科罗拉多州AI法案修订:算法问责新框架解析
这是美国州级 AI 立法的里程碑事件。科罗拉多州原定于 2026 年 6 月 30 日生效的 SB 24-205——美国首部综合性州级 AI 法律——在生效前三周被完全推翻,替代为 SB 26-189 ,生效日推至 2027 年 1 月 1 日。这不仅是一次法案更新,更是美国 AI 监管哲学从"恐惧驱散"转向"精准问责"的标志性转折。
在全球 AI 立法地图中,科罗拉多州正在探索一条与欧盟 AI Act 截然不同的路径:欧盟选择了"风险分级+严格合规"的重模式,科罗拉多则试图用"实质性影响"门槛+消费者事后救济的轻量级方案来平衡创新与保护。这种实验对全球其他国家和地区的 AI 监管路径选择具有重要参考价值。
如果你是 AI 从业者、创业者或投资人,这篇文章为什么值得一读?
核心变化一句话概括: - 消费者保留了对重大自动决策的知情权、解释权和人工复核权 - 企业免除了原有的风险管理、影响评估等广泛治理义务 - 部分联邦监管实体的豁免被取消,更多企业被纳入管辖 - 总检察长规则制定变为强制性,须在 2027 年 1 月 1 日前完成
关键转折点:
旧法 SB 24-205 使用的是"高风险人工智能系统"( high-risk AI systems )这一概念。这个定义的边界非常模糊——只要一个 AI 系统在就业、住房、医疗、保险、教育、贷款等重大决策中发挥了"任何有意义的作用",就可能被纳入监管。这种宽泛的定义让企业很难判断自己是否需要合规,也让监管机构面临"什么都管、什么都管不好"的困境。
新法 SB 26-189 将核心概念替换为"覆盖性自动决策技术"( covered Automated Decision-Making Technology ,简称 covered ADMT )。这个转变不是换了个名字,而是监管哲学的根本调整:从"规制技术本身"转向"规制技术对个人的实质性影响"。
什么是 covered ADMT?
新法定义的核心触发条件是:系统必须处理个人数据,并且"实质性影响"( materially influence )决策结果。这意味着:
覆盖领域保持不变:就业(招聘、晋升、解雇)、住房(租赁、购房贷款)、贷款与信贷、保险(承保、定价、理赔)、医疗服务、教育(录取、奖学金)、政府基本服务。但新法增加了一个关键过滤层——只有在这些领域内实质性影响决策的 ADMT 才被覆盖。
2.2 企业义务
新法在执法机制上做了两项关键调整,直接改变了企业的风险敞口结构。
第一,私人诉讼权的明确排除。
旧法 SB 24-205 对私人诉讼权( private right of action )的表述比较模糊,留给了原告律师一定的解释和争辩空间——理论上,消费者可以尝试依据该法直接起诉企业。新法则彻底堵死了这条路径:只有科罗拉多州总检察长有权执法,个人不能依据 SB 26-189 直接向法院起诉企业。
这是什么意思?打个比方:假设一家银行使用 AI 系统审批贷款,你认为这个系统对你做出了不公平的不利决定。在新法框架下,你不能直接去法院告这家银行违反 SB 26-189 。你唯一的路径是向州总检察长办公室投诉,由总检察长判断是否启动调查或诉讼。这意味着执法的节奏、标准和资源分配完全集中在政府手中,消费者失去了"自力救济"的渠道。对企业而言,这大幅降低了面对海量个人诉讼的风险——在加州 CCPA 或伊利诺伊 BIPA 等法律下,集体诉讼( class action )是企业的噩梦;科罗拉多新法明确避开了这个模式。
第二,整改权( right to cure )的保留与日落。
新法保留了"整改权"机制:如果企业被发现违反 SB 26-189 ,总检察长必须先发出通知,给予企业60 天的整改期。如果企业在 60 天内纠正了违规行为,就可以免于被起诉或罚款。这在州隐私法中是常见设计(类似 CCPA 的 30 天 cure period ),目的是鼓励企业主动合规而非直接惩罚。
但新法增加了一个关键的"日落条款"( sunset provision ):整改权将在 2030 年到期。这意味着, 2030 年之后,总检察长可以不再给予整改机会,直接对违规行为采取执法行动。这个设计传递了一个明确的信号——立法者给企业几年的适应期,但最终目标是建立真正的威慑力。对投资者和企业法务而言, 2030 年是一个需要标记在日历上的关键时间节点。
第三,规则制定从"可做可不做"变成"必须做"。
旧法将规则制定权授予总检察长,但使用的是 permissive 语言——总检察长"可以"制定规则。新法则将其改为 mandatory :总检察长"必须"在 2027 年 1 月 1 日前完成规则制定。这意味着, 2027 年 1 月 1 日不仅是法律的生效日,也是关键实施细则的截止日。企业在那之前面临的是一个"合规标准尚未完全明确"的灰色期。
第四,联邦实体豁免的收缩。
旧法对部分受联邦监管的企业(如某些银行、保险公司)给予有条件的豁免。新法取消了部分这类豁免,意味着更多原本认为自己处于州法管辖之外的企业现在需要关注 SB 26-189 的合规要求。这是新法"收窄深度、扩大广度"策略的体现——虽然对单个企业的义务减轻了,但被纳入管辖的企业数量反而可能增加。
新法保留了"算法问责"的核心精神,但将其嵌套在更窄的技术定义中。重要的是,这里的权利设计不是让消费者"审查算法怎么工作",而是让消费者在受到实质影响时"知情并寻求救济"——它们是一组事后问责权,而非事前审查权。
这些权利具体是什么?
知情权(不是"看源代码",而是"知道 AI 参与了") - 如果一个覆盖性 ADMT 对重大决策产生了实质性影响,企业必须主动告知消费者:这个决策使用了自动化系统。 - 注意:消费者不是获得"算法如何运作"的技术透明度,而是获得"这个决策有 AI 参与"的信息公示。比如一家银行用 AI 审批贷款,它需要告诉借款人"我们的贷款审批流程中使用了自动化决策系统",但不需要公开详细的模型参数。
解释权(不是"要求公开算法",而是"为什么被拒绝") - 当消费者遭受不利决策(如贷款被拒、简历被筛掉)时,有权要求企业解释:这个决策是怎么做出的?哪些因素起了作用? - 这类似于信用卡申请被拒时银行提供的"不利行动通知书"( adverse action notice ),但扩展到了更广泛的 AI 自动化决策场景。消费者可以了解:是否是 AI 系统的评分导致了负面结果,还是有其他因素?
纠正权(不是"修改算法",而是"修正自身数据") - 消费者有权要求纠正涉及自身的错误信息。比如,如果信用评分模型误将你的居住地记录或工作经历写错了,从而导致贷款被拒,你可以要求企业修正这些输入数据。 - 这与信用报告中的错误纠正机制( Fair Credit Reporting Act )类似,但适用于更多类型的自动化决策。
人工复核权(不是"找个人类签字",而是"真正重新审查") - 消费者有权要求企业进行"有意义的人工复核"( meaningful human review )。这不是形式主义地找个员工在文件上签个字——而是要求真正有人类以自己的判断对决策进行审查,考虑原告提供的新信息或异议,并有权改变结果。 - 例如:如果你被 AI 拒绝了住房申请,你要求复核后,一个真正的房产经理人应该重新审查你的材料,而不是只是看一眼 AI 的评分就签字确认。
这些权利的共同特征:它们都是"after-the-fact"事后权利——消费者不能在企业使用 AI 之前就去法院要求停止,也不能在诉讼中索要企业公开算法的完整细节。但一旦决策对自己产生了实质性不利影响,消费者就拥有了一套"知情—解释—纠正—复核"的救济通道,并且必须由总检察长代为执行。
覆盖的"重大决策"领域: - 就业(招聘、晋升、解雇) - 住房(租赁、购房贷款) - 贷款与信贷 - 保险(承保、定价、理赔) - 医疗服务 - 教育(录取、奖学金) - 政府基本服务
2026 年 6 月 4 日,众议员 Jay Obernolte (共和党)和 Lori Trahan (民主党)发布了 Great American AI Act 的 bipartisan 讨论草案。这份草案中有一个条款,在美国 AI 监管的地缘政治版图上投下了一颗重磅炸弹:三年联邦优先权( three-year federal preemption )。
联邦优先权( federal preemption )是美国法律体系中的一种"上位法压倒下位法"机制。简单来说,当联邦法律和州法律在某个领域发生冲突时,联邦法律优先适用,州法律的相关条款被视为无效。这在很多领域都很常见——比如航空安全、药品审批,都是联邦标准一统天下,各州不能自己另搞一套。
Great American AI Act 草案提出的"三年联邦优先权"意味着:在法案生效后的三年内,各州不得自行制定针对 AI 模型开发的监管规则——联邦标准将是唯一的游戏规则。三年期满后,各州可以重新制定自己的规则,或者国会选择延长优先权。
但这里有三个关键的限定条件:
优先权范围很窄:草案中的优先权仅适用于 AI 模型的"开发"环节,不涵盖模型的"部署"或"使用"。也就是说,联邦政府想统一的是"怎么训练基础模型"的规则,而不是"企业怎么用模型做招聘决策"的规则。
科罗拉多州的处境: SB 26-189 规制的恰恰是部署层和使用层(企业怎么用 ADMT 做重大决策),而非模型层( OpenAI 怎么训练 GPT-6 、 Anthropic 怎么训练 Claude 4 )。因此,科罗拉多法律很可能完全落在联邦优先权的范围之外。即使 Great American AI Act 通过,科州的 ADMT 规则仍然有效。
草案距离成法还很远:这份文件目前只是"讨论草案"( discussion draft ),尚未进入正式的立法程序。消费者倡导团体已经强烈批评这一优先权条款,称其为"代际错误"( generational mistake )——认为它会冻结州层面的创新监管实验,让大型科技公司获得三年"监管假期"。在大选年的政治环境下,这份草案能否通过、通过时优先权条款是否会被保留或修改,都是高度不确定的。
利好:
免除了繁重的风险管理程序和影响评估义务:旧法要求企业建立完整的风险管理框架,定期做影响评估,这对中小型 AI 应用公司是一笔不小的合规成本。新法取消这些前置义务,转而聚焦于消费者的权利保障(披露、解释、复核),大幅降低了合规门槛。
明确排除私人诉讼权,降低诉讼风险:如前所述,新法明确只有总检察长能执法,个人不能依据该法直接起诉。这是什么意思?在加州 CCPA 或伊利诺伊 BIPA 下,一支原告律师军团可以批量发起集体诉讼,企业即使最终胜诉也要付出巨额律师费。科罗拉多新法从根本上消除了这个风险敞口。执法权集中在总检察长一人手中,企业面对的对手从"无数个人原告"变成了"一个政府机构",诉讼策略和成本结构完全不同。
获得额外 6 个月缓冲期:从 2026 年 6 月 30 日推迟到 2027 年 1 月 1 日,给企业多出了近半年的准备时间。
利空:
部分原认为自己受联邦监管豁免的企业现在被纳入管辖:特别是金融服务和保险领域的一些企业,原本可能依赖联邦豁免来规避州 AI 法,现在需要重新评估合规策略。
总检察长强制规则制定意味着合规标准仍有重大不确定性: 2027 年 1 月 1 日才生效,但关键概念( materially influence 的认定标准、披露的具体形式、人工复核的最低要求)都依赖总检察长的规则制定。企业在 2026 年下半年处于一个"知道有法律要来,但不知道具体标准是什么"的尴尬期。
"materially influence"的宽泛解释可能将更多工具纳入管辖:虽然定义本身比旧法更窄,但如果总检察长在规则制定中采取宽泛解释(例如,将"影响进入面试名单"也视为 materially influence ),实际覆盖范围可能超出当前预期。
联邦优先权若通过,对模型层企业是一大利好。
如果 Great American AI Act 通过且其三年优先权条款保留,基础模型开发者(如 OpenAI 、 Anthropic 、 Google DeepMind 、 Meta AI )将在三年内享有统一的联邦监管环境,不必面对 50 个州各不相同的规则。这降低了合规的复杂度和成本,尤其对于这些公司的法务和政策团队而言,是实实在在的减负。
但需要注意的是,这份草案的优先权只覆盖模型开发,不覆盖模型的部署和使用。而 SB 26-189 聚焦的恰恰是部署层——即企业如何将模型应用到招聘、贷款、保险等具体场景中。因此,科罗拉多法律对模型层企业的直接影响其实很有限。 OpenAI 不会因为科州法律而改变 GPT 的训练方式;但使用 GPT API 做简历筛选的 HR SaaS 公司,则需要认真研究科州的新规则。
简单来说:模型层企业受联邦变量影响更大,受科州变量影响更小;应用层企业则相反。
"materially influence"的界定:总检察长将如何定义这一阈值?是否会参考欧盟 AI Act 中"substantially influence"的判例?
与欧盟 AI Act 的互操作性:在科州开展业务的跨国企业,其合规体系能否同时满足欧盟风险分级和科州 ADMT 披露要求?
Great American AI Act 的政治前景: bipartisan 草案在 2026 年大选年的通过概率?消费者团体的"代际错误"批评能否形成足够阻力?
其他州的跟随效应:伊利诺伊、纽约、加州等是否会在科州"窄化"路径上跟进,还是坚持更宽泛的规制模式?
对 AI 投资的影响:州级监管不确定性(三层不确定性堆叠)是否会影响 AI 应用层企业的估值逻辑?
参考链接
[1] TechTimes - Colorado's AI Law Takes Effect [[June]] 30 (Jun 8, [[2026]]): https://www.techtimes.com/articles/318002/20260608/colorados-ai-law-takes-effect-june-30-it-gives-you-right-appeal-decision-ai-made-about-you.htm