当大多数出海 AI 企业的法务团队紧盯华盛顿——特朗普 AI 行政令、众议院两党草案——的时候，一个更紧迫的现实正在州级层面发生：Colorado SB 189 已签署生效，要求雇主向员工披露 AI 决策工具使用；Connecticut CTDPA 的 AI Profiling 影响评估义务将于 2026 年 8 月 1 日生效；加州 Newsom 行政令要求 120 天内提出 AI 供应商认证规则。这三条线有一个共同特点：它们不是”讨论中的框架”，而是”有明确生效日期和具体义务的现行/即将现行规则”。

为什么州法比联邦法更值得现在就关注？

一个常见的误解是：联邦框架一旦通过，州法就会被覆盖，所以现在不用太在意州级规则。但现实完全相反。

第一，州法已经在生效。 Colorado SB 189 已经签署，Connecticut CTDPA 的 AI Profiling 条款 2026 年 8 月 1 日生效——不到 55 天。这些不是立法预告，而是合规截止日。

第二，联邦预占远未确定。 众议院草案确实包含联邦预占条款，但草案到立法、立法到生效之间还有漫长的过程。在联邦框架真正落地之前，州法就是唯一的现行义务。

第三，州法的触发条件更具体。 联邦草案倾向于框架性规定，而州法往往直指具体场景：雇主是否用 AI 做招聘决策？平台是否用 AI 做用户 Profiling？AI 产品是否作为供应商进入政府采购？这些问题在州法中已经有明确答案。

结论很简单：州法不是联邦法的”预热”，而是已经在跑的独立赛道。

三州规则速览：谁在管什么、什么时候生效

Colorado SB 189 — 已生效

• 核心要求：雇主使用 AI 工具做招聘、晋升、绩效评估等决策时，必须向员工和候选人披露 AI 的使用
• 影响对象：所有在 Colorado 有员工的雇主，尤其是使用 AI 筛选简历、评估绩效、分配任务的 HR 系统和 SaaS 平台
• 独特之处：这是美国第一个将 AI 决策披露义务直接挂钩到”雇主-员工关系”的州法，而不是消费者场景

Connecticut CTDPA — 2026 年 8 月 1 日生效

• 核心要求：对产生法律效力或类似重大影响的自动化决策进行 Data Protection Impact Assessment（DPIA），且 AI Profiling 是核心评估对象
• 影响对象：在 Connecticut 处理消费者数据且进行 AI Profiling 的企业
• 独特之处：CTDPA 的 DPIA 义务实际上是对 AI 系统的一次”全身体检”——不仅要评估数据处理逻辑，还要评估对消费者的潜在负面影响

加州 Newsom AI 行政令 — 120 天内提出规则

• 核心要求：要求州相关机构在 120 天内提出 AI 供应商认证规则，预判会对向加州政府/公共机构提供 AI 产品的供应商产生准入门槛
• 影响对象：面向加州政府或公共部门销售 AI 产品的企业
• 独特之处：这不是一般行业合规，而是”供应商认证”——类似 SOC2 但有 AI 特化要求，可能成为事实上的市场准入标准

什么类型的企业会被哪条规则打到？

不同类型企业面临的州法压力完全不同，值得对号入座：

企业类型	最先触发的州法	核心义务
在美国有员工、使用 AI 做 HR 决策	Colorado SB 189	AI 决策工具的强制员工披露
面向消费者的 AI 产品、涉及用户 Profiling	Connecticut CTDPA	08-01 前完成 DPIA
向加州政府/公共机构销售 AI 产品	California AI EO	关注 120 天后的供应商认证要求
三州都有业务	全部	系统性多州合规映射

关键是：很多企业同时属于多条线。 一个向加州政府卖 AI 工具、在 Colorado 有办公室、App 面向 Connecticut 消费者的公司——三条州法同时适用。

企业现在该启动的三件事——以及 Kaamel 可以怎样承接

多州 AI 合规最容易犯的错误是”逐州应急”：等 Colorado 来问再做披露、等 Connecticut 截止日到了再补评估、等加州认证要求落地再看要不要申请。结果往往是每次都在 deadline 前手忙脚乱，且各州的合规动作互相孤立、无法复用。

Kaamel 围绕这类多州 AI 合规场景，通常按三层承接：

第一层：法规研究与适用性分析。 企业最需要先回答的问题不是”每条法规怎么合规”，而是”哪些规则适用于我、优先级是什么”。Kaamel 的法规研究团队可以帮助企业做一轮系统性的多州 AI 法规适用性判断——从 Colorado SB 189、Connecticut CTDPA、加州 AI EO 到尚在立法阶段的州级动态——画出一张”我们的产品 × 各州规则”的合规地图，并给出面向管理层的差距分析和优先级建议。这一步是为后续所有合规动作定方向。

第二层：AI Profiling 影响评估机制建设。 Connecticut CTDPA 08-01 是最迫近的硬性截止日。如果企业的 AI 产品涉及消费者行为分析、自动化决策或用户画像，现在就应该启动评估机制的模板设计、数据流梳理和流程建设。Kaamel 的隐私治理建设能力直接覆盖这一需求：不是写一次性的 DPIA 报告，而是帮助企业建立可复用的 AI 影响评估体系——模板、SOP、审批流程、留痕机制——使后续其他州（甚至联邦层）的类似评估要求可以直接复用。

第三层：产品侧 AI 决策披露扫描。 Colorado SB 189 的场景极易被忽视——很多企业法务关注”消费者隐私”，但 HR 部门使用 AI 筛选简历、评估绩效恰恰是 SB 189 的直接触发点。Kaamel 的 Web/App 隐私快速扫描能力可以帮助企业做一次全产品面的 AI 决策工具盘点：哪些系统涉及 AI 决策、当前披露是否满足法规要求、短期可修复项有哪些。这一步的产出直接对应 Colorado 的披露义务和加州后续的认证要求。

三层之间不是各自独立的——先做适用性判断定方向，再做评估机制建设打基础，最后用产品扫描做落实验证。对管理层来说，这样的顺序可控、可汇报；对法务和合规团队来说，每个阶段的产出都可以直接转化为对内执行和对外应答的依据。

结语

美国的 AI 监管正在以双轨制推进：联邦层面在搭框架、谈原则，州级层面已经在发作业单、定截止日。对于出海 AI 企业来说，真正的风险不是”未来可能会被监管”，而是”有一条已经生效的州法，但你还不知道它适用于你”。

在联邦框架真正具备覆盖力之前，州法就是 AI 合规的前线。而前线的特点是：它不等人。