修订后的科罗拉多州人工智能保险条例:修复了什么，还有什么可能需要修复- Debevoise数据博客

2023年5月26日，科罗拉多州保险部门(DOI)发布了其算法和预测模型治理规则修订草案(“修订规例”)，修订其法规初稿(“初步规定”)，该规定于2023年2月1日发布。修订后的法规对在保险实践中使用外部消费者数据和信息源(“ECDIS”)以及使用ECDIS的算法和预测模型(“AI模型”)的科罗拉多州许可人寿保险公司提出了要求。修订后的条例是在几个月的积极行动之后出台的订婚DOI和行业利益相关者之间的关系。

在这篇Debevoise数据博客文章中，我们讨论了修订后的法规，它与最初的法规有何不同，应该考虑哪些额外的变化，以及公司如何为合规做准备。

如下所述，经修订的规例有多项重大改变，包括:

文档。删除了最初条例中许多繁重的文件要求;
董事会监督。包括要求董事会或董事会委员会监督风险管理框架;
关注外部数据。在几个地方澄清，这些要求适用于使用ECDIS的人工智能模型，而不是所有模型;
范围的偏见。将不公平歧视的范围限制在种族上，可能是因为认识到难以获得或推断其他受保护阶层的数据，例如国籍和性取向;
风险评估。要求保险公司制定一个标准来评估和优先考虑与部署ECDIS和使用ECDIS的人工智能模型相关的风险;
保密。新增一节，规定因修订规例而向DOI披露的任何文件或材料均须遵守R.S.§10-3-1104.9(3)(d)这意味着它们不受《科罗拉多州公开记录法》或类似的公开记录法的披露;和
认证。要求使用ECDIS和使用ECDIS的AI模型的保险公司提交年度合规报告，并由指定的管理人员签署，或者在管理人员无法证明完全遵守法规的情况下提供纠正措施计划。

民政事务总署将在其会议上讨论修订规例即将召开的利益相关者会议2023年6月8日11点起格林尼治时间中午12:00。修订后的法规开放征求公众意见(截止日期为2023年6月8日)，会议结束后，利益相关方将有额外的机会向DOI提交书面和口头意见。

修订规例概览

与初始法规一样，修订后的法规要求被授权在科罗拉多州开展业务的人寿保险公司实施人工智能治理和风险管理措施，旨在确保在保险实践中使用ECDIS和使用ECDIS的人工智能模型不会导致不公平的歧视。

ECDIS的定义

修订规例扩大了ECDIS的含义，在原规例的定义上加上下划线:

ECDIS的意思是，就其目的而言法规，人寿保险公司用以补充或替代的数据或信息源传统承保因素或其他保险实务或建立生活方式指标在保险实践中使用。这个词包括信用评分、社交媒体习惯、位置，购买习惯，房屋所有权，教育程度，执照，民事判决，法院记录与死亡率、发病率或寿命没有直接关系的职业的风险,消费者生成的物联网数据的保险风险评分保险公司或第三方从上述列出的或类似的数据和/或信息来源。第四节(C)。

有趣的是，《初步条例》提供了"传统承保因素"的定义，其中包括医疗信息、家族史、收入、资产和若干其他已确立的人寿保险承保标准，但该定义已从《修订条例》中删除。

不公平歧视的范围

修订后的条例删除了“不成比例的负面结果”的定义，这可能是为了使条例与现有的定义保持一致，并将条例的范围缩小到种族方面的不公平歧视。目前尚不清楚这是为了改变监管的实施方式，还是仅仅是为了简化监管并增加清晰度。

“不成比例的负面结果”在初始法规中被定义为“已经发现对种族，肤色，民族或民族血统，宗教，性别，性取向，残疾，性别认同或性别表达等群体产生有害影响的结果或影响，并且即使在考虑了定义类似处境的消费者的因素后，这种影响也是实质性的。”当时，我们注意到，在我们看来，这是一种努力，以一种似乎不需要保险公司任何意图的方式来定义代理歧视。

随着这一定义的删除，修订条例的核心义务已经缩小到只关注种族歧视，而不是最初的条例，其重点是在C.R.S.§10-3-1104.9中规定的所有受保护阶层。它现在规定:

在保险业务中使用ECDIS以及使用ECDIS的算法和预测模型的寿险公司必须建立基于风险的治理和风险管理框架，以促进和支持旨在确定使用此类ECDIS、算法和预测模型是否会导致不公平歧视的政策、程序和系统关于种族问题。(重点)第五节(一)。

“不公平歧视”一词仍由美国联邦法规第10-3-1104.9条定义为:

[T]使用一个或多个外部消费者数据和信息源，以及使用外部消费者数据和信息源的算法或预测模型，这些数据和信息源与种族、肤色、民族或族裔血统、宗教、性别、性取向、残疾、性别认同或性别表达相关，并且使用这些分类会导致此类分类产生不成比例的负面结果;哪个负面结果超出了与基础保险实践(包括承保损失和成本)的合理相关性。

《修订条例》将歧视范围限制在种族的决定，可能反映了保险公司在收集或推断其他受保护类别(如国籍、宗教或性别表达)的数据时遇到的困难。相比之下，有一些半可靠的方法可以从其他数据点推断种族，如贝叶斯改进的姓氏地理编码(BIFSG)。

治理和风险管理义务

修订后的规例规定管治和风险管理框架必须包括以下组成部分(其中一些与初始规例相比没有变化，其中一些进行了更改，其中一些是新的)。所有更改都可以在其中查看安全飞行版本已修订的规例。

指导原则(修改)。保险公司必须有文件化的管理原则，为确保ECDIS(以及使用ECDIS的人工智能模型)的设计、开发、使用和监控提供指导，确保其非常适合有效的监督和管理，不会导致不公平的歧视。第五节(A) (1)。
董事会监督(新)。董事会或适当的董事会委员会必须监督风险管理框架。第五节(A) (2)。
高级管理层责任(已更改)。高级管理层必须对使用ECDIS和使用ECDIS的人工智能模型“制定和监控整体战略”负责。这包括建立清晰的沟通渠道，并定期向高级管理层报告ECDIS风险。第五节(A) (3)。
跨职能治理小组(基本不变)。保险公司必须建立一个跨职能的算法和预测模型治理小组(在修订后的法规中，术语“委员会”被“小组”取代)，该小组由来自“关键职能领域”的代表组成，包括法律、合规、风险管理、产品开发、承保、精算、数据科学、营销和客户服务(如适用)。第五节(A) (4)。
政策(基本不变)。保险公司必须有书面政策和流程，包括分配的角色和责任，用于供应商的设计、开发、测试、部署、使用、选择和监督(该标准已添加到修订后的法规中)，并持续监控ECDIS和使用ECDIS的算法，以确保它们被记录、测试和验证。第五节(A) (5)。
培训(基本不变)。保险公司的政策和程序必须包括对相关人员负责任和合规使用ECDIS的持续监督和培训计划，以解决问题。第五节(A) (5)。
网络安全(删除)。《初步规例》规定保险公司必须有内部保安控制措施，以防止未经授权访问人工智能模型，但修订规例并未包括这一规定。(原第5(A)(7)条)。
人工智能事件响应计划(已删除)。保险公司必须制定应对和从人工智能使用的任何意外后果中恢复的计划的要求也未包括在修订后的规例中。(原第5(A)(9)条)。
消费者投诉及查询(基本不变)。保险公司必须建立流程，以解决消费者对使用ECDIS的投诉和询问，并以提供“足够清晰”信息的方式使用ECDIS，以便消费者在不利决定的情况下采取有意义的行动。第五节(A) (6)。
风险评估及优先次序(新)。保险公司必须建立一个标准来评估和优先考虑与ECDIS部署相关的风险，以及在保险实践中使用ECDIS的模型，并适当考虑对消费者的影响。第五节(A) (7)。
外部审核员(已移除)。当内部资源不足时，保险公司聘请外部专家进行审计的要求并未包括在修订后的法规中。(原第5 (A)(10)条)。
供应商风险管理(已更改)。使用第三方供应商的ECDIS和使用ECDIS的型号的保险公司仍然有责任确保遵守修订后法规的要求，并且必须建立选择和监督这些供应商的流程。第五节(B)。

修订后的文件义务

作为初始法规一部分的许多文件义务在修订后的法规中已被删除或更改。

AI模型清单(更改)。保险公司需要保持最新的清单，包括版本控制，所有使用的ECDIS，以及使用ECDIS的模型，每个模型的详细描述，其目的，以及通过使用它们产生的输出。经修订的规例将库存限制为使用ECDIS的人工智能模型，并取消了库存必须包含使用ECDIS打算解决的问题、任何潜在风险和适当保障措施的要求。第五节(A) (8)。
重大变更文件(已更改)。保险公司被要求保留文件，解释库存中的任何重大变化，以及变化的理由。第五节(A) (9)。
偏见评估(基本不变)。保险公司必须描述为检测因使用ECDIS和使用ECDIS的模型而导致的不公平歧视而进行的任何测试，包括方法、假设、结果和为解决不公平歧视结果而采取的步骤。第五节(A) (10)。
监控(基本不变)。保险公司必须记录关于使用ECDIS的人工智能模型性能的持续监控。第五节(一)(11)。
供应商选择(基本不变)。保险公司必须记录用于选择提供ECDIS的外部供应商或使用ECDIS的人工智能模型的流程。第五节(一)(12)。
定期检讨(基本不变)。保险公司必须对治理结构和风险管理框架进行定期审查，并对所需文件进行适当更新，以确保其准确性。第五节(一)(13)。

最初法规中的其他几个文件要求，包括输入的描述、限制、培训数据、模型如何进行预测、潜在风险和关于使用ECDIS的决策，都没有包括在修订后的法规中。(原第6(A)(1、5、6、8和12))。

合规性证明

一旦修订后的法规最终确定并生效，使用ECDIS和使用ECDIS模型的保险公司将有:(1)六个月的时间向DOI提供报告，总结实施修订后法规要求的进展情况;(二)一年内提交合规性总结报告。这些要求与最初的条例基本没有变化。修订后的规例在向DOI报告方面提出了两项重要的新要求。

首先，总结遵守情况的报告现在必须每年提交一次。第二，报告必须包括:

负责确保合规的每个人的头衔;
该个人负责的具体要求;
高级人员签署，证明已遵守经修订的规例;和
如果保险公司无法证明遵守此规定，则保险公司必须向DOI提交一份纠正行动计划。第六节(B)。

外卖

评论。保险公司应仔细审阅修订后的规例，并考虑在6月8日截止日期前提出意见。对初始法规所做的修改(反映在修订后的法规中)表明DOI愿意认真考虑建设性的建议。
差距分析和路线图。保险公司应考虑对修订后的法规要求与其当前的人工智能和数据治理及合规计划之间的差距进行分析。在差距分析之后，保险公司应该考虑制定合规路线图。对于一些受修订后的规例所涵盖的公司，可能需要大量的时间和资源来全面实施这些要求，因此他们可能希望尽早开始。即使是不受修订后法规约束的公司也可能考虑进行差距分析，以期这些规则或类似规则在未来几年内被其他监管机构采用，或被视为人工智能治理和合规计划的最佳实践。
风险评估。修订后的法规要求保险公司制定一个评估和优先考虑风险的标准。保险公司应考虑创建ECDIS使用的高风险因素列表，以确定高、中、低风险用例。然后，这些标准可用于识别风险最高的ECDIS和AI模型，这些模型使用ECDIS应用程序进行优先级排序，并帮助创建合规路线图。
跨功能小组。该规定要求建立一个跨职能小组。确定哪些“关键功能领域”的代表应该在小组中，小组应该多久开会一次，需要什么资源，向谁报告，如何做出决定，以及如何实施决定，这些都是需要时间和讨论的复杂考虑。
预算。该法规的最终版本可能会在明年某个时候生效，其义务的许多组成部分可能要求一些公司大幅增加合规预算并获得额外资源。

如欲订阅数据博客，请按在这里。

的Debevoise人工智能监管跟踪器(DART)现在可以帮助客户快速评估并遵守其当前和预期的人工智能相关法律义务，包括市、州、联邦和国际要求。

这篇博文的封面是由DALL-E制作的。

作者要感谢Debevoise暑期助理Esther Tetruashvily为Debevoise数据博客所做的工作。