網絡安全保險的發展現狀與思考

潘沛宇

【摘要】近年來，隨著互聯網技術和產業的迅猛發展，信息網絡技術在各行各業廣泛應用，網絡風險日漸成為市場運行中的重要風險，網絡風險導致的損失也成為個人和企業的關注焦點。然而我國網絡安全保險還處于起步階段，發展相對緩慢，本文通過分析網絡安全保險的現狀，就推進網絡安全保險的快速發展提出相應的建議。

【關鍵詞】網絡安全;保險機制;建議

隨著我國信息技術及互聯網科技的高速發展，網絡安全已涉及如國家基礎設施、企業商業秘密、個人信息等政治、經濟和社會的各個方面，特別是當前我國的經濟社會發展面臨更加復雜的國內外環境，網絡安全的重要性愈加凸顯，受到黨中央的高度重視。同時，一系列國家網絡安全領域的法律法規加緊落地，重要行業領域網絡安全頂層設計密集出臺，新興技術領域安全發展目標和要求不斷完善，網絡安全行業迎來風口。然而網絡安全治理在具體實施層面仍面臨不少挑戰，包括社會對于網絡安全風險認識不足、風險轉移手段有限、風險預防與控制措施不夠等。保險作為市場化的風險管理手段，有助于解決其中的一些挑戰問題。但網絡安全保險在我國引入時間尚短，保險公司在經營推廣中仍然面臨許多問題，為推進網絡安全保險的快速發展，本文通過分析網絡安全保險的現狀和問題，提出了一些建議。

一、網絡安全領域急需引入保險機制

據國家互聯網應急中心報告，2019年共接收境內外報告的網絡安全事件107，801起，較2018年上升1.0%。而根據《2016中國網民權益保護調查報告》顯示，僅2015下半年到2016上半年，我國網民因垃圾信息、詐騙信息、個人信息泄露等遭受的經濟損失就高達915億元。

隨著2017年《網絡安全法》的頒布實施，網絡安全已經成為一項國家戰略。如何加快戰略落地，提高網絡安全保障水平，減少網絡安全事件給企業造成的損失，關鍵在于建立一個高質量、高效率的網絡安全風險管理體系。由于物聯網、區塊鏈、5G等技術的發展，企業面臨的網絡安全風險越來越多樣化，無數的案例表明：無論企業規模大小，其均無法通過人工、安全防護技術或流程管控來確保百分之一百的安全，除了加強網絡安全技術投入，企業開始考慮通過保險的方式轉嫁風險。因此網絡安全保險成為一種有效轉嫁網絡安全風險的工具，以彌補技術防范的缺失。

二、網絡安全保險領域的發展現狀

我國網絡安全保險起步較晚，覆蓋網絡安全領域風險的產品，是從個人類賬戶安全保險產品開始的，近幾年才開始有了相對獨立的網絡安全類保險。具體來看，我國當前開辦網絡安全保險的公司較少，主要以外資財產保險公司及大型的中資財產保險公司為主。承保范圍主要分為兩大類：第一方損失保障，即保障因網絡安全事故導致的被保險人遭受的營業中斷損失和數據恢復的費用等;和第三方賠償責任，即因發生網絡安全事故導致第三方遭受財產損失或其他人身傷害，被保險人應承擔經濟賠償責任。

目前各保險公司除了利用自有渠道及資源推廣網絡安全保險外，部分保險公司還開拓了與網絡安全公司的合作，主要有兩種形式：一種是網絡安全公司作為技術服務商和風險咨詢顧問，為保險公司提供防災防損的工作，包括為保險公司的網絡安全險客戶提供投保前的風險評估、保中的巡檢和監測、保中的實時防護和出險后的應急響應、保險理賠協助等。第二種形式是通過網絡安全保險，對網絡安全公司自有客戶的網絡安全風險進行轉嫁。當發生安全事件后，由保險公司提供理賠服務、損失補償，形成既有網絡安全產品和服務，又有保險的雙重保障。

然而，我國當前網絡安全保險的推廣還缺乏有效的手段及必要的環境，無論是從我國網絡安全保險的市場成熟度上看，還是從我國當前網絡安全保險的投保企業數量和整體滲透率來看，我國網絡安全保險發展仍有很長的路要走。

三、我國網絡安全保險發展緩慢的原因

我國網絡安全保險發展遲緩，概括起來主要是由于以下三方面的原因：

（一）網絡安全風險認知方面。一是社會普遍缺乏對于隱私信息保護的權利意識。這是阻礙網絡安全保險發展的重要因素之一。二是企業對網絡風險認知不足，投保意愿不強。大多數企業對于網絡可能帶來的巨大風險和損失認知不足，也未接觸過網絡安全保險相關產品。三是保險公司認為網絡風險難控，承保積極性不足。我國網絡安全保險發展時間短，保險公司對于網絡可能帶來的風險和損失缺乏相關數據經驗，擔心此類風險可能存在賠付率過高和保費積累不足的情況，在缺乏再保險支持的情況下，保險公司對于此類業務的承保表現得十分謹慎。

（二）網絡安全保險產品開發方面。一是網絡風險信息不對稱，保險公司缺乏事故數據積累。企業在發生信息泄露事故后通常不會主動公開事件，風險處于隱藏狀態，給保險公司產品設計和定價帶來困難。二是網絡風險隨機性不足，損失具有巨災特性。網絡風險事件背后存在人為因素的影響，具有主觀性，網絡安全保險存在較高的道德風險。并且，網絡攻擊具有組織性和關聯性，容易產生連鎖反應，近年來風險發生頻率有提高趨勢。三是數據信息等無形資產價值評估困難。數據信息作為互聯網企業的核心資產，具有價值難以確定和價值波動性大等特點，其價值評估是網絡安全保險確定保險金額和后續定損理賠的關鍵環節，也是高度專業化的工作。

（三）網絡安全保險法律環境方面。個人維權難，舉證難，起訴成本高。發生個人信息泄露事故后，由于起訴成本高、舉證困難等因素，普通民眾很難通過法律途徑維護自身權利，受害的普通民眾對于自身信息被泄露通常只能選擇“忍氣吞聲”，導致企業認為自身不存在因為數據信息泄露被起訴的風險，即使被起訴，相應的損害賠償責任也十分有限。法律基礎是保險產品的根基所在，缺乏相關法律制度的支持將嚴重影響網絡安全保險的推廣和發展。

四、網絡安全領域引入保險機制的建議

（一）加強頂層設計，鼓勵創新、多方合作

鑒于中國網絡安全保險市場尚未成熟，政府在推動提升風險保障方面將會發揮重要作用。尤其在立法保障、數據與信息安全、監管約束、培育社會整體風險意識等方面將起到主導作用。網絡安全法規密集出臺，政府對信息數據立法日漸趨嚴，這將進一步促進企業采取更加積極的風險管理策略，強化并提升網絡安全風險意識。

政府可以積極探索與保險公司、網絡安全公司、企業等多方合作模式，出臺支持保險業參與網絡安全風險管理的頂層設計方案，包括提高網絡安全保險保費補貼額度或財政部出臺相關稅收優惠政策對相關資質企業進行扶持。通過保費補貼和稅收優惠等政策，提升企業投保網絡安全保險的意愿，增強其網絡安全風險的保障能力。引導保險公司和網絡安全企業共同積極推動網絡安全保險發展，全方面提升網絡安全保障程度。

（二）重點先行，分步實施

在日益趨嚴的監管要求下，國家的核心信息基礎設施行業和公共部門對于網絡安全的需求顯著高于其他領域。而基礎設施一旦發生重大網絡事件，波及范圍極為廣泛，損失或可達到數十億元。鑒于網絡風險的巨災性質，加上網絡安全保險在我國尚處于起步階段，保險行業風險數據積累較為有限，保險公司可能產生保費估計不足或產生賠付率過高的情形，導致保險機構對于承保較高風險缺乏積極性，轉而以提供基礎性的低保障為主。另一方面，這些機構往往具有較為完備的網絡安全風險管控體系，因此對網絡安全保險的需求取決于網絡安全保險產品的具體特征是否能夠對當前企業內部的風控體系起到補充作用，或能否對現有的部分風險管理功能起到更有效的替代作用。

因此對于全行業網絡安全風險的轉嫁，可以根據不同行業不同領域的調研結果，針對不同行業及不同規模的企業實施不同的引導措施及保險方案，同時依據需求及風險的顯著程度進行評估，分步實施。

（三）發揮保險基礎功能，彌補技術防范的缺失

當前，我國互聯網領域快速發展，技術與業務場景不斷豐富，新業態、新模式不斷涌現，網絡風險彼此交織，日益復雜，新興網絡風險保障需求不斷出現。作為我國保險業的新興發展領域，網絡安全保險仍處于起步階段，需要較為寬松的創新環境。目前在網絡安全保險領域，保險公司可以整合網絡安全服務商，形成“保險+服務”的新模式，在發揮保險基礎的補償功能的同時，幫助企業加強網絡安全管理，并在安全事件發生后，提供良好的安全解決方案，以彌補技術防范的缺失。建議政府出臺相關支持政策，鼓勵保險公司在網絡安全保險產品上的創新探索，特別是在網絡安全保險“保險+科技+服務”模式創新過程中，給予一定的支持空間，提高保險公司發展網絡安全保險的積極性和主動性，積極助力我國網絡安全治理現代化建設。

參考文獻：

[1]梁鈺敏，張康，宋立志.網絡安全綜合保險發展分析及建議[J].金融科技時代，2017（12）：92-94.

[2]張松海.發展網絡安全保險，助力網絡安全風險治理體系建設[J].中國信息安全，2017（03）：50-51.

[3]王緒瑾，宋占軍.保險業服務網絡信息安全保障體系研究[J].中國信息安全，2017（03）：41-44.