Bang đầu tiên của Mỹ thông qua luật AI

CAIA yêu cầu các công ty tiến hành kinh doanh ở Colorado phải tiết lộ cho tổng chưởng lý bang “Bất kỳ rủi ro nào đã biết hoặc có thể dự đoán trước một cách hợp lý về sự phân biệt đối xử của thuật toán, trong vòng 90 ngày sau khi phát hiện hoặc nhận được báo cáo đáng tin cậy”.

Các giám đốc CNTT (CIO) có thể gặp khó khăn với ngôn ngữ của luật này vì trọng tâm là liệu AI - dưới bất kỳ hình thức nào - giúp đưa ra các "quyết định mang tính hệ quả” (consequential decisions) có thể ảnh hưởng đến người dân hay không. Luật định nghĩa "quyết định mang tính hệ quả" là bất kỳ quyết định nào “có ảnh hưởng đáng kể về mặt pháp lý hoặc có ý nghĩa tương tự đối với việc cung cấp hoặc từ chối đối với bất kỳ người tiêu dùng nào", bao gồm các vấn đề như: tuyển sinh giáo dục, việc làm hoặc cơ hội việc làm, dịch vụ tài chính hoặc cho vay, dịch vụ chăm sóc sức khỏe, nhà ở, bảo hiểm. hoặc dịch vụ pháp lý.

Luật đã không giới hạn định nghĩa của AI trong bất kỳ lĩnh vực cụ thể nào, chẳng hạn như AI tạo sinh, mô hình ngôn ngữ lớn (LLM) hoặc học máy. Thay vào đó, mọi phương tiện AI, bao gồm cả việc sử dụng đầu đọc ký tự quang học (OCR) để quét sơ yếu lý lịch, đều được bảo vệ.

“Thống đốc đánh giá cao việc luật tạo ra một đội đặc nhiệm gồm các chuyên gia sẽ họp để thảo luận về chi tiết cụ thể của bất kỳ thay đổi nào cần thực hiện trước khi dự luật có hiệu lực vào tháng 2/2026", Eric Maruyama cho biết.

Khó khăn trong các chi tiết

Các "quyết định mang tính hệ quả" không phải là lĩnh vực duy nhất được xem xét kỹ lưỡng. Luật cũng nhắm đến nội dung do AI tạo ra khi nêu rõ: “Nếu một hệ thống AI, bao gồm mô hình có mục đích chung, tạo ra hoặc thao túng nội dung kỹ thuật số tổng hợp, thì dự luật yêu cầu người triển khai hệ thống AI phải tiết lộ cho người tiêu dùng biết rằng nội dung kỹ thuật số tổng hợp đã được tạo ra một cách giả tạo, hoặc bị thao túng".

Các phần khác của luật được quan ngại có thể khiến các công ty sử dụng AI kém hiệu quả hơn. Ví dụ: một điều khoản cung cấp cho “người tiêu dùng cơ hội kháng cáo, thông qua đánh giá của con người nếu khả thi về mặt kỹ thuật, một quyết định có hệ quả bất lợi liên quan đến người tiêu dùng phát sinh từ việc triển khai hệ thống AI có rủi ro cao”.

Một điều khoản khác có thể gây khó khăn cho các CIO, những người không có kiến ​​thức đầy đủ về mọi hoạt động triển khai AI đang được sử dụng trong môi trường của họ, vì nó yêu cầu các công ty đưa ra: “tuyên bố công khai tóm tắt các loại hệ thống có rủi ro cao hiện đang được DN triển khai, và cách thức thực hiện. Đơn vị triển khai quản lý mọi rủi ro đã biết hoặc có thể dự đoán trước một cách hợp lý về sự phân biệt đối xử theo thuật toán có thể phát sinh từ việc triển khai từng hệ thống có rủi ro cao này, cũng như tính chất, nguồn và phạm vi của thông tin được thu thập và sử dụng".

Ngày nay, do phải phụ thuộc nhiều vào các nhà cung cấp và bên thứ ba trong lĩnh vực CNTT, nhiều giám đốc điều hành của công ty, thậm chí cả CIO, có thể không biết về tất cả các phương thức hỗ trợ AI - thường đến qua đám mây, ứng dụng phần mềm như là một dịch vụ (SaaS), của bên thứ ba, trang web từ xa, thiết bị di động và văn phòng tại nhà - tác động đến khách hàng của họ. Những hoạt động AI ẩn này, cái mà các chuyên gia thường hay gọi là AI lén lút, khó có khả năng tuân thủ các luật như thế này.

Brian Levine, đối tác quản lý tại Ernst & Young, đồng thời là luật sư, đã xem xét luật và không cho rằng việc thiếu hiểu biết về việc sử dụng AI của bên thứ ba sẽ là một vấn đề lớn.

Ông nói: “Nếu bạn biết rằng sản phẩm mà bạn đang sử dụng có chứa AI” thì bạn cần phải hành động. “Nhưng nếu bạn không biết và không cố tình không biết, thì tôi nghĩ, bạn sẽ không có bất kỳ nghĩa vụ nào phải tuân theo dự luật này. Bạn không nhất thiết phải biết về những gì bên thứ ba đang làm", ông nói và nói thêm rằng, luật không đề cập đến trách nhiệm pháp lý nghiêm ngặt.

Sẽ còn nhiều vấn đề hơn nữa

Một lĩnh vực đặc biệt khó khăn trong vấn đề luật pháp mà các CIO nên quan tâm là khi AI - đặc biệt là AI tạo sinh - tự hoạt động.

Levine lập luận rằng, luật cấm các hành động phân biệt đối xử bất hợp pháp, chẳng hạn như lập trình hệ thống để ngăn chặn các tầng lớp được bảo vệ khác nhau (tuổi, chủng tộc, giới tính, mức thu nhập, v.v...) không sử dụng được dịch vụ.

Nhưng nếu điều đó giúp tối đa hóa lợi nhuận hoặc tăng doanh thu thì sao? Điều đó hợp pháp. Song vẫn có khả năng một dịch vụ AI tạo sinh có thể ngoại suy từ dữ liệu để chặn các ứng dụng từ các mã Zip cụ thể do tỷ lệ hoàn trả cao chẳng hạn. Nếu những mã Zip đó chứa tỷ lệ phần trăm cao những người thuộc tầng lớp được bảo vệ cụ thể thì công ty chắc chắn có vẻ như đang phân biệt đối xử. Đó là lúc mọi thứ có thể trở nên khó khăn đối với các CIO khi muốn tuân thủ luật AI như thế này.

Quản lý sai lệch của AI có thể giúp giảm bớt một số áp lực từ dự luật này. Nhưng với tính minh bạch vẫn là một vấn đề của AI, sẽ luôn tiềm ẩn nguy cơ phải chịu trách nhiệm pháp lý. Ở đây, ví dụ kinh điển sẽ là một hệ thống AI phân tích sơ yếu lý lịch và loại trừ những người thuộc tầng lớp được bảo vệ vì nó được đào tạo về dữ liệu không có những ứng viên đó, khiến AI kết luận những ứng viên đó cần phải loại trừ./.

“

Tài liệu tham khảo:

1. https://www.cio.com/article/20...

2. https://leg.colorado.gov/sites...

3. https://www.computerworld.com/...