ایلینوی به تازگی اولین قانون US را تصویب کرد که نیازمند ممیزی‌های ایمنی سالانه برای مدل‌های پیشرو AI است.

ایلینوی به اولین ایالت در ایالات متحده تبدیل شده است که به طور قانونی ممیزی‌های ایمنی مستقل سالانه را برای مدل‌های پیشرفته هوش مصنوعی الزامی می‌کند — یک نقطه عطف تاریخی که دقیقاً در زمانی رخ داده است که مقررات فدرال هوش مصنوعی متوقف شده است. قانون اقدامات ایمنی هوش مصنوعی ایلینوی که توسط لایحه سنای 315 (SB 315) ارائه شده است، در ماه مه 2026 با رأی 110-0 در مجلس ایالتی و 52-5 در سنا تصویب شد. فرماندار J.B. Pritzker قصد خود را برای امضای آن به عنوان قانون اعلام کرده است.

حاشیه‌های رأی گویای همه چیز است. رأی 110-0 در مجلس یک تصمیم نزدیک نیست — بلکه یک بیانیه است. هر قدر هم که قانون‌گذاران ایلینوی بر سر موضوعات دیگر اختلاف نظر داشته باشند، در این مورد به اجماع تقریباً کاملی رسیدند که توسعه‌دهندگان هوش مصنوعی پیشرفته باید تحت قانون ایالتی پاسخگو باشند.

آنچه قانون الزام می‌کند

SB 315 پنج الزام مرتبط را برای شرکت‌های مشمول ایجاد می‌کند که از اول ژانویه 2027 لازم‌الاجرا هستند و سخت‌گیرانه‌ترین الزام — ممیزی‌های شخص ثالث اجباری — از اول ژانویه 2028 آغاز می‌شود:

1. چارچوب ایمنی هوش مصنوعی پیشرفته: شرکت‌های مشمول باید سالانه یک چارچوب ایمنی جامع منتشر کنند که ارزیابی‌های ریسک فاجعه‌بار، راهبردهای کاهش خطر، پروتکل‌های امنیت سایبری، ساختارهای حاکمیتی و خلاصه‌ای از ارزیابی‌های شخص ثالث را مستند کند. این یک تمرین تیک‌زدن جعبه‌ای نیست — این الزام شرکت‌ها را ملزم می‌کند تا به طور عمومی بیان کنند که چه چیزی ممکن است با قدرتمندترین مدل‌هایشان اشتباه پیش برود و چه اقداماتی در این زمینه انجام می‌دهند.
2. گزارش‌های شفافیت: پیش از استقرار یک مدل پیشرفته جدید یا تغییر اساسی یک مدل موجود، شرکت‌ها باید یک گزارش شفافیت منتشر کنند. این یک لایه پاسخگویی پیش از استقرار ایجاد می‌کند که در حال حاضر در سطح فدرال وجود ندارد.
3. ممیزی‌های ایمنی مستقل سالانه توسط شخص ثالث: این همان ماده‌ای است که SB 315 را از نظر تاریخی مهم می‌کند. هیچ ایالت آمریکایی تاکنون ممیزی خارجی مستقل از سیستم‌های هوش مصنوعی را در این سطح الزامی نکرده است. از سال 2028، شرکت‌های مشمول باید تحت ممیزی‌های سالانه انجام‌شده توسط اشخاص ثالث واجد شرایط قرار گیرند — نه بازبینی‌های داخلی، نه خوداظهاری، بلکه نظارت خارجی مستقل.
4. گزارش‌دهی حوادث: حوادث ایمنی بحرانی باید به مقامات مربوطه گزارش داده شوند. این امر از چارچوب‌های گزارش‌دهی حوادثی که در صنایع هوانوردی، هسته‌ای و داروسازی وجود دارد — بخش‌هایی که عواقب شکست می‌تواند فاجعه‌بار باشد — الگوبرداری می‌کند.
5. حمایت از افشاگران: کارمندانی که خطرات ایمنی عمومی مرتبط با سیستم‌های هوش مصنوعی شرکت خود را شناسایی و گزارش می‌کنند، از تلافی‌جویی محافظت می‌شوند. این ماده آنچه را که افراد داخلی صنعت از قبل می‌دانند تأیید می‌کند: افرادی که مستقیم‌ترین آگاهی را از خطرات ایمنی هوش مصنوعی دارند، اغلب کسانی هستند که کمتر می‌توانند به طور عمومی در این باره صحبت کنند.

اجرا بر عهده آژانس مدیریت اضطراری ایلینوی و دفتر امنیت داخلی، با مشورت دادستان کل ایالت است. تخلفات شامل جریمه‌های مدنی می‌شود.

چه کسانی مشمول می‌شوند

این قانون «توسعه‌دهندگان بزرگ هوش مصنوعی پیشرفته» را هدف قرار می‌دهد — دسته‌ای که با حدود 500 میلیون دلار یا بیشتر درآمد سالانه و آستانه‌های محاسباتی قابل توجه تعریف می‌شود. در عمل، این بدان معناست که شرکت‌هایی مانند OpenAI و Anthropic به صراحت در محدوده شمول قرار دارند.

آنچه تاریخچه قانون‌گذاری SB 315 را واقعاً غیرعادی می‌کند این است که هم OpenAI و هم Anthropic به طور عمومی از این لایحه حمایت کردند. این قابل توجه است. الگوی غالب در مقررات فناوری این است که صنعت تحت نظارت به شدت علیه نظارت لابی می‌کند، ائتلاف‌ها را تأمین مالی می‌کند، شکایت می‌کند و از عواقب کشنده نوآوری هشدار می‌دهد. در اینجا، دو تا از تأثیرگذارترین شرکت‌های هوش مصنوعی در جهان، در عمل گفتند: این قانون منطقی است و ما از آن حمایت می‌کنیم.

تفسیرهای متعددی از این حمایت وجود دارد. یکی تعهد واقعی به پاسخگویی ایمنی است. دیگری محاسبه استراتژیک است — شرکت‌های بزرگ و باحجم می‌توانند هزینه‌های انطباق را که رقبای کوچکتر را از پا درمی‌آورد جذب کنند و عملاً از مقررات به عنوان یک خندق دفاعی استفاده کنند. به احتمال زیاد، ترکیبی از هر دو است. به هر حال، جنبه‌های سیاسی قابل توجه بود: استدلال اینکه یک دستور ایمنی، زیاده‌روی غیرمنطقی است زمانی که شرکت‌های مشمول آن را تأیید می‌کنند، دشوار است.

چرا ایالت‌ها در حال حرکت هستند در حالی که واشنگتن متوقف شده است

زمان‌بندی تصویب SB 315 تصادفی نیست. در 21 مه 2026، دولت ترامپ یک فرمان اجرایی فدرال در مورد ایمنی هوش مصنوعی را به تعویق انداخت و یک خلأ قانونی آشکار در سطح ملی باقی گذاشت. ایالت‌ها در حال پر کردن آن هستند.

ایلینوی به تنهایی عمل نمی‌کند. SB 315 بر اساس قانون ایمنی هوش مصنوعی تصویب‌شده توسط نیویورک و کالیفرنیا در سال 2025 الگوبرداری شده است. این الگو برای هر کسی که توسعه قوانین زیست‌محیطی، حریم خصوصی یا حمایت از مصرف‌کننده را در ایالات متحده دنبال کرده است آشناست: وقتی اقدام فدرال متوقف می‌شود، کالیفرنیا اول حرکت می‌کند، ایالت‌های دیگر دنبال می‌کنند و در نهایت واشنگتن یا یک استاندارد ملی را اتخاذ می‌کند یا برای بازپس‌گیری کنترل، قانون پیش‌دستی فدرال را تصویب می‌کند.

الزامات شفافیت EU AI Act برای محتوای تولیدشده توسط هوش مصنوعی در 2 دسامبر 2026 اجرایی می‌شود. SB 315 ایلینوی که از اول ژانویه 2027 لازم‌الاجرا می‌شود، ایالات متحده را — در سطح ایالتی — تقریباً در راستای جدول زمانی نظارتی بین‌المللی قرار می‌دهد. خواه این هم‌راستایی عمدی باشد یا تصادفی، به این معناست که توسعه‌دهندگان هوش مصنوعی مستقر در ایالات متحده با ضرب‌الاجل‌های همگرای انطباق از حوزه‌های قضایی متعدد در همان بازه 12 ماهه روبرو خواهند شد.

مشکل ممیزی

NetChoice، گروه حمایت از صنعت فناوری، اعتراضاتی را به SB 315 مطرح کرد که شایسته توجه جدی هستند — نه به این دلیل که دلایلی برای مخالفت با قانون هستند، بلکه به این دلیل که چالش‌های واقعی اجرایی را شناسایی می‌کنند که باید حل شوند.

نقد اصلی: هیچ ممیز ایمنی هوش مصنوعی تأییدشده‌ای وجود ندارد. هیچ چارچوب استاندارد شناخته‌شده‌ای برای ممیزی مدل‌های پیشرفته هوش مصنوعی وجود ندارد. قانون ممیزی‌های سالانه شخص ثالث را از سال 2028 برای سیستم‌هایی — مدل‌های کلاس GPT، مدل‌های کلاس Claude — الزام می‌کند که زیرساخت ممیزی موجود برای ارزیابی آنها تجهیز نشده است.

چه کسی GPT-6 را ممیزی خواهد کرد؟ چه مدارکی خواهند داشت؟ از چه روش‌شناسی استفاده خواهند کرد؟ «قبول» یا «رد» یک ممیزی ایمنی هوش مصنوعی به چه معناست؟ این سؤالات هنوز پاسخ ندارند و قانون به آنها پاسخ نمی‌دهد. این قانون الزام را بدون ایجاد زیرساخت ایجاد می‌کند.

NetChoice همچنین به ابهام استاندارد «ریسک فاجعه‌بار غیرمنطقی» اشاره کرد — عبارتی که به طور شهودی به نظر می‌رسد اما از نظر قانونی دقیق نیست. چه سطحی از ریسک غیرمنطقی است؟ نسبت به چه خط پایه‌ای؟ این شکاف‌های تعریفی تقریباً به طور قطع منجر به دعاوی قضایی خواهد شد.

این انتقادات معتبر هستند. آنها همچنین از نوع مشکلاتی هستند که دقیقاً به این دلیل حل می‌شوند که یک مهلت قانونی آنها را اجتناب‌ناپذیر می‌کند. نهادهای استانداردسازی، انجمن‌های حرفه‌ای و شرکت‌های تخصصی معمولاً روش‌شناسی ممیزی هوش مصنوعی را صرفاً به این دلیل که داشتن آنها خوب است توسعه نمی‌دهند. آنها را توسعه می‌دهند چون یک قانون می‌گوید ممیزی‌ها باید تا تاریخ مشخصی انجام شوند.

معنای آن برای شرکت‌های هوش مصنوعی

برای شرکت‌های مشمول، جدول زمانی انطباق فشرده و الزامات اساسی است. الزام انتشار چارچوب ایمنی از اول ژانویه 2027 آغاز می‌شود — کمتر از هفت ماه دیگر. این بدان معناست که شرکت‌های مشمول باید ظرف چند ماه یک ارزیابی جامع از ریسک فاجعه‌بار برای قدرتمندترین مدل‌های خود تولید و به طور عمومی منتشر کنند.

در عمل، یک «ارزیابی ریسک فاجعه‌بار» شرکت‌ها را ملزم می‌کند تا به طور رسمی سناریوهایی را مستند کنند که در آنها مدل‌هایشان می‌توانند باعث آسیب شدید و گسترده شوند — و مشخص کنند چه کنترل‌هایی برای جلوگیری یا کاهش آن سناریوها در نظر گرفته‌اند. برای شرکت‌هایی که این کار را به صورت داخلی انجام می‌دهند، چالش عمدتاً افشا است. برای شرکت‌هایی که این کار را نکرده‌اند، چالش هم ماهوی و هم اعتباری است.

الزام گزارش شفافیت — انتشار قبل از هر استقرار مدل پیشرفته جدید — یک نقطه فشار اضافی ایجاد می‌کند. به این معنا که انتشار یک مدل جدید بزرگ دیگر فقط یک راه‌اندازی محصول نیست؛ بلکه یک رویداد نظارتی است که نیازمند افشای ایمنی مستند است.

الزام ممیزی شخص ثالث در سال 2028 به شرکت‌ها دو سال فرصت می‌دهد تا یا ممیزان واجد شرایط را شناسایی کنند یا به ایجاد اکوسیستم ممیزی که آنها را ارزیابی خواهد کرد کمک کنند. با توجه به اینکه OpenAI و Anthropic از این لایحه حمایت کردند، آنها انگیزه‌ای برای کمک به توسعه این اکوسیستم دارند تا اینکه در مهلت مقرر بدون ممیزان معتبر برسند.

تصویر بزرگ‌تر

این روشی است که مقررات فناوری مهم اغلب در ایالات متحده آغاز می‌شود: به صورت ناقص، در سطح ایالتی، با شکاف‌های قانونی واقعی و سؤالات اجرایی مشروع، اما با این حال رو به جلو حرکت می‌کند.

قانون حریم خصوصی داده‌های کالیفرنیا به عنوان مبهم و دشوار برای اجرا مورد انتقاد قرار گرفت. با این حال، CCPA را به جلو راند، قوانین ایالتی دیگر را الهام بخشید و به گفتگوهای فدرال در مورد حریم خصوصی که امروز ادامه دارد کمک کرد. GDPR که در زمان تصویب به دلیل بار انطباق آن به طور گسترده مورد انتقاد قرار گرفت، به استاندارد بالفعل جهانی تبدیل شد که حتی شرکت‌های آمریکایی نیز سیستم‌های خود را حول آن ساختند.

SB 315 ایلینوی ممکن است مسیر مشابهی را دنبال کند. اگر ایالت‌های دیگر چارچوب‌های مشابهی را اتخاذ کنند و شرکت‌ها زیرساخت انطباق خود را در حوزه‌های قضایی استاندارد کنند، می‌تواند به یک استاندارد ملی عملی تبدیل شود. ممکن است توسط قانون‌گذاری فدرال نهایی پیش‌دستی شود — اگرچه آن قانون‌گذاری فدرال، اگر بیاید، توسط آنچه ایالت‌هایی مانند ایلینوی، کالیفرنیا و نیویورک قبلاً وضع کرده‌اند شکل خواهد گرفت.

یا می‌تواند به یک داستان هشداردهنده در مورد مقررات زودهنگام تبدیل شود — قانونی که هزینه‌های واقعی تحمیل می‌کند، در ارائه مزایای ایمنی وعده‌داده‌شده ناکام می‌ماند و به آرامی اصلاح یا لغو می‌شود. این نیز ممکن است.

آنچه ممکن نیست وضع موجود است. مدل‌های پیشرفته هوش مصنوعی در مقیاس وسیع مستقر می‌شوند، با قابلیت‌هایی که خود توسعه‌دهندگانشان اذعان دارند به طور کامل آنها را درک نمی‌کنند، در یک محیط نظارتی که دولت فدرال به صراحت عقب‌نشینی کرده است. نوعی از چارچوب پاسخگویی همیشه قرار بود آن خلأ را پر کند. در ایلینوی، همین حالا این اتفاق افتاد.

توسعه‌دهندگان هوش مصنوعی پیشرفته اکنون تا اول ژانویه 2027 فرصت دارند تا چارچوب‌های ایمنی خود را منتشر کنند — و تا اول ژانویه 2028 برای یافتن ممیزانی که ممکن است هنوز وجود نداشته باشند. ساعت در حال تیک‌تیک است.