上周末，美國公民自由聯(lián)盟（ACLU）向國會監(jiān)督委員會發(fā)出緊急警告：埃隆·馬斯克領導的政府效率部（DOGE）已實質(zhì)性接管聯(lián)邦核心數(shù)據(jù)庫，包括財政部支付系統(tǒng)（管理6萬億美元資金流）、人事管理局（OPM）的2億份雇員檔案，以及連接國防反間諜安全局（DCSA）的安全許可信息。

ACLU稱此舉涉嫌違反《隱私法》《聯(lián)邦信息安全現(xiàn)代化法案》（FISMA）及憲法第四修正案，并準備發(fā)起集體訴訟。

根據(jù)ACLU的公告，這場被民主黨議員稱為“數(shù)字政變”的行動，目前存在三大致命違規(guī)風險：

• 權限越界：DOGE訪問的財政部系統(tǒng)涉及每年6萬億美元政府支付，涵蓋社保福利、薪資發(fā)放及小企業(yè)補助；OPM系統(tǒng)包含2億現(xiàn)任及前任聯(lián)邦雇員的隱私記錄，與國防反間諜安全局（DCSA）的安全審查數(shù)據(jù)直接聯(lián)通。DOGE作為外部咨詢委員會，法律上無權訪問敏感系統(tǒng)，甚至馬斯克本人也沒有訪問機密信息所需的安全許可；
• 人員失控：25歲前SpaceX工程師獲財政系統(tǒng)管理員權限，無安全審查記錄，DOGE團隊中有員工曾在招聘攻擊性黑客的公司就業(yè)；
• 技術黑箱：DOGE在OPM私設未經(jīng)驗證的服務器，讓人聯(lián)想到2015年東大黑客入侵路徑。

六根安全合規(guī)紅線

ACLU認為馬斯克同時觸碰了六根安全合規(guī)高壓紅線：

1.《隱私法》

財政部支付系統(tǒng)存儲全美1.2億社保受益人銀行賬號、1.5億納稅人信息及小企業(yè)補助數(shù)據(jù)。根據(jù)《隱私法》第552a條，未經(jīng)授權披露可觸發(fā)每人1000美元民事賠償，若涉及惡意濫用，DOGE或面臨萬億級集體訴訟。

2.FISMA

國家技術與標準研究院（NIST）的SP 800-53標準要求，聯(lián)邦系統(tǒng)訪問需滿足：

• 最小權限原則（僅必需人員可接觸）；
• 行為審計日志（所有操作可追溯）；
• 基礎設施認證（硬件/軟件經(jīng)FIPS 140-2驗證）。

DOGE的OPM私有服務器跳過全部流程，致使系統(tǒng)安全等級從“高置信”降級為“不可信”。

3.HIPAA

DOGE推進的GSAi聊天機器人計劃，若接入衛(wèi)生與公眾服務部（HHS）數(shù)據(jù)庫，將直接觸碰《健康保險流通與責任法案》（HIPAA）。未經(jīng)患者授權分析醫(yī)療數(shù)據(jù)，單次違規(guī)罰金可達5萬美元。

4.國家安全法

國防反間諜安全局（DCSA）的國會背景調(diào)查數(shù)據(jù)屬于“受控非密信息”（CUI）。根據(jù)《電子信息自由法》第552(b)(3)條，向無許可人員泄露CUI可構成E級重罪，最高監(jiān)禁5年。

5.憲法第四修正案

ACLU指控DOGE的“數(shù)據(jù)清剿”構成非法搜查。若最高法院認定政府將公民數(shù)據(jù)作為“意識形態(tài)凈化工具”，可能援引2018年Carpenter v. United States判例，推翻特朗普行政令的合憲性。

6.電子政務法

根據(jù)美國《電子政務法》第五章，聯(lián)邦雇員向未經(jīng)許可者披露受控非密信息（CUI）可構成E級重罪，最高面臨5年監(jiān)禁及25萬美元罰款；國家安全律師布拉德利·莫斯（Bradley Moss）強調(diào)：“任何聯(lián)邦雇員均無權僅憑DOGE徽章授予系統(tǒng)訪問權限，總統(tǒng)行政令不具備法律豁免效力。”

此外，ACLU已提交《信息自由法》（FOIA）請求，要求公開DOGE通信記錄及數(shù)據(jù)訪問細節(jié)，并稱將訴諸法律手段獲取文件。

DOGE行動的“系統(tǒng)性風險”與“持續(xù)性數(shù)據(jù)泄露”

美國多位網(wǎng)絡安全專家及前政府雇員指出，DOGE的行動已實質(zhì)破壞聯(lián)邦系統(tǒng)安全架構，可導致持續(xù)性數(shù)據(jù)泄露和嚴重的網(wǎng)絡安全/國家安全風險：

1.權限失控

• 25歲前SpaceX員工獲財政部支付系統(tǒng)管理員權限，繞過聯(lián)邦雇員安全審查流程；
• OPM私設未經(jīng)驗證的服務器，復制了2015年東大黑客入侵路徑（該事件被視為史上最嚴重聯(lián)邦數(shù)據(jù)泄露之一）。

2.安全標準崩塌

• 違反NIST制定的聯(lián)邦系統(tǒng)安全控制標準（如SP 800-53），未實施最小權限原則與操作日志審計；
• 新服務器未通過FedRAMP認證，導致系統(tǒng)信任等級從“高置信”降級為“不可信”。

3.跨機構威脅

• OPM服務器直連DCSA背景審查系統(tǒng)，可能被用于篡改安全許可信息或制造外交危機；
• 多名拒絕配合DOGE的聯(lián)邦網(wǎng)絡安全雇員遭解雇或停職，導致財政部系統(tǒng)補丁延遲率從7天增至42天，未打補丁的舊系統(tǒng)漏洞暴露率激增300%，易被APT組織（如APT41、俄羅斯DarkSide）利用。
• 民主黨議員格里·康諾利（Gerry Connolly）與尚特爾·布朗（Shontel Brown）警告，OPM服務器漏洞可能引發(fā)針對聯(lián)邦雇員的精準釣魚攻擊。

4.GSAi聊天機器人爭議

• DOGE在總務管理局（GSA）強行部署自研AI工具“GSAi”，替代原計劃的谷歌Gemini，因其拒絕提供雇員政治傾向分析功能；
• 該工具訓練數(shù)據(jù)包含極右翼論壇內(nèi)容，可能加劇背景審查中的種族/性別偏見，且未按《算法問責法案》提交影響評估。

5.聯(lián)邦IT生態(tài)瓦解

• 美國數(shù)字服務局（USDS）47名工程師遭解雇，導致關鍵系統(tǒng)維護能力癱瘓；
• 亞馬遜AWS、微軟Azure暫停聯(lián)邦云服務合作，加劇技術供應鏈風險。

6.全球安全信任鏈斷裂

• 五眼聯(lián)盟成員國（英、加、澳）暫停與美共享敏感數(shù)據(jù)庫，啟動“去美國化”IT遷移；
• 歐盟援引《通用數(shù)據(jù)保護條例》（GDPR），禁止向DOGE相關實體傳輸公民數(shù)據(jù)。