AI 招募合規 · 跨司法管轄區偏見與無障礙性
截至 2026 年 4 月,在紐約、科羅拉多、伊利諾、德州、加州或歐盟營運 AEDT 的人資長(CHRO)或法務長(General Counsel),正處於一個多數供應商當初並未為其而設計的監管視窗之內。伊利諾 HB 3773 已於 1 月 1 日上路。德州 TRAIGA 已於 1 月 1 日上路。加州的 FEHA ADS 修正案已於去年 10 月上路。科羅拉多 SB 24-205 將於 6 月 30 日生效。歐盟 AI 法案自 8 月 2 日起將招募列為高風險。紐約州審計長剛發布一份 2025 年 12 月的審計報告,在 DCWP 僅查獲一件的情況下發現了 17 件 LL144 違規,而 DCWP 同意轉向主動執法。Mobley 訴 Workday 案正進行證據開示。Kistler 訴 Eightfold 案質問 AI 招募平台是否屬於 FCRA 下的消費者報告機構。本頁存在的理由是:您候選名單上沒有任何一家供應商能誠實地為您回答上述全部問題。
17 比 1
在同一份 32 家公司的樣本中,紐約州審計人員相對於 DCWP 所發現的 LL144 違規件數
紐約州審計長,2025 年 12 月 2 日
4.6%
391 家紐約市雇主中,發布了偏見稽核的比例——即「零合規(Null Compliance)」的研究發現
康乃爾大學/Data & Society/Consumer Reports,FAccT 2024
6400 萬
當 McHire/Paradox 一個管理員帳號使用密碼「123456」時所外洩的求職者紀錄數
Carroll & Curry 揭露,2025 年 6 月 30 日
其中三項事件已經生效。兩項將在夏末之前升溫。兩項正處於積極訴訟中。沒有一項會等候您的年度合規週期。
雇主必須至少保留 ADS 的輸入、輸出、偏見測試結果與篩選標準達四年。由 ADS 所造成的歧視性僱用行為,無論是否出於故意,皆須承擔責任。適用於任何在加州招募的雇主,不論其總部位於何處。
禁止使用對招募、僱用、升遷、懲戒或解僱具有歧視性效果的 AI。明文禁止以郵遞區號作為受保護類別的替代變數。每當使用 AI「影響或促成」任何僱用決策時,均須提供告知。由伊利諾人權部執行,該部已於 2025 年底發布告知規則草案。
禁止透過 AI 進行故意歧視。德州明確拒絕將差別性影響(disparate impact)作為獨立的法律理論,與 LL144 及科羅拉多的架構分道揚鑣。僅由德州檢察總長執行。違規者會收到告知並享有 60 天的補正期;罰則自可補正違規的 12,000 美元至不可補正違規的 200,000 美元不等。
州審計人員在 DCWP 僅發現一件的同一份 32 家公司樣本中,發現了 17 件潛在的 LL144 違規。311 通 AEDT 申訴電話中有 75% 被錯誤轉接。DCWP 承認其缺乏評估 AEDT 的技術專業,並同意採行主動執法。罰則結構不變:每件違規每日最高 1,500 美元。「零合規」——自行將您的工具歸類為不在適用範圍內——在紐約市已不再是站得住腳的姿態。
Rita F. Lin 法官駁回了 Workday 的駁回動議,認定當 AI 招募供應商的工具透過推薦或篩選候選人而參與決策時,該供應商可作為雇主的「代理人」直接承擔責任。初步集體訴訟認證於 2025 年 5 月 16 日獲准;40 歲以上求職者的加入(opt-in)視窗已於 2026 年 3 月 7 日關閉。法院隨後命令 Workday 提出一份啟用了 HiredScore Spotlight 與 Fetch 的雇主完整清單,駁回了 Workday 將收購後產品排除於集體訴訟之外的企圖。
首度檢驗 AI 招募平台是否為 FCRA 下的「消費者報告機構」。原告主張 Eightfold 從 LinkedIn、GitHub、Stack Overflow 及公開資料庫抓取資料,以「逾 15 億個全球資料點」建立候選人檔案,並在未經候選人認證、通知、揭露、授權或爭議處理程序的情況下產生 0–5 的「成功可能性」分數。若法院認定 Eightfold 為消費者報告機構,則每一個類似平台都欠每一位被評分的候選人一份不利行動通知與一套爭議處理流程。FCRA 下的法定損害賠償為每位消費者每次違規 100–1,000 美元。
波利斯州長於 2025 年 8 月 28 日簽署延期法案,將生效日由 2 月 1 日移至 2026 年 6 月 30 日。部署者必須採行風險管理計畫、執行初次與年度影響評估、發出決策前及不利決策的消費者通知,並發布網站揭露。科羅拉多檢察總長握有專屬執法權。可反駁推定的抗辯需有書面記載的合理注意。
招募、篩選、職缺廣告投放、申請過濾與候選人評估皆歸入附件三高風險範疇。在 2026 年 8 月 2 日前,提供者必須完成符合性評鑑、發布技術文件(第 11 條/附件四)、實施資料治理計畫(第 10 條)、確保人為監督(第 14 條)、在歐盟資料庫註冊,並加貼 CE 標誌。違反禁止性實務的罰則可達 3,500 萬歐元或全球年營業額的 7%,違反高風險義務則為 1,500 萬歐元或 3%。2025 年底的數位綜合法案(Digital Omnibus)提案可能將附件三推遲至 2027 年 12 月,但該展延尚未立法通過,審慎的合規應將 8 月 2 日視為具約束力。
下表並非採購指南。它是一張描繪各平台相對於現行法律體制所處位置的地圖,以及這對於在 2026 年需要續約或更換合約的人資長意味著什麼。我們立場中立、不偏袒任何供應商,與此處列出的任何公司均無商業關係。
| 供應商/產品 | 目前的監管姿態 | 人資長需自行承擔的誠實落差 |
|---|---|---|
| Workday + HiredScore (Spotlight、Fetch) | 已發布一份 Secretariat 第三方分析;提供 LL144 稽核設定組態;正積極抗辯於 Mobley 案 | Lin 法官駁回了 Workday 將 HiredScore 排除於集體訴訟之外的企圖。若某客戶在集體訴訟期間部署了 Spotlight,該客戶的名稱便在法院命令提交的清單上。 |
| Eightfold AI (Match) | 發布偏見稽核文件;企業客戶包括 Microsoft、Morgan Stanley | 被列為被告於 Kistler 案。若 FCRA 理論成立,每一個使用 Match 評分的客戶都可能須回溯性地向候選人發出不利行動通知。 |
| HireVue | 於 2021 年 1 月停止臉部編碼分析;轉向結構化的文字與影片評量 | 在 2025 年 3 月的 ACLU 申訴(D.K. 訴 Intuit/HireVue)中以 ADA、第七章及科羅拉多反歧視法為依據被點名。HireVue 的執行長否認曾使用 AI 評量;但其 ASR 流程本身仍受到無障礙研究所記載的差別性字錯誤率(WER)問題影響。 |
| Paradox(Olivia) | 無特定的合規區隔;被動式修補 | 於 2025 年 6 月外洩 6400 萬筆紀錄,原因是一個 2019 年的管理員測試帳號使用 123456 作為其密碼。根本原因是組態設定,而非機器學習。您的資料保護長(DPO)與資安長(CISO)必須出席每一次續約對話。 |
| Pymetrics/Harver | 具公開偏見稽核歷史的遊戲化評量 | 仍受 ACLU 對 Aon/Cangrade 的 FTC 申訴中的 ADA 理論影響:與臨床診斷標準如出一轍的人格特質量表,實質上發揮了身心障礙篩檢的作用。 |
| iCIMS、Greenhouse、Lever、SmartRecruiters、Ashby | ATS 層——部分可匯出 LL144 偏見報告;一般而言並非被點名的被告 | ATS 本身是一座資料倉儲,而非 AEDT。合規問題在於您的招募人員所啟用的評分或排序外掛,而 ATS 供應商並不會替您稽核它。 |
| FairNow、Holistic AI、Credo AI、Warden AI、Fairly AI | 治理平台與稽核工具;部分專精於 LL144 | 一個平台會告訴您指標看起來如何。它無法取代供應商盡職調查,無法將無障礙性與差別性影響分開稽核,也無法調和相互衝突的體制。在策略確立之後,最有用之處是作為儀表板。 |
| DCI Consulting、ORCAA、Secretariat | 受法律認可的獨立 LL144 稽核機構;每套系統每年約 50,000–200,000 美元 | 對 LL144 所要求的年度快照而言堪稱黃金標準。但並非持續性、並非跨司法管轄區,也並非為重寫您的 AEDT 架構而設計。 |
| Deloitte、KPMG、EY、PwC AI 業務 | 具備僱用法關係與稽核公信力的顧問部門 | 委任案通常起價 50 萬美元,常達 200 萬美元以上。在治理交付物上表現強勁,在交付可運作的程式碼上則較弱。對於擁有無上限預算的財星 50 大企業是好答案,對於只有一季時間需要達到合規的中型市場人資長則是錯誤答案。 |
誠實的答案是:如果您需要一份董事會等級的治理報告,且不在乎發票上的數字是多少,那麼 Deloitte、KPMG、EY 與 PwC 是正確的選擇。他們的方法論扎實、品牌能在政治上保護您,他們的監管關係也是真實的。但當根本問題是一個神經網路每季對 200 萬名候選人產生 0–5 分數、您的截止期限就在十二週後、而您需要有人與您的機器學習團隊並肩坐下來重寫特徵工程流程時,他們便是錯誤的選擇。大型事務所會把這類工作外包;小型專業事務所則親自執行。我們的收費僅為四大稽核委任案的一小部分,因為我們不必供養一座辦公大樓,而且我們交付的是可運作的程式碼,而非一份 200 頁的簡報。如果您需要簡報,請聘請四大。如果您需要程式碼,請繼續往下讀。
一份滿足紐約市 LL144 的偏見稽核並不滿足科羅拉多。一份滿足科羅拉多的稽核並不滿足歐盟 AI 法案。有些要求在技術上互不相容。這並非市場會自行修正的設計缺陷——它是您正買單進入的法律環境。
LL144 要求在每個篩選階段計算跨種族 × 性別的交織性影響比率。科羅拉多 SB 24-205 中的「合理注意」標準並未指定方法論,而《伊利諾人權法》聚焦於歧視性效果,並未規定統計檢驗。執行單一通用稽核所產生的輸出,對 LL144 而言過於粗略,對科羅拉多而言又過於細緻,以致無法被認定為科羅拉多特定的影響評估。每個司法管轄區都需要一份形狀不同的交付物,否則每一份都會按其自身的標準而失敗。
伊利諾 HB 3773 明文禁止以郵遞區號作為受保護類別的替代變數。歐盟 AI 法案第 10(3) 條要求訓練資料須「相關、具代表性,並在最大可能範圍內無誤且完整」——這通常意味著納入地理特徵以避免區域涵蓋缺口。移除郵遞區號,您便無法通過歐盟的代表性稽核;保留它們,您便違反伊利諾。實務上的答案是:為歐盟訓練資料設置一個地理粒度較粗的明確居住地特徵,並為伊利諾推論設置完整的地理遮罩——這需要同一模型的兩套部署組態,而非一套。
在 LL144 之下,雇主自行判定某項工具是否「實質協助」一項僱用決策。在 Mobley 之下,當供應商的工具推薦或篩選候選人時,該供應商即直接承擔責任,與雇主主張為何無關。一份 2024 年聲稱「我們的 Workday Spotlight 部署並非 AEDT」的自我歸類備忘錄,如今成了原告的甲證。唯一站得住腳的姿態是:將任何評分、排序、過濾或路由工具皆視為在適用範圍內,並據此記載。
德州 TRAIGA 是首部明文拒絕將差別性影響作為 AI 招募責任獨立依據的州法。這並不意味德州雇主就安全了——聯邦第七章與《德州人權委員會法》的請求仍然適用——但這意味 TRAIGA 的合規交付物聚焦於意圖,而非聚焦於統計。一份聯邦第七章的不利影響分析、一份 LL144 的五分之四報告,以及一份 TRAIGA 的意圖評估,是三個各有三套不同證據標準的獨立委任案。
Kistler 訴 Eightfold 並非一件不利影響案件。FCRA 架構所問的是該平台是否發揮消費者報告機構的功能,而不論其分數是否公平。一個毫無偏見的完美平台,仍可能欠每一位被評分的候選人一份不利行動前通知、一份「報告」副本,以及一條爭議處理途徑。偏見稽核並不會產出上述任何一項產物。一個僅針對 LL144 與科羅拉多合規進行最佳化的買方,仍可能成為集體訴訟被告,因為從未有人提出 FCRA 這個問題。
LL144 並不要求進行身心障礙影響測試。科羅拉多在概括性的「合理注意」標準下要求,但未指定方法論。ACLU 代表一位原住民聾人員工提出的申訴(D.K. 訴 Intuit/HireVue)主張,以 ASR 驅動的視訊面試對那些語言型態在訓練資料中代表性不足的人造成差別性的不利。其根本的技術問題是可量測的:已發表的研究顯示,Whisper 的多語言平均字錯誤率(WER)約為其英語 WER 的三倍,而 2025 年 Interspeech 語音無障礙專案挑戰賽的奪冠團隊在受損語音上達到 8.11% 的 WER——仍是標準基準的數倍。僅追蹤種族與性別的偏見稽核並不會讓這一點浮現,一家通過 LL144 的公司仍可能面臨 ADA 申訴。
Paradox/McHire 的資料外洩事件外洩了 6400 萬筆候選人紀錄,原因是一個 2019 年的管理員測試帳號仍處於啟用狀態,且使用 123456 同時作為使用者名稱與密碼,未啟用多重要素驗證(MFA),且一個內部 API 存在 IDOR 漏洞。這一切都與機器學習毫無關係。如今這一切全落在人資長身上,因為透過招募工具外洩的候選人資料仍屬招募資料,受 GDPR 外洩通知、CCPA 私人訴訟權,以及持續處理之合法依據喪失的規範。對 AI 招募工具的供應商盡職調查,必須涵蓋憑證衛生、API 授權邊界以及預設密碼稽核——而這些並非一封標準的 SOC 2 函件所能告訴您的。
這些是顧問委任案,而非產品。每一案都是量身訂製。我們之所以有用,是因為我們撰寫程式碼,並且全程出席您與供應商的會議。我們立場中立、不偏袒任何供應商:我們不轉售人資科技,並且當您的 Workday 或 Eightfold 部署原狀即站得住腳時,我們會如實告知。
我們列舉每一個觸及僱用決策的工具——ATS 外掛、評分引擎、排程機器人、視訊面試官、推薦人查核 API、背景調查整合、LinkedIn Recruiter 的原生 AI,以及任何讓候選人浮現或隱沒的東西。對每一項工具,我們依據 LL144 的「實質協助」定義、科羅拉多的部署者/開發者區分、伊利諾的「影響或促成」測試、德州的純意圖測試,以及歐盟附件三高風險分類,加以歸類。其輸出是一份在監管機關調查中站得住腳的 AEDT 登錄冊,以及一份告訴法務部門哪些合約需要修訂的供應商清單。
交付物:AEDT 登錄冊、司法管轄區風險曝露矩陣、供應商合約修訂清單、補救優先序佇列。
我們在 LL144 所要求的交織性層級執行完整的五分之四分析,以科羅拉多檢察總長草案規則正在傾向的格式計算科羅拉多「合理注意」影響評估,產生伊利諾的告知產物,並產出歐盟 AI 法案第 10 條的資料治理文件。在體制相互衝突之處,我們撰寫一份備忘錄,精確說明衝突發生在何處與為何發生,並提出法律策略建議(您應為哪個體制最佳化、您接受在哪個體制上承擔風險曝露、該風險曝露的實際幅度為何)。我們並非 LL144 下的獨立稽核機構——該角色屬於 DCI、ORCAA 或 Secretariat——但我們會將您的系統調整到一個狀態:使獨立稽核找不到任何值得記述的問題。
交付物:LL144 交織性報告、科羅拉多影響評估、伊利諾告知範本、歐盟第 10/11 條文件包、衝突備忘錄。
我們將此視為一門獨立的學科,因為沒有任何偏見稽核架構涵蓋它。我們將您的視訊面試 ASR 流程,對照語音無障礙專案語料庫,以及針對聾人、重聽(HOH)與有口音者已發表的 WER 落差進行基準測試。我們依據 ACLU 的 Aon 理論評估人格量表:若題目與臨床診斷標準如出一轍,它們便在 ADA 之下發揮身心障礙篩檢的作用。我們為揭露需要調整協助的候選人設計人在迴路中的升級路徑,包括一份不會讓候選人苦等 72 小時的 CART 服務商服務水準協議(SLA)。這正是 ACLU 申訴或司法部 ADA 調查的起點,因此我們會依照那些程序所要求的證據標準加以記載。
交付物:ASR WER 落差報告、人格量表 ADA 審查、調整協助工作流程規格、CART 服務商 SLA 範本。
我們評估您的 AI 招募供應商是否符合 Kistler 原告所主張的事實型態:抓取第三方資料、建立候選人檔案、產生數值分數,並使用那些分數進行過濾。在型態適用之處,我們建構 FCRA 不利行動通知流程、面向候選人的爭議工作流程、顯示某分數使用了哪些資訊的資料來源(provenance)紀錄,以及您的法務長能在法庭上辯護的爭議解決時程。若 Kistler 案的法院認定 Eightfold 為消費者報告機構,您從第一天起便已準備就緒。即便沒有,您也擁有一套您的 DEI 團隊無論如何都會感謝您的候選人體驗。
交付物:FCRA 適用性備忘錄、不利行動通知範本、候選人爭議入口網規格、資料來源記錄架構。
在 McHire 之後,一封 SOC 2 函件已不足夠。我們對您技術堆疊中的每一個人資科技供應商執行具 AI 意識的安全審查:預設憑證、管理員帳號的 MFA 強制執行、API 授權邊界(特別是像那個外洩 6400 萬筆紀錄的 IDOR 類漏洞)、候選人聊天逐字稿的保留、對話式介面的提示注入加固,以及供 GDPR 合法依據分析使用的資料駐留地。其交付物是一份資安長可共同簽署的供應商風險備忘錄,以及一份您的採購團隊可附加於每次續約的合約附件。
交付物:供應商風險備忘錄、IDOR/授權邊界測試結果、合約安全附件、供 GDPR 使用的 DPIA 更新。
當稽核揭露某項工具非更改模型便無法達到合規時,我們有兩個選項。選項一:以我們自建的玻璃箱架構取代它——一個知識圖譜技能比對器,或一個受約束強制的符號規則引擎,其中每一項決策皆可追溯至一個可稽核的節點,而非一個浮點數權重。選項二:在既有供應商之上疊加一層合規覆蓋層,攔截分數、套用司法管轄區特定的調整,並產生一條能在證據開示中存活下來的獨立稽核軌跡。除非另一選項確實更糟,否則我們不會從零開始;多數時候,一層狹義的覆蓋層便能解決問題。
交付物:補救選項備忘錄、原型或覆蓋層程式碼、與既有 ATS 的整合規格。
我們不販售顧問留任合約(retainer)。下列每個階段都是各自獨立的工作說明書,各有其交付物。有些客戶在第一階段後便停止,並對此感到滿意;其他客戶則一路進行到架構性補救。沒有任何階段以承諾進入下一階段為前提。
我們全程跟隨一個完整的招募週期、列舉每一個 AEDT、對照您的營運司法管轄區,並產出一份風險曝露備忘錄,說明哪些體制適用,以及您目前在何處不合規。與人資、法務、採購及資安部門進行工作會議。固定費用。最終狀態:您的法務長能帶著一份編號清單走進董事會。
實際的統計工作。交織性不利影響表、科羅拉多影響評估、伊利諾告知產物、歐盟第 10/11 條文件、FCRA 適用性備忘錄、ASR WER 基準。我們產出一份您所選定的獨立 LL144 稽核機構(DCI、ORCAA、Secretariat)無須重寫即可接受的稽核前套件。我們識別出無法調和的衝突,並撰寫法律策略備忘錄,告訴領導層他們正在明知地接受哪些風險曝露。
對每一個被點名的供應商,我們執行具 AI 意識的安全審查、依據七個衝突地帶審視資料處理協議(DPA),並起草您的採購團隊將於續約時附加的合約附件。對於 Workday/HiredScore 客戶,我們特別審視 Mobley 風險曝露,並記載您的部署在何處與該事實型態有所分歧。對於 Eightfold 客戶,我們標示出 Kistler 風險並建議過渡期間的緩解措施。
僅在需要時進行。一層在分數送達招募人員畫面前攔截分數的覆蓋層、一個與您的 ATS 整合的面向候選人爭議入口網、一個為既有供應商無法通過的單一職務族群所打造的知識圖譜技能比對器。我們負責建構、交出程式碼,並為您的工程團隊加以記載。典型委任案:一至三季。
我們協助您在您已擁有或已選定的治理平台之上建立持續性監控(FairNow、Holistic AI、Credo AI 在此用途上皆可;我們並不轉售其中任何一個)。我們訓練您的內部團隊,使其能以各監管機關所使用的語言解讀儀表板。然後我們便功成身退。
關於時程與誠實: 一家自 2024 年以來從未碰過這件事的公司,不可能在 2026 年 8 月 2 日前於六個體制間達到完全合規。我們會精確告訴您仍存在哪些風險曝露、撰寫備忘錄,並協助您針對自身正在接受的事項做出知情的法律策略決策。另一種做法——在一個從來無法達成的日期前宣稱完全涵蓋——恰恰製造出監管機關與原告所尋找的那種「惡意」紀錄。
輸入您在何處招募以及您使用什麼。此工具會計算哪些體制適用、您的哪些供應商存在進行中的訴訟或監管風險曝露,以及補救的優先順序為何。不會有任何資料被送往任何地方——這完全在您的瀏覽器中執行。無論您是否聘請我們,都可將輸出用於您的下一次合規會議。
以客戶在第一通電話中實際表達的方式呈現,而非為網站清理過的版本。
不是獨立的稽核,而是從一份設計良好的稽核衍生出的不同交付物。其根本的統計工作——不利影響比率、交織性分析、特徵歸因——是共通的。但格式以及所要計算的內容並不共通。LL144 要求交織性的種族對性別影響比率,以及一份以特定格式公開張貼的摘要。科羅拉多要的是作為風險管理計畫一部分的書面影響評估,並無明確的五分之四要求。伊利諾需要一份告知產物與替代變數文件。歐盟要的是第 10 條的資料治理紀錄與第 11 條的技術文件,這比任何美國架構都深入得多。一個執行「通用」LL144 稽核並聲稱對科羅拉多也夠用的單一稽核機構,給您的東西監管機關會拒絕。一個稽核委任案若設計得當,會產出四到五份形狀不同的交付物。我們便是這樣設計委任案的;多數通用型稽核供應商則不然。
您可能在內,也可能不在內。於 2025 年 5 月獲得初步認證的集體訴訟,涵蓋了 40 歲以上、被使用 Workday 工具的 Workday 客戶篩除的求職者。Lin 法官隨後駁回了 Workday 將 HiredScore Spotlight 與 Fetch 排除於集體訴訟之外的企圖,儘管那些產品是在申訴提出後才收購的,並命令 Workday 提出一份啟用了 HiredScore 功能的雇主完整清單。40 歲以上求職者的加入視窗已於 2026 年 3 月 7 日關閉,這意味證據開示如今針對已識別的集體訴訟成員進行。您的當務之急是:調出您附帶日期的 HiredScore 部署歷史、辨識出 Spotlight 或 Fetch 過濾候選人的職務與地理區域、保全該期間所有應徵者層級的資料,並記載是否存在人為審查檢核點。一個「供應商處理掉了」的抗辯,恰恰是 Lin 法官的「代理人」裁定旨在擊敗的。您的法務長越早備妥一份事實備忘錄,當原告律師找上門時您的姿態就越好。
LL144 下受認可的獨立稽核機構——主要為 DCI Consulting、ORCAA、Secretariat,以及少數幾家規模較小的事務所——通常依資料量、人口統計可得性及篩選工作流程的複雜度,按每個 AEDT 每年 50,000 至 200,000 美元收費。從資料準備就緒到簽署稽核的週轉時間,在稽核機構取得其所需的一切之後,為 15 至 20 個工作天。「達到資料準備就緒」的階段才是多數時間消失之處,而這正是我們所做的:資料管線、人口統計填補方法選擇、交織性分組、篩選率計算、產物格式化。一個從我們手中收到乾淨稽核前套件的稽核機構,能在所公告的 15–20 天內簽核;一個必須自行清理您資料的稽核機構,則會按收費範圍的高端計費並耗時更久。我們並非獨立稽核機構——依設計,我們無法簽署最終的 LL144 交付物——但我們正是您的獨立稽核機構所簽署的稽核之所以乾淨的原因。
否。歐盟 AI 法案在文件、資料治理與人為監督上是要求最嚴苛的體制,但它並不要求 LL144 所要求的那種特定交織性不利影響比率,也不會產出科羅拉多檢察總長草案規則所設想的科羅拉多影響評估格式。歐盟合規對美國各州合規而言是必要但不充分。反方向來看,LL144 合規也不會讓您接近歐盟的門檻——LL144 本質上是一份狹義的統計稽核加一份張貼的摘要,而歐盟 AI 法案要的是一套完整的品質管理系統(第 17 條)、一次符合性評鑑、一份技術文件卷宗、上市後監控,以及 CE 標誌。若您的足跡橫跨美國與歐盟,請規劃兩條工作線。一個體制的要求違反另一個體制要求的衝突地帶(郵遞區號是最明顯的例子)是真實存在的,需要的是法律策略決策,而非工程決策。
您以一份獨立的 ADA 流程審查來抵禦它,而多數偏見稽核供應商並不提供此項服務,因為它是一套不同的法律理論與不同的證據基礎。對於視訊面試工具,這意味著將您的 ASR 元件對照語音無障礙專案語料庫,以及類似的聾人、重聽(HOH)與帶口音英語測試集進行基準測試。已發表的落差很大:2025 年 SAP 挑戰賽的奪冠團隊在受損語音上達到 8.11% 的 WER,這仍是標準英語基準 WER 的數倍,而 Whisper 的多語言表現平均約比其英語表現差 3 倍。對於人格與遊戲化評量,問題在於該量表是否與臨床診斷標準如出一轍——即 ACLU 對 Aon 的 FTC 申訴中的理論。至於候選人體驗,您需要一套不會讓一位聾人應徵者苦等 72 小時才能獲得人工 CART 支援的調整協助工作流程,因為當該流程要求應徵者必須知道要主動詢問時,「流程是可用的」並不構成抗辯。 D.K. 訴 Intuit/HireVue 這份申訴是原告律師目前正在使用的範本;請閱讀它,並使您的控制措施對齊每一項具體指控,因為那正是證據開示將逐一檢視的內容。
取決於哪一套理論逮到您。LL144 是每件違規每日 1,500 美元,在任何私人訴訟權疊加之前,每個未稽核工具每年便累積至 547,500 美元。德州 TRAIGA 的上限為每件不可補正違規 200,000 美元。歐盟 AI 法案對高風險義務的上限為 1,500 萬歐元或全球年營業額 3% 兩者中之較高者。EEOC 以 365,000 美元和解了其首件 AI 招募案件(iTutorGroup,2023 年),這金額看似不大,直到您意識到它如今已成為個別歧視請求的下限(floor)。集體訴訟的規模則不同:Mobley 的集體訴訟可能涵蓋通過 Workday 生態系的 40 歲以上求職者中相當可觀的一部分,法院指出其人數可能逾十億。Kistler 的 FCRA 理論若成立,會對每一位被認定為消費者報告機構之平台所評分的候選人,附加每位消費者每次違規 100–1,000 美元的法定損害賠償。一家每年為 200 萬名候選人評分、且被認定即使按低端計算亦負有責任的公司,所面臨的風險曝露每年高達 2 億美元。對我們多數客戶而言,一套多體制稽核與補救計畫的成本以低六位數計,唯有最大型者才以低七位數計。保險對風險曝露的這道數學題,並不接近。
可以,而且就持續性監控而言,治理平台確實有用。我們有些客戶用 FairNow 進行持續性的 LL144 追蹤,用 Holistic AI 取得跨風險可視性,而我們在恰當情境下會同時推薦兩者。平台所做不到的,是與您的資安長一同坐完您的供應商安全審查、在伊利諾與歐盟要求相牴觸時撰寫法律策略備忘錄、對您的 HireVue 部署執行 SAP 語料庫 ASR 基準測試,或重寫一條評分流程以在分數送達招募人員畫面前攔截輸出。平台是一個儀表板;我們所進行的委任案,才是一開始用有意義的資料填滿那個儀表板的東西。請使用平台,並為委任案聘請專家。它們並非彼此的替代品。
在 2024 年這樣是夠的。如今這樣已不夠了。康乃爾大學/Data & Society/Consumer Reports 的研究正是為這種型態創造了「零合規(Null Compliance)」一詞:研究了 391 家紐約市雇主,僅有 4.6% 發布了偏見稽核,其餘則仰賴將工具置於 LL144 適用範圍之外的自我歸類論點。隨後,2025 年 12 月的紐約州審計長審計則證明,自我歸類無法在嚴謹的第三方審查中存活下來——州審計人員在 DCWP 僅發現一件的同一份 32 家公司樣本中,發現了 17 件潛在違規。DCWP 同意採行主動執法,這意味監管機關如今自行執行分析,而非等候雇主主動揭露。在供應商責任這一面,Mobley 的「代理人」理論明確拒絕了「一個推薦或篩選候選人的篩選工具並未參與決策」這種觀念。對任何人資長而言,務實的姿態是:假設每一個評分、排序或過濾工具都在適用範圍內、將「供應商說我們不是 AEDT」的備忘錄視為一份未來的證據開示證物,並據此進行稽核。一個需要監管機關與原告都同意供應商說法的自我歸類抗辯,並不是抗辯,而是一種指望。
本解決方案頁援引了我們八份互動式白皮書。每一份各涵蓋 AI 招募合規問題的一個獨立切片。認真的買方應在任何委任對話之前略讀全部。
本頁的錨定論文。分析 2025 年 12 月紐約州審計長對 LL144 的審計、橫跨紐約市、科羅拉多、伊利諾與歐盟的「合規三難困境」,以及具稽核就緒能力之 AI 招募系統的架構要求。
面向可解釋招募的知識圖譜方法。一套技能本體論如何促成歐盟 AI 法案第 13 與 14 條所要求的那種決策追溯,以及該方法在何處碰上替代偏見的極限。
反事實公平性與結構因果模型。為何對抗式去偏在實務中不穩定,以及其與預測準確度的權衡實際看起來如何。
偏見稽核所未涵蓋的 ADA 風險曝露。分析 ACLU 對 Aon 的 FTC 申訴理論,以及因果表徵學習用於身心障礙感知評量的技術極限。
McHire/Paradox 6400 萬筆紀錄外洩事件的事後檢討。憑證衛生、IDOR 類漏洞,以及為何一封 SOC 2 函件無法取代具 AI 意識的供應商盡職調查。
深入剖析 Mobley 訴 Workday 的「代理人」裁定。神經符號(neuro-symbolic)架構如何產生能在證據開示中存活下來的可稽核決策軌跡。
FCRA 對 AI 招募平台的適用性、Kistler 訴 Eightfold 的事實型態,以及一個被歸類為消費者報告機構的供應商將需要建構的資料來源與「爭議權」工作流程。
無障礙性與多模態融合的角度。針對聾人、重聽(HOH)與原住民英語使用者的 ASR WER 落差;D.K. 訴 Intuit/HireVue 的事實型態;以及一套切合實際的人在迴路(HITL)升級設計。
紐約市一個未稽核的 AEDT,光是 LL144 罰則每年便累積至 547,500 美元。Mobley 與 Kistler 再添上隨您應徵申請量而擴大的集體訴訟風險曝露。一套妥善的多體制稽核委任案的成本,僅是單一場集體訴訟辯護的一小部分。
我們從一次固定費用的探查與風險曝露評估開始。無論您是否繼續委任,您都能帶走一份站得住腳的 AEDT 登錄冊與一份編號備忘錄。