美参议院最新国防授权法案涉网络空间内容概览（下篇）

副标题C——数据与人工智能

第1621节：为高性能人工智能系统建立公私网络安全合作伙伴关系

（a）所需设立——不迟于本法颁布之日起180天，美国防部负责网络政策的助理部长应设立一个公私合作机构，以应对高性能人工智能和机器学习系统的网络安全和物理安全威胁和漏洞。

（b）合作论坛——根据第（a）款设立的公私合作伙伴关系机构应作为美国防部与商业行业合作伙伴之间的合作论坛，以协调和加强适用于面临复杂国家行为体威胁的国家安全系统以及人工智能和机器学习系统的网络安全和物理安全框架和实践。

（c）目的——根据第（a）款设立的公私合作伙伴关系机构应当：

（1）定期召开会议，讨论高性能人工智能和机器学习系统特有的网络安全和物理安全威胁及漏洞，重点关注国家支持的网络行为体构成的当前和新兴的威胁；

（2）促进美国防部和商业行业之间最佳实践和强大的网络安全和物理安全框架的开发、共享和协调，以保护人工智能和机器学习系统；

（3）促进美国防部与商业实体之间的协作性威胁情报共享，特别关注关键基础设施、国防行动和敏感国家安全功能中使用的人工智能和机器学习系统中的漏洞；

（4）制定网络安全和物理安全政策增强建议，旨在保护人工智能和机器学习技术免受国家支持的网络攻击，并每年向国会报告调查结果和政策建议。

（d）参与者——根据第（a）款建立的公私合作伙伴关系机构应包括来自以下方面的代表：

（1）美国防部，包括：美国防部负责网络政策的助理部长办公室；美国防部负责情报和安全的副部长；美国防部和武装部队的首席信息官；美国防部首席数字和人工智能官；美国防高级研究计划局；美国家安全局；美国网络司令部；美国防部国防网络犯罪中心；美国防部负责网络政策的助理部长认为相关的美国防部和军事部门中负责网络安全或人工智能系统的其他实体。

（2）在高性能人工智能和机器学习系统，或网络安全或物理安全实践方面具有专业知识的商业行业公司，包括：云计算和人工智能服务提供商；网络安全公司；人工智能研发公司；电信公司；美国防部负责网络政策的助理部长认定为相关且适当的其他行业领袖；

（3）在高性能人工智能和机器学习系统、网络安全或物理安全实践方面具有专业知识的美国联邦政府资助的研究和开发中心、国家实验室和学术机构，。

（e）报告要求——根据第（a）款成立公私合作伙伴关系机构之日起一年内，美国防部负责网络政策的助理部长应向国会国防委员会提交一份报告，概述以下内容：

（1）根据（c）（1）款进行的磋商得出的关键发现，包括已发现的人工智能和机器学习系统中任何网络安全或物理安全漏洞；

（2）关于加强网络安全或物理安全政策和实践的建议，以保护美国防部和商业部门的人工智能和机器学习系统；

（3）对协调美国防部与商业网络安全和物理安全框架以应对国家支持的网络威胁方面取得的进展的分析。

第1622节：人工智能的数字沙盒环境

（a）所需建立——不迟于2026年4月1日，美国防部长应通过美国防部首席数字和人工智能官和首席信息官建立一个人工智能沙盒环境工作组（在本节中称为“工作组”）。

（b）目的——工作组应确定、协调并推进整个美国防部范围内的各项工作，以开发和部署必要的虚拟环境，以支持美国防部各部门的人工智能实验、培训、熟悉和发展。这些虚拟环境被称为“人工智能沙盒”，其用途如下：

（1）为从新手用户到经验丰富的从业人员提供不同技术水平的能力；

（2）实现人工智能模型的构建、训练、评估和部署；

（3）促进现有人工智能能力的熟悉和利用；

（4）加速整个美国防部负责任地采用人工智能。

（c）联合主席——工作组应由美国防部首席数字和人工智能官和美国防部首席信息官共同担任主席。

（d）组成——工作组应由以下人员组成：

（1）各军事部门首席人工智能官，或者在没有此职位的情况下，各军事部门负责领导人工智能工作的个人；

（2）各军事部门首席信息官；

（3）各作战司令部和联合参谋部的首席人工智能官，或者在没有此职位的情况下，负责领导各作战司令部内人工智能工作的个人；

（4）各作战司令部和联合参谋部的首席信息官，或者在没有此职位的情况下，负责领导各作战司令部信息技术工作的个人；

（5）各作战司令部的指挥、控制、通信和计算机/网络主管（J6），或其指定人员；

（6）联合参谋部指挥、控制、通信和计算机/网络总监（J6）或其指定人员；

（7）工作组联合主席认为适当的该部其他官员。

（e）职能——工作组应当：

（1）确定和整合整个美国防部人工智能沙盒环境的共同需求，包括针对不同技术专长的用户界面、计算资源和基础设施、预先训练的模型和数据集以及教育和培训材料的需求；

（2）识别、清点并确保现有解决方案和技术文档的可用性，包括机器可读文档、参考架构和用户指南；

（3）发布一份将第（1）款确定的共同要求与第（2）款确定的现有解决方案相匹配的分析；

（4）利用现有的美国防部机制，通过企业许可证和合同提高效率；

（5）识别并在可能的情况下简化对通用人工智能沙盒环境架构的各要素的操作授权审批；

（6）发布针对各个技能水平的用户如何适当使用人工智能沙盒环境的指南。

（f）简报——不迟于2026年8月1日，工作组联合主席应向美国会国防委员会简要介绍工作组的目标和宗旨。

（g）终止——工作组应于2030年1月1日终止。

（h）定义——在本节中：

（1）“人工智能”一词具有《2019财政年度约翰·S·麦凯恩国防授权法案》第238（g）节中赋予该术语的含义。

（2）“人工智能沙盒环境”是指一个安全、隔离的计算环境，它使不同技术水平的用户能够访问人工智能工具、模型和能力，以进行实验、训练、测试和开发，而不会影响操作系统或需要专门的技术知识来操作。

（3）如美国国家安全系统委员会第4009号指令或后续文件中所定义，“操作授权”一词是指由机构高级官员做出的官方管理决定，授权运营某个信息系统，并在实施商定的安全控制措施的基础上，明确接受对组织运营和资产、个人、其他组织以及美国的风险。

第1623节：人工智能模型评估和监督

（a）人工智能模型评估和监督跨职能团队

（1）设立——美国防部长应根据《2017财年国防授权法》第911条的规定，建立一个跨职能团队，负责人工智能模型评估和监督（在本节中称为“跨职能团队”）。

（2）目的——跨职能团队的目的是制定一个标准化的评估框架和治理结构，以评估、监督和促进美国防部采用的人工智能模型的合作。

（3）组成

（A）领导——美国防部首席数字和人工智能官应领导该跨职能团队。

（B）成员——美国防部应确保跨职能团队包括来自以下机构的代表：

（i）美国防部首席信息官办公室；

（ii）各军事部门的首席人工智能官，如果没有设立此职位，则由负责领导各军事部门人工智能工作的个人担任；

（iii）各军事部门的首席信息官；

（iv）各作战司令部和联合参谋部的首席人工智能官，或者在没有此类职位的情况下，负责领导各作战司令部和联合参谋部内人工智能工作的个人；

（v）各作战司令部和联合参谋部的首席信息官，或者在没有此类职位的情况下，负责领导各作战司令部和联合参谋部内信息技术工作的个人；

（vi）美国防部部长认为适当的其他组成机构。

（4）职责——跨职能团队的职责如下：

（A）制定美国防部目前使用的人工智能模型的标准化评估框架。

（B）为美国防部未来考虑使用的人工智能模型评估制定美国防部范围的指南。

（C）制定模型开发、测试和部署的治理结构。

（D）根据用例风险确定适当的评估级别。

（E）建立跨组成机构协作的机制。

（F）制定用例提交、审查和批准的流程。

（5）框架内容——根据第（b）款制定的评估框架应当涵盖以下内容：

（A）模型性能标准；

（B）开发文档要求；

（C）测试程序；

（D）道德原则遵守；

（E）评估方法和有效期；

（F）安全要求和合规法规，包括联邦风险和授权管理计划；

（G）跨职能团队认为适当的其他要素。

（b）人工智能应用的职能牵头机构

（1）指定——美国防部长应指定其认为适当的部门组织，作为人工智能应用的职能牵头机构。

（2）选择标准——根据第（1）款指定职能牵头机构时，美国防部长应考虑：专业知识；功能领域的权益；建立评估标准的能力。

（3）CDAO职责——美国防部首席数字和人工智能官应当：担任具有人工智能模型的业务系统的功能负责人；为整个美国防部提供商业人工智能模型指导。

（c）主要人工智能系统的评估——不迟于2028年1月1日，美国防部长应使用跨职能团队根据第（a)（2）款制定的标准评估框架，对该部门所有主要人工智能系统进行评估。

（d）管理

（1）总则——在执行本节时，美国防部长应确保完成以下每个里程碑：

（A）跨职能团队根据（a）款于2026年6月1日或之前成立。

（B）人工智能应用的职能领导机构于2027年1月1日或之前根据（b）款指定。

（C）跨职能团队在2027年6月1日或之前完成（a）（2）款要求的标准化评估框架和治理结构的制订。

（D）根据第（c）款对主要人工智能系统进行初步评估，并于2028年1月1日或之前完成。

（2）国会简报——在第（1）款规定的每个里程碑完成后30天内，美国防部长应向国会国防委员会简报其在执行本节方面的情况。

（e）终止与过渡

（1）终止——跨职能团队应于2030年12月31日终止。

（2）过渡——不迟于2030年6月30日，美国防部长应指定一个机构来接替跨职能团队，并制定一项计划，将第（a）（4）款规定的跨职能团队的职责转移给该继任机构。

（3）继任机构活动报告——不迟于跨职能团队终止之日起1年，并且此后每年至少1次，直至跨职能团队终止之日起3年之日，美国防部长应向美国会国防委员会提交一份关于跨职能团队职责移交给的单位部门活动的年度报告。

（f）定义——在本节中：

（1）“人工智能”一词具有《约翰·S·麦凯恩2019财政年度国防授权法案》第238（g）节中赋予的含义。

（2）“功能领域”是指美国防部内人工智能应用的专门领域，在该领域中，模型在可比操作条件下开发、评估和用于类似用例。功能领域的例子可能包括决策支持系统、业务系统、航空电子设备、网络安全、情报应用、后勤和维护以及医疗保健。

第1624节：美国防部本体治理工作组。

（a）设立

（1）总则——美国防部长应建立一个工作组，负责制定和实施整个美国防部的通用数据本体和治理结构。

（2）命名——根据第（1）款设立的工作组应称为“美国防部本体治理工作组”（在本节中称为“工作组”）。

（b）目的——工作组的目的是制定和实施整个美国防部的通用数据本体和治理结构，以提高数据互操作性，加强信息共享，并使整个美国防部能够更有效地做出决策。

（c）成员——工作组由以下人员组成：（1）美国防部首席数字和人工智能官；（2）美国防部首席信息官；（3）美国防部首席数据官；（4）各军事部门和作战司令部的首席信息官；（5）美国防部部长认为适当的国防情报实体代表；（6）美国防部长认为适当的该部门的其他官员或雇员。

（d）职责——工作组应当：

（1）应与美国防部和情报界（定义见1947年国家安全法第3节）内现有的数据本体开发工作进行协调并以此为基础，以确保互补和非重复的努力；

（2）整合整个美国防部的数据以及来自国防情报实体的数据；

（3）开发和维护针对美国防部内专业知识领域的特定领域数据本体，包括作战、后勤、人事、情报和网络安全领域；

（4）建立一个流程，以识别和指定负责领导特定领域数据本体的开发、审查、批准和各自指导的功能领域领导机构；

（5）评估通用和特定领域数据本体会带来哪些安全风险，以及如何减轻这些风险；

（6）建立治理框架，包括：

（A）一个集中式存储库，以所有授权利益相关方可以访问的方式存储通用和特定领域的数据本体；

（B）强大的版本控制机制，用于跟踪变化、管理不同版本并确保稳定和权威的来源；

（C）数据本体管理的明确所有权指定和角色定义，包括整体范围和特定领域本体的修改和访问权限；

（D）用于更新、审查和维护数据本体以确保相关性和准确性的标准化治理程序；

（E）对促进跨领域的互操作性和可重用性的已建立数据本体工程原则的遵守；

（F）与现有美国防部数据管理实践和系统的整合。

（e）职能领域牵头人

（1）选择标准——根据第（d）（4）款指定职能领域牵头人时，工作组应选择在各自领域拥有丰富的专业知识并在该领域拥有大量权益或责任的个人。

（2）代表性——根据第（d）（4）款选出的职能领域牵头人应确保在整个美国防部内具有适当的代表性，包括军事部门、作战司令部、国防机构和外勤机构。

（3）职责——根据第（d）（4）款选出的职能领域牵头人应负责：

（A）领导其领域内数据本体的开发和维护；

（B）审查和批准特定领域的数据本体元素；

（C）确保特定领域数据本体与整体范围数据本体框架之间的一致性；

（D）为数据本体实施制定特定领域的指导；

（E）作为数据本体治理结构中领域知识的权威来源。

（f）时间表和交付成果。

（1）成立——美国防部长应确保工作组根据（a）款不迟于2026年6月1日成立，并且工作组自成立之日起有效期不少于5年，除非美国防部长确定有必要将工作组过渡为常设机构。

（2）职能领域牵头人指定——不迟于2026年8月1日，工作组应根据（d）（4）和（e）小节的规定确定和指定职能领域牵头人。

（3）部门级政策——不迟于2027年6月1日，工作组应制定并发布有关数据本体治理结构的部门级政策，包括领域特定本体的开发、维护和集成指南。

（4）实施——工作组应在2028年6月1日之前监督治理结构的实施情况。

（g）简报和报告。

（1）简报——不迟于2027年7月1日，工作组应向美国会国防委员会提供工作组进展情况的简报。

（2）报告——不迟于2028年6月30日，美国防部长应向国会国防委员会提交一份关于本体治理结构实施情况的报告，包括整体范围和领域特定本体的实施状况，以及维持和进一步发展的建议。

（h）定义——在本节中：

（1）“数据域本体”一词是指特定于部门内特定功能、操作或主题领域的数据本体，包括作战、后勤、人事、情报或网络安全领域。

（2）“数据本体”一词是指信息系统或知识领域内数据元素、其属性及其之间关系的正式化、结构化表示和分类，以便实现不同系统和用户之间数据的一致解释、集成和分析。

第1625节：高性能计算路线图的修改。

《2025财政年度国防授权法》第1532节（c）款修订如下：

（1）在第（1）款末尾的句号前插入“，包括美国防部拥有和维护的专用计算资产，以及商业采购的云服务或其他基础设施即服务合同”；

（2）在第（2）款中——

（A）将子款（C）款重新指定为字款（D）；

（B）在子款（B）后插入以下新的子款（C）：

（C）对于在军事设施上建造或扩建的任何数据中心，应提供一份估算，在美国防部长确定提供此类估算不会延迟提交第（3）款要求的三年期更新报告的范围内，对这些数据中心的额外需求进行估算，包括：

“（i）对物理空间需求增加的占地面积的估计；

（ii）对预计的人工智能数据中心占地面积的电力和水使用需求进行评估；

（iii）基于电力、水和其他资源需求的增加，预计对设施和周边社区的影响，包括减轻对军事设施任何潜在不利影响的措施；

（iv）防止当地公用事业服务中断和确保社区恢复力的策略，包括与当地、州和联邦机构协商，以使基础设施规划与更广泛的社区需求保持一致。”

（3）在末尾添加以下内容

“（3）每3年更新一次——不迟于2027年3月1日，以及不迟于此后每3年的3月1日，直至2033年3月1日，美国防部长应更新第（1）款要求的路线图，并向国会国防委员会提交更新后的路线图。”

第1626节：人工智能指导委员会

（a）设立

（1）总则——不迟于2026年4月1日，美国防部长应成立通用人工智能指导委员会。

（2）命名——根据第（1）款设立的指导委员会应称为“人工智能指导委员会”（本节中称为“指导委员会”）。

（b）成员——指导委员会由以下人员组成：（1）美国防部副部长；（2）参谋长联席会议副主席；（3）美陆军副参谋长、海军作战部副参谋长、海军陆战队助理司令、空军副参谋长、太空作战部副参谋长、国民警卫队局副局长；（4）美国防部负责采办与保障的副部长；（5）美国防部负责研究与工程的副部长；（6）美国防部负责情报和安全的副部长；（7）美国防部副部长（审计长）兼首席财务官；（8）美国防部长认为适当的军事部门代表；（9）美国防部首席数字和人工智能官；（10）美国防部长认为适当的国防创新生态系统内创新中心的代表；（11）美国防部部长认为适当的其他组织和部门的代表。

（c）联合主席——美国防部副部长和参谋长联席会议副主席应担任指导委员会的联合主席。

（d）职责——指导委员会应负责：

（1）分析人工智能模型和支持实现通用人工智能的赋能技术的当前发展轨迹，包括：（A）当前和新兴模型，包括前沿模型和世界模型；（B）代理算法；（C）神经形态计算；（D）算法或模型开发的认知科学应用；（E）基础设施需求；（F）新的或新兴的微电子设计或架构；（G）指导委员会认为适当的其他技术学科。

（2）评估美国的对手在实现通用人工智能目标方面的技术、操作和理论发展轨迹。

（3）分析通用人工智能对美国防部的军事应用和影响。

（4）制定美国防部采用通用人工智能的战略，包括：（A）道德和政策标准的阐明；（B）所需资源，包括通过使用新的或新颖的融资机制，如购买承诺、融资安排或贷款或贷款担保；（C）可衡量的目标；（D）可通过公私合作伙伴关系过渡或采用的机制。

（5）分析对抗性使用通用人工智能所带来的威胁形势，并制定防御此类使用的选项和反通用人工智能策略。

（e）报告

（1）总则——美国防部副部长应不迟于2027年1月31日向美国会国防委员会提交一份关于指导委员会就第（d）款所涉事项的调查结果的报告。

（2）报告形式——根据第（1）款提交的报告应以非机密形式提交，但可以包含机密附件。

（3）公开提供——美国防部副部长应向公众提供根据第（1）款提交的报告的非机密部分。

（f）终止——本节的要求和权力将于2027年12月31日终止。

（g）定义——在本节中：

（1）“通用人工智能”一词是指在大多数认知任务上有能力匹敌或超越人类智能的人工智能系统，不同于为特定领域中的特定任务而设计的狭义人工智能系统。

（2）“创新生态系统”一词是指由私营部门、学术机构和政府机构组成的区域性网络，这些机构通过正式和非正式的机构关系网络为特定技术领域的技术和经济发展做出贡献。

第1627节：人工智能系统的物理和网络安全采购要求

（a）安全框架

（1）总则——美国防部长应制定一个框架，用于实施与涵盖的人工智能和机器学习技术有关的网络安全和物理安全标准和最佳实践，以减轻美国防部因使用此类技术而面临的风险。

（2）安全相关方面的覆盖范围——根据第（1）款制定的框架应涵盖人工智能和机器学习系统安全的所有相关方面，包括以下内容：

（A）劳动力风险，例如内部威胁风险。

（B）培训和劳动力发展要求，包括以下内容：（i）人工智能安全意识。（ii）人工智能特有的威胁和漏洞。（iii）人工智能安全专业知识的专业发展和教育的连续性。

（C）供应链风险，例如假冒组件或数据中毒风险。

（D）与对抗性篡改人工智能系统有关的风险。

（E）与人工智能系统或数据意外暴露或盗窃有关的风险。

（F）安全态势管理实践，包括安全措施治理、持续监控和事件报告程序。

（G）对可用于持续监测和评估的商业平台进行的评估。

（3）基于风险的框架——根据（1）款制定的框架应以风险为基础，其安全级别应与所涵盖的人工智能技术被盗或篡改所带来的国家安全或外交政策风险成比例地提高。

（4）现有框架使用——在最大可行范围内，根据第（1）款制定的框架应当：（A）借鉴现有的网络安全参考资料，例如NIST特别出版物800系列；（B）作为美国防部制定的现有网络安全框架的扩展或增强来实施，例如网络安全成熟度模型认证框架。

（5）应对极端安全风险。

（A）高能力网络威胁行为体——根据第（1）款制定的框架应考虑到，最强大的人工智能系统可能引起最强大的网络威胁行为体的极大兴趣，例如同等和近乎同等国家的情报和国防机构。

（B）安全级别——美国防部长应确保为承包商提供的网络安全框架包含旨在减轻（A）款所述网络威胁行为体带来的风险的安全级别，最高级别的范围与国家安全系统提供的保护级别相似。

（C）具有特定组件的通用设计——在可行的范围内，根据第（B）款开发的任何附加安全级别应针对所有软件系统进行通用设计，但可以包含专门为高性能人工智能系统设计的组件。

（b）安全要求

（1）总则——美国防部长可以修改国防联邦采购条例补充规定，或采取其他类似行动，要求涵盖实体实施根据第（a）款制定的框架中描述的最佳实践。

（2）基于风险的规则——根据第（1）款制定的规则中实施的要求应尽可能针对所涵盖实体开发、部署、存储或托管的具体涵盖的人工智能和机器学习技术，并应根据涉及开发、部署、存储或托管这些涵盖的人工智能和机器学习技术的组件的不同任务进行相应调整。

（3）成本效益考虑

（A）总则——在实施第（1）款时，美国防部长应当：（i）考虑对涵盖实体实施安全要求给美国防部以及美国国家安全和技术领导地位带来的成本和收益；（ii）在可行的范围内，以允许在竞争需求之间进行透明的贸易空间分析的方式设计需求，以最大限度地降低成本并最大限度地提高收益。

（B）权衡减缓开发的成本——在执行第（A）款时，美国防部长应特别权衡减缓人工智能和机器学习开发和部署的成本与减轻美国防部使用商业软件的国家安全风险和潜在安全风险的好处。

（c）实施计划——第（a）款（1）项要求的框架应包括一份详细的实施计划，该计划应：（1）制定实现框架中概述的目标的时间表和里程碑；（2）确定资源需求和拨款机制；（3）提供衡量进展和有效性的标准。

（d）报告要求——不迟于本法颁布之日起180天，美国防部长应向美国会国防委员会提交本节要求执行情况的最新报告。

（e）定义——在本节中：

（1）“人工智能”一词具有《2019财政年度约翰·S·麦凯恩国防授权法案》第238（g）条中赋予该术语的含义。

（2）“涵盖的人工智能和机器学习技术”一词是指美国防部采购的人工智能或机器学习系统以及该人工智能系统开发和部署生命周期的所有组成部分，包括源代码、经过训练的人工智能或机器学习系统的数值参数（如模型权重）、用于开发该系统的任何方法和算法的细节、系统开发中使用的数据，以及用于在开发或部署期间评估人工智能或机器学习系统可信度的软件。

（3）“涵盖实体”一词是指与美国防部签订合同，从事涵盖的人工智能技术的开发、部署、存储或托管的实体。

第1628节：关于使用某些人工智能的指导和禁令

（a）指导和禁令

（1）关于从美国防部系统和设备中排除和移除的要求——除（b）款规定外，不迟于本法颁布之日起30天，美国防部长应要求所有美国防部办公室和部门从所有美国防部系统和设备中排除或移除所涵盖的人工智能。

（2）考虑为美国防部系统和设备提供指导——在本法颁布之日起30天内，美国防部长应考虑向所有部门办公室和部门发布指导，以排除或移除外国对手实体开发的人工智能，前提是美国防部长确定人工智能对所有部门系统和设备构成国家安全风险。

（3）承包商禁令

（A）涵盖的人工智能的使用——除第（b）款规定外，不迟于本法颁布之日起30天内，任何与美国防部签订有效合同的承包商不得使用涵盖的人工智能来履行、协助、执行或以其他方式支持完成或部分支持与美国防部签订的合同。

（B）使用外国对手开发的人工智能——除（b）款规定外，如果美国防部长发布第（2）款所述的指导意见，排除或移除外国对手实体开发的人工智能，而美国防部长认为该人工智能构成该款所述的国家安全风险，则任何与美国防部签订有效合同的承包商不得使用该人工智能来履行、协助、执行或以其他方式支持完成或部分支持与美国防部签订的合同。

（b）豁免

（1）总则——如果美国防部长认为豁免有必要，其可以根据具体情况，豁免第（a）款下的禁令：

（A）为了进行科学有效的研究（定义见2002年教育科学改革法案第102节）；

（B）用于国家安全所需的评估、培训、测试或其他分析；

（C）为了进行反恐、反间谍或其他支持国家安全的军事行动；

（D）为了履行关键任务职能。

（2）风险缓解——在美国防部长根据第（1）款颁发豁免的情况下，其应采取其认为必要的措施，以缓解因颁发豁免而产生的任何风险。

（c）定义——在本节中：

（1）“人工智能”一词具有《2020年美国国家人工智能计划法案》第5002节中赋予该术语的含义，包括《2019财政年度约翰·S·麦凯恩国防授权法案》第238（g）节第（1）至（5）款中描述的系统和技术。

（2）“涵盖的人工智能”一词是指：

（A）DeepSeek公司开发的任何人工智能或后续人工智能；

（B）由HighFlyer公司或由HighFlyer公司拥有、资助或支持的实体或HighFlyer公司直接或间接拥有至少20%股份的实体开发的任何人工智能或后续人工智能。

（3）“外国对手”一词的含义与《美国法典》第10编第4872（f）节中“涵盖国家”一词的含义相同。

（4）“外国敌对实体”一词是指：

（A）外国对手；

（B）住所、总部、主要营业地位于外国对手方的外国人，或根据外国对手方的法律组织起来的外国人；

（C）第（A）款或第（B）款描述的一个外国人或多个外国人直接或间接拥有其至少20%股份的实体；

（D）受（A）、（B）或（C）款描述的外国个人或实体指导或控制的个人。

第1629节：推进数字内容来源标准的路线图

（a）总则——不迟于2026年6月1日，美国防部长应制定一份路线图，指导美国防部未来可能采用和整合数字内容来源能力。

（b）要点——根据第（a）款制定的路线图应当：

（1）确定和评估当前和拟议的数字内容来源开放技术标准，这些标准可应用于美国防部、军事部门和国防部外勤机构制作的公开发布的数字媒体资产；

（2）确定与保护和验证面向公众的数字内容有关的战略目标；

（3）描述各军事部门和美国防部各组成机构的相关角色和职责；

（4）探索建立标准化流程，以便在适当的面向公众的美国防部媒体中嵌入和验证内容凭证；

（5）概述支持技术和解决方案的潜在获取方法；

（6）制定适当的指标，评估数字内容来源技术的有效性、可靠性和可扩展性；

（7）建立与相关利益相关方（包括联邦政府资助的研究和开发中心、业界和学术界）协调的合作机制，以使工作与不断发展的最佳实践和技术能力保持一致；

（8）建立按财政年度分列的概念里程碑和资源需求，为长期规划提供信息。

（c）向国会简报——美国防部长应不迟于2026年7月1日向美国会国防委员会提交一份简报，介绍美国防部采用数字内容来源标准的路线图。简报应涵盖以下内容：

（1）关于可行性、机遇和潜在障碍的初步发现；

（2）迄今为止利益相关方的参与情况；

（3）任何计划中的后续步骤或正在考虑的试点工作。

（d）数字内容来源的定义——在本节中，“数字内容来源”一词是指数字资产的可验证历史和来源，包括有关其创建、所有权和随时间修改的信息。

第1630节：加强对影响美国防部人员操作安全的数据保护

（a）保护个人数据以保障操作安全的优先事项——在履行美国防部长的职责时，美国防部长应确定与武装部队成员和美国防部文职雇员的操作安全有关或可能对其操作安全产生影响的个人数据，并优先保护这些数据，防止收集、使用、传播或保留不符合本法颁布前一天有效的隐私相关法律和惯例规定的数据。

（b）审查并发布与操作安全相关的个人数据保护新指南——美国防部长应在2026年6月1日之前审查所有与部门人员操作安全相关或可能对其操作安全产生影响的个人数据保护相关的适用指南和政策，并在必要时发布修订版或新的指南，以加强此类数据的保护措施。此类指南应涵盖本法颁布前一天生效的与隐私和人员安全相关的法律和实践规定。

（c）数据存储

（1）限制——美国防部长应确保，与美国防部人员的操作安全相关或可能对其操作安全产生影响的部门个人数据均不存储在非部门服务器或云服务上，除非根据美国防部长与美国防部承包商或分包商签订的合同或其他协议，或对于人员数据，经数据主体许可。

（2）豁免——部长可以豁免第（1）款的规定，前提是美国防部长以书面形式证明此类豁免：

（A）适当考虑与此类数据相关的部门员工的操作安全风险；

（B）不会对国家安全构成风险；

（C）对于国家安全而言是必要的。

（d）关于美国防部公告变更的国会通知。

（1）总则——美国防部长修改与个人数据保护有关的部门发布内容之日起30天内，如果美国防部发布的内容与部门人员的操作安全有关或可能对其产生影响，部长应向美国会提交该修改通知。

（2）终止——第（1）款的要求应于本法颁布之日起5年后终止。

（e）事件的国会通知。

（1）总则——美国防部长应在第（2）款所述事件发生之日起30天内向国会提交该事件的通知。

（2）描述的事件——本款描述的事件是指发生的以下事件：

（A）美国防部长根据第（c）（2）款颁发豁免；

（B）与美国防部人员操作安全相关或可能对其操作安全产生影响的个人数据未按照部门规定存储，或者违反部门规定泄露；

（C）与美国防部人员的操作安全相关或可能对其操作安全产生影响的个人数据存储在未按照部门规定经过授权程序的非美国防部服务器或云服务上；

（D）在任何网络安全事件中，与美国防部人员的操作安全相关或可能对其操作安全产生影响的个人数据被泄露。

（f）系统所有者的标准、培训和报告流程

（1）总则——美国防部长应为那些作为系统所有者在多个部门信息系统平台上获得写入或读取访问权限的部门人员制定标准、培训、报告和安全汇报要求，这些系统托管与美国防部人员的操作安全相关或可能对其操作安全产生影响的个人数据。

（2）安全简报——美国防部长应确保向第（1）款所述人员定期获得安全情况简报，包括在离开部门后。

（3）在某些情况下通知国会——在第（1）款中规定的标准、培训、报告和安全汇报要求制定完成后，美国防部长应不迟于30天向国会提交这些要求的详细信息。