網絡安全保險發展路徑探索與思考

鄭如潮 人保財險福建省分公司

一、引言

黨的二十大提出：“堅持把發展經濟的著力點放在實體經濟上，推進新型工業化，加快建設制造強國、質量強國、航天強國、交通強國、網絡強國、數字中國。”數字經濟的重要性，已經被提高到了前所未有的高度。2021 年，中國數字經濟規模達到45.5 萬億元，占GDP 比重為39.8%。數字經濟為社會經濟發展注入新活力，同時也帶來了越來越多的網絡安全問題。

2021年8月，全國人大常委會通過《中華人民共和國個人信息保護法》，自此，我國形成了以《網絡安全法》《數據安全法》《個人信息保護法》為核心基礎的網絡法律體系，也為網絡安全保險的未來發展奠定了法律基礎。2022年11月，工業和信息化部會同原中國銀保監會發布《關于促進網絡安全保險規范健康發展的意見（征求意見稿）》，2023年7月，工業和信息化部、國家金融監督管理總局正式聯合印發《關于促進網絡完全保險規范健康發展的意見》，旨在推動網絡安全保險政策標準體系的建立，也進一步明確了國家通過保險管理工具解決網絡安全風險的政策導向。在數字經濟全面發展的大背景下，網絡安全保險在轉移網絡安全風險、保障企業穩定經營方面發揮著積極作用。如何將信息技術發展與網絡安全保險有機結合，有效解決網絡安全風險問題，將是中國未來向“網絡強國”發展的重要命題。

二、網絡安全保險市場需求

2022 年上半年，中國電信、中國移動和中國聯通總計監測發現分布式拒絕服務攻擊約31.65 萬起；工業和信息化部網絡安全威脅和漏洞信息共享平臺總計接報網絡安全事件約1.57 萬件。在信息技術不斷更新迭代的大環境下，各種未知的網絡安全風險層出不窮。 2022 年發布的《安聯風險晴雨表》指出，勒索軟件攻擊、數據泄露、遠程辦公導致的IT系統漏洞和云平臺數據供應鏈中斷是企業最為擔心的四類網絡安全風險。網絡安全防御體系的建設作為企業對抗網絡安全風險的主要手段，由于邊際效應遞減，當網絡安全防御體系達到一定成熟度后，邊際效果將大打折扣。面對難以通過技術手段完全清除的網絡安全風險，越來越多的企業選擇通過保險手段轉移殘余風險，實現企業成本收益的最大化。

慕尼黑再保險公司在2022 年關于全球網絡安全保險的調研結果認為，網絡安全保險是經濟成功數字化的基礎。慕尼黑再保險公司對中國大陸的調研結果顯示，49%的受訪者擔心遭受網絡攻擊，超過55%和60%的受訪者曾分別受到網絡欺詐和數據泄露的影響。在全球范圍內，網絡安全保險已經逐步成為解決網絡安全問題、提高網絡安全風險治理能力的新途徑。鑒于我國網絡安全事件日益頻發，在網絡安全保險服務供給與需求不匹配的市場環境下，網絡安全保險未來存在巨大的發展空間。

三、網絡安全潛在風險

網絡安全潛在風險主要包括第一方損失、第三方損失和其他損失。第一方損失主要包括被保險人因網絡安全事故導致的營業中斷、網絡欺詐、網絡勒索、數據恢復、緊急響應等費用損失；第三方損失主要包括被保險人因網絡安全事故導致的網絡安全責任、公司及個人信息泄露、知識產權泄露等費用損失；其他損失主要包括因發生保險事故導致的檢測鑒定、法律抗辯、系統升級、媒體責任等費用損失。

從行業網絡安全風險角度來看，不同行業遭受的網絡攻擊類型也不盡相同。由于行業競爭、信息集中等，通信和互聯網行業更容易遭受DDoS 攻擊，使用戶無法正常訪問，進而導致企業的經營服務被迫中斷；電商行業存儲著大量的用戶資料、銀行卡賬號、交易記錄等個人信息，極易出現系統漏洞導致信息泄露的情況；在政務民生領域，便民服務理念推動政務服務不斷線上化，政務服務網站更大程度地暴露在DDoS攻擊風險下，當政務服務網站遭受攻擊時，不僅影響居民辦理事務的效率，而且嚴重影響政府部門的公信力。

以車聯網行業為例，車聯網是由車輛位置、行駛速度和行駛路線等信息構成的巨大交互網絡，通過信息網絡平臺實現車輛動態信息的有效利用，提供包括交通管理、安全預警、汽配維修、緊急救援等多方面服務。車聯網網絡安全風險主要集中在智能汽車車端、車聯網服務平臺、通信、數據等方面，2022年上半年，僅針對車聯網平臺的惡意網絡攻擊行為就超過百萬次。隨著車聯網行業信息化和網絡化水平的不斷提高，智能網聯汽車搭載的信息平臺存儲著巨量的信息數據，面對日益復雜的網絡安全風險環境，輕則個人信息被泄露，重則危害交通安全。

四、我國網絡安全保險存在的問題

我國數字經濟的快速發展伴隨著網絡安全問題的不斷暴露，市場對網絡安全保險需求呈幾何級數增長，推進網絡安全保險的標準化、規范化迫在眉睫。目前，國內外尚未對網絡安全保險作出統一明確的定義。結合相關國內外權威解釋，本文對網絡安全保險作出如下定義：被保險人遭受網絡安全事故而導致的營業中斷、信息泄露等損失，由保險人根據保險合同約定負責賠償。由于我國網絡安全保險起步較晚，雖然市場需求強烈，但還有許多問題亟待解決。

（一）行業標準待健全

行業標準規范是保險產品能否大范圍推廣的先決條件，在我國現階段還有待完善。現有市場環境下，各方在定價模型、保險責任、理賠流程、服務內容等方面難以達成共識，缺乏統一的行業標準。借鑒國外保險產品的經營模式，已很難滿足國內企業對網絡安全保險本土化的需求，導致企業購買意愿不足。在缺乏行業標準的情況下，面對承保風險的復雜性和應用場景的多樣性，國內網絡安全保險的推廣必然舉步維艱。

堅持探索創新，不斷提升稽查執法工作水平。總隊積極貫徹落實國家總局和省局“創新監管手段、提高工作效能”精神，2015年完成投訴舉報信息化系統省、市聯通，在此基礎上，進一步創新開發了稽查案件管理系統。目前，投訴舉報信息化系統二期工程已全面啟動，將實現省、市、縣三級全覆蓋。率先建立了食品藥品快檢實驗室，為監管提供技術支撐，也為全省食品藥品快檢工作做出了示范。

（二）產品體系不完善

在產品供給方面，我國網絡安全保險產品供給體系所提供的保險方案較為單一，未能細分風險場景，難以為不同類型的企業客戶提供定制化的保險保障。在保險服務方面，我國的網絡安全保險方案依然沿用傳統險種的模式，缺乏與大數據服務商、保險科技公司、風險管理機構等第三方的協同合作，使得對網絡安全風險的判斷不清晰，保險服務方案保障不全面，嚴重影響網絡安全保險的市場化推廣。在產品銷售方面，傳統直銷依然是保險主要的銷售模式，其對于網絡安全保險這一類新興險種，難以快速實現業務規模化，通過互聯網線上平臺或供應鏈上下游進行網絡安全保險銷售的新模式還有待挖掘。

（三）社會認知不充分

整體來看，我國網絡安全需求主體對網絡安全保險的認知嚴重不足，在這一點上，中小微企業反映出的問題尤為突出。相較于網絡安全這類難以獲得直觀收益的投入，中小微企業更愿意將資金投入生產環節。而大型企業對網絡安全的投入雖然逐年增加，但資金主要流向企業的網絡安全建設，這意味著大型企業更傾向于以信息技術手段消除網絡安全風險，嘗試借助保險進行風險減量管理的則少之又少。與此同時，保險公司自身對網絡安全保險的模糊認知也阻礙了業務發展。我國保險公司囿于自身積累的保險數據，對此類產品的方案設置、核保定價、風險管理等運作尚不成熟，難以根據不同客戶的需求提供全面的保險服務，這進一步導致了市場對網絡安全保險的認知存在偏差。此外，近年來，我國一直大力倡導數字經濟發展，但是對網絡安全保險的推介力度較小，因而市場對此類保險產品反應冷淡，投保意愿不強。

五、現階段網絡安全保險解決方案

近年來，網絡安全已上升到國家戰略高度，網絡安全保險巨大的市場需求也隨之形成，針對網絡安全問題可能造成的第一方損失和第三方損失，社會各界急需一款本土化的網絡安全保險產品為網絡空間的平穩運行提供保障。作為轉移和防范網絡安全風險的重要管理工具，基于網絡安全保險的新型解決方案將在未來成為網絡安全建設的重要組成部分。

現階段，國內主流的網絡安全保險主要包括營業中斷保險、網絡安全責任保險、信息技術服務費用保險、應急響應費用保險等，較為全面地保障了第一方損失和第三方損失。從事故原因上看，現有的保險方案已將黑客攻擊、DDoS攻擊、信息泄露、詐騙竊取等引發網絡安全事故的主要原因涵蓋在內；從損失類型上看，由保險事故產生的經濟損失、調查費用、法律費用等主要損失均可以承保。在產品保障范圍層面，現有的保險方案基本可以滿足當下的客戶需求。國內網絡安全保險的具體實施過程如下。

（一）承保前的風險評估

在承保前的風險評估階段，通過網絡安全評價、風險場景評估、漏洞掃描、滲透測試等方式，全面了解包括安全管理制度、安全防范等級、監測預警系統在內的相關信息，將不同場景下的潛在網絡安全風險進行貨幣化評估，使客戶對網絡安全風險有更直觀的感知，同時了解該風險可能帶來的預期經濟損失。

在這個過程中，保險公司一方面可以通過量化風險評估技術來快速掌握企業的網絡安全風險管理水平，測算企業的風險敞口，不斷優化定價模型，確保精準定價；另一方面，根據評估結果對客戶的網絡安全系統提出網絡安全加固意見，這既有利于保險公司控制承保風險，也便于保險公司后期參與網絡安全事件應急響應與恢復工作，減少網絡攻擊造成的損失。

（二）承保中的風險管控

在承保階段，保險公司結合7×24 小時風險監測、風險安全態勢分析、釣魚郵件測試等手段，為客戶打造主動型風險管理體系，實現風險全覆蓋；同時，動態關注客戶的風險變化，發揮保險風險減量管理作用，當發生風險異動時，采取適當的措施，將風險控制在合理的范圍內。

以DDoS 攻擊風險監測為例，DDoS 攻擊通常用大量合法或偽造的請求占用大量網絡及設備資源，致使目標企業網絡癱瘓，從而導致企業發生營業中斷、信譽受損、信息泄露等損失。針對這一情況，保險公司可以通過“保險+服務+科技”的模式，為企業的網絡環境附加DDoS檢測工具。當檢測到網絡在短時間內出現訪問量急劇增長時，風險預警系統會及時通知網絡安全服務公司的人員提供應急響應服務，減少企業損失。在企業日常運營期間，DDoS 檢測工具將定時掃描漏洞，清理植入程序，確保企業網絡系統安全運行。

（三）承保后的理賠定損

網絡安全保險的理賠流程基本按照“報案—現場查勘—責任認定—第三方鑒定—損失金額核定—賠款支付”的常規流程進行。在事故減損過程中，保險公司通過與具備網絡安全服務資質的服務廠商合作，進行應急響應、事件監測、風險抑制、風險消除四個階段的服務工作，幫助企業減少網絡安全事故損失，使企業盡快恢復生產經營。

在理賠定損過程中，保險公司業務部門與理賠部門協同開展網絡安全事件調查，進行損失評估與責任認定，如發生爭議則聘請權威機構做第三方鑒定，確保應賠盡賠；事后及時總結經驗，在實踐中逐步完善網絡安全保險保障體系，推動業務可持續發展。

總之，從保險產品供給側來看，近幾年，國內市場提供網絡安全保險的公司以及網絡安全保險產品正在逐漸增多。據統計，國內市場上已有超過50 款注冊備案的網絡安全保險產品為客戶提供網絡安全風險保障。但由于行業標準、服務模式、保險科技等其他環節發展落后，我國網絡安全保險產品并不能和市場需求有機結合，進而導致網絡安全保險市場拓展緩慢。2021年，我國網絡安全保險保費僅約7000萬元，不到網絡安全產業規模的千分之一，覆蓋率極低。因此，未來網絡安全保險的發展急需創新破局。

六、網絡安全保險發展建議

目前，我國的網絡安全保險還處于萌芽階段。結合我國網絡安全保險存在的問題以及現階段的保險解決方案，筆者認為，應該從以下五個方向進行發展創新。

（一）推動形成行業規范，落實政策扶持

建議相關政府部門及行業協會加快推動形成網絡安全保險的行業標準規范，依托行業標準規范促進業務可持續發展。借助國家層面的學術研究力量，明確網絡安全保險定義、規范條款措辭、統一承保服務流程、完善理賠定損機制，實現市場標準化，引導行業有序發展。在逐步實現行業規范化的同時，繼續加強市場監管體系建設，完善相關法律法規，確保合規經營。2022年9月，上海市保險同業公會發布了國內首個網絡安全保險服務團體標準《網絡安全保險服務規范》，對保險公司開展網絡安全保險業務涉及的承保、風控、理賠等各環節制定了統一標準，該規范標志著上海地區網絡安全保險產業發展的新起點。下一階段，國內網絡安全保險行業應以此為契機，制定全國性的行業規范，最終引導網絡安全保險產業健康有序發展。

實踐證明，有力的補貼支持政策是新興保險業務快速鋪開的強大推動力。從我國近幾年各省科技保險、知識產權保險的補貼效果來看，政策扶持直接推動保險產品供給擴大，拉動市場需求提高。補貼試點的模式，以點帶面，可以讓社會更快地接納新興保險產品，也有利于保險公司在實踐中探索發展。另外，針對極端網絡安全風險損失，建議政府、保險公司、再保險公司嘗試建立風險基金池，實現風險共擔，促進網絡安全保險產業可持續發展。

（二）創新產品供給，完善保障體系

網絡安全保險產品體系的不健全，是目前國內市場發展的桎梏，筆者建議從以下四個方面進行改善。一是模型定價方面，應聯合政府部門、頭部保險公司、數據中介機構、網絡科技公司等多方共同建立風險數據庫，在實踐中不斷積累承保理賠數據，輔助產品精算，實現精準定價。二是產品創新方面，應重點圍繞互聯網、金融、交通等重點發展戰略領域進行深入調研，挖掘市場對網絡安全保險的不同需求，積極創新保險產品供給，提供個性化保險方案，實行差異化定價。三是服務模式方面，積極倡導推廣“保險+服務+科技”網絡安全新理念，將保險科技主動融入到保險服務中。充分應用人工智能、區塊鏈等前沿技術提高網絡安全風險預防能力，打造前端技術控制、后端保險兜底的一體化服務模式，全方位保障企業的網絡安全。四是銷售渠道方面，相對于傳統直銷效果不佳的現狀，通過網絡安全服務廠商進行保險產品銷售將成為未來的主流發展方向。由網絡安全服務廠商篩選安全意識較強的目標客戶，提供“技術+保險”的雙重保障，使保險迅速滲透到企業的網絡安全管理中去，有效提高市場占有率。與此同時，網絡安全服務廠商也在一定程度上簡化了保險公司的風險評估工作，降低了其承保風險。

（三）加強宣傳力度，引導客戶需求

針對社會對網絡安全保險認知不足的現狀，在發展初期，保險公司應多層次、多渠道、全面開展宣傳推介工作：一方面，政府部門、行業協會、行業頭部公司等多方共同宣傳，不斷提高企業客戶的網絡安全意識以及對網絡安全保險的認知水平，引導客戶需求，快速打開市場；另一方面，積極總結國內外先進經驗，通過學術宣講、主題沙龍等多種形式，組織推介網絡安全保險，激發企業的投保意愿，推動形成市場認可的網絡安全保險服務模式。全方位的宣傳工作，將使得社會公眾更全面地了解該險種的保障內容，刺激市場需求，加速推進網絡安全保險的落地及發展。

（四）培養專業人才，提升服務質量

網絡安全保險作為保險行業的新興領域，產業發展面臨著較大的技術壁壘，對保險公司業務部門、理賠部門、客服部門等相關部門工作人員的專業素質有較高的要求。提前布局，作好網絡安全專業團隊建設，是業務發展初期保險公司快速占領市場的關鍵條件。

由于網絡安全專業人才培養難度較大，短期內難以匹配業務發展需求，建議保險公司與高校開展人才培養項目合作，培養網絡安全保險專業人才，提升專業隊伍素質。保險公司內部可以聘請高校教師、行業專家進行授課，定期總結分享國內外行業優秀經驗，不斷提高從業人員專業能力；同時，可以針對網絡安全保險建立專營團隊，提高團隊準入門檻及薪資待遇，激發隊伍活力。

（五）增強協同合作，培育市場生態

在大數據時代背景下，保險公司應強化行業內外部共享合作，為客戶創造新價值。網絡安全保險是未來行業發展的新賽道，建議保險公司、科技公司、網絡安全服務廠商加快保險業務的融合，聚焦前沿科技，創新技術服務，重塑網絡安全管理體系。在網絡安全保險產業發展初期，保險公司可以通過網絡安全產品附加保險保單的模式打開市場。在保險產品獲得一定程度認可的情況下，保險公司可以采用“保險+服務”模式，為企業提供全方位的網絡安全管理服務，提升產品附加值，增強客戶黏性。當網絡安全保險產業形成規模時，保險公司可以引入大數據定價、智能風險評估等科技手段，以“保險+服務+科技”模式構建立體化的網絡安全管理矩陣，最終深度參與到社會各行業的網絡安全管理中去。

此外，網絡安全保險產業的發展應當以保險公司為媒介，加快整合產業鏈上下游的生態發展，引入第三方鑒定機構、數據中介等角色，完善整個網絡安全產業鏈條，在深度融合中激發產業活力，培育健康的市場生態。

七、結語

我國網絡安全保險市場雖然起步較晚，但隨著法律法規的不斷完善，網絡安全保險業務發展即將迎來風口。預計未來的網絡安全保險產業將以“保險+服務+科技”模式為基礎得到全面發展，實現傳統型保險保障向智能化保險服務轉變。隨著網絡安全風險和網絡安全保險需求的不斷增加，保險行業與其他各行業將在網絡安全領域不斷深化融合，實現多方共贏，助推網絡安全產業業態迭代升級，為我國邁向“網絡強國”打下堅實基礎，助力數字經濟騰飛。