AI 招聘合规 · 多司法管辖区偏见与无障碍审查
截至 2026 年 4 月,在纽约、科罗拉多、伊利诺伊、得克萨斯、加利福尼亚或欧盟运行 AEDT 的首席人力资源官(CHRO)或总法律顾问,正处于一个其多数供应商并未为之设计的监管窗口之中。伊利诺伊 HB 3773 已于 1 月 1 日生效。得克萨斯 TRAIGA 已于 1 月 1 日生效。加利福尼亚的 FEHA ADS 修正案已于去年 10 月生效。科罗拉多 SB 24-205 将于 6 月 30 日生效。欧盟《人工智能法案》自 8 月 2 日起将招聘列为高风险。纽约州审计长刚刚发布了一份 2025 年 12 月的审计报告,在 DCWP 仅发现 1 起的情况下查出了 17 起 LL144 违规,DCWP 也同意转向主动执法。Mobley 诉 Workday 案正处于证据开示阶段。Kistler 诉 Eightfold 案则在追问 AI 招聘平台是否属于 FCRA 下的消费者报告机构。本页面之所以存在,是因为你候选名单上没有任何一家供应商能够诚实地为你解答上述全部问题。
17 比 1
在同一份涵盖 32 家公司的样本中,纽约州审计人员查出的 LL144 违规数 vs. DCWP 查出的数量
纽约州审计长,2025 年 12 月 2 日
4.6%
在 391 家纽约市雇主中,已发布偏见审计的比例——即所谓的“零合规(Null Compliance)”发现
康奈尔大学 / Data & Society / 《消费者报告》,FAccT 2024
6400 万
因 McHire / Paradox 管理员账户使用密码“123456”而泄露的求职者记录数
Carroll & Curry 披露,2025 年 6 月 30 日
其中三项事件已经生效。两项将在夏末之前升温。两项正处于积极诉讼之中。它们没有一项会等待你的年度合规周期。
雇主必须将 ADS 的输入、输出、偏见测试结果及甄选标准保留至少四年。无论是否出于故意,由 ADS 导致的歧视性雇佣行为均须承担责任。无论总部位于何处,凡在加利福尼亚招聘的雇主均适用。
禁止使用对招募、招聘、晋升、纪律处分或解雇产生歧视性影响的 AI。明确禁止将邮政编码用作受保护类别的代理变量。每当使用 AI 来“影响或促成”任何雇佣决策时,均须发出通知。由伊利诺伊人权部执法,该部已于 2025 年末发布了通知规则草案。
禁止借助 AI 进行故意歧视。得克萨斯明确拒绝将差别性影响(disparate impact)作为一项独立理论,从而与 LL144 及科罗拉多框架分道扬镳。仅由得克萨斯总检察长执法。违规者将收到通知并获得 60 天整改期;罚款范围从可整改违规的 12,000 美元到不可整改违规的 200,000 美元不等。
州审计人员在同一份涵盖 32 家公司的样本中查出了 17 起潜在的 LL144 违规,而 DCWP 仅查出 1 起。在 311 起 AEDT 投诉来电中,75% 被错误转接。DCWP 承认其缺乏评估 AEDT 的技术专长,并同意采取主动执法。处罚结构维持不变:每项违规每天最高 1,500 美元。“零合规”——即自行将工具归类为不在适用范围内——在纽约市已不再是站得住脚的立场。
法官 Rita F. Lin 驳回了 Workday 的撤诉动议,认定当 AI 招聘工具通过推荐或筛选候选人参与决策时,该招聘供应商可作为雇主的“代理人”直接承担责任。初步集体诉讼资格于 2025 年 5 月 16 日获批;40 岁以上求职者的加入(opt-in)窗口已于 2026 年 3 月 7 日关闭。法院随后命令 Workday 提供一份启用了 HiredScore Spotlight 和 Fetch 的雇主详尽名单,驳回了 Workday 试图将收购后产品排除于集体诉讼之外的请求。
首次检验 AI 招聘平台是否属于 FCRA 下的“消费者报告机构”。原告指控 Eightfold 从 LinkedIn、GitHub、Stack Overflow 及公共数据库抓取数据,基于“超过 15 亿个全球数据点”构建候选人档案,并在未经候选人认证、通知、披露、授权或争议处理流程的情况下生成 0–5 分的“成功可能性”评分。若法院认定 Eightfold 属于消费者报告机构(CRA),则每个类似平台都须向每位被评分的候选人提供不利行动通知及争议处理流程。FCRA 下的法定损害赔偿为每位消费者每起违规 100–1,000 美元。
波利斯州长于 2025 年 8 月 28 日签署了延期法案,将生效日期从 2 月 1 日推迟至 2026 年 6 月 30 日。部署者必须采用风险管理计划,开展初次及年度影响评估,发出决策前及不利决策的消费者通知,并在网站上发布披露信息。科罗拉多总检察长拥有专属执法权。可反驳推定抗辩要求有据可查的合理注意义务。
招募、筛选、招聘广告投放、申请过滤及候选人评估均属于附件三高风险范畴。到 2026 年 8 月 2 日,提供者必须完成合格评定,发布技术文档(第 11 条 / 附件四),实施数据治理计划(第 10 条),确保人工监督(第 14 条),在欧盟数据库中注册,并加贴 CE 标志。对违反禁止性做法的处罚高达 3500 万欧元或全球年营业额的 7%,对违反高风险义务的处罚为 1500 万欧元或 3%。2025 年末的《数字综合提案》(Digital Omnibus)可能将附件三推迟至 2027 年 12 月,但该延期尚未颁布,审慎的合规做法仍将 8 月 2 日视为具有约束力。
下方表格并非采购指南。它是一张地图,标明每个平台相对于当前法律体制所处的位置,以及对于一位需要在 2026 年续约或更换合同的 CHRO 而言这意味着什么。我们对供应商保持中立,与此处所列任何公司均无商业关系。
| 供应商 / 产品 | 当前监管态势 | CHRO 须自行承担的诚实差距 |
|---|---|---|
| Workday + HiredScore (Spotlight、Fetch) | 已发布 Secretariat 第三方分析;提供 LL144 审计配置;正在积极抗辩,涉及 Mobley 案 | Lin 法官驳回了 Workday 将 HiredScore 排除于集体诉讼之外的请求。若某客户在集体诉讼期间部署了 Spotlight,该客户的名称就在法院命令提供的名单上。 |
| Eightfold AI (Match) | 发布偏见审计文档;企业客户包括微软、摩根士丹利 | 被列为被告,涉及 Kistler 案。若 FCRA 理论成立,每个使用过 Match 评分的客户都可能须追溯性地向候选人提供不利行动通知。 |
| HireVue | 于 2021 年 1 月放弃面部编码分析;转向结构化的文本与视频评估 | 在 2025 年 3 月的 ACLU 投诉(D.K. 诉 Intuit/HireVue)中被点名,理由涉及 ADA、第七章及《科罗拉多反歧视法》。HireVue 的首席执行官否认使用了 AI 评估;但 ASR 流水线本身仍受无障碍研究所记录的差别性词错误率(WER)问题影响。 |
| Paradox(Olivia) | 无具体的合规差异化;被动式修补 | 于 2025 年 6 月泄露了 6400 万条记录,原因是一个 2019 年的管理员测试账户使用了 123456 作为密码。根本原因是配置问题,而非机器学习。你的 DPO 和 CISO 需要参与每一次续约对话。 |
| Pymetrics / Harver | 基于游戏的评估,具有公开的偏见审计历史 | 仍受 ACLU 针对 Aon/Cangrade 的 FTC 投诉中所述 ADA 理论影响:与临床诊断标准相吻合的人格特质测评工具,实质上充当了残障筛查。 |
| iCIMS、Greenhouse、Lever、SmartRecruiters、Ashby | ATS 层——部分可导出 LL144 偏见报告;通常不会被列为被告 | ATS 本身是一个数据仓库,而非 AEDT。合规问题在于你的招聘人员启用了何种评分或排序插件,而 ATS 供应商并不会为你审计这些插件。 |
| FairNow、Holistic AI、Credo AI、Warden AI、Fairly AI | 治理平台与审计工具;部分专精于 LL144 | 平台会告诉你你的指标是什么样子。它无法替代供应商尽职调查,无法将无障碍审计与差别性影响分开进行,也无法调和相互冲突的体制。在策略确定之后,它最有用的角色是充当仪表板。 |
| DCI Consulting、ORCAA、Secretariat | 受法律认可的独立 LL144 审计机构;每个系统每年大致 5 万–20 万美元 | 对于 LL144 所要求的年度快照而言是黄金标准。但它并非持续性的、并非跨司法管辖区的,也并非为重写你的 AEDT 架构而设计。 |
| 德勤、毕马威、安永、普华永道 AI 业务 | 拥有雇佣法关系与审计公信力的咨询部门 | 项目通常从 50 万美元起,常达 200 万美元以上。在治理交付物方面实力雄厚,但在交付可运行代码方面较弱。对于预算无上限的财富 50 强企业是个好答案,对于只有一个季度时间来实现合规的中端市场 CHRO 则是错误答案。 |
诚实的回答是:如果你需要一份可提交董事会的治理报告,且不在乎发票上的数字,那么德勤、毕马威、安永和普华永道就是正确的选择。他们的方法论扎实,他们的品牌在政治上能保护你,他们的监管关系也是真实的。但当根本问题是一个神经网络每季度对 200 万名候选人产出 0–5 分评分、你的截止期限就在十二周后、而你需要有人与你的机器学习团队并肩作战重写特征工程流水线时,他们就是错误的选择。大型事务所会将这类工作分包出去;小型专业事务所则直接亲自完成。我们的收费仅为四大审计项目的一小部分,因为我们不需要供养一座写字楼,而且我们交付的是可运行的代码,而不是一份 200 页的幻灯片。如果你需要那份幻灯片,就去聘请四大。如果你需要代码,请继续读下去。
一份满足纽约市 LL144 的偏见审计并不能满足科罗拉多。一份满足科罗拉多的审计并不能满足欧盟《人工智能法案》。某些要求在技术上是互不兼容的。这并非市场会自行纠正的设计缺陷——它就是你正在进入的法律环境。
LL144 要求在每个甄选阶段按种族 × 性别计算交叉性影响比率。科罗拉多 SB 24-205 中的“合理注意义务”标准未规定方法,而《伊利诺伊人权法》关注歧视性影响,却未规定具体的统计检验。运行单一通用审计所产出的结果,对 LL144 而言过于粗糙,对被认可为科罗拉多专属的影响评估而言又过于细致。要么每个司法管辖区得到一份形态各异的交付物,要么每个司法管辖区都按其自身标准不达标。
伊利诺伊 HB 3773 明确禁止将邮政编码用作受保护类别的代理变量。欧盟《人工智能法案》第 10(3) 条要求训练数据“具有相关性、代表性,并在最大可能程度上无误且完整”——这通常意味着须纳入地理特征以避免区域覆盖缺口。移除邮政编码,你就无法通过欧盟代表性审计;保留它们,你就违反了伊利诺伊。务实的答案是:为欧盟训练数据设置一个地理粒度较粗的显式居住地特征,并为伊利诺伊推理设置完整的地理屏蔽——这就需要对同一模型采用两套部署配置,而非一套。
在 LL144 下,雇主自行判定某工具是否“实质性协助”了招聘决策。在 Mobley 案下,当供应商的工具推荐或筛选候选人时,供应商即直接承担责任,与雇主声称什么无关。一份 2024 年称“我们的 Workday Spotlight 部署不是 AEDT”的自我归类备忘录,如今成了原告的第一号证物。唯一站得住脚的立场,是将任何评分、排序、过滤或路由工具都视为在适用范围内,并据此存档。
得克萨斯 TRAIGA 是首部明确拒绝将差别性影响作为 AI 招聘责任独立依据的州法。这并不意味着得克萨斯雇主就安全了——联邦第七章及《得克萨斯人权委员会法》的诉求仍然适用——但它意味着 TRAIGA 的合规交付物以意图为核心,而非以统计为核心。一份联邦第七章不利影响分析、一份 LL144 五分之四报告、一份 TRAIGA 意图评估,是三项独立的项目,适用三套独立的证据标准。
Kistler 诉 Eightfold 案并非一起不利影响案件。FCRA 框架追问的是该平台是否充当了消费者报告机构,而无论其评分是否公平。一个完全无偏见的平台,仍可能须向每位被评分的候选人提供不利行动前通知、一份“报告”副本及一条争议处理途径。偏见审计不会产出上述任何成果。一个仅为 LL144 与科罗拉多合规而优化的采购方,仍可能成为集体诉讼被告,因为从未有人问过 FCRA 这个问题。
LL144 不要求进行残障影响测试。科罗拉多在笼统的“合理注意义务”标准下要求进行,但未规定方法。代表一名原住民聋人雇员提起的 ACLU 投诉(D.K. 诉 Intuit / HireVue)主张,基于 ASR 的视频面试对那些语音模式在训练数据中代表性不足的人群造成了差别性不利影响。其底层技术问题是可衡量的:已发表的研究表明,Whisper 的多语种平均 WER 大约是其英语 WER 的三倍,而 2025 年 Interspeech 语音无障碍项目挑战赛(Speech Accessibility Project Challenge)夺冠团队在受损语音上取得了 8.11% 的 WER——仍是标准基准的数倍。仅追踪种族与性别的偏见审计无法揭示这一问题,一家通过了 LL144 的公司仍可能面临 ADA 投诉。
Paradox / McHire 数据泄露事件泄露了 6400 万条候选人记录,原因是一个 2019 年的管理员测试账户仍然处于激活状态,其用户名和密码都是 123456 ,没有 MFA,且其内部 API 中存在一处 IDOR 漏洞。这一切都与机器学习毫无关系。如今这一切都压在了 CHRO 身上,因为通过招聘工具泄露的候选人数据仍属于招聘数据,须遵守 GDPR 的数据泄露通知义务、CCPA 的私人诉权,并面临持续处理合法依据的丧失。对 AI 招聘工具的供应商尽职调查必须涵盖凭据卫生、API 授权边界及默认密码审计——而这些并不是一封标准的 SOC 2 函件能告诉你的。
这些是咨询项目,不是产品。每一个都是量身定制的。我们之所以有用,是因为我们既写代码,也全程参与你与供应商的会议。我们对供应商保持中立:我们不转售 HR 技术,而且当你的 Workday 或 Eightfold 部署按现状即可站得住脚时,我们会如实告诉你。
我们枚举每一个触及招聘决策的工具——ATS 插件、评分引擎、排程机器人、视频面试官、背景核实 API、背景调查集成、LinkedIn Recruiter 的原生 AI,以及任何会显示或隐藏候选人的工具。对于每个工具,我们将其对照 LL144 的“实质性协助”定义、科罗拉多的部署者/开发者区分、伊利诺伊的“影响或促成”检验、得克萨斯的纯意图检验,以及欧盟附件三的高风险归类进行分类。其产出是一份在监管机构调查中站得住脚的 AEDT 登记册,以及一份告知法务哪些合同需要修订的供应商清单。
交付物:AEDT 登记册、司法管辖区风险敞口矩阵、供应商合同修订清单、整改优先级队列。
我们在 LL144 所要求的交叉性层面运行完整的五分之四分析,以科罗拉多总检察长规则草案正趋向采用的格式计算科罗拉多“合理注意义务”影响评估,生成伊利诺伊通知成果,并产出欧盟《人工智能法案》第 10 条的数据治理文档。在各体制相互冲突之处,我们撰写一份备忘录,准确说明冲突发生在何处及缘由,并给出法律策略建议(你应为哪个体制优化、对哪个体制接受敞口、该敞口的实际量级是多少)。我们并非 LL144 下的独立审计机构——那一角色属于 DCI、ORCAA 或 Secretariat——但我们能让你的系统达到这样一种状态:独立审计找不到任何值得写进报告的问题。
交付物:LL144 交叉性报告、科罗拉多影响评估、伊利诺伊通知模板、欧盟第 10/11 条文档包、冲突备忘录。
我们将其视为一门独立学科,因为没有任何偏见审计框架涵盖它。我们将你的视频面试 ASR 流水线对照语音无障碍项目语料库及已发表的针对聋人、重听(HOH)及带口音说话者的 WER 差距进行基准测试。我们对照 ACLU 的 Aon 理论评估人格测评工具:若问题与临床诊断标准相吻合,则它们在 ADA 下充当残障筛查。我们为披露了便利需求的候选人设计人在环上(human-in-the-loop)的升级路径,包括一份不会让候选人苦等 72 小时的 CART 服务商 SLA。这正是 ACLU 投诉或 DOJ ADA 调查的起点,因此我们按这些程序所要求的证据标准对其进行存档。
交付物:ASR WER 差距报告、人格测评工具 ADA 审查、便利安排工作流规范、CART 服务商 SLA 模板。
我们评估你的 AI 招聘供应商是否符合 Kistler 案原告所追究的事实模式:抓取第三方数据、构建候选人画像、产出数字评分,并使用这些评分进行过滤。在该模式适用之处,我们构建 FCRA 不利行动通知流水线、面向候选人的争议处理工作流、显示评分使用了哪些信息的数据溯源日志,以及你的总法律顾问可在法庭上抗辩的争议解决时间线。若 Kistler 案法院认定 Eightfold 属于 CRA,你从第一天起便已准备就绪。即便没有,你也拥有了一种你的 DEI 团队无论如何都会感激的候选人体验。
交付物:FCRA 适用性备忘录、不利行动通知模板、候选人争议处理门户规范、数据溯源日志架构。
在 McHire 事件之后,一封 SOC 2 函件远远不够。我们对你技术栈中的每一家 HR 技术供应商执行一次 AI 感知的安全审查:默认凭据、管理员账户的 MFA 强制实施、API 授权边界(尤其是导致 6400 万条记录泄露的那类 IDOR 漏洞)、候选人聊天记录留存、对话式界面上的提示注入加固,以及用于 GDPR 合法依据分析的数据驻留。其交付物是一份 CISO 可联署的供应商风险备忘录,以及一份你的采购团队可附加到每次续约的合同附录。
交付物:供应商风险备忘录、IDOR / 授权边界测试结果、合同安全附录、面向 GDPR 的 DPIA 更新。
当审计揭示某个工具不更改模型就无法实现合规时,我们有两个选项。选项一:用我们构建的玻璃盒架构替换它——一个基于知识图谱的技能匹配器,或一个施加约束的符号规则引擎,其中每一项决策都可追溯到一个可审计的节点,而非一个浮点权重。选项二:在现有供应商之上叠加一层合规覆盖层,拦截评分、施加司法管辖区专属调整,并生成一条经得起证据开示考验的独立审计轨迹。除非另一选项确实更糟,否则我们不会从零开始;多数情况下,一个范围狭窄的覆盖层就能解决问题。
交付物:整改选项备忘录、原型或覆盖层代码、与现有 ATS 的集成规范。
我们不出售长期顾问聘约。下方每个阶段都是其自身的工作说明书,带有其自身的交付物。有些客户在第一阶段后就停下来,并对此感到满意;另一些则继续推进至架构性整改。没有任何一个阶段以承诺进入下一阶段为前提。
我们跟随一个完整的招聘周期,枚举每一个 AEDT,映射你的运营司法管辖区,并产出一份风险敞口备忘录,说明哪些体制适用、你目前在何处不合规。与人力资源、法务、采购及 IT 安全部门召开工作会议。固定费用。最终状态:你的总法律顾问可以带着一份编号清单走进董事会会议。
实际的统计工作。交叉性不利影响表、科罗拉多影响评估、伊利诺伊通知成果、欧盟第 10/11 条文档、FCRA 适用性备忘录、ASR WER 基准。我们产出一份预审计包,供你选定的独立 LL144 审计机构(DCI、ORCAA、Secretariat)无须重写即可接受。我们识别出无法调和的冲突,并撰写法律策略备忘录,告知管理层他们正在知情地接受哪些敞口。
对于每一家被点名的供应商,我们进行一次 AI 感知的安全审查,对照七个冲突地带审查数据处理协议(DPA),并起草你的采购团队将在续约时附加的合同附录。对于 Workday / HiredScore 客户,我们专门审查 Mobley 案 的敞口,并记录你的部署在何处偏离了该事实模式。对于 Eightfold 客户,我们标记出 Kistler 风险并建议临时缓解措施。
仅在需要时进行。一个在评分到达招聘人员界面前就将其拦截的覆盖层、一个与你的 ATS 集成的面向候选人的争议处理门户、一个为现有供应商无法通过的那一类岗位族群打造的基于知识图谱的技能匹配器。我们构建,我们交付代码,我们为你的工程团队编写文档。典型项目周期:一到三个季度。
我们帮助你在一个你已拥有或已选定的治理平台之上搭建持续监控(FairNow、Holistic AI、Credo AI 都适合做这件事;我们不转售其中任何一个)。我们培训你的内部团队,教他们如何用每家监管机构所用的语言来解读这些仪表板。然后我们就功成身退。
关于时间线与诚实: 一家自 2024 年以来从未着手处理此事的公司,不可能在 2026 年 8 月 2 日之前实现跨六个体制的完全合规。我们会准确告诉你哪些敞口仍然存在,撰写备忘录,并帮助你就所接受的内容做出知情的法律策略决定。另一种做法——声称在一个本就无法实现的日期前实现全面覆盖——恰恰会制造出监管机构和原告所寻找的那种“恶意”记录。
输入你在何处招聘以及你使用什么。该工具会计算哪些体制适用、你的哪些供应商存在进行中的诉讼或监管敞口,以及整改的优先级顺序是什么。没有任何信息会被发送到任何地方——它完全在你的浏览器中运行。无论你是否聘请我们,都可在你的下一次合规会议上使用其输出结果。
按客户在首次通话时实际的措辞表述,未经为网站而润色。
不是分别做审计,而是从一次精心设计的审计中派生出分别的交付物。底层的统计工作——不利影响比率、交叉性分析、特征归因——是通用的。但格式以及需要计算什么并不通用。LL144 要求按种族-性别交叉的影响比率,以及一份按特定格式公开发布的摘要。科罗拉多希望将一份有据可查的影响评估作为风险管理计划的一部分,而无明确的五分之四要求。伊利诺伊需要一份通知成果及代理变量文档。欧盟则需要第 10 条的数据治理记录及第 11 条的技术文档,这比任何美国框架都要深入得多。一家审计机构运行一次“通用”LL144 审计,然后宣称它对科罗拉多也管用,那它给你的就是监管机构会拒绝的东西。一次审计项目,如果设计正确,会产出四到五份形态各异的交付物。我们就是这样设计项目的;多数通用型审计供应商则不然。
你可能卷入了,也可能没有。2025 年 5 月获得初步认定的集体诉讼,涵盖的是被某使用 Workday 工具的 Workday 客户筛掉的 40 岁及以上求职者。Lin 法官随后驳回了 Workday 将 HiredScore Spotlight 和 Fetch 排除于集体诉讼之外的请求(尽管这些产品是在起诉后才被收购的),并命令 Workday 提供一份启用了 HiredScore 功能的雇主详尽名单。40 岁以上求职者的加入(opt-in)窗口已于 2026 年 3 月 7 日关闭,这意味着证据开示如今针对已确认的集体成员推进。你的即时行动事项是:调出你带有日期的 HiredScore 部署历史,确定 Spotlight 或 Fetch 在哪些岗位和地域筛选过候选人,保全该时段内所有候选人级别的数据,并记录人工复核的关卡(如果有的话)。一句“供应商处理了”的抗辩,恰恰是 Lin 法官的“代理人”裁定旨在击破的东西。你的总法律顾问越早拿到一份事实备忘录,你在原告律师上门时的立场就越好。
受 LL144 认可的独立审计机构——主要是 DCI Consulting、ORCAA、Secretariat 及少数几家规模较小的事务所——通常根据数据量、人口统计数据的可获得性及甄选工作流的复杂度,按每个 AEDT 每年 50,000 到 200,000 美元收费。从数据就绪到签署审计的周转时间,在审计机构拿到所需一切之后为 15 到 20 个工作日。“达到数据就绪”的阶段才是大部分时间消失的地方,而这正是我们所做的:数据流水线、人口统计数据插补方法选择、交叉性分组、甄选率计算、成果格式化。一家从我们这里收到干净预审计包的审计机构,可以在所公布的 15-20 天内签字;而一家必须自行清理你数据的审计机构,则会按该区间的高端收费且耗时更长。我们不是独立审计机构——按设计我们无法签署最终的 LL144 交付物——但你的独立审计机构所签署的审计之所以干净,正是因为我们。
不会。欧盟《人工智能法案》在文档、数据治理及人工监督方面是要求最严苛的体制,但它并不要求 LL144 所要求的那种特定交叉性不利影响比率,也不会产出科罗拉多总检察长规则草案所设想的科罗拉多影响评估格式。欧盟合规对于美国州级合规是必要但不充分的。反过来说,LL144 合规也无法让你触及欧盟的门槛——LL144 本质上是一次范围狭窄的统计审计加一份发布的摘要,而欧盟《人工智能法案》要求一套完整的质量管理体系(第 17 条)、一次合格评定、一份技术文档卷宗、上市后监测及 CE 标志。如果你的业务足迹横跨美国与欧盟,请规划两条工作流。一个体制的要求违反另一个体制要求的冲突地带(邮政编码是最清晰的例子)是真实存在的,需要的是一项法律策略决定,而非一项工程决定。
你通过一次独立的 ADA 流水线审查来抵御它,而多数偏见审计供应商并不提供这项服务,因为它是一种不同的法律理论和不同的证据基础。对于视频面试工具,这意味着将你的 ASR 组件对照语音无障碍项目语料库及类似的聋人、重听(HOH)和带口音英语测试集进行基准测试。已发表的差距很大:2025 年 SAP 挑战赛夺冠团队在受损语音上取得了 8.11% 的 WER,这仍是标准英语基准 WER 的数倍,而 Whisper 的多语种表现平均比其英语表现差大约 3 倍。对于人格及基于游戏的评估,问题在于该测评工具是否与临床诊断标准相吻合——这正是 ACLU 针对 Aon 的 FTC 投诉中的理论。就候选人体验而言,你需要一个不会让聋人申请者苦等 72 小时人工 CART 支持的便利安排工作流,因为当流程要求申请者必须知道去主动询问时,“流程是可用的”并不构成抗辩。 D.K. 诉 Intuit/HireVue 案 投诉就是原告律师如今正在使用的模板;读一读它,并将你的控制措施对齐到每一项具体指控,因为证据开示将恰恰逐条走过这些内容。
取决于哪种理论逮住你。LL144 是每项违规每天 1,500 美元,在叠加任何私人诉权之前,每个未经审计的工具每年累计可达 547,500 美元。得克萨斯 TRAIGA 对每项不可整改违规的上限为 200,000 美元。欧盟《人工智能法案》对高风险义务的处罚上限为 1500 万欧元与全球年营业额 3% 两者中的较高者。EEOC 以 365,000 美元和解了其首例 AI 招聘案件(iTutorGroup,2023),这个数字看似不大,直到你意识到它如今已成为个体歧视诉求的下限(floor)。集体诉讼的规模则呈不同量级:Mobley 案的集体诉讼可能涵盖经过 Workday 生态系统的 40 岁以上求职者中相当可观的一部分,法院指出其数量可能超过十亿。Kistler 案的 FCRA 理论一旦成立,将向被认定为消费者报告机构的平台所评分的每位候选人,按每位消费者每起违规附加 100–1,000 美元的法定损害赔偿。一家每年为 200 万名候选人评分、即便被判仅须按下限赔偿的公司,所面临的敞口每年高达 2 亿美元。对我们多数客户而言,一套多体制审计与整改计划的成本以低六位数计,只有对规模最大者才以低七位数计。在保险与敞口之间做这道算术,差距并不接近。
可以,而且对于持续监控而言,一个治理平台确实有用。我们有客户运行 FairNow 进行持续的 LL144 追踪,运行 Holistic AI 获取跨风险可见性,我们在合适的语境下也推荐这两者。但平台不会做的是:全程参与你与 CISO 的供应商安全审查、在伊利诺伊与欧盟要求相冲突时撰写法律策略备忘录、在你的 HireVue 部署上运行一次 SAP 语料库 ASR 基准测试,或重写一条评分流水线以在评分到达招聘人员界面前拦截其输出。平台是一个仪表板;我们运行的项目才是首先用有意义的数据填满这个仪表板的东西。运行平台,并为项目聘请专家。两者并非相互替代品。
在 2024 年这样就足够了。如今则不够了。康奈尔大学 / Data & Society / 《消费者报告》的研究恰恰为这一模式创造了“零合规(Null Compliance)”一词:研究了 391 家纽约市雇主,只有 4.6% 发布了偏见审计,其余则依赖将工具置于 LL144 适用范围之外的自我归类论点。随后,2025 年 12 月纽约州审计长的审计证明了自我归类经不起严格的第三方审查——州审计人员在同一份涵盖 32 家公司的样本中查出了 17 起潜在违规,而 DCWP 仅查出 1 起。DCWP 同意采取主动执法,这意味着监管机构如今自己运行分析,而不再等待雇主披露。在供应商责任一侧,Mobley 案的“代理人”理论明确拒绝了这样一种观点:一个推荐或筛选候选人的筛查工具没有参与决策。对任何 CHRO 而言,务实的立场是:假定每一个评分、排序或过滤工具都在适用范围内,将“供应商说我们不是 AEDT”的备忘录视为一份未来的证据开示证物,并据此进行审计。一种需要监管机构和原告都认同供应商说法的自我归类抗辩,不是一种抗辩,而是一种奢望。
本解决方案页面取材自我们八篇交互式白皮书。每篇都涵盖 AI 招聘合规问题的一个独立切面。认真的采购方应在任何项目对话之前通读它们全部。
本页面的锚定论文。分析了 2025 年 12 月纽约州审计长对 LL144 的审计、横跨纽约市、科罗拉多、伊利诺伊与欧盟的“合规三难困境”,以及审计就绪型 AI 招聘系统的架构要求。
面向可解释招聘的知识图谱方法。技能本体如何实现欧盟《人工智能法案》第 13 条和第 14 条所要求的那种决策追溯,以及该方法在代理偏见上的局限所在。
反事实公平性与结构因果模型。为何对抗性去偏在实践中不稳定,以及与预测准确性的权衡实际是什么样子。
偏见审计未涵盖的 ADA 敞口。分析了 ACLU 针对 Aon 的 FTC 投诉理论,以及因果表示学习在残障感知评估上的技术局限。
McHire / Paradox 6400 万条记录泄露事件的事后剖析。凭据卫生、IDOR 类漏洞,以及为何一封 SOC 2 函件无法替代 AI 感知的供应商尽职调查。
对 Mobley 诉 Workday 案“代理人”裁定的深度剖析。神经符号架构如何产出经得起证据开示考验的可审计决策轨迹。
FCRA 对 AI 招聘平台的适用性、Kistler 诉 Eightfold 案的事实模式,以及一家被归类为 CRA 的供应商将需要构建的数据溯源与“争议权”工作流。
无障碍与多模态融合视角。聋人、重听(HOH)及原住民英语说话者的 ASR WER 差距;D.K. 诉 Intuit / HireVue 案的事实模式;以及一种切合实际的 HITL 升级设计。
纽约市一个未经审计的 AEDT,仅 LL144 罚款每年就累计高达 547,500 美元。Mobley 案和 Kistler 案则增加了随你的申请量而扩大的集体诉讼敞口。一套妥善的多体制审计项目的成本,只是一场集体诉讼抗辩费用的一小部分。
我们以一次固定费用的发现与风险敞口审查开始。无论你是否继续这个项目,你都将带走一份站得住脚的 AEDT 登记册和一份编号备忘录。