后疫情時代網絡安全保險的透視與思考

王伊琳 錢鏡羽 王天碩 西南財經大學保險學院

網絡安全保險在上世紀90 年代伴隨著互聯網技術的發展及安全風險的再配置與轉移應運而生。經過近20 年全球社會經濟和網絡技術的發展，在國外發達國家中該市場已較為成熟，我國的發展則相對緩慢。這與我國數字經濟的全球領先地位極不匹配。伴隨新冠疫情的爆發，大量企業辦公從線下轉為線上，開啟了全新的辦公模式。伴隨著防疫工作的常態化，尤其是前不久北京等地疫情的波動，我們認為，后疫情時代企業“線上+線下”的辦公模式仍然是市場主流，數字技術正不斷融入公司的內部流程以及與客戶的互動中。企業如此大規模的數字化經營轉型必然帶來大量的網絡安全風險敞口，在此背景下，網絡安全保險如何滿足企業的網絡安全風險保障需求，必將成為未來保險行業持續探討和實踐的重要主題。

一、后疫情時代催生企業數字化轉型

在后疫情時代，尤其是前不久個別地區新發疫情的背景下，遠程辦公成為企業的最佳選擇，更成為部分需要國際合作的企業的唯一選擇。疫情期間，各大遠程辦公軟件也逐漸開放免費服務。據最新報告顯示，目前中國在線辦公平臺中，90 后、95 后成為職場新主力。新經濟新動能較快成長，轉型升級步伐不停。數據顯示，中國智能移動辦公市場規模持續穩步增長，預計2020年將達到人民幣449億元。以互聯網為依托的工作方式在疫情反復的背景下具有很大的發展潛力，對沖了部分疫情對經濟的負面影響。后疫情時代，中國有超過1800萬家企業采用線上遠程辦公模式，共計超過3 億人使用在線辦公應用軟件（艾媒咨詢《2020 年中國新春遠程辦公行業熱點專題報告》）。與此同時，線上辦公程序也在不斷改進功能以適應新的需求，例如騰訊和釘釘等辦公軟件不斷擴容和更新功能以保障用戶的正常使用，助力企業在線辦公。隨著在線辦公需求增長及用戶習慣養成，智能移動辦公市場將更快速地發展。

工作方式的大規模轉變，造成了線上業務的突發性、集中性和高流量。例如很多企業遠程辦公應用在第一天的高峰期出現了不能服務等問題。后疫情線上辦公期間，除了系統穩定性問題，諸如數據泄露、網絡釣魚攻擊等風險也會加大。

二、后疫情時代企業網絡安全風險透視

目前世界各地的數字化進程差異大，網絡發展不平等。雖然數字化的進步極大推動了全球經濟發展，但是網絡安全問題的高發性與危害性嚴重的特點，構成了包括信息基礎設施崩潰等在內的重大風險，威脅著企業的利益（世界經濟論壇，Marsh&McLennan Companies《2020 年全球風險報告》）。國際保險行業智庫日內瓦協會將網絡安全風險定義為“在使用信息通信技術過程中產生的危及數據和服務機密性、可用性和完整性的任何風險”。網絡風險帶來的致命打擊并不是偶然事件，中國受網絡攻擊造成的安全損失有一定的背景，據統計，作為全球網絡犯罪案件井噴的一年，2019年全球企業和個人網絡安全事件超過46 萬件，帶來了超過35億美元的損失（安華金和《2019年全球數據安全事件盤點及行業分析報告》）。我們需要未雨綢繆，提前關注網絡安全風險。

通常來說，網絡安全風險的類型有以下幾種：

（一）信息泄露風險

大數據所存儲的數據集合非常可觀，而目前數據保護相對簡單，通過漏洞進行數據泄露的風險嚴重，造成很大的安全問題。隨著網絡科技的進步，各類行業在不斷“觸網”。在“互聯網+”時代，數據無處不在，數據的累積會形成多元數據關聯，因此本身的技術或者監管的漏洞和不法分子的別有用心都可能導致個人隱私信息泄露。2018 年Facebook 由于黑客攻擊導致5000 萬用戶賬戶被入侵和盜用。事件導致Facebook 市值損失430 億美元且面臨高達16 億美元的罰款。數據顯示，一旦企業遭受數據泄露，涉事企業平均損失資金3.47億美元，股價平均下跌7.5%，平均損失市值54 億美元。在線上辦公“全民化”的趨勢下，中國企業對這一非傳統風險帶來的危害也越來越重視。

?表1 疫情期間遠程辦公應用下載增長率變化

（二）營業中斷風險

對于業務模式高度依賴網絡的行業而言，網絡安全事件也會對其業務連續性造成較大沖擊，不僅會對企業收入造成影響，也會影響企業聲譽。安聯保險中國區的風險調研報告結果顯示，營業中斷風險的影響力仍然最大，其造成的損失規模與復雜程度也呈持續增長趨勢。而數字供應鏈就是造成營業中斷的主要原因。疫情當下，隨著線上辦公的持續進行，企業對于數據和計算機更加倚重，加之網絡安全事件的高發性以及危害性，因此，這些行業更加關注網絡安全保險是否能夠緩解自身的營業中斷風險。

（三）網絡攻擊風險

對于網絡依賴度較高的行業而言，它們擁有具有較高經濟價值的虛擬資產，如大量的數據，較容易成為黑客網絡攻擊敲詐的目標。隨著企業規模的增大和對數據依賴度的提高，網絡攻擊事件對于企業的打擊性越來越大，一個典型的勒索事件造成的損失會從五年前的幾萬美元變成現在的幾百萬美元。隨著信息安全環境日益復雜，即使是大型企業和機構也越來越難以獨自應對，目前很多企業的網絡安全建設普遍落后于業務發展，尤其是疫情期間對于網絡安全需求的突然增加使得很多公司措手不及，這也無形中將用戶的個人信息或者公司的機密數據置于危險之中。因此，完備網絡安全技術和合理運用網絡安全產品，對于后疫情時代線上辦公的企業而言十分必要。

?表2 網絡攻擊事件

（四）聲譽責任風險

企業遭受網絡攻擊時，其損失的可能不僅僅是當時的數據等信息，還有由于安全防護能力不足給客戶造成的不良印象。事故發生當時和后續的損失都應該被考慮在內。例如2013 年的Target 公司信息泄露事件，黑客利用POS 機進行信息盜取，造成7000 萬用戶個人信息和4000 萬信用卡數據的泄露。事件之后，Target 喪失了12%的老顧客，繼續購物的人中有79%不再使用信用卡，公司最終付出了1.48億美元的代價。企業一旦遭遇網絡安全事故，不僅要迅速恢復數據、堵住安全漏洞，還要挽回聲譽和形象，是對企業綜合能力的考驗。

風險是保險產生的前提和基礎，網絡安全風險的存在與危害性催生了網絡安全保險。隨著經驗積累與科技進步，保險公司在網絡風險監測、風險定價、理賠評估等方面的能力將日益提升，促使網絡安全保險在供需層面有進一步的發展。在此次由于疫情導致的大規模線上辦公情形下，企業對網絡安全保險也會更加青睞。對于保險行業而言，數據和服務的安全問題是主要關注領域。保險行業一般將網絡安全保險的責任范圍定義為“由于IT系統和架構的損壞或信息丟失引發的一切損失，包括主體的損失和對于第三方的損失造成的相應責任”。而專業的網絡安全保險則是為數據和網絡安全事故及造成的損失提供核心保障與補償。企業通過責任保險的方式進行風險轉嫁，最終實現分散風險的目的，這是已被經驗所證明的極為有效的法律策略。

三、后疫情時代網絡安全保險市場觀察

（一）國外市場觀察

隨著線上辦公的全球化，網絡安全的重要性愈加凸顯，鑒于其不可絕對消除，因此，保險作為風險轉移的主要手段以及企業和個人進行風險管理的方式之一，理應受到重視。網絡安全保險面向兩類風險，即第一方或第三方對網絡系統的訪問或使用。因此，保險公司開發了對應的網絡安全保險，通過對責任進行劃分滿足不同用戶的需求。一般的第一方保險范圍包括：數據丟失或損壞；營業中斷；網絡詐騙。一般的第三方保險范圍包括：安全和隱私事故；公關費用；第三方數據丟失；第三方合同賠償（王新雷、王玥，2017）。

?表3 網絡安全風險的表現及定義

?表4 部分網絡安全風險帶來的企業損失（單位：百萬美元）

?表5 網絡安全事故導致的潛在經濟損失估計（2018年）

?表6 第一方和第三方網絡安全保險責任范圍對比

疫情期間在家辦公政策的出現，平時被忽視的各種網絡安全和隱私政策問題可能集中爆發。為應對不斷變化的網絡風險，網絡安全保險也不斷進行完善，更加吸引消費者的注意。數據顯示，2019年47%的企業擁有網絡安全保險，且多數為大型公司；年收入超過10億美元的公司中有57%已經投保，而收入低于1億美元的公司中已投保的比例為36%（達信Marsh《2019年全球網絡風險透視調查報告》）。目前，在國際市場上，網絡安全保險在歐美地區發展較為成熟，從分布上來看，美國約占90%，歐洲約占8%，亞太地區僅占1%左右。通過調查分析得出，目前國際市場常見網絡安全保險對于風險的責任范圍如表7所示。

（二）國內市場分析

目前國內的網絡安全保險市場相較于美國而言，還處于發展的早期階段。根據調研信息顯示，中國網絡安全保險市場保費規模約為人民幣7000 萬元左右（瑞士再保險《網絡安全風險專題系列第一輯：全球網絡安全產業概述》）。對比美國市場的充分競爭，我國的網絡安全保險由于需求還未充分激發，保險公司在此市場環境下也沒有足夠的經驗，因此，國內網絡安全保險多以傳統責任險的形式存在。2013年底，蘇黎世保險公司在中國推出安全與信息保護險。此保險主要針對企業用戶，對企業涉及的內部商業機密、客戶以及雇員信息進行承保，并對計算機安全系統受到惡意攻擊帶來的損失進行賠付。2016年初，我國的保險公司推出了數據安全險，專門針對黑客盜取云計算數據進行保險。2017年6月1日，《中華人民共和國網絡安全法》正式實施，標志著網絡安全正式受到我國基礎性法律的保護，信息安全將成為未來我國信息技術領域的重點發展方向，會有越來越多的資源投入到該領域中。疫情當下，各行各業對于網絡風險的重視為網絡安全保險的發展提供了契機，這是保險業快速進步的機會，但同時，網絡安全保險自身由于發展緩慢仍面臨策略難題和理論空缺。

目前中國市場上的網絡安全保險包括個人險與商業險，個人險主要保障的是個人賬戶安全，本文主要分析的是目前中國市場上較少的商業險。就承保范圍而言，目前中國市場上商業網絡安全保險的承保范圍依然分為第一方損失保障和第三方賠償責任。但由于網絡安全及信息保護方面的立法尚有不足，中國市場現有針對企業的商業網絡安全保險產品以保障第一方損失為主。根據瑞士再保險2019 年對中國市場的調查，我們可以發現，各項保險責任在市場現有保單中的特征。

近年來隨著全球對于數據安全風險的監管加強、企業風險意識的提高，以及法律法規的完善，更多企業在完善內控機制的同時開始考慮用商業保險的手段分散風險。有些中國企業在為海外客戶提供服務的時候，也會被海外客戶要求購買網絡安全保險。

?表7 國際市場常見網絡安全保險范圍

目前保險公司通過與第三方網絡安全公司合作，積極參與網絡安全保障，更加專業地預防損失的發生，客觀上帶動了網絡安全產業的蓬勃發展。我國網絡安全保險還處于初步發展階段，目前市場上的保險產品數量嚴重不足。但是由于國內經營主體的經驗不足、相關數據不夠充分，且不同的企業對網絡安全的需求也不盡相同，如何更好地設計網絡安全保險以適應國內市場以及如何把握此次疫情反復背景下的新機遇，保險業亟需在這些方面尋找答案。

四、后疫情時代網絡安全保險發展的機遇與思考

（一）后疫情時代網絡安全保險發展的機遇

1.中國數字經濟的快速發展

網絡安全保險具有損失補償和風險防范的功能，這是單純的網絡防護技術所沒有的。引入網絡安全保險，能夠避免經濟上的重大損失，提升網絡和信息的安全保障。因此，網絡安全保險將是數字化時代最具發展潛力的創新行業之一。目前網絡安全保險在我國仍處于初級發展階段，為了促使網絡安全保險發展速度與數字化進程相適應，我們不僅需要保險業和信息技術產業的有效結合，也需要政府相關法律法規的保護和相關政策的扶持（馬曉寶，2016）。隨著網絡安全風險的不斷發展和變化，網絡安全保險承保的責任范圍也逐漸擴大，有公司開始對網絡詐騙等社會工程遭受攻擊的損失進行承保。

2.政府高度重視網絡安全風險

中國網絡安全領域的基礎性法律《中華人民共和國網絡安全法》自2017 年6 月1 日起施行，使我國網絡安全問題有了新的制約與規定。該法第42條規定：網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失；在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告（引自《中華人民共和國網絡安全法》）。這一條規定對信息泄露時網絡運營者的義務進行了規定，保障了事故發生時各方的利益，為網絡安全保險在中國的發展奠定了法律基礎。但目前，我國《保險法》中沒有針對特殊險種進行約束，也未涉及網絡安全保險。因此，保險監管機構應進一步明確網絡安全保險的法律責任，并通過財政、稅收等其他相關政策引導保險公司和網絡安全企業共同積極推動網絡安全保險發展。

3.疫情提升了企業網絡安全保險意識

在我國，隨著疫情帶來的網絡安全風險敞口的暴露，眾多企業對于網絡安全風險及保險的認識也正在逐漸加深，網絡安全保險的市場潛力巨大。需求決定市場。隨著網絡安全威脅的普遍性，網絡安全保險作為應對風險的重要手段之一，其需求量將會不斷增加。在后疫情數字化轉型的背景下，企業風險與機遇并存。因此，我們要通過系統性地完善保險產品與健全法律政策，來不斷推動網絡安全保險更好更快地適應數字化發展速度。

（二）后疫情時代網絡安全保險發展的思考

1.網絡安全保險產品供給的思考

目前，我國尚未出現本土保險公司開展網絡安全保險，保險市場上的網絡安全保險產品屈指可數，產品供給嚴重不足，無論是在條款責任、費率設計，還是在數量上都遠遠不能滿足投保人的需求。我國網絡安全保險研究起步較晚，實踐更是少之又少，缺少足夠的歷史經驗幫助精算出此類保險產品科學、合理的費率，最終無法精確地設計出保險產品。由于我國非壽險精算方面力量匱乏，因此，在開展網絡安全保險時可參考國外經驗數據，學習相關的風險評估技術，提高風險防范能力，對網絡安全“巨災”事件加以識別，對可保風險和除外責任進行清晰界定。同時，我國也應根據實際情況，加快專業人員培養，不斷優化產品設計，可設置單獨的網安險保單或者組合保單，滿足不同企業的需求。

2.網絡安全保險風險管理的思考

網絡安全保險不僅僅是在保險事故發生后進行賠付，其根本目標是事前的風險防范和控制。因此，目前市場上提供網絡安全保險的保險公司多與服務提供商合作，由前者提供保險，后者在其運營的平臺上進行信息安全保障，通過對企業內部的數據進行日常管控，了解企業網絡化經營模式，分析和識別企業面臨的網絡風險，有針對性地制定保障措施。此過程中，高科技企業作為第三方提供技術保障，為避免網絡風險敞口帶來顯著的尾部和累積風險，保險公司應選擇專業的網絡信息技術外包商，確認外包商的信用水平，選擇成熟的團隊進行合作。除此之外，保險公司應在與客戶簽訂合同時協商擬定甄選外包商的標準，明確因外包商責任造成損失的賠償處理，以期達到事前風險防范的目標。