網絡安全保險發展面臨的挑戰與監管應對

張銘心 復旦大學發展研究院

當前我國的數字經濟正在經歷從第一階段向第二階段快速過渡的時期。所謂第一階段數字經濟，主要是指信息產業等直接跟信息技術相關的經濟活動；第二階段數字經濟則是傳統經濟活動在網絡空間的擴展，也就是傳統經濟的數字化。在第二階段，經濟活動越來越多地將在網絡空間展開，也就難以避免地在網絡空間中遇到風險，其應對措施一方面是通過技術和制度的手段去阻斷網絡攻擊和風險，另一方面則是將現實空間中形成的保險機制應用到網絡空間中。網絡安全保險的誕生是數字經濟發展的必然產物。在數據已成為關鍵生產要素和重要戰略資源、成為創造價值的核心資產的數字經濟時代，網絡和數據安全不僅關系到公民切身利益，而且涉及保護數字經濟發展的關鍵生產要素。習近平總書記在關于“不斷做強做優做大我國數字經濟”的論述中強調，要完善數字經濟治理體系，尤其是要完善國家安全制度體系，重點加強數字經濟安全風險預警、防控機制和能力建設。因此，要著重發揮網絡安全保險在保障數字經濟安全的獨特作用，有效應對網絡安全保險發展面臨的挑戰。

一、網絡安全保險發展面臨的挑戰

網絡與數據安全保險并不是一個新概念，國外設立相關險種已經有20多年的歷史，它通常涵蓋了企業因涉及客戶敏感信息的數據泄露而承擔的責任。近年來，受互聯網的迅速普及、信息安全相關法律制度的不斷完善和日益嚴峻的網絡攻擊態勢等因素驅動，全球網絡安全保險市場迅速發展。據測算，2020年全球網絡安全保險市場規模高達78億美元，預計未來5年將維持20%以上的增速。美國作為全球最大的網絡安全保險市場，目前已有577家保險公司披露其網絡安全保險業務，保費規模達31.5億美元，其中獨立保單的保費規模年均增長率超過10%。隨著我國加速進入5G時代，網絡風險及其安全問題日益嚴重（唐金成、劉榕，2021）。我國網絡安全保險盡管起步較晚，先后出現了保障網絡金融賬戶安全、虛擬財產安全、移動支付安全、云服務安全等側重特定風險類型或保險標的的產品，但仍存在責任覆蓋狹窄、產品種類缺乏、條款表述冗雜、風險控制不足等問題。總的來說，作為經濟活動向網絡空間拓展的重要部分，網絡安全保險亦需要考慮數字經濟的特殊性，直面多重挑戰。

（一）覆蓋范圍和條款缺乏明確性和統一性

歐洲保險與職業養老金協會（European Insurance and Occupational Pensions Authority,EIOPA）在2018年對瑞士、法國、意大利、德國和英國的13家保險公司（根據網絡保險的專業知識和風險敞口選擇的8家保險公司和5家再保險公司）就網絡安全保險進行了調研。針對關于網安保險市場的主要擔憂這一開放性問題，責任覆蓋范圍和條款不明確成為被調查者認同的最主要的擔憂；與之相關聯的，承銷商和經紀人對風險缺乏了解則成為排名第二的擔憂。

網安保險的這種不明確性主要來源于兩方面：

一是與傳統險種保單存在一定沖突。首先，網安保險可能在其他各種保險項目中投保，包括財產保險、各種責任保險、綁架和贖金保險等。事實上，財產險和責任險保單很可能包含網絡事故造成的損失的除外責任，盡管這些除外責任的適用范圍存在不確定性。其次，在商業財產險保單中，數據通常不被視為可保的有形財產，這一點在許多保單中通過強調電子數據背書得到了印證，而財產險保單中營業中斷損失的承保范圍取決于該保單承保的有形財產發生損失的情況。

二是作為獨立險種，其在覆蓋范圍、除外責任和條件上存在顯著差異。數字經濟和相關政策變化非常迅速，這阻礙了網絡安全保險標準化語言的出現，保險范圍的差異很大程度上源于定義、條件和除外條款的差異，保險人通常使用不同的術語來描述相似的承保損失或事故或適用條件。比如，澳大利亞市場上出現的三種不同的保單在描述涉及個人信息的保密性數據泄露造成的常見損失的保險范圍時存在很大差異，數據、軟件和硬件恢復成本被分別描述成“數字資產替換和改進成本”“管理成本”和“數據恢復成本”。

（二）對網絡風險的深入理解是一個核心挑戰

?圖1 市場擔憂

?圖2 商業保險經紀人對網絡安全保險責任范圍的看法

不僅是從行業角度出發，即使是從客戶的角度來看，深入了解網絡風險也存在同樣的挑戰。發達國家網安保險市場的經驗顯示，許多客戶不了解產品或他們自己的需求，尤其是中小型公司。由于網安保險對絕大多數保險機構來說是一項新的業務，并且保險公司有意愿快速擴展這項業務，因此對人才的需求預計將顯著增長，這為市場帶來新的專業知識和人才需求的增長。美國保險代理人和經紀人委員會在對商業保險經紀人的定期調查中發現，70%左右的經紀人認為網絡安全保險保單中的覆蓋范圍和除外責任不夠明確（見圖2）。在英國，2018年接受調查的經紀人中有31%表示，他們對網安保險和網絡風險的了解很少。在2018年發布的一項針對北美（以及一些國際）保險商和經紀人的調查中，56%的受訪者表示，對承保范圍的了解不足是網安保險業務發展的最大障礙。

考慮到數字經濟快速發展的性質，網絡安全風險在某種程度上是一種具有新的復雜性的風險，而這種復雜性本身尚未得到充分理解。比如，我們缺乏足夠的歷史數據和對重大潛在事件的系統性風險的清晰認知。缺乏足夠歷史數據是詳細了解網絡風險基本方面的主要障礙。在可用性數據有限的情況下，建立足夠的模型以確保風險管理的準確性是一項挑戰。尤其對于再保險公司來說，這代表著巨大的承保風險。而從另一個角度來說，缺乏適當的網絡安全風險的再保險覆蓋又是保險公司的主要擔憂。兩個互為因果的困難成了網絡安全保險發展的障礙。重大潛在事件的系統性和相關性是另一個重要外部挑戰，這使得我們很難理解整個市場的規模和累積風險。從保險的角度來看，或有業務中斷的處理和潛在的風險聚合是一個很值得關注的問題。網絡攻擊相關性的增加以及IT服務（例如云服務）的單一化，將使市場很難正確量化從而難以對這種風險提供保障。其主要擔憂在于由市場標準、累積風險控制和評估工具而導致的累積風險估值錯誤。

總體來看，網絡安全保險發展的核心挑戰是對網絡安全風險缺乏足夠認知。這種核心挑戰來源于內外兩方面因素，內因包括缺少足夠歷史數據和網絡風險事件的系統性認知，外因包括風險信息不足和缺少專業的承保人（尤其是再保人）。而這些不足可能形成的后果包括：責任范圍和條款不統一、難以準確量化風險、定價過低、缺乏足夠的再保險覆蓋、不恰當的沉默風險表述等。

二、監管介入網絡安全的影響

鑒于以上網絡安全保險發展所面臨的特殊挑戰，政府和監管在網絡風險和網絡安全保險上的作用逐漸被行業所重視。關于網絡信息安全保險的監管和政府介入的意義方面的研究，學者從不同角度做了闡釋。Woods and Simpson（2017）分析了政府給予企業在網絡信息安全領域的補貼和保險費的稅收抵扣問題。Lemnitzer（2021）則指出政府還必須建立支持機制以解決總體風險，并確保網絡病毒和賠付數據庫的建立。結合“十四五”綱要與數字經濟生態的發展，唐金成和莫賜聰（2022）針對網絡信息安全險，分別從風險的識別、評估和監管的角度探討如何構建網絡信息安全保險的風險管理體系。

事實上，政府和監管介入網絡安全保險的意義包括以下幾方面內容：第一，發達國家的保險人普遍認為，監管措施應直接有助于提高對風險的理解水平，以應對網安保險發展的核心挑戰。比如在Solvency II中引入網安保險新業務線代碼，這將有助于對網絡安全保險提供更多的見解。第二，確保對風險（尤其是風險聚合和系統性風險）進行適當的定價和監控。第三，強調監管應允許共享數據，允許不同行業的公司共享共同利益和信息，建立一個匿名、集中的系統，以實現信息共享，應對網絡威脅。第四，發揮政府在協調各國潛在監管框架方面的作用。然而，政府和監管介入的直接、具體的影響可能還需要從以下幾點去考量。

（一）提高條款的一致性水平與降低產品創新性

從全球案例來看，幾乎所有（再）保險承保人和中介機構都表示，近年來網安保險保單中提供的術語、保險條款和條件的一致性水平顯著提高。尤其是新設立的和小規模保險公司，其網安保險保單主要按照中介機構、其他保險公司或再保險公司的保單制定，這對減少保單語言的差異產生了積極影響。在美國，保險服務辦公室（ISO）為中小企業開發了標準化網安保險保單表格，為大型商業實體開發了基于菜單的保單表格，該表格至少在美國42個州已批準使用。德國保險協會（GDV）為中小險企制定了標準的網安保險保單表格，據統計，約50%的保險公司使用了該表格。

大多數市場參與者意識到有必要提高術語的一致性，不過也擔心標準化可能會扼殺創新。數字經濟的日新月異隨時可能產生新的投保人需求或出現新的風險，這需要不斷創新保險責任范圍、條件和除外責任等。

（二）政府網絡安全事故罰款的可保性與負外部性

美國市場上的保險公司和再保險公司針對不同州的網絡安全事故罰款情況作了不同的罰款可保性規定，這為每個州的網安保險投保提供了明確指引。但是在其他國家，這個問題就變得很復雜。比如，歐盟的《通用數據保護條例（GDPR）》就沒有明確說明罰款是否可以投保，歐盟國家隱私監管機構也沒有提供任何明確信息。類似的困惑也出現在很多亞洲國家。總的來說，由于許多司法管轄區剛剛開始對違反隱私條例的行為處以罰款，而罰款往往只占應對違反隱私條例行為的總成本的一小部分，因此，保險機構對罰款和處罰的索賠經驗有限，尤其是在美國以外的地方。保險監管機構可以通過明確這類損失在其管轄范圍內是否可投保，以及鼓勵保險公司在其保單中反映罰款可保性的立場，來給予投保人更明確的投保信息。

?表1 網安事故罰款的承保情況

然而對網絡安全事故罰款承保的限制對網絡安全保險的需求已產生一定影響，也降低了負外部性的溢出。一項針對保險買家的調查發現，絕大多數投保人（71%）希望投保罰款和罰金保險，而且事實上購買網絡安全保險的一個明確動機（35%）就是用來支付可能產生的罰款。而這很可能減少保險公司支持和建議投保人遵守隱私和網絡安全法規的動機，同時降低投保人主動增加安全防護措施和提高數據隱私合規性的動力。這就需要配套監管措施的強制執行，比如數據隱私合規檢查和最低安全水平的設置等。當然，根據OECD對澳大利亞、加拿大、日本、荷蘭、英國、美國和在地區范圍內提供網絡安全保險服務的35份保單的統計發現，目前市場上絕大多數網安保險保單包含了一定的罰款和處罰賠付責任（見表1）。

（三）網絡勒索損失的可保性與政府態度

網絡勒索攻擊可能會導致大量損失，包括業務中斷（勒索妨礙對運營所需數據的訪問）、危機管理成本、數據和硬件恢復及可能的贖金支付。OECD的統計發現，幾乎所有國家的絕大多數網絡安全保險為網絡勒索造成的費用提供了一定的保險覆蓋（見表2）。而網絡勒索風險能否承保主要取決于政府對網絡勒索支付贖金的態度，反對支付贖金的國家主要是為了避免助長敲詐勒索行為。而（再）保險公司可能希望承保贖金風險的原因在于，支付贖金可以避免代價高昂的業務中斷和數據恢復索賠。據統計，業務中斷和數據恢復索賠通常可達贖金的23倍。但其實（再）保險公司承保贖金損失，也是一項有明顯負外部性的行為。一方面，一份公開的網絡安全保險投保人名單可能反而導致這些投保人更多地成為攻擊目標（Dudley，2019）；另一方面，無法保證被害人支付了贖金后敲詐勒索者就會恢復被害人的訪問權限。而如果有健全的主動防護和備份程序，網絡勒索損失是可以避免的。當然，也不得不考慮對贖金支付可保性的限制是否會對中小企業產生較大不利影響，因為中小企業顯然也是勒索病毒攻擊的目標，但它們可能沒有足夠資源來投資與主動建立防護系統并進行必要的備份。

?表2 網絡勒索損失保險

三、總結與建議

通過以上梳理，本文認為，首先，有必要對網絡安全風險進行更深入的研究，擴大認知，這不僅與評估和處理新網絡安全事件中的風險有關，還與客戶加深對網絡安全風險的了解有關。其次，目前網安保險的覆蓋范圍主要集中在商業業務上，但隨著物聯網（IoT）等技術的發展，消費者越來越容易受到數字服務侵權的影響，為個人提供網安保險的可能性也在增加。這更加凸顯了提高網絡安全認知的重要性。再則，缺乏足夠的歷史數據、難以準確估計風險累積和系統性風險等也是網安保險發展急需解決的關鍵挑戰。這些決定了政府和監管介入的必要性。但是政府和監管的介入也需要處理好統一性與創新性的關系、鼓勵網安保險發展與負外部性溢出之間的關系。為此本文建議：

第一，保險監管機構應建立統一適用于網絡風險的保險定義和除外條款，并監控因保單語言意思表示不明確而產生的索賠糾紛；同時，考慮到任何強制標準化都可能會扼殺保險創新的風險，如果短期內無法實現充分的融合，監管部門應鼓勵行業協會開發標準化語言以供險企自愿使用。

第二，政府應就網安事故罰款以及網絡勒索支付贖金的可保性明確聲明。為了防止負外部性的產生，監管部門限制可保性的決定應適當考慮某些例外的情況，比如，被保險人沒有直接的安全防護疏忽責任的情況，以及為了避免對生命或財產造成重大損害而支付贖金的情況。在該問題上加強國際協調與合作，采取一致做法，降低保險公司通過跨境方式進行監管套利、為不可投保損失提供保險的風險，從而為保險供應商和投保人提供一個公平的國際競爭環境。