信息安全責任保險制度比較研究

王天凡

摘要：伴隨著互聯網的發展，網絡信息安全事件頻發，且損害范圍廣泛、后果嚴重。我國已有多起網絡信息安全賠償訴訟，責任保險制度可能是應對該風險的重要選擇。信息安全責任保險在境外各國保險市場均已有較成熟的實踐，如美國、英國、德國和印度等，而在我國尚付闕如。網絡信息風險符合可保風險的要求，信息安全風險可以估算，且隨著實踐數據的積累會日益成熟，而損害范圍和保險范圍的確定應當結合我國立法和司法實踐的判斷。另外，對于關涉公眾重要隱私信息領域，應當設置強制責任險。信息安全責任保險的構建已逢其時。

關鍵詞：“互聯網+”；網絡信息安全；責任保險

中圖分類號：D913文獻標識碼：A文章編號：1673-8268（2018）03-0060-09

一、“互聯網+”時代的信息安全風險

網絡的發展對傳統產業構成了巨大沖擊，從根本上改變了資源配置關系，使得市場、信息、成本、供需以至市場主體組織結構與經營模式等都有了革命性的變革。自從互聯網進入人類生活以來，網絡信息安全攻防戰就相伴而生，網絡實名制更導致個人信息的風險激增[1-2]。盡管伴隨著技術的發展，“盾”的防御性能逐漸增強，“矛”的攻擊力也非常了得，但民眾反而看到越來越多信息泄露案件的發生，且泄露的規模、造成的后果也一次次刷新了人們的想象。在傳統行業經歷“互聯網+”這一革命性變革的背景下，網絡信息安全問題顯示出前所未有的重要性，國家安全、市場競爭秩序及企業信息安全以至個人信息安全均在其列。

2012年，世界經濟論壇全球風險報告將網絡風險列為企業所面對的全球五大風險之首。大規模的侵害如2005年美國的萬事達卡事件存儲電腦遭黑客入侵，4千萬信用卡客戶信息泄露，被盜賬號信息甚至在互聯網上公開出售。；2011年被稱為中國互聯網史上最大規模信息泄露事件的CSDN數據庫被黑致使用戶資料泄露；2013年，如家、漢庭等酒店客戶信息泄露事件；2014年支付寶找回密碼功能系統漏洞事件；攜程網用戶支付信息泄露事件；微軟停止Windows XP技術支持及全球互聯網通行的安全協議OpenSSL嚴重漏洞事件；2016年，雅虎15億用戶信息泄露事件更是刷新了人類大規模數據泄露的新記錄；2017年，12306官方網站安全漏洞事件；等等。另外，根據國家互聯網應急中心的數據，2016年檢測到82 072個網站存在被植入后門的情況，其中2 361個為政府網站。僅2017年7月，我國境內就有6 468個網站被篡改，而且總體看來，政府網站被篡改的數量成倍增長[3]。二、引入網絡信息安全責任保險的客觀需求（一）網絡信息安全損害賠償責任的規模化

當網絡信息安全事故發展到“網絡颶風”（cyber-hurricane）等級時，其波及面廣、傳播速度快，會造成巨大的經濟損失。與此同時，伴隨著人們權利意識的增強，如果消費者自身利益因信息泄露受到較大損害，那么他們提起訴訟的幾率也會增加，且體現出一定的規模性和重復性特征。

比較典型的案件如2013年某兩家知名快捷酒店開房信息泄露案件發生之后，受害者在上海起訴了其中一家酒店管理有限公司和該酒店所采用登記系統的網絡公司，請求法院判令二公司立即采取補救措施，確保其信息安全，立即停止侵害并消除影響（包括但不限于刪除網上涉及酒店入住信息的數據，防止隱私信息的進一步公開擴散）；要求網絡公司刪除其個人電子信息，立即停止收集、保存或者使用其入住信息，承擔侵權責任、賠禮道歉，并賠償精神損失其他同類訴訟如：2014年4月甘肅考生報名后個人信息被泄露起訴省人社廳案（參見http：//www.gs.chinanews.com/news/2014/04-14/231538.shtml）；2013年11月中國銀行上海分行泄露客戶信息，在南京遭起訴，銀行辯稱其受到黑客攻擊（參見http：//www.xici.net/d196389737.htm）。。法院經審理認為：“雖然所顯示的原告姓名、性別、身份證號、生日的信息內容一致，但上述信息作為原告的基本信息，其使用頻率和范圍較廣，并不為被告（酒店）所單獨掌握，其擴散渠道也并不具有單一性和唯一性，故亦難以僅憑上述部分信息的一致而判斷互聯網上流傳的原告信息即為被告系統中留存的原告信息”，即通過否認證明損害的證據的相關性而回避了問題。另一方面，“原告現也并無其他證據證明被告泄露了其入住酒店的信息，因此對于原告主張被告泄露其入住酒店信息的事實，本院不予采信”，將信息泄露的舉證責任分配在原告一方，因此該案原告最終敗訴王某某訴漢庭星空（上海）酒店管理有限公司隱私權糾紛案，（2014）浦民一（民）初字第501號。該案之判決殊有可議，本文因論題所限不再展開。。再如2014年2月，鄭在某網站購買某航空公司的機票后收到了一條航班取消的短信，鄭某撥打了短信中的咨詢電話，但對方向其索要賬號，后經核實，該航班并未取消。因而鄭向天津市東麗區法院起訴該航空公司和該網站。與前一案例相似，一審法院認為：“原告訴稱系二被告將其個人信息泄露，但并未能提供證據予以證明。且二被告并不是掌握原告個人信息的唯一介體，原告主張不具唯一性、排他性。原告收到陌生短信，案外人可能涉嫌詐騙犯罪，在公安機關立案偵破以前，本院不能確認系二被告將原告的個人信息泄漏。”參見鄭某訴天津航空有限責任公司等侵權糾紛案，天津市東麗區人民法院（2014）麗民初字第1720號民事判決。鑒于上述原因，法院并未支持原告的訴訟請求。且不論信息泄露的舉證責任是否應當由原告承擔，即使如此訴訟，原告由于舉證不能而敗訴，未來必將會出現第一個勝訴的案件，引發大規模訴訟只是早晚之事。國外此類事件引發訴訟的情況屢見不鮮如2006年的LG公司泄露求職者信息引發訴訟潮事件；2012年8月美國新罕布什爾州的杰夫·艾倫（Jeff Allan）向圣何塞的美國地方法院起訴雅虎，訴稱松懈的安全措施使得黑客得以入侵雅虎的一個數據庫，竊取了45萬個賬戶的密碼，希望構成集體訴訟。。

根據中國互聯網協會發布的《中國網民權益保護調查報告（2015）》統計，僅2015年，網民因為個人信息泄露、垃圾信息、詐騙信息等現象，導致遭受的經濟損失人均124元[4]，總體損失約805億元。到2016年，這一數據上漲為人均133元，總體經濟損失約915億元[5]。對于數據信息系統開發的企業或者利用信息存儲系統的企業而言，因為其經營活動涉及數量龐大的用戶群體或消費者，一旦信息安全責任案件發生，就可能引發大規模訴訟，承擔數額難以預估的賠償責任。可喜的是，我國對于個人信息和數據特別是網絡經營活動中個人信息數據的保護越來越嚴，防范信息安全責任已經成為系統開發商及企業需要特別面對的問題。

（二）與責任保險制度對接的需要

在以往比較成熟的企業風險預防的智識寶庫之中，企業通過責任保險的方式把從事正常經營活動不得不面對的法律責任風險（主要是損害賠償）轉嫁給保險企業，進而通過保險公司分散風險，是已被經驗所證明的極為有效的法律策略。西方國家為解決其社會普遍性問題，逐漸形成了較為成熟的責任保險機制及其法律規范體系。網絡信息安全民事責任亦可循此舊途。

我國《保險法》第六十五條規定了責任保險制度，其中第四款是指以被保險人對第三者依法應負的賠償責任為保險標的的保險，即在被保險人被判定對第三人負侵權責任時，由保險公司給予補償[6]。責任保險制度最初的出現正是由于在許多情況下，行為人即使盡到了足夠的注意義務，責任風險會依然存在。另一方面，責任的最終判斷者是法院，這就意味著行為人無論如何都還會面臨舉證及司法裁判的不確定性。各種責任保險都是為了使被保險人難以避免的風險得以分擔而設立，如會計師職業責任保險、機動車強制責任保險等。責任保險正是針對行為人即使是再謹慎也難以徹底避免的法律責任的風險，通過保險人將所造成的損失進行轉移，由全社會或特定的社會群體來分散損失金額的責任機制[7]。如果沒有責任保險，那么許多行為人在遭遇大規模索賠時就可能會面臨破產，而投資者、創業者也會由于擔憂出現這種情形和畏懼高風險而不敢再進入這些領域。但互聯網時代早已是不可逆的現實，在沒有責任保險的情況下，越來越多的從業者為了分散自己的風險，只能采取“過度防御”的策略[8]。如摩根大通宣稱自己每年在網絡安全上的開支高達25億美元，但結果還是被入侵者們攻破并竊取信息2014年6月開始，黑客們利用摩根大通官網上的一個漏洞，用一些復雜的工具深入到其網絡基礎設施中，悄悄竊取了包括客戶賬戶資料在內的大量情報，摩根大通直到近兩個月后才察覺。。面對黑客，即使是巨資投入也難以再讓人保持信心，而且這些過度的投入最終還是會轉嫁到客戶和不特定公眾身上。

美國系統網絡安全協會SANS（SysAdmin， Audit， Network， Security）認為，網絡信息安全服務和信息安全保險的密切結合將是解決網絡信息安全問題的必然趨勢[9]。怡安奔福公司（Aon Benfield）的一份市場調查報告也指出，網絡保險需求一直在顯著上升，尤其在一些引人注目的案例發生之后會立刻上漲。在保費激增的同時，網絡保險責任范圍和產品的年度增長正以30%～50%的速率上升[10]。據此，可以將信息安全保險定義為：基于投保人與保險人之間的信息安全責任保險合同，由保險人在特定的信息侵權賠償責任發生時，向受害人賠付一定金額的責任保險制度。

三、信息安全責任保險的比較法參照

信息安全責任保險在境外各國保險市場均已有較長時間的實踐發展，不同國家的不同保險公司對其也有著各種不同的設計和稱呼，如網絡空間保險（cyberspace insurance）、信息安全保險（information security insurance）、網絡安全保險（network security insurance）、電子風險保險（e-risk insurance）等。

（一）美國

蘇黎世北美保險公司（Zurich North America）早在1999年就在美國推出了“E-Risk保險”（E-Risk Edge或E-Business Insurance），專門針對由于感染病毒、非法入侵、網上攻擊（DOS）等導致業務陷入癱瘓并給企業帶來巨大經濟損失的情形。該保險的承保范圍包括：未經授權而侵入數據或軟件，計算機病毒導致數據丟失或系統損傷，對系統的攻擊導致履行不能或無法進行線上業務的操作，侮辱、誹謗、詆毀、侵犯他人著作權和公開私人信息，盜竊金錢、有價證券、數據、軟件或計算機資源，電子商務敲詐勒索等[11]。目前，美國本土有30多家保險公司提供網絡保險產品服務。美國國際集團（American International Group，AIG）保險公司于2003年推出網絡保險業務（CyberEdge）。在此之前，美國境內也有保險公司在被保險人受到黑客攻擊時依據“商業損失”或“故意毀壞財產”條款給予一定賠償，但在保險條款中都沒有具體明確包括有黑客攻擊。而且通常情況下這樣的保險費用都是10萬美元起步，有時可高達300萬美元。專門的網絡保險業務剛剛推出的時候并不被看好，但就在2003年年中包括Yahoo、Amazon和eBay等大型網站相繼被黑客侵襲之后，互聯網保險業務馬上受到重視，AIG當月的保險業務就增加了四到五倍[12]。AIG提供的保險范圍包括：由于網路安全或數據的侵入而造成的第三人損失，侵入導致直接受害人花費的費用，由于網路安全或數據的侵入而造成的收入喪失和營業費用，以公開數據或攻擊系統相威脅進行敲詐勒索，網絡誹謗和侵犯版權、商標權等[13]。

美國的網絡信息安全保險在其國內以至全球市場都占有優勢地位，這與其國內法和政策的促進密不可分。自2002年開始，美國各州逐漸通過了《違反安全通知法案》（Security breach notification laws），目前已有48個州通過。該法案專門針對越來越多的含有個人可識別信息（personally identifiable information）的消費者數據庫的數據泄露，要求任何實體在發生數據泄露時應及時通知其客戶和其他相關方，并且采取措施以彌補由于數據泄露而導致的損害。且各州均對違反該義務規定了不同數額的罰金[14]。2013年2月，美國時任總統奧巴馬在國會未能通過《網絡情報共享和保護法案》（Cyber Intelligence Sharing and Protection Act，CISPA）該法案后于2012年4月在眾議院獲得通過，而另一類似法案——網絡信息共享法案Cybersecurity Information Sharing Act （CISA），則于2014年7月進入參議院。之后，簽署了一項呼吁私營公司為政府在一些國家“網絡威脅”情況下分享信息的命令，并于同年8月對外公布了該項命令中將要實行的一些激勵措施。其中，對美國多個機構指定的首要措施則是建立一個具備一定競爭力的“網絡保險市場”，讓私營公司愿意加入到“減少網絡威脅行動”中此次激勵措施將涉及到的內容有聯邦補助金、加快從私營公司獲取技術協助、限制責任范圍以及公眾對將參與其中公司的知情權等。（參見http：//rt.com/trends/cispa-bill-internet-freedom/）。2015年4月，奧巴馬又簽署新的執行命令，授權總統可以針對網絡攻擊發出緊急命令，對在美國境外的黑客，可凍結其銀行賬戶。同年12月，美國國會通過了《網絡安全信息共享法案》，目的在于黑客攻擊的情況下促成情報交換更為即時快速，以加強網絡防護。正是由于這些法案中的強制性規定，促使美國許多公司面臨越來越嚴格的信息安全保障義務和與此相應的更大的責任風險，因而越來越多的公司購買了信息安全保險，以便在發生損害賠償責任時轉移風險，并強制性上報相關情況。此外，保險公司在得到這些報告后，可以利用大數據進行專業分析，從而了解網絡安全風險級別，制定更加合理的保險定價，使保費的價格越來越合理[15]。

（二）歐盟

英國目前有大約15家保險公司專門提供網絡信息安全的保險險種。1999年，英國倫敦勞埃德（Lloyd）保險公司為康特派恩（Counterpane）計算機安保公司提供保額一億美元的“黑客保險”（Hacker insurance），專門針對由黑客攻擊而導致的公司及其客戶的損失[16]。康特派恩公司并因此宣布，其將成為第一家保證在黑客侵入其防衛系統并竊取用戶的資料時，向用戶提供直接賠償的互聯網安保服務提供商。這一保險不針對家庭用戶，而是諸如Yahoo等互聯網服務提供商。這一措施將與事先監控共同構成避免黑客威脅的手段。在保費方面，一年2萬美元可獲得100萬美元的保險金額，7.5萬美元可獲得1 000萬美元的保險金額，至于附加險高達1億美元的保險金額所需的保險費價格，則需要與勞埃德保險公司協商。盡管有分析人士指出，未來十年內，伴隨著電子商務的增長，黑客保險市場每年的保費預期將達到十億美元以上，但保險公司望而卻步，主要原因是現有技術和方法難以估量這一保險所面對的風險[17]。

德國網絡保險市場近年來發展迅猛，2013年有三大保險公司提供了新的網絡保險條款，2014年又有新的“供應商”加入網絡保險產品行列[18]。在整個德國市場上，現在僅有12家保險公司專門提供網絡信息安全保險，相對于網絡信息和電子商務的發展而言，顯得明顯不足[19]。同時，德國網絡保險市場至今依然表現出由英美大型工業保險公司所占據的特點[20]。德國本土的保險公司中，安聯保險公司（Allianz Global Corporate & Speciality， AGCS）于2013年7月推出了名為“網絡保護”的保險（Cyber Protect）；緊接著，瑞士蘇黎世保險公司便迅速推出了“網絡與數據保護”保險（Cyber & Data Protection）；HDI-格林工業保險股份公司（HDI-Gerling Industrie Versicherung AG，HDI）也緊隨其后出臺了“網絡+”（Cyber+）保險[21] 。

歐盟出臺的信息安全立法《歐洲數據保護規定》（Europes General Data Protection Regulation，GDPR）規定了在個人數據泄露情形下向相關數據保護監管機構的通知義務，要求“不得無故拖延，并且在可行的情況下，在知悉數據泄露之后72小時之內作出”；當個人數據泄露可能導致自然人的權利和自由面臨高度風險時，應當立即通知數據當事人；如果該主體認為不存在這樣的風險，監管機構認為存在，則有權要求該主體履行通知義務。GDPR同時規定了罰金規則：怠于履行通知義務的主體可能遭受最高1 000萬歐元或該主體上一財年全球年度營業收入的2%（兩者取數額較高的）的行政罰款GDPR第33條、第34條及第83條的相關規定。（參見http：//data.consilium.europa.eu/doc/document/ST-5419-2016-INIT/en/pdf）。遺憾的是，歐盟的這一數據保護規定要到2018年5月才正式施行，因而其對于數據安全保險的促進作用仍處在“潛伏期”。

（三）印度

在印度，各保險公司正積極開拓網絡信息責任保險市場。巴賈杰安聯一般保險公司的做法是把網絡責任險作為其專業責任保險的附加條款，將涉及到由計算機病毒、誤傳、誹謗、違反保密協議、侵犯知識產權等相關風險所引發的第三方索賠納入其中。印度工業信貸倫巴德一般保險公司將網絡責任險作為錯誤和遺漏保險的附加條款投保，同時也作為獨立的網絡責任保險投保。目前，該公司已正式接受IT業的咨詢。印度各保險公司均十分看好網絡責任險的發展，認為“銀行業、金融服務和保險業、醫院、旅游公司、教育機構，以及零售業巨頭等其他行業開始感覺到對這種保險的需求只是時間問題”[22]。網絡信息責任保險的保費通常位于每投保100萬美元收取5 000美元到1.5萬美元之間，高出其他保險10%～20%的費用。但各家保險公司都認為考慮到所涉及的風險，這樣的定價非常合理。但就保險范圍而言，又將未經許可發送電子郵件、搭線、竊聽、欺詐等行為，以及未能維持符合要求的計算機安全等行為排除在外。比較有特色的是，塔塔美國國際集團一般保險公司推出的責任保險規定：如果主管或高級職員受到忽視網絡安全風險的指控，而這種疏忽又造成了一定損失的，那么針對主管或高級職員的索賠將被列入主管和高級職員保險單的覆蓋范圍內[23]。

（四）我國信息安全責任保險的發展現狀

2013年底，蘇黎世保險公司開始在中國推出安全與信息保護險[24]。蘇黎世保險集團推出的此項保險是針對企業用戶研發的產品，承保標的主要是企業內部存有的機密商業信息、客戶信息和雇員個人信息等。如果公司的計算機安全系統遭到惡意攻擊，導致企業保管的客戶信息或公司內部信息泄露造成的財產損失，均可獲得賠付。此外，該保險公司對于投保企業的董事、高管或員工在工作期間，因過失丟失或意外泄露客戶和企業的信息所造成的損失或責任也可獲賠。如公司職員出差期間將存有客戶資料的筆記本遺落在飛機或者出租車上，也可通過保險公司申請賠付[25]。此類保險還涵括由于網絡受到攻擊而導致的營業損失和系統恢復費用。如某淘寶網店因為黑客攻擊導致其網站無法登陸，銷售無法進行，那么其在營業中斷期間遭受的損失以及恢復系統的費用都可以得到保險賠償。但是，這款保險的保費價位相對較高，保險公司會根據賠償限額的高低和風險因素進行考量，年度保費從幾萬元到上百萬元人民幣。另外，投保前蘇黎世保險公司還會考量投保人的年營業收入、所保管的信息類別和數量、信息安全防護等級、內控制度、司法管轄范圍以及過往損失記錄等[25]。

2014年6月，最高人民法院發布《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》，其中第十二條規定網絡用戶或者網絡服務提供者利用網絡公開自然人個人隱私和其他個人信息，如基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等，造成他人損害的，可以構成侵權責任。且這兩類主體若以違反社會公共利益、社會公德的方式公開某些已合法公開或合法獲取的個人信息，或者公開該信息侵害權利人值得保護的重大利益，也可能構成侵權責任。2016年頒布的《網絡安全法》第二十二條規定，網絡產品、服務的提供者發現其網絡產品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。并在第二十五條針對網絡運營者在發生危害網絡安全的事件時也規定了要采取補救措施和報告義務。值得注意的是，《網絡安全法》在“法律責任”一章專門針對違反上述兩條的情形規定了對單位和負責人的罰款數額。以上規則的出臺對國內相關信息主體的信息安全義務及報告義務做出了強制性規定，一定程度上促進了國內企業及相關主體對相關風險的認識，部分企業開始意識到風險分散的必要性。

2016年初，我國的保險公司推出了數據安全險，專門針對黑客盜取云計算數據進行保險。一旦發生因黑客入侵引發的數據泄露事件，保險公司將提供最高100萬元的現金賠償。賠償標準基于用戶的投保費用和實際損失進行界定，主要保障的是用戶云服務器上存儲的數據。因黑客攻擊導致數據公開給企業造成的直接經濟損失，因黑客攻擊導致數據在第三方網站、論壇、媒體公布給企業造成的品牌損失，因黑客攻擊導致企業數據泄露，被最終用戶索賠的損失等都在理賠范圍內。盡管分析家們都預測在信息安全保險這個領域可獲保費利益十分巨大，甚至有專家表示這一責任險在不久的將來會超過董事責任險而成為各保險公司責任險中最大的保費收入來源[24]，但保險公司對于該項保險依然持相對保守的態度，究其原因是保險法學界普遍對于信息安全風險的可保性問題，風險的估算、損害的計算等問題尚未展開討論，業界亦欠缺先前經驗可供參考。

四、信息安全責任保險制度構建難點

（一）網絡信息風險的可保性問題

在可保風險的認定標準問題上，加拿大保險局（The Insurance Bureau of Canada，IBC）認為必須滿足三個條件[26]：第一，相對較大數量的人面臨風險，第二，任一小部分面臨風險的人在不特定任何時間可能蒙受損失，第三，損失是隨機發生的。對于第一個條件，隨著現今網絡服務的普及，商事、消費者乃至公共服務領域均已深度覆蓋，信息安全風險的廣泛性早已在各國信息泄露事件中得到充分揭示。而依據第二個條件的定義，則諸多網絡信息安全風險，包括千年蟲事件[27]在內，是否能被納入可保風險的范圍值得懷疑。網絡信息安全風險的特殊性在于，雖然可能會面臨損失的網絡服務提供商數量很大，但受損害的第三人的數量可能會更大，而不像傳統的責任險那樣，第三人損害相對來說范圍可以確定。如如家、漢庭案件中，網絡技術的提供者因其系統存在漏洞，直接導致所有客戶均成為受害人，而泄露的信息又是所有客戶網站消費者的信息，這其中的損害是疊加的。也就是說，網絡信息安全風險一旦發生，從損害擴展速度和波及范圍上而言，可能超過傳統意義上幾乎任何類型的保險風險。由于網絡產品提供者的數量足夠多，且不同提供者的產品和服務之間相互獨立，故保險公司完全可能通過大數法則來實現風險的分散。對于第三個條件，雖然多數風險都是由于人為原因，即黑客利用存在的漏洞而竊取信息和數據，但客觀上風險的發生依然是隨機性的，在同一時間，通常只有部分特定漏洞誘發的風險會有損失，因此保險人可以實現風險的分散。從現有歐美保險市場上信息安全責任險的發達也可推知，信息安全風險并非不具有可保性。

（二）信息安全責任的風險估算

除了上述可保性的三個要件之外，作為可保風險，還必須具有可評估性。對于信息安全風險如何計算這一難點問題，其實可以將網絡信息安全的風險與現有責任保險中的風險類型相比較。比如，許多討論者會將網絡信息安全保險的風險與機動車保險中的風險相類比，認為二者具有類似性，保險公司的分析師卻指出了兩者的不同：在機動車保險領域，保險公司有足夠大的市場足以分散風險，相對于眾多的被保險人而言，只有少數的隨機保險事件發生，而在網絡風險領域，風險和保險需求并不匹配；另外，機動車責任險領域已有相對可靠的實際數據可供計算可能的潛在損失，而網絡信息安全事件尚須數年的歷史數據作為支撐，才能估算出潛在損失，并以此進行更為具體的保險安排。保險公司的一些分析師也認為，網絡信息安全風險可能更類似于巨災保險所面臨的風險，因為這兩種風險都是極有可能在其發生時連帶諸多行業同時遭受損失或損害[26]。德累斯頓工業大學計算機科學系系統結構研究所Rainer Bhme教授在一份報告中指出，雖然在許多保險產品的供給一方看來，由于缺乏信息安全事件的足夠數據，使得這似乎更像是一種藝術而不是科學，但無論從風險的來源還是風險的產生來看，都不能把信息安全事件的風險與過往的傳統保險風險相等同，因為現今電腦聯網的現狀將會造成不必要的關聯索賠。正因為各保險公司在可能面臨的網絡信息安全保險事故的風險問題上，沒有更多的數據和更好的方法進行計算，所以我國的保險公司在這個市場上普遍還沒有明確的行動，德國等國家的保險公司對此也相對保守緩慢。

對于這一問題，除了市場經驗與數據的積累外，各國在信息安全方面的立法與司法情況也具有至關重要的借鑒作用。在英美等這一險種較發達的國家的市場上，雖然最初保險公司在設計此類保險時，費用相較于其他保險要高出不少，但伴隨著依據法律規定各信息的管理實體及服務提供者在發生信息泄露時的通知和報告義務的履行，保險人獲得了大量較為準確的第一手信息，能夠做到越來越準確地對風險進行評估；相應的，對于不同的被保險人也可以更為妥當地確定其保險費率。也就是說，信息安全責任的風險估算對于保險人而言，在數據日漸充分的條件下，是可以逐漸成熟化解決的問題。

（三）網絡信息安全責任的損害認定

網絡信息安全風險中重要的一環是系統侵入和信息泄露后所造成的損害認定。在此所考慮的問題并非單純涉及受害人的舉證，還有因果關系的認定，網絡環境無形、交錯、難以捕捉、專業性等特點，使傳統侵權法中本已錯綜復雜的因果關系理論變得更為復雜和困難。在損害程度認定方面，比如AIG等公司的保險條款中就明確了因網絡安全或數據侵入而造成的收入喪失和額外的營業費用。另外，許多此類保險不僅包含對以公開數據或攻擊系統相威脅進行敲詐勒索而賠償的，而且包括網絡誹謗和侵犯版權、商標權等相關損害和責任。此類損害都是直接致害，一般而言屬于典型的保險范圍。但是也有比較寬泛的對信息安全的保護，比如蘇黎世保險公司在世界各地推出的保險中，大多涵蓋對于投保企業的董事、高管或員工在工作期間，因過失丟失或意外泄露客戶、企業信息所造成的損失或責任。更復雜的問題是，如果是基于首次的信息受侵害而公開事件造成的二次損害或如前文所述屬于疊加、次生或受牽連而發生的損害，又該如何判斷呢？這些在保險中是否應該涵蓋，保險人在設計保險范圍時也必須考慮。更為特殊的是，是否造成實際的經濟損失，如果只是騷擾電話、廣告推銷等情形，是否構成對生活安寧的侵擾，在不同國家不同的立法背景和司法環境下可能都會有不同的認定。若此類精神損害能夠得到認可，保險金額的確定也必然會受到相應的影響。對我國境內的保險公司而言，最高人民法院在2014年10月出臺的《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》，無疑是對風險和損失進行估算的重要依據。

（四）強制責任保險的必要性

強制責任保險是伴隨著現代社會危險責任的產生和擴大而發展起來的。強制責任保險從某種意義上而言是國家對個人意愿的干預，所以強制保險的范圍受到嚴格限制：必須由法律、行政法規明確規定。然而，從最為基本的層面來看，網絡信息安全在一定程度上是關涉公共利益的。首先，迄今為止任何一個網絡信息安全事件的發生，受損害者都是一定范圍甚至是很大范圍內的不特定人群。其次，從侵害的權益而言，無論將信息安全解釋為一個獨立的權利，還是借用隱私權的概念，或者引入生活安寧權等，不可否認的是，這一權益伴隨著現代社會科技的發展將逐漸顯現出其對于個人生活、財產安全、精神安寧的高度重要性。此類網絡信息的侵害，當屬對公共利益的侵害無疑。

更為重要的是，受攻擊的主體不僅包括企業、公司，還有醫院、國家機關等一切數據信息的保有者，而后者通常所保有的信息都直接涉及個人隱私，這些信息都是基于網絡而存儲，再加上各機關、機構之間進行信息共享，并且基于互聯網給公眾提供更多信息化服務的現實趨勢，必將使得這些信息更多地暴露于網絡風險之下。再加上這些主體的清償能力在大規模的侵害面前是十分有限的，甚至對大量機構而言可能還會引發國家賠償。這一方面對于受損害第三人的權利增加了獲賠難度，另一方面對國家機關而言，也是不能承受之重。因此，在關系公眾重要隱私信息領域，將網絡信息安全保險設定為強制責任保險非常必要。當然，從立法政策層面看，無論在哪個程度上推行網絡信息安全的強制保險，都將會對整個行業以至市場結構造成影響，這必然成為天平的另一方[28]。五、結論：信息安全責任保險構建已逢其時互聯網至今已深度融入社會生活，網絡信息安全事件近年來在國內外呈爆發之勢，且發生范圍逐漸從商業領域擴展到消費者乃至公共服務領域。雖然大規模的網絡信息安全事件訴訟索賠在我國尚不多見，但未來已可預見，為此，有必要建立信息安全責任保險制度。信息安全責任保險在境外各國保險市場均已有較長時間的實踐發展，如美國、英國、瑞士、德國甚至印度的保險公司，都有豐富的實踐經驗。而我國的保險公司對網絡信息保險依舊持謹慎保守的態度，對于信息安全風險可保性問題，風險的估算、損害的認定等問題尚存疑慮。對此，通過上述討論可知，信息安全風險是完全符合可保性要件的風險；大量的國外保險實踐表明，信息安全風險是可以進行估算的，且伴隨著保險人對風險事件數據的掌握和充分的保險市場的競爭，這種評估在未來將會日益成熟，相應的保險費率的確定也會更加妥當；在信息安全責任的損害認定問題上，需要依賴更多的司法裁判來確定。另外，在關系公眾重要隱私信息的領域，將網絡信息安全保險設定為強制責任保險有其必要性。我國未來對于個人數據信息的保護機制必將更加完善，而保險作為社會風險分散的重要工具，對于網絡時代的信息安全與社會治理、維護個人權利與安寧、推動“互聯網+”背景下行業與市場的規范與穩定發展都必將發揮其有益功能。

參考文獻：

[1]朱靖琰，王超.網絡實名制的是與非——基于建構網絡公共領域的視角[J].重慶郵電大學學報（社會科學版），2014（1）：50-54.

[2]華劼.移動互聯網時代個人信息隱私保護[J].重慶郵電大學學報（社會科學版），2017（5）：40-47.

[3]2017年中國網頁篡改現狀及被攻擊網站數量統計[EB/OL].（2017-08-08）[2017-12-31].http：//www.chyxx.com/industry/201708/548322.html.

[4]中國網民權益保護調查報告（2015）[R/OL].（2015-07-22）[2017-11-25].http：//www.scio.gov.cn/zhzc/8/5/Document/1441916/1441916.htm.

[5]中國互聯網協會.中國網民權益保護調查報告2016[R/OL].（2016-06-22）[2017-11-25].http：//www.isc.org.cn/zxzx/xhdt/listinfo-33759.html.

[6]周學峰.侵權訴訟與責任保險的糾結[J].清華法學，2012（2）：83-101.

[7]張梓太，張乾紅.我國環境侵權責任保險制度之構建[J].法學研究，2006（3）：84-97.

[8]周學峰.論責任保險的社會價值及其對侵權法功能的影響[J].甘肅政法學院學報，2007（5）：108-112.

[9]王新雷.網絡安全保險法律政策的路線圖[J].政法學刊，2011（2）：15-21.

[10]Aon Benfield. Reinsurance Market Outlook[EB/OL].（2016-09-11）[2017-11-25].http：//thoughtleadership.aonbenfield.com/documents/20160911-ab-analytics-rmo.pdf.

[11]E-Business Insurance from Zurich North America[EB/OL].[2017-10-23].https：//secure.zurichna.com/erisk_edge.htm.

[12]AIG eBusiness Risk Solutions Expands Coverage Against Cyber Security Threats[EB/OL].（2003-05-06）[2017-11-28].http：//www.businesswire.com/news/home/20030506005705/en/AIG-eBusiness-Risk-Solutions-Expands-Coverage-Cyber#.VFvEaNFxn3g.

[13]CyberEdge Insurance Coverage[EB/OL].[2017-11-20].http：//www.aig.com/CyberEdge_3171_417963.html.

[14]Baker Hostetler. State Data Breach Law Summary[EB/OL].（2017-11-29）[2017-12-08].https：//www.bakerlaw.com/files/Uploads/Documents/Data%20Breach%20documents/State_Data_Breach_Statute_Form.pdf.

[15]董峰，李路斌.我國發展網絡安全保險任重道遠[N].中國保險報，2017-07-21.

[16]Associated Press.Lloyds to Back Hacker Insurance [N].Los Angeles Times，2000-07-10.

[17]Lloys of London offers Internet hacker insurance[N].The Florida Times Union，2000-07-11.

[18]ALLERDISSEN H J. Lage und Entwicklung der deutschen Versicherungswirtschaft aus der Sicht des DVS Deutschen Versicherungs-Schutzverbandes e.V.Rede anl？sslich der ordentlichen Mitgliederversammlung am 9.5.2014[EB/OL].（2014-05-09）[2017-11-27].http：//www.dvs-schutzverband.de/aktuelles-2014-PM-Lage-und-Entwicklung-Artikel-de.php.

[19]UMAR C.Der Cyber-Versicherungsmarkt in Deutschland[M].Wiesbaden：Springer Gabler，2014：1-2.

[20]Gesamtverband der Deutschen Versicherungswirtschaft e.V.2014.Die Positionen der deutschen Versicherer 2014[EB/OL].[2017-10-17].http：//www.gdv.de/wp-content/uploads/2014/04/GDV-Politische-Positionen_2014_nn.pdf.

[21]BEHRENDS J. Cyber-Versicherungen haben eine groβe Zukunft. Versicherungswirtschaft 02/2013，68.Jahrgang，15.1.2013，24-25[EB/OL].（2013-01-15）[2017-10-17].http：//www.aon.com/germany/risk-services/cyber_risiken/versicherungswirt-sch-aft_02_2013.pdf.

[22]印保險公司開拓網絡責任險市場[EB/OL].（2013-07-01）[2017-10-20].http：//www.secdoctor.com/html/hwlf/24274.html.

[23]劉志敏.網絡責任險漸成印度新寵[N].中國保險報，2013-07-01.

[24]冷翠華.信息泄露第一案若勝訴將引訴訟潮 責任險潛力或爆發[N].證券日報，2014-01-23.

[25]蘇長春.外資險企國內首推安全隱私保護險[N].北京商報，2013-11-14.

[26]PAUL K， MELISSA M， ROBERT S. Cyber-Incident Risk in Canada and the Role of Insurance[R].Toronto：Institute for Catastrophic Loss Reduction，2004：3-8.

[27]ROSENBERG J. The Y2K Problem： A Computer Glitch That Scared the World[EB/OL].（2017-08-29）[2017-10-20].http：//history1900s.about.com/od/1990s/qt/Y2K.htm.

[28]李媛.共識與爭議：個人信息保護的價值目標[J].重慶郵電大學學報（社會科學版），2016（3）：59-64.

Abstract：“Internet-based” information security issues surging with extensive damage and serious consequences with the development of Internet. Lots of network information security incidents litigation claims already been seen in China and large-scale litigation claims are foreseeable in the future， which would be a huge blow to the Internet-related companies and the industry. To tackle such risk， the network information security liability insurance is a crucial option. Information security liability insurance has been developing for a long time with mature and feasible practice in the insurance market of many countries， such as the United Kingdom， Switzerland， the United States， Germany and India， while absent in China. Network information security risk is insurable； it can be estimated， and the estimation will develop well as practice cases accumulated. While identification of the consequence of damage and insurance scope should comply with legislation and jurisdiction. For the fields concerning information of public privacy， mandatory liability insurance should be set up. Its the right time to build up the system of network information security liability insurance.

Keywords：“Internet +”； network information security； liability insurance

（編輯：李春英）