以推进其目的:(i) 促进负责任地开发和使用AI系统;(ii) 保护个人免受AI系统已知和合理可预见的风险;(iii) 提供关于AI系统开发、部署和使用风险的透明度;(iv) 提供关于州机构使用或计划使用AI系统的合理通知。

一般禁令

TRAIGA禁止公司开发或部署以下AI系统:(i) 非法歧视;(ii) 损害个人根据联邦宪法享有的权利;(iii) 鼓励伤害或犯罪活动;或 (iv) 制作或分发某些色情内容和儿童色情内容。各项禁令具体如下:

  • 歧视:禁止任何人开发或部署AI系统,意图非法歧视受保护类别,违反州或联邦法律。“受保护类别”指受州或联邦民权法律保护的个人状态。此禁令不适用于提供保险服务的保险实体,前提是它们受保险行业反歧视、不公平竞争或欺骗性实践法律约束。联邦保险的金融机构如果遵守适用的联邦和州银行法律法规,则被视为符合TRAIGA的非歧视规则。

TRAIGA因此重点关注确保非歧视性AI系统。这已是《科罗拉多人工智能法案》的核心焦点,尽管德克萨斯州——与科罗拉多州不同——不要求企业报告“算法歧视”实例。这也是弗吉尼亚州AI法案的焦点,该法案虽被立法机构通过但被州长否决。TRAIGA表明非歧视仍是各州AI立法的关键焦点。

  • 宪法权利:禁止任何人开发或部署AI系统,唯一意图是侵犯、限制或以其他方式损害个人根据美国宪法保障的权利,如言论自由。TRAIGA澄清此条款不得解释为创建或扩大美国宪法下的任何权利。

  • 伤害与犯罪活动:TRAIGA禁止以意图煽动或鼓励个人实施自我伤害、伤害他人或从事犯罪活动的方式开发或部署AI系统。

  • 色情内容与儿童色情内容:TRAIGA还禁止开发或部署AI系统,唯一意图是制作、协助或帮助制作或分发 (i) 未经描绘者同意的色情视频;(ii) 未经看似被描绘者同意的色情“深度伪造”视频;或 (iii) 从事基于文本的性对话,冒充或模仿18岁以下个人的AI系统。

政府特定义务与禁令

TRAIGA对政府机构施加披露要求,并禁止某些用于社会评分和生物识别识别的AI使用。

  • “您正在与AI对话”披露:政府机构如果提供AI系统供消费者互动,必须在互动之前或之时披露消费者正在与AI系统互动。“消费者”一词排除员工或在商业背景下行事的个人。

  • 社会评分:禁止政府实体使用或部署AI系统来评估或分类个人基于社会行为或个人特征,意图分配社会分数,如果该分数可能导致:

    • 与观察行为或特征背景无关的不利待遇;
    • 相对于行为或特征性质不成比例的后果;或
    • 侵犯德克萨斯州或联邦法律下的任何权利。

  • 生物识别识别:政府实体不得开发或部署AI系统来唯一识别个人使用生物识别数据,或通过从互联网或公开来源收集图像或其他媒体未经个人同意,如果此类收集会侵犯德克萨斯州或联邦法律下的权利。违反CUBI也构成违反此条款。

对《德克萨斯生物识别标识符捕获与使用法案》的修订

CUBI要求为商业目的收集生物识别标识符的个人在收集前提供通知并获得个人同意。TRAIGA修订CUBI,豁免收集由相关个人公开提供的生物识别标识符。此修订意味着企业仍必须提供通知并获得同意,当收集公开可用但由非相关个人披露的生物识别标识符时。

TRAIGA进一步修订CUBI,豁免以下情况的通知和同意要求:

  • 用于开发、评估或提供AI模型或系统的生物识别标识符的训练、处理或存储,除非这些系统用于或部署以唯一识别特定个人;以及
  • 为安全目的或防止非法活动开发或部署AI模型或系统。

对《德克萨斯数据隐私与安全法案》的修订

TDPSA要求处理者协助控制者遵守其维护安全措施以保护个人信息的义务。TRAIGA修订TDPSA,明确要求处理者协助控制者遵守其保护由AI系统处理的个人信息的义务。

执法

总检察长拥有独家执法权,如果个人开发或部署AI系统用于禁止用途,且在六十(60)天内未能纠正涉嫌违规,可寻求民事赔偿。处罚包括:

  • 每项可纠正违规罚款10,000至12,000美元;
  • 每项不可纠正违规罚款80,000至200,000美元;以及
  • 违规持续每一天额外罚款2,000至40,000美元。

TRAIGA不提供私人诉讼权,也不对违反CUBI或TDPSA施加额外处罚,但政府机构违反CUBI也违反TRAIGA除外。

州机构还可对由其许可、注册或认证的个人或实体实施制裁,如果总检察长建议额外执法。制裁可能包括:

  • 最高罚款100,000美元;以及
  • 暂停、缓刑或吊销许可证、注册、证书或其他运营授权。

有关AI立法、法规和执法的更多信息,请联系Alston & Bird的隐私、网络安全和数据战略团队,并在AlstonPrivacy.com注册警报。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次