伊利諾州通過全美首部強制 AI 安全稽核法案

2026 年 5 月 27 日，伊利諾州眾議院以 110 比 0 的壓倒性票數通過了參議院第 315 號法案（SB 315），寫下美國立法史上的重要一頁——這是全美第一部明文要求前沿 AI 公司接受強制性、年度獨立安全稽核的州法律。州長 J.B. Pritzker 已公開表態將簽署此案，並稱之為「負責任 AI 治理的典範」。

在聯邦政府持續採取去監管立場的背景下，伊利諾州主動填補政策真空。更值得關注的是，本應是法規最大利害關係人的 OpenAI 與 Anthropic，竟雙雙公開表態支持——這在科技業的立法博弈中極為罕見。

法案的四大核心義務

SB 315 對適用企業設立了四項具體義務：

一、重大風險框架：前沿開發商必須制定、公開並每年更新安全框架，涵蓋災難性風險評估、緩解措施、資安態勢、內部治理架構、第三方評估，以及企業自身使用前沿模型所衍生的風險。此框架必須向公眾開放，而非僅供監管機關審閱，意味著競爭對手、研究人員與一般大眾皆可檢視各公司的安全承諾。

二、年度獨立稽核：每年須聘請獨立第三方稽核機構，驗證企業安全實踐與公開框架的一致性。這是美國法律中前所未有的規定。金融業的會計稽核可作為粗略類比，但 AI 安全稽核尚屬早期發展階段，相關標準仍在摸索中。

三、事故通報：企業發現重大 AI 安全事故後，須在 72 小時內向伊利諾州主管機關通報；若事故涉及死亡或嚴重人身傷害的即時風險，通報期限壓縮至 24 小時。如此明確的時限設定，顯示法案起草者已考慮到 AI 系統提供危險指示、輔助生化攻擊，或直接引發實體傷害等情境。

四、吹哨人保護：法案為提出內部安全疑慮、向監管機關通報或揭露潛在違規的員工建立正式保護機制。在前沿 AI 產業高度集中、從業人數相對有限的結構下，這項條款若能落實，可能為業界研究人員提供重要的制度出口。

誰受規範？誰不受規範？

法案的適用範圍刻意設計得相當精準：年度總營收超過 5 億美元，且開發或部署達到前沿規模算力門檻的模型的企業，方屬適用對象。換言之，實際涵蓋的主要是 OpenAI、Anthropic、Google、Meta 等少數大型開發商，不包括數以千計基於前沿模型之上開發應用的下游公司。

這樣的設計反映一個政策判斷：AI 系統的主要安全風險源於最頂端的前沿模型，而非整個 AI 軟體生態系。批評者認為，僅針對前沿開發商的合規門檻，會讓新創公司有意識地避開規範；支持者則指出，前沿模型開發所需的資源規模，本就將適用對象限制在少數大型機構。

違規罰款設為每次最高 300 萬美元，由伊利諾州檢察長專責執法。按次計罰的結構意味著，若企業在多項要求上系統性地不合規，累積罰款可能遠超單次上限。

弔詭的業界支持

SB 315 最引人側目之處，不在其條文內容——許多規定其實與 AI 安全研究者長期倡議的框架高度吻合——而在於支持者的構成：OpenAI 與 Anthropic 這兩家將承擔最重合規義務的公司，都公開表態支持法案。

這背後或許交織著策略考量與真誠的安全關切。從策略角度看，年度稽核加上 5 億美元的適用門檻，形成了對小型競爭者較難跨越的合規壁壘，客觀上有利於現有前沿開發商維持市場地位。Anthropic 長期主張外部問責機制有助於驗證以安全為導向的公司是否言行一致，支持稽核制度也符合其一貫立場。

反對聲音主要來自代表更廣泛 AI 公司的產業公會 NetChoice，其質疑集中在「前沿模型」與「災難性風險」等定義模糊的用語，這也是針對早期科技法規的標準論點。

伊利諾州填補的聯邦政策真空

SB 315 的出現，背景是聯邦層面刻意退出 AI 監管。川普政府 2026 年初發布的《國家人工智慧政策框架》採取去監管立場，明確憂慮州級 AI 法律形成「法規拼布」，削弱美國科技競爭力。國會雖有多項聯邦預先佔據州法的提案，但均未推進至表決。

伊利諾州眾議院的全體一致通過——跨越黨派界線——顯示 AI 安全正在獲得超越聯邦去監管共識的兩黨政治能量。Pritzker 的論點直接訴諸風險現實：「我們不能等到災難性失敗發生，才去弄清楚最大的 AI 公司究竟有沒有認真管理他們自己承認存在的風險。」

稽核標準的建立挑戰

法案面臨的最大實務挑戰在於：AI 安全稽核目前並無成熟的專業標準。財務稽核有 PCAOB，環境稽核有 EPA 認證體系；AI 安全稽核目前仍處於倡議文件、學術論文和少數草創機構摸索實踐的階段。

法案生效後，伊利諾州監管機關必須回答：什麼樣的稽核機構具有資格？安全稽核的可核實標準是什麼？如何區分真正可稽核的安全實踐與流於形式的政策宣示？這些都是實質難題，SB 315 能否產生真正問責，而非淪為文書作業，在很大程度上取決於監管機關的答案品質。

全美示範效應或一州孤例？

每部州級科技法規都面臨同一個懸念：它會成為全國浪潮的起點，還是聯邦政府最終預先佔據的孤例？

加州的前例值得參照。CCPA 和 CPRA 通過後，全美並未出現聯邦法律預先佔據加州隱私法的情況；恰恰相反，許多企業選擇全面適用加州標準，因為針對一州單獨合規的成本遠高於統一採納。如果伊利諾州的 AI 安全要求演變成業界為避免各州法規拼布而主動採納的全國預設標準，法案就算在沒有聯邦行動的情況下，也達到了目標。

眾議院的零票反對、州長的熱情支持，以及業界罕見的廣泛背書，都顯示 SB 315 具備比一般州級科技立法更強的政治韌性。法案的真正意義或許不僅在於它將在伊利諾州產生什麼效果，更在於它已確立了一個先例：強制 AI 安全稽核在法律上是可行的、在政治上是可實現的，連最頂尖的 AI 公司，至少在原則上，也是支持的。