科羅拉多在AI法律生效前兩週將其推翻重寫,從風險管理退守至資訊揭露
科羅拉多州長Jared Polis於5月簽署SB 189,在原AI消費者保護法6月30日生效前將其廢除重建。新法棄守全面性風險管理框架,改採更輕量的透明度與揭露要求——這是美國最具雄心的州級AI監管嘗試,在聯邦壓力與產業遊說下黯然退場。
2024年,科羅拉多州通過《人工智慧消費者保護法》(SB 24-205)時,外界一片讚聲,稱之為里程碑:這是全美第一部對AI系統開發者和部署者課以全面風險管理義務的州級法律,被視為可能成為美國AI監管的參考藍本,媲美歐盟AI法案的整體精神。
兩年後,距離法律原定執行日期6月30日不到兩週,科羅拉多悄悄用一部力道大幅縮水的法律取而代之。
廢除重來
2026年5月14日,科羅拉多州長Jared Polis簽署第189號參議院法案(SB 189),正式廢除並取代原《AI法案》(SB 24-205),同時將新法生效日期延後至2027年1月1日。這次改版並非修補細節,而是徹底放棄原法案最核心的制度設計。
原《科羅拉多AI法案》以風險為本(risk-based)框架為核心:開發或部署「高風險」AI系統的公司——即系統被用於或實質影響就業、醫療、金融服務、教育、住房和政府福利等領域之重大決策的系統——須在部署前進行影響評估、建立正式的風險管理程序、記錄並測試演算法偏見,並提供消費者有人工審查為後盾的實質申訴權利。
以美國州級法律的標準來衡量,這是一套極為嚴苛的合規要求。對於在受規範領域大規模部署AI的企業,所需的組織投入可比肩歐洲GDPR合規的規模。
取而代之的是什麼
SB 189保留了保護消費者免受有害AI決策侵害的高層目標,但實現機制徹底轉向:從風險管理,換成透明度與揭露(transparency and disclosure)。
開發者必須向部署者提供技術文件,涵蓋訓練資料類別、已知限制和重大風險,並在系統有重大更新時通知部署者。
部署者須在使用「自動化決策技術」(ADMT)作出重大決定前,提前告知消費者;在決策對消費者造成不利結果後,須於30天內發出通知。相關記錄須保存三年。消費者如受到不利決定影響,可要求更正資料,並獲得「在商業合理範圍內」的有意義的人工審查——這個限定語,大幅軟化了原法案對人工審查的強制要求。
整體監管哲學從「企業必須在部署前證明安全」轉向「企業必須告知消費者在做什麼」——這大致等同於藥品上市前審批和食品營養標示之間的差距:都是監管要求,但對企業負擔和對消費者保護的力度天差地別。
為何退縮
這次改版,是多重壓力在2025至2026年間共同作用的結果。
產業遊說持續且強力。大型科技公司、金融機構和保險業者主張,影響評估和風險管理程序的合規負擔不成比例,法條措辭過於模糊,且與其他州法律不一致,在全國運營的公司面臨破碎化的合規成本。
聯邦預先占領(preemption)壓力來自華盛頓。川普政府責成商務部識別「過度嚴苛」的州級AI法律,一項旨在維護美國AI領導地位的行政命令明確針對州級監管的碎片化。科羅拉多州議會和州長部分是為了防範聯邦預先占領使州法失效、令所有合規投入化為烏有而提前行動。
訴訟帶來了即時的法律不確定性。馬斯克旗下x.AI向聯邦法院提起訴訟,尋求禁制令阻止原《科羅拉多AI法案》執行,主張該法案違憲且與聯邦框架相衝突。在案件審理期間,x.AI必須在2026年6月11日前就SB 189提出新的禁制令申請——令即便是縮水後的要求,也存在能否最終生效的疑問。
州長Polis本人的態度始終留有餘地。這位同時力推科羅拉多成為AI創新重鎮的州長,從未完全擁抱原法案,還親自召集工作小組研究是否應予全盤改寫——最終催生了SB 189。
美歐監管的鮮明對照
科羅拉多的退步,與大西洋彼岸的走向形成鮮明對比。歐盟AI法案已進入執行倒數,2026年8月起,針對就業、關鍵基礎設施、教育和金融服務等高風險AI應用的合規要求將對在歐盟境內運營的企業全面生效。歐盟框架要求對高風險AI進行上市前符合性評估,最高風險類別須通過第三方稽核,違規罰款最高可達全球年營業額的3%至7%。
相較之下,美國沒有任何聯邦AI法規在執行,而且親眼目睹最具雄心的州級監管嘗試在正式生效之前便已退場。這場跨大西洋的監管分歧,可能日益影響AI公司決定在哪裡投入合規基礎設施,以及在哪裡推出試驗性系統。
對企業的實務意義
對於一直備戰6月30日執行日期的企業,SB 189帶來的是合規成本的即時解脫——尤其是影響評估和AI風險管理治理程序的建置需求。
但法律顧問建議企業不要就此放棄AI治理工作。SB 189的透明度要求仍需相應基礎設施:生成事前與事後通知的系統、記錄保存程序,以及與供應商明確約定ADMT相關合規責任分配的合約條款。
從更宏觀的視角看,科羅拉多事件提醒我們:美國的AI監管環境仍處於真正意義上的不穩定狀態。只對「目前最低法律標準」進行合規投入、將AI治理視為需最小化的成本的企業,將在監管地板不斷以不可預測的方式移動時,反覆承受突如其來的衝擊。
至於歐盟的合規時鐘,無論科羅拉多發生了什麼,都在不停走動。對有歐盟市場業務的企業而言,科羅拉多議會剛剛放棄的那套全面性風險管理義務,正是布魯塞爾現在正在要求的事情。