從分攤風險到促利用：數據安全保險的功能定位與制度建構

[摘 要] 數字經濟時代，形形色色的小數據在技術的加持下可生產處理成蘊含商業秘密、個人隱私等重要信息的數據。由此，相關企業須履行相應的安全保障義務。但面對態勢復雜化、技術多樣化的數據信息安全事故，僅依靠國家強制力推行相關監管部門監督、相關企業落地履行義務還不足夠。數據安全保險正是在這樣的時代背景下應運而生。然而，在我國本土化進程中，數據安全保險制度面臨諸多窠臼。因此，須在法理邏輯、功能定位等原則性層面對其加以厘清，明確其多元治理主體之一的邏輯定位，而非僅將其作為保險產品看待。嘗試性推進我國數據安全保險相關制度的建構，可以有效管理并分攤數據全生命周期的風險，以保證數據經濟效能在利用、交互、流通等動態環節中有效且有序釋放。

[關鍵詞] 風險分擔；數據利用；數據安全保險；反身法；新保險組織理論

[DOI編號] 10.14180/j.cnki.1004-0544.2025.02.014

[中圖分類號] D922.84; TP309.2 " " " " "[文獻標識碼] A " " [文章編號] 1004-0544（2025）02-0134-11

基金項目：國家社會科學基金重大項目“數字經濟的刑事安全風險防范體系建構研究”（21amp;ZD209）；江蘇省研究生科研創新項目“侵犯商業秘密罪情節標準的理解與適用”（KYCX23_1541）。

作者簡介：馮明昱，南京師范大學法學院博士研究生；張勇，華東政法大學刑事法學院教授、博士生導師。

數字經濟時代，“創造數據、存儲數據、記錄數據、運用數據成為新常態。但是，云計算、大數據帶來的數字安全隱患，龐大的‘數據池’將數字革命中的個體卷入‘數字化’的黑洞”1。尤其是ChatGPT的流行更使得數據安全進入新紀元，在人工智能編碼器等技術的加持下，各類數據安全漏洞無處遁形，黑客等不法分子可利用人工智能工具巧妙地躲避網站所設監測并快速確定勒索軟件攻擊的最佳節點。根據統計，我國2021年上半年捕獲的惡意程序樣本多達上千萬，人均傳播次數更是達到百萬次2。可見數據安全事件發生次數之多、風險之大。如果將物聯網比喻為一輛汽車，那么安全可靠的網絡環境便是其燃料，面臨重重的數據安全威脅，數據的流動利用乃至人工智能等新興科學技術的發展、運用等物聯網的駕駛環節都將淪為空談。為此，我國制定了《中華人民共和國民法典》《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等多部法律規范，以期在制度層面為數據安全建設提供強有力的支撐。然而，面對日新月異的數字技術，本就具有滯后性特征的制度規范難以完美應對。況且，在數據生命全周期的各個階段所發生的數據泄露、濫用以及相關犯罪風險等問題往往由企業承擔相應的安全保障責任。但我們應當認識到數據安全領域中“什么都不會出錯”的謬誤，無論公司規模或行業垂直程度如何，數據安全事故是不可避免的。而一旦發生數據泄露等安全事故，企業不僅面臨法律層面的責任承擔，亦會面臨消費者信心和忠誠度的喪失、股價下跌以及商譽受損等經濟損失。由此，用于轉移、分散安全風險的保險產品——數據安全保險在市場經濟中應運而生。據統計，全球數據安全保險市場在2022年整體保費規模達到92億美元，并預計在2025年達到220億美元。而我國數據安全保險已步入快速發展新階段。2022年我國相關保險的費用規模與上年相比漲速迅猛，達到1.4億元左右1。為此，我國在規范層面為數據安全保險的有序化發展提供了有力的制度供給。自2019年9月開始，工信部便在《關于促進網絡安全產業發展的指導意見（征求意見稿）》中提出探索開展相關保險服務。2022年9月上海市保險同業公會發布的《網絡安全保險服務規范》明確了數據安全保險服務團體標準。2023年7月，工業和信息化部與國家金融監督管理總局聯合印發了《關于促進網絡安全保險規范健康發展的意見》，提出利用數據安全保險產品保障新興風險場景。2023年12月，工信部在《關于組織開展網絡安全保險服務試點工作的通知》中提出試點推行數據安全財產類保險、數據安全責任類保險兩類險種。然而，數據安全保險并未如預期那般發展順利。在理論上，現有數據安全保險的有關研究尚較為稀少，且集中于對數據安全保險實踐難點的解決，如怎樣量化風險、如何實現風險控制等，雖為數據安全保險的本土化進程提供了相當的正向意義，但鮮少系統性地思考數據安全保險本身的法理邏輯與功能定位，遑論體系化制度構建。這使得數據安全保險在我國推行進程中仍然面臨諸多困難，例如，如何達成數據安全投資激勵和數據安全風險保障的平衡；如何有效實現數據安全保險的預期功能；等等。此外，規范的缺失亦是一個重要原因。行業尚未形成統一規范使得承保范圍不確定、保險條款解釋存在張力，數據安全相關企業提供自有數據動力不足使得數據安全風險評估機制建構困難。這些現實問題真切地影響著數據安全保險的市場化進程。以上問題的出現大部分源自現有數據安全立法體系的供給不能。本文將以數據安全保險法理邏輯的厘清與功能指向的確定為線索，探索數據安全保險的制度化。

一、現實圖景：數據安全保險本土化進程的窘境

在多份法律規范性文件的指導以及市場經濟需求的催生下，我國數據安全保險步入新階段，基本形成了完整的運作體系，但結果嚴重化、類型多樣化、技術迭代快速化的數據安全事件仍時有發生。因此，在本土化進程中，即便有多份規范文件指導其有序化發展，仍然會因市場主體的自我探索存在部分亟待澄清之處。

（一）道德風險下數據安全保險預期效能失靈的可能

作為保險產品，數據安全保險易面臨道德風險難題從而使得其預期效能失靈。所謂道德風險是當保險減輕了投保人購買保險所欲針對的風險和損失的困難時，投保人規避風險以減輕風險所造成傷害（的可能性）的動機便會降低甚至消滅。就經濟學層面而言，有觀點認為保險對實際損失的補償越多，人們對實際損失的重視就越少，保單持有人在避免或預防他們投保的損失方面的積極性就會降低，直到感受到的損失使這種行為的成本過高2，而這最終將導致社會傷害總量的增加。為了解決這種缺乏應有謹慎的問題，保險公司往往會選擇借助貨幣的激勵作用，若相關企業的工作流程或安全技術機制存在較高風險，將提高保費并在發生保單規定的事件時扣留付款，或者干脆拒絕為特定當事人提供保險。在數據安全保險場景下，保費將基于承保流程的結果、企業所處的行業以及收集的數據類型，并根據現有的安全機制確定溢價，從而期待利用貨幣激勵政策促使企業及時優化其數據安全設施，從而使得道德風險發生的可能性在承保之初便降低甚至湮滅。

然而，我們應正視保險公司在經濟層面激勵被保險企業降低風險的能力確實存在嚴重局限性這一現實。首先，對于事前道德風險而言。當保險公司難以評估各種保單持有人的歷史風險時，他們將無法適當地“獎勵”相對謹慎的投保企業。而且，無論潛在的保費折扣多有吸引力，許多數據安全風險礙于技術層面的不足無法實現根本防范。例如，數據泄露風險的消滅并非通過建構數據安全設施便可實現，其最有效的方式反而是最原始的方法，即完全斷開同互聯網的鏈接并且停止收集客戶數據。但就數字經濟發展的時代背景而言，數據、算法等已成為新型生產要素，數據的存量在一定程度上與企業的經濟狀況直接掛鉤。這一策略不僅同企業的商業模式無法兼容，亦可能對數字經濟的整體發展產生負面效應。同樣，如果在某個時刻停止收集客戶的數據，公司會發現很難與客戶進行各類交易。況且，倘若無相關強制性規范予以制度供給，投保企業在逐利性思想的指引下并不會完全放下戒備，向保險公司披露與其市場競爭地位、經濟效益等息息相關的內部數據以及運行系統的密鑰，由此保險公司也就很難如實判斷其數據安全狀況與相關設施水平，進而無法提供契合的激勵政策以及相應的風險管理機制，這也導致相關企業在投保后具有更強的減少數據安全投資的動機。這些風險的存在均影響著數據安全保險的市場化進程。

其次，對于事后道德風險而言。數據安全事件所引發的絕非僅投保企業的經濟損失、市場競爭份額下降等直接損失，還會因數據安全事件的披露使得用戶或者投資方產生自己相關的數據或財產處于不確定的高度風險之中，導致客源流失，從而使得投保企業遭受企業商譽毀壞、市場地位下降、用戶和投資方信心減損等間接損失。保險公司往往不會將此類間接損失納入理賠范圍之中。然而，數據安全保險在間接損失層面的缺失將對企業產生負外部性，即企業將會在經濟利益的驅使下評估向保險公司披露數據安全事故造成的間接損失是否小于因此所獲得的數據安全保險賠償，如若不然，企業將會選擇不披露數據安全事故信息。

最后，盡管風險預防是數據安全保險的重要功能，但數據安全保險的基本功能在于風險的分攤。通過評估企業數據安全設施情況來調整相應投保人的保費很可能使得風險預防同風險分攤之間出現裂痕1。也即，這將導致具有相對風險的投保企業在一定程度上增加財政負擔。此時，風險預防和控制成為數據安全保險的首要功能，風險分攤這一基礎功能反而未能發揮其預期效應。

可見，倘若不及時解決數據安全保險所面臨的道德風險困境，將極易導致其逐漸在數據安全保險市場之中形成大量的不合理低價，使得數據安全保險成為名不副實的風險分散產品，甚至在趨利性思維導向下逐漸消失。此時，數據安全風險治理更多將依靠國家規范體系的強制性力量，而缺失私力治理領域更具柔和性、服務性的風險治理工具，這無疑是對數字經濟發展的打擊。

（二）數據安全風險評估的現實阻礙

與傳統保險相比，數據安全保險是多元主體協同參與的新興保險，除承保主體之外，保險公司還需自己或邀請第三方機構配套向投保企業提供風險監控、安全防護等數據安全技術服務。安全技術服務環節的多個技術策略，如風險監控、安全防護等需要投保企業提供其相關數據安全風險數據。最初投保環節的保費計算、保費率厘定均需要大量基礎數據為數據安全風險評估構建基礎樣本庫（風險精算庫）提供支持，否則面對數據安全風險，保險公司很難在傳統保險精算模型之中代入所掌握的寥寥數據對數據安全風險進行精準判斷，從而導致其預測的投保企業的預期損失與實際損失之間相差甚大。而且，這類基礎數據不僅在數量上有要求，還需提供具體、全面且真實準確的數據，具體包括事故類型、事故原因、嚴重程度、影響后果、事故發生前后的數據安全保護策略等信息。但就實然層面而言，數據安全風險的評估機制仍然存在諸多阻礙。

一方面，以相關企業為代表的大部分群體都認為數據安全風險同數據、系統訪問權限的公開程度成反比。具言之，數據安全事件所引發的絕非僅投保企業的經濟損失、市場競爭份額下降等直接損失，還會因數據安全事件的披露使得用戶或者投資方產生自己相關的數據或財產處于不確定的高度風險之中，導致客源流失，從而使得投保企業遭受企業商譽毀壞、市場地位下降、用戶、投資方信心減損等間接損失。而這類損失的發生或者顯現往往同數據安全事件的發生時間間隔較長，并非如同直接經濟損失那樣易于量定測算。因此，保險公司往往不會將此類間接損失納入理賠范圍之中。然而，數據安全保險在間接損失層面的缺失將對企業產生負外部性。而且，由于目前我國尚未在法規范層面明確此類數據的披露、共享機制，遑論相應的保障措施，這極易引發投保企業對于其數據資產安全的不安感。因此，在發生數據安全事故或萌生數據安全風險時，相關企業出于避免公開造成二次傷害或保護商譽等考量，往往會選擇盡可能地保障數據安全事故數據的相對保密性，甚至對于基礎用戶信息等具有公共屬性的數據也不愿公開。這些都使得保險公司的數據收集需求無法實現，難以建構行之有效的數據安全風險評估機制。另一方面，由于信息網絡技術發展的動態性、復雜性、場景多樣性等特征，風險要素關系復雜，保險企業收集的數據在細分場景之下的實踐價值大幅削減，可用數據匱乏。而且，數字經濟下許多企業分處數據全生命周期的不同環節，在數據安全層面可謂是命運共同體。對于這類企業，保險公司難以在日常數據安全風險歷史數據匱乏的情況下有效地針對單一企業評估出整體的數據安全風險并實時監控，一旦此類企業受到安全攻擊將有可能產生連鎖反應，從而發生數據安全群體性事件，進一步提高保險定價難度。針對數據安全風險中較為常見的鏈條式風險損失，單純加強關涉數據共享機制的建設已不足以應對，還應考慮如何結合數據安全風險的巨災性、鏈條性等技術性特征準確地選擇風險評估路徑。否則，極易出現保險公司不當提升保險產品價格抑或投保企業以《保險法》第30條為背書，肆意擴張損失的解讀范圍等情況，從而影響數據安全保險作為保險產品的市場化進程，更遑論其預期功能之發揮。但若能夠在方法論層面明確數據安全風險的評估，那么或許能夠為數據安全保險的運行描繪更為清晰的具象路徑。

綜上，保險公司需要在承保期內對投保企業的數據資產進行價值評估以確定其可保性，并在確定承保后持續對投保企業的數據資產進行捕獲追蹤，從而動態更新投保企業數據資產的經濟價值并協同第三方機構為其提供風險保障服務。倘若無相關強制性規范予以制度供給，投保企業在逐利性思想的指引下并不會完全放下戒備向保險公司披露與其市場競爭地位、經濟效益等息息相關的內部數據以及運行系統的密鑰。由此保險公司也就很難如實判斷其數據安全狀況與相關設施水平，進而無法提供契合的激勵政策以及相應的風險管理辦法，不僅無法實現其作為保險產品的風險分散功能，更無法實現其作為數字經濟時代下特殊產品所背負的衍生性功能使命，即通過提供“數據安全保險+數據安全保障”的多重服務環節促進數據的流通與利用。為有效規避各類主體對于相關數據安全狀態的不安感，構建行之有效的風險評估機制，需在方法論上確定網絡風險評估的具體路徑，并在制度論層面探討如何保障投保企業所提供數據的使用范圍以及限度。

（三）數據安全保險標準化范式的匱乏

當前，我國缺乏一套統一規范的數據安全保險規范性文件。在規范層面對于數據安全保險相關內涵（如承保條件、理賠范圍、行為規范等）的缺失將使其無法同本土數據安全環境相契合，從而實現數據安全保險的良性發展。

國家標準化管理委員會發布的《信息安全技術 網絡安全保險應用指南》將數據安全保險定義為承保因發生數據安全事件所造成的經濟損失以及應承擔的法定賠償責任的一種財產保險，但對于數據安全保險的涵射范圍仍未達成統一。普遍而言，我國以及美國、歐盟等國家、組織所流行的數據安全保險可分為第一方損失險和第三方責任險兩種基本類型。也即，數據安全保險主要針對的是被保險人因數據安全事件造成的自身損失以及對于第三人的侵權責任。前者的承保范圍主要是被保險人所遭受的信息技術攻擊事件進而造成的損失，例如業務中斷損失、數據恢復費用、勒索損失、危機管理費用。后者的承保范圍則是因被保險人遭受數據安全事件造成的第三方索賠，主要包括隱私侵犯和數據泄露、數據安全責任、媒體責任。雖然數據安全保險在國別類型化語境下的基本分類相似，但各保險公司都在承保范圍層面具有一定的差異性，甚至有部分保險公司會在既有分類的基礎之上根據不斷更新的數據安全事件進一步精細化地設計數據安全保險類型或是將選擇權交由投保企業，根據用戶訴求個性化制定數據安全保險保單。例如，美國國際集團根據數據安全事故造成的經濟損失類型設定了三類保單1。Chubb等保險公司則是將選擇權交由投保人，在明確所投保險的基本類型后，根據投保人需求確定其中具體的理賠事項。我國《信息安全技術 網絡安全保險應用指南》則是通過類型化數據安全保險，認為第一方損失險理賠范圍為營業中斷損失、應急響應費用、勒索損失，第三方責任險則為數據泄露責任、數據安全責任、媒體責任。

可見，就數據安全保險所設險種以及具體承保范圍而言，為實現對投保企業風險分散需求的精準供應2，各國都在摸索的道路之上。美國目前承保數據安全保險的公司數量高達150余家，但每家保險公司在保單形式、保單語言等方面均保持著個性化，即便使用了相同的字面表述，其內涵往往有所差異，這導致保單條款、排除情況和其他語言因保險公司而異，并且缺乏一致性或確定性3。誠然，數據安全風險類型多樣化，且各安全事故的產生原因、具體損害以及表現形式都具有較大的間隙性，從而放大了標準化保單認知的局限性。但是，一般場景下的標準化保單范式有利于形成可復制、易推廣的服務模式。而且，缺乏標準政策條款意味著數據安全企業需要確保他們購買的數據安全保險適合其特定的風險狀況。例如，如果一家公司將數據委托給第三方，它將希望覆蓋該第三方風險；如果它保持活躍的社交媒體存在，它將需要媒體責任保險。但事實上，大多數投保人沒有機會協商保單條款。處于優勢地位的保險公司才是真正能夠決定條款內容的重要角色。因此，無論承保范圍如何，保單持有人通常都被迫在接受或放棄的基礎上選購數據安全保險，而無法獲得同服務內容預期完全匹配的保險產品。而且，隨著我國網絡安全、數據安全法律保障體系的日趨完善，數據安全保險是否能夠較為全面、精準地覆蓋企業相關的違規行為十分重要。因此，即便不能形成完全統一的標準化保單，也應思考在場景類型化這一前提下如何形成承保范圍基本統一的標準化保單。

二、追根溯源：數據安全保險的法理邏輯與功能定位

“通過探索保險如何以及為何影響社會，以及為什么保險公司在社會中具有相當大的影響力，保險法學者為思考保險和保險機構奠定了良好的基礎。”4不同于人身險、健康險、財產險等傳統險種，數字經濟時代的發展需求決定了數據安全保險不可拘泥于風險分散的單一訴求。因此，面對數據安全保險在我國現實市場中的種種窘境，意欲填補其本土化進程的諸多漏洞，其首要之義便在于厘清其法理邏輯并準確定位其功能所在。

（一）內外共治：反身法與數據安全保險契合性證成

現有數據安全規范體系往往著重于事后的損害救濟，但面對功能高度分化的現代社會，既往通過具有強制約束力的法規范、標準對社會行為進行規制的社會治理模式極易引發干涉主義政府危機。事實上，現行的實在法系統很難周全考慮高度分化社會的復雜性以及在技術、經濟等多重因素影響下其他社會子系統的獨特運行規律。各社會子系統在運行過程中僅會將固有（或經重構后）符合其運行邏輯的信息納入其中，因而認識能力有限。而面對本就高度復雜、具有累積性及擴散性特征的數據安全問題，“命令—控制”型法律機制又往往會忽視其他社會子系統所固有的、獨特的運行機制，要求全部以本系統的運行邏輯為元規律。解決數據安全保障問題的根本挑戰在于，“假如在高度專門化的社會子系統的不同理性之間普遍存在著破壞性沖突，那么現代社會中如何產生規范性整合？”1對此，作為社會系統論延伸的反身法理論提出“通過不斷調整內部話語程序和與其他社會子系統協調的方法，構建半自治社會系統（semi-autonomous social system）”2。最終，在其他社會子系統的加入下解決既往單一法律機制對于數據安全問題的應對不能，實現多元主體的協同治理。

對于反身法的理解，可從內部理性、規范理性以及系統理性三個維度展開。首先，在內部理性維度上，反身法理論應當盡可能地摒棄過往法律機制中的干預主義傾向，間接通過抽象的社會控制手段來推動其他社會子系統建構自我管理機制3。其次，在規范理性維度上，反身法強調不應單一地依靠自然社會秩序、市場規律、法律規范等干預機制，而是強調社會子系統進化的自主性，將法律機制作為補充性、后設性的存在。最后，在系統理性維度上，反身法認為統一的價值取向和行為準則難以完全契合各社會子系統的自身運行規則，強調可通過“去中心化”的方式在社會子系統內部實現管理、協調機制，從而為整個社會系統創設標準、規則打下基礎。對于數據安全風險這樣關涉主體類型多樣、技術高度專業化的新型社會風險而言，企圖僅依靠現有的規范體系實現周全規制并不現實。由此，反身法提出可借助法律子系統外的其他力量介入。

數據安全保險事實上是反身法的具象表達。與全球從命令與控制監管轉向更多公私合作和自我監管的趨勢相一致，越來越多的學者開始討論私人保險作為對個人和組織的監管形式的作用4，并開始將保險視為一種影響消費者安全及其承保客戶行為的治理活動5。治理的特點是“一個參與者做出的決定，而另一個參與者應該遵守”，并且是群體用來管理彼此事務的規則和行為標準的總和6。這些標準可以是代代相傳的非正式傳統（習慣法），也可以是高度結構化的、源自明確的權威，例如刑法、民法等。治理體現了政治和經濟事務的秩序，可以被概念化為“維持公共秩序和促進集體行動”的一種手段7。這種秩序通過兩個關鍵過程得以實現：標準的制定和執行。私力治理代表由擁有非公共來源權力的非國家行為者提供這些規則和標準及其執行。保險行業便是如此成為國家治理活動中的一員，因為它需要制定和執行標準，并且在規范其他各方的行為時受到許多與國家相同的社會和經濟壓力，這些標準對于國家和非國家行為的大量技術、勞動力和資本資源產生較強的影響。而數據安全保險標準正是一種結構化語言，用以評估開發計劃和獲取提供安全性的工具。更重要的是，此標準能夠為降低不良事件的風險提供一組可復制的流程和程序。

這并不意味著數據安全保險合同中的平等的民事主體將因此發生根本性轉變，形成具有監管效力的監督者與被監督者。保險公司作為私營部門，其所形成的各類標準并不具有法律效力。這些規定的覆蓋范圍更有限，沒有任何強制執行的價值意蘊，但更全面且注重細節。究其原因，數據安全保險并非源自國家行動的缺失，否則它們的范圍可能會受到限制，并且發展會更加緩慢，因為企業在沒有強有力監管的情況下缺乏制定并履行標準的動力。保險公司在貨幣等經濟效益的激勵下方有動力承擔標準制定和執行的成本進行私力治理，以此作為從提供監管中獲取物質利益的手段，甚至能夠促使相關保險企業參與行業規范的制定，進而承擔標準制定和執行機構的單獨角色。依據“新保險組織制度說”的理論框架，可清楚認識到法律規范與生俱來的模糊性。這種模糊性卻可在一定程度助力法規范的理解與釋義工作，為私力治理代表主體所形成的運行邏輯、法律規范相融合產生的法律意義提供了更為廣闊的解釋余地1。這個觀點與反身法不謀而合。數據安全保險可以作為外部把關機制介入并填補企業數據安全實施監督的空白。而且，有效的市場需要基本的規則和標準，新興科技的發展甚至是部分變化都具有挑戰國家既有規則的可能性。保險公司通過結合市場上多家相關企業的數據安全風險數據所創設的規則與標準恰恰能夠打破私營企業間的信息不對稱，從而作為規范體系的補充存在，進而推動數據安全相關標準以及義務的履行，甚至可能在未來成為國家立法的重要參考依據。例如，美國保險監管協會（NAIC）允許保險公司參與國家監管政策以及保單標準的制定。甚至在某些情況下，若保險公司所制定的標準、執行流程允許，其將有能力主動監控并對其違規行為發出警告。

綜上，僅依靠有關行政監管部門力量實現對數據安全相關企業的全方位監管和預防并不現實，而保險公司作為直接接觸風險來源的社會主體，其強調數據安全相關企業對其業務合作伙伴、供應商、平臺用戶的橫向壓力，能夠在監管資源有限、規范缺失等社會現實下作為實質法的補充，更有效地實現監管活動的實效性與直接性。因此，在反身法理論指導下的數據安全保險可充分發揮其技術資源整合的優勢以彌補相關企業甚至監管部門的資源不足。就本質而言，數據安全保險并非僅作為輔助性的風險分攤產品而同既有規范割裂，而是應當作為數據安全規范體系之中更具平等姿態的一環存在。由此，便決定了數據安全保險的雙重功能側面。

（二）風險分散與促進利用：數據安全保險的雙重功能定位

在數據安全風險識別、防護技術無法完美應對現實風險的現階段，僅承擔分散風險功能的數據安全保險與數字經濟時代的發展需求并不契合。因此，倘若將數據安全保險作為數據安全規范體系建構過程中的金融產品，將使得保險行業對于數據安全立法目標的激勵效應減損甚至消散2。就傳統理論而言，保險的主要功能在于風險（損失）的分散，即個人通過保險理賠的方式將風險轉移至保險公司，同時保險公司通過收取保險費用的方式將風險平均分散至該保險公司所服務的全部保單持有人。然而，將全部砝碼放置在數據的安全保障層面，使其處于靜態狀態將“無法積極主動地促進數據要素市場發展，也無法滿足數據流轉的獨立權利機能之需要”3。故而，在反身法理論的指導下，我們應當審慎思考數據安全保險除風險分散這一基礎功能之外是否還存在其他衍生功能，以指導其本土化的制度建構。

1.安全面向：數據安全保險的基礎性功能

“保險是管理性的……它在技術基礎上遠程管理風險，針對在時間和空間上分散但受約束的人群一起……”1保險公司通過投保的方式將全部客戶匯集至一個風險池之中，從而創建一個集體貢獻大于其可能支付的保費金額的群體。這種責任轉移可以減輕公司因違規而付出高昂代價的負擔，利用一批客戶的財務資源來承擔個別客戶所遭受的后果。保險公司作為風險分散處理的核心主體活躍于各個階段，如前端環節的成員資格控制、中端環節的保費計算、終端環節的保費償付。數據安全保險亦是如此，其允許投保企業將與潛在數據安全事故相關的財務責任從其資產負債表轉移至保險公司的資產負債表之上。如前所述，數據安全保險中的損失險、責任險雖然在具體承保范圍以及賠償的法律事實基礎等方面存在不同，但其預設目的卻是基本一致的，即通過“數據安全保險+數據安全保障”的模式來預防數據安全事件引發的直接或鏈條式經濟損害風險。因此，即便數據安全保險的保單范式尚未實現統一化、標準化，但其運行邏輯是統一的，這實質上反映了其風險轉移的性質。

2.治理面向：數據安全保險的衍生性功能

數字經濟時代背景下，各類信息技術的發展使得信息收集利用等數據處理活動成為數字經濟不可或缺的一環，但其中亦蘊含著濫用、泄露等安全風險。因此，以數據為代表的普通民眾、學界、實務界均高度關注數據安全保障問題。“個人信息處理是國家、 社會信息化發展的必然要求，個人信息保護與處理的沖突卻又不可避免。”2風險的預防與數據的利用二者并非非此即彼的關系，即便是蘊含著個人信息的數據，其亦有一定的公共屬性，而這也成了實現數據安全與利用平衡的理論基礎，即不僅需要著重思考如何實現數據的安全保障，還應當充分釋放數據作為生產要素的價值，使其在社會運轉中充分發揮效能，以實現社會公共利益。

雖然數據安全保險的基礎功能為風險的分散與預防，但其工作模式仍是“數據安全保險+數據安全保障”。即在投保期間內，保險公司會進行風險控制活動，例如聘請第三方機構實施風險控制，協同被保險人進行風險管理，保險公司主動開展日常風險管理活動和預防管理等。而這些活動在一定程度上使得數據安全保險具有與其他傳統責任保險的功能差異。

一方面，數據安全保險在一定程度上節省了投保企業在數據安全保障層面的投入。例如，安全管理和更新的持續成本，與理解和倡導行業最佳實踐相關的信息成本及監督成本。而且，我國《數據安全法》第29條規定：“開展數據處理活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施。”其僅在原則性層面規定了安全保障義務，對于如何判定是否履行，如何履行，履行程度如何判定等內容均未給出具體答案。這使得關涉企業、平臺很難在發生數據安全事故之后自證其是否積極履行了數據安全保障義務以及具體程度。尤其是目前各類企業在運營規模、存儲數據體量、投資儲備等方面均存在差異，在規范層面一刀切地設置數據安全保障義務亦有可能難以完美契合各類企業，大企業在逐利主義的理念指引下選擇最具性價比的數據安全保障措施而非最安全的，中小企業則有難以在數據安全保障措施之中投入大量人力、物力等資源消耗，甚至為節約成本具有違反法律的可能性。而數據安全保險則能夠在一定程度上改善如此情況，其通過風險測算合理評估數據安全保險的保費，相關投保企業繳納與其數據體量、數據安全狀況相匹配的費用之后，保險公司能夠通過提供專業協助、危機應對咨詢、風險監控、風險管理等服務幫助被保險企業節省化解數據安全風險的成本。同時，黑客事件發生和檢測之間的滯后時間平均不到一年，這比污染可能長達數十年的滯后時間要短得多。這種相對較短的間隔時間在一定程度上也減輕了投保人維持此類數據安全保險的負擔。例如，保險公司可以更直接地獲得關于哪些公司在數據安全方面表現最差的記錄的反饋從而推動企業更新其數據安全保障策略以應對違規行為。這些均能降低被保險企業在數據安全保障層面的壓力、成本。保險公司的介入意味著企業不再需要如同往常一樣“孤軍奮戰”于數據的安全保障活動，而是可以將更多的精力放置于數據的處理活動之上。

另一方面，企業可將其所投保的數據安全保險作為經濟運營活動中的宣傳亮點，顯示其對于用戶數據安全保障的重視程度，從而增強平臺用戶以及投資方對本企業的信心。同時，亦可為其產品以及信息技術服務背書，增加其服務或產品的可信度。出于逐利動機，市場主體為實現其自身的經濟增長往往會罔顧數據安全，盡可能地加大所收集數據的體量。但數據安全保險將激勵內化于產品的背書、保費的降低等經濟利益之中，讓被保險企業意識到自身與數據相關主體之間不僅是數字經濟發展中的利益共同體，也是數據安全治理的共同體。由此，企業不斷增強其數據安全保障機制，而越來越多的用戶資源愿意將涉及個人信息等私密信息的數據上傳或儲存至此類企業的平臺之上，實現數據的高效流通與利用。

三、本立道生：數據安全保險的制度建構

數據安全保險可以幫助確定和執行有效的安全標準，同時為企業減輕重大安全攻擊等數據安全事故責任，由此成為企業投資稀缺安全資源的熱門選擇。但在我國數據安全保險仍然存在部分有待完善之處，需以數據安全保險的法理邏輯與功能定位為指向，為其提供強有力的制度供給。具言之，應從構建數據安全保險投資激勵機制與數據安全風險評估機制以及推進數據安全保險規范化、標準化三方面展開。

（一）數據安全保險的道德風險困境之應對

數據安全保險固然是市場經濟發展進程中自我意識萌生的產物，若無有效的投資激勵機制將使得數據安全保險的效能難以完全發揮。但若僅利用調整保費這樣的貨幣激勵政策，將存在諸多瑕疵。故而，需結合保費調整這一貨幣激勵的基本理念，構建綜合性的應對措施來解決數據安全保險的道德風險問題。

首先，保險公司可在我國行政監管部門的指導下建立監督機制。盡管我國有關監管部門需要對數據安全事件進行監控，但畢竟僅適用于事后且是違反數據泄露通知制度的企業或涉關鍵基礎設施的企業，無法實現數據安全風險的全覆蓋監管。而且，在我國數據安全保障義務、數據泄露通知義務等關涉規范內容尚不清晰的立法現實下，諸多企業會以其仍然處于初期發展階段或經營規模較小等為抗辯理由提出無法為其所控制/利用的數據規模提供足以匹配的安全防護措施。因此，在數字經濟自我發展、進化的過程中，一定存在部分相關企業對數據風險監管等數據安全投資持消極或否定性態度，從而使得相關數據暗藏巨大安全隱憂。此時，數據安全保險不應僅處于較為靜態的、后端的風險分散階段，在發生安全事件之后才介入以填補損害，而是應當以更加積極的姿態在投保之初便參與其中，提供相應的數據安全風險保障服務。具言之，對于投保數據安全保險的關涉企業而言，數據安全保險可以在一定程度上代替具有國家強制力的相關監管部門，以私力治理的力量實現對關涉數據安全的日常性監督。因為保險公司會要求提供報告和系統檢查作為承保條件。這些報告可以是定期報告，也可以是臨時報告。一旦出現嚴重風險和攻擊，如果這些報告和檢查顯示公司在滿足強制性標準方面未存在疏忽，保險公司就可以在發生數據泄露后進行賠償；反之，保險公司就可以在發生數據泄露后進行抗辯，不支付賠償金。正負向的雙激勵模式將促進相關企業對數據安全保障始終保持警惕，或盡可能地協同保險公司規避數據安全漏洞所引發的各類風險，進而為數據流通、利用提供更為有序且健康的市場環境。此外，保險公司可以通過聘請第三方機構對投保企業的數據安全設施進行審計，以確定是否滿足承保要求，同時也可進一步推進其提升數據安全基礎設施的防護水平。

其次，對于數據安全事故信息可建構類型化的匿名共享機制。放任各個保險公司在數據安全事故信息收集這一問題上“各自為戰”將使得數據安全風險精算庫大規模地重復建設，這不僅意味著巨額經費的無端損耗，更是將本就并不豐富的專業技術力量不斷分散。因此，有必要思考如何實現保險公司間的數據安全風險信息共享，否則將出現“高投入，低收益”的后果。然而，各個公司所擁有的數據安全事故信息數據在一定程度上同其數據安全設施、數據資源優勢、數據資源收集成本等與經濟利益直接掛鉤的事項息息相關。構建數據安全事故信息共享數據庫意味著要求保險公司以及數據安全相關企業放棄直接經濟利益。因此，一方面有必要以政府主管機構作為背書，設置激勵機制如相應的稅收優惠、技術支持等，從而構建類型化的匿名數據安全事故信息共享庫。由有關監管部門作為第三方收集相關歷史數據，再向符合相應條件的保險公司披露以平衡數據安全保險行業的數據儲存量以及收集能力。另一方面，為盡可能避免不必要的公眾恐慌，對數據收集流通、利用產生負外部性影響，數據安全風險事故的通知權利應當交由投保企業，保險公司無權向公眾公開。需注意的是，僅依靠市場自發形成的激勵機制或許不足以持續性地促進匿名共享機制的有序運行，如出現不正當競爭、不正當披露共享信息庫內的信息等情形。故而，有必要思考如何為數據安全事故信息匿名共享機制提供更為豐沛的動力供應渠道。例如，以《數據安全法》《保險法》《網絡安全法》《民法典》以及保險行業規范等多層次的規范提供制度保障，為保險公司采用保費優惠、適當延長保險期限等經濟激勵時提供行為指引，為企業加強數據安全基礎設施提供有序的正向激勵，從而實現風險的有效預防。

（二）數據安全風險評估機制的規范保障

數據安全風險評估機制全流程的規范保障可有效避免保險公司風險分散成本過高或投保企業對相關數據自由處理空間過大等問題涌現而導致數據安全保險成為相關企業消極履行安全保障義務的擋箭牌，進而大量數據處于無序流通利用的不確定的風險之中。因此，面對數據安全風險多主體性、鏈條式的技術特征以及保險公司同投保企業間信息不對稱等數據安全風險評估過程中的現實阻礙，不僅應在方法論層面結合數據安全風險的技術特征厘定數據安全風險評估的基本路徑，還需在規范層面為數據安全風險信息的共享機制提供更有力的制度保障。

首先，在方法論層面。在數據安全保險制度之中明確風險評估機制的方法論可為數據安全保險啟動描繪更為清晰的具象路徑。既往保險領域內通常會使用以后果為中心和以風險為中心這兩類風險評估模型。但在數字經濟時代，則需結合數據安全的基本技術特征重新審視風險評估方法同數據安全保險間的契合性，從而為其選擇適配度更高的風險評估方法。以后果為中心的評估是一種更傳統的風險管理框架，評估人員給定風險的確定概率后，著重判斷的是該風險對受保資產的潛在影響，具有相對穩定性。以風險為中心的評估則更重視潛在威脅的行為及其損害受保資產的可能性。此時，重點在于改變威脅行為并阻止或降低事件發生的可能性，安全控制必須根據對手不斷變化的行為和策略而更頻繁地改變。

在數據安全保險這一場域下，面對技術多樣化、態勢復雜化的數據安全風險，對后果驅動型評估和風險驅動型評估加以區分更為重要。后果驅動的評估假設在給定一組相關變量（如地理位置和一年中的時間）的情況下，風險事件發生的概率相對靜態。在這個框架中，控制措施成為后端盡可能消除損害負面影響的消極工具，而非活躍于前端控制風險、阻止威脅的積極主體。相比之下，威脅驅動分析則更加契合數據安全事件，其并非著重于對既定后果的管理，而是側重于根據暴露于一系列具有不同意圖和能力的風險行為者來區分風險，進而強調了在任何特定時間哪些控制措施是最重要或最有效的，最終成為調整公司產品的范圍或營銷的重要參考項。對于數據安全而言，除了考慮被保險人面對威脅事件的脆弱性外，風險評估還必須考慮犯罪動機較強、技術能力較高等違法犯罪分子的存在，例如對信用卡及個人信息等敏感數據感興趣的犯罪分子、意圖大規模破壞的黑客活動分子或尋求銷毀數據的國外情報機構都對受保實體構成不同的威脅。

其次，在規范層面亦需為數據安全事故信息共享機制提供更具強制性的制度供給。數據安全風險評估機制的基礎在于相關數據的體量以及準確性。然而，激勵政策畢竟是市場經濟發展過程中的產物，非長久之計，也不似我國實質法規范那般具有穩定性。因此，除在激勵政策層面以有關監管部門為背書，確定激勵投保企業向保險公司披露相關數據安全事故信息的具體政策外，我國還應當積極在法規范層面尋求制度供給。事實上，我國《保險法》第16條規定：“訂立保險合同，保險人就保險標的或者被保險人的有關情況提出詢問的，投保人應當如實告知。”因此，投保人在購買數據安全保險之時已然具有履行如實告知的具體義務，其應當將“足以影響保險人決定是否同意承保或者提高保險費率”的相關數據如實向保險公司披露。

（三）場景視域下數據安全保險之標準化

如前所述，美國、歐盟以及我國都在相應行業規范中設置了多種承保范圍以及類型，原因在于不同行業、規模的企業對于數據安全保障的具體需求存在差異性。就技術層面而言，數據安全風險具有類型多樣化的特征，其在表現形式、發生原因、損害范圍等層面皆是如此。這便意味著在規范層面向保險公司提出規范化數據安全保單形式，實現統一化、標準化將與市場規律、數據安全態勢相悖。因而，我國應當及時借鑒域外“量身定做”數據安全保險的有效經驗，思考我國如何實現個性化與標準化的平衡。

我國數據安全保險仍處于發展的初期階段，相關歷史樣本尚未積累完畢，因此欲實現完全統一化、標準化的數據安全保單并不現實，故而，保險公司可考慮將目前實踐中較為常見的幾類數據安全事故進行分類。例如，惡意程序事件、數據安全事件、安全攻擊事件、違規操作事件。針對其中出現樣本數量較大的數據安全事故，保險公司可總結此類事故特征從而在行業內形成基本的保單規范，在此基礎之上保險公司可以針對投保企業的特殊需求調整保單內容，但不可同既有的行業規范相悖或變相地進行不正當競爭。如此，可幫助投保企業快速地明確其所購買的數據安全保險是否同需求契合，進而確定所購保險的具體條款。其余則可以上述數據安全事故類型為基礎，以投保企業的實際需求為基本導向，建構個性化數據安全保險。如果投保企業將數據處理等技術服務委托給第三方公司處理，那么數據安全保險就應當盡可能地覆蓋第三方公司可能存在的數據安全風險，賠償范圍則應為第三方公司因數據安全事故造成投保企業的業務損失、數據資產價值以及數據恢復費用等。此外，亦可將視角切換至數據類型層面。若法律、醫療衛生、社會公共服務等社會重要行業系統遭受惡意程序或黑客攻擊等數據安全事故，那么保險公司則應當以系統內的數據為重。而針對普通系統內的相關數據，保險公司應當根據具體數據安全事故判斷處于風險狀態的數據信息類型以及風險等級等多重因素，從而在保護數據信息和支付勒索費用間尋求最優解。

四、結語

在數字經濟快速發展的時代背景下，信息、數據逐漸成為重要生產要素，供應商和投資者甚至平臺用戶都有可能會要求企業將其作為數據安全風險管理計劃的一部分，從而公司之間相互推動并遵守相應的數據安全治理策略。此時，保險公司代表數據安全領域的私力治理活動，承擔著標準制定和執行的角色。同時，數字經濟時代絕非僅存在安全保障一種聲音，數據流通利用等階段亦是相關安全保障體系需著重思考的方面。因此，在反身法理論指導下的數據安全保險制度作為一種同相關企業居于平等地位的治理主體存在，其在風險分散的功能基礎之上更發揮了促進數據流通利用的衍生性功能。但是，作為私力治理的典型代表，一旦法規范層面薄弱或范圍狹窄，數據安全保險的效用將無法同預期那般廣泛。因此，應當積極在規范論與方法論層面應對數據安全保險的種種窘境，避免其在數字經濟時代成為象征性金融產品。

責任編輯 " 楊 " 幸