網絡風險及保險研究：文獻綜述與研究展望

■陳華 石釗穎

一、引言

近些年，隨著云計算、5G 通信、物聯網、大數據和人工智能的飛速發展，數字經濟全面影響人類工作和生活。同時，數字化也給經濟社會帶來了新的威脅——網絡風險。國際上將與數字技術相關的風險統稱為“網絡風險”（Cyber Risk），具體體現為數據泄露、黑客攻擊、信息盜竊等各種網絡事故。以往事例表明，網絡風險事故會給個體和社會造成巨大的損失。

根據世界經濟論壇2021年《全球風險報告》，網絡相關風險將成為全球最可能發生的五大風險之一，網絡和數字信息相關風險被評為全球影響力風險的第六大風險。網絡風險在近些年已經得到廣泛關注。

中國互聯網絡信息中心（CNNIC）發布的第47次《中國互聯網絡發展狀況統計報告》顯示，截至2020年12月，我國網民數量已經達到9.89 億，互聯網普及率達到70.4%。網民規模的不斷增加和網絡的不斷普及使得網絡安全問題日益突出。國家計算機網絡應急技術處理協調中心（CNCERT）發布的《2020年中國互聯網網絡安全報告》顯示，雖然我國網絡安全法律法規體系日趨完善，網絡風險治理取得了一定成效，但數據泄露和安全漏洞問題依然十分突出。2016—2020年，國家信息安全漏洞共享平臺新增收錄漏洞數量呈顯著增長態勢。其中，2020年新增收錄通用軟硬件漏洞數量達20704 個，同比增長27.9%，創下歷史新高。此外，非法獲取用戶姓名、住址、身份證號、手機號、銀行卡號等個人隱私信息的詐騙不斷增多，給用戶造成大量經濟損失。

在此背景下，網絡保險逐漸發展為避免或降低網絡風險損失的重要工具。根據怡安集團2017年發布的《全球網絡市場概況》，美國是全球最大的網絡保險市場，其保費占全球的90%，其次是歐洲。而我國網絡保險還處于起步階段，目前僅有少數幾家大型保險公司提供網絡保險產品。總體來說，全球的網絡保險市場都相對不成熟。雖然此領域有巨大的市場需求和發展潛力，但也存在許多障礙，比如歷史數據的缺乏導致保險公司無法對網絡保險產品合理定價、高度的信息不對稱和逆向選擇等。

諸多學科領域已積極開展了對網絡風險及保險的研究。Web of Science 和中國知網以“網絡風險”為主題的檢索結果均超過萬條，繁雜的文獻使得文獻綜述很難勾勒出清晰的研究主線和發展趨勢。因此，本文基于科學的文獻選擇方法，對網絡風險及保險相關研究進行總結，并為未來的研究提供方向。

二、文獻特征與樣本選擇

（一）文獻特征

伴隨著互聯網的興起，學界對于網絡風險的關注度不斷提高。國際上對于網絡風險的正式研究發端于2001年。圖1是各年的網絡風險相關論文發表數量。2010年之前，每年發表的論文數量較為穩定，均在十余篇左右。2010年開始，增長速度顯著上升，這可能是由于2010年先后發生了“震網”病毒破壞伊朗的核計劃、“極光行動”攻擊谷歌和雅虎等二十多家公司兩大震驚世界的網絡安全事件。2016年，相關論文的發表數量再次大幅增加，這與2016年發生的多起重大數據泄露事件有關。雅虎、推特等公司均在這一年受到了新舊漏洞的影響，泄露了超過22億條用戶記錄。

圖1 網絡風險相關論文發表時間趨勢

在網絡保險的相關研究方面，2015年之前，論文發表處于較低水平，每年僅5篇左右，從2016年起文獻數量攀升，增速也大幅提升（見圖2）。這可能也與2016年發生的多起數據泄露事件有關，且美國全國保險專員協會（NAIC）在2015年制定了《網絡安全和身份盜竊保險補充規定》，對美國網絡保險市場進行了規范，規定企業必須上報其網絡風險事件信息。

圖2 網絡保險相關論文發表時間趨勢

在文獻的學科分布方面，現有關于網絡風險的文獻大都集中在計算機科學領域，占比達到50.39%；在商科和經濟學領域，占比僅為14.25%。

在商科和經濟學領域，網絡保險相關論文的發表時間和數量趨勢與網絡保險論文總體趨勢基本一致，即在2016年之前保持在較低的水平，在2016年以后出現了大幅的攀升且每年保持高速增長。

網絡風險和網絡保險中文文獻最早發表于1999年，與國際基本同步，但質量較高的論文非常少，且每年發表于SSCI期刊的文獻數量僅在10篇以內。可見，國內研究相對滯后。

（二）樣本選擇與篩查

本文借鑒韻江[1]、林忠等[2]、許閑[3]和陳華等[4]的研究思路，對網絡風險和網絡保險相關文獻進行篩選。

對于英文文獻，以國際主流的文獻索引數據庫ISI Web of Science 作為樣本選擇工具，以“cyber risk”和“cyber insurance”作為關鍵詞進行檢索。

在“cyber risk”的檢索中，將檢索范圍限定在社會科學領域，系統收錄的論文共有1334 篇，發表時間為2001年7月—2021年7月。隨后，以“insurance”作為關鍵詞，將樣本范圍縮小為保險業相關研究。為了保證文獻質量，進一步限制為SSCI 期刊論文，最終檢索結果為58篇。

在“cyber insurance”的檢索中，將范圍限定在“社會科學”“經濟學”“數學”“商科”等領域的SSCI期刊論文，檢索結果為37篇。

由于主題和關鍵詞檢索結果可能存在偏差，對以上95篇文獻的摘要進行人工篩選，加入一些不屬于經濟學、保險學和商科領域，或未發表于SSCI 期刊但具有一定影響力，且對本文有參考意義的論文、報告和專著，最終英文樣本數量為56篇。

對于中文文獻，本文將中國知網作為選擇樣本的工具。通過關鍵詞檢索，共有以“網絡風險”“網絡保險”“網絡安全保險”“網絡風險保險”為主題的保險領域CSSCI 期刊論文54 篇，發表日期為1999年4月—2021年7月。由于關鍵詞和主題檢索結構存在偏差，且國內文獻所稱的“網絡保險”中還涵蓋了“互聯網保險”，因此本文對其進行了人工篩選，最終得到中文樣本數量僅5篇。

（三）文獻分類與說明

可將所研究的61篇中英文文獻分為三類：網絡風險與保險的定義、特征及分類（20 篇，32.8%），網絡風險研究（20 篇，32.8%），網絡保險研究（21 篇，34.4%）。其中，有7篇文獻在三個部分被多次提及，將其按主體研究內容分類于相應部分。網絡風險研究包括網絡風險的成本分析（8 篇，40%）、網絡風險的可保性分析（3 篇，15%）和網絡風險建模（9 篇，45%）三個部分；網絡保險研究包括網絡保險需求分析（6篇，28.6%）、網絡保險供給分析（7篇，33.3%）和網絡保險市場分析（8篇，38.1%）三個部分。

三、網絡風險與保險的定義、特征及分類

（一）網絡風險的定義、特征與分類

網絡風險，通俗來說就是伴隨計算機電子設備和網絡的使用而產生的，通過影響企業和個人的信息和技術資產而對個人和企業造成損失的風險。

目前文獻主要從風險來源、風險對象和造成的影響三個維度來定義網絡風險。

首先，大量文獻使用“風險來源+影響”的組合來定義網絡風險。如Mukhopadhyay等[5]認為網絡風險是一種與惡意數字事件相關的風險，該事件會導致業務流程中斷和資金損失，還可能對機會成本和組織的品牌價值及市值產生負面影響。2014年，首席風險官（CRO）論壇發布了其對網絡風險的定義：網絡風險是因使用電子數據及其在網絡上的電子傳輸而產生的風險，還包括網絡攻擊可能造成的物理損害、濫用數據造成的欺詐、數據處理（確保其可用性、完整性和保密性）引起的成本[6]。

其次，通過“風險對象+風險影響”的組合對網絡風險進行定義。例如，Cebula等[7]將網絡風險定義為“影響信息或信息系統機密性、可用性或完整性的信息和技術資產的操作風險”，首次將網絡風險歸類為操作風險，這在此后的研究和實踐中得到了廣泛的認可。美國國家保險委員會協會（NAIC）在2018年將網絡風險定義為與會導致業務中斷和經濟損失的惡意電子事件相關的風險，包括身份盜竊、敏感信息泄露和業務中斷。NAIC解釋“網絡風險包括與在線活動相關的所有風險，如在互聯網上存儲個人數據或進行在線交易”[8]。

最后，綜合了風險來源、風險對象和影響三個維度的更全面的定義。Eling等[9]提出網絡風險源于信息和通信技術的使用，它威脅到數字數據和服務的機密性、可用性或完整性，并導致業務中斷、基礎設施故障或其他物質損害。Strupczewski[10]認為網絡風險是與網絡空間活動績效相關的操作風險，威脅信息資產、信息通信技術資源和技術資產，可能對組織的有形和無形資產造成實質性損害，使得組織業務中斷或受到聲譽損害。

綜上，網絡風險的主要來源是互聯網的使用，包括利用網絡儲存和傳輸信息、電子設備的使用、在線交易等。網絡風險造成的損失對象包括：信息資產（數據、軟件、計算機操作系統）、信息和通信技術資源（硬件、電信系統、視頻監控）、技術資產（電子控制設備、運輸系統、能源供應）。網絡風險存在三個方面的潛在影響：（1）財產損失，不僅是指物質損失，還包括在數據泄露的情況下對第三方造成損害的賠償義務（民事責任）及由于計算機系統故障造成的利潤損失，可能涉及有形資產（現金、不動產、物質資產）和無形資產（商譽、知識產權、專利）；（2）組織業務中斷（無直接財務損失）；（3）聲譽損失，可能會導致客戶信心喪失和進一步的負面商業后果。

許多學者將網絡風險與傳統風險對比，對網絡風險的特征進行提煉。Bohme等[11]指出可從兩個方面識別網絡風險：一是信息和技術系統的相互關聯增加了積累的風險；二是運營中的自動化設備故障會造成嚴重的損失。Ogut等[12]提出網絡風險之間可能存在顯著的相關性，IT系統的全球關聯會導致地理邊界消失。Biener 等[13]指出網絡風險是非傳統的，存在信息不對稱、損失相關性高、風險動態變化等特征。Eling 等[9]認為網絡風險的特點是事件的相關性、可能的災難性影響以及建模數據和方法的高度不確定性。Eling等[14]認為網絡風險是不斷變化的。

Eling 等[15]總結了網絡風險的三個特征：第一，網絡風險具有異質性，因為某個公司或服務基站的脆弱性與其本身的特質有關，比如技術、管理流程和工作人員等；第二，網絡風險的投資數額往往低于經濟上的最優數額，這是網絡安全的公共品屬性導致的；第三，網絡風險造成的后果很大程度上取決于攻擊者的目的，如間諜、勒索或是破壞信息，不同目的攻擊可能導致不同的結果。

基于現有研究，網絡風險的特征可總結如下：（1）網絡風險不斷發展變化，難以建模；（2）網絡風險事件高度相關，由于計算機技術和設施是通用的，任何地方的網絡風險都可能影響到全球；（3）網絡風險可能造成巨大的損失；（4）網絡風險具有異質性；（5）網絡風險的后果很大程度取決于攻擊者的目的。

網絡風險有三種主要的分類方式：一是根據網絡攻擊活動的性質，可分為犯罪（如黑客入侵）和非犯罪（如人為失誤）；二是根據攻擊的類型，可分為惡意軟件、內部攻擊、垃圾郵件、分布式拒絕服務；三是根據攻擊的來源，可分為恐怖分子、犯罪分子和政府。Eling 等[16]還區分了“日常生活中的網絡風險”和“極端網絡風險”，日常生活中的網絡風險即常見的對單個公司的黑客攻擊，目前是可承保的；極端風險，即網絡損失不是相互獨立的（會導致潛在積累風險），是不可承保的。

（二）網絡保險的定義、特征、作用與分類

網絡保險，指投保人以互聯網行為本身作為保險標的，以可能因網絡風險而遭受的損失為保險利益，比如因為網絡漏洞數據丟失、黑客攻擊信息被盜等[17]，在我國通常又被稱為網絡安全保險。簡單地說，網絡保險是對由網絡中斷、數據泄露等網絡事件造成的責任問題、財產損失進行保障的保險合同[18]。

當前的網絡保險產品普遍提供3 種基本保障：數據盜竊造成的損失和責任；違法行為用于法律鑒定和補救的成本；法律和監管罰款的承保范圍[19]。

由于網絡風險的特殊性，網絡保險具有以下特征：首先，由于信息不對稱，網絡保險容易出現逆向選擇的情況。受到網絡攻擊頻率和嚴重程度更高的公司更傾向于購買網絡保險，導致保險公司承保的都是高風險公司。其次，由于網絡安全的公共品屬性，公司對于網絡保險的購買往往低于經濟上的最優數額。再次，現有網絡保險保單只承保小額損失，并包含若干除外責任，提供的保障不全面[13]。最后，網絡保險可能會出現申報不足（未對所有網絡事故提出索賠）現象。《安永全球信息安全調查（2003）》指出，部分公司會擔心提交保險索賠可能暴露公司的安全和情報信息，進而損害公司的公眾形象，因此可能出現發生網絡事件卻不提出索賠的現象[20]。

許多文獻對網絡保險的作用進行了探析，總體來說，普遍分析了網絡保險對于企業的網絡安全投資的激勵作用，網絡保險是否可以改善社會福祉、加強互聯網整體安全。Lelarge 等[21]、Schwartz 等[22]和Shetty 等[23]認為網絡保險業務可以增加企業的網絡安全投資。Shackelford[24]表明盡管評估風險和計算保費存在困難，但網絡保險仍是解決企業網絡安全問題的關鍵方法，網絡保險有助于降低風險并增強私營部門的網絡安全，從而進一步提高社會整體的網絡安全。Biener 等[13]強調發達網絡保險市場的兩個好處：一是網絡保險覆蓋范圍量化了網絡風險，從而為投保人實踐良好的網絡安全創造了經濟激勵；二是網絡保險的申請過程使企業對網絡風險有了更多的認識和自我保護。然而，Ehrlich 等[25]、Massacci等[26]卻得到了相反的結論，認為網絡保險會使組織減少網絡安全投資。Yang 等[27]表明，在沒有道德風險的情況下，網絡保險可以促進企業的網絡安全投資，但在存在道德風險的情況下，情況可能相反。但普遍來講，學術界仍看好網絡保險。Shetty 等[23]指出，通過風險轉移使被保險公司保持風險可控，同時提高對網絡安全投資的激勵措施，可以降低組織的整體風險。李克穆[18]指出網絡保險在維護信息安全、保護消費者權益方面具有重要的意義。

美國保險監督官協會（NAIC）于2015年制定了《網絡安全和身份盜竊保險補充規定》，表明保險公司提供兩種類型保險：一是網絡安全保險，面向企業，補償因數據泄露和業務中斷等風險造成的損失；二是身份盜竊保險，面向個人，賠償因身份盜竊事件（如身份證號碼或銀行賬號被盜）造成的損失[28]。

網絡保險保單有獨立網絡保險和組合網絡保險兩種形式。獨立網絡保險的保險范圍包括第一方損失和第三方法律責任損失。第一方保險為被保險人遭受的直接損失和現金支出提供保障，涵蓋數據恢復成本、網絡犯罪的直接損失、業務中斷、網絡勒索、法律費用、管理聲譽損害的公關費用、取證成本等。第三方責任網絡保險賠償企業為賠償客戶因數據泄露、惡意軟件感染或網絡攻擊所受損失的費用。組合網絡保險即與傳統的財產保險、責任保險相組合，通常被添加到商業一般責任（CGL）、錯誤與遺漏（E&O）、董事與官員（D&O）、忠誠與犯罪、業務中斷（BI）、電子設備保險（EEI）等保單中[29]。

四、網絡風險研究

（一）網絡風險的成本分析

由于高度的不確定性和信息渠道不完善，計算網絡風險的損失還比較困難，因而現在對于網絡風險成本更多的是估計而不是精確計算[30]。全球網絡風險損失每年一般在1000億美元以上，不同公司的估計值存在很大區別。例如，Symantec[31]估計2013年的全球網絡風險損失為1130億美元；CSIS等[32]估計2014年網絡犯罪給全球經濟造成的損失近5000億美元，約占全球收入的0.62%；McAfee[33]估計2017年網絡犯罪使全球經濟損失近6000億美元，占全球GDP的0.8%，并且網絡犯罪的成本在世界各國之間的分布是不均勻的，歐洲和中亞的網絡風險成本達到了GDP 的0.79%~0.89%，北美的這一比例為0.69%~0.87%，南亞的這一比例為0.24%~0.52%。

由于安全和咨詢公司的估計結果偏差較大，一些學者構建模型或使用更為精確的方法對網絡風險成本進行估計。Jacobs 等[34]利用財務報表、公司收入、資產和知識產權數據，開發了一個網絡風險價值模型，將其應用于大約50 家荷蘭公司，得出荷蘭每年的損失約為100億歐元。Palsson等[35]使用Advisen公司的網絡損失數據，用隨機森林分類法分析網絡損失事件及其財務影響，發現惡意入侵事件在所有行業中都占主導地位，未經授權的事件主要發生在金融、行政、支助、廢物管理和補救服務及專業、科學和技術服務領域，網絡釣魚和惡意入侵事件的成本最高，而網絡勒索事件的成本通常低兩個數量級。

Anderson等[30]指出大部分網絡成本是間接損失（如失去信任）和防御成本（如購買殺毒軟件、保險等），而不僅僅是直接的金錢損失。Lagazio等[36]使用系統動力學模型分析網絡犯罪對金融部門的影響，發現重視保護客戶的信任以及在防御措施上的支出是網絡犯罪成本的主要構成因素。一些研究分析了網絡風險對公司股價的影響，以對網絡風險的直接和間接影響進行評估。例如，Cavusoglu 等[37]研究表明，網絡風險對公司股票價格有負面影響，這一損失的估計值占比高達市場交易量的2.1%。Campbell等[38]認為與非機密信息相比，泄露機密數據對公司股價的負面影響更大。Hovav 等[39]認為對于商業模式高度依賴互聯網的公司來說，網絡風險會對股價產生更大的負面影響。此外，Dreyer 等[40]構建了一種估算網絡風險當前和未來財務成本的方法，該方法能夠按國家和工業部門確定風險價值，并根據經合組織的數據計算直接和間接網絡成本。

（二）網絡風險的可保性分析

Bandyopadhyay 等[41]認為客戶和保險提供商之間存在信息不對稱問題，進而導致網絡保險合同定價過高，這是影響網絡保險可保性的主要問題。El‐ing 等[15]認為，關于網絡風險的可保性，主要問題是損失發生的隨機性（相互依賴和相關風險）、信息不對稱和缺乏可靠的網絡損失數據來進行保險定價。

Biener 等[13]通過分析994 個網絡損失案例的統計特性，得出網絡風險在可保性方面存在三個問題：一是缺乏獨立性和可預測性；二是保險公司承保的都是高風險公司；三是現有保單只承保小額損失，并包含若干除外責任，提供的保障不全面。

（三）網絡風險建模

目前相關研究有兩類：一是對不同類型網絡風險發生頻率和損失程度的估計；二是對不同類型網絡風險和不同行業的網絡風險的相關性的研究。

Maillart 等[42]研究了2000年1月至2008年11月之間數據泄露的統計特性，發現數據泄露的頻率在2006年7月之前呈指數增長，之后保持穩定增長；數據泄露的規模遵循重尾冪律分布，且泄露規模隨著時間的推移保持穩定，既不取決于組織類型，也不取決于組織規模。Edwards 等[43]分析了惡意和過失造成的數據泄露的規模和頻率的時間趨勢，發現泄漏事件的規模和頻率在2005—2015年均未增加，且泄露規模呈對數正態分布，泄露頻率遵循負二項分布。Wheatley 等[44]通過擴大數據集和改進分析方法，對Maillart 等[42]的研究進行了拓展。其結果表明，對于美國公司來說，大型數據泄露發生的頻率與時間無關，而對于非美國公司來說，頻率隨著時間的推移而增加；文章對損失的嚴重程度進行了GPD建模，結果表明隨著時間的推移，數據泄露規模變得更大；數據泄露頻率和嚴重程度都隨著公司規模的增加而增加，并且隨著行業的不同而顯著變化。以上文獻研究的均為數據泄露等特定類型的網絡風險，在此基礎上，Eling 等[45]聚焦于整個范圍的網絡風險并考慮了經濟成本，利用極值理論中的POT 模型，識別出了“日常生活中的網絡風險”和“極端網絡風險”，研究表明日常網絡事件的風險明顯比其他操作風險的傾斜性和厚尾性要小得多，而一些極端的網絡風險對受影響者的償付能力構成了巨大威脅。

許多研究者認為，網絡風險是相互關聯的。一方面，一個網絡風險可能影響一個實體的多個系統；另一方面，即使地理距離遠，只要網絡上有關聯，不同實體之間也存在相關性[39]，因此需要對網絡風險進行加總。Bohme 等[46]使用t-copula 對網絡風險進行建模，結果顯示全球攻擊的相關系數僅為0.03—0.18，且內部相關系數小于0.1。Herath 等[47]分析了病毒攻擊事件造成的損失，發現風險以非線性方式相互關聯，建議使用阿基米德copula 建模。Mukho‐padhyay等[5]使用正態copula來聚合損失的數量和嚴重程度，最終得到了網絡風險投資組合的總體損失分布。Eling 等[48]使用2005—2016年的3327 起數據泄露事件，考慮了兩個橫截面分類，即跨行業結構（根據泄露類型分類）和跨泄露類型結構（根據行業分類），并應用pair copula結構（PCC），從頻次和嚴重程度兩個方面來識別月度損失事件之間的相關結構，發現了顯著的不對稱尾部相關性，表明不同類型的網絡風險之間為非線性相關，這種不對稱的尾部相關性是成對估計的，比廣泛使用的橢圓模型或阿基米德copula模型更精確。

總之，隨著有關網絡風險的數據越來越多，研究應旨在厘清對相當復雜和相互依存的網絡風險的理解并改進分析模型。

五、網絡保險研究

（一）網絡保險的需求分析

對于網絡保險需求面的研究分為兩個部分：一是對企業購買網絡保險的理論研究；二是對企業的網絡風險感知和潛在的網絡保險需求進行研究。

一些學者將網絡保險作為企業網絡安全投資的一種方式，分析企業的最優網絡安全投資和網絡保險的購買。Gordon等[49]提出了一個網絡安全支出經濟研究的分析框架，構建使用網絡保險來減輕信息風險的模型，該模型有三個獨立的組成部分，即“威脅”“脆弱性”“影響”。在此基礎上，Wang[50]為組織優化網絡安全投資和網絡保險計劃提供了一個分析框架，用于量化網絡安全投資在解決網絡威脅、脆弱性和影響方面對預期損失的影響，計算得出組織最優的網絡安全投資。Uuganbayar 等[51]研究表明，對于風險厭惡型組織來說，在完全競爭市場中，全額保險是最優選擇。Mukhopadhyay等[52]提出了網絡風險評估和緩解（CRAM）框架，用于計算網絡攻擊的預期損失，并預測下一年將攻擊概率降低到給定水平所需的安全技術和需要支付的凈保費。

在對潛在網絡保險需求的研究上，Ogut 等[53]發現網絡風險的相互依賴性降低了自我保護的有效性，鼓勵企業購買網絡保險而不是投資于網絡安全。然而，文章也表明企業沒有足夠的動機在社會最優水平上管理網絡安全，這對網絡保險將提高網絡安全的猜想提出了質疑。企業對于網絡風險感知的研究，以Pooser等[54]為代表，其利用美國公開交易的財產和意外傷害（P&C）保險公司的數據分析了2006—2015年的網絡風險感知趨勢，研究表明在2006年，大約四分之一的樣本將網絡風險視為一個重要風險因素，到2013年擴展到了幾乎所有保險公司。此外，早期的采用者往往是規模較小、杠桿率更高、盈利能力更強、成長性更高的公司。

（二）網絡保險供給分析

網絡保險供給包括兩個層面內容：一是網絡保險產品的開發與設計；二是對保險公司的分析。

保險產品設計首先需要解決定價問題。Muk‐hopadhyay等[5]提出了基于公用事業的優惠定價（UB‐PP）模型，在計算保費前，考慮潛在被保險公司的風險概況和財富。為了證明多重最優定價，Bandyo‐padhyay 等[55]引入了一種考慮二次損失的調整定價方式并與傳統定價方式進行比較，發現對于任何給定的免賠額，調整定價下的保費結構永遠不會高于傳統定價下的保費結構。推導出了封閉形式的解決方案，證明了在調整定價情況下，被保險公司的情況不會更糟。對完整模型進行了數值分析，結果表明在調整定價下，被保險公司的情況總是更好，而保險公司的情況取決于二次損失的大小。當二次損失很小時，兩種不同定價下的免賠額幾乎相等，而傳統保費較高，因此調整定價獲益更小；當二次損失較高時，在調整定價下，免賠額更低，保險公司從更高的保費中獲利。在網絡保險產品的設計方面，Wang[50]提出了一種創新的網絡保險產品，保險人協助公司進行風險評估，保險公司提供一部分保費以幫助公司解決特定領域的脆弱性或特定類型的損失。姜婷婷[56]認為我國有必要開發網絡信息安全保險，并在保險購買前后的每個重要環節都需要與信息安全機構進行全面合作。王一飛[57]基于信息風險評估理論，從技術、管理、組織三個層面對信息安全保險核保技術審核架構的具體實現環節進行了詳細設計。

目前對于網絡保險公司的研究甚少，僅有兩篇實證論文對網絡保險的供給進行了研究。Eling 等[14]使用2015年的數據，運用logistic回歸模型分析了保險人的財務、管理和承保特征與網絡保險承保之間的關系，并利用聯立方程模型分析了網絡保險承保與資本和再保險使用之間的關系。結果表明，網絡保險的承保人規模較大，資本較多，資產風險較低，且業務種類和地理區域的跨度較大。文章還發現，股份制保險公司更有可能提供獨立的網絡保險保單，提供網絡保險的保險人更多地使用再保險來轉移所承擔的風險。Xie 等[58]在此基礎上進行了擴展。首先，在對保險公司特征進行分析的基礎上，分析了提供網絡保險的保險公司的動機和表現，使用2015—2017年的數據，研究了網絡保險提供的決定因素、參與程度和網絡保險公司業績；其次，提出專業盈余保險公司的概念，將其與標準保險公司區分開來，并考察其在網絡保險市場中的角色；再次，直接用回歸檢驗了競爭優勢假設和業務約束假設，以確定保險公司提供網絡保險的動機；最后，將新網絡保險公司與現有網絡保險公司分開，并直接調查保險公司進軍網絡保險市場的動機，說明一家公司希望在同質化的環境中擴展到新的業務領域的原因。

（三）網絡保險市場分析

即使在網絡保險市場最為發達的美國，網絡保險的市場份額在財產保險中依然處于較低水平，對網絡保險市場的發展概況是學者的研究熱點。Strupczewski[10]對全球網絡保險市場的發展現狀進行了系統分析，研究表明全球網絡保險市場相對不成熟，還存在保險產品缺乏標準化，僅關注容易定價的常見網絡風險事件，風險定價模型不完善導致新進入者容易受到大型網絡事件的影響，缺乏歷史損失經驗和無法精確評估需求等問題。Wrede 等[59]表明德國保險市場仍處于應對隱性網絡風險的早期階段，存在保險條款措辭不準確、合同規定的保險范圍描述不充分等問題。張旭升[60]對我國的網絡保險市場進行了分析，結果表明我國網絡風險保險具有巨大的市場潛力，但由于保險公司缺乏經驗，以及網絡保險的保險額度通常較大、保單的設計復雜等原因，目前國內還沒有保險公司開展網絡風險保險業務。

一些學者對網絡保險市場失靈進行了研究，表明除了道德風險和逆向選擇等傳統問題以外，網絡風險的高度相關性也是制約網絡保險發展的主要障礙。Majuca等[61]認為道德風險和逆向選擇等傳統問題是造成網絡保險失靈的主要原因。Bandyopadhyay等[41]提供了一個不對稱的網絡保險合同估值框架，解釋了公司對網絡保險的興趣降低的原因。Bohme等[46]研究了網絡風險的相關性對網絡保險市場的影響。在此基礎上，Schwartz等[62]在網絡保險中建立了不對稱模型，一些網絡保險流氓用戶的事后合同行為使得保險公司對其客戶的IT 安全健康狀況的監控處于次優狀態，從而對網絡保險的使用產生負面影響。與Bohme 等[46]不同，這項工作整合了所有類型損失的網絡風險影響。

六、總結及研究展望

盡管當前社會對于網絡風險的關注越來越高，但相關研究還非常有限。現階段關于網絡風險的研究主要集中在計算機科學領域，商科和經濟學領域的網絡風險研究還十分稀缺，并且主要集中于網絡風險的概念界定、網絡風險建模和成本的理論分析上。在網絡保險方面，隨著網絡保險日漸成為企業抵御網絡風險的有效手段以及各國網絡保險市場的不斷完善，網絡保險相關研究數量在2016年之后出現了大幅攀升，并保持高速增長。目前對于網絡保險的研究主要集中在供給方面，如網絡保險合同的設計、網絡保險產品的定價，此外，大量文獻對網絡保險的意義進行了分析，即網絡保險在提高網絡安全方面的效果。這些大部分為理論研究，直到最近才對網絡風險進行了一些初步的實證分析。與國外相比，國內的研究還非常稀缺。在網絡風險方面，主要集中于網絡風險的傳播模型的構建、網絡風險的法律規制；在網絡保險方面，由于我國的網絡保險市場還處于起步階段，目前的研究大都是對策建議方面的。網絡風險和保險目前最大的研究障礙是缺乏數據，導致無法對網絡保險進行合理的定價，實證研究也無法展開，但隨著風險披露和數據保護相關規定的不斷完善，這種情況可能會在未來有所改善。

基于此，未來國內外對于網絡風險及保險的研究有以下四個可能的方向：

第一，未來可以廣泛開展對于網絡保險的需求側，即面臨網絡風險的個體的風險感知和保險需求的研究。現有研究主要集中在網絡保險的供給側，尚未對需求側進行大量研究，未來應加強此方面的研究，比如分析個體的風險感知，研究消費者對于網絡風險的態度，以及將網絡風險保險領域的風險感知和風險規避與其他險種進行比較研究。

第二，未來應積極開拓關于網絡風險成本和網絡保險的提供、購買及作用等各個方面的實證研究。不管是在需求方面還是供給方面，實證研究都非常稀少，未來應廣泛開展對于網絡風險和保險的實證研究，如網絡保險在企業風險管理、提高公司業績上的效果，遭受網絡事件的公司的股票市場反應，企業網絡風險的披露、保險公司承保網絡風險所需資本標準，以及保險作為風險管理手段的有效性。

第三，未來應提高對于個人的網絡風險分析和網絡保險購買的研究。目前的研究主體大多是企業，但隨著移動電子設備和網絡交易的興起，個人也面臨著不可忽視的網絡風險，未來的研究可以關注個人在網絡交易過程中的風險、個人購買網絡保險對于福利的提升、個人如何購買最優的網絡保險等。

第四，未來可以關注存在政府參與的網絡保險市場。由于網絡安全具有“公共品”的性質，未來的研究中可以加入對于政府行為的分析，如研究政府的最優激勵，政府行為對于改善網絡保險市場的效果，存在政府干預的情況下企業的網絡保險決策、保險公司的定價等。■