科罗拉多州草案人工智能保险规则是人工智能治理监管的分水岭- Debevoise数据博客

2023年2月1日，科罗拉多州保险局(“DOI”)发布了草案算法与预测模型治理规则(《人工智能条例草案》)。人工智能法规草案对在保险实践中使用外部数据和人工智能系统的科罗拉多州持牌人寿保险公司提出了要求。这次发布是在几个月的高度活跃之后订婚DOI和行业利益相关者之间的合作，从而产生了一套全国首创的人工智能和大数据治理规则，这将在未来多年影响州、联邦和国际人工智能法规。

正如我们最近讨论的网络直播《人工智能法规草案》侧重于治理、政策、培训和文件。但在这样做的过程中，该法规对受监管实体提出了重大的运营要求。例如，该法规要求公司确定人工智能的治理原则，由董事会监督，并由跨职能治理委员会管理。然后，受监管的实体需要列出涉及外部数据的人工智能使用情况，创建安全控制，并监控其人工智能使用情况。最后，还有对DOI的报告要求。对于那些在这条道路上还没有走得很远的公司来说，完全合规将是一项重大的努力。

这些要求与NYDFS网络安全规则中的要求类似，我们预计它们将产生与六年前该法规类似的影响。NYDFS网络安全规则在网络监管中具有极大的影响力，因为它们采用了迄今为止模糊的原则，如“合理的网络安全”，并将其转化为政策、治理和技术控制的具体要求，以及强制性的年度合规认证。一旦纽约的数百家公司证明他们可以遵守NYDFS的网络要求，它们就成为了行业最佳实践，其他监管机构也实施了类似的要求。

《人工智能条例草案》可能会产生类似的影响。科罗拉多州将问责制、公平、透明等模糊的AI伦理原则，转化为政策、治理和技术控制的具体要求。在最近的一次电话会议上，利益相关方表示，《人工智能监管草案》中的一些要求过于规定性。DOI不同意，但目前的评论期是一个向DOI指出更基于原则的方法将更有成效的机会。这一点尤其重要，因为与此同时betawy精装版， DOI建议这些规则，或非常相似的规则，将可能适用于其他保险类别(如。、财产、汽车和因果关系)以及其他人工智能和大数据用途(如。、索赔、欺诈检测和营销)。

《人工智能条例草案》可能产生影响的另一个原因是其简短。在四页多一点的篇幅里，它提供了二十多个具体需求。与之相比，美国国家标准与技术研究院(NIST)人工智能风险管理框架(“AI RMF”)，该文件于2023年1月26日发布，提供了所有相同的要求，但分散在几个不同的文件中，总计接近65页。同样，白宫的人工智能权利法案蓝图，于2022年10月发布，支持许多与人工智能法规草案相同的原则，但在一份73页的文件中。简而言之，NIST的AI RMF和白宫AI权利法案为有兴趣解决AI治理和合规性的监管机构提供了一长串可能的要求，而DOI的AI法规草案提供了一套简明的具体规则。

在这篇Debevoise数据博客文章中，我们讨论了人工智能法规草案的要求，它对人工智能监管格局的可能影响，以及公司如何为合规做好准备。

外卖

评论:保险公司应仔细审阅人工智能监管草案，并考虑在3月7日截止日期前提供意见。在通过NYDFS网络安全规则之前，由于行业意见，法规草案在最终确定之前进行了几项重大更改。
差距分析与路线图:保险公司应考虑在人工智能法规草案的要求与其当前的人工智能和大数据治理和合规计划之间进行差距分析。在差距分析之后，保险公司应考虑制定合规路线图。对于条例所涵盖的一些公司来说，全面实施这些要求可能需要大量的时间和资源，因此他们可能希望尽早开始。即使是不受《人工智能法规草案》约束的公司，也可以考虑进行差距分析，因为预计这些规则或类似的规则可能在未来几年被其他监管机构采用，或者将被视为人工智能治理和合规项目的最佳实践。
跨职能委员会:该规定要求成立一个跨职能委员会。尽快成立这样一个委员会来监督差距分析和路线图可能是值得的。
预算:《人工智能法规草案》可能将于2023年生效，其义务的许多组成部分将要求一些公司大幅增加合规预算。如果需要，企业应考虑开始从高级管理层获得额外资源。

需要治理的人工智能法规草案概述

在科罗拉多州颁布法令之后参议院法案21-169， DOI开始了一系列利益相关者会议，以促进与行业代表的讨论，并提供规则制定过程的透明度(涵盖在这里，在这里,在这里)．涉众期间betawy精装版2月7日，DOI首次讨论了人工智能法规草案，并促进了公众评论(2023年3月7日截止)。评论期结束后，DOI将开始正式的规则制定程序。

人工智能法规草案要求覆盖实体实施人工智能治理和风险管理框架，以确保在保险实践中使用外部消费者数据和信息源(“ECDIS”)以及使用ECDIS的算法和预测模型(“AI模型”)不会导致不成比例的负面结果。ECDIS是寿险公司用来补充或取代传统承保因素的信息。该术语包括:信用评分、社交媒体习惯、购买习惯、房屋所有权、教育程度、执照、民事判决、法庭记录、与死亡率、发病率或长寿风险没有直接关系的职业，以及从列出的信息或类似信息得出的保险风险评分。

一个不成比例的负面结果意味着“一个结果或影响已经被发现对一个由种族、肤色、国家或民族出身、宗教、性别、性取向、残疾、性别认同或性别表达所定义的群体产生了有害的影响，即使考虑到定义相似处境的消费者的因素，这种影响也是重大的。”许多人会认为这是在努力界定代理歧视。值得注意的是，代理人歧视的这种特殊定义似乎并不要求保险公司有任何意图。

对保险公司来说，衡量和评估这种对某些特征的有害影响可能是一项挑战。例如，如果保险公司不收集这些数据，他们如何知道他们是否在种族、宗教或性取向上存在无意的歧视?虽然有一些半可靠的方法可以从其他数据点推断种族和民族，如贝叶斯改进的姓氏地理编码(BIFSG)，但我们不知道有任何方法可以推断这些其他特征。保险公司是否必须开始从客户那里收集这类数据，至少以有限的方式进行测试?这还有待观察，值得在评论过程中探索。

人工智能法规草案中的治理和风险管理义务

《人工智能条例草案》第5条规定了其核心治理要求:

指导原则．人工智能法规草案要求使用ECDIS和人工智能模型的保险公司建立管理原则，概述其价值观和目标，为确保透明度和问责制以及防止不公平歧视提供指导。第五节(A)(1)。
董事会和高级管理人员监督．董事会和高级管理层必须负责制定和监督ECDIS和AI模型使用的“整体战略”，并为AI治理提供方向。实体应促进“清晰的沟通渠道”，并就模型风险和绩效定期向高级管理层报告。第五节(A) (2)．
跨职能管治委员会．保险公司必须建立一个跨职能委员会，由来自法律、合规、风险管理、产品开发、核保、精算、数据科学、营销和客户服务等“关键职能领域”的代表组成。第五节(A) (3)．
政策。保险公司必须为ECDIS和使用ECDIS的算法的设计、开发、测试、部署、使用和持续监控制定书面政策和流程，以确保它们被记录、测试和验证。
培训．保险公司必须制定并实施针对相关人员负责任和合规使用ECDIS的持续监督和培训计划，以解决与偏见和不公平歧视有关的问题。第五节(A) (6)．
网络安全．保险公司必须有内部安全控制，以防止未经授权访问人工智能模型。第五节(A) (7)．
人工智能事故应变计划．保险公司必须制定计划，以应对人工智能使用带来的任何意外后果并从中恢复，这可能类似于公司为应对网络安全事件而制定的事件响应计划。第五节(A) (9)．
消费者投诉及查询．保险公司必须建立流程，以提供“足够清晰”信息的方式处理消费者关于人工智能模型使用的投诉和询问，以便消费者在做出不利决定时能够采取有意义的行动。第五节(A) (8)．
审计资源．当内部资源不足时，保险公司必须聘请外部专家进行审计。第五节(A) (10)．
供应商风险管理．如果保险公司使用第三方供应商的ECDIS和人工智能模型，他们仍有责任确保符合人工智能法规草案的要求，并必须建立一个选择和监督这些供应商的流程。第五节(B)；6 (A) (11)．

文档的义务

人工智能法规草案第6节列出了一份强有力的文件要求清单，其中预设了许多保险公司需要建立的某些运营要素。

AI模型清单．保险公司必须保持所有ECDIS、算法和正在使用的预测模型的最新库存，其中包括每种模型的详细描述、其目的、拟解决的问题、潜在风险、适当的保障措施、模型的输入和输出、模型的限制以及模型训练集的详细信息(包括规模和来源)。第6(A)(1)、(5)、(6)、(8)条．
年度存货检讨．保险公司必须记录人工智能模型库存年度审查的结果和时间，包括任何ECDIS或人工智能模型的修改、退役或更换。第六节(A) (2)．
偏差的评估．保险公司必须描述为检测因使用ECDIS和人工智能模型而产生的不公平歧视而进行的任何测试，包括方法、假设、结果和为解决不成比例的负面结果而采取的步骤。
监控．保险公司必须记录对其人工智能模型性能的持续监测。第六节(A) (7)．
决策．保险公司必须在使用该数据的人工智能模型的整个生命周期内记录有关使用ECDIS的决策，包括负责每个记录决策的个人及其决策过程。第六节(一)(12)．