美国网络安全保险业发展带来的启示

本文作者：赛迪智库网络安全研究所 刘玉琢 魏书音

目前我国网络安全保险业的发展尚处于起步阶段，制度标准不健全，缺乏有效的基础数据，关键技术也不成熟，企业投保意愿不强。与此同时，美国已经成为全球最大的网络安全保险单一市场，商业模式基本成熟。赛迪研究院网络安全研究所在深入分析美国网络安全保险发展现状和主要做法的基础上，对如何培育我国网络安全保险市场、促进我国网络安全保险业发展，提出了三点建议。

一、美国网络安全保险市场发展现状

市场规模。美国保险监督官协会（NAIC）的统计数据显示，2018年美国网络安全保险市场规模约35.98亿美元，比2017年的30.87亿美元增长了16.54%。其中，提供独立网络安全保险的保单签单收入约23.15亿美元，将网络安全作为部分责任提供复合责任保险的保单签单收入约12.83亿美元。另据市场研究公司Research and Markets 2019年8月发布的《网络安全保险—全球市场展望（2017-2026年）》报告预测，到2026年，全球网络安全保险市场规模将达到350.7亿美元，平均年复合增长率达到26.6%。

企业状况。NAIC的统计数据显示，目前美国有超过500家保险公司可以提供网络安全保险服务。其中，约有140家可提供独立网络安全保险，占市场份额前10位的公司市场占有率共计约39.46%，包括安盛集团（AXA）、美国国际集团（AIG）、旅行者集团（Travelers）、比兹利保险公司（Beazley）等；约有491家可提供复合责任保险，占市场份额前10位的公司市场占有率共计约51.2%，包括邱博集团（Chubb）、CNA集团、埃克斯资本集团（Axis）等。值得注意的是，邱博、安盛、美国国际、旅行者、比兹利5家公司网络安全保险年收入分别超过1亿美元，其中，邱博、安盛和美国国际年收入分别达到3.2亿美元、2.56亿美元和2.32亿美元。

承保范围。网络安全保险承保内容主要是因网络安全事件而造成的经济损失、人身伤害及财产损失，包括对投保人自身造成的损失和对第三方造成的损失。目前，美国市场销售的网络安全保险承担的责任主要分为七类：企业经营中断损失，系统和数据恢复费用，合规性监管罚款（如GDPR），网络勒索及谈判费用，知识产权损失，数据泄露给第三方造成的损失，危机管理费用（如名誉损失、调查取证费等）。此外，部分企业还提供网络安全咨询、网络安全事件应急响应、修复公司声誉等服务。

二、美国发展网络安全保险产业的主要做法

营造网络安全保险发展的良好外部环境。一是出台优惠政策，鼓励企业购买网络安全保险服务。2016年颁布《数据泄露保险法》，提出了对购买数据泄露保险并采用美国国家标准技术研究院网络安全框架或财政部批准的其他网络安全标准的公司，提供15%的税收减免。二是建立网络安全事件强制披露制度，迫使企业加强事前保障。2011年美国证券交易委员会（SEC）要求上市公司必须上报网络安全事故、数据泄露事件，否则将面临调查传讯。迄今，全美50个州已颁布相关法令，要求机构在发生个人信息数据泄露事件时及时通知用户。

完善网络安全保险公共基础服务体系。一是加强网络安全行业和保险行业的信息共享。网络安全保险建模及保费估定需以可靠的网络安全风险数据为基础，美国国土安全局从2012年起便开始联合保险业建立网络风险数据仓库。数据公司Advisen、风险建模公司RMS等建立了网络安全风险管理相关数据库，帮助保险人识别网络风险并提供网络安全损失测试服务。二是健全监管体系，确保网络安全保险行业健康发展。建成了由保险监管信息系统、财务分析追踪系统、风险资本和现金流测试等四个系统构成的偿付能力监管体系，并将风险资本比例从70%到200%分为五个层次，采取不同的监管措施。同时，通过完善网络信用体系建设，运用失信惩罚机制维护网络保险市场的有序发展。

推动多方合作优化网络安全保险服务。一是鼓励保险公司和网络安全企业合作完善网络安全保险模型。例如，国际再保险巨头佳达保险联合赛门铁克创建了网络安全加总模型；美国巨灾建模公司AIR Worldwide和数据分析公司Verisk联合发布网络安全损失数据收集标准，进行网络风险建模数据收集。二是推动形成网络安全保险最佳实践并加以推广。自2012年起，美国网络安全和基础设施安全局（CISA）与学术界、基础设施运营者、保险公司、首席信息安全官、风险管理人员等合作，利用网络事件数据存储库推进跨部门网络安全的最佳实践，开发新网络安全保险政策，并对采用和实施这些最佳实践的企业进行奖励。

三、启示与建议

加快制定推动网络安全保险服务的政策标准。研究和制定促进网络安全保险业发展的相关战略规划，提供政策支持和组织保障，指导网络安全保险市场发展。健全数据泄露等网络安全事件惩罚制度，推动互联网服务提供商、关键信息基础设施运营者、数据中心等加大对网络安全保险的重视程度和投入，引导其将网络安全风险转移到资本市场。支持开展网络安全风险评估、风险损失量化、保费和理赔定价体系等研究，建立网络安全风险分级防护、网络安全定损等相关标准，建立网络安全保险的相关标准体系。

加快构建支撑网络安全保险服务的保障体系。支持建设网络安全漏洞、威胁信息、安全事件等数据库，汇总国内外网络安全风险相关数据，定期发布网络安全风险报告。成立由研究机构、保险公司、互联网公司和网络安全公司等相关单位组成的网络安全保险产业联盟，建立网络安全风险数据共享机制，提高保险公司网络风险模型的有效性。制定网络安全保险从业人员所需的课程体系，组织开展网络安全保险相关学历教育和社会化培训，培育高素质的网络安全保险人才。

加大网络安全保险服务的宣传推广力度。充分利用国家安全教育日、全国保险公众宣传日、网络安全宣传周等全国性宣传机会，开展网络安全保险相关宣传教育活动，介绍网络安全保险的承保范围、真实案例、作用意义等。挑选保险服务发达、安全风险较高的区域和行业，开展网络安全保险服务试点，总结试点经验，形成可供全国推广的网络安全保险服务模式。参考重大装备首台（套）保险补偿政策，联合网络安全企业、保险公司等，制定网络安全产品保险制度和产品清单，以推动网络安全保险服务的广泛应用。

声明：本文来自赛迪智库，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。