德州颁布负责任AI治理法案,明确技术合规要求

德州通过《负责任人工智能治理法案》,对AI系统开发部署提出禁止歧视、保护宪法权利等要求,修订生物识别和数据隐私法案,明确技术合规义务与执法机制,2026年1月生效。

德州颁布负责任人工智能治理法案

2025年6月22日,德州州长Greg Abbott签署了众议院第149号法案,即《德州负责任人工智能治理法案》(TRAIGA)。该法案对企业及政府实体在使用人工智能(AI)时施加义务与禁止事项,修订了《德州生物识别标识捕获与使用法案》(CUBI)以包含特定豁免条款,并修订了《德州数据隐私与安全法案》(TDPSA),要求处理者协助控制者保护由AI系统处理的个人信息。TRAIGA将于2026年1月1日生效。

AI使用的义务与禁止

TRAIGA适用于以下主体:(i) 在德州推广、广告或开展业务;(ii) 生产供德州居民使用的产品或服务;或(iii) 在德州开发或部署AI系统。它适用于所有符合“AI系统”定义的系统,而不仅限于高风险场景。 “AI系统”的定义与《科罗拉多人工智能法案》一致,指任何基于机器的系统,为显性或隐性目标,从接收的输入中推断如何生成输出(如内容、决策、预测或建议),这些输出可影响物理或虚拟环境。

TRAIGA规定应广泛解释和应用该法案,以推进其目的:(i) 促进负责任地开发和使用AI系统;(ii) 保护个人免受AI系统已知和合理可预见的风险;(iii) 提供关于AI系统开发、部署和使用风险的透明度;及(iv) 就州机构使用或计划使用AI系统提供合理通知。

一般禁止事项

TRAIGA禁止公司开发或部署AI系统,如果其(i) 非法歧视;(ii) 损害个人根据联邦宪法享有的权利;(iii) 鼓励伤害或犯罪活动;或(iv) 生成或分发某些色情内容和儿童色情内容。各项规定如下:

  • 歧视:任何人不得开发或部署AI系统,意图非法歧视受保护阶层,违反州或联邦法律。“受保护阶层”指受州或联邦民权法律保护状态的个人。

    此禁止不适用于提供保险服务的保险实体,前提是它们受保险行业反歧视、不公平竞争或欺骗性实践法律约束。联邦保险的金融机构如果遵守适用的联邦和州银行法律法规,则被视为符合TRAIGA的非歧视规则。

    TRAIGA因此重点关注确保非歧视性AI系统。这已是《科罗拉多AI法案》的关键焦点,尽管德州不像科罗拉多那样要求企业报告“算法歧视”实例。它也是弗吉尼亚AI法案的焦点,该法案由立法机构通过但被州长否决。TRAIGA表明非歧视仍是州AI立法的关键焦点。

  • 宪法权利:任何人不得开发或部署AI系统,唯一意图侵犯、限制或以其他方式损害个人根据美国宪法保障的权利,如言论自由。TRAIGA澄清此条款不得解释为创建或扩大美国宪法下的任何权利。

  • 伤害和犯罪活动:TRAIGA禁止以意图煽动或鼓励个人实施身体自残、伤害他人或从事犯罪活动的方式开发或部署AI系统。

  • 色情内容和儿童色情内容:TRAIGA还禁止开发或部署AI系统,唯一意图生成、协助或帮助生成或分发(i) 未经描绘人员同意的色情视频;(ii) 未经看似被描绘人员同意的色情“深度伪造”视频;或(iii) 从事基于文本的性对话,冒充或模仿未满18岁人员的AI系统。

政府特定义务与禁止

TRAIGA对政府机构施加披露要求,并禁止某些使用AI进行社会评分和生物识别。

  • “您正在与AI对话”披露:提供AI系统供消费者互动的政府机构必须在互动之前或之时披露消费者正在与AI系统互动。“消费者”一词排除员工或在商业背景下行事的个人。

  • 社会评分:禁止政府实体使用或部署AI系统基于社会行为或个人特征评估或分类个人,意图分配社会分数,如果该分数可能导致:

    • 与观察行为或特征背景无关的不利待遇;
    • 相对于行为或特征性质不成比例的后果;或
    • 侵犯德州或联邦法律下的任何权利。

  • 生物识别:政府实体不得开发或部署AI系统,使用生物识别数据或从互联网或公开来源收集图像或其他媒体唯一识别个人,未经个人同意,如果此类收集会侵犯德州或联邦法律下的权利。违反CUBI也构成违反此条款。

对《德州生物识别标识捕获与使用法案》的修订

CUBI要求为商业目的收集生物识别标识的个人在收集前提供通知并获得个人同意。TRAIGA修订CUBI,豁免收集由相关个人公开提供的生物识别标识。此修订意味着企业仍必须提供通知并获得同意,当收集公开可用但由非相关个人披露的生物识别标识时。

TRAIGA进一步修订CUBI,豁免以下情况的通知和同意要求:

  • 用于开发、评估或提供AI模型或系统的生物识别标识的训练、处理或存储,除非这些系统用于或部署以唯一识别特定个人;及
  • 为安全目的或防止非法活动开发或部署AI模型或系统。

对《德州数据隐私与安全法案》的修订

TDPSA要求处理者协助控制者遵守维护安全措施保护个人信息的义务。TRAIGA修订TDPSA,明确要求处理者协助控制者遵守保护由AI系统处理的个人信息的义务。

执法

总检察长拥有独家执法权,并可寻求民事赔偿,如果个人开发或部署AI系统用于禁止用途,且在六十(60)天内未能纠正涉嫌违规。处罚包括:

  • 每项可纠正违规10,000至12,000美元;
  • 每项不可纠正违规80,000至200,000美元;及
  • 违规持续每天额外2,000至40,000美元。

TRAIGA不提供私人诉讼权,也不对违反CUBI或TDPSA施加额外处罚,但违反CUBI的政府机构也违反TRAIGA。

州机构还可对由其许可、注册或认证的个人或实体实施制裁,如果总检察长建议额外执法。制裁可能包括:

  • 最高100,000美元的罚款;及
  • 暂停、缓刑或吊销许可证、注册、证书或其他运营授权。

有关AI立法、法规和执法的更多信息,请联系Alston & Bird的隐私、网络安全和数据战略团队,并在AlstonPrivacy.com注册提醒。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次