上周末，美國公民自由聯盟（ACLU）向國會監督委員會發出緊急警告：埃隆·馬斯克領導的政府效率部（DOGE）已實質性接管聯邦核心數據庫，包括財政部支付系統（管理6萬億美元資金流）、人事管理局（OPM）的2億份雇員檔案，以及連接國防反間諜安全局（DCSA）的安全許可信息。

ACLU稱此舉涉嫌違反《隱私法》《聯邦信息安全現代化法案》（FISMA）及憲法第四修正案，并準備發起集體訴訟。

根據ACLU的公告，這場被民主黨議員稱為“數字政變”的行動，目前存在三大致命違規風險：

• 權限越界：DOGE訪問的財政部系統涉及每年6萬億美元政府支付，涵蓋社保福利、薪資發放及小企業補助；OPM系統包含2億現任及前任聯邦雇員的隱私記錄，與國防反間諜安全局（DCSA）的安全審查數據直接聯通。DOGE作為外部咨詢委員會，法律上無權訪問敏感系統，甚至馬斯克本人也沒有訪問機密信息所需的安全許可；
• 人員失控：25歲前SpaceX工程師獲財政系統管理員權限，無安全審查記錄，DOGE團隊中有員工曾在招聘攻擊性黑客的公司就業；
• 技術黑箱：DOGE在OPM私設未經驗證的服務器，讓人聯想到2015年東大黑客入侵路徑。

六根安全合規紅線

ACLU認為馬斯克同時觸碰了六根安全合規高壓紅線：

1.《隱私法》

財政部支付系統存儲全美1.2億社保受益人銀行賬號、1.5億納稅人信息及小企業補助數據。根據《隱私法》第552a條，未經授權披露可觸發每人1000美元民事賠償，若涉及惡意濫用，DOGE或面臨萬億級集體訴訟。

2.FISMA

國家技術與標準研究院（NIST）的SP 800-53標準要求，聯邦系統訪問需滿足：

• 最小權限原則（僅必需人員可接觸）；
• 行為審計日志（所有操作可追溯）；
• 基礎設施認證（硬件/軟件經FIPS 140-2驗證）。

DOGE的OPM私有服務器跳過全部流程，致使系統安全等級從“高置信”降級為“不可信”。

3.HIPAA

DOGE推進的GSAi聊天機器人計劃，若接入衛生與公眾服務部（HHS）數據庫，將直接觸碰《健康保險流通與責任法案》（HIPAA）。未經患者授權分析醫療數據，單次違規罰金可達5萬美元。

4.國家安全法

國防反間諜安全局（DCSA）的國會背景調查數據屬于“受控非密信息”（CUI）。根據《電子信息自由法》第552(b)(3)條，向無許可人員泄露CUI可構成E級重罪，最高監禁5年。

5.憲法第四修正案

ACLU指控DOGE的“數據清剿”構成非法搜查。若最高法院認定政府將公民數據作為“意識形態凈化工具”，可能援引2018年Carpenter v. United States判例，推翻特朗普行政令的合憲性。

6.電子政務法

根據美國《電子政務法》第五章，聯邦雇員向未經許可者披露受控非密信息（CUI）可構成E級重罪，最高面臨5年監禁及25萬美元罰款；國家安全律師布拉德利·莫斯（Bradley Moss）強調：“任何聯邦雇員均無權僅憑DOGE徽章授予系統訪問權限，總統行政令不具備法律豁免效力。”

此外，ACLU已提交《信息自由法》（FOIA）請求，要求公開DOGE通信記錄及數據訪問細節，并稱將訴諸法律手段獲取文件。

DOGE行動的“系統性風險”與“持續性數據泄露”

美國多位網絡安全專家及前政府雇員指出，DOGE的行動已實質破壞聯邦系統安全架構，可導致持續性數據泄露和嚴重的網絡安全/國家安全風險：

1.權限失控

• 25歲前SpaceX員工獲財政部支付系統管理員權限，繞過聯邦雇員安全審查流程；
• OPM私設未經驗證的服務器，復制了2015年東大黑客入侵路徑（該事件被視為史上最嚴重聯邦數據泄露之一）。

2.安全標準崩塌

• 違反NIST制定的聯邦系統安全控制標準（如SP 800-53），未實施最小權限原則與操作日志審計；
• 新服務器未通過FedRAMP認證，導致系統信任等級從“高置信”降級為“不可信”。

3.跨機構威脅

• OPM服務器直連DCSA背景審查系統，可能被用于篡改安全許可信息或制造外交危機；
• 多名拒絕配合DOGE的聯邦網絡安全雇員遭解雇或停職，導致財政部系統補丁延遲率從7天增至42天，未打補丁的舊系統漏洞暴露率激增300%，易被APT組織（如APT41、俄羅斯DarkSide）利用。
• 民主黨議員格里·康諾利（Gerry Connolly）與尚特爾·布朗（Shontel Brown）警告，OPM服務器漏洞可能引發針對聯邦雇員的精準釣魚攻擊。

4.GSAi聊天機器人爭議

• DOGE在總務管理局（GSA）強行部署自研AI工具“GSAi”，替代原計劃的谷歌Gemini，因其拒絕提供雇員政治傾向分析功能；
• 該工具訓練數據包含極右翼論壇內容，可能加劇背景審查中的種族/性別偏見，且未按《算法問責法案》提交影響評估。

5.聯邦IT生態瓦解

• 美國數字服務局（USDS）47名工程師遭解雇，導致關鍵系統維護能力癱瘓；
• 亞馬遜AWS、微軟Azure暫停聯邦云服務合作，加劇技術供應鏈風險。

6.全球安全信任鏈斷裂

• 五眼聯盟成員國（英、加、澳）暫停與美共享敏感數據庫，啟動“去美國化”IT遷移；
• 歐盟援引《通用數據保護條例》（GDPR），禁止向DOGE相關實體傳輸公民數據。