嗨我是 Mech Muse 👋
今天要跟大家聊聊一個看起來有點「法條味」、但其實跟未來工作、AI 產業發展都超有關的主題:加州一口氣通過多項 AI 安全與透明度新法,卻同時否決了《No Robo Bosses Act》(俗稱:禁止機器主管法)。
很多人看到標題會有點問號:到底是管得更嚴?還是放寬?是在保護勞工、限制科技公司,還是幫產業鬆綁?
這篇文章會陪你一步一步拆解:
- 加州到底通過了哪幾個跟 AI 有關的新規定?
- 為什麼針對「AI 當老闆」的《No Robo Bosses Act》最後被州長否決?
- 對 AI 開發者、企業、還有一般上班族來說,這些變化代表什麼風向?
- 這些法規怎麼跟我們常聽到的「AI 安全」「災難性風險」連在一起?
讀完你會比較有感:加州其實是在「一手抓高風險 AI 安全、一手猶豫要不要嚴管職場裡的 AI 老闆」,而不是簡單的「變嚴」或「變鬆」而已。
加州想當 AI 監管領頭羊,但也不想把科技業嚇跑 🚩
先把這次故事裡幾個重點主角介紹一下,這樣後面才看得懂脈絡。
1️⃣ SB 53:前沿 AI 透明與安全法(Transparency in Frontier Artificial Intelligence Act, TFAIA)
2025 年 9 月 29 日,加州州長 Gavin Newsom 簽署 SB 53,2026 年 1 月 1 日正式生效。
- 這是全美第一部專門針對「前沿 AI 模型(frontier AI models)」的州法,鎖定的對象不是所有 AI,而是:
- 訓練算力超過 10^26 FLOPs 的大型通用模型(也就是那種超級大、能做很多事的 foundation model),
- 而且開發者是營收超過 5 億美金的大型公司。
- 這部法要這些「前沿 AI 開發者」做幾件事:
- 建立並公開一份「前沿 AI 安全框架」,說明怎麼管理風險
- 針對可能造成「災難性風險(catastrophic risk)」的情境,做風險評估和應對計畫
- 發生重大安全事故時,要向州政府相關單位通報
- 對內部負責安全的員工提供吹哨者保護
換句話說,SB 53 把「AI 安全白皮書」變成法定義務,而且只鎖定極少數、算力和能力都非常強的模型開發者。
2️⃣ CPPA 的 ADMT 新規:隱私法底下的「自動決策技術」管制 🧾
除了 SB 53,以隱私為基礎的監管也同步前進。
- 在加州現有的隱私法 CCPA 之下,加州隱私保護機構 CPPA 在 2025 年通過了一組新規,專門針對:
- 自動決策技術(Automated Decision-Making Technology, ADMT)
- 隱私風險評估(risk assessments)
- 資安稽核(cybersecurity audits)
- 這些規則對企業的要求包括:
- 如果用 ADMT 來做「重大決策」(例如雇用、解雇、升遷、排班等),要給當事人事前告知(pre-use notice)
- 必須提供一定程度的選擇退出(opt-out)權利(部分例外除外)
- 要針對高風險處理活動做風險評估,並在 2028 年 4 月 1 日前,向 CPPA 提交通盤評估摘要
多數義務會在 2026 年起陸續生效,跟 ADMT 有關的部分則預計在 2027 年開始正式適用。
這套制度有點像是:你用 AI 做重要決策可以,但必須有透明度、可被檢視,也要能說明風險和保護措施。
3️⃣ SB 7:《No Robo Bosses Act》(禁止機器主管法)——被否決的焦點法案 ❌
再來就是這次媒體很愛提的 SB 7,也就是《No Robo Bosses Act》。
這是一部獨立於隱私法之外的草案,專門針對「職場裡用 AI 管人」這件事。
- 主要內容包括:
- 對「自動決策系統(Automated Decision Systems, ADS)」下了一個很廣的定義
- 把雇用、解雇、懲處、帳號停用(例如外送平台的合作司機帳號)等,視為重大就業決策
- 規定在解雇、懲處、帳號停用這三件事上,不能只靠機器說了算,一定要有人類覆核
- 雇主必須提供 AI 介入的書面通知、申訴管道,以及對反報復行為的保障
結果到了 2025 年 10 月 13 日,也就是州長簽署或否決法案的最後期限,Newsom 選擇否決 SB 7。他的理由主要包括:
- 法案定義太廣,可能會把很多日常工具(像進階試算表、一般排班系統)也拉進嚴格規範
- 沒有清楚區分「高風險 AI 工具」和「低風險行政工具」
- 很多條文其實可能和 CPPA 的 ADMT 新規重疊,會提高企業合規成本
《洛杉磯時報》等媒體也指出,科技產業這段時間對州政府施加了不少壓力,擔心太嚴苛的法案會讓公司乾脆搬離加州,因此 Newsom 最後選擇「高風險優先、職場專法先等等」的做法。
簡單說,加州現在的姿態是:
對可能造成「災難性風險」的前沿 AI,要高標準嚴管; 對職場裡 AI 當不當主管,先交給隱私和風險治理工具處理,專法再看看。
時間軸整理:從草案、監管新規,到「通過+否決」的一次到位 ⏱️
接下來我們用時間線,把這一串事件從頭排一次,你會更清楚這波「AI 監管組合拳」是怎麼打出來的。
1️⃣ 2025 上半年:No Robo Bosses 出現、ADMT 規則成形
- 2025 年 3 月左右
- SB 7《No Robo Bosses Act》被提出。
- 目標是成為全美第一個全面規範職場自動決策系統的州法。
- 核心精神是:重大就業決策不能只交給 AI 一定要有人類監督與覆核 員工應該知道 AI 何時介入決定自己的命運,且要有申訴和救濟管道。
- 2025 年上半年~夏天:CPPA 打磨 ADMT+風險評估新規
- 其實早在 2024 年,CPPA 就已經在討論要針對高風險個資處理、自動決策技術、資安稽核訂一些細則,只是過程中經歷多次修正。
- 2025 年 7 月 24 日,CPPA 董事會終於通過一整組「ADMT+風險評估+資安稽核」規則,準備送往行政程序審查。
2️⃣ 2025 年 9 月:前沿 AI 法案過關,機器主管法也在立法機關過關 📜
- 9 月 12 日:SB 7 在州議會過關
- 主提案議員發布新聞稿,強調這是確保「職場 AI 還是有真人負責」的一大步。
- 多個勞工和隱私團體也表態支持。
- 9 月 29 日:SB 53(TFAIA)由州長簽署成法
- 這部法正式把「前沿 AI」這個概念寫進州法。
- 主要針對算力超高、用途廣泛的通用模型,要求:
- 建立並公開前沿 AI 安全框架
- 評估並管理災難性風險
- 發生重大安全事故時,要通報加州緊急服務辦公室(OES)等單位
- 對內部安全團隊成員提供吹哨者保護
很多學界與智庫的分析都形容,SB 53 是第一個真正試圖處理「災難性 AI 風險」的州級法案,而不是只談資料保護或演算法公平。
3️⃣ 2025 年 9~10 月:隱私+AI 新規定案,No Robo Bosses 進入「等州長簽字」階段
- 9 月 23 日:CPPA 宣布新規通過行政程序審查,可在 2026 年 1 月 1 日生效。
- 包含:
- 高風險處理活動的風險評估義務
- ADMT 使用時的告知、選擇退出與權利行使流程
- 資安稽核頻率與內容等要求
- 包含:
- 隨後,律所與顧問公司開始提醒企業:
- 2026 年起必須開始做風險評估
- 2027 年 ADMT 規則正式落地
- 2028 年 4 月 1 日前,要把 2026–2027 的風險評估摘要送交 CPPA
此時 SB 7 已經在州議會過關,進入「等州長簽署或否決」的階段。
4️⃣ 2025 年 10 月 13 日:州長否決《No Robo Bosses Act》❌
- 在最後期限當天,Newsom 選擇否決 SB 7。
- 各大律所與政策分析單位在之後幾天紛紛出解讀,整理他的 veto 理由,大致包括:
- 定義過度廣泛、可能影響太多日常工具:SB 7 對 ADS 的定義,連帶公式的試算表、普通排班系統都有可能被算進去。
- 缺乏對高風險 vs. 低風險工具的區分:法案用同一套高標準去處理所有自動化工具,恐怕會扼殺一些其實對員工也有幫助的系統。
- 與 CPPA 新規重疊,增加不必要的合規負擔:在他看來,很多對職場 AI 的擔心,其實可以透過 CCPA/CPPA 的 ADMT 規則來處理,現階段不一定要再加一部專法。
媒體也補充,這背後還有很現實的一層:加州不想在 AI 競賽中,把科技公司推走。所以在「保護勞工」與「維持產業競爭力」之間,選擇暫時踩煞車。
5️⃣ 10 月中起:智庫、律所、媒體陸續分析,定調「高風險優先」路線
- 智庫與專業機構開始評論 SB 53,指出:
- 它把「災難性風險」具體化,連死亡人數、經濟損失的門檻都寫進去。
- 把「前沿 AI 安全框架」當成公開文件,也要求定期更新與事故通報,是一種把 AI 安全制度化的做法。
《洛杉磯時報》等媒體則從政治與產業角度分析,認為這顯示加州在 AI 法規上出現「部分退讓」,避免科技業覺得自己被針對得太兇。
6️⃣ 11 月:律所客戶簡報把幾件事打包整理,成為這次的「新聞入口」
- 11 月 10 日左右,國際律所 Paul Hastings 發布客戶簡報,把這幾件事整理在同一份文件裡:
- CPPA 的 ADMT+風險評估+資安稽核新規
- SB 53(前沿 AI 透明法)的通過與主要內容
- SB 7(No Robo Bosses Act)的否決與政治背景
總結一下這條時間軸:
2025 年下半年,加州等於一次把「前沿 AI 安全」、「自動決策技術治理」和「機器主管專法」都攤開來處理,最後留下前兩個、暫緩第三個。
深入拆解:什麼是「前沿 AI」與「災難性風險」?那勞工到底剩下什麼保護?🧩
時間線看完,接下來換幾個比較「讀者視角」的問題來拆——這樣比較好對照自己在意的點。
1️⃣ 前沿 AI 開發者被要求做哪些事?(不只是寫 PR 文那麼簡單)
SB 53 把焦點放在「少數,但能力非常強」的前沿模型開發者身上。這些公司如果符合:
- 訓練算力 > 10^26 FLOPs
- 模型屬於「通用」型,可以應用在很多不同任務上
- 公司前一年營收超過 5 億美元
那他們就要面對幾個關鍵義務。
(1)建立並公開「前沿 AI 安全框架」📘
大型前沿開發者必須在官網上公開一份「frontier AI framework」,而且要定期更新,內容大致要說明:
- 採用哪些國家/國際標準、業界最佳實務 很多人推測,像 NIST 的 AI 風險管理框架(AI RMF)會是參考基礎之一
- 怎麼判斷自己的模型會不會帶來「災難性風險」
- 目前採取哪些風險緩解措施,有沒有委託外部測試
- 怎麼保護模型權重不被竊取、竄改(資安防護)
- 公司內部自己用這些前沿模型時,怎麼評估與控制風險
而且這份框架不是一次寫完就收工:
- 至少每年要重審一次
- 如果模型有重大改版,30 天內就要更新框架並說明改動原因
實際效果是,把原本比較偏「自願揭露」或是「CSR 報告書」型態的東西,拉到法律義務的層級。
(2)「災難性風險」定義+安全事故通報 ⚠️
SB 53 也用條文的方式試著定義什麼叫「災難性風險」,大致是指:
如果模型被濫用或失控,有「可預見且實質」的風險,可能造成:
- 超過 50 人死亡或嚴重受傷,或 超過 10 億美元的損失
並包含一些具體情境,例如:
- 模型完全脫離開發者或使用者的控制
- 在缺乏足夠監督情況下,被用來發動大型網路攻擊、嚴重金融詐騙或廣泛犯罪行為
對大型前沿開發者來說,這會帶來兩件很實際的義務:
- 重大安全事故通報義務
- 遇到 critical safety incident,要在一定期間內(例如 15 天)通報加州緊急服務辦公室(OES)
- 如果事件可能對生命或公共安全造成立即風險,還要在 24 小時內通報適當單位
- 定期傳送「災難性風險內部部署評估」
- 如果公司把前沿模型用在關鍵基礎設施、金融系統等高敏感場景,要定期彙整風險評估摘要報給 OES
這種設計有點像「AI 版事故報告制度」,讓政府可以掌握高風險使用場景的狀況,而不是事後才從媒體爆料中得知。
(3)吹哨者保護:保護說真話的安全團隊 🗣️
另外一個有趣、也很關鍵的點,是 SB 53 對「負責安全風險的人」給予吹哨者保護。
- 如果安全、人資或技術團隊的員工,基於善意向外揭露: 前沿模型可能造成重大公共危害,或 公司違反這部法律的義務
- 而因此遭到不利對待(降職、解雇等),他們可以尋求法律救濟。
這等於是告訴大型實驗室和公司:
安全爭議不能只用人事手段壓下來,真正有問題時,講出來的人會被法律保護。
2️⃣ 那《No Robo Bosses Act》被否掉後,職場裡就變成「AI 想怎樣就怎樣」嗎?👨💻👩💻
這題很多人會直覺擔心:
機器主管法被否,是不是代表未來上班族乖乖被 AI 打分數、排班、解雇,完全沒救?
其實沒有這麼極端,因為還有一整套 CCPA+CPPA ADMT 規則 在那裡。
如果 SB 7 有通過,本來會多出幾個非常具體、而且針對職場設計的保護:
所有重大就業決策,只要用了 ADS,就必須:
- 先給清楚的預先通知(pre-use notice)
- 解雇、懲處、帳號停用不得完全交由機器自動決定,一定要有人類覆核
- 若主要依賴 ADS,事後要給員工書面說明:
- 誰是負責人?
- 可以怎麼提出疑義?
- 如何取得資料並要求更正錯誤?
現在 SB 7 被否了,這些「職場專用」的保護確實沒有上路。
但不是什麼都沒了,因為:
- CPPA 的 ADMT 規則仍然對「在雇用、升遷、排班等重大決策中使用 ADMT」有拘束力
- 公司如果用 ADMT 來做這些決策,必須:
- 提供明確的使用告知(可以融入 CCPA 收集通知)
- 視情況提供 opt-out 或替代流程(有例外,但不是完全免責)
- 回應個人關於 ADMT 使用的查詢與權利行使(例如要求說明、刪除等)
- 公司如果用 ADMT 來做這些決策,必須:
- 大型企業還要寫風險評估+資安稽核
- 這些文書與流程,不只是「隱私合規」,也會順便把職場 AI 的風險納進檢討範圍。
- Newsom 的否決理由,其實沒有完全否定「AI 管人要有人類監督」這個方向
- 他只是認為 SB 7 版本太「一刀切」,用同樣高標準壓所有工具,沒有區分高風險/低風險,還容易跟既有規則打架。
- 未來未必不會出現「版本 2.0」,只是現在先暫停。
所以比較貼切的描述是:
勞工保護沒有歸零,而是從「一部專門管職場 AI 的硬法案」,退回到「隱私與風險治理框架」裡面處理。
對員工來說,你還是有權知道 AI 有沒有參與重要決策、可以要求一定程度的透明度與申訴管道。
只是「一定要有人類主管最後拍板」這件事,目前並沒有變成一條明確的州法條文。
3️⃣ 加州在畫一條線:「高風險 AI 要嚴管,一般 AI 用治理工具慢慢調」📊
把 SB 53、CPPA ADMT 規則、否決 SB 7 都放在同一張圖上,你會看到一個蠻清楚的策略:
- 真正有可能造成「災難性風險」的前沿模型,要嚴管
- 用算力門檻+通用性來鎖定對象
- 要求公開安全框架、通報重大事故、保護吹哨者
- 這是對少數「頂級模型開發者」打的高規格組合拳
- 日常生活和職場常見的 AI 工具,主要用隱私與風險治理去約束
- 用 ADMT 規則要求通知、選擇權與權利救濟
- 用風險評估、資安稽核,逼企業認真思考自己在幹嘛
- 職場 AI 專法(No Robo Bosses),暫時踩煞車,留政治空間
- 一方面觀察現有工具效果
- 一方面減少對產業的「立即性衝擊」
如果你是在做 AI 產品,這其實是一個很清楚的訊號:
- 越接近「前沿模型訓練」、算力越驚人、用途越廣,你就越需要把「安全與治理」當產品的一部分設計,而不是做完才找 PR 補。
- 如果你是做 HR tech、排班系統或各種「管理型 AI 工具」,短期內重點是跟著 CCPA/CPPA 的規則走,但也要預留空間——未來不排除會有更精準版的「No Robo Bosses 2.0」回鍋。
重點:加州在做一場「高風險優先」的 AI 管制實驗,下一步值得持續觀察 ✅
最後,我們把剛剛講的東西整理成幾個比較好記的重點,也順便換位思考一下,從不同角色的角度看這件事。
1️⃣ 這次加州 AI 新法的關鍵重點
- 加州真的走在前面,但不是全面封殺,而是「高風險優先」
- SB 53 讓加州成為全美第一個針對前沿 AI 模型訂安全義務的州。
- 它鎖定的是少數超大模型開發者,不是所有 AI 新創。
- 對多數企業來說,短期內真正會感受到的是 CPPA 的 ADMT+風險評估規則
- 用 AI 幫忙雇用、解雇、排班,不能只是裝上去就算導入 AI,而是要有通知、選擇權與風險評估流程。
- 《No Robo Bosses Act》被否,不代表勞工被放生,而是改走「隱私+治理」路線
- 員工仍然有資訊與權利,只是多了一層企業自己設計流程的空間,少了一部「職場 AI 專法」的硬性規則。
- 國際視角來看,這有點像「美式 AI Act」的某種版本
- 歐盟是用 AI Act 把高風險系統列一大類,
- 加州則是強調前沿模型+災難性風險,再用隱私與風險管理去補「日常使用」的部分。
- 這兩種路線未來會怎麼互相影響,很值得觀察。
2️⃣ 如果你是……
- AI 開發者/產品負責人
- 檢查一下自己離「前沿模型開發者」有多近:
-有沒有在做大模型訓練與微調?
-公司規模、算力規模會不會在未來幾年跨入那個門檻? - 即使目前還沒達到 10^26 FLOPs,提早思考:
-我們的安全框架要寫什麼?
-怎麼記錄和處理安全事件?
-公司文化對吹哨者與安全團隊友不友善? - 這些東西未來不只是法遵問題,也會是募資、企業合作時的加分項。
- 檢查一下自己離「前沿模型開發者」有多近:
- 企業內導入 AI 的 IT/HR/資料團隊
- 別只問「AI 功能強不強」,也要問:
-它會不會被視為 ADMT?
-我們是否有清楚的告知、選擇權和應對流程? - 將來,「會選 AI 工具」之外,「能設計 AI 治理流程」也會變成重要能力。
- 別只問「AI 功能強不強」,也要問:
- 一般關心科技政策的讀者
- 這個案例很適合當成「觀察各國 AI 監管思路」的參考:
-有些地方選擇先管資料(隱私)、有些地方先管用途(高風險系統), 加州這次是直接抓「前沿模型+災難性風險」,再搭配隱私工具。
- 這個案例很適合當成「觀察各國 AI 監管思路」的參考:
如果你可以看到這裡,代表你對「AI+政策+產業」的交界真的很有興趣,我自己也很喜歡寫這類題目 🤝
如果你也想一起 follow 這些變化,歡迎在方格子追蹤我 Mech Muse。
我們下一篇再一起拆一則新的科技新聞,掰啦 👋
延伸閱讀:
【Mech系列】 美國人型機器人公司總覽|開場篇:含各公司詳細介紹🤖
【Mech系列】美國小型核能新勢力大揭密:8 大公司完整解析
【Mech 系列】全球機器人補助與政策總覽|各國政策解析方向
【Mech系列】人形機器人核心硬體全解析:從零件開始的下一場科技革命
