網(wǎng)絡(luò)安全保險發(fā)展面臨的挑戰(zhàn)與監(jiān)管應(yīng)對

張銘心 復(fù)旦大學(xué)發(fā)展研究院

當(dāng)前我國的數(shù)字經(jīng)濟(jì)正在經(jīng)歷從第一階段向第二階段快速過渡的時期。所謂第一階段數(shù)字經(jīng)濟(jì)，主要是指信息產(chǎn)業(yè)等直接跟信息技術(shù)相關(guān)的經(jīng)濟(jì)活動；第二階段數(shù)字經(jīng)濟(jì)則是傳統(tǒng)經(jīng)濟(jì)活動在網(wǎng)絡(luò)空間的擴(kuò)展，也就是傳統(tǒng)經(jīng)濟(jì)的數(shù)字化。在第二階段，經(jīng)濟(jì)活動越來越多地將在網(wǎng)絡(luò)空間展開，也就難以避免地在網(wǎng)絡(luò)空間中遇到風(fēng)險，其應(yīng)對措施一方面是通過技術(shù)和制度的手段去阻斷網(wǎng)絡(luò)攻擊和風(fēng)險，另一方面則是將現(xiàn)實(shí)空間中形成的保險機(jī)制應(yīng)用到網(wǎng)絡(luò)空間中。網(wǎng)絡(luò)安全保險的誕生是數(shù)字經(jīng)濟(jì)發(fā)展的必然產(chǎn)物。在數(shù)據(jù)已成為關(guān)鍵生產(chǎn)要素和重要戰(zhàn)略資源、成為創(chuàng)造價值的核心資產(chǎn)的數(shù)字經(jīng)濟(jì)時代，網(wǎng)絡(luò)和數(shù)據(jù)安全不僅關(guān)系到公民切身利益，而且涉及保護(hù)數(shù)字經(jīng)濟(jì)發(fā)展的關(guān)鍵生產(chǎn)要素。習(xí)近平總書記在關(guān)于“不斷做強(qiáng)做優(yōu)做大我國數(shù)字經(jīng)濟(jì)”的論述中強(qiáng)調(diào)，要完善數(shù)字經(jīng)濟(jì)治理體系，尤其是要完善國家安全制度體系，重點(diǎn)加強(qiáng)數(shù)字經(jīng)濟(jì)安全風(fēng)險預(yù)警、防控機(jī)制和能力建設(shè)。因此，要著重發(fā)揮網(wǎng)絡(luò)安全保險在保障數(shù)字經(jīng)濟(jì)安全的獨(dú)特作用，有效應(yīng)對網(wǎng)絡(luò)安全保險發(fā)展面臨的挑戰(zhàn)。

一、網(wǎng)絡(luò)安全保險發(fā)展面臨的挑戰(zhàn)

網(wǎng)絡(luò)與數(shù)據(jù)安全保險并不是一個新概念，國外設(shè)立相關(guān)險種已經(jīng)有20多年的歷史，它通常涵蓋了企業(yè)因涉及客戶敏感信息的數(shù)據(jù)泄露而承擔(dān)的責(zé)任。近年來，受互聯(lián)網(wǎng)的迅速普及、信息安全相關(guān)法律制度的不斷完善和日益嚴(yán)峻的網(wǎng)絡(luò)攻擊態(tài)勢等因素驅(qū)動，全球網(wǎng)絡(luò)安全保險市場迅速發(fā)展。據(jù)測算，2020年全球網(wǎng)絡(luò)安全保險市場規(guī)模高達(dá)78億美元，預(yù)計未來5年將維持20%以上的增速。美國作為全球最大的網(wǎng)絡(luò)安全保險市場，目前已有577家保險公司披露其網(wǎng)絡(luò)安全保險業(yè)務(wù)，保費(fèi)規(guī)模達(dá)31.5億美元，其中獨(dú)立保單的保費(fèi)規(guī)模年均增長率超過10%。隨著我國加速進(jìn)入5G時代，網(wǎng)絡(luò)風(fēng)險及其安全問題日益嚴(yán)重（唐金成、劉榕，2021）。我國網(wǎng)絡(luò)安全保險盡管起步較晚，先后出現(xiàn)了保障網(wǎng)絡(luò)金融賬戶安全、虛擬財產(chǎn)安全、移動支付安全、云服務(wù)安全等側(cè)重特定風(fēng)險類型或保險標(biāo)的的產(chǎn)品，但仍存在責(zé)任覆蓋狹窄、產(chǎn)品種類缺乏、條款表述冗雜、風(fēng)險控制不足等問題?？偟膩碚f，作為經(jīng)濟(jì)活動向網(wǎng)絡(luò)空間拓展的重要部分，網(wǎng)絡(luò)安全保險亦需要考慮數(shù)字經(jīng)濟(jì)的特殊性，直面多重挑戰(zhàn)。

（一）覆蓋范圍和條款缺乏明確性和統(tǒng)一性

歐洲保險與職業(yè)養(yǎng)老金協(xié)會（European Insurance and Occupational Pensions Authority,EIOPA）在2018年對瑞士、法國、意大利、德國和英國的13家保險公司（根據(jù)網(wǎng)絡(luò)保險的專業(yè)知識和風(fēng)險敞口選擇的8家保險公司和5家再保險公司）就網(wǎng)絡(luò)安全保險進(jìn)行了調(diào)研。針對關(guān)于網(wǎng)安保險市場的主要擔(dān)憂這一開放性問題，責(zé)任覆蓋范圍和條款不明確成為被調(diào)查者認(rèn)同的最主要的擔(dān)憂；與之相關(guān)聯(lián)的，承銷商和經(jīng)紀(jì)人對風(fēng)險缺乏了解則成為排名第二的擔(dān)憂。

網(wǎng)安保險的這種不明確性主要來源于兩方面：

一是與傳統(tǒng)險種保單存在一定沖突。首先，網(wǎng)安保險可能在其他各種保險項(xiàng)目中投保，包括財產(chǎn)保險、各種責(zé)任保險、綁架和贖金保險等。事實(shí)上，財產(chǎn)險和責(zé)任險保單很可能包含網(wǎng)絡(luò)事故造成的損失的除外責(zé)任，盡管這些除外責(zé)任的適用范圍存在不確定性。其次，在商業(yè)財產(chǎn)險保單中，數(shù)據(jù)通常不被視為可保的有形財產(chǎn)，這一點(diǎn)在許多保單中通過強(qiáng)調(diào)電子數(shù)據(jù)背書得到了印證，而財產(chǎn)險保單中營業(yè)中斷損失的承保范圍取決于該保單承保的有形財產(chǎn)發(fā)生損失的情況。

二是作為獨(dú)立險種，其在覆蓋范圍、除外責(zé)任和條件上存在顯著差異。數(shù)字經(jīng)濟(jì)和相關(guān)政策變化非常迅速，這阻礙了網(wǎng)絡(luò)安全保險標(biāo)準(zhǔn)化語言的出現(xiàn)，保險范圍的差異很大程度上源于定義、條件和除外條款的差異，保險人通常使用不同的術(shù)語來描述相似的承保損失或事故或適用條件。比如，澳大利亞市場上出現(xiàn)的三種不同的保單在描述涉及個人信息的保密性數(shù)據(jù)泄露造成的常見損失的保險范圍時存在很大差異，數(shù)據(jù)、軟件和硬件恢復(fù)成本被分別描述成“數(shù)字資產(chǎn)替換和改進(jìn)成本”“管理成本”和“數(shù)據(jù)恢復(fù)成本”。

（二）對網(wǎng)絡(luò)風(fēng)險的深入理解是一個核心挑戰(zhàn)

?圖1 市場擔(dān)憂

?圖2 商業(yè)保險經(jīng)紀(jì)人對網(wǎng)絡(luò)安全保險責(zé)任范圍的看法

不僅是從行業(yè)角度出發(fā)，即使是從客戶的角度來看，深入了解網(wǎng)絡(luò)風(fēng)險也存在同樣的挑戰(zhàn)。發(fā)達(dá)國家網(wǎng)安保險市場的經(jīng)驗(yàn)顯示，許多客戶不了解產(chǎn)品或他們自己的需求，尤其是中小型公司。由于網(wǎng)安保險對絕大多數(shù)保險機(jī)構(gòu)來說是一項(xiàng)新的業(yè)務(wù)，并且保險公司有意愿快速擴(kuò)展這項(xiàng)業(yè)務(wù)，因此對人才的需求預(yù)計將顯著增長，這為市場帶來新的專業(yè)知識和人才需求的增長。美國保險代理人和經(jīng)紀(jì)人委員會在對商業(yè)保險經(jīng)紀(jì)人的定期調(diào)查中發(fā)現(xiàn)，70%左右的經(jīng)紀(jì)人認(rèn)為網(wǎng)絡(luò)安全保險保單中的覆蓋范圍和除外責(zé)任不夠明確（見圖2）。在英國，2018年接受調(diào)查的經(jīng)紀(jì)人中有31%表示，他們對網(wǎng)安保險和網(wǎng)絡(luò)風(fēng)險的了解很少。在2018年發(fā)布的一項(xiàng)針對北美（以及一些國際）保險商和經(jīng)紀(jì)人的調(diào)查中，56%的受訪者表示，對承保范圍的了解不足是網(wǎng)安保險業(yè)務(wù)發(fā)展的最大障礙。

考慮到數(shù)字經(jīng)濟(jì)快速發(fā)展的性質(zhì)，網(wǎng)絡(luò)安全風(fēng)險在某種程度上是一種具有新的復(fù)雜性的風(fēng)險，而這種復(fù)雜性本身尚未得到充分理解。比如，我們?nèi)狈ψ銐虻臍v史數(shù)據(jù)和對重大潛在事件的系統(tǒng)性風(fēng)險的清晰認(rèn)知。缺乏足夠歷史數(shù)據(jù)是詳細(xì)了解網(wǎng)絡(luò)風(fēng)險基本方面的主要障礙。在可用性數(shù)據(jù)有限的情況下，建立足夠的模型以確保風(fēng)險管理的準(zhǔn)確性是一項(xiàng)挑戰(zhàn)。尤其對于再保險公司來說，這代表著巨大的承保風(fēng)險。而從另一個角度來說，缺乏適當(dāng)?shù)木W(wǎng)絡(luò)安全風(fēng)險的再保險覆蓋又是保險公司的主要擔(dān)憂。兩個互為因果的困難成了網(wǎng)絡(luò)安全保險發(fā)展的障礙。重大潛在事件的系統(tǒng)性和相關(guān)性是另一個重要外部挑戰(zhàn)，這使得我們很難理解整個市場的規(guī)模和累積風(fēng)險。從保險的角度來看，或有業(yè)務(wù)中斷的處理和潛在的風(fēng)險聚合是一個很值得關(guān)注的問題。網(wǎng)絡(luò)攻擊相關(guān)性的增加以及IT服務(wù)（例如云服務(wù)）的單一化，將使市場很難正確量化從而難以對這種風(fēng)險提供保障。其主要擔(dān)憂在于由市場標(biāo)準(zhǔn)、累積風(fēng)險控制和評估工具而導(dǎo)致的累積風(fēng)險估值錯誤。

總體來看，網(wǎng)絡(luò)安全保險發(fā)展的核心挑戰(zhàn)是對網(wǎng)絡(luò)安全風(fēng)險缺乏足夠認(rèn)知。這種核心挑戰(zhàn)來源于內(nèi)外兩方面因素，內(nèi)因包括缺少足夠歷史數(shù)據(jù)和網(wǎng)絡(luò)風(fēng)險事件的系統(tǒng)性認(rèn)知，外因包括風(fēng)險信息不足和缺少專業(yè)的承保人（尤其是再保人）。而這些不足可能形成的后果包括：責(zé)任范圍和條款不統(tǒng)一、難以準(zhǔn)確量化風(fēng)險、定價過低、缺乏足夠的再保險覆蓋、不恰當(dāng)?shù)某聊L(fēng)險表述等。

二、監(jiān)管介入網(wǎng)絡(luò)安全的影響

鑒于以上網(wǎng)絡(luò)安全保險發(fā)展所面臨的特殊挑戰(zhàn)，政府和監(jiān)管在網(wǎng)絡(luò)風(fēng)險和網(wǎng)絡(luò)安全保險上的作用逐漸被行業(yè)所重視。關(guān)于網(wǎng)絡(luò)信息安全保險的監(jiān)管和政府介入的意義方面的研究，學(xué)者從不同角度做了闡釋。Woods and Simpson（2017）分析了政府給予企業(yè)在網(wǎng)絡(luò)信息安全領(lǐng)域的補(bǔ)貼和保險費(fèi)的稅收抵扣問題。Lemnitzer（2021）則指出政府還必須建立支持機(jī)制以解決總體風(fēng)險，并確保網(wǎng)絡(luò)病毒和賠付數(shù)據(jù)庫的建立。結(jié)合“十四五”綱要與數(shù)字經(jīng)濟(jì)生態(tài)的發(fā)展，唐金成和莫賜聰（2022）針對網(wǎng)絡(luò)信息安全險，分別從風(fēng)險的識別、評估和監(jiān)管的角度探討如何構(gòu)建網(wǎng)絡(luò)信息安全保險的風(fēng)險管理體系。

事實(shí)上，政府和監(jiān)管介入網(wǎng)絡(luò)安全保險的意義包括以下幾方面內(nèi)容：第一，發(fā)達(dá)國家的保險人普遍認(rèn)為，監(jiān)管措施應(yīng)直接有助于提高對風(fēng)險的理解水平，以應(yīng)對網(wǎng)安保險發(fā)展的核心挑戰(zhàn)。比如在Solvency II中引入網(wǎng)安保險新業(yè)務(wù)線代碼，這將有助于對網(wǎng)絡(luò)安全保險提供更多的見解。第二，確保對風(fēng)險（尤其是風(fēng)險聚合和系統(tǒng)性風(fēng)險）進(jìn)行適當(dāng)?shù)亩▋r和監(jiān)控。第三，強(qiáng)調(diào)監(jiān)管應(yīng)允許共享數(shù)據(jù)，允許不同行業(yè)的公司共享共同利益和信息，建立一個匿名、集中的系統(tǒng)，以實(shí)現(xiàn)信息共享，應(yīng)對網(wǎng)絡(luò)威脅。第四，發(fā)揮政府在協(xié)調(diào)各國潛在監(jiān)管框架方面的作用。然而，政府和監(jiān)管介入的直接、具體的影響可能還需要從以下幾點(diǎn)去考量。

（一）提高條款的一致性水平與降低產(chǎn)品創(chuàng)新性

從全球案例來看，幾乎所有（再）保險承保人和中介機(jī)構(gòu)都表示，近年來網(wǎng)安保險保單中提供的術(shù)語、保險條款和條件的一致性水平顯著提高。尤其是新設(shè)立的和小規(guī)模保險公司，其網(wǎng)安保險保單主要按照中介機(jī)構(gòu)、其他保險公司或再保險公司的保單制定，這對減少保單語言的差異產(chǎn)生了積極影響。在美國，保險服務(wù)辦公室（ISO）為中小企業(yè)開發(fā)了標(biāo)準(zhǔn)化網(wǎng)安保險保單表格，為大型商業(yè)實(shí)體開發(fā)了基于菜單的保單表格，該表格至少在美國42個州已批準(zhǔn)使用。德國保險協(xié)會（GDV）為中小險企制定了標(biāo)準(zhǔn)的網(wǎng)安保險保單表格，據(jù)統(tǒng)計，約50%的保險公司使用了該表格。

大多數(shù)市場參與者意識到有必要提高術(shù)語的一致性，不過也擔(dān)心標(biāo)準(zhǔn)化可能會扼殺創(chuàng)新。數(shù)字經(jīng)濟(jì)的日新月異隨時可能產(chǎn)生新的投保人需求或出現(xiàn)新的風(fēng)險，這需要不斷創(chuàng)新保險責(zé)任范圍、條件和除外責(zé)任等。

（二）政府網(wǎng)絡(luò)安全事故罰款的可保性與負(fù)外部性

美國市場上的保險公司和再保險公司針對不同州的網(wǎng)絡(luò)安全事故罰款情況作了不同的罰款可保性規(guī)定，這為每個州的網(wǎng)安保險投保提供了明確指引。但是在其他國家，這個問題就變得很復(fù)雜。比如，歐盟的《通用數(shù)據(jù)保護(hù)條例（GDPR）》就沒有明確說明罰款是否可以投保，歐盟國家隱私監(jiān)管機(jī)構(gòu)也沒有提供任何明確信息。類似的困惑也出現(xiàn)在很多亞洲國家?？偟膩碚f，由于許多司法管轄區(qū)剛剛開始對違反隱私條例的行為處以罰款，而罰款往往只占應(yīng)對違反隱私條例行為的總成本的一小部分，因此，保險機(jī)構(gòu)對罰款和處罰的索賠經(jīng)驗(yàn)有限，尤其是在美國以外的地方。保險監(jiān)管機(jī)構(gòu)可以通過明確這類損失在其管轄范圍內(nèi)是否可投保，以及鼓勵保險公司在其保單中反映罰款可保性的立場，來給予投保人更明確的投保信息。

?表1 網(wǎng)安事故罰款的承保情況

然而對網(wǎng)絡(luò)安全事故罰款承保的限制對網(wǎng)絡(luò)安全保險的需求已產(chǎn)生一定影響，也降低了負(fù)外部性的溢出。一項(xiàng)針對保險買家的調(diào)查發(fā)現(xiàn)，絕大多數(shù)投保人（71%）希望投保罰款和罰金保險，而且事實(shí)上購買網(wǎng)絡(luò)安全保險的一個明確動機(jī)（35%）就是用來支付可能產(chǎn)生的罰款。而這很可能減少保險公司支持和建議投保人遵守隱私和網(wǎng)絡(luò)安全法規(guī)的動機(jī)，同時降低投保人主動增加安全防護(hù)措施和提高數(shù)據(jù)隱私合規(guī)性的動力。這就需要配套監(jiān)管措施的強(qiáng)制執(zhí)行，比如數(shù)據(jù)隱私合規(guī)檢查和最低安全水平的設(shè)置等。當(dāng)然，根據(jù)OECD對澳大利亞、加拿大、日本、荷蘭、英國、美國和在地區(qū)范圍內(nèi)提供網(wǎng)絡(luò)安全保險服務(wù)的35份保單的統(tǒng)計發(fā)現(xiàn)，目前市場上絕大多數(shù)網(wǎng)安保險保單包含了一定的罰款和處罰賠付責(zé)任（見表1）。

（三）網(wǎng)絡(luò)勒索損失的可保性與政府態(tài)度

網(wǎng)絡(luò)勒索攻擊可能會導(dǎo)致大量損失，包括業(yè)務(wù)中斷（勒索妨礙對運(yùn)營所需數(shù)據(jù)的訪問）、危機(jī)管理成本、數(shù)據(jù)和硬件恢復(fù)及可能的贖金支付。OECD的統(tǒng)計發(fā)現(xiàn)，幾乎所有國家的絕大多數(shù)網(wǎng)絡(luò)安全保險為網(wǎng)絡(luò)勒索造成的費(fèi)用提供了一定的保險覆蓋（見表2）。而網(wǎng)絡(luò)勒索風(fēng)險能否承保主要取決于政府對網(wǎng)絡(luò)勒索支付贖金的態(tài)度，反對支付贖金的國家主要是為了避免助長敲詐勒索行為。而（再）保險公司可能希望承保贖金風(fēng)險的原因在于，支付贖金可以避免代價高昂的業(yè)務(wù)中斷和數(shù)據(jù)恢復(fù)索賠。據(jù)統(tǒng)計，業(yè)務(wù)中斷和數(shù)據(jù)恢復(fù)索賠通常可達(dá)贖金的23倍。但其實(shí)（再）保險公司承保贖金損失，也是一項(xiàng)有明顯負(fù)外部性的行為。一方面，一份公開的網(wǎng)絡(luò)安全保險投保人名單可能反而導(dǎo)致這些投保人更多地成為攻擊目標(biāo)（Dudley，2019）；另一方面，無法保證被害人支付了贖金后敲詐勒索者就會恢復(fù)被害人的訪問權(quán)限。而如果有健全的主動防護(hù)和備份程序，網(wǎng)絡(luò)勒索損失是可以避免的。當(dāng)然，也不得不考慮對贖金支付可保性的限制是否會對中小企業(yè)產(chǎn)生較大不利影響，因?yàn)橹行∑髽I(yè)顯然也是勒索病毒攻擊的目標(biāo)，但它們可能沒有足夠資源來投資與主動建立防護(hù)系統(tǒng)并進(jìn)行必要的備份。

?表2 網(wǎng)絡(luò)勒索損失保險

三、總結(jié)與建議

通過以上梳理，本文認(rèn)為，首先，有必要對網(wǎng)絡(luò)安全風(fēng)險進(jìn)行更深入的研究，擴(kuò)大認(rèn)知，這不僅與評估和處理新網(wǎng)絡(luò)安全事件中的風(fēng)險有關(guān)，還與客戶加深對網(wǎng)絡(luò)安全風(fēng)險的了解有關(guān)。其次，目前網(wǎng)安保險的覆蓋范圍主要集中在商業(yè)業(yè)務(wù)上，但隨著物聯(lián)網(wǎng)（IoT）等技術(shù)的發(fā)展，消費(fèi)者越來越容易受到數(shù)字服務(wù)侵權(quán)的影響，為個人提供網(wǎng)安保險的可能性也在增加。這更加凸顯了提高網(wǎng)絡(luò)安全認(rèn)知的重要性。再則，缺乏足夠的歷史數(shù)據(jù)、難以準(zhǔn)確估計風(fēng)險累積和系統(tǒng)性風(fēng)險等也是網(wǎng)安保險發(fā)展急需解決的關(guān)鍵挑戰(zhàn)。這些決定了政府和監(jiān)管介入的必要性。但是政府和監(jiān)管的介入也需要處理好統(tǒng)一性與創(chuàng)新性的關(guān)系、鼓勵網(wǎng)安保險發(fā)展與負(fù)外部性溢出之間的關(guān)系。為此本文建議：

第一，保險監(jiān)管機(jī)構(gòu)應(yīng)建立統(tǒng)一適用于網(wǎng)絡(luò)風(fēng)險的保險定義和除外條款，并監(jiān)控因保單語言意思表示不明確而產(chǎn)生的索賠糾紛；同時，考慮到任何強(qiáng)制標(biāo)準(zhǔn)化都可能會扼殺保險創(chuàng)新的風(fēng)險，如果短期內(nèi)無法實(shí)現(xiàn)充分的融合，監(jiān)管部門應(yīng)鼓勵行業(yè)協(xié)會開發(fā)標(biāo)準(zhǔn)化語言以供險企自愿使用。

第二，政府應(yīng)就網(wǎng)安事故罰款以及網(wǎng)絡(luò)勒索支付贖金的可保性明確聲明。為了防止負(fù)外部性的產(chǎn)生，監(jiān)管部門限制可保性的決定應(yīng)適當(dāng)考慮某些例外的情況，比如，被保險人沒有直接的安全防護(hù)疏忽責(zé)任的情況，以及為了避免對生命或財產(chǎn)造成重大損害而支付贖金的情況。在該問題上加強(qiáng)國際協(xié)調(diào)與合作，采取一致做法，降低保險公司通過跨境方式進(jìn)行監(jiān)管套利、為不可投保損失提供保險的風(fēng)險，從而為保險供應(yīng)商和投保人提供一個公平的國際競爭環(huán)境。