Hvordan stater går i spidsen for AI-regulering
Det seneste år har været et af AI's største, siden videnskabsmænd først foreslog konceptet i slutningen af 1940'erne. AI-leverandører er fortsat med at innovere, med mere kraftfulde AI-modeller, der dukker op regelmæssigt, og tech-leverandører har travlt med at folde dem ind i deres kernetilbud. Mens Det Hvide Hus har udstedt en Bekendtgørelse for at prøve at sætte nogle autoværn rundt om denne kraftfulde teknologi, er den begrænset uden kongresstøtte, og lovgivere har gjort meget lidt for at hjælpe. Der er stadig ingen overordnet AI-regulering på føderalt niveau.
Dette har efterladt delstatsregeringer til at udfylde tomrummet, og de har taget udfordringen op. Ifølge Business Software Alliance, statslige lovgivere introduceret 440 % flere AI-relaterede regninger i 2023, end de gjorde i det foregående år. Disse love har undersøgt en række AI-relaterede problemer, herunder potentialet for bias, gennemsigtighed omkring, hvilke data der bruges til at træne AI-systemer, og specifikke trusler såsom deepfakes.
En strøm af statslige foranstaltninger
Reguleringsforanstaltninger truffet af stater varierer meget. Nogle, såsom Texas, har fokuseret på statens brug af kunstig intelligens. Dens House Bill 2060, der blev underskrevet i loven sidste år, etablerede et AI-rådgivende råd til at gennemgå statens brug af AI-systemer og vurdere behovet for et etisk kodeks.
Andre AI-bestemmelser omfatter den private sektors brug af disse systemer, ofte indlejret i forbrugernes privatlivslovgivning. Oregons SB619, der træder i kraft den 1. juli i år, indeholder en fravalgsbestemmelse for data, der bruges i automatiseret profilering. Montanas SB384 Forbrugerbeskyttelseslovgivningen, der blev indført i februar 2023, indeholder en lignende bestemmelse, ligesom Virginias lov om forbrugerdatabeskyttelse og New Hampshire's SB255. Alle disse er allerede blevet vedtaget, ligesom Tennessees HB1181, som påbyder databeskyttelsesvurderinger til dataprofilering.
Nogle fokuserer på generativ AI. Utahs SB149, der blev underskrevet i loven i marts i år, giver mandat til, at enkeltpersoner skal informeres, hvis de interagerer med AI, et reguleret erhverv (et, der kræver, at de har en licens eller et statscertifikat).
Andre stater har forsøgt at gå ud over profilering af opt-out-bestemmelser med yderligere AI-relaterede beskyttelser. Connecticut, som håndhævede en sådan bestemmelse i sin Connecticut Privacy Act sidste år, forsøgte et andet lovforslag – SB2 – som ville have reguleret udviklingen af automatiserede beslutningsværktøjer og AI-systemer selv. Det ville have krævet omfattende dokumentation af sådanne systemer og deres adfærd sammen med de data, der blev brugt under udviklingen (dette ville have inkluderet træningsdata). Det ville også have krævet risikovurderinger omkring deres implementering sammen med gennemsigtighed.
Connecticuts statssenat vedtog SB2, men det lykkedes ikke at nå frem til en husafstemning inden fristen i maj, delvist på grund af Connecticuts guvernør Ned Lamonts løfte om at nedlægge veto mod lovforslaget.
Men Colorado havde bedre held med at skubbe grænserne for AI-regulering. En uge efter, at SB2 faldt ved den sidste forhindring, vedtog Colorado-statens lovgiver SB24-205, som specifikt regulerer AI. Loven indfører en etisk ramme for udvikling af højrisiko AI-systemer, fremtvinger offentliggørelse af deres brug og giver forbrugerne mulighed for at udfordre deres resultater og rette eventuelle personlige data, som AI-systemet brugte. Højrisiko AI-systemer, som loven definerer som dem, der fører til "konsekvensbeslutninger", vil også være genstand for en risikovurdering og årlig gennemgang.
Andre stater har nulstillet sig til specifikke anvendelser af AI. I 2020 bestod Illinois 820 ILCS 42/1 (den Artificial Intelligence Video Interview Act), hvilket tvinger potentielle arbejdsgivere til at få samtykke fra jobkandidater, hvis de bruger AI til at analysere deres videointerviews.
Der er andre aggressive sedler i tragten. I maj vedtog Californiens senat SB1047 med 32 stemmer mod 31. Dette lovforslag, som har en deadline til den XNUMX. august for at vedtage statsforsamlingen, afspejler nogle af foranstaltningerne i Det Hvide Hus's bekendtgørelse om kunstig intelligens. Det pålægger især sikkerhedsforanstaltninger såsom red-teaming og cybersikkerhedstest for store AI-modeller. Det ville skabe et særskilt kontor til at regulere AI, sammen med en offentlig sky til træning af AI-modeller og ville sikre, at en "kill switch" blev indbygget i AI-modeller for at deaktivere dem, hvis noget skulle gå galt.
Statslove, der skubber grænserne for AI-regulering, vil fortsætte med at dukke op, så længe føderale lovgivere sidder på deres hænder. Der har været nogle lovende tiltag, såsom introduktionen af senator Schumers SAFE Innovation Framework for at undersøge ansvarlig brug af AI. Det initiativ bevæger sig dog i et glacialt tempo. A foreslået Federal Artificial Intelligence Risk Management Act ville også tvinge føderale agenturer til at vedtage NIST AI Risk Management Framework og skabe AI-anskaffelsesretningslinjer for agenturer. Lige nu er det imidlertid staterne, hvor handlingen er.
Hvordan kan du forberede dig?
Hvordan kan virksomheder begynde at forberede sig på det, der allerede er ved at blive et kludetæppe af regulering på statsniveau omkring AI? ISO 42001-standarden tjener som en nyttig reference. Den skitserer kravene til et kunstig intelligens-styringssystem (AIMS), der omfatter politikker, procedurer og mål som en del af en styringsstruktur for brugen af AI-systemer. Den opfordrer også til gennemsigtighed og ansvarlighed i AI-baseret beslutningstagning, samtidig med at den hjælper organisationer med at identificere og afbøde AI-relaterede risici.
Efterhånden som statens regler vokser, er en ISO-standard en målestok, der viser god praksis og omtanke i en usikker tid for AI-regulering.
