美参议院《2025财年国防授权法案》推动军事网络和人工智能计划（中）

（接上篇）

副标题 B——与美国防部网络安全和信息技术

有关的事项

第1611节：与国防工业基础机构开展网络桌面演习。

    （a）网络桌面演习——不迟于本法颁布之日起180天内，美国防部网络犯罪中心执行主任应制定并实施一项计划，与国防工业基础内的机构开展网络桌面演习，每年至少两次，直至2030年12月31日。

    （b）计划——第（a）款要求的计划应——

    （1）符合美国防部关于网络桌面演习的指导；

    （2）用于测试美国防部网络犯罪中心执行主任认为适当的政策、流程、技术或其他方面。

    （c）评估。—

    （1）要求——根据第（a）款开展的网络桌面演习完成后，美国防部网络犯罪中心执行主任应对程序、能力、权限、政策和资源方面的任何差距进行评估。

    （2）报告——

    （A）总则——根据第（1）款完成评估后不迟于180天，美国防部网络犯罪中心执行主任应向国会国防委员会提交评估报告。

    （B）非机密摘要——根据第（A）款提交的每份报告应包括一份非机密摘要，以最大限度地分发结果。

第1612节：联合作战云能力（JWCC）和其他多云环境的管理和网络安全。

    （a）总则——不迟于本法颁布之日起 180 天内，美国防部长应通过国防部首席信息官制定联合作战云能力（JWCC）和其他多云环境的管理和网络安全战略。

    （b）战略——第（a）款要求的战略至少应：

    （1）与美国防部零信任策略保持一致；

    （2）为美国防部提供整个多云环境的网络可见性和互操作性；

    （3）在多云环境中标准化或合理化用户身份，包括通过实施身份、凭证和访问管理（ICAM）技术；

    （4）维护保护端点安全的通用手段；

    （5）融入增强云原生应用程序保护的手段；

    （6）更多地将人工智能应用纳入联合作战云能力（JWCC）和其他多云环境；

    （7）提高联合作战云能力（JWCC）和其他多云环境使用情况报告的透明度，以改善用户和行业提供商的容量需求、预算和可预测性的规划；

    （8）寻找机会改善数据使用和存储的内部规划，并简化云服务提供商的认证流程；

    （9）包括一项计划，对美国防部必要的人员进行培训，使其了解如何将联合作战云能力（JWCC）应用于功能用例（如财务、人力资源或其他业务和管理应用），以及如何更有效地利用这种多云环境中固有的或纳入的网络安全能力。

（c）简报——不迟于本法颁布之日起 240 天，美国防部首席信息官应向国会国防委员会提供根据第（a）款制定的战略内容的简报。

第1613节：国防部生物识别政策更新。

    （a）总则——不迟于本法颁布之日起90天，美国防部负责情报和安全的副部长应更新国防部的生物识别政策。

    （b）要素——第（a）款要求的政策更新应包括以下内容：

    （1）生物特征收集设备数据加密和保护标准。

    （2）要求在处置收集设备和硬盘前对生物特征数据进行清理。

    （3）要求美国防部各部门在将生物特征收集设备交由处置时，保存已从其上清除所有数据的记录。

第1614节：零信任策略应用于军事物联网硬件的指南。

     自本法颁布之日起180天内，美国防部首席信息官应制定指导方针，指导如何——

    （1）美国防部零信任战略适用于军事物联网硬件，包括人穿戴设备、传感器和其他智能技术；

    （2）身份、凭证和访问管理技术在实施这种零信任策略中发挥的作用。

第1615节：中东国防一体化的联合合作伙伴共享网络能力。

    （a）战略——

    （1）总则——不迟于本法颁布之日起180天，美国防部长应向国会国防委员会提交一项战略，以改善美国防部与美国在中东的盟友和伙伴之间的合作，从而更好地利用合作伙伴共享网络能力，促进美国与此类盟友和伙伴之间的联合防御努力，保护美国及其盟友和伙伴的民众、基础设施和领土，免受美国防部长确定的、旨在破坏美国国家安全利益的国家和非国家行为者的侵害。

    （2）内容——根据第（1）款提交的战略应包括以下内容：

    （A）美国中央司令部（CENTCOM）正在进行的或美国中央司令部正在参与的实施联合合作伙伴共享网络能力的努力的摘要，该能力与位于中东的美国盟友和合作伙伴的资产相结合。

    （B）总结进一步促进实施与中东盟友和合作伙伴的资产相结合的联合合作伙伴共享网络能力所面临的挑战，包括需要其他组织采取的行动或决定。

    （C）针对第（B）款所概述的挑战可采取的行动建议。

    （D）评估如何实施联合合作伙伴共享网络能力，以便与美国在中东的盟友和合作伙伴进行整合，从而——

    （i）可以展示数据驱动决策的新工具、技术或方法；

    （ii）通过加密数据访问控制和在多个安全级别上执行现有的数据共享限制，加速相关数据共享、数据可视化和数据分析；

    （iii）利用多云计算环境中的当前活动来减少对仅基于硬件的网络解决方案的依赖。

    （E）为实施与美国在中东的盟友和合作伙伴整合的联合合作伙伴共享网络能力而采取的行动建议，包括确定政策、资源、劳动力或其他不足之处。

    （F）美国防部长认为相关的其他事项。

    （3）指标——美国防部长应确定指标来评估第（1）款要求的战略实施进展情况。

    （4）形式——第（1）款要求的战略应以非机密形式提交，但可以包含机密附件。

    （5）敏感信息的保护——如果没有获得批准的计划保护方案和总体分类指南来执行保护敏感信息和美国国家安全利益的技术和信息保护协议，不得根据本节开展任何活动。

    （b）建立作战司令部作战人员人工智能论坛——

    （1）所需的政策和程序——不迟于本法颁布之日起180天，美国防部首席数据和人工智能官（CDAO）应发布政策和程序，为各作战司令部的作战人员建立一个关于人工智能的论坛，以帮助促进各作战司令部内部和之间有关人工智能工具、方法、培训、演习和作战研究等问题的协调和交流。

    （2）考虑的目的——在制定第（1）款所要求的建立该款所述论坛的政策和程序时，CDAO应将以下事项视为该论坛的主要目的：

    （A）确定近期应用人工智能工具的用例，包括市售的人工智能工具、数据、方法或技术。

    （B）根据第（A）款确定的用例的风险分类，并考虑风险管理流程或执行当前政策的其他程序指南。

    （C）识别并优先考虑适用于根据第（A）款确定的用例并符合美国防部制定的政策指南和标准的当前人工智能工具或新兴技术。

    （D）确定作战司令部内人工智能相关专业知识或人员的培训或岗位不足之处。

    （E）协调训练和实验场地，包括与地区伙伴和盟友的协调。

    （F）寻找加强与地区伙伴和盟友合作的机会。

   （G）为作战司令部寻找机会，与美国防部的其他部门（如国防创新机构）合作，更好地采购商业人工智能能力，包括来自合作伙伴和盟友的工业基地。

    （3）报告——

    （A）不迟于本法颁布之日起一年内，美国防部长应向国会国防委员会提交一份关于建立第（1）款所述论坛的进展情况的报告。

    （B）根据第（A）款提交的报告应当包括下列内容：

    （i）根据第（1）款发布的政策和程序的摘要。

    （ii）本法颁布之日起召开的第（1）款所述论坛的所有会议的清单。

    （iii）根据第（ii）款列出的会议的行程。

    （iv）第（1）款所述论坛为实现第（2）款所考虑的每个目的而做出的努力的摘要。

    （v）根据第（1）款所述论坛的调查结果，加速作战司令部采用人工智能能力的立法行动建议。

第1616节：人工智能人为因素整合倡议。

    （a）要求的倡议——

    （1）总则——美国国防部负责研究与工程的副部长应与美国防部负责采购与保障的副部长以及国防部首席数字与人工智能官协调，制定一项倡议以——

    （A）通过应用认知人体工程学技术，提高人工智能系统和人工智能衍生信息的人机可用性；

    （B）确保为程序提供设计工具和指标，以确保美国防部采用的人工智能系统考虑到人为因素。

    （2）名称——根据第（1）款设立的倡议应称为“人工智能人为因素整合倡议”（本节中简称“倡议”）。

    （b）简报——在本法颁布之日起一年内，美国防部负责研究与工程的副部长、国防部负责采购与保障的副部长以及首席数字与人工智能官应联合向参议院军事委员会和众议院军事委员会简报以下事项：

    （1）美国防部实验室内现有的涉及相关主题的研究和开发工作，包括人机协作、以人为本的设计、认知负荷、认知人体工程学，以及正在使用或可用于告知或增强部门人员对人工智能系统和人工智能衍生信息的可用性的类似主题。

    （2）确定美国防部人员与人工智能系统在作战和非作战环境中互动方面的研究差距，这可能需要联邦政府、业界或学术界进行进一步的研究。

    （3）确定相关工具、方法、测试流程或系统以及评估指标，以用于美国防部改善部门人员的人工智能系统的认知人体工程学和人机可用性特征。

    （c）计划——在提供（b）款要求的简报之日起90天内，美国防部负责研究和工程的副部长、国防部负责采购和保障的副部长和首席数字和人工智能官应联合制定和实施一项计划——

    （1）与军事部门和其他国防部部门合作，确保在采购、采用或使用人工智能系统或人工智能衍生信息的开发或评估过程的早期考虑人为因素和人为系统集成因素；

    （2）召开研究会议或其他论坛，与广大学术界、商业界和国际合作伙伴协调认知人体工程学研究或相关挑战；

    （3）与首席数字和人工智能官合作，审查商业工具集，以评估此类商业工具集的人为因素整合投资水平；

    （4）根据（b）（1）小节确定的研究和开发工作制定指南，涉及如何在美国防部3000.09指令（与武器系统自主权有关）或后续指令中为国防部的人工智能项目创建一个框架或分类法来描述适当水平的人类判断的行使。

（d）解释规则——本节中的任何内容不得解释为禁止或以其他方式限制美国防部长研究、开发、改进或采购任何由人工智能、机器学习或大型语言模型实现、授权、增强或改进的武器系统或其他能力的权力。

第1617节：任务合作伙伴环境（MPE）计划资金可用性限制

    （a）限制——本法案授权为2025财政年度的任务伙伴环境（MPE）计划拨款的资金中，在美国防部长提供（b）中要求的证明日前，不得有超过90%的资金被承诺或支出。

    （b）证明——美国防部长应向国会国防委员会证明——

    （1）美国空军部长与国防部首席信息官共同制定了一项可执行的加速实施计划，以使任务合作伙伴环境（MPE）满足指挥控制信息共享网络的作战要求，其中包括一项现代化计划，减少定制硬件解决方案，淘汰传统硬件，并完全集成到联合全域指挥控制（JADC2）计划的规划组件中；

    （2）经与各地区作战指挥官协调，美国空军部长正在实施明确、可衡量的行动，以满足作战计划、实施和稳定状态作战任务伙伴环境的要求，从而维持全球和区域处理节点的现有责任区特定网络。

第1618节：合并与美国国家安全局和网络司令部之间关系有关的简报要求。

    （a）合并——《2017财年美国国防授权法案》（公法 114-328）第1642节第（c）款由《2020财年美国国防授权法案》（公法 116-92；133 Stat.1748）第1636节增加，修订内容如下：

    “（c）年度简报——

    （1）总则——不迟于2025年3月1日，以及此后每年直至2028年3月1日，美国防部长、国家情报总监和参谋长联席会议主席应联合向国会相关委员会通报美国国家安全局和网络司令部之间的关系。

    （2）要素——第（1）款规定的每次简报应包括对下列内容的年度评估：

    （A）美国国家安全局和网络司令部用于执行相关任务的资源、权力、活动、任务、设施和人员。

    （B）用于管理风险、平衡权衡以及执行美国国家安全局和网络司令部任务的流程。

    （C）对作战环境进行评估并持续权衡以满足任务的必要性和有效性。

    （D）对美国国家安全局和美国网络司令部之间关系产生的实施效果的评估，包括去年因这种关系而开展的或受益于这种关系的具体活动的清单。

    （E）美国防部长、国家情报总监和参谋长联席会议主席认为适当的其他议题。”

    （b）一致废除——2023财年詹姆斯·M·英霍夫国防授权法案第1556条（公法 117-263；136 Stat.2924）被废除。

 第1619节：美国国家背景调查局的信息技术项目

    （a）里程碑决策权或项目管理监督的变化。

（1）总则——美国防部负责采购和保障的副部长在与根据第13467号行政命令第2.4(b)节指定的安全、适用性和认证绩效问责委员会负责人磋商后，可以改变美国国家背景调查局或此类机构的项目管理的里程碑决策权的分配。

    （2）需要的国会通知——第（1）款规定的任务变更，应在美国防部负责采购和保障的副部长以书面形式向国会提交包括变更描述和理由的变更通知之日起30天后生效。

    （b）符合美国国家标准与技术研究所隐私和安全标准的认证——不迟于本法颁布之日起 180 天，美国防部负责采购和保障的副部长应与安全、适用性和认证绩效问责委员会负责人协商——

    （1）采取必要措施，确保美国国家背景调查局遵守美国国家标准与技术研究所特别出版物800-53第5版（涉及信息系统和组织的安全和隐私控制）或后续出版物或修订版中发布的相关标准和指南；以及

    （2）向国会提交以下通知：

    （A）证明此类服务符合此类标准和准则；或者

（B）解释为什么美国防部负责采购和保障的副部长无法证明此类服务符合此类标准和准则。

第1620节：人工智能数据的成本预算。

    （a）所需计划——在本法颁布之日起180天内，美国防部首席数据和人工智能官（CDAO）应与国防部负责采购和维持的副部长以及成本评估和项目评估主任协商，制定一项计划，确保包含人工智能组件（包括作为大型项目子组件的支持系统、模型或分析工具）的项目的预算过程包括对数据类型的估计，以及训练、维护或改进此类程序中包含的人工智能所需的获取和维护此类数据的估计成本。

    （b）计划要素——第（a）款要求的计划应包括以下各项内容：

    （1）对当前包含人工智能组件的程序进行评估，包括相关训练数据的来源和成本。

    （2）对训练、维护或改进人工智能模型或系统所需的数据需求（但目前尚未在记录程序中予以考虑）相关成本进行评估。

    （3）绘制第（1）款所述项目的采办生命周期图，使预算里程碑或关口与国防部预算和执行过程中的关键设计或决策点保持一致。

    （4）用于估算第（2）款中描述的成本的框架，并确保与训练、维护或改进人工智能模型或系统所需数据相关的成本适当地纳入包含人工智能组件的未来项目的生命周期维持估算中。

    （c）实施——美国防部长应在完成第（a）款要求的计划制定之日起 90 天内开始实施第（a）款要求的计划。

（d）简报——自本法颁布之日起180天内，美国防部长应每年至少一次向国会国防委员会提供根据第（a）款制定的计划实施情况的简报，直至 2027 年。

第1621节：假定的互惠软件认证政策。

    （a）所需政策——美国防部长应通过国防部首席信息官实施一项政策，要求安全授权官员继承或互惠已由美国防部另一授权官员授权的云托管平台、服务或应用程序的安全分析和工件（视情况而定），以便更快地采用和使用此类云托管平台、服务和应用程序，按照相应的分类级别并按照现有的授权条件，无需额外的授权或审查。

    （b）要素——美部长应确保根据（a）款实施的政策——

    （1）确保开发云托管平台、服务和应用程序的安全性、认证、性能和操作能力的标准化和透明的文档，以便任务所有者做出决策；

    （2）提供直观和数字化的工作流程，以记录任务所有者和系统所有者对使用云托管功能的确认；

    （3）指示在适当的机密级别上审查有关云托管能力状态的现有授权信息，以供任务所有者审查，包括通过管理仪表板或其他管理分析能力；

    （4）定义一个流程，允许对系统安全性有不同意见的授权官员向首席信息官提出关切，以进行裁决。

    （c）适用性——根据第（a）款实施的政策应适用于——

    （1）美国防部所有授权官员，包括各军事部门以及国防部各组成部分和机构；

    （2）所有云托管功能，无论是在通过美国联邦风险与授权管理计划（FedRAMP）和国防信息系统局（DISA）授权的公共云上，还是在由美国防部认证官员授权的国防部管理的私有云登陆区上。

    （d）报告——不迟于本法案颁布之日起 120 天，部长应向国会国防委员会提交关于（a）款实施情况的报告。

第1622节：移动设备网络安全产品年度评估。

    （a）年度评估——不迟于本法颁布之日起一年，并且此后每年不少于一次，直至2030年9月30日，美国防部长应对移动设备的网络安全产品和服务进行评估，以确定可能改善美国防部使用的移动设备网络安全的产品和服务，包括减轻针对移动设备的网络攻击给国防部带来的风险。

    （b）网络安全技术——根据第（a）款进行评估时，美国防部部长应评估以下每项技术：

    （1）匿名技术，包括动态选择器轮换、不可链接的支付结构和匿名上载。

    （2）网络化的全内容检查。

    （3）移动设备案例硬件解决方案。

    （4）设备上的虚拟专用网络。

    （5）受保护的域名服务器基础设施。

    （6）移动设备端点检测的扩大覆盖范围。

    （7）美国防部长认为适当的任何其他新兴或成熟技术。

    （c）要素——根据第（a）款进行评估时，对于第（b）款描述的每项技术，美国防部长应——

    （1）评估该技术为移动设备提供的网络安全的功效和价值；

    （2）评估在整个美国防部或其分支机构推广该技术的可行性，包括在整个美国防部或其分支机构部署该技术的时间表；

    （3）评估美国防部将该技术与部门现有网络安全架构相结合的能力。

    （d）年度报告——在根据第（a）款开展评估的每一年，美国防部长应向国会国防委员会提交一份报告，报告其对该年度根据该款进行的评估的调查结果，包括确定美国防部或其任何部门是否应该采购或纳入根据第（b）款评估的任何技术。

第1623节：联合网络作战架构（JCWA）资金可用性限制。

    （a）限制——在本法案授权为联合网络作战架构（JCWA）在2025财政年度拨款的资金中，在美国网络司令部司令提供（b）小节所要求的计划之日之前，不得有超过95%的资金被承诺或支出。

    （b）计划——

    （1）总则——美国网络司令部司令应向国会国防委员会提交向下一代联合网络作战架构（NexGen JCWA）迈进的计划。

    （2）内容——第（1）款要求的计划应包括以下内容：

    （A）停止或尽量减少当前联合网络作战架构（JCWA）组件继续开发的细节，包括在12到18个月内稳定当前架构的时间表，以及此类行动可为未来几年的国防计划提供的资源。

    （B）对修订后的下一代联合网络作战架构计划进行范围界定和初步基线计划，包括时间表、与军事部门的协调、拟议的新能力集的描述、当前联合网络作战架构能力与拟议的新功能的映射，以及超出计划修订后可获得的权限或资源需求的额外权限或资源需求。

第1624节：关于美国防部某些媒体内容的数字内容来源认证教育课程和试点计划的简报。

    《2024 财政年度国防授权法》（公法 118-31）第 1524 条修订如下：

    （1）在第（a）款中——

    （A）将第（3）款重新指定为第（4）款；并且

    （B）在第（2）款后插入以下新的第（3）款：

    “（3）临时简报。

    （A）总则——不迟于《2025 财政年度国防授权法》颁布之日起 60 天内，美国防部长公共事务助理应向参议院军事委员会和众议院军事委员会汇报根据第（1）款建立教育课程的进展情况。

（B）要素——第（A）款下的简报应涵盖以下内容：

    （i）美国防部在制定教育课程方面的现状。

    （ii）任何可能影响教育课程发展的初始资源限制或其他挑战。

（iii）美国防部长认为适当的其他事项。”；以及

    （2）在第（b）款中——

    （A）将第（5）款重新指定为第（6）款；并且

    （B）在第（4）款后插入以下新的第（5）款：

    “（5）临时简报。

    （A）总则——不迟于《2025 财政年度国防授权法案》颁布之日起60天内，美国防部长公共事务助理应向参议院军事委员会和众议院军事委员会提供第（1）款要求的试点计划状况的简报。

    （B）要素——第（A）款下的简报应涵盖以下内容：

    （i）美国国防媒体活动主管为确定一个用于试行验证美国防部媒体内容的行业开放技术标准所采取的行动。

    （ii）可能妨碍试点计划的成功实施的任何资源限制或其他挑战，无论是预算、人员还是政策。

（iii）美国防部为实施试点计划而制定的任何业务流程或战略规划。

    （iv）美国国防媒体活动主管认为适当的任何其他事项。”

第1625节：修改禁止通过美国防部网络数据产品和服务采购项目管理办公室以外的方式购买网络数据产品或服务的规定。

    《2022 财政年度国防授权法》第1521（c）节（公法 117-81；10 USC 2224 注释）修订如下：

    （1）在第（1）款中，删除“；或”，并插入分号；

    （2）在第（2）款末尾删除句号，并替换为“；或”；以及

    （3） 在结尾处增加以下新款：

 “（3）该组成部分向办公室提交理由，说明产品的需求由于其紧迫性或为了确保市场内的产品或服务竞争而迫切需要，从而取代了成本考虑”。

第1626节：有关为处于极易受到网络攻击处境的美国防部人员提供网络保护支持的改进。

    《2017财年美国国防授权法案》第1645条（公法114-328；10 USC 2224 注释）修订如下：

    （1）在第（a）款中——

    （A）在第（1）款中——

    （i）在“个人技术设备”之后插入“和个人账户” ；以及

    （ii）在“第（2）款”之后插入“并应向任何提出支持请求的人员提供此类支持”；以及

    （B）在第（2）（B）款中，在“个人技术设备”之后插入“或个人账户”；

    （2）在第（c）款中——

    （A）在第（1）款中，在“个人技术设备”之后插入“或个人账户”；以及

    （B）在第（2）款中，删除“和网络”，替换为“、个人网络和个人账户”；

    （3）删除第（d）款和第（e）款，并插入以下新的第（d）款：

 “（d）定义——在本节中：

    （1）‘个人账户’一词是指美国防部人员在其受雇范围之外使用的在线和电信服务账户，包括电话、住宅互联网接入、电子邮件、文本和多媒体消息、云计算、社交媒体、医疗保健和金融服务。

    （2）‘个人技术设备’一词是指美国防部人员在其受雇于该部门的范围之外使用的技术设备，包括此类设备所连接的网络。”

第1627节：审计长报告关于保护美国防部人员个人信息免遭外国对手利用的努力。

    （a）总则——不迟于本法颁布之日起180天内，美国审计长应向国会有关委员会简要介绍美国防部为保护其人员个人信息不被外国对手利用而做出的努力。

    （b）要素——第（a）款要求的简报应包括对以下要素的任何意见：

    （1）对美国防部为保护武装部队成员、国防部文职雇员、退伍军人及其家人的个人信息（包括智能手机生成的位置数据）免遭外国对手利用所做努力的评估。

    （2）为有效应对这一威胁改进美国防部政策和计划的建议。

    （c）报告——审计长应在双方同意的时间在其网站上发布一份非机密报告，该报告可能包含提交给美国国会国防和情报委员会的机密附件，内容涉及第（b）款所述的内容。

    （d）适当的国会委员会。在本节中，“适当的国会委员会”一词是指——

    （1）美国会国防委员会；

    （2）美参议院情报特别委员会；

    （3）美众议院常设情报特别委员会。

（未完待续）