בעוד הבינה המלאכותית (AI) ממשיכה לשנות את הדרך בה אנו חיים, עובדים ומתקשרים עם טכנולוגיה, קולורדו עשתה צעד משמעותי קדימה ברגולציה של מערכות אלו. נחתם לחוק על ידי המושל ג'ארד פוליס ב-8 ביוני 2021, חוק הבינה המלאכותית של קולורדו [1] (ידוע גם בשם חוק הסנאט 24-205) הוא החקיקה המקיפה הראשונה ברמת המדינה בארה"ב המסדירה את השימוש במערכות בינה מלאכותית. מטרת החוק היא לקדם שקיפות, אחריות והגינות בפיתוח ופריסה של מערכות בינה מלאכותית תוך הגנה על הזכויות והאינטרסים של הצרכנים והאזרחים.
הוראות עיקריות של החוק
המעשה מתמקד בעיקר במערכות בינה מלאכותית "בסיכון גבוה", שהן מערכות מבוססות בינה מלאכותית אשר, כאשר הן נפרסות, מקבלות "החלטות תוצאתיות". החלטות תוצאתיות הן החלטות שיש להן השפעה מהותית על ההזדמנות החינוכית של הצרכנים, תעסוקה, כספים והלוואות, שירותי בריאות, דיור, שירותים משפטיים או ממשלתיים.
חובות מפתח
"מפתחים", אלה שיוצרים או משנים באופן מהותי מערכת בינה מלאכותית בסיכון גבוה, חייבים לנקוט בזהירות סבירה כדי להגן על הצרכנים מכל סיכונים ידועים או צפויים של אפליה אלגוריתמית הנובעת מהשימוש במערכת ה-AI שלהם. בנוסף, "מפתחים" חייבים להנגיש את התיעוד, הגילויים והמידע הבאים ל"מפיצים" ולמפתחים אחרים של מערכת הבינה המלאכותית:
הצהרה כללית המתארת את השימושים הצפויים באופן סביר והשימושים המזיקים או הבלתי הולמים של מערכת הבינה המלאכותית בסיכון גבוה
תיעוד חושף:
– סיכומים ברמה גבוהה של סוג הנתונים המשמשים לאימון מערכת הבינה המלאכותית בסיכון גבוה
– מגבלות ידועות או צפויות באופן סביר של מערכת הבינה המלאכותית
– מטרת מערכת הבינה המלאכותית
– היתרונות והשימושים המיועדים שלו
– כל שאר המידע הדרוש לפורס כדי לעמוד בהתחייבויות של "המפיץ".
תיעוד המתאר:
– כיצד הוערכה מערכת הבינה המלאכותית לצורך ביצועים והפחתה של אפליה אלגוריתמית
– אמצעי ממשל הנתונים לכיסוי מערכי ההדרכה והאמצעים המשמשים לבחינת התאמתם של מקורות נתונים, כולל הטיות אפשריות והפחתה מתאימה
– התפוקות המיועדות של מערכת הבינה המלאכותית
– כיצד יש להשתמש במערכת, לא להשתמש בה ולהיות במעקב
כל תיעוד נוסף הדרוש באופן סביר כדי לסייע ל"המפיץ" בהבנת התפוקות ולנטר את הביצועים של מערכת הבינה המלאכותית
גילויים והודעות
"מפתחים" מחויבים לחשוף, באתר האינטרנט שלהם או במלאי מקרי שימוש ציבורי, הצהרה המסכמת את סוגי הבינה המלאכותית בסיכון גבוה שהמפתח פיתח או שינה וכיצד המפתח מנהל סיכונים של אפליה אלגוריתמית. בנוסף, "המפתח" נדרש לעדכן את הגילויים הללו עם שינוי מערכת הבינה המלאכותית.
בתוך 90 יום מרגע ש"מפתח" גילה שמערכת בינה מלאכותית בסיכון גבוה נפרסה וגרמה או סביר להניח שגרמה לאפליה, עליהם להודיע לתובע הכללי של קולורדו ולכל ה"מפסים" וה"מפתחים" המוכרים של מערכת AI.
חובות המעסיק
"מפיצים" הם גופים שעושים עסקים בקולורדו ופורסים (למשל, מיישמים או משתמשים עם השפעות צרכניות) מערכת בינה מלאכותית בסיכון גבוה. כמו "מפתח", גם "מפיץ" חייב לנקוט בזהירות סבירה כדי להגן על צרכנים מכל סיכונים ידועים או צפויים סבירים של אפליה אלגוריתמית ועליו להודיע לצרכנים כאשר הם פרסו מערכת AI בסיכון גבוה כדי ליצור, או להיות גורם מהותי ב קבלת, החלטה תוצאתית הנוגעת לצרכן. "מפיצים" נדרשים לחשוף:
תיאור של מערכת הבינה המלאכותית
תיאור מטרת מערכת הבינה המלאכותית
אופי ההחלטות הנובעות מתקבלות
הוראות כיצד לגשת לפרטים של מערכת הבינה המלאכותית באתר האינטרנט שלהם
לספק מידע לגבי זכותו של הצרכן לבטל את עיבוד הנתונים האישיים הנוגעים לצרכן לצורך יצירת פרופיל
הפוך זמין באופן ברור וזמין באתר האינטרנט שלהם, את סוגי מערכות הבינה המלאכותית בסיכון גבוה הפרוסות, האופן שבו הן מנהלות סיכונים ידועים או צפויים של אפליה אלגוריתמית, ואת האופי, המקור וההיקף של המידע שנאסף ומשמש על ידי מערכת AI
בתוך 90 יום מרגע שגילו שמערכת הבינה המלאכותית שלהם בסיכון גבוה גרמה או סביר להניח שהיא גרמה לאפליה, עליהם להודיע על כך לתובע הכללי של קולורדו
החלטות שליליות
כאשר מערכת בינה מלאכותית בעלת סיכון גבוה של "המפיץ" מקבלת החלטה תוצאתית שהיא פוגעת בצרכן, ה"מפיץ" חייב:
ספק לצרכן הצהרה המגלה:
– הסיבה או הסיבות העיקריות להחלטה הנובעת, לרבות המידה והאופן שבו תרמה מערכת הבינה המלאכותית להחלטה
– סוגי ומקורות הנתונים שעובדו על ידי מערכת הבינה המלאכותית בקבלת ההחלטה
לספק הזדמנות לצרכן לתקן כל מידע אישי שגוי ולערער על ההחלטה השלילית ולדרוש ביקורת אנושית
גילויים נוספים לצרכנים
בעוד הסעיפים לעיל מתייחסים
במיוחד למערכות בינה מלאכותית בסיכון גבוה, הגילויים הבאים חלים על כל מערכת בינה מלאכותית שצרכנים מקיימים איתה אינטראקציה. "מפיצים" של מערכות בינה מלאכותית (שאינן ברורות לאדם סביר) חייבים לחשוף שהמערכת איתה הצרכן מקיים אינטראקציה היא מערכת בינה מלאכותית.
אכיפה על ידי היועץ המשפטי לממשלה
לתובע הכללי של קולורדו יש סמכות בלעדית לאכוף את המעשה. ל"מפתחים" ול"מפרסים" העומדים בפני פעולת אכיפה יש הגנה חיובית אם שני הדברים הבאים נכונים:
הם מגלים ומרפאים הפרה של המעשה בגלל משוב, בדיקות יריבות או "צוות אדום" או תהליכי ביקורת פנימיים
הם עומדים בגרסה העדכנית ביותר של NIST AI Risk Management Framework [2] או מסגרת אחרת לניהול סיכונים מוכרת לאומית או בינלאומית עבור מערכות בינה מלאכותית, או כל מסגרת לניהול סיכונים שהוגדרה על ידי היועץ המשפטי לממשלה.
תקנות נוספות
היועץ המשפטי לממשלה רשאי לפרסם כללים נוספים לפי הצורך לצורך ביצוע המעשה ואכיפתו. שינויים אלה עשויים לכלול תיעוד ודרישות עבור "מפתחים", הודעות לצרכנים, גילויים נדרשים ומדיניות ונהלים של ניהול סיכונים והערכת השפעה.
קביעת מדיניות ותוכנית לניהול סיכונים
"מפיץ" של מערכת בינה מלאכותית בסיכון גבוה חייב ליישם ולתחזק מדיניות ותוכנית לניהול סיכונים לניהול מערכת הבינה המלאכותית, המשלבת את העקרונות, התהליכים והצוות שבהם משתמש "המפיץ" כדי לזהות, לתעד ולהפחית סיכונים של אפליה אלגוריתמית .
מסגרות ניהול סיכונים מקובלות כוללות את מסגרת ניהול הסיכונים בינה מלאכותית של NIST [3], ISO/IEC 42001 [4] או תקני ניהול סיכונים מוכרים בינלאומיים אחרים, מקבילים באופן מהותי.
הערכת השפעה
בתוך 90 יום מרגע כניסת המעשה לתוקף, "מפיץ" או צד שלישי שחוזהו על ידי "המפתח" חייבים להשלים הערכת השפעה שחוזרת על עצמה מדי שנה ובכל פעם שמתרחשים שינויים מהותיים במערכות בינה מלאכותית בסיכון גבוה. הערכת ההשפעה חייבת לכלול, לכל הפחות:
הצהרה החושפת את המטרה, מקרי השימוש המיועדים והיתרונות שמעניקה מערכת הבינה המלאכותית בסיכון גבוה
ניתוח של האם פריסת מערכת הבינה המלאכותית מהווה סיכונים כלשהם של אפליה אלגוריתמית והצעדים שננקטו כדי להפחית סיכונים אלו
תיאור של קטגוריות הנתונים שמערכת הבינה המלאכותית מעבדת כקלט והפלטים שמערכת הבינה המלאכותית מייצרת
כל המדדים המשמשים להערכת הביצועים והמגבלות של מערכת הבינה המלאכותית
תיאור של אמצעי שקיפות כלשהם שננקטו כדי להודיע למשתמש שמערכת הבינה המלאכותית נמצאת בשימוש
תיאור של ניטור לאחר הפריסה ואמצעי הגנה למשתמשים
פטורים למדיניות AI בסיכון גבוה
ה"פריסה" מעסיקה פחות מ-50 עובדים
"המפיץ" אינו משתמש בנתונים שלו כדי לאמן את מערכת הבינה המלאכותית
מערכת ה-AI משמשת למטרה המיועדת לה
"המפיץ" מעמיד לרשות הצרכנים כל הערכת השפעה שה"מפתח" של מערכת הבינה המלאכותית השלים
מה צריכים ארגונים לעשות כדי להתכונן לציות?
החוק ייכנס לתוקף ב-1 בפברואר 2026, ויעניק לארגונים שנתיים להתכונן לציות. ארגונים הפועלים בקולורדו וממנפים בינה מלאכותית צריכים לשקול את הצעדים הבאים כדי לעמוד בדרישות:
מנה צוות שיוביל את מאמצי הציות ל-AI
ערכו מצאי והערכה של מקרי שימוש קיימים ומתוכננים של בינה מלאכותית וקבעו האם הם עומדים בתקן של מערכת בינה מלאכותית בסיכון גבוה
הטמעת מסגרת לניהול סיכונים בינה מלאכותית, כגון מסגרת ניהול הסיכונים בינה מלאכותית של NIST [5]
צור ותעד את המדיניות והנהלים לחשיפה, הסבר והערכת מערכות AI, ולהתייחסות למשוב ממשתמש הקצה או הצרכן
הגדר את הבסיס לביצוע הערכות השפעה על ידי זיהוי המדיניות, התהליכים והמשאבים הדרושים לארגון, ביצוע, תיעוד, ניתוח ומעקב אחר השפעת AI
ליישם ולבדוק את המנגנונים והכלים למתן התיעוד הנדרש, גילויים ומידע נדרש אחר
להכשיר ולחנך את הצוות ומחזיקי העניין על ההשלכות האתיות והמשפטיות של מערכות בינה מלאכותית, ועל שיטות העבודה המומלצות לתכנון והפעלתן
עקוב ובדוק מערכות AI באופן קבוע כדי להתאים ולשפר לפי הצורך
ארגונים המפתחים או פורסים מערכות בינה מלאכותית לשימוש בקולורדו צריכים לשקול הערכת מוכנות לבינה מלאכותית כדי לזהות פערים במוכנות הארגונית ולבנות מפת דרכים להשגת עמידה בתקנות המשתנות ולשמור עליהן.
מה זה אומר עבור חברות מחוץ לקולורדו?
למרות שהחקיקה חלה ישירות על ארגונים שעושים עסקים בקולורדו, חוק הבינה המלאכותית של קולורדו היא חקיקה ציונית שקובעת תקדים למדינות אחרות. יוטה חוקקה חקיקה הקובעת אחריות לשימוש בבינה מלאכותית שמפרה את חוקי הגנת הצרכן אם לא נחשפה כהלכה. בנוסף, לארבע מדינות אחרות (קליפורניה, אילינוי, מסצ'וסטס, אוהיו) יש חשבונות פעילים הקשורים לשימוש הוגן ואחראי בבינה מלאכותית.
התפשטות מדיניות זו משקפת
היא המודעות והדאגה הגוברת לגבי ההשפעות והסיכונים הפוטנציאליים של מערכות בינה מלאכותית על החברה והפרטים. ארגונים עם פעילות במדינות מושפעות יצטרכו להתאים את נוהלי הבינה המלאכותית שלהם עם הסטנדרטים הרגולטוריים של המדינה, מה שעשוי לעורר אימוץ רחב יותר של הנחיות אלה כדי להבטיח עקביות בכל הפעילות שלהם.
לבסוף, חשוב לעקוב אחר הנוף הרגולטורי המשתנה של AI, לערוך הערכות סיכונים ופגיעות קבועות של מערכות AI ולהבטיח שהממשל מיושם בכל הארגון.
