Robocikowo>ROBOCIKOWO
Sztuczna Inteligencja

Illinois podpisuje SB 315 — pierwsze stanowe audyty bezpieczeństwa AI

Illinois podpisuje SB 315 — pierwsze stanowe audyty bezpieczeństwa AI

Gubernator Illinois J.B. Pritzker podpisał w poniedziałek ustawę SB 315, znaną jako Artificial Intelligence Safety Measures Act. To pierwsze w USA prawo stanowe, które nakłada na twórców najpotężniejszych modeli AI obowiązek corocznych, niezależnych audytów bezpieczeństwa oraz szybkiego zgłaszania krytycznych incydentów. Kluczowe wymogi zaczną obowiązywać od 1 stycznia 2028 roku.

Najważniejsze w skrócie

  • Ustawę podpisano w poniedziałek, po przejściu Izby stosunkiem 110-0 i Senatu 52-5
  • Obejmuje tylko „dużych frontier" twórców: przychód powyżej 500 mln USD (ok. 1,8 mld zł) i moc treningu ponad 10^26 operacji
  • „Ryzyko katastrofalne" to ponad 50 ofiar śmiertelnych lub rannych albo ponad 1 mld USD (ok. 3,6 mld zł) szkód z jednego incydentu
  • Coroczny audyt przez niezależną firmę zewnętrzną — pierwszy taki wymóg w skali kraju
  • Kary cywilne do 1 mln USD (ok. 3,6 mln zł) za pierwsze naruszenie i 3 mln USD (ok. 10,8 mln zł) za kolejne

Wąski zakres, mocne narzędzie

Akt jest celowo skromny — tak opisuje go analiza kancelarii Akerman LLP opublikowana w serwisie JD Supra. Ustawa nie mówi twórcom, co ich modele mają mówić ani robić. Zamiast tego wymaga od nich publikowania ram bezpieczeństwa (tzw. frontier AI frameworks), które opisują, jak firma ocenia i ogranicza „ryzyko katastrofalne". Przed wdrożeniem nowego modelu twórca musi też opublikować raport przejrzystości z opisem jego przeznaczenia i podsumowaniem oceny ryzyka.

Definicja „ryzyka katastrofalnego" jest wąska i przez to trudna do zakwestionowania. Chodzi o przewidywalne, materialne ryzyko, że model przyczyni się do śmierci lub poważnych obrażeń ponad 50 osób albo do szkód majątkowych powyżej 1 mld USD (ok. 3,6 mld zł) w jednym incydencie. Ustawa wylicza trzy scenariusze: eksperckie wsparcie w budowie broni chemicznej, biologicznej, radiologicznej lub jądrowej, autonomiczny cyberatak lub działanie, które popełnione przez człowieka byłoby morderstwem czy wymuszeniem, oraz wymknięcie się modelu spod kontroli twórcy.

Kogo obejmuje ustawa

Prawo dotyczy wyłącznie „dużych frontier" twórców — firm o rocznych przychodach powyżej 500 mln USD (ok. 1,8 mld zł), które trenują modele z użyciem mocy obliczeniowej większej niż 10^26 operacji. Jak szacuje Akerman, ten próg zawęża zasięg ustawy do około tuzina firm, wśród nich OpenAI, Anthropic, Google DeepMind, Meta i xAI. Startupy, wdrożeniowcy i użytkownicy końcowi są zwolnieni z obowiązków.

Audyt jako znak rozpoznawczy

Cechą wyróżniającą SB 315 jest nakaz audytu. Od 2028 roku objęci twórcy muszą co roku wynajmować niezależne firmy zewnętrzne, które sprawdzą, czy faktycznie stosują deklarowane procedury. Audytorzy nie mogą mieć wspólnego interesu finansowego z badaną firmą i muszą uzyskać dostęp do wszystkich niezbędnych materiałów, w tym nieocenzurowanych dokumentów. W ciągu 30 dni od raportu twórca publikuje jego podsumowanie i przekazuje kopie prokuratorowi generalnemu Illinois oraz stanowej agencji zarządzania kryzysowego.

Incydenty, sygnaliści i kary

Ustawa wprowadza obowiązkowe zgłaszanie krytycznych incydentów bezpieczeństwa w ciągu 72 godzin. Gdy incydent grozi śmiercią lub poważnymi obrażeniami, okno skraca się do 24 godzin. Prawo chroni też sygnalistów i zakazuje umów, które karałyby pracowników za ujawnienie zagrożeń. Egzekucja należy wyłącznie do prokuratora generalnego stanu — nie ma prywatnego prawa do pozwu. Kary cywilne sięgają 1 mln USD (ok. 3,6 mln zł) za pierwsze naruszenie i 3 mln USD (ok. 10,8 mln zł) za każde kolejne.

Na tle stanowej mozaiki

Illinois nie jest pierwszym stanem, który sięgnął po regulację AI. Kalifornia (SB 53) i Nowy Jork (RAISE Act) już wymagają od frontier twórców tworzenia i aktualizacji planów dotyczących poważnych ryzyk. Żaden z tych stanów nie miał jednak jasnego mechanizmu weryfikacji, czy firma faktycznie stosuje własne ramy. To właśnie tę lukę wypełnia audyt z Illinois.

Ostrzeżeniem jest przypadek Kolorado. Stan poszedł najdalej, uchwalając w 2024 roku SB 24-205 wymierzone w „dyskryminację algorytmiczną", ale pod presją polityczną i pozwu firmy xAI uchylił je jeszcze przed wejściem w życie. W zamian przyjął okrojoną wersję, SB 26-189, która ma zacząć obowiązywać 1 stycznia 2027 roku. W tle działa też presja federalna. Wydany w grudniu 2025 roku dekret prezydencki (Executive Order 14365) uznał stanową „mozaikę" regulacji za barierę dla innowacji i polecił agencjom dążyć do jej wyparcia.

StanUstawaPodejście
IllinoisSB 315Niezależne coroczne audyty bezpieczeństwa (od 2028)
KaliforniaSB 53Plany dotyczące poważnych ryzyk, bez mechanizmu weryfikacji
Nowy JorkRAISE ActPlany dotyczące poważnych ryzyk, bez mechanizmu weryfikacji
KoloradoSB 24-205 → SB 26-189Pierwotne prawo uchylone, okrojona wersja od 2027

Reakcje branży są podzielone. OpenAI i Anthropic publicznie poparły ustawę — obie firmy widzą w spójnych standardach stanowych sposób na uporządkowanie rynku wobec braku prawa federalnego. Przeciwna jest część organizacji branżowych, w tym CCIA i TechNet, które ostrzegają, że stan nakazuje audyty, zanim powstała infrastruktura, standardy i wykwalifikowani audytorzy.

Dlaczego to ważne?

SB 315 przesuwa punkt ciężkości w amerykańskiej debacie o AI. Do tej pory najwięksi twórcy działali w oparciu o dobrowolne zobowiązania, które sami definiowali i sami oceniali. Wymóg niezależnego audytu po raz pierwszy wprowadza zewnętrzną kontrolę tych deklaracji — i robi to w sposób trudny do podważenia politycznie, bo dotyczy ryzyk pokroju instrukcji budowy broni masowego rażenia. Nawet jeśli ustawa zostanie zaskarżona, sama idea audytowanych ram bezpieczeństwa może się utrzymać jako wzorzec.

Znaczenie ma też strategia. Autorzy ustawy otwarcie przyznają, że wolą rozwiązanie federalne, ale wobec bezczynności Kongresu traktują prawo stanowe jako bodziec. Jeśli federalne przepisy nie powstaną, SB 315 może stać się de facto krajowym punktem odniesienia. Jeśli powstaną, wbudowana w ustawę klauzula „równoważności" pozwoli firmom spełniającym standardy federalne uniknąć podwójnej zgodności. W obu scenariuszach Illinois wyznacza kierunek, w którym mogą pójść kolejne stany.

Co dalej?

  • Kluczowe wymogi — ramy bezpieczeństwa i coroczne audyty — wchodzą w życie 1 stycznia 2028 roku, co daje firmom i rynkowi audytowemu czas na przygotowanie
  • Analitycy Akerman spodziewają się konstytucyjnych wyzwań (m.in. z tytułu wolności słowa i klauzuli handlowej), ale sądy raczej nie zajmą się nimi wcześniej niż w drugiej połowie 2027 roku
  • Konkurencyjny model Kolorado, SB 26-189, ma wejść w życie 1 stycznia 2027 roku — jego los będzie testem dla całego stanowego podejścia

Źródła

Udostępnij ten artykuł