June 18, 2026 · 5:51 PM
GSA LLM 条款合规简报:政府数据、供应链流转与模型变更通知将进入合同管理
GSA 6 月 17 日在 Federal Register 发布 GSAR 拟议条款,拟把 LLM 处理政府数据时的数据权属、禁止训练、分包流转、72 小时事件报告和 30 天重大变更通知写入政府采购合同。本文拆解适用范围、时间线、角色义务与企业准备清单。
Research Brief
这不是一条已经生效的最终规则。GSA 在 2026 年 6 月 17 日把一份新的 GSAR 拟议条款放进 Federal Register,目标是先收集意见,再决定通过 deviation 或正式 rulemaking 推进。对做美国政府 AI 业务的企业来说,窗口已经开始:这份草案把 LLM 处理政府数据时的数据归属、禁止训练、供应链流转、模型变更通知和事件报告写进合同条款。1
Loading stats card…
本期为何触发
GSA 这次发布的是「General Services Acquisition Regulation; Acquisition of Information and Communication Technology; Notice of Listening Sessions and Request for Comments」,文件号为 2026-12205,Federal Register 引用为 91 FR 36559,文件类型是 Proposed Rule。1 它不是一般性 AI 原则文件,而是拟在 48 CFR Part 539 和 Part 552 中加入合同条款 552.239-7001,名称为「Basic Safeguarding of Data Within Large Language Model Artificial Intelligence Systems」。1
触发点在于采购传导。草案要求 contracting officer 在「政府数据将由 LLM 处理」的 solicitation 和 contract 中插入该条款,且包括 commercial products and services。1 这会把原本看似面向联邦机构的 AI 数据治理要求,传导到模型开发商、云/模型托管方、系统集成商、SaaS 服务商和 prime contractor。
落地时间线:现在是评论期,不是生效日
| 节点 | 官方文本中的状态 | 企业应做的动作 |
|---|---|---|
| 2026 年 6 月 17 日 | Federal Register 发布 GSA 拟议规则,FR Doc. 2026-12205,91 FR 36559。1 | 把现有联邦客户合同、GSA Schedule、GWAC、OASIS+ 机会中涉及 LLM 处理政府数据的项目拉清单。 |
| 2026 年 7 月 3 日 | 听证注册和发言申请都在 7 月 3 日关闭,媒体 RSVP 也以该日为截止。1 | 如果要影响条款口径,7 月 3 日前应确定发言主题,尤其是 flowdown、数据权属和 foreign control 风险。 |
| 2026 年 7 月 14 日 | GSA 计划举行 public listening session,时间为美国东部时间 11:00 至 14:00。1 | 准备具体条款修改建议,不要只提交原则性赞成或反对。GSA 要求按页码、段落和建议文本提交。 |
| 2026 年 8 月 3 日 | 书面评论截止日为 8 月 3 日,GSA 表示这些评论将用于形成最终 GSAR clause。1 | 在截止日前提交成本、技术可行性、分包链可操作性和替代措辞,最好附证据。 |
| 后续日期未定 | GSA 明确说本次是为 future action 收集意见,可能路径包括 deviation 或 formal rulemaking。1 | 不应把它当作已经生效的罚款规则;但应把它当作即将进入政府采购谈判的条款草案。 |
合规判断:短期风险不是行政罚款,而是合同准入和条款承诺。企业如果现在无法说清数据训练隔离、政府数据删除、模型版本变更和分包方责任,等条款进入 solicitation 时再补会很被动。
适用范围:只有 LLM 处理政府数据时才触发
草案把适用范围压在一个关键条件上:Government Data will be processed by a Large Language Model Artificial Intelligence System。1 它同时给了两个例外:LLM 嵌入 common commercial product,例如文字处理器或地图导航系统;或者 LLM 功能只是被采购核心需求的 incidental 功能。1
这两个例外会成为评论期和合同谈判中的争议点。对供应商而言,不能只用「我们产品里有 AI」或「我们只是 SaaS」来判断是否适用。关键要看两件事:一是政府数据是否进入 LLM 或相关 operational systems;二是 LLM 功能是否是采购的核心交付,而不是附带能力。
草案对 Government Data 的定义很宽。Data Inputs 包括 prompts、queries、instructions、system prompts、source data、documents、knowledge bases、政府邮箱和用户账号信息;Data Outputs 包括 responses、results、analyses、anonymized data、derivative data、metadata、logs、synthetic data 等输出或动作。1 这意味着 RAG 知识库、agent 工具调用、日志、合成数据和衍生分析都可能进入合同控制范围。
核心义务:政府数据不能被拿去训练或变现
草案最硬的一组要求在知识产权和政府数据使用。政府保留 Government Data 和 Custom Developments 的完整所有权,承包商只能在合同或任务订单范围内,为履约、技术支持维护,或 contracting officer 书面授权的其他用途使用这些数据。1
明令禁止的用法包括:用政府数据训练、微调或改进任何 LLM;用政府数据支持广告、营销、销售、商业策略或其他业务决策;超出合同范围和期限保留、访问或使用;未经授权把政府数据交给未被合同覆盖或未完成 flowdown 的第三方;出售或许可政府数据。1
这对通用模型供应商和 AI 应用商有直接影响:
- 如果产品默认把客户输入用于模型改进,政府合同场景必须有可验证的关闭机制。该义务来自草案中禁止把 Government Data 用于训练、fine-tuning 或改进 LLM 的条款。1
- 如果服务依赖第三方模型端点、日志系统、RAG 向量库、agent 工具或外部插件,必须证明这些实体被授权处理政府数据,且对应要求已经 flow down。草案要求只有 LLM Developer、System Operator、System Integrator 和 Service Provider 可以接收和处理 Government Data。1
- 合同结束、终止或到期后,除非 contracting officer 另有书面指示,承包商必须安全、永久删除 Government Data、Custom Developments 及其副本、备份和 derivatives,并向 contracting officer 书面证明删除。1
供应链流转:四类角色会被拉进合同责任链
GSA 这次把 LLM 供应链拆成四类角色:LLM Developer、LLM System Operator、LLM System Integrator 和 LLM Service Provider,并要求 prime contractor 把适用段落流转给相应分包商或服务提供方。1 单一实体承担多种角色时,应使用多个 flowdown supplemental clauses。1
Loading stats card…
| 角色 | 草案中的典型活动 | 主要合规暴露点 |
|---|---|---|
| LLM Developer | 设计、开发、训练、微调、校准、测试、发布、许可或提供 LLM,包括模型权重、接口、model cards 和安全文档。1 | 需要支撑知识产权、文档披露、隐私保密、变更通知和「unbiased AI principles」等要求。1 |
| LLM System Operator | 托管、服务、运行或提供 LLM/LLM System 访问,包括云基础设施、模型端点、API 可用性、运行时安全、日志、保留和数据驻留。1 | 需要覆盖数据处理、事件报告、数据可携带性、变更通知、安全和性能退化通知。1 |
| LLM System Integrator | 选择、配置、适配或实质控制特定部署中的 LLM,包括 system prompts、prompt templates、RAG sources、plugins、agents、guardrails、filters、fine-tuning data、evaluation criteria 等。1 | RAG 来源、工具调用、guardrail、版本切换和评估阈值都可能成为合同披露和变更通知对象。1 |
| LLM Service Provider | 提供 LLM-enabled application、product、service、workflow、API、user interface 或业务能力,并控制服务如何展示、访问、管理、支持或使用。1 | 几乎整套核心条款都可能被流转,包括数据权属、文档、隐私、数据可携带性、变更通知和性能评估。1 |
对 prime contractor 来说,难点不是把条款转发给分包商,而是证明已经完成 due diligence。草案允许通过两条路径证明:把适用要求 flow down 给对应角色,或从有适当授权的人取得 attestation,证明要求已经实施。1
报告和文档:120 天、72 小时、30 天、7 天要分清
草案把多个时限写得很具体,企业内部应直接转成合同合规台账。
Loading stats card…
| 时限 | 触发事件 | 义务 |
|---|---|---|
| 120 天 | 合同或任务订单未指定披露日期时 | 承包商需披露履约中使用或可用的所有 LLM,以及承担 flowdown 角色的所有实体;若合同未指定日期,披露应在开始工作后 120 天内完成。1 |
| 30 天 | 已知 LLM 被修改或配置以遵守非美国政府法规或政策 | 承包商需在 award 后 30 天内披露该情况,除非 solicitation、contract 或 task/delivery order 另有规定。1 |
| 72 小时 | 发现影响处理 Government Data 的承包商或第三方实体的 security incident | 最迟 72 小时内通知 contracting officer 和政府联系人,并每天更新状态直到解决;还需保存相关日志、取证镜像和事件材料至少 90 个日历日。1 |
| 30 天提前通知 | 计划中的 material change | 增加、替换或重大改变 LLM 或相关角色,改变处理政府数据的服务,改变 FedRAMP 授权状态,或为符合非美国政府政策而修改、配置、训练 LLM 时,需至少提前 30 个日历日书面通知。1 |
| 30/15 天评估期 | 模型版本替换 | 对重大版本,承包商应尽合理努力让政府至少有 30 天同时访问 successor LLM 和文档;对 minor versions,评估期为 15 天。1 |
| 7 天 | 发现安全或性能退化 | 如果变化明显增加输出偏见、降低安全护栏或行为约束,或降低输出性能或真实性,应在 7 个日历日内通知 contracting officer。1 |
这里最容易被低估的是「Material Change」的范围。它不只覆盖模型换代,也覆盖开发者、运营者、集成商、服务提供方的增加、替换或重大变化,以及 FedRAMP 授权状态变化。1 如果企业的 AI 服务底层会动态切模型、换 RAG 数据源、调整系统提示词或引入新 agent 工具,就需要提前建立政府客户专用的变更门禁。
外国控制和数据驻留:不是单纯国别标签
GSA 要求承包商「maximize」使用符合三类条件的 LLM:开发、管理和运营实体在美国注册并受美国法律管辖;LLM 的 performance、operations 或 protections 不能被外国政府控制;外国政府或实体不能强制披露 Government Data 或可能危及 LLM 完整性、安全性的 operational details。1 草案还禁止核心模型、数据存储或处理、输出生成、安全功能由受 adversary foreign governments 指挥、影响或控制的实体开发、管理或运营,并引用 15 CFR 791.4。1
但这并不等于所有外国组件都被一刀切排除。草案允许 incidental foreign-developed components、ancillary third-party services 或全球基础设施依赖,前提是不引入违反控制、托管和安全要求的风险,并满足数据驻留和隔离要求。1
对供应商的实际要求是:准备 ownership、control、hosting、security posture 的证据链。仅声明模型是「美国公司提供」不够,GSA 的问题会落到谁控制模型运行、谁能访问政府数据、哪些组件承担核心功能、是否存在外国政府强制披露风险。
违规风险:罚款金额未定,但合同后果已经写出
草案没有设定类似民事罚款上限的行政处罚表。它写的是合同后果。
第一,政府保留暂停使用 LLM 的权利,直到 performance issues 被 satisfactorily addressed。1 第二,如果 contracting officer 因承包商收到具体书面 non-compliance notice 后仍未 remediate,而以 cause 终止 contract 或 task/delivery order,承包商需承担合理 decommissioning costs,但草案把上限留给 contracting officer 以合同价值百分比填入。1
第三,事件报告和日志保全会增加执法和争议成本。安全事件触发后,承包商不仅要在 72 小时内通知,还要提供事件性质、影响数据、即时补救、完整解决时间表和防止复发措施,并保存取证材料至少 90 天。1
因此,当前可量化风险不是「罚多少」,而是三类商业后果:政府项目被暂停使用,合同因 cause 终止并带来退场成本,未来采购中的责任陈述和分包链证明失败。
企业准备清单
- 做 LLM 政府数据流图。 把 prompts、system prompts、RAG 文档、生成结果、日志、metadata、synthetic data 和 feedback 分开标出。草案把这些都可能纳入 Government Data 或相关处理记录。1
- 建立「不训练、不二次使用」证据。 产品、DPA、内部控制和客户配置界面要能证明政府数据不会用于训练、微调、广告、商业策略或其他非合同目的。草案把这些用途列为禁止项。1
- 给每个分包方贴角色标签。 同一个供应商可能同时是 System Operator 和 Service Provider,也可能既是 Integrator 又控制 RAG 来源。草案要求单一实体承担多种角色时使用多个 flowdown supplemental clauses。1
- 把变更管理改成合同通知流程。 模型版本、模型供应商、云托管、FedRAMP 状态、RAG 数据源、system prompts、agent 工具和 guardrails 变化,都应先判断是否构成 Material Change。草案要求计划中的 Material Change 至少提前 30 天通知。1
- 准备给政府运行基准测试的接口。 草案给政府保留 automated assessments 权利,可测试 bias、truthfulness、safety、unsolicited ideological content 等因素;承包商需提供工具和接口,让政府可以自动化测试生产 LLM。1
- 评论期不要只喊成本高。 GSA 要求评论者按具体页码、section 和 paragraph 提供不同意或支持的理由、建议文本、成本负担、漏洞和数据证据。1 对企业最值得提交的,是 scope 例外、flowdown 可执行性、非美国法规配置披露、政府基准测试接口、decommissioning cost 上限这些会直接影响合同谈判的条款。
本轮结论
这份 GSAR 草案还没有把新义务正式写进每一份 GSA 合同,但它已经给出了政府采购 LLM 的合同化方向:政府数据归政府,不能拿去训练;模型和分包链要能被拆开说明;重大模型变化要提前通知;政府要保留测试和暂停使用的权利。
企业现在最该做的不是等最终规则,而是用这份草案反查自己的政府业务承诺。8 月 3 日前可以影响条款措辞;8 月 3 日后,准备不足会更像投标和合同执行问题,而不是政策观察问题。
Add more perspectives or context around this Post.