随着人工智能（AI）技术的进步，基于AI的应用已被广泛采用。与此同时，由于AI系统可能会生成人们并不需要或可能有害的结果，这引来了政策制定者越来越严格的审查。除了其他关注点外，政策制定者力求确保AI系统避免有害的偏见，而且准确、可解释并保护隐私。过去，出现在美国的这类问题会通过各种监管和州立法行动得到解决，但通常仅针对特定应用或问题。

       2019年，特朗普政府发布了《关于保持美国在AI领域领导地位的行政命令（Executive Order on Maintaining American Leadership in AI）》，其中指示隶属于美国商务部的国家标准与技术研究院（National Institute of Standards and Technology，NIST）“为联邦参与开发技术标准和相关工具”制定一个全方位的“计划，以支持使用AI技术的可靠、稳固和可信赖的系统”。2020年，国会指示NIST开发“AI风险管理框架”（AI RMF）。2022年3月17日，NIST发布了其AI RMF的初稿。

AI RMF草案

       AI RMF草案使用三类分类法对AI特征进行分类：（1）技术特征；（2）社会技术（socio-technical）特征；以及（3）指导原则。通过这些特征，可以评估AI是值得信赖的还是有风险的。技术特征是指AI系统设计中的风险，包括准确性（accuracy）、可靠性（reliability）、坚固性（robustness）和弹性（resilience）／安全性（security）。社会技术特征是指会影响AI系统使用方式和社会认知的人类和系统性的制度和社会偏见，包括可解释性（explainability）、可诠释性（interpretability）、私密性（privacy）、安全性（safety）和偏见管理（managing bias）。指导原则是指AI系统应遵守的更广泛的社会规范和价值观，包括公平、问责制和透明度。

       参考该框架，AI RMF草案列出了各组织可以采取的行动清单，以识别和减轻特定AI系统的相关风险。AI RMF草案将这些操作归纳成4个功能：映射（Map）、测量（Measure）、管理（Manage）和治理（Govern），这些功能应该被迭代地执行。

       继在2022年3月召开关于AI RMF草案的公开研讨会之后，NIST发布了第一轮公众意见，这些意见来自包括谷歌、凯萨医疗机构（Kaiser Permanente）、劳工统计局、美国财产意外伤害保险协会、美国唱片业协会、美国商会和伯克利大学等在内的企业、政府部门和高等教育机构的各类利益相关方。NIST还计划在2022年10月19日至21日举办另一场研讨会，并在2022年底或2023年初发布AI RMF草案的最终版本。

美国对AI的现行立法和监管

       迄今为止，美国关于AI的法规仅针对AI RMF草案所确定的风险中的一部分。目前，美国没有任何联邦层面的立法用以管理AI系统，但有来自联邦监管机构——包括联邦贸易委员会（FTC）、住房和城市发展部、平等就业机会委员会（EEOC）——的监督。他们的监管范围必然是有限的。例如，FTC的规则仅限于解决歧视性和欺诈性的商业行为，EEOC则专注于在招聘和工作场所的应用中使用的AI。

       在美国，至少有5个州——阿拉巴马州、科罗拉多州、伊利诺伊州、密西西比州和犹他州——已经通过了与AI相关的立法，还有十几个州正在等待立法。但到目前为止，州立法的范围也受到限制。例如，伊利诺伊州专注于监管用于就业决策的AI系统中的偏见，而阿拉巴马州的法案只是建立了一个AI咨询委员会。

       即使是拟议的《欧盟AI法案（European Union AI Act）》——迄今为止提出的最全面的AI立法，也没能明确解决某些技术和社会技术风险，例如准确性、可解释性和可诠释性。而且，该法案因为缺乏根据未来发展对AI系统进行重新分类的方法而受到了批评。AI RMF为解决所有AI风险所做的努力可能会促成更全面的未来立法或监管。

AI RMF的潜在影响

       尽管具有自愿性质，AI RMF本身可以通过告知普通法的注意标准（standard of care），有效地对AI系统的开发人员和用户施加法律义务。随着关于AI系统所造成损害的纠纷陆续出现，法院可能会通过AI RMF来确定是否应该采取其他措施来防止这些损害。目前，有一些使用自愿NIST框架作为注意标准的先例。2014年，NIST发布了一个自愿的网络安全框架。评论者承认它可以被采纳为注意标准。法院已经认识到它在告知注意标准方面的价值。例如，在一个有关投票权的案件中，专家证词在就适当的注意标准发表意见时援引了NIST的网络安全框架。遵守网络安全框架还是解决2020年雅虎数据安全漏洞集体诉讼的一个条件。未来，在关于AI系统的诉讼中，AI RMF很可能被类似地用于建立注意标准。

       目前，AI RMF可以帮助相关组织解决适用于AI系统的各种新出现的法律要求，并为未来的全面监管做好准备。2020年发布的NIST隐私框架也起到了类似的作用。在隐私框架发布时，仅有《欧盟通用数据保护条例（E.U. General Data Protection Regulation）》和《加利福尼亚州消费者隐私法（California Consumer Privacy Act）》是有效的重要数据隐私法。从那时起，美国超过60%的州已经在考虑或通过了新的隐私法规。隐私框架帮助各组织预测并跟上了隐私法的立法浪潮。随着AI监管沿着类似的轨迹向前发展，AI RMF可能会成为相关组织跟上快速发展的法律环境的有用工具。（编译自www.quinnemanuel.com）