AI-wetgeving in Amerikaanse staten
Overzicht van AI-wetgeving in Amerikaanse staten, waaronder de Colorado AI Act, Californische AI-wetsvoorstellen, de Illinois BIPA voor AI en de compliance-uitdagingen van een gefragmenteerd regelgevingslandschap.
Bij gebrek aan uitgebreide federale AI-wetgeving zijn Amerikaanse staten vooropgegaan met hun eigen AI-regelgeving. Dit creëert een gefragmenteerd compliancelandschap dat van invloed is op hoe AI-systemen worden ontwikkeld, gedeployd en getest. Red teamers moeten deze wetten begrijpen omdat ze de scope van opdrachten bepalen, vaststellen welke tests wettelijk verplicht zijn en beïnvloeden hoe bevindingen worden gerapporteerd.
Colorado AI Act (SB 21-169 / SB 24-205)
Colorado heeft de meest uitgebreide AI-regelgeving op staatsniveau in de Verenigde Staten ingevoerd. De Colorado AI Act is van toepassing op ontwikkelaars en deployers van "high-risk AI systems" die ingrijpende beslissingen nemen over consumenten.
Belangrijkste vereisten
| Vereiste | Details | Red Team-relevantie |
|---|---|---|
| Risicobeheer | Ontwikkelaars en deployers moeten redelijke risicobeheerprogramma's implementeren | Red team-testen valideert de effectiviteit van risicobeheer |
| Impactbeoordelingen | Jaarlijkse impactbeoordelingen voor AI-systemen met een hoog risico | Red team-bevindingen voeden de inhoud van impactbeoordelingen |
| Preventie van algoritmische discriminatie | Moet redelijke zorgvuldigheid betrachten om te beschermen tegen algoritmische discriminatie | Bias-testen en fairness-beoordeling zijn direct vereist |
| Transparantie | Moet aan consumenten kenbaar maken wanneer AI wordt gebruikt voor ingrijpende beslissingen | Testen of disclosure-mechanismen correct functioneren |
| Documentatie | Moet documentatie bijhouden van de mogelijkheden en beperkingen van het AI-systeem | Nauwkeurigheid van documentatie verifiëren tegen het werkelijke systeemgedrag |
Definitie van AI-systeem met hoog risico
Colorado definieert AI-systemen met een hoog risico als systemen die ingrijpende beslissingen nemen, of een substantiële factor zijn bij het nemen daarvan, in specifieke domeinen:
| Domein | Voorbeelden | Testfocus |
|---|---|---|
| Onderwijs | Inschrijving, discipline, beoordeling | Bias in voorspellingen van onderwijsresultaten |
| Werkgelegenheid | Werving, promotie, ontslag | Discriminatie bij cv-screening, interviewanalyse |
| Financiële diensten | Kredietverlening, verzekering, kredietscoring | Naleving van eerlijke kredietverlening, ongelijkheden tussen beschermde groepen |
| Gezondheidszorg | Behandelaanbevelingen, verzekeringsdekking | Bias in klinische beslissingen, fairness van dekkingsaanbevelingen |
| Huisvesting | Huuraanvragen, hypotheekgoedkeuringen | Naleving van eerlijke huisvesting, testen op ongelijke impact |
| Juridische diensten | Strafmaataanbevelingen, vrijlatingsbeslissingen | Bias in risicobeoordelingsscores, nauwkeurigheidsverificatie |
Verplichtingen van ontwikkelaar vs. deployer
| Verplichting | Verantwoordelijkheid ontwikkelaar | Verantwoordelijkheid deployer |
|---|---|---|
| Risicobeheerprogramma | Implementeren tijdens ontwikkeling | Implementeren voor de deploymentcontext |
| Impactbeoordelingen | Technische documentatie aan deployers verstrekken | Deployment-specifieke impactbeoordelingen uitvoeren |
| Discriminatietesten | Testen op algoritmische discriminatie | Monitoren op discriminerende uitkomsten in productie |
| Transparantie | Systeemmogelijkheden en -beperkingen documenteren | AI-gebruik aan consumenten kenbaar maken |
| Incidentrapportage | Bekende discriminatie melden aan deployers en AG | Ontdekte discriminatie melden aan AG |
Californische AI-wetgeving
Californië heeft meerdere AI-gerelateerde wetsvoorstellen nagestreefd, waardoor een gelaagde regelgevende omgeving is ontstaan:
Belangrijkste Californische AI-wetten en -wetsvoorstellen
| Wet/wetsvoorstel | Status | Focus | Belangrijkste vereisten |
|---|---|---|---|
| SB 1047 (Safe and Secure Innovation for Frontier AI Models Act) | Vetoed 2024, herziene versies in behandeling | Veiligheid van frontier-modellen | Veiligheidstests, kill switch-vereisten, incidentrapportage |
| AB 2013 (AI Transparency Act) | Enacted 2024 | Transparantie van trainingsdata | AI-ontwikkelaars moeten samenvattingen van trainingsdata openbaar maken |
| AB 2885 (AI definition) | Enacted 2024 | Definitorisch | Stelt de staatsdefinitie van kunstmatige intelligentie vast |
| SB 942 (California AI Transparency Act) | Enacted 2024 | Outputlabeling | Vereist detectietools voor AI-gegenereerde inhoud, watermerken |
| AB 1008 (Automated decision-making) | In behandeling | Werkgelegenheidsbeslissingen | Beperkingen op geautomatiseerde tools voor werkgelegenheidsbeslissingen |
Nalatenschap en aanhoudende impact van SB 1047
Hoewel SB 1047 in september 2024 werd geveto'd door Governor Newsom, blijven de concepten ervan de beleidsdiscussies in Californië en op nationaal niveau beïnvloeden. Het wetsvoorstel zou het volgende hebben vereist:
- Pre-deployment veiligheidstests voor frontier-modellen (compute-drempel: 10^26 FLOP of $100M trainingskosten)
- Kill switch-mogelijkheden voor gedeployde modellen
- Veiligheidsaudits door derden
- Incidentrapportage voor veiligheidsfalen
- Klokkenluidersbescherming voor zorgen over AI-veiligheid
Red team-implicaties: Zelfs zonder SB 1047 worden de veiligheidstestconcepten die het voorstelde industrienormen. Red teamers moeten erop voorbereid zijn de soorten beoordelingen uit te voeren die het wetsvoorstel voor ogen had, aangezien herziene wetgeving wordt verwacht.
California Consumer Privacy Act (CCPA) en AI
De CCPA en de wijziging ervan (CPRA) hebben AI-specifieke implicaties via de regelgeving van de California Privacy Protection Agency over automated decision-making technology (ADMT):
| CCPA/CPRA-vereiste | AI-toepassing | Red Team-test |
|---|---|---|
| Recht op informatie | Consumenten kunnen vragen welke data AI-systemen over hen verzamelen | Verifiëren dat data-disclosure-mechanismen correct werken |
| Recht op verwijdering | Consumenten kunnen verzoeken om verwijdering van data die door AI wordt gebruikt | Testen of verwijdering data daadwerkelijk uit AI-systemen verwijdert |
| Recht op opt-out | Consumenten kunnen zich afmelden voor geautomatiseerde besluitvorming | Verifiëren dat opt-outmechanismen AI-verwerking voorkomen |
| Non-discriminatie | Mag consumenten die rechten uitoefenen niet discrimineren | Testen of het afmelden voor AI leidt tot een verslechterde dienst |
Illinois Biometric Information Privacy Act (BIPA) voor AI
De Illinois BIPA is de meest ingrijpende biometrische privacywet in de VS en heeft significante implicaties voor AI-systemen die biometrische data verwerken.
BIPA-vereisten die AI raken
| Vereiste | Toepassing op AI | Testaanpak |
|---|---|---|
| Schriftelijke toestemming | Moet toestemming verkrijgen voordat biometrische data wordt verzameld voor AI-verwerking | Mechanismen voor toestemmingsverzameling verifiëren |
| Doelbinding | Moet het specifieke doel van de verzameling van biometrische data kenbaar maken | Testen of AI biometrische data gebruikt buiten de vermelde doelen |
| Retentieschema | Moet een retentie- en vernietigingsschema opstellen en volgen | Verwijdering van biometrische data uit AI-trainingssets verifiëren |
| Geen verkoop | Mag biometrische data niet verkopen, leasen, verhandelen of er winst uit halen | Testen of biometrische data wordt gedeeld met externe AI-systemen |
| Databescherming | Moet biometrische data opslaan en beschermen met redelijke beveiligingsmaatregelen | Beveiligingsbeoordeling van de opslag en verwerking van biometrische data |
AI-systemen die door BIPA worden geraakt
| Type AI-systeem | Biometrische data | BIPA-implicatie |
|---|---|---|
| Gezichtsherkenning | Faceprint-geometrie | Volledige BIPA-compliance vereist voor elk individu |
| Spraakassistenten | Voiceprint | Toestemming vereist vóór spraakverwerking |
| Emotiedetectie | Gezichtsuitdrukkingen, spraakpatronen | Vastleggen van een biometrische identifier triggert BIPA |
| Loopanalyse | Bewegingspatronen | Kan een biometrische identifier vormen |
| Iris-/netvliesscanning | Oogpatronen | Volledige BIPA-compliance vereist |
Andere noemenswaardige AI-wetten van staten
Overzicht per staat
| Staat | Wet/focus | Belangrijkste vereiste | Ingangsdatum |
|---|---|---|---|
| Connecticut | SB 1103 (AI accountability) | Impactbeoordelingen, transparantie voor AI met hoog risico | 2026 |
| Texas | AI-adviesraad, deepfake-wet | Deepfake-beperkingen, transparantie van overheids-AI | Diverse |
| New York | NYC Local Law 144 (geautomatiseerde werkgelegenheid) | Bias-audits voor geautomatiseerde tools voor werkgelegenheidsbeslissingen | 2023 |
| Maryland | HB 1202 (gezichtsherkenning) | Beperkingen op het gebruik van gezichtsherkenning door werkgevers | 2020 |
| Virginia | VCDPA (AI-bepalingen) | Consumentenrechten met betrekking tot AI-profilering | 2023 |
| Utah | AI Policy Act | Vereisten voor AI-disclosure, regelgevende sandbox | 2024 |
| Tennessee | ELVIS Act | Beschermt stemgelijkenis tegen AI-replicatie | 2024 |
| Washington | Diverse wetsvoorstellen | AI bij werving, moratorium op gezichtsherkenning | Diverse |
NYC Local Law 144: een casestudy
New York City's Local Law 144 reguleert specifiek automated employment decision tools (AEDTs) en biedt een nuttig model om gemeentelijke AI-regulering te begrijpen:
| Vereiste | Detail | Red Team-relevantie |
|---|---|---|
| Bias-audit | Jaarlijkse bias-audit door derden vereist | Moet testen op ongelijke impact over beschermde groepen |
| Auditmethodologie | Moet impactratio's en vergelijkingen van scoringspercentages berekenen | Kwantitatief bias-testen met statistische analyse |
| Openbare publicatie | Auditresultaten moeten openbaar worden gepubliceerd | Bevindingen worden publiekelijk onder de loep genomen |
| Kandidatenkennisgeving | Moet kandidaten 10 werkdagen van tevoren informeren over AEDT-gebruik | Testen of kennisgevingsmechanismen functioneren |
| Alternatief proces | Moet een alternatief selectieproces aanbieden | Verifiëren dat het alternatieve proces daadwerkelijk bestaat en werkt |
Compliance-uitdagingen van een lappendeken
Het multi-staatprobleem
Organisaties die AI landelijk deployen, worden geconfronteerd met een complexe compliancematrix:
| Uitdaging | Beschrijving | Red Team-impact |
|---|---|---|
| Tegenstrijdige definities | Staten definiëren "AI system" en "high-risk" verschillend | Moet testen tegen de meest restrictieve toepasselijke definitie |
| Variërende toestemmingsvereisten | Toestemmingsdrempels verschillen per staat | Toestemmingsmechanismen moeten voldoen aan de strengste staat |
| Verschillende standaarden voor bias-testen | Sommige vereisen kwantitatieve audits, andere kwalitatieve beoordelingen | Testmethodologie moet alle toepasselijke standaarden dekken |
| Jurisdictionele triggers | Onduidelijk welke staatswet van toepassing is bij interstatelijke AI-diensten | Mogelijk testen onder meerdere regelgevende kaders nodig |
| Variabiliteit in handhaving | Sommige staten hebben alleen AG-handhaving, andere staan private actie toe | Risicobeoordeling varieert per potentieel handhavingsmechanisme |
Compliancestrategie voor red teams
Bij het bepalen van de scope van multi-staatopdrachten gebruik je een "highest common denominator"-aanpak:
Identificeer toepasselijke jurisdicties
Bepaal welke gebruikers uit welke staten met het AI-systeem interacteren. Beschouw zowel de locatie van de organisatie als de locaties van gebruikers als jurisdictionele triggers.
Koppel de vereisten
Maak een matrix van vereisten over alle toepasselijke staatswetten. Identificeer de meest restrictieve vereiste voor elke categorie (toestemming, bias-testen, transparantie, enz.).
Test tot de hoogste standaard
Ontwerp tests die voldoen aan de meest strenge toepasselijke vereisten. Dit waarborgt compliance met alle toepasselijke wetten via één enkele testopdracht.
Rapporteer per jurisdictie
Structureer bevindingen om de compliancestatus tegen elke toepasselijke staatswet te tonen. Hierdoor kunnen klanten remediatie prioriteren op basis van jurisdictioneel risico.
Rapportage voor multi-staatcompliance
| Rapportsectie | Inhoud |
|---|---|
| Jurisdictionele analyse | Welke staatswetten van toepassing zijn en waarom |
| Vereistenmatrix | Kruisverwijzing van vereisten over toepasselijke staten |
| Testresultaten per categorie | Bias-testen, transparantieverificatie, testen van toestemmingsmechanismen |
| Compliancestatus per staat | Geslaagd/gefaald-beoordeling voor elke toepasselijke staatswet |
| Gap-analyse | Vereisten waaraan momenteel niet wordt voldaan, geordend per staat en prioriteit |
| Remediatie-routekaart | Geprioriteerd op juridische blootstelling (staten met privaat recht op rechtsvordering eerst) |
Anticiperen op toekomstige wetgeving
Wetgevingstrends
Red teamers moeten deze opkomende wetgevingspatronen monitoren om voorop te blijven lopen op compliancevereisten:
| Trend | Richting | Implicaties voor red teams |
|---|---|---|
| Algoritmische impactbeoordelingen | Worden in meer staten vereist | Standaard deliverable bij opdrachten |
| Bias-auditmandaten | Breiden uit van werkgelegenheid naar alle domeinen met hoog risico | Kwantitatief bias-testen als kerncompetentie |
| Vereisten voor AI-transparantie | Universele disclosure wordt de norm | Testen van disclosure-mechanismen wordt routine |
| Recht op menselijke beoordeling | Groeiend recht om zich af te melden voor geautomatiseerde beslissingen | Testen van menselijke override- en escalatiepaden |
| AI-incidentrapportage | Verplichte rapportagevereisten ontstaan | Incidentsimulatie en responstesten |
| Regulering van foundation-modellen | Hernieuwde belangstelling na het veto op SB 1047 | Pre-deployment veiligheidstests voor modelontwikkelaars |
Mogelijkheid van federale preemptie
Het vooruitzicht van federale AI-wetgeving die staatswetten preempt blijft een mogelijkheid. Red teamers moeten zich op beide scenario's voorbereiden:
- Als federale wet preempt: Testvereisten zouden standaardiseren, wat opdrachten mogelijk vereenvoudigt maar mogelijk de scope verkleint
- Als er geen preemptie is: De lappendeken zal blijven groeien, wat de complexiteit en waarde van uitgebreide multi-staat compliancetests vergroot
Ongeacht de federale uitkomst creëren staatswetten huidige verplichtingen waaraan organisaties vandaag moeten voldoen. Red team-opdrachten die bevindingen koppelen aan specifieke staatsvereisten bieden directe compliancewaarde en bouwen tegelijkertijd institutionele kennis op die relevant zal blijven onder elk toekomstig federaal kader.