NIST AI RMF——事实标准
虽为自愿,但联邦承包商须遵守,并被纳入行业框架(例如财政部面向金融业的控制集)。
按地区看 ISO/IEC 42001
美国没有单一的联邦 AI 法律。美国组织需要应对作为事实标准的自愿性 NIST AI RMF、快速变动的各州拼凑式立法、FTC 针对夸大 AI 宣传的执法,以及采购需求。ISO/IEC 42001 是可认证的国际层面标准,既对应 NIST,又能跨越各州通行。
监管格局
截至 2026 年,美国没有全面的联邦 AI 法规。联邦政策依赖自愿性的 NIST AI Risk Management Framework——如今已是事实上的运营标准,并被纳入联邦承包商及财政部金融服务的要求之中——而各州则各自立法。加利福尼亚州(SB 53、AB 2013、SB 942,自 2026 年1月起)、得克萨斯州(TRAIGA)、科罗拉多州新的自动化决策法(自 2027 年1月起,在原 AI Act 被废止之后)、纽约市的 Local Law 144 以及犹他州都施加了相互交叠的义务。无论哪一届政府执政,FTC 都会依据 Section 5 追究"AI 洗白"行为。
驱动因素
虽为自愿,但联邦承包商须遵守,并被纳入行业框架(例如财政部面向金融业的控制集)。
加利福尼亚、得克萨斯、科罗拉多(自动化决策法,2027 年)、伊利诺伊、纽约市 Local Law 144 与犹他——规则各异,义务相互交叠。
"AI 洗白"及无依据的 AI 宣传会依据 Section 5 权限被追究。
买家与机构越来越多地要求可证明、有文档记录的 AI 治理。
ISO/IEC 42001 如何契合
ISO/IEC 42001 的管理体系将 NIST 的 Govern–Map–Measure–Manage 各项职能落地为可审核、可重复的证据。
一套 AIMS 覆盖相互交叠的各州义务——消费者告知、人工审查、文档记录——无需按州逐一应对。
有文档记录的验证与监测可为 FTC 审视的 AI 宣传提供支撑。
客户、合作伙伴与采购团队早已理解的国际通行凭证。
问题
因为 NIST AI RMF 早已成为事实上的要求,各州正在积极立法,FTC 会对夸大宣传执法,买家也要求证明。ISO/IEC 42001 是能满足上述所有要求并对应 NIST 的可认证体系。
两者互补。NIST 是自愿性风险框架;ISO/IEC 42001 是可认证的管理体系,用于将其落地并提供证据。许多美国组织两者并用——用 NIST 提供风险方法,用 ISO/IEC 42001 提供可审核的体系与证书。
存在联邦优先适用的努力,但现行各州法律在被法院撤销之前仍可执行。管理体系的方法是应对不断变化格局的稳健对冲。
相关内容