網絡安全保險方興未艾

隨著“元宇宙”概念的日益火熱，網絡空間與物理世界的融合逐漸加深，網絡安全問題愈加復雜且全面泛化。作為能有效轉移、分散網絡安全風險的工具，網絡安全保險近年來在全球迅速發展。據有關機構測算，2020年全球網絡安全保險市場規模達78億美元，并將在未來5年以大于20%的增速發展。

2021年5月，美國政府問責局（United States Government Accountability Office，簡稱GAO）發布的《網絡安全保險：保險公司和投保人在不斷變化的市場中面臨挑戰》的報告指出，目前網絡安全保險接受率上升、保險價格上漲、保險限額降低，網絡安全保險內容也更加明確。但同時，該市場仍然面臨著多重挑戰，如網絡風險事故或損失歷史數據有限，網絡風險定義不夠清晰、缺乏一致性，以及企業對網絡風險和保險責任覆蓋范圍認知程度有限等。針對上述問題，報告提出了一些政策建議。

報告指出，由于互聯網全方位融入企業發展，以及政府對網絡安全重視程度的提升，網絡安全保險供給和需求端不斷發展，促使網絡安全保險功能更加細化。在鼓勵行業發展的同時，GAO也鼓勵政府與企業、市場合作，共同攻克業態尚未成熟的技術發展瓶頸和制度缺陷。

網絡安全保險概念與監管

網絡安全保險由私人保險公司向企業和其他實體提供，保護第一方（投保人）和第三方（投保人客戶）免受網絡事故（如網絡中斷、數據盜竊等）帶來的損失，例如信息系統的機密性、完整性和可用性遭到破壞等。網絡安全保險有兩種形態，一是只覆蓋網絡風險的獨立保單，二是作為一般保險（覆蓋多種類型風險）的一攬子保險范圍的一部分（如一般商業責任保險）。

美國保險監管協會（NAIC）重點關注網絡安全保險公司的償付能力。監管對象包括網絡安全保險在內的私人保險市場，確保保險條款公平合理且符合各州法律，不存在可能被消費者誤解的保險責任范圍，但一般不制定網絡安全保險責任覆蓋范圍的最低標準。

此外，美國財政部聯邦保險辦公室恐怖主義風險保險計劃（TRIP）要求在發生特定恐怖行為時，聯邦政府應與私人保險公司共同分擔損失。如果網絡攻擊符合條款標準，那么網絡攻擊造成的損失可以依據TRIP得到補償。

現狀與趨勢

目前，美國市場網絡安全保險接受率整體提升，行業間存在差異。網絡安全保險接受率是指有資格獲得網絡安全保險的實體選擇網絡安全保險的百分比。隨著網絡安全保險的發展，市場接受比率不斷提升，從2016年的26%上升到了2020年的47%。

此外，接受率也因行業而異。2016-2020年，在威達信集團（Marsh Mclenan）的客戶群體中，接受率最高的行業為教育和醫療保健，因為它們需要收集、維護并使用大量個人身份信息和受保護的健康信息。由于酒店和零售行業也需收集客戶的支付卡信息，酒店和零售行業的接受率也有顯著增長。同時，隨著制造行業對潛在網絡攻擊風險的日益重視，該行業的接受率也呈增長趨勢。

企業關注網絡安全保險的可獲得性及可負擔性。2016年以來，大多數實體均可以負擔得起網絡安全保險，但網絡安全保險將在多大程度上繼續具有可獲得性和可負擔性仍是不確定的。據保險代理和經紀委員會等相關機構的調研反饋，盡管接受率保持上升趨勢，但保險公司對網絡風險的承保欲望和能力近期呈現收縮趨勢，特別是對于某些高風險行業（如醫療保健、教育、公共部門）承保收縮趨勢尤為明顯。其原因包括網絡攻擊造成的損失增加、未來網絡攻擊的威脅以及整體保險市場環境等。

同時，承保人更加仔細地審查了所有實體（包括各類規模及行業）面對的風險。為了應對網絡攻擊頻率與嚴重程度的增加、網絡攻擊成本上升、以及對未來攻擊的類型、范圍和目標的不確定性，保險公司在是否對高風險行業和實體承保上以及提高保費方面變得更加謹慎。這都可能會影響未來網絡安全保險的可獲得性和可負擔性。

網絡安全保險需求不斷增加。據對標準普爾市場情報和NAIC的數據分析，2016-2019年生效的網絡安全保單數量從220萬份上升到360余萬份，增加約60%;書面保費總額從21億美元增長至31億美元，增長50%。超過60%的受訪經紀人表示，網絡安全保險增長的前兩大驅動因素為曾遭受網絡攻擊和聽到其他人在網絡攻擊中遭受損失。

保費增加。網絡安全保險保費在2017年、2018年保持相對穩定，在2020年呈顯著增長趨勢。超過一半的經紀人反映，2020第三季度到第四季度，其客戶繳納的網絡安全保險費用上漲了10%至30%;只有15%的經紀人表示，在此期間客戶保費無發生變化。

網絡安全保險費上升有兩方面原因：一方面，客戶需求增加;另一方面，更頻繁和嚴重的網絡攻擊造成了保險公司損失增加，尤其是勒索軟件攻擊，它會阻止用戶訪問系統或數據，直到支付贖金為止。2021年間，高風險行業和中大型實體的保費增幅預計高于網絡控制強度較高的小企業（保費增幅約5%至10%）。

供給者數量增加。2016-2019年間，提供網絡安全保險的保險公司數量約增加35%。然而，2016年以后新進入網絡安全保險市場的保險公司只占據2019年市場保費總額的9%左右。2019年，10家美國保險集團占據了近70%的網絡安全保費總額，但僅占據當年財產險費和意外險費總額的18%。

專門針對網絡風險的保單增多。專門針對網絡風險的保險，主要有三種提供方式：獨立的網絡安全保險;將網絡安全保險與專業責任保險相結合;對其他保險責任覆蓋范圍提供網絡擔保。網絡風險保單的增加反映出，企業希望保險責任范圍應與數據或系統的機密性、完整性和可用性相關聯;還希望網絡安全保險責任覆蓋更加清晰，這有助于減少網絡攻擊事故中的索賠糾紛和訴訟。此外，獨立保單還有助于投保人獲得更高的保險限額。

覆蓋范圍不斷變化。網絡攻擊的頻率和嚴重程度不斷增加，特別是勒索軟件的攻擊，導致保險公司縮減了對醫療保健公司、教育公司、國企等實體的保險限額，并增加了對勒索軟件保險責任覆蓋范圍的限制。

免責條款更多，保險條款更為嚴格。保險公司一直在收緊網絡安全保險條款和賠付條件，并在傳統保險覆蓋范圍和一攬子保單基礎上增加網絡擔保免責條款，以避免產生歧義。這些限制旨在消除對潛在網絡風險的覆蓋，潛在網絡風險可能損害多家企業，并造成保險公司遭受重大的不可預見損失，甚至造成償付能力的不足。雖然難以在短期內被消除，但網絡進一步獨立和對相關術語的闡明會有所裨益。