行业
企业
知识产权
诉讼
引言
网络安全已成为员工福利计划受托人面临的一项关键问题。鉴于涉及数万亿美元的退休资产以及海量的敏感参与者数据,福利计划已成为网络犯罪分子的诱人目标。 与此同时,人工智能(AI)在福利管理中的应用日益广泛,由此衍生出新的网络安全漏洞,受托人必须予以应对。本文介绍了美国劳工部(DOL)网络安全指南的背景,分析了与AI工具相关的网络安全风险,并提出了管理这些风险的切实可行的措施。
美国劳工部网络安全指南及执法重点
2021年4月,美国劳工部(DOL)下属的员工福利保障局(EBSA)发布了首份针对员工福利计划的网络安全指南。2024年9月,EBSA更新了该指南,明确指出所有员工福利计划(包括退休计划以及健康与福利计划)均须遵守其网络安全要求。该指南明确指出,美国劳工部将网络安全视为《雇员退休收入保障法》(ERISA)规定的受托责任。 计划受托人必须作为其审慎义务的一部分,确保妥善缓解网络安全风险,包括审慎选择和监督处理参与者数据及计划资产的服务提供商。换言之,受托人不能仅仅依赖服务提供商来管理这些风险——必须对其进行积极且持续的监督。
尽管这份初步指南已发布四年有余,但网络安全仍是美国劳工部(DOL)的首要任务。今年早些时候,雇员福利保障局(EBSA)发布了其2026年执法重点,网络安全位居榜首。此外,EBSA已将网络安全相关问题纳入其标准计划审计规程,调查人员现要求提供有关网络安全政策、服务提供商协议及事件响应程序的文件。
人工智能对网络安全的影响 人工智能工具在福利管理中的应用日益广泛,从回答参与者问题的聊天机器人,到处理理赔并生成投资建议的算法,不一而足。虽然这些工具能够提高效率,但也带来了新的网络安全风险,受托人必须对此进行评估。(有关在401(k)计划中使用人工智能所涉及的更广泛受托责任考虑因素的更多信息,请参阅我们之前的文章: 生成式人工智能(AI)与401(k)计划受托人责任的关联。)
首先,人工智能系统通常需要访问海量的敏感数据才能有效运行。这种数据集中现象使其成为网络攻击的诱人目标。一旦人工智能系统遭到入侵,不仅当前用户的信息可能泄露,用于训练模型的历史数据也可能暴露。
其次,人工智能工具可能容易受到“对抗性攻击”的影响——即专门设计用于操纵人工智能输出结果的网络攻击。恶意行为者可能利用人工智能系统批准欺诈性交易、提供错误的福利信息,或绕过安全控制措施。某些人工智能系统的复杂性使得此类攻击难以被察觉。
第三,人工智能与其他系统集成可能会带来额外的安全漏洞。人工智能工具通常会连接多个数据库、通信平台和第三方服务。每个集成点都可能成为潜在的安全漏洞。
网络安全最佳实践
根据美国劳工部(DOL)的指导意见及最新最佳实践,受托人应考虑采取以下措施:
