网络安全保险是承保与网络空间风险等相关风险的新险种,在转移残余网络安全风险、保障组织财务稳定性和业务连续性方面能发挥有效作用。随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规颁布实施,我国各行业主体的网络安全意识不断增强,安全保障需求不断提升。

美国和欧洲从20世纪90年代开始推动网络安全保险发展壮大,网络安全保险的保障范围不断完善、保险方案日益丰富、保费规模快速增长。而我国网络安全保险市场尚处于探索阶段,面对需求释放不足、安全服务赋能不够、产业生态尚未建立等问题,还需要进一步强化需求牵引作用,优化产品服务供给,推动网络安全保险服务标准化,促进多方市场主体深度协同,打造健康有序、良性发展的网络安全保险生态。

一、美国和欧洲发展网络安全保险的启示借鉴

美国是全球最大的网络安全保险市场,占据全球网络安全保险市场份额的62%,英国和欧盟分别占据16%和14%,其他国家仅占8%(唐金成、莫赐聪,2022)。美国和欧洲探索构建了政府主导、产学研协同发展的路径,有效推动了网络安全保险落地发展。

(一)政府高度重视网络安全保险,优化保险发展环境

一是前期开展网络安全保险发展的研究和调研,摸清其发展面临的关键问题。美国国土安全部从2012年到2014年共举办了四次工作会议,分析网络安全保险发展状况和面临的障碍,明确推进网络安全保险的关键领域,包括网络事件信息共享、网络事件后果分析和企业风险管理。自2012年起,美国网络安全和基础设施安全局(CISA)积极与学术界、运营商、保险公司等联合开展网络安全保险政策研究制定工作(https://www.ccidgroup.com/info/1105/32377.htm)。2011年设立的欧洲保险和职业养老金管理局于2019年制定了网络承保战略,阐述欧洲网络安全保险市场面临的机遇和挑战,认为处置网络风险的有效解决方案是建立合理的网络风险评估框架,并设计弹性的网络安全保险覆盖范围(资料来源:EIOPA Strategy on Cyber Underwriting )。

二是强化网络安全立法规范和行业监管,明确网络安全事故相关责任界定。美国制定了一系列网络安全政策,为网络安全建设、网络安全主体责任落实提供指导,例如,13636号行政命令《提高关键基础设施网络安全》、美国国家标准与技术研究院(NIST)网络安全框架等。同时,美国强化了数据安全责任的相关规定,已有50多个州陆续颁布《数据安全泄露通知法案》,要求企业在发现数据泄露事件后及时告知用户,对故意隐瞒者按照违法行为处置。这与欧洲《通用数据保护条例》(GDPR)对个人数据泄露通知报告要求类似,对网络安全保险需求增加起到了推动作用。法律法规明确了企业的网络安全责任,在网络安全事件发生后,企业不仅需要承担给第三方造成的法定赔偿责任,还可能面临监管部门的罚款,高额的赔付成本使得企业对网络安全保险的需求增加。

三是出台并发布网络安全保险行业指南,鼓励和指导企业购买网络安全保险。美国的一些州在法案中提出了网络安全保险相关要求。例如,马萨诸塞州立法修正案增加了“任何采购信息技术产品或服务的国家机构,应优先考虑购买了网络安全保险的供应商”条款。2019年5月,堪萨斯州通过了有关网络安全保险的法案,允许相关机构购买网络安全保险。2020年2月,加利福尼亚州修订了《公共合同法》,增加了“合同应要求承包商提供足够的网络安全保险,以承保可能因非法访问或披露个人信息造成的一切损失”条款。这种指引性的立法,有力推动了美国网络安全保险走向规范和成熟。

(二)政企合作协同推进,促进网络安全保险应用落地

一是较好发挥行业组织作用,明确行业标准化操作。2014年,美国保险监督官协会(NAIC)成立网络安全工作组,制定保险公司承保网络风险的指导原则,要求保险公司披露已签约的网络安全保单相关信息,监测和统计美国网络安全保险市场发展情况。“欧盟—美国”保险对话项目网络安全保险工作组也就网络安全保险发展进行持续的双边对话,并于2018年发布报告,对美国和欧洲市场上网络安全保险的类型、承保该类保险的挑战进行总结,指导行业发展网络安全保险业务。

二是龙头企业率先探索产品优化,跨领域合作创新发展模式。美国国际集团(AIG)探索将保险服务与专业技术手段结合,于2012年到2014年间,尝试组建网络安全保险团队,为投保企业提供承保中的风险管理和出险后的安全应急服务,并在2015年投资网络安全服务公司以完善其服务体系。欧洲保险龙头企业劳合社于2019年发布网络安全保险承保强制性规定,要求旗下保险公司在2020年和2021年分别确认网络攻击导致第一方损失及第三方责任的承保范围,该规定在很大程度上促进了网络安全保险在全球范围的落地。另外,在支撑保险定价的风险数据 建 设 方 面 ,美 国 巨 灾 建 模 公 司 AIR Worldwide和数据分析公司Verisk联合发布网络安全损失数据搜集标准以支撑网络风险建模数据搜集(朱晶晶、赵桂芹、吴婷,2018)。

三是初创型网络安全保险服务机构发挥专业技术优势,补齐网络安全保险生态链条。由赛门铁克创立于2015年、专注于网络安全保险服务的公司Cybercube,推出网络风险建模工具,全面融合大数据、人工智能与精算科学等数据分析技术,可基于网络风险基础数据实现差异化的网络安全保险定价,赋能保险公司网络安全保险承保流程。在此基础上,Cybercube公司、劳合社和佳达再保险经纪公司于2021年共同设计开发了网络巨灾风险产品。此外,还有Security Scorecard、Perseus、Soteria、Coronet等公司,充分发挥其网络风险量化、非侵入式监测、事件响应与数据取证等专业技术能力,实现对网络安全保险投保阶段风险评估、承保阶段风险持续监测和理赔阶段事故鉴定等流程的有力支撑。目前,这类第三方机构也是国外网络安全保险产业链的主要参与者。

(三)网络安全保险发展日趋规范,发展潜力被业界看好

一是网络安全保险需求不断增加,保费规模稳定增长。网络攻击事件频发造成的巨额财务损失和品牌名誉损失,使得用户对网络安全保险需求不断上升。根据美国政府问责局(GAO)对其网络安全保险市场的调研,2016年至2019年,生效的网络安全保单数量从220万份上升到360万份,增加约60%;书面保费总额从21亿美元增长至31亿美元,增长超过 50%( CYBER INSURANCE: Insurers and Policyholders Face Challenges in an Evolving Market )。根据美国保险监督官协会(NAIC)的统计数据,2019年,共有577家保险公司披露其网络安全保险业务相关信息,涉及多种类型的网络安全保险服务(Report on the Cybersecurity Insurance and Identity Theft Coverage Supplement)。

二是产品类型多为财产险和责任险,主要保障网络安全事件导致的财产损失和安全责任。在美国注册的保险公司中,目前共有47家保险公司提供独立的网络安全保险保单(Stand-alone Policy),另有516家保险公司提供综合保单(Packagesd Policy)。网络安全保险承保内容主要包括两大类:一类是网络风险事件对投保人自身造成的损失,包括数字资产的丢失或损坏、运营中断、网络欺诈、金钱或数据资产的失窃等;另一类是对第三方造成的损失(第三方责任),如调查取证费用、公关费用、第三方数据丢失和第三方合同赔偿等。

三是网络安全保险场景化发展程度有限,发展潜力有待进一步释放。据市场研究公司(Research and Market)预测,到2026年,全球网络安全保险市场规模将达到350.7亿美元,平均年复合增长率达到26.6%,展现出巨 大 的 网 络 安 全 保 险 市 场 空 间( Cyber Security Insurance - Global Market Outlook )。但从目前发展情况来看,国外网络安全保险产品和保单设计还在发展过程中,保单的保障范围主要集中在应急响应费用、物理损失、营业中断损失、网络勒索损失等第一方损失,以及第三方的数据泄露责任、网络安全事件责任、数字媒体责任,但是面向制造、金融、能源等行业,以及工业互联网、车联网、5G新兴应用领域的差异化险种供给能力较弱,潜在用户在选择网络安全保险时,难以结合所在行业领域的需求。

二、我国网络安全保险的应用难点

作为网络安全模式与金融服务模式融合创新的结果,我国在网络安全保险领域开展了积极探索,《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规的相继实施,逐步完善了我国网络安全方面的法律体系,明确了网络安全主体责任,为我国网络安全保险的发展奠定了良好的法律基础。据国家工业信息安全发展研究中心测算,2021年我国网络安全保险保费规模预计超过7000万元,较2020年增长3.2倍以上,最高保额超过4亿元,整体保费规模呈现持续高速增长态势(数据来源:《我国网络安全保险产业发展白皮书(2021年)》)。但是,我国网络安全保险仍处于发展初期,行业及企业对网络安全保险的关注较少、认知不足,网络安全保险产品服务规范尚未建立,安全服务对保险业务的支撑能力有限,产业生态有待完善。以下诸多实际问题和难点需要引起关注。

如何提升网络安全需求侧主体对网络安全保险的认知

整体来看,我国大多数行业及企业的网络安全风险意识淡薄,网络安全建设投入普遍不足,对于网络安全保险的投入预算基本处于空缺状态。中小企业更关注投入产出比,普遍缺乏网络安全风险意识,更不用说考虑风险转移。同时,行业及企业对网络安全保险认知还不到位。由于网络攻击短期内可能不会造成明显损失或损失并不直观,部分企业购买网络安全保险仅仅是为了满足合规要求。此外,与国外惯例不同,我国鲜有因信息泄露而引发的民事索赔,大多数企业对网络安全保险的认识也只停留在重硬件、轻数据的层面,很少会考虑将网络安全保险作为转移第三方责任风险的措施。

如何提升现有网络安全服务对网络安全保险赋能水平

从供给侧看,现阶段主流的网络安全服务大多以人工服务模式为主,受网络安全服务人员数量、地域分布等限制,网络安全服务很难与保险销售、风险评估或监测业务实时联动。同时,网络安全服务与保险服务之间存在一定程度的割裂。例如,风险评估方法多停留在定性而非定量层面,风险监测对象侧重于外部已知威胁,溯源取证并非关注保险责任界定等。从需求侧看,投保企业对风险评估和安全检测持有戒备心理。保险公司通常需要采集大量信息用于网络安全风险评估以决定是否承保,但由于国内相关法律体系不健全及风险评估标准不完善,部分企业考虑到信息泄露风险而不愿投保。如何推进“无感评估”用于网络安全保险风险评估,还需进一步研究解决。同时,由于国内网络安全保险出险案例较少,保险公司未建立对于网络安全事件导致的直接损失、间接引发的无形损失等的量化评估体系和规范化流程,无法实现对数据资产价值、漏洞威胁等级、网络威胁态势等风险量化指标的统一。

如何构建健康规范的网络安全保险生态体系

产品方面,各保险公司在险种类别、可保风险及承保责任等方面的表述和内容存在差异甚至分歧,保险条款还需要司法进一步审核和市场验证。标准方面,网络安全保障体系尚未健全,承保中风险量化分析、应急响应、数据恢复等方面尚未形成统一标准,服务保障内容尚未规范,导致企业购买力不足。在网络安全保险发展初期,尚未建立具有资质的保险公估公司对企业受损情况进行查勘、评估。再保险方面,出于对业务效益及未知风险承受能力的考量,国内再保险公司仅为网络安全保险提供极为有限的承保能力,因此,大部分直保公司将网络安全保险业务分出给外资再保险公司,而部分企业数据较为敏感,外资再保险公司参与其中可能会带来安全隐患。公估能力方面,国内保险公司普遍缺乏赔案处理能力,定责定损所依赖的第三方机构多为利益相关的网络安全企业,客观性、公正性、准确性难以得到业界的一致认可。总之,行业标准规范建设还在摸索的初级阶段,产业链条各方主体的分工协作模式还有待建立和规范。

三、网络安全保险的发展路径思考

随着各行业各领域数字化转型的深入推进,网络信息安全防护理念逐渐从“被动安全”步入“主动安全”时代,网络安全需求持续增加,网络安全保险有望加速发展。我国可通过借鉴国外网络安全保险实践经验,并结合发展实际,从供给、需求和生态等层面多措并举,加快推进网络安全保险落地发展。

1.加快提升网络安全保险产品和支撑服务供给能力

聚焦风险场景差异,推动网络安全保险产品创新。聚焦工业互联网、车联网、物联网、云平台、数据中心等新业务风险,开展络安全风险场景研究与保险产品设计,推动网络安全保险产品创新。面对不同规模企业所处风险环境的差异,提供定制化保险服务,实现多层次定价。明确风险评价指标,构建可量化的风险评估体系。基于网络安全领域法规政策与标准文件,围绕数据资产价值、威胁指标、漏洞指标量化开展研究,开发核保体检量化、风险损失量化等模型,形成可量化的网络安全风险评价体系框架。

2.引导需求侧主体积极使用网络安全保险兜底安全风险

加强引导力度,激发产业需求。通过行业展览、会议、论坛及沙龙等多元方式,积极开展网络安全保险推介,普及网络安全风险管理知识,推动市场释放需求。选取典型行业领域先行先试,进行网络安全保险模式和可落地性探索,积累国内网络安全保险承保理赔经验。构筑“强制、补贴、鼓励”三位一体的政策支持体系,探索强制保险和自愿保险并行发展的道路,特别重视强制责任保险在落实法律责任方面的价值。

3.保护消费者权益制定适应网络安全保险需求的标准规范体系是核心

在现有网络安全相关标准的基础上,组织制定网络安全保险标准和规范流程。产品设计方面,明确网络安全保险专业术语、险种类别、可保风险等,制定网络安全保险产品框架,指引保险公司开发产品;技术要求方面,统一网络安全风险评估标准,开发全行业横向及行业内纵向的网络安全风险分级标准,明确风险持续监测和事件应急处置及溯源取证的技术要求,形成系列标准规范;流程规范方面,界定保险保障与安全服务的范围职责界限,明确在网络安全保险产品设计、核保评估、风险管理、出险理赔等阶段中各利益相关方的职责定位、主要工作内容和规范化流程,形成适用于我国网络安全保险服务的通用框架和流程。

4.积极培育网络安全保险发展生态

加强保险公司与网络安全企业、保险科技公司的协同,合力开展企业的风险管理意识培训和流程优化工作,在实现投保企业精准定位、网络安全保险服务定制化的同时,加强投保企业对安全风险应对和安全保险保障功能的信心。建立网络安全风险共担机制,采用政府引导建立风险池的方式,鼓励保险公司以共保的形式承保网络安全风险,融合政府、保险、企业等多个市场参与方,实现风险的多层级分散,以便更好地应对大型系统性网络安全风险。探索建立外资再保池,在充分发挥外资再保险公司风险分散能力的同时,避免网络安全相关敏感信息流出。鼓励高等院校开展跨学科人才培养项目,开设网络安全保险“微专业”,面向从业人员、在校生开展培训,培育网络安全保险专业人才。

本文系《上海保险》2022年第6期文章《网络安全保险的应用难点与发展路径》改编而来。

孙倩文 陈羽凡,作者单位国家工业信息安全发展研究中心

声明:本文来自上海保险,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。