網絡安全保險的應用難點與發展路徑

孫倩文 陳羽凡 國家工業信息安全發展研究中心

網絡安全保險是承保與網絡空間風險等相關風險的新險種，在轉移殘余網絡安全風險、保障組織財務穩定性和業務連續性方面能發揮有效作用。隨著《中華人民共和國網絡安全法》《中華人民共和國數據安全法》等法律法規頒布實施，我國各行業主體的網絡安全意識不斷增強，安全保障需求不斷提升。

美國和歐洲從20世紀90年代開始推動網絡安全保險發展壯大，網絡安全保險的保障范圍不斷完善、保險方案日益豐富、保費規模快速增長。而我國網絡安全保險市場尚處于探索階段，面對需求釋放不足、安全服務賦能不夠、產業生態尚未建立等問題，還需要進一步強化需求牽引作用，優化產品服務供給，推動網絡安全保險服務標準化，促進多方市場主體深度協同，打造健康有序、良性發展的網絡安全保險生態。

一、美國和歐洲發展網絡安全保險的啟示借鑒

美國是全球最大的網絡安全保險市場，占據全球網絡安全保險市場份額的62%，英國和歐盟分別占據16%和14%，其他國家僅占8%（唐金成、莫賜聰，2022）。美國和歐洲探索構建了政府主導、產學研協同發展的路徑，有效推動了網絡安全保險落地發展。

（一）政府高度重視網絡安全保險，優化保險發展環境

一是前期開展網絡安全保險發展的研究和調研，摸清其發展面臨的關鍵問題。美國國土安全部從2012年到2014年共舉辦了四次工作會議，分析網絡安全保險發展狀況和面臨的障礙，明確推進網絡安全保險的關鍵領域，包括網絡事件信息共享、網絡事件后果分析和企業風險管理。自2012年起，美國網絡安全和基礎設施安全局（CISA）積極與學術界、運營商、保險公司等聯合開展網絡安全保險政策研究制定工作（https://www.ccidgroup.com/info/1105/32377.htm）。2011年設立的歐洲保險和職業養老金管理局于2019年制定了網絡承保戰略，闡述歐洲網絡安全保險市場面臨的機遇和挑戰，認為處置網絡風險的有效解決方案是建立合理的網絡風險評估框架，并設計彈性的網絡安全保險覆蓋范圍（資料來源：EIOPA Strategy on Cyber Underwriting）。

二是強化網絡安全立法規范和行業監管，明確網絡安全事故相關責任界定。美國制定了一系列網絡安全政策，為網絡安全建設、網絡安全主體責任落實提供指導，例如，13636號行政命令《提高關鍵基礎設施網絡安全》、美國國家標準與技術研究院（NIST）網絡安全框架等。同時，美國強化了數據安全責任的相關規定，已有50多個州陸續頒布《數據安全泄露通知法案》，要求企業在發現數據泄露事件后及時告知用戶，對故意隱瞞者按照違法行為處置。這與歐洲《通用數據保護條例》（GDPR）對個人數據泄露通知報告要求類似，對網絡安全保險需求增加起到了推動作用。法律法規明確了企業的網絡安全責任，在網絡安全事件發生后，企業不僅需要承擔給第三方造成的法定賠償責任，還可能面臨監管部門的罰款，高額的賠付成本使得企業對網絡安全保險的需求增加。

三是出臺并發布網絡安全保險行業指南，鼓勵和指導企業購買網絡安全保險。美國的一些州在法案中提出了網絡安全保險相關要求。例如，馬薩諸塞州立法修正案增加了“任何采購信息技術產品或服務的國家機構，應優先考慮購買了網絡安全保險的供應商”條款。2019年5月，堪薩斯州通過了有關網絡安全保險的法案，允許相關機構購買網絡安全保險。2020年2月，加利福尼亞州修訂了《公共合同法》，增加了“合同應要求承包商提供足夠的網絡安全保險，以承保可能因非法訪問或披露個人信息造成的一切損失”條款。這種指引性的立法，有力推動了美國網絡安全保險走向規范和成熟。

（二）政企合作協同推進，促進網絡安全保險應用落地

一是較好發揮行業組織作用，明確行業標準化操作。2014年，美國保險監督官協會（NAIC）成立網絡安全工作組，制定保險公司承保網絡風險的指導原則，要求保險公司披露已簽約的網絡安全保單相關信息，監測和統計美國網絡安全保險市場發展情況。“歐盟—美國”保險對話項目網絡安全保險工作組也就網絡安全保險發展進行持續的雙邊對話，并于2018年發布報告，對美國和歐洲市場上網絡安全保險的類型、承保該類保險的挑戰進行總結，指導行業發展網絡安全保險業務。

二是龍頭企業率先探索產品優化，跨領域合作創新發展模式。美國國際集團（AIG）探索將保險服務與專業技術手段結合，于2012年到2014年間，嘗試組建網絡安全保險團隊，為投保企業提供承保中的風險管理和出險后的安全應急服務，并在2015年投資網絡安全服務公司以完善其服務體系。歐洲保險龍頭企業勞合社于2019年發布網絡安全保險承保強制性規定，要求旗下保險公司在2020年和2021年分別確認網絡攻擊導致第一方損失及第三方責任的承保范圍，該規定在很大程度上促進了網絡安全保險在全球范圍的落地。另外，在支撐保險定價的風險數據建設方面，美國巨災建模公司AIR Worldwide和數據分析公司Verisk聯合發布網絡安全損失數據搜集標準以支撐網絡風險建模數據搜集（朱晶晶、趙桂芹、吳婷，2018）。

三是初創型網絡安全保險服務機構發揮專業技術優勢，補齊網絡安全保險生態鏈條。由賽門鐵克創立于2015年、專注于網絡安全保險服務的公司Cybercube，推出網絡風險建模工具，全面融合大數據、人工智能與精算科學等數據分析技術，可基于網絡風險基礎數據實現差異化的網絡安全保險定價，賦能保險公司網絡安全保險承保流程。在此基礎上，Cybercube公司、勞合社和佳達再保險經紀公司于2021年共同設計開發了網絡巨災風險產品。此外，還有Security Scorecard、Perseus、Soteria、Coronet等公司，充分發揮其網絡風險量化、非侵入式監測、事件響應與數據取證等專業技術能力，實現對網絡安全保險投保階段風險評估、承保階段風險持續監測和理賠階段事故鑒定等流程的有力支撐。目前，這類第三方機構也是國外網絡安全保險產業鏈的主要參與者。

（三）網絡安全保險發展日趨規范，發展潛力被業界看好

一是網絡安全保險需求不斷增加，保費規模穩定增長。網絡攻擊事件頻發造成的巨額財務損失和品牌名譽損失，使得用戶對網絡安全保險需求不斷上升。根據美國政府問責局（GAO）對其網絡安全保險市場的調研，2016年至2019年，生效的網絡安全保單數量從220萬份上升到360萬份，增加約60%；書面保費總額從21億美元增長至31億美元，增長超過50%（CYBER INSURANCE:Insurers and Policyholders Face Challenges in an Evolving Market）。根據美國保險監督官協會（NAIC）的統計數據，2019年，共有577家保險公司披露其網絡安全保險業務相關信息，涉及多種類型的網絡安全保險服務（Report on the Cybersecurity Insurance and Identity Theft Coverage Supplement）。

二是產品類型多為財產險和責任險，主要保障網絡安全事件導致的財產損失和安全責任。在美國注冊的保險公司中，目前共有47家保險公司提供獨立的網絡安全保險保單（Stand-alone Policy），另有516家保險公司提供綜合保單（Packagesd Policy）。網絡安全保險承保內容主要包括兩大類：一類是網絡風險事件對投保人自身造成的損失，包括數字資產的丟失或損壞、運營中斷、網絡欺詐、金錢或數據資產的失竊等；另一類是對第三方造成的損失（第三方責任），如調查取證費用、公關費用、第三方數據丟失和第三方合同賠償等。

三是網絡安全保險場景化發展程度有限，發展潛力有待進一步釋放。據市場研究公司（Research and Market）預測，到2026年，全球網絡安全保險市場規模將達到350.7億美元，平均年復合增長率達到26.6%，展現出巨大的網絡安全保險市場空間（Cyber Security Insurance-Global Market Outlook）。但從目前發展情況來看，國外網絡安全保險產品和保單設計還在發展過程中，保單的保障范圍主要集中在應急響應費用、物理損失、營業中斷損失、網絡勒索損失等第一方損失，以及第三方的數據泄露責任、網絡安全事件責任、數字媒體責任，但是面向制造、金融、能源等行業，以及工業互聯網、車聯網、5G新興應用領域的差異化險種供給能力較弱，潛在用戶在選擇網絡安全保險時，難以結合所在行業領域的需求。

二、我國網絡安全保險的應用難點

作為網絡安全模式與金融服務模式融合創新的結果，我國在網絡安全保險領域開展了積極探索，《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律法規的相繼實施，逐步完善了我國網絡安全方面的法律體系，明確了網絡安全主體責任，為我國網絡安全保險的發展奠定了良好的法律基礎。據國家工業信息安全發展研究中心測算，2021年我國網絡安全保險保費規模預計超過7000萬元，較2020年增長3.2倍以上，最高保額超過4億元，整體保費規模呈現持續高速增長態勢（數據來源：《我國網絡安全保險產業發展白皮書（2021年）》）。但是，我國網絡安全保險仍處于發展初期，行業及企業對網絡安全保險的關注較少、認知不足，網絡安全保險產品服務規范尚未建立，安全服務對保險業務的支撐能力有限，產業生態有待完善。以下諸多實際問題和難點需要引起關注。

（一）如何提升網絡安全需求側主體對網絡安全保險的認知

整體來看，我國大多數行業及企業的網絡安全風險意識淡薄，網絡安全建設投入普遍不足，對于網絡安全保險的投入預算基本處于空缺狀態。中小企業更關注投入產出比，普遍缺乏網絡安全風險意識，更不用說考慮風險轉移。同時，行業及企業對網絡安全保險認知還不到位。由于網絡攻擊短期內可能不會造成明顯損失或損失并不直觀，部分企業購買網絡安全保險僅僅是為了滿足合規要求。此外，與國外慣例不同，我國鮮有因信息泄露而引發的民事索賠，大多數企業對網絡安全保險的認識也只停留在重硬件、輕數據的層面，很少會考慮將網絡安全保險作為轉移第三方責任風險的措施。

（二）如何提升現有網絡安全服務對網絡安全保險賦能水平

從供給側看，現階段主流的網絡安全服務大多以人工服務模式為主，受網絡安全服務人員數量、地域分布等限制，網絡安全服務很難與保險銷售、風險評估或監測業務實時聯動。同時，網絡安全服務與保險服務之間存在一定程度的割裂。例如，風險評估方法多停留在定性而非定量層面，風險監測對象側重于外部已知威脅，溯源取證并非關注保險責任界定等。從需求側看，投保企業對風險評估和安全檢測持有戒備心理。保險公司通常需要采集大量信息用于網絡安全風險評估以決定是否承保，但由于國內相關法律體系不健全及風險評估標準不完善，部分企業考慮到信息泄露風險而不愿投保。如何推進“無感評估”用于網絡安全保險風險評估，還需進一步研究解決。同時，由于國內網絡安全保險出險案例較少，保險公司未建立對于網絡安全事件導致的直接損失、間接引發的無形損失等的量化評估體系和規范化流程，無法實現對數據資產價值、漏洞威脅等級、網絡威脅態勢等風險量化指標的統一。

（三）如何構建健康規范的網絡安全保險生態體系

產品方面，各保險公司在險種類別、可保風險及承保責任等方面的表述和內容存在差異甚至分歧，保險條款還需要司法進一步審核和市場驗證。標準方面，網絡安全保障體系尚未健全，承保中風險量化分析、應急響應、數據恢復等方面尚未形成統一標準，服務保障內容尚未規范，導致企業購買力不足。在網絡安全保險發展初期，尚未建立具有資質的保險公估公司對企業受損情況進行查勘、評估。再保險方面，出于對業務效益及未知風險承受能力的考量，國內再保險公司僅為網絡安全保險提供極為有限的承保能力，因此，大部分直保公司將網絡安全保險業務分出給外資再保險公司，而部分企業數據較為敏感，外資再保險公司參與其中可能會帶來安全隱患。公估能力方面，國內保險公司普遍缺乏賠案處理能力，定責定損所依賴的第三方機構多為利益相關的網絡安全企業，客觀性、公正性、準確性難以得到業界的一致認可。總之，行業標準規范建設還在摸索的初級階段，產業鏈條各方主體的分工協作模式還有待建立和規范。

三、網絡安全保險的發展路徑思考

隨著各行業各領域數字化轉型的深入推進，網絡信息安全防護理念逐漸從“被動安全”步入“主動安全”時代，網絡安全需求持續增加，網絡安全保險有望加速發展。我國可通過借鑒國外網絡安全保險實踐經驗，并結合發展實際，從供給、需求和生態等層面多措并舉，加快推進網絡安全保險落地發展。

（一）加快提升網絡安全保險產品和支撐服務供給能力

聚焦風險場景差異，推動網絡安全保險產品創新。聚焦工業互聯網、車聯網、物聯網、云平臺、數據中心等新業務風險，開展網絡安全風險場景研究與保險產品設計，推動網絡安全保險產品創新。面對不同規模企業所處風險環境的差異，提供定制化保險服務，實現多層次定價。明確風險評價指標，構建可量化的風險評估體系。基于網絡安全領域法規政策與標準文件，圍繞數據資產價值、威脅指標、漏洞指標量化開展研究，開發核保體檢量化、風險損失量化等模型，形成可量化的網絡安全風險評價體系框架。

（二）引導需求側主體積極使用網絡安全保險兜底安全風險

加強引導力度，激發產業需求。通過行業展覽、會議、論壇及沙龍等多元方式，積極開展網絡安全保險推介，普及網絡安全風險管理知識，推動市場釋放需求。選取典型行業領域先行先試，進行網絡安全保險模式和可落地性探索，積累國內網絡安全保險承保理賠經驗。構筑“強制、補貼、鼓勵”三位一體的政策支持體系，探索強制保險和自愿保險并行發展的道路，特別重視強制責任保險在落實法律責任方面的價值。

（三）制定適應網絡安全保險需求的標準規范體系

在現有網絡安全相關標準的基礎上，組織制定網絡安全保險標準和規范流程。產品設計方面，明確網絡安全保險專業術語、險種類別、可保風險等，制定網絡安全保險產品框架，指引保險公司開發產品；技術要求方面，統一網絡安全風險評估標準，開發全行業橫向及行業內縱向的網絡安全風險分級標準，明確風險持續監測和事件應急處置及溯源取證的技術要求，形成系列標準規范；流程規范方面，界定保險保障與安全服務的范圍職責界限，明確在網絡安全保險產品設計、核保評估、風險管理、出險理賠等階段中各利益相關方的職責定位、主要工作內容和規范化流程，形成適用于我國網絡安全保險服務的通用框架和流程。

（四）積極培育網絡安全保險發展生態

加強保險公司與網絡安全企業、保險科技公司的協同，合力開展企業的風險管理意識培訓和流程優化工作，在實現投保企業精準定位、網絡安全保險服務定制化的同時，加強投保企業對安全風險應對和安全保險保障功能的信心。建立網絡安全風險共擔機制，采用政府引導建立風險池的方式，鼓勵保險公司以共保的形式承保網絡安全風險，融合政府、保險、企業等多個市場參與方，實現風險的多層級分散，以便更好地應對大型系統性網絡安全風險。探索建立外資再保池，在充分發揮外資再保險公司風險分散能力的同時，避免網絡安全相關敏感信息流出。鼓勵高等院校開展跨學科人才培養項目，開設網絡安全保險“微專業”，面向從業人員、在校生開展培訓，培育網絡安全保險專業人才。