海事網絡安全風險保險的法律治理研究

海事網絡安全風險極為特殊的特征和影響對象帶來了嚴重的社會安全隱患，其風險內容和特征亟需對現有的海上保險風險治理體制作出系統化的全面再審視。在統籌內外部治理規則的基礎上，應當進一步明確海事網絡安全風險在涉海保險中的概念體系和地位層級，優化我國保險合同對承保風險的具體約定及其解釋規則，并以構建我國保險市場監管與風險的多元分散結構為基礎，完善對海事網絡安全風險的治理體系。

在全球網絡進入“大安全”時代的背景下，網絡安全①已經不再局限于網絡本身的安全，它是社會安全、基礎設施安全、城市安全、人身安全等廣泛意義上的安全，也是國家安全的基礎。“它強調了在危急關頭為國家、組織、個人策劃和實施網絡空間安全的戰略性和關鍵性本質。”［1］(P15)越來越多的網絡安全風險開始顯現并帶來嚴重的社會影響和重大的經濟損失②。

傳統的海上保險一直是保險法領域中的特殊部門，在網絡安全與保險不斷深化融合的時代，結合其他涉海領域的保險安排，實現對海事網絡安全風險的合理分散和有效治理是一個巨大的現實挑戰。與其他行業對待信息與網絡安全風險的態度不盡相同的是，在海事領域網絡安全風險并沒有得到足夠的重視［2］（Piv-v,P1-3），至少在實踐中對網絡安全風險這種新興風險進行單獨保險，或者增加附加險條款并不是海事領域相關主體常見的做法。盡管近年來在實踐中已經發生了多起針對海事行業的網絡風險事件③；與經濟學中的“比索問題”類似，ENISA認為“在整體上缺乏直接的經濟誘因”是海事領域網絡安全環境難以改善的原因。［3］（P16）在數字經濟加速發展，自主創新推進網絡強國建設的指引下，全球的互聯網治理需要越來越多的中國聲音。海事網絡安全作為網絡安全和連接社會經濟發展動脈的重要環節，在我國法律體系下如何認識和分散海事網絡安全風險，并在此基礎上推進國際網絡安全治理體系的變革，加強“數字絲綢之路”合作，建構并完善法律治理體系是一個亟待解決的問題。

一、網絡風險與海事網絡風險的法律內涵

通常，對風險概念的界定直接影響著保險單或者保險條款中對承保范圍的解釋，但很難對網絡風險下一個確切的定義。網絡風險本身是一個集合性的概念，廣義的網絡風險指的是大量的、不同來源的、通過網絡或信息技術影響個人、企業或社會有形的或無形的信息或財產的風險集合。“網絡”（cyber）一詞是“網絡空間”（cyberspace）的縮寫，來源于單詞“控制論”（cybernetics），衍生自希臘語“領導、操縱”（kubernan）。［4］它通常被理解為一個交互式的領域，由所有的用于存儲、修改和通信信息的數字網絡和硬件組成，包括所有的用于商業、基礎設施以及服務的信息與電子系統。［5］（P3）網絡信息是由網絡產生或改變的、通過網絡傳輸或者儲存的電子數據。在保險法語境下，網絡風險是由對網絡本身或網絡信息侵害其機密性、完整性、可用性［6］［7］（P974）或可追溯性［8］（P14,P28）的行為或者事實帶來的威脅④［9］、損害或者責任的可能性。⑤

結合已有的保險和金融實踐，有學者從風險管理的角度提出，在“借鑒”Basel II［10］（P144）和SolvencyII［11］（P43）風險分類框架體系的基礎上，針對個人或公司等私法法律主體，網絡風險可以被認定為是一種“操作風險”（operational risk），⑥并經過進一步分析認為“操作性網絡風險”（operational cyber risk）可以被識別并歸納為以下四種（成因）：（1）人為因素；（2）系統和技術故障；（3）內部進程錯誤或失效；（4）外部事件。［12］（P1）在上述風險框架體系中，“操作風險”通常包括國家風險⑦、法律與監管合規風險、模型風險、政治和主權風險以及估值風險。也有學者認為“信用風險”（reputational risk）也是“網絡風險”的重要內容之一。［5］（P3-4）

網絡空間治理具有跨領域、多元性、高度復雜等特點；網絡風險在針對不同的對象和不同的領域會有不同的具體表征，海事網絡風險就是網絡風險在海事相關領域的具體體現，對其主要保險法律特征可以做如下分析：

(一)受影響主體及法律關系的廣泛性

行業信息化是海事領域重要的發展方向。我國的“網絡強國戰略”“中國制造2025”“互聯網+”，都對行業智能化、信息化和網絡化提出了較高要求。在物流運輸和生產工具越來越自動化，并依賴以云技術、大數據技術和現代工業控制系統［13］為代表的信息數據系統的情況下，海事相關行業幾乎全領域無一例外地暴露在日益凸顯的網絡風險之下。海事各個領域之間也隨之構成了一個相對獨立于其他社會子結構的網絡風險次環境。海事行業內部行為習慣的相似特征，進一步導致了相似的具體網絡風險容易在行業內部通過信息的交互與共享發生擴散，能夠在較短的時間內給社會帶來重大影響，即在一定行業范圍內表現出了系統性特征。盡管尚未在海事領域帶來行業性甚至社會性重大損失的案例，網絡風險是一種“系統性風險”也已經成為保險業內的共識。［14］［15］（P29）這些影響往往是跨地域性的，而物聯網和通信技術的發展正帶來這些影響在海事領域加速傳播和變化的可能性；同時如航運聯盟、共艙協議之類的業務合作協議擴展了海事主體間局域網絡互聯的廣度和深度；所有與網絡相連接的個人或其他實體，以及領域內的服務、數據、網絡、設備、設施等都是海事網絡風險潛在的影響對象；其可能侵犯的權利和法益涵蓋從生命安全、隱私權到一般財產權、知識產權甚至公共安全等非常廣泛的領域；在資金密集型的海事行業內數種法律風險疊加，法律與技術問題和貿易政策“共振”，數據法律責任層出不窮。［16］（P117-118）從海事行業內部劃分的角度，最容易受到網絡風險威脅的行業主要是海洋能源、海事交通運輸和海事信息服務領域。［17］［18］面對網絡風險如此廣泛的影響范圍，能否在法律層面準確通過保險分散某些特定網絡風險對特定主體帶來的威脅將在很大程度上取決于雙方在保險合同中對承保風險、損失與責任的約定。

除了傳統的海事領域的活動主體外，與海事活動相關聯的互聯網中介組織以及一些對海事網絡安全設備提供認證與監管的受認可的組織（RO）都有可能成為海事網絡風險新的風險點。除故意行為之外，設備制造商、供應商、RO及其雇員的疏忽和過失也有可能成為海事網絡風險所致損失的責任方。但在不同法域的實踐中，對其規定不同的責任形式和具體的判斷標準為通過保險分擔其責任范圍和具體的責任內容創造了極大的不確定性。互聯網中介組織針對用戶個人數據信息保護的責任日趨多樣化。［19］（P136-140）部分地區的立法和判例已經確定了對其履行網絡中介行為時合同責任的限制［20］（P58-62）和免責事項的規則⑧，但整體上仍然非常分散，有限的立法集中于知識產權保護領域，涉及互聯網中介組織的一般財產權侵權和合同責任的內容較少。

(二)風險損失成因的復雜性

海事網絡風險的特殊性從成因看主要表現在兩個方面：首先，網絡作為一種新的媒介形式為傳統風險的傳播提供了新的途徑和方法，如海盜利用網絡漏洞或GPS引導船舶駛入危險區域并實施劫持［21］（P106-107）；其次，網絡本身也帶來了新的損失和風險類型，作為單獨原因或者多個原因中的一個或者數個導致保險事故。前兩個方面的特殊性還可能進一步結合，如將傳統機械系統置于計算機或算法的控制之下，網絡與物理系統發展的不同步與其在設計制造領域的割裂共同為某些事故的發生帶來了可能。“在傳統的物理世界中，安全計劃通常基于某種假設，即事故發生的可能性是偶然的。如果兩個關聯因素在情況變得危險之前失效，發生災難性事故的可能性就會進一步降低……但惡意軟件的設計目的是讓所有相關因素一次性失敗。”［22］

結合前述論文對“操作性網絡風險”成因的識別，有必要從是否存在故意行為的角度，結合已有的可保風險和責任的分類，將海事網絡風險損失產生的原因區分為非故意事件和故意行為兩種［23］（P52-60），故意行為仍是最主要的原因。具體分類參見表1。

從海事網絡風險損失成因的發展趨勢看，船用系統的自動化與系統集成程度增加進一步擴大了該風險的影響范圍，可供聯網的雙向或單向數據傳輸的信息系統或者操作控制系統（IT and OT system）都成為重要的風險侵害對象⑨［24］（P16-21）；一些船舶開始提供以Wi-Fi為代表的局域網絡接入服務以及電子娛樂系統、射頻識別設備、船基與岸基的設備與系統之間缺乏必要安全區隔的現狀等都增加了船舶設備面臨網絡風險的可能。網絡攻擊由單純的網絡侵入轉變為通過社交工程學、暴力算法破解和技術入侵等，針對數據與系統的攔截、偽造、修改和破壞的多種手段并用［25］（P4）；黑客在針對特定目標攻擊時形成了“前期偵查—確定目標—侵入網絡或系統—獲取目標信息/進行攻擊”的范式。另外，網絡本身越發普遍的社會工具屬性也導致其可能成為其他風險的行為手段，如恐怖主義或國家行為等，這在更深的層面上擴展了海事網絡風險所致損失原因的復雜性。

表1 海事網絡風險損失的一般成因

(三)損失與責任的多樣性

在尚不討論其在不同法域的法律、商業和監管環境中合法性與可保利益是否存在的前提下，海事網絡風險可能帶來的具體損失和責任非常繁雜。網絡風險的跨領域特性使得其有可能將原來并不關聯的數種傳統風險連接并形成新的風險類型或者風險鏈條，通過特定地理區域劃分風險類型的一般標準得到重塑，它對海事全行業全過程的滲透性從客觀上導致了一個統一的、對海事網絡風險相對集中分擔的保險機制無法實現，在此基礎上相應的保險法律治理結構也無法實現。但網絡風險與傳統海上風險的結合過程又不可逆，網絡風險在一定程度上的聚合性導致了傳統海上風險的內容的泛化和異化。如海上風險在與網絡風險結合之后，就需要根據航行與網絡風險的結合程度和內容去討論其所面臨的風險是否具有“外來性”特征的風險；當船舶導航系統被入侵后可能帶來船舶本身適航性［26］或航程合法性問題存疑；當網絡風險與海盜行為結合時，對網絡贖金的支付行為是否符合與傳統海盜風險下贖金支付具有法律上的相當性⑩［27］（P25-26）［28］（P96-97），以及贖金支付是否符合被保險人試圖減小損失的合理支出，并請求保險人通過施救費用承擔賠償責任也同樣存疑。雖然在業界已經有互保協會開始在綁架與贖金險的基礎上增加了對網絡勒索費用的擴展承保［29］，但相應條款的范圍和解釋仍有待具體案例的明確。

另一方面，網絡風險保險中存在極為繁復的因果關系網。首先，網絡風險能夠直接或者間接導致損失與責任產生，當存在復合原因或介入原因的情況下可能會導致重疊和耦合的關系鏈條，這對保險因果關系理論帶來了新的挑戰；保險人對此直接的應對將會是在保險合同中擬定更為苛刻和限定性的承保條件，或者對承保條款的表述采用偏技術性的措辭。其次，損失的多樣化還體現在時空過程上。一些網絡風險從“接觸”到“爆發”，再到當事人意識到或者發現損失發生，往往存在著未知的時間間隔；網絡風險事故發生的地點不明確，“保險事故”以及損失發生的時間和內容難以確定。這不僅為確定因果關系在時間上的發展階段帶來阻礙，使得發生保險事故后被保險人“及時”履行通知義務的時間不確定，同時也會帶來保險人之間有關保險責任期間的爭議。第三，對網絡風險識別與確定所需要的技術性認知可能會影響網絡風險保險因果關系的判定標準。它會導致通過一般常識判斷難以識別網絡風險事故中的原因、效果及其聯系，為從事實因果關系向法律因果關系轉化的理論帶來挑戰；在對網絡風險缺乏明確認識且合同措辭不甚明確的情況下，它會進一步影響合同條款解釋規則并帶來爭議，保險合同雙方在合同中所達成的合意承保何種網絡風險及其損失將會是一個存在爭議的問題。第四，由于網絡安全帶來的技術性特征，尤其是在某些特殊環境下（主要是人工智能領域）侵權法的歸責原則和責任主體領域仍存在著巨大的不確定性。11

二、海事網絡風險外部治理的法律框架與影響

結合上述對于海事網絡風險的含義和特征分析，其治理將貫穿國際法與國內法、公法與私法等數個層面。基于網絡空間的特殊性和融合性，法律法規和標準規范積極引導新技術的應用并解決其安全困境有賴于內外部治理的協同配合，現階段的外部治理框架由國際法律和行業規則兩個層次構成。

(一)海事網絡安全的國際規則與法律

在國際規則的層面，2018年的《網絡空間信任和安全巴黎倡議》在面對不明確的網絡安全風險時賦予國際規則和習慣法適用的空間，該倡議認為2001年布達佩斯《網絡犯罪公約》是應對網絡犯罪的“關鍵文件”，強調“認識到私營行業的重要參與者在增進網絡空間信任、安全和穩定方面的責任，鼓勵其提出旨在增強數字流程、產品和服務安全性的提議”。這實際上為海事與保險行業主體主動參與網絡風險的多元治理提供了積極的政策信號。

在針對具體的海事網絡安全問題上，IMO海上安全委員會于2017年6月16日通過了《“安全管理系統中的海事網絡風險管理”決議》［30］（P121）并頒布了《海事網絡風險管理指南》聯合通函，從風險管理的角度給出了防范海事計算機網絡攻擊的原則和要求；在參考成員國和船旗國政府規定的同時，應當遵循國際和業界的標準與最佳實踐做法。但該通函并未明確如何評估海事網絡風險的問題，也未能提出一個具有規范性意義的（prescriptive）、“目標導向性”的海事網絡安全要求，或者列明具體的海事網絡事故的管理要求。

在國家或地區的規則層面，美國加州2002年出現第一部有關網絡信息安全保障的法律12，之后有關網絡風險法律規制缺失的情況開始得到關注。隨后，其他國家和地區的有關網絡安全保護的立法開始逐漸出現，如美國2002年《聯邦數據安全管理法》等。為了應對相應的海事網絡風險，美國除公布了《確保運輸部門控制系統安全的路線圖》［31］《關于增強關鍵基礎設施網絡安全的行政命令》《關于關鍵基礎設施的安全與恢復力的總統政策指令》 等重要文件之外，海岸警衛隊（UCCG）也出臺了一系列的文件，包括《USCG網絡安全戰略》《海上散裝液體運輸網絡安全框架文件草案》《旅客運輸業務網絡安全框架文件草案》《受〈海上安全法案〉（MTSA）監管的設施應對網絡風險的指導方針》《關于“網絡安全事件報告制度”的政策文件》13等。在歐盟范圍內，除了歐盟《一般數據保護條例》（GDPR）可以適用于船只之外，歐盟《“關于提高網絡和信息系統的共同安全水平的措施”的指令》已于2016年7月對與海事相關的能源、港口、交通服務主體生效并適用14。歐盟成員國也有具體的相應規則、政策和建議，如：法國《船上網絡安全的最佳實踐》《關于海事網絡安全的建議》，德國2015年《網絡安全法》（不適用于船舶），荷蘭2016年《數據處理和網絡安全通知義務法案》，英國1990年《計算機濫用法案》《關于港口與港口系統網絡安全的操作規程》《關于船舶網絡安全的操作規程》，等等。

整體上，這些法案針對有關海事網絡風險的規定仍較為寬泛，缺乏強制性，且規則集中于船舶和港口這兩個現階段最容易受到網絡風險危及的海事領域。對于其他的海事網絡風險，法律仍處于未規定或規定不明的狀態。對海事網絡風險的特征和內涵仍沒有明確的界定或定義表達，關于海事網絡風險對傳統保險法理論的影響仍缺少系統性的研究。

(二)標準與行業規則

從航運業角度，相應的行業標準除了來自一些國際和國家標準化組織的文件之外15，主要是IMO《海事網絡風險管理指南》和波羅的海航運工會（BIMCO）等海運組織共同制定2018年發布的《船上網絡安全指南（第三版）》。

另外，海事行業的個別部門已經通過建立自己的政策和程序開始應對網絡風險問題。如，石油公司海事論壇的“油輪管理與自我評估計劃”第三版新增加了海事安全章節，規定了有關船上和辦公室網絡安全審核要求。再如Rightship檢驗、BIMCO發布的適用于租船合同的“2019年網絡安全條款”也都提出網絡安全措施的要求。這些開放性的標準與行業規范均得到了海事領域的適用，一定程度上為海事網絡風險的管理提供了指引，明確了當事人防范與應對海事網絡安全風險時的責任內容和劃分。但其不足之處是：首先，“何種安全”以及“何種程度上的安全標準”符合網絡安全的定義缺乏統一的標準尺度。以安全與環境立法方面作為類比，針對“安全”，英國法采用的是所謂“盡可能的低”標準或者類似的“在合理可行的范圍內”標準。相比于其他國家則采取的“絕對安全”標準，前述兩者的核心在于所謂“合理可行”。［32］（P712）而在網絡安全領域，類似對安全的界定尚未形成共識，所謂“最佳實踐”的標準僅可為部分的行業實踐提供參照，并沒有法律方面的依據和強制力。其次，從行業整體的角度出發，以上的標準和規則缺乏綜合性，對海事網絡安全缺乏整體性、統領性的界定；這些標準在實質內容上難以影響現階段涉海領域的財產與責任保險中有關保險人和被保險人的義務。通過合同路徑將網絡風險實現由現實風險向法律風險的轉化仍有賴于個案的判斷。

三、海事網絡風險保險——保險治理的現狀與問題

保險合同的條款，尤其是格式條款中對于網絡風險的承保約定，直觀地反映了保險市場對于網絡風險認識的變化過程。盡管極其復雜的成因和多樣化的損失已經使得海事網絡風險有了足夠的“不容忽視”的特殊性和潛在影響，但在實踐中，海事相關領域的保險市場上并沒有專門針對網絡風險的相應保單格式，承保與理賠數據的缺乏導致保險人/再保險人難以構建或者模擬重大損失事件的風險模型。在海上保險中，網絡風險經常作為除外風險被排除，由網絡風險帶來的損失作為保險的除外責任；即便通過商業險“簽回”條款或者單獨保險產品的方式獲得了承保，其保險條件也會相當苛刻；在特殊情況下，個人或者實體為政治、社會或宗教的動機發動的網絡攻擊可能被視為戰爭風險或恐怖主義風險，分別可能由相應的特殊保險予以承保，但網絡風險能否作為原因或介入因素被承認仍有待明確；由網絡風險帶來人身傷亡責任的法律影響也并未得到進一步分析。

(一)格式條款中的風險排除

當前我國保險市場中仍然缺乏針對海事網絡風險定制條款。現有的在“列明風險”條件下通過“填補承保漏洞”的形式使得海事網絡安全風險作為新型風險一般很難在傳統保單中得到直接的明示承保。在保險條款大多依賴翻譯英文條款的現實情況下，中文語境下相關條款中對“網絡”“數據信息”等重要詞語缺乏解釋，網絡風險的范圍非常模糊，對條款采取體系解釋和文意解釋帶來的對網絡風險重復保險和漏保的可能性顯著增加［33］，保險人面臨的逆利益解釋的風險也成倍增加。

對海事網絡風險缺乏認識，有關網絡安全的法律和行業標準以及責任承擔格式條款的缺失共同帶來兩個問題。首先，風險帶來損失與責任的承擔和分擔法律規則不明確，單純的市場選擇將會帶來法律和合規上的不確定性。無論是法律還是市場都無法提供足夠詳細的規則和量化標準，綜合保單中投保方案和保險單的措辭對風險的表述與理解的不一致將導致對特征風險是否承保產生爭議，或者無法獲得保險賠付風險。其次，缺乏確定具體海事網絡風險與損失、法律責任之間的因果關系及其標準。這兩者的明確正是有關海事網絡風險保險法律問題得到解決的前提。當前的涉海保險法律環境下，一旦保險人選擇承保，通過合同確定適當的承保網絡風險就是最核心的問題，而恰恰中文語境下的保險合同及條款的措辭缺乏對網絡風險承保的準確而清晰的表述。這里必須強調的是在與海事網絡風險有關的保險合同中用詞的重要性，包括具體的用詞的選擇，詞語和句式之間的邏輯關系以及詞語本身的含義和范圍。這都會影響合同訂立與爭議發生時對合同內容的解釋。由于并沒有明確的成文法律規定或者判例對實踐中的合同條款和市場規則做出明確解讀，當前的解決途徑可能更需要依賴于更清晰的合同措辭和有效的合同解釋。

(二)商業保險之外的充足保障

海上保險中除了戰爭行為和恐怖主義行為中的網絡風險之外，其他類型的海事網絡風險都可能會被互保協會“生化風險與電腦病毒條款”承保。國際船東保賠協會集團（IG）中的互保協會也為僅為減少賠償責任或者風險的行為帶來船員的人身傷亡的損害和賠償，或者僅為減少由生化與電腦病毒風險帶來的其他保賠責任法律費用及支出，提供了每船最多3000萬美元的特別賠償（special pooling facility）。符合上述標準并由網絡風險帶來的責任將可能通過此種方式獲得補償，當然前提是標的船舶由船東互保協會承保。同樣，自保公司在其承保能力范圍內也可以其承保對象的海事網絡風險進行綜合評估之后提供承保。但這兩種風險分擔的方式在我國的發展仍相當不成熟，導致其市場作用受限。

另外，除了商業保險承保的對于以網絡數據和資金為代表的無形資產的損失之外，網絡恐怖主義風險帶來的物質損失和營業中斷損失還可以通過諸如參加美國的“恐怖主義風險保險計劃”和英國的Pool Re獲得補償。這種由政府主導或政府與市場合作建立的政策型保險機制為有效分擔一部分的海事網絡風險提供了便捷的途徑，彌補了可能的市場承保真空。遺憾的是現階段我國的保險市場并未有類似的實踐。盡管相應的網絡風險可能在我國的出口信用保險、海外投資保險制度和雙邊/多邊貿易投資協定中略有涉及，但針對網絡風險，尤其是海事網絡風險的全部或者部分建立專門保險機構或者由統一的機構（如保險交易所）統籌運營，不僅能夠將該風險的承保有效地與國際保險和再保市場對接，也將同時達到提供完善市場承保、政策支持和統一監管的“三位一體”的針對海事網絡風險的保險治理和保險服務。從長效機制上，此種專門機構的設立也將逐漸明確我國保險法理論中針對特殊風險適用不同風險轉移方式的程序和界限，為豐富保險要素以及多樣化保險工具的創新提供法律理論和實踐的支持。

四、我國對海事網絡風險法律治理的完善

盡管在當前以區塊鏈為代表的新興網絡技術為提升安全、防范風險、彌合信任創造了新的可能性，但網絡安全技術無法取代網絡風險保險，市場的自我治理與保險法律的治理相輔相成。從保險市場的角度，海事網絡風險都應當得到各市場完整而系統的承保覆蓋，這有賴于保險人/再保險人之間的共同合作，為市場提供良好而具備競爭力的承保條件。從涉海行業和企業的角度，深化對海事網絡風險的認識程度，根據對自身的財務和運營連續性的潛在影響量化風險，綜合利用風險管理工具分散風險，增強財務韌性以盡可能減少海事網絡風險的影響。

我國已經對危害計算機信息網絡安全、網絡收集個人信息和用戶隱私保護等方面形成了較為完善的法律和規則標準體系。16參照《智能航運發展指導意見》和《智能船舶發展行動計劃（2019-2021年）》17，應當進一步提升航運服務、安全、環保水平與經濟性，提升網絡和信息安全防護能力，防范智能航運安全風險；以法規、標準、規范制定為重點，加強智能航運法規標準與監管機制建設，加快構建智能航運治理體系。針對本文主要討論的海事網絡安全保險領域，一般民商事法律特別是保險法和海事法領域仍有較大的完善空間。

(一)明確“海事網絡安全”概念

海事網絡風險其概念和內涵的不斷擴張發展，對于傳統的保險法和海上保險法領域有關保險標的、保險利益等基本概念都有著直接的影響。涉海財產與責任保險的保險標的的范圍將不斷得到擴展創新，“無形財產或損失”的內容和范圍需要進一步明確；與海事網絡風險有關的人身保險內容會逐漸增加；海事網絡風險的集聚性和廣泛聯結性特征使得《保險法》規定的“法律上承認的利益”變得更為空泛，在財產保險中保險利益的判斷標準應當進一步結合具體的網絡風險得到明確；對保險利益與險種承保風險內容的一致性和海事網絡風險的合法性要求進一步加深。在行業標準無法解決統一“海事網絡安全”概念的情況下，通過法律明確具體的“安全”的概念和界分標準是一種可行的選擇，至少在保險法層面上為保險合同當事人提供明確的指引。

(二)協調網絡風險保險法律適用

對于跨領域的海事網絡風險而言，其究竟應當被認定為是由《海商法》第十二章調整的“海上風險”還是由《保險法》調整的一般風險，有待法律和司法實踐的明確。海事網絡風險成因的復雜性也影響了告知義務及其標準的問題。在現代保險服務行業和大數據網絡信息的支持下，網絡風險與海事風險的結合雖然不至于使得對海事網絡風險承保時的信息不對稱狀態回歸至現代海上保險的初始形態，但也足夠導致保險人與被保險人之間因不同的風險認知產生爭議。一個是風險內容的不確定，一個是傳統法律規則對新生保險風險和規則適用的不確定。在雙重不確定因素下如何明確被保險人對風險的告知義務將是對保險法律的一個重要挑戰。另外，諸如在海事網絡風險事故發生后如何確認保險標的危險程度“顯著增加”，進而影響被保險人的通知義務及未履行的責任等問題都尚待明確。《海商法》的修訂與《保險法》后續的司法解釋，有必要進一步研究海事網絡風險為保險法理論帶來的系統性問題，并應當在更新與擴展新的法律概念以適應網絡風險［34］（P309）的同時，盡可能地為調整網絡風險帶來的法律問題預留解釋的空間，逐漸推動海上保險法律和實踐中的傳統風險結構和保險合同當事人對風險認知的轉型。同時，互保協會作為重要的利益相關方對分散海事網絡風險上的作用已經得到業內的廣泛認可，明確其在我國民商法和《保險法》中的法律地位將有助于全面完善海事網絡風險的綜合治理結構。［35］（P110-111）

(三)完善保險監管面向

首先是對中介機構的監管。定制化的海事網絡風險保險產品并不單純由保險人或者經紀人做出，在保險合同訂立與履行過程中，專門的網絡風險評估中介機構或者網絡安全服務提供商利用其專業技能向保險人提供與特定被保險人或保險標的有關的、具有操作性的風險或事故分析報告，同時也可以為目標客戶（被保險人）提供網絡風險分析以提升產品品質或商業運營的穩定性。考慮到海事網絡風險的技術性和可能帶來的巨大責任，針對此種風險評估機構在網絡風險保險合同中的重要作用，其法律地位是否應該得到保險監管機構的監管，以及可能由其承擔的責任都是需要由監管機構回答的新問題。其次是對保險條款的監管。一方面，復雜的網絡風險內容要求對中文的保險條款進行更細致的分類或者解釋，在“部分保險產品高度同質化、費率不合理與民眾日益豐富與多元化的保險需求難以滿足之間的矛盾”［36］（P111）日益明顯的同時，細化《財產保險公司保險產品開發指引》中有關保險條款釋義的規則18，在考查國內外保險/再保險市場連結的基礎上強化中英文保險條款的關聯程度，以增強條款審批備案制下網絡風險市場的穩定性；另一方面，網絡風險保險條款存在著大量的保險創新內容，獨立的海事網絡保險單和保險條款作為保險產品是保險人的智力成果的體現，在加大法律保護力度的同時，應適當考慮引入市場化的知識產權保護和激勵機制的可能性。［37］（P97）在當前一般網絡安全法律有可能提升合規成本和影響技術創新與應用的背景下，通過保險法律和保險安排為海事行業提供發展的網絡安全保障。

五、結論

海事網絡風險正日益加深其社會影響的廣泛性和普遍性。現階段對海事網絡風險劃分和再認識的意義并不在于將其定性，而在于從法律上明確其性質和合理的解釋范圍，從而實現有效分散和化解未知風險。在當前已經形成了對海事網絡風險治理的國際規則的框架下，從保險法律層面加深對其風險內涵和特征的認識，并向海事領域的利益相關方普及海事網絡風險安全意識。通過分析現有法律環境下網絡風險與海事風險和其他風險具體結合的表現形式，完善保險法律規則；通過重構與海事網絡風險有關的“海上風險”結構，完善保險條款的內容和解釋規則，實現對海事網絡風險的系統性分散，減少商業保險承保的遺漏和重復；同時通過多元化的保險分擔機制，實現對海事網絡風險的綜合保險治理。

注釋：

①在某些語境下，網絡風險可能是網絡安全風險的上位概念，根據不同的對象，其他的網絡風險還包括網絡犯罪風險、網絡交易風險、網絡監管風險、網絡金融風險等。在本文所探討的保險法律范圍內，將網絡風險與網絡安全風險、海事網絡風險與海事網絡安全風險作為同義詞處理。

②全球防御網絡犯罪的成本約為年均6000億美元，占全球總GDP的0.8%。而且此數字還在因為網絡攻擊者不斷適應更為復雜的網絡防御機制而逐年增加。

③如2017年針對馬士基公司的計算機系統癱瘓、2013年安特衛普港口貨物跟蹤系統入侵、2011年伊朗航運遭受網絡攻擊、類似WannaCry和NotPetya的勒索病毒、針對工業控制系統的TRITON惡意軟件和針對工業終端的Lucky病毒橫行等。

④指一個事件潛在的原因。

⑤它既可以泛指全部或者幾種網絡風險的集合（可以稱其為風險束，bundle of risks），也可以指代某一種特定類型的網絡風險。

⑥中國風險導向的償付能力體系（C-ROSS）中也有類似的規定和定義。見原中國保險監督管理委員會《保險公司償付能力監管規則第10號：風險綜合評級（分類監管）》。

⑦包括但不限于匯率風險、經濟風險、管轄權風險和外匯轉移風險。

⑧如17 U.S.Code §512.Limitations on liability relating to material online; Article 5,Directive 2001/29/EC of the European Parliament and of the Council of 22 May 2001 on the harmonisation of certain aspects of copyright and related rights in the information society,OJ L 167,22 June 2001,pp.16-17; 47 U.S.Code §230.Protection for private blocking and screening of offensive material;Article 12-14,Directive 2000/31/EC on electronic commerce,OJ L 178,pp.12-13; Part VI Liability of network service providers,Article 26,Singapore Electronic Transactions Act 2010 (Cap.88),revised edition 2011。

⑨包括但不限于船舶主控網絡中位于船橋與機艙的電腦和工作站、貨物/集裝箱的溫控系統和追蹤系統、貨物的裝卸和管理系統、船舶智能決策支持系統、船殼信息監控系統、導航系統（包括ECDIS、AIS/LRIT、Radar/ARPA、GNSS/GPS/Compass、GMDSS、VDR、DP等）、貨物積載、管理和監控系統（PMS、IMS）、智能集裝箱系統、通信和安全系統（包括VSAT、VoIP、Stream video、CCTV等）、門禁系統、旅客服務和管理系統、船員行政和福利系統、其他特殊系統等。

⑩在Masefield AG v.Amlin Corporate Member Ltd.案（［2010］ 1 Lloyd’s Rep 509,521）中,英國高等法院和上訴法院兩審均認定向海盜支付贖金既不是非法的行為，也不違反公共政策。同時一審判決指明法院在判斷“同一領域”的問題時會相當謹慎，除非有明確或者緊迫的理由，否則法院將不會把支付贖金的行為認定為違反公共政策。

11歐盟2019《可信賴人工智能道德準則》中除了對“可信賴人工智能”做出了相應定義之外，在對于AI “技術堅固性和安全性” 測試的內容中也涉及有關人工智能環境下網絡安全的評估內容。但這一準則并非法律規則，在人工智能環境下仍無法為侵權責任，尤其是共同侵權情形下的責任判斷和歸屬提供明確的指引，進而導致關涉相應責任與損失的保險法律規則不明。

12見Senate Bill No.1386,Personal information:privacy,2002。

13相應文件見Executive Order 13636:Improving Critical Infrastructure Cybersecurity.February 12,2013.Federal Register Vol.78,No.33,February 19,2013,Presidential Documents；以及Presidential Policy Directive 21 (PPD-21):Critical Infrastructure Security and Resilience.February 12,2013；以及CG-5P Policy Letter No.08-16.14/12/2016。

14規定在第4-4條和附件2中，第5條則進一步提供了三個判斷標準：（a）該實體提供維持關鍵的社會和/或經濟活動所必需的服務；（b）這種服務的提供有賴于網絡和信息系統；（c）安全事件將對提供該服務產生重大的破壞性的影響。見Directive (EU) 2016/1148。

15現階段，具有廣泛行業影響的有關網絡安全的國際標準主要來自國際標準化組織（ISO）和國際電工委員會（IEC），包括“信息技術、安全技術、信息安全管理系統標準”（ISO/IEC 27001）、“信息安全標準”（ISO/IEC 27002）和“網絡安全標準”（IEC 62443）。其他的還包括國際自動化協會（ISA）的“有關實現電子安全工業自動化和控制系統的標準”（ANSI/ISA 62443）等。美國標準技術協會也出臺了“網絡安全框架”（NIST Cybersecurity Framework）以管理與網絡安全有關的風險。

16除了《網絡安全法》對關鍵信息基礎設施的運行安全和網絡信息安全做了大量原則性的規定之外，結合《侵權責任法》第36條有關網絡侵權責任的規定、《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》、2011年修訂的《互聯網信息服務管理辦法》《計算機信息系統安全保護條例》和《計算機信息網絡國際聯網安全保護管理辦法》，以及2018年5月1日實施的《信息安全技術個人信息安全規范》和《數據安全管理辦法（征求意見稿）》等法律法規共同構成了我國信息安全法律治理體系。

17見交海發〔2019〕66號，交通運輸部、中央網信辦、國家發展改革委、教育部、科技部、工業和信息化部、財政部共同發布，2019年5月16日；以及工信部聯裝〔2018〕288號，2018年12月29日。

18見《中國保監會關于印發〈財產保險公司保險產品開發指引〉 的通知》 第25條。保監發〔2016〕115號。