網(wǎng)絡安全保險在我國的發(fā)展和創(chuàng)新研究

葉 翔 浙江省網(wǎng)絡空間安全協(xié)會

當前，以數(shù)字科技為核心的科技變革和產(chǎn)業(yè)密集涌現(xiàn)，數(shù)據(jù)共享力度持續(xù)加大，數(shù)字化應用不斷上線，防范化解網(wǎng)絡安全、數(shù)據(jù)安全風險任務更加艱巨。開展網(wǎng)絡安全保險業(yè)務研究與應用探索，對于提升企業(yè)安全防護水平，降低網(wǎng)絡安全社會總成本投入，建設監(jiān)管部門、第三方服務和企業(yè)等多方協(xié)作風險防控機制，構建防范重大風險防御體系，具有重要作用。

一、網(wǎng)絡安全保險的價值和意義

網(wǎng)絡安全已經(jīng)成為當今社會最復雜、最現(xiàn)實、最直接的風險因素，全面影響經(jīng)濟發(fā)展和社會穩(wěn)定。網(wǎng)絡安全風險治理比傳統(tǒng)安全風險治理更加復雜，現(xiàn)有治理模式需要進一步完善。當前，網(wǎng)絡攻擊、網(wǎng)絡犯罪頻繁發(fā)生，數(shù)量龐大、覆蓋面廣，并存在預知難、溯源難問題，僅靠監(jiān)管部門、網(wǎng)絡安全企業(yè)、專業(yè)研究機構很難有效應對。隨著數(shù)字化改革的深入、數(shù)字經(jīng)濟的發(fā)展，面臨的網(wǎng)絡安全風險也“水漲船高”，增強全社會網(wǎng)絡安全風險防范能力需要長期、大量、不間斷投入，給社會運轉帶來巨大負擔，防范風險的社會成本極高。

具體來講，對于網(wǎng)絡攻擊，“防患于未然”的成本比事故發(fā)生導致的損失要低得多，企業(yè)通過購買網(wǎng)絡安全產(chǎn)品，抵御了大部分基礎網(wǎng)絡安全風險，筑起了第一道防線。但仍存在部分用戶購買后，未有效配置和合理使用網(wǎng)絡安全產(chǎn)品、未能及時為操作系統(tǒng)和應用軟件升級的情況，這時候網(wǎng)信和公安部門強制推行的等級保護測評工作起到了第二道防線的作用。然而，就像規(guī)范法律并不能完全制止網(wǎng)絡安全犯罪的發(fā)生一樣，安全手段也無法確保帶來100%的安全。有研究表明，持續(xù)增加安全投入，所付出的增量部分，可能高于所挽救的預期損失。

作為針對數(shù)字經(jīng)濟特定風險的新險種，網(wǎng)絡安全保險可以轉移殘余風險，成為抵御網(wǎng)絡安全風險的第三道防線，真正做到100%的安全保障。網(wǎng)絡安全保險是以投保人信息資產(chǎn)安全性（信息的完整性、機密性、有效性等）作為保險標的的保險產(chǎn)品，可以幫助企業(yè)構建新型網(wǎng)絡安全生態(tài)。網(wǎng)絡安全保險的價值首先在于降低社會總成本。網(wǎng)絡安全保險和配套服務能夠賦能企業(yè)的網(wǎng)絡安全整體防災水平，可通過保險的責任轉移機制來有效降低網(wǎng)絡安全事件發(fā)生的風險。其次，為企業(yè)標注安全標簽。保險公司在為投保企業(yè)進行網(wǎng)絡安全風險評估的過程中，不僅能促進企業(yè)提升自我保護意識，而且為投保企業(yè)打上了精準的安全標簽，以反映企業(yè)的網(wǎng)絡安全防御水平。最后，落實企業(yè)社會責任。《個人信息保護法》等一系列法規(guī)條例的出臺，規(guī)定了企業(yè)在網(wǎng)絡安全方面的社會責任，對擁有用戶數(shù)據(jù)但不具備網(wǎng)絡安全應對能力的企業(yè)來說，網(wǎng)絡安全保險將是一個有效的運用工具。

二、網(wǎng)絡安全保險發(fā)展現(xiàn)狀

根據(jù)國家工業(yè)信息安全發(fā)展研究中心在2021年年底發(fā)布的《我國網(wǎng)絡安全保險產(chǎn)業(yè)發(fā)展白皮書（2021 年）》，目前國外網(wǎng)絡安全保險市場已進入快速發(fā)展階段。

20 世紀90 年代，全球網(wǎng)絡安全保險市場進入萌芽階段。受到“千年蟲”問題的警示，保險公司嘗試開展網(wǎng)絡安全保險業(yè)務。1998年，國際計算機安全協(xié)會推出了第一款“黑客保險”，作為其網(wǎng)絡安全服務的一部分。不過，由于企業(yè)因黑客攻擊導致的業(yè)務影響并不顯著，且尚未制定相關法律促使企業(yè)重視其網(wǎng)絡安全合規(guī)責任，這一階段網(wǎng)絡安全保險的市場認可度較低，發(fā)展較為遲緩。

21世紀初，網(wǎng)絡安全保險市場進入初步探索階段，網(wǎng)絡安全事件頻發(fā)給企業(yè)造成的經(jīng)濟損失持續(xù)攀升，企業(yè)開始高度重視網(wǎng)絡安全風險防御及應對。2003 年美國保險行業(yè)協(xié)會保險信息研究所的數(shù)據(jù)顯示，90%的企業(yè)和政府機構存在安全漏洞，且75%的企業(yè)因此遭遇網(wǎng)絡攻擊并造成經(jīng)濟損失。

21世紀10年代后期，全球網(wǎng)絡安全保險市場進入快速發(fā)展階段。2018年5 月，歐盟《通用數(shù)據(jù)保護條例》（GDPR）正式生效，這被視為隱私和數(shù)據(jù)保護的里程碑事件。該條例進一步強化了對數(shù)據(jù)主權的保護并加大了行政處罰力度，有力拉動了網(wǎng)絡安全投保需求。這一階段，網(wǎng)絡安全保險市場進一步發(fā)展，保費規(guī)模快速增長，平均年復合增長率超過20%。據(jù)市場研究公司（Research and Markets）預測，到 2026 年，全球網(wǎng)絡安全保險市場規(guī)模將達到350.7 億美元，平均年復合增長率達到26.6%，展現(xiàn)出巨大的網(wǎng)絡安全保險市場空間。

我國的網(wǎng)絡安全保險還處于萌芽階段，相關政策開始受到關注。2019 年9 月，工信部發(fā)布的《關于促進網(wǎng)絡安全產(chǎn)業(yè)發(fā)展的指導意見》（征求意見稿）提出，要“探索開展網(wǎng)絡安全保險服務，加快網(wǎng)絡安全保險政策引導和標準制定，通過網(wǎng)絡安全保險服務監(jiān)控風險敞口。鼓勵企業(yè)構建并完善自身網(wǎng)絡安全風險管理體系，強化網(wǎng)絡安全風險應對能力”。

在技術標準方面，可以參考的文獻主要有國外的ISO/IEC 27102-2019InformationSecurity management- Guidelines for cyberinsurance（《信息安全管理—網(wǎng)絡保險指南》），國內剛剛發(fā)布的團標T/CCIA 001-2022《面向網(wǎng)絡安全保險的風險評估指引》，以及正在立項的國標《信息安全技術網(wǎng)絡安全保險應用指南》（草案）。

三、網(wǎng)絡安全保險產(chǎn)品分析

適用于國內企業(yè)的網(wǎng)絡安全保險產(chǎn)品，通常銷售的時候會提供多個模塊供企業(yè)選擇，形成綜合險。這類似于消費者購買車險，可以同時購買交強險、車損險和第三者責任險，也可以只購買交強險和第三者責任險，第三者責任險的賠償額也可以自由選擇20 萬元或100 萬元。但是，網(wǎng)絡安全本身的復雜性和市場成熟度決定了網(wǎng)絡安全保險比車險要復雜得多，目前這些產(chǎn)品還尚未達到標品的級別，很多保險公司采用“一客一議”的銷售方式，銷售效率低，銷售成本高。

（一）應急響應：保障第一方損失

保險保障范圍涵蓋組織因網(wǎng)絡安全事件所引發(fā)的特定網(wǎng)絡安全應急響應費用，包括以下3個方面：

1.被保險人在指定權威機構進行檢測、鑒定服務所產(chǎn)生的必要費用、成本和支出。

2.名譽恢復公關費用，是指被保險人在保險事故發(fā)生后聘請指定第三方公共關系專業(yè)機構和向公共媒體及平臺投放的宣傳、傳播措施及新聞發(fā)布活動所產(chǎn)生的必要的、合理的費用。

3.抗辯費用，是指被保險人發(fā)生上述保險事故后，經(jīng)保險人事先同意，聘請第三方專業(yè)機構對保險事故進行調查、和解、抗辯、申訴或辯護而產(chǎn)生的合理、必要的費用。

（二）營業(yè)中斷損失：保障第一方損失和承擔第三方責任

保險人在保險期間首次在其計算機系統(tǒng)中發(fā)現(xiàn)網(wǎng)絡安全風險事件且造成被保險人計算機系統(tǒng)全部或部分中斷，導致被保險人營業(yè)受到干擾或中斷。

經(jīng)營性網(wǎng)站會發(fā)生在賠償期內毛利潤損失及工作成本增加，第一方責任保險人以保險合同約定的賠償額、賠償期為限負責賠償。

工業(yè)生產(chǎn)系統(tǒng)的停產(chǎn)，可能導致無法交付貨物，按合同約定被下游客戶索賠，這時候由第三方責任險負責賠償給下游客戶。

（三）數(shù)據(jù)安全：保障第一方損失和承擔第三方責任

保障第一方損失指的是當被保險人的計算機系統(tǒng)發(fā)生保險事故（包括中了勒索病毒等），造成被保險人數(shù)據(jù)丟失、損毀、修改、刪除、泄露，被保險人為了重新獲得、更換或恢復其計算機系統(tǒng)，為在受損前存儲在其中并因網(wǎng)絡安全事故發(fā)生而導致?lián)p壞、丟失或損毀的數(shù)據(jù)恢復所支出的合理、必要的費用。

保障范圍也可涵蓋組織因網(wǎng)絡安全事件導致的第三者責任損失，賠償范圍主要是信息泄露責任，即第三者在保險期間或保險合同約定的延長報告期內向被保險人提出索賠、依法應由被保險人承擔的經(jīng)濟賠償責任，保險人按照保險合同的約定負責賠償。

（四）技術人員職業(yè)責任險產(chǎn)品

主要面向信息技術公司及其從業(yè)人員，以信息技術服務和信息技術產(chǎn)品作為承保標的，保險保障范圍涵蓋組織因在提供產(chǎn)品和服務過程中存在疏忽過失行為或出現(xiàn)質量未達標準情形所引發(fā)的第三方索賠責任。

四、網(wǎng)絡安全保險實施過程

網(wǎng)絡安全保險的實施過程通常包括3個階段：投保前風險評估、投保后風險監(jiān)測與預防，以及出險后的事故理賠。相較車險，網(wǎng)絡安全保險投保前的風險評估過程比較復雜，并且投保后一般還要實施風險監(jiān)測。

（一）投保前的風險評估

投保前的風險評估是網(wǎng)絡安全保險實施的前提。由于投保人網(wǎng)絡安全水平良莠不齊，為降低保險人自身的風險，保險人會委托指定網(wǎng)絡安全服務商對投保人開展風險評估；同時，投保人也可根據(jù)風險評估結果制定風險轉移的策略，形成準確的網(wǎng)絡安全保險需求；最終雙方根據(jù)風險評估的結果達成保險方案。

承保前的風險評估通常有3 個環(huán)節(jié)：一是網(wǎng)絡安全風險的自動化評估環(huán)節(jié)。該環(huán)節(jié)屬于非配合式評估，主要是利用安全掃描、資產(chǎn)探測、第三方威脅情報分析等技術或手段，研究企業(yè)暴露在互聯(lián)網(wǎng)端的安全狀況和風險敞口大小，為保險公司可否對之承保提供技術研判支持。二是網(wǎng)絡安全能力評估環(huán)節(jié)。通常采用問卷調查的方式，從合規(guī)遵從、組織架構、制度體系、技術措施、人員培訓等方面對投保對象的網(wǎng)絡安全成熟度進行評估。三是基于客戶特點的量化風險評估環(huán)節(jié)。這主要是針對客戶對特定場景的風險或指定的控制措施購買保險的想法，需要專項評估與潛在風險相適應的配套安全措施，根據(jù)威脅源、攻擊方法、脆弱點、安全事件及負面影響這5個評估要素來計算特定場景的風險值。

（二）投保后的風險監(jiān)測與預防

投保后的風險監(jiān)測與預防是進行防災減損的必要手段，同時也是網(wǎng)絡安全保險進行風險管理的主要方式。在投保后，網(wǎng)絡安全風險可能因內外部環(huán)境變化而發(fā)生變化，應開展相應的風險監(jiān)測和預防活動，及時了解投保人的風險變化情況，并采取相應措施將風險的變化控制在合理范圍，積極發(fā)揮防災減損作用。當風險發(fā)生較大變化時，投保人應實施相應的處置措施，投保后的風險監(jiān)測與預防可幫助投保人進行有效的風險管理。

例如針對勒索病毒的保障，必須持續(xù)監(jiān)測客戶的防病毒措施落實情況，防病毒軟件安裝率低于90%時可能會出現(xiàn)重大風險。

（三）出險后的理賠

當發(fā)生保險保障范圍內的網(wǎng)絡安全事件后就會進入出險理賠階段，投保人按照保險合同約定的理賠流程進行理賠。在這個過程中，保險人對網(wǎng)絡安全事件進行調查，確定事件責任和實際損失，并根據(jù)調查結果作出賠償決定，履行保險人的賠償責任。

五、網(wǎng)絡安全保險的三種銷售方式

網(wǎng)絡安全保險雖然都是保險公司銷售給企業(yè)（投保人或被保險人）的，但銷售方式可以歸納為以下3種：

（一）企業(yè)直接購買保險

這是國外比較普遍使用的方式，但是在國內，這種方式實施起來暫時還比較困難，企業(yè)對這個新事物的接受還需要培養(yǎng)。一是因為國內目前信息泄露事件造成的損失很難評估，尚沒有巨額賠償判例，難以觸動企業(yè)主動購買保險；二是目前企業(yè)做好網(wǎng)絡安全保障的動力有相當部分來源于網(wǎng)信和公安等監(jiān)管機構的壓力，保險無法賠付行政處罰，因此無法緩解這方面的壓力；三是企業(yè)的網(wǎng)絡安全水平良莠不齊，如果不做完整的風險評估，對保險公司來說風險太大，如果要做完整的風險評估，那么關于是企業(yè)還是保險公司來支付這筆高額的評估費用的問題，雙方難以達成一致。

（二）供應鏈銷售保險

由安全服務廠商來協(xié)助保險公司銷售網(wǎng)絡安全產(chǎn)品給它們的服務對象，這可能是目前比較主流的方式，因為安全服務廠商的介入，在一定程度上解決了投保前風險評估的問題，通常購買了網(wǎng)絡安全產(chǎn)品和服務的企業(yè)，網(wǎng)絡安全風險相對可控。安全服務廠商也有意愿去推動這個增值業(yè)務，網(wǎng)絡安全保險可以給其產(chǎn)品的可信度背書，提高產(chǎn)品的競爭力，另外也可以通過附贈保險額度來展現(xiàn)其網(wǎng)絡安全防御實力。并且，對于長期合作的安全服務廠商，保險公司有比較多的數(shù)據(jù)可以開展研究，按照賠付情況，對不同的安全服務廠商給予不同的費率。

（三）監(jiān)管推動

將來網(wǎng)絡安全保險市場日趨成熟后，相信這種方式也會是主流，把網(wǎng)絡安全保險做成交強險，和等保測評一起推動，以保險的方式把全社會的網(wǎng)絡安全風險降到最低。

六、垂直領域的模式創(chuàng)新探索

目前網(wǎng)絡安全保險市場仍然面臨著許多挑戰(zhàn)，如網(wǎng)絡安全事件定義不夠清晰、缺乏一致性，網(wǎng)絡安全事故或損失的歷史數(shù)據(jù)有限，以及企業(yè)對網(wǎng)絡風險和保險責任覆蓋范圍認知程度有限等。保險公司基本采用“一客一議”的銷售方式，前端銷售對產(chǎn)品不甚了解，無法為客戶解答疑問，動輒需要總部支持，銷售成本高，銷售效率低。

為加快推進網(wǎng)絡安全保險的快速落地發(fā)展，充分發(fā)揮保險風險轉移作用，應當在模式上創(chuàng)新，并在某些垂直領域給予政策支持，大膽嘗試。

（一）產(chǎn)品標品化模塊化

為提高銷售效率，必須打破“一客一議”的銷售方式，制定標準化的產(chǎn)品和條款。例如，下面這個保障金額400萬元的產(chǎn)品，客戶可以選擇買1份或者多份。產(chǎn)品在最初設計的時候，要經(jīng)過市場調研，在某個垂直領域的客戶中找到共性。產(chǎn)品適用于大部分客戶，標品客戶可以享受較低的費率，少部分特殊客戶需要修改和定制，則會面臨高昂的費率。

?

（二）主打供應鏈銷售模式

通常客戶能夠接受的費率，杠桿必須在1∶100以上，目前“一客一議”的銷售方式下，費率甚至高達1∶10，花20萬元的保費才能享受200 萬元的保障，大部分客戶是無法接受的。為了降低費率，對保險公司來說，就必須做到風險可控，需要對客戶做風險評估。但是，全面的風險評估所帶來的高昂費用同樣是客戶無法接受的。

采用供應鏈銷售模式可以較好地降低保險公司的風險，保險公司通過安全服務廠商來銷售這個產(chǎn)品，要求客戶是安全服務廠商的長期合作伙伴，購買過一定金額的網(wǎng)絡安全產(chǎn)品和服務，保障范圍限定在經(jīng)過等保測評的系統(tǒng)，那么總體來說風險是可控的，可以降低首次投保的風險評估復雜度。安全服務廠商和保險公司的愿景是一致的，都不希望出現(xiàn)網(wǎng)絡安全事件，安全服務廠商有意愿去保障客戶，為客戶的網(wǎng)絡安全能力做了背書。保險公司還可以對安全服務廠商進行考核，實行費率浮動化，而原先直接銷售給客戶的方式，由于客戶之間都是獨立的個體，難以開展考核。

（三）垂直領域的選擇

把產(chǎn)品限定在某個或某些垂直領域試點，這樣做的好處是，一方面，同行業(yè)的需求比較相近，方便制定標準化產(chǎn)品；另一方面，行業(yè)的風險相近，可以制定合理的費率。

根據(jù)前期調研發(fā)現(xiàn)，現(xiàn)在購買網(wǎng)絡安全保險的客戶主要有船舶行業(yè)和電力行業(yè)，其原因在于船舶行業(yè)從16 世紀開始就有購買保險的傳統(tǒng)，每年支付的保險費用非常高，不太在乎再購買一個網(wǎng)絡安全保險；而電力行業(yè)購買保險則主要是因為這個行業(yè)資金充裕，喜歡去嘗試新險種。實際上船舶行業(yè)和電力行業(yè)在網(wǎng)絡安全方面幾乎沒有什么系統(tǒng)性風險，且都屬于比較封閉的行業(yè)，在這種領域試點標品意義不大。

一個好的試點領域，最好是確實存在較大的網(wǎng)絡安全風險，那么這個行業(yè)會有較強意愿對網(wǎng)絡安全保障進行投入，并且行業(yè)里面客戶數(shù)量比較充足，標品的銷售方式才比較有意義。本文認為，政務、金融、醫(yī)療、教育和制造業(yè)比較符合以上特點，而醫(yī)療和制造業(yè)更是優(yōu)選，可以作為第一階段的試點。醫(yī)院擁有大量個人敏感信息，并且病人需要使用互聯(lián)網(wǎng)掛號和查詢報告單，符合較大風險的特征；制造業(yè)現(xiàn)在已經(jīng)高度依賴工控網(wǎng)絡，一旦出現(xiàn)網(wǎng)絡安全事件，可能造成停產(chǎn)甚至生產(chǎn)事故，會造成較大的經(jīng)濟損失，故出險后制造業(yè)對保險賠付存在較大需求。

網(wǎng)絡安全涉及的利益涵蓋社會各個方面，有公有私，有宏觀也有微觀，有利益一致性，又存在多種博弈，需要綜合施策，找出各方利益共同點，實現(xiàn)多方合作共贏。保險公司應當重視網(wǎng)絡安全保險這個新產(chǎn)品，充分開展網(wǎng)絡安全保險相關宣傳教育活動，介紹網(wǎng)絡安全保險的承保范圍、真實案例、作用意義；和網(wǎng)絡安全公司合作，在上文推薦的試點行業(yè)開展網(wǎng)絡安全保險標品試點，不斷總結試點經(jīng)驗，最終可望形成在全行業(yè)推廣的網(wǎng)絡安全保險服務模式。