回到頂部
深色政策拼圖中,多塊州級 AI 法規碎片圍繞獨立稽核稜鏡,下游合約鏈把義務傳向企業節點

伊利諾簽了全美首部強制 AI 年度稽核法:州級拼圖,對台灣出海企業是隱形成本

伊利諾州長 2026-07-06 簽署 SB 315,全美第一部強制前沿 AI 開發者做『年度第三方獨立稽核』的州法。但它要到 2028 才啟動、且各家表述不一。真正對台灣出海企業重要的是:美國沒有聯邦 AI 法,加州、紐約、伊利諾各立各的,合規成本會被上游大廠透過合約下推給你。

內容查核: 來源查核:

美國伊利諾州在 2026 年 7 月 6 日,讓 AI 監理往前踏了一步:州長 Pritzker 簽署了 SB 315《AI Safety Measures Act》,成為全美第一部強制前沿 AI 開發者接受「年度第三方獨立安全稽核」的州法。這個「全國首創」是它最搶眼的地方。

但這則新聞對台灣讀者的真正意義,不在伊利諾本身,而在它揭示的一個結構:美國沒有聯邦 AI 法,於是各州各立各的——加州、紐約、伊利諾門檻相近、細節卻不同。這種碎片化的州級拼圖,對台灣的出海企業是一筆隱形但真實的合規成本。

SB 315 管什麼、什麼時候上路

先把可查證的講清楚(門檻、通報時限與罰則來自多家律所對法條的分析):

  • 規範對象:大型前沿開發者——前一年營收逾 5 億美元、且以極大規模運算(逾 10 的 26 次方次浮點運算)訓練前沿模型者。實質義務只落在這個層級,一般 AI 應用商並不觸發。
  • 核心義務:建立、公布並逐年更新一份「Frontier AI Framework」(涵蓋災難風險評估、緩解、治理、資安、第三方評估),並每年委由獨立第三方稽核合規;另含吹哨者保護。
  • 事故通報:一般重大安全事故 72 小時內通報;涉及即刻死亡或重傷風險者 24 小時內。
  • 罰則:初犯上限 100 萬美元、再犯上限 300 萬美元,逾期揭露另有按日罰,由州檢察長專屬提起民事訴訟。

但有一個關鍵、不能寫錯的點:法律雖已在 2026-07-06 簽署成立,對前沿開發者的實質合規義務,多數律所分析指出要到 2028-01-01 才啟動(部分早期報導寫 2027),各家表述並不一致。所以正確理解是「法律已成立、義務尚未上路」,別被「已全面實施」的說法誤導。產業界對它也有分歧:TechNet、NetChoice 反對稽核條款,但 OpenAI、Anthropic 支持通過。

它不是孤例:三州拼圖已經成形

伊利諾是拼圖的最新一塊,前面還有兩塊:

  • 加州 SB 53(TFAIA):Newsom 於 2025-09-29 簽署,全美首部前沿 AI 安全法,重大事故 15 天內通報,多數義務 2026-01-01 生效,每項違規最高罰 100 萬美元。
  • 紐約 RAISE Act:Hochul 於 2025-12-19 首簽、2026-03-27 簽署最終修正版,2027-01-01 生效,事故 72 小時內通報。

三州的門檻幾乎都用「10 的 26 次方運算+5 億美元營收」,但通報時限(15 天 vs 72 小時 vs 24 小時)、稽核要求(單次資格認定 vs 每年一次)、生效日各不相同。跨州營運,等於要對應好幾本規則手冊。 而截至 2026 年中,全美已有逾半數州合計通過逾百部 AI 相關法。

更值得注意的政治張力是:川普政府 2025-12-11 才簽署行政命令,要司法部設工作組挑戰州級 AI 法(主張違反州際商業條款或應由聯邦優先),伊利諾卻在半年後照簽不誤,還刻意留了兩年緩衝。這代表未來一兩年是「州法擴張 vs 聯邦反撲」的拉鋸期——對跨州企業,合規環境是一個會移動的標靶。

對照台灣:統一立法的好處與陷阱

這正好照出台灣路線的特徵。台灣走的是「一部基本法+各部會子法」:《人工智慧基本法》2026-01-14 施行,單一主管機關(國科會),用風險分類統籌(見 台灣 AI 基本法風險分類框架)。

面向美國州級台灣
立法型態各州各立、無聯邦統一一部基本法+各部會子法
對企業跨州=多套合規手冊單一框架、單一主管機關
剛性已寫死門檻、罰則、通報時限原則法、無罰則,細節待子法
風險碎片化、且面臨聯邦訴訟子法拖延則形同空法

我的判斷是:台灣的統一路線避開了美國各州各吹各調的混亂,這是優點;但基本法沒罰則、沒門檻,全靠兩年內各部會訂子法——伊利諾一部 SB 315 就把「誰受規範、罰多少、幾小時通報、誰來稽核」全寫死,台灣若子法拖延或訂得空泛,『AI 島』就只是宣示。 真正該盯的不是基本法本身,是接下來兩年風險分類框架與各部會子法的落地速度與硬度。這也和國際上安全承諾集體鬆動的背景值得對照(見 FLI AI 安全指數:沒人及格)。

給台灣出海企業的提醒

現在不必為 5 億美元門檻焦慮——絕大多數台灣企業不會直接觸發前沿開發者的規範。但外溢效應是真實的:台灣的 AI 應用商、雲端服務、代工客戶,多半是 OpenAI、Anthropic、Google 這些「受規範前沿開發者」的下游或供應鏈。可以預期,這些大廠會把「安全事故 72 小時通報」「配合第三方稽核」「提供安全框架文件」等義務,透過合約條款下推給供應商與 API 客戶——類似 GDPR 把責任下推給資料處理者的模式(大廠自建交付部隊的趨勢,見 微軟、AWS 砸數十億派人駐點)。

所以務實的一步是:現在就盤點你的美國客戶與上游大模型供應商,看下一版合約會不會把這些通報與稽核義務變成你的責任。碎片化的合規成本,最終會沿著供應鏈流到你身上。

常見問題

Illinois SB 315 生效了嗎?我的公司要遵守嗎?

法律已於 2026-07-06 簽署成立,但對前沿開發者的實質合規義務多數來源指要到 2028-01-01 才啟動(部分報導寫 2027,各家表述不一),別當成已全面上路。規範對象是大型前沿開發者(前一年營收逾 5 億美元、以極大規模運算訓練前沿模型者),絕大多數企業不直接觸發。但如果你是 OpenAI、Anthropic 等受規範大廠的下游或供應商,未來可能被合約要求配合通報與稽核。

伊利諾這部法和加州 SB 53、紐約 RAISE Act 差在哪?

三者都是規範前沿 AI 開發者、門檻都用「極大規模運算+5 億美元營收」,但細節不同:加州 SB 53(2025-09 簽署)事故 15 天內通報;紐約 RAISE Act(2027-01 生效)72 小時通報;伊利諾 SB 315 除了 72 小時/24 小時通報,還多一道「年度第三方獨立稽核」,是全美首創。差別造成的結果是:跨州營運的企業要同時對應多套規則。

美國沒有聯邦 AI 法,這對台灣企業是好是壞?

是隱形成本。因為沒有聯邦統一,各州各立各的,跨州營運等於多套合規手冊;且川普政府 2025-12 已簽行政命令要挑戰州法,未來一兩年是「州法擴張 vs 聯邦反撲」的拉鋸,合規環境是移動標靶。台灣出海企業多數不直接觸發前沿開發者門檻,但要留意上游大廠會不會透過合約把通報、稽核義務下推給你。相較之下,台灣的單一基本法路線較整齊,但子法沒生出來一樣是空的。

參考來源

№ · further reading

延伸閱讀