我國網絡安全保險投保率提升路徑探析

劉 秒 河北經貿大學金融學院

目前，我國已進入數字經濟高速發展時期，一系列互聯網技術正驅動我國經濟向數字化轉型。如何保證數字化進程穩步推進，是社會各界關注的重點。數字經濟是直接或間接地利用數據來引導、資源快速優質配置與再生，實現經濟高質量發展的經濟形態。2020年，我國數字經濟規模已達到39.2萬億元，占GDP的比重達到38.6%，位居全球第二。由此可見，我國數字經濟的發展相對領先，數據信息已成為企業的核心資產。數字經濟時代在孕育新機遇的同時，也帶來了更多復雜多變、難以應對的網絡安全風險。網絡安全是建設現代化強國的重要基礎，現代化的發展離不開網絡安全。自2016 年底《國家網絡安全空間戰略》實施以來，網絡安全已上升至國家戰略。《網絡安全法》《數據安全法》《個人信息保護法》的相繼頒布與實施，從法律層面體現出國家對網絡安全的重視。

一、網絡安全保險概述

保險作為風險管理手段之一，是風險應對中的重要一環。近年來，全球化數字經濟體系下的大范圍網絡攻擊事件給全球造成了巨大的經濟損失。2017 年5 月，“WannaCry”勒索病毒共計對全球150個國家造成不同程度的影響，導致30 萬臺電腦無法正常運行，許多企業因此遭受了較為嚴重的經濟損失；2019 年10 月，全球航運和電子商務巨頭Pitney Bowes遭受勒索軟件攻擊，其業務系統受到嚴重破壞，造成直接經濟損失高達500億美元。網絡安全風險層出不窮，具有不可消除的特點，僅通過安全技術手段難以化解，解決風險保障問題是重中之重。

工業和信息化部于2019 年9 月27 日發布的《關于促進網絡安全產業發展的指導意見（征求意見稿）》和2021 年7 月12 日發布的《網絡安全產業高質量發展三年行動計劃（2021—2023 年）（征求意見稿）》中均提到了要探索開展網絡安全保險服務。《網絡安全保險產業白皮書》將網絡安全保險定義為承保與網絡空間風險等相關風險為目的的保險合同。投保人根據網絡安全保險單（即合同）向保險人支付保險費，當合同約定范圍內的網絡安全事件發生時，保險人依據合同條款就對應的財產損失和第三方責任承擔賠償保險金責任的商業保險行為。

根據投保對象不同，網絡安全保險可分為個人網絡安全保險和企業網絡安全保險。目前，我國保險公司主要經營面向大企業的商業網絡安全保險，承保范圍分為第一方損失和第三方賠償責任。第一方損失，即網絡安全風險事故直接對投保人造成的經濟損失，包括營業中斷損失、網絡勒索損失、數據修復費用等；第三方賠償責任，即由于網絡安全事故的發生對第三方造成影響，依法需要承擔的賠償責任，包括信息泄露責任、網絡安全責任等。

目前，企業與保險公司簽署的網絡安全保單主要分為兩種：一種是獨立保單，指單獨承保網絡安全事故、風險，不與其他保險相互關聯，為獨立個體；第二種是綜合保單，在原有財產險、責任險或其他保險的基礎上附加對網絡安全風險的保障。

二、網絡安全保險現狀

中國保險行業協會數據顯示，目前國內市場上在售的網絡安全保險產品有50 余款。其中，近半數險種為企財險，另有10 余款責任保險，少量綜合保險、特殊保險等。多數保險產品的承保范圍將第一方損失和第三方賠償責任同時包含其中。提供產品及服務的保險公司分為外資保險公司和中資保險公司，其中，中資保險公司占絕大部分，約20家。

國家工業信息安全發展研究中心發布報告稱，2021 年，我國網絡安全保險保費規模突破7080 萬元，最高保額超4 億元，較上一年增長3.2 倍以上，但與財產險業務2021年原保費收入1.17 萬億元相比，不足萬分之一。

我國網絡安全保險發展仍處于初級階段。從需求側看，保費規模較小，消費者參保積極性不高，企業投保動力有望進一步提升，網絡安全保險投保率低的問題難以解決；從供給側看，保險產品創新不足，風險保障范圍較窄，導致保險的風險分散作用不能完全發揮，從而降低了消費者投保意愿。

三、網絡安全保險投保率低的原因分析

全球數字經濟時代在加速各行各業數字化的同時，帶來的網絡安全風險與數據信息隱私風險也日益凸顯，網絡安全保險市場由此迎來了巨大的發展空間。近年來，雖然保險公司陸續推出相關保險產品，但我國網絡安全保險的投保情況卻不盡如人意。針對上述問題，只有正確認識其產生原因，才能在此基礎上改善投保現狀。

2017 年《網絡安全法》的實施具有里程碑式的意義。這是我國第一部有關網絡安全的專門綜合性立法，提出了如何應對網絡安全挑戰的對策，明確了發生網絡安全事件和信息泄露時網絡運營者的及時告知和補救義務。網絡安全保險作為風險管理基本手段，有了發展的法律基礎。2021年，《數據安全法》和《個人信息保護法》進一步促進了網絡安全保險的發展，但目前國內尚未頒布詳細的網絡安全保險相關規章制度和法律法規。《保險法》作為我國保險行業的主要法律，其中并沒有網絡安全保險具體條款，這導致我國網絡安全保險的發展缺少法律保障，缺少相關細則規范整個保險流程。由于網絡安全風險具有互聯及依賴性、動態演變快、損失難以及時發現等特點，網絡安全保險的開發定價、核保理賠都面臨不同程度的難題。例如，缺乏保險費率厘定標準、網絡攻擊復雜導致責任承擔主體難以確定、攻擊時間與損失發生時間不一致等。權威法律依據缺失，后期理賠產生糾紛難以處理，這些都不利于網絡安全保險的投保。

1.產品創新不足導致目標客戶群體局限

網絡安全保險推廣的一個主要問題是不同行業面臨的網絡安全問題參差不齊，不同企業網絡安全建設投入有差異。因此，保險公司提供的保險服務需要更具有針對性，保險產品更多樣化和靈活化。然而，我國市場上網絡安全保險產品品種單一、缺少個性化方案，導致不能滿足有特定需求的客戶；適合中小企業和個人的網絡安全保險還未普及發展，目標客戶集中于大型企業，在一定程度上忽略了同樣有投保需求的中小企業及個人，不利于提高投保率和擴大覆蓋面。

2.企業存在內部信息泄露擔憂

網絡安全保險的保險標的為企業的信息資產。在進行投保定價時，保險公司需要充分了解企業的資產價值和風險管理情況，通過分析企業提供的內部信息進行網絡安全風險評估。內部信息可能會涉及投保企業包括資產信息、財務信息、安全技術信息等多方面信息，甚至會包括部分客戶隱私信息。發生網絡安全事故后，保險公司需要調查事件，進行定損評估、披露理賠數據，這就要求企業公開相關數據信息，甚至需要向保險公司透露商業機密信息。如果保險公司沒有完善的數據保障和保密機制，就很難保證企業信息的安全性。企業出于防止自身內部數據泄露的基本考慮，可能會拒絕購買網絡安全保險。

3.企業風險管理意識有待加強

數字科技的不斷進步，也促使網絡攻擊技術不斷更新且變得更有隱秘性。由于網絡攻擊短期內可能不會造成明顯損失，企業會存在一定的僥幸心理，低估網絡安全事件帶來的損失，從而導致其購買網絡安全保險的意愿不高。同時，面對網絡安全風險，大部分企業會首先選擇增加對網絡安全防御領域的投資，注重對安全設備的投入。這些企業相信，即使出現網絡安全事故，運用自身已有的先進技術手段也能及時解決，因而很少從轉移分散風險角度采取應對措施。可見，網絡安全保險作為轉移風險的有效工具未得到企業足夠重視。隨著高新技術發展，網絡攻擊的技術也越發高超，對企業進行猛烈網絡攻擊的可行性大增。而事故一旦發生，經濟損失不可估量，后果亦不堪設想。

4.網絡安全保險了解程度不足

互聯網信息時代，各種網絡攻擊與意外難以預測，面對無法杜絕的網絡安全事故，網絡安全保險大有用武之地。然而，目前網絡安全保險在市場上推廣和宣傳較少，大多數企業對網絡安全保險的認知僅為出險理賠的刻板印象。由于網絡安全保險保費高，保額較低，有的企業甚至認為網絡安全保險不能提供足夠的保障，卻并不了解網絡安全保險已經開始提供安全技術服務。投保網絡安全保險的重點是，通過事前監測，在源頭上降低風險發生的可能；通過事后干預，在轉移經濟損失的同時，為企業提供及時的風險解決方案。

四、提升網絡安全保險投保率的對策建議

（一）完善法律法規，實現統一規范

網絡安全保險的高質量推廣離不開完善的法律規范。應逐步健全網絡安全保險法律體系，實現網絡安全保險全流程統一規范；修訂完善《保險法》，將網絡安全保險條款盡快納入其中，明確保險當事人的權利及義務；制定詳細規定以便正確處理保險服務過程中的糾紛問題。比如，許多網絡攻擊難以及時觀測，損失可能在攻擊之后一段時間才會產生，網絡攻擊時間跨度也可能長達數月，因此，需要從法律上明確保險覆蓋的時間區間，避免出現期限沖突問題。完善網絡安全保險法律制度，使保險公司經營保險、處理糾紛有法可依，使投保人的切實利益有所保障。

（二）了解市場需求，加快產品創新

當前網絡安全環境監管不足，《個人信息保護法》的頒布實施足以引起個人對自身網絡安全的重視；中小企業資產有限，往往沒有能力投保綜合性網絡安全保險，需要“普惠型”產品的覆蓋。考慮到此類險種的供給缺失，保險公司應了解客戶需求，加快創新，加緊填補此領域的空白。

一是加快個人網絡安全保險產品設計。據報道，2022年1月，國壽財險推出國內首款個人網絡安全保險，該產品主要對資金失竊、身份信息失竊、網絡購物欺詐等三種情形提供責任保障，并且在承保模式和保障額度方面都進行了創新，體現了很高的靈活性。其他保險公司應加快創新，在對消費者個人信息資產進行保障的基礎上，探索更多承保內容，逐步推出有競爭力的產品，以滿足不同消費者的需求。

二是加快中小型企業普惠型網絡安全保險產品設計。目前，中小型企業安全投入薄弱、安全技術受限、獨自設立網絡安全保障部成本高。相比于大型企業，中小型企業沒有充足資金購買定制型綜合網絡安全保險，難以承擔高額保費。因此，要解決中小型企業網絡安全問題，“普惠化”是重點。其一，“普”要求此類產品能夠提供web攻擊、網絡篡改、惡意病毒等常見攻擊防護服務，保障遭受損失后的基礎修復費用、營業中斷損失；其二，“惠”要求產品開發定價團隊設計出大部分中小型企業能夠承擔的保費。

（三）加快數據保障機制建設

監管部門、保險公司和科技公司聯合打造獨立的網絡安全保險數據信息機制。在承保方面，保險公司與科技公司合作建立專門的網絡安全保險投保數據庫，與傳統保險數據進行劃分，并對其進行嚴格的監控。除專業評估人員以外，應限制其余內部人員登錄數據庫的權利，以減少內部人員泄露數據的可能。在理賠方面，監管部門應推動建立匿名理賠數據分享機制。我國網絡安全保險發展仍處于初級階段，應要求保險公司披露理賠數據，當然也要保護投保企業的隱私權。匿名機制的建立有助于在規避侵犯隱私、保障投保方利益的前提下提供有效的經驗信息，解決數據孤島問題。

（四）政府引導企業完善網絡安全風險管理體系

政府部門可以從以下兩方面出發，引導企業逐步完善自身的網絡安全風險管理體系。

一是綜合運用財稅激勵政策。政府可以注資帶動相關主管部門以及社會資本共同建立網絡安全保險補貼資金池，根據企業投保等級，提供不同程度的直接補貼，以激勵更多企業加入；同時，將閑置資金進行投資，以保證資金池的可持續發展。此外，結合稅收優惠，監管部門與稅務部門應明確網絡安全保險減稅政策，實施等級優惠制度，加大對投保人的稅收優惠力度，有利于提高參保積極性，擴大保險覆蓋面。

二是推行網絡安全保險試點工作。一方面，從大局入手對重點行業和高風險行業進行強制試點工作。如新能源、工業制造等關乎國家經濟和人民生活的行業，保險公司和科技公司可以開發適應上述行業特性的產品，對重點行業進行安全保障，也是對國家安全的保障。同時，對重點行業和高風險行業推行網絡安全保險試點，可以起到模范帶頭作用，引導企業增加對網絡安全保險的關注。另一方面，對中小型企業進行選擇性試點。可以從各個行業中選擇具有代表性的企業，為其提供“保險+風險管理+服務”模式的保障，讓企業切身體會保險的風險管理作用，保障企業基本安全防護需求，有效降低企業在受到網絡攻擊后的維護成本，加深企業對網絡安全保險的了解，提升投保需求。

（五）加強宣傳，提升網絡安全風險及網絡安全保險認知

我們必須看到，當今時代，在網絡技術如此先進的條件下，網絡安全漏洞依然存在。2022年4月28日，北京市召開新冠病毒肺炎疫情防控工作新聞發布會，會議表示，當日北京健康寶使用高峰期遭受境外網絡攻擊。雖然相關保障團隊已有效應對，但不能保證未來不會繼續遭受攻擊，且網絡攻擊形式和手法在不斷升級，過去的應對方法不一定有效，因此，提高企業風險管理意識至關重要。

政府及監管機構應引領舉辦線上網絡安全宣傳活動、學術會議，聯合各大媒體做推廣，開辦專欄節目等，將網絡安全宣傳滲透到人們的日常生活中。例如，宣講典型網絡安全事故，指明其對經濟運行影響的嚴重程度，并傳達居安思危的思想，加強社會各界對網絡安全風險的重視；將網絡安全保險作為有效轉移經濟損失風險的方式介紹給公眾；國內保險公司在公司官網界面介紹保險保障和安全服務時，可以列舉公眾熟知案例的具體應對方案，讓公眾更直觀明確地了解該險種提供的具體保障服務。