政策与监管动态：白宫发布网络安全新战略与GSA AI合同条款草案

本周美国政府发布多项重要政策文件。白宫发布新版国家网络安全战略和配套行政令，聚焦网络犯罪打击和关键基础设施保护。GSA发布AI系统采购合同条款草案，对政府AI供应商提出数据权利、安全和国产化要求。同时，多项联邦AI政策截止日期临近，2026年正成为重塑AI监管格局的关键年份。

主要新闻

白宫于3月6日发布”特朗普总统的美国网络安全战略”，配套发布”打击针对美国公民的网络犯罪、欺诈和掠夺性计划”行政令。战略聚焦六大优先领域：塑造对手行为、实现常识性监管现代化、确保联邦政府网络安全、确保关键基础设施安全、维持在关键新兴技术领域优势、以及建设人才和能力。

战略特别强调AI在网络安全中的作用，提出推广Agentic AI以扩大网络防御规模、确保数据中心和AI供应链安全、以及促进后量子密码学和安全量子计算采用等目标。

在监管方面，战略承诺简化网络安全和数据监管以减轻合规负担，这与近期政府调整网络事件报告关键基础设施法案（CIRCIA）的努力一致。CISA计划召开系列公开town hall会议征求利益相关方意见。

Source: White House Releases New National Cyber Strategy and Executive Order

美国总务管理局（GSA）于3月6日发布GSAR 552.239-7001”基本人工智能系统安全保障”条款草案，对政府AI供应商提出全面新要求。条款将适用于所有AI能力采购合同，目前正在公开征求意见。

草案的关键条款包括：赋予政府对所有”政府数据”（包括数据输入和输出）的广泛权利；禁止承包商使用政府数据训练或改进AI模型；要求仅使用”美国AI系统”；72小时网络事件报告要求；以及要求数据格式和API的互操作性标准。

数据权利条款的影响尤为深远。草案将”政府数据”定义为包括用户提示、源数据、以及AI系统”履行”合同所产生的所有内容。承包商仅获得有限、可撤销的许可，仅可用于履行合同之目的。这与传统的商业AI服务模式存在根本差异。

Source: GSA’s Proposed AI Clause: A Deep Dive into New Requirements

2026年3月成为联邦AI政策的关键节点。2025年12月11日总统行政令设定的多项截止日期即将到来。

3月11日到期的关键交付物包括：商务部对现有州AI法律的评估报告，识别与联邦政策冲突的”繁重”法律；以及FTC关于第5条款如何适用于AI模型的的政策声明。行政令还要求司法部审查州AI法律是否符合宪法，可能引发针对州法律的联邦诉讼。

实际影响方面，已经生效的州法律（包括加州的AI治理框架）在法庭干预前仍完全可执行。企业应继续合规努力，同时开始识别可能受联邦挑战影响的AI相关义务。

Source: March 2026: Federal Deadlines That Will Reshape The AI Regulatory Landscape

尽管联邦政府试图统一AI监管框架，各州立法机构的AI相关法案数量仍在快速增长。2025年各州共提出约1200项AI相关法案，远超2024年的635项，其中99项已签署成为法律。

加州的《前沿AI透明度法案》（SB 53）等法律构成了最广泛的AI监管框架之一。德克萨斯州、俄勒冈州等也在推进具有实质执行力的AI法律。州级监管的持续扩张与联邦统一框架的努力形成张力。

Source: Cybersecurity & Privacy 2026: Enforcement & Regulatory Trends

本周的政策动态揭示了几个重要的监管趋势。首先是网络安全与国家安全融合加深。白宫战略明确将网络能力、供应链安全和AI安全纳入国家安全框架，反映出网络空间已成为大国竞争的关键战场。这种融合意味着企业需要从国家安全视角审视网络安全合规，而非仅视为IT问题。

其次是政府AI采购可能成为塑造行业的杠杆。GSA草案的影响远超政府采购本身——它可能成为整个政府技术采购的标准模板，进而影响商业市场。数据权利条款、国产化要求和事件报告制度若获采纳，将对AI行业商业模型产生深远影响。

第三是联邦与州监管的复杂互动正在形成。联邦政府试图统一框架，但州级立法仍在快速推进。这种”先州后联”的路径——与GDPR在欧盟的发展类似——意味着企业短期内仍需应对碎片化的监管环境。

2026年正在成为AI和网络空间监管的关键转折点。白宫新战略、GSA采购条款草案和即将到来的联邦评估报告，共同指向一个更体系化的国家级AI治理框架正在形成。对于跨国企业和AI供应商，理解这一框架的演进方向、识别联邦与州监管的边界、以及评估GSA条款对商业模型的影响，将是今年最重要的合规议题。