文 | 北京航空航天大学计算机学院博士后 周瑞珏;北京航空航天大学法学院副教授 赵精武

在多元化网络安全治理体系下,法律与技术标准领域的治理工具已经相对成熟。随着立法工作的不断深入,如《网络安全法》和《数据安全法》等法律法规所提及的配套法律制度及其安全技术标准体系化程度明显提高。然而,市场层面的治理工具仍处于发展阶段。作为风险转移和损失分散的传统治理工具,保险的功能与网络安全治理目标相契合。网络安全保险作为一类用于承保网络安全风险的新兴商业险种备受市场关注。工业和信息化部与国家金融监督管理总局联合印发了《关于促进网络安全保险规范健康发展的意见》,强调充分发挥该类险种提升行业企业网络安全风险应对能力的作用。不过,从国内网络安全保险的发展现状来看,我国网络安全保险尚处于起步阶段,该类险种的承保范围、除外条款以及该类险种与现行网络安全治理体系的衔接关系等问题有待明确和解决。

一、国内外网络安全保险的基本概念与发展趋势

(一)网络安全保险的基本概念与承保范围

网络安全保险不是网络安全领域的“万能险”,而是经由投保人与保险人之间的合意而达成的,针对特定网络安全风险类型的险种。欧盟网络与信息安全局(ENISA)将常见的承保范围总结为“网络安全事件引发的商业收入损失”“业务中断损失”“网络勒索赎金”以及“数据回档费用”。在团体标准《网络安全保险 安全风险评估实施指南》中,网络安全保险的主要理赔事项包括“应急服务+数据恢复费用”“网络勒索和勒索之款项”“营业收入损失和从属营业收入损失”“外包商数据安全责任”和“数据安全责任”。目前,保险市场普遍认为,网络安全保险主要包括第一方保险(损失险)和第三方保险(责任险)两种形式。网络安全损失险主要针对的是投保人自身面临的网络安全风险,如业务中断损失、商业声誉损害、网络诈骗等;网络安全责任险针对的风险则是投保人在发生网络安全事件后对第三人所造成的损失,如用户个人信息泄露、客户企业数据毁损、基于业务链关系导致的下游企业业务中断等。之所以如此细化承保范围和类型,是因为不同行业、不同规模的企业所面临的网络安全风险具有个性化特征,国内外保险人所提供的具体险种类型也并不完全相同。如美国丘博保险集团(Chubb)等网络安全保险公司允许投保人自行选择需要的投保事项,美国国际集团(AIG)则针对“与业务违规相关的经济损失”“网络安全事件造成的现实世界损失”和“传统财产损失险和意外损失险无法涵盖的网络安全损失”提供三类不同的网络安全保险险种。

(二)网络安全保险的总体发展趋势

在传统保险领域,网络安全风险大多是与业务中断、财产损失相关,故而保险产业也多以意外损失险、业务中断险等传统险种予以涵盖。但伴随着网络安全损失日趋严重,网络安全风险与传统承保风险趋于分离,专门承保网络安全风险的新兴险种应运而生。从美国保险市场发展来看,其网络安全保险的发展大致可以划分为三个阶段:第一阶段是“黑客保单”阶段(1997 年—2005 年),在全球第一份“互联网安全责任保单”中,承保范围仅限于投保人在遭受黑客攻击时所遭受的直接经济损失,如客户资金安全、恢复暂停业务期间可能产生的经营成本、利润等损失。第二阶段是网络安全保险的加速发展阶段(2005 年—2015 年),主要特征表现为数据安全法律制度推动保险产品的发展。因为互联网的广泛普及以及信息技术的发展,传统企业和互联网企业均面临着严峻的网络安全风险,尤其在 2011 年,索尼、亚马逊等企业发生严重的数据泄露事件之后,美国各州相继推进数据泄露通知机制的实施。为了与该类机制所要求的“通知义务”相衔接,美国的保险公司选择将网络安全保险理赔事项扩展,以涵盖通知费用、计算机取证费用和公关费用等。第三阶段则是网络安全保险专业化和独立化阶段(2015 年-至今),在经历了 2014 年的“零售行业入侵年”和 2015 年的“医疗行业数据泄露年”之后,该类险种不再是以附加险的形式存在于其他传统险种中,而是作为独立的险种承保财产损失,并且再保险市场也开始参与到承保活动中。需要说明的是,即便是在该类险种的起源地美国,网络安全保险市场也尚未完全成熟,如何预防逆向选择、如何降低有关除外条款争议等问题同样困扰着美国保险市场。

二、国内网络安全保险发展困局成因分析以及破局思路

(一)国内网络安全保险发展困局及其成因分析

相较于国外,国内网络安全保险已有了一定的发展,一些保险公司尝试与网络安全技术公司合作,合作开发网络安全保险产品,如众安保险与安恒信息科技公司在 2017 年推出网络信息安全综合险等。但从整体来看,仍然存在着“保险人不敢保,投保人不愿投”的尴尬现状。一方面,因为受限于网络安全技术的专业性、风险精算的不足等客观原因,保险人为了避免逆向选择风险,会在保单中对承保条款、除外条款作出严格限定,这也导致投保人无法实现预期的投保目的。另一方面,最需要投保的中小企业出于经营成本效益的考量,面对高昂的保费或有限的承保范围,更倾向于通过提升安全保障技术、细化内部管理机制等直接方式来提高应对相关风险的能力。

需要澄清的是,该类困境同样存在于美国和欧盟,其原因并非所谓的配套制度不到位、法律存在空白等问题,其根源在于网络安全风险作为新兴社会风险,其预防与治理逻辑迥异于传统财产险种所承保的财产损失风险。如美国网络安全和基础设施安全局(CISA)在 2019 年的《网络保险市场评估》报告中认为,网络安全保险主要存在“网络安全风险数据缺乏”“保险业务模式受限”和“信息共享机制缺乏”等问题。网络安全风险作为新兴的社会风险,监管机构、保险机构和网络安全技术产业均没有足够的历史数据量化网络安全风险的实际水平,即便能够根据短期内网络安全事件的发生频率、作用方式和集中领域等要素,预测某一特定个体当前的网络安全风险水平,也往往会因为信息技术的更新迭代而失去参考价值。此外,新兴险种的研发和推广需要在前期投入一定成本,国内相关市场并不成熟,加之传统保险公司对网络安全风险治理缺乏经验,部分保险公司更倾向于在相关业务模式成熟之后再进入网络安全保险市场,这也导致市场上可选择的险种产品相对较少。

(二)国内网络安全保险功能定位的澄清

面对前述困局,最有效且最直接的方案是将网络安全保险纳入网络安全治理体系,作为全新的网络安全治理工具,将投保行为的法律效果与履行网络安全保障义务等同视之,或作为法定义务履行方式之一。如此一来,保险市场的投保需求得到扩张,经由经济激励的作用,保险公司研发和推广网络安全保险的积极性也能够得到保障。在现有的部分研究成果中,对网络安全保险在网络安全治理领域实际功能的问题存在误解。从发展逻辑来看,网络安全保险首先是保险产品,其次才是风险治理工具,其风险预防和损失分散的功能实现需要遵循保险产业的商业逻辑。换言之,网络安全保险作为“市场”类的治理工具,其发展与应用显然需要遵从市场经济规律,也就是说,这类险种仅能承保符合保险精算学意义上的社会风险,并且需要面对具有同质风险的多方风险主体。这也决定了网络安全保险所能承保的网络安全风险类型是有限的。在实践中,有相当一部分网络安全事件的发生是主观因素与客观因素共同导致的,如外部黑客攻击与内部员工不当操作所导致的数据泄露事件。

因此,网络安全保险在网络安全治理体系中的功能定位应当从以下三个方面予以理解:第一,网络安全保险是一种补充性治理工具。作为商业保险,网络安全保险不可能也无法涵盖所有或者绝大部分网络安全风险,且该类险种所能填补的损失同样也不是所有的网络安全损失。因为在保险业务中,保险人为了避免投保人怠于履行网络安全保障义务以及利用网络安全信息不对称隐瞒重要事项,需要对理赔范围作出限定。并且基于承保风险与保费的匹配要求,网络安全事件发生后,投保人所能获得的理赔金额仅以保险合同约定的内容为限,而非囊括承保事件导致的所有经济损失。第二,网络安全保险是一种义务强化型工具。在经济激励机制下,保险人会主动采取措施督促投保人充分履行法定义务,落实技术标准,严格实施内部安全管理制度,否则在保险事件之后,保险人有权拒绝理赔。相对地,投保人为了如约获得理赔,倾向主动履行保险合同义务,尤其是避免发生除外条款提及的情况。综合来看,在保险合同义务条款的要求下,投保人履行网络安全保障义务的方式和效果明显强于未投保的义务主体。第三,网络安全保险主要是一种面向中小企业的网络安全治理工具。中小企业在网络安全领域并不具备大型企业在资金、技术、人力等方面的优势,加之企业之间的信息服务业务关联越发紧密,大部分黑客攻击反而选择以中小企业的网络信息系统为跳板,间接攻击存在业务关联的其他企业。而网络安全保险所提供的服务内容通常包括事前风险评估以及安全防护体系优化等,从经济效益以及安全防护效果来看,投保该类险种可能是中小企业最具效益的网络安全保护决策之一。

三、网络安全保险的功能实现方式与配套制度需求

(一)网络安全保险的功能实现方式

充分发挥网络安全保险的网络安全治理功能,不仅需要在政策层面提供相应的支持,还需要在制度层面通过法律解释的方式完成《保险法》与《网络安全法》的相关条款衔接。例如,《保险法》第 51 条规定了被保险人应当履行维护保险标的安全义务,其义务履行标准则是以相关安全立法为基础,如生产安全、劳动保护等。该条第 2 款还允许保险人依据合同约定,对保险标的安全状况进行检查。这里的“安全立法”显然包括《网络安全法》和《数据安全法》等法律法规,投保人履行维护保险标的安全义务的同时,也是在履行法定的网络安全保障义务,这也是将投保行为视为履行网络安全保障义务的正当性基础之一。此外,第 51 条第 2 款所提及的保险人安全状况检查权利实质上将保险人同样纳入网络安全治理体系,因为保险人为了确保保险标的安全,势必会尽可能采取合理措施预防和控制网络安全事件的发生。从网络安全治理的经济逻辑来看,事前预防的成本低于事后的损失填补,这也将网络安全治理的重心前移至事前的风险预防阶段。此外,法律并不禁止保险人与投保人约定高于网络安全法的义务履行标准,一旦双方约定具体且明确的维护保险标的安全义务,那么投保行为所能实现的网络安全防护效果能够满足“充分履行法定网络安全保障义务”的要求。当然,这种网络安全相关的条款内容还涉及如实告知义务、危险增加通知义务等,这些条款内容与网络安全保障的效果密切相关。然而,在网络安全治理体系中,这些条款的适用性又存在一定的难题,这恰恰也是网络安全保险在实现网络安全治理功能方面可能会引起的法律争议。

(二)网络安全保险发展的配套制度需求

2023 年 9 月,《信息安全技术 网络安全保险应用指南(征求意见稿)》发布,就网络安全保险的应用目的、保障范围、投保前风险评估、保险期间的风险控制和出险后实践评估等核心事项作出了相应规定。这也意味着我国网络安全保险步入全面探索发展阶段。此时,在发展方向层面再谈及建构网络安全保险法律制度并无实际意义,因为该类险种是商业险种,并不能作为一种法律制度存在,并且审视传统险种相关法律制度的发展历程,鲜有通过专门针对特类型险种制定单行立法的先例。事实上,网络安全保险产业的发展更需要在配套制度层面解决网络安全风险历史数据不足的现实问题。某类网络安全风险是否具有可保性,除了需要判断该类风险的承保是否与现行禁止性规范相悖之外,还需要在保险精算层面判断实际的风险水平。尽管《网络安全法》和《数据安全法》均提及了网络安全信息共享机制、个人信息泄露通知制度等,但部分企业出于担心影响商誉、避免公开安全事件后遭遇二次攻击等考量,缺乏主动及时告知网络安全事件发生的动力。网络安全风险与其他财险承保的风险相比,具有显著的动态性特征,即短期内网络安全风险水平的波动较大,信息技术迭代更新、设备更换等活动不可避免地存在网络安全漏洞等问题,保险公司更需要充足的风险数据预测和评估未来的风险波动区间。尽管国内已有不少学者提出网络安全信息共享机制的建构主张,但从企业的商业动机来看,不同规模企业所具有的数据规模、数据质量差异明显,网络安全信息共享并不能为企业带来相匹配的经济收益。因此,能够满足网络安全保险产业发展需求的网络安全信息共享机制更需要由政府主导,这样不但能够解决共享数据可能引发的二次损害,同时也能够让参与者获取与其贡献相匹配的风险数据,实现数据的经济价值。

四、结 语

网络安全保险的发展需要与网络安全治理实践保持同步,在满足保险行业所要求的保费与风险匹配基础上,逐步探索和细化承保条款和除外条款的解释方式,尽可能减少投保人与保险人就承保范围可能产生的法律争议。此外,网络安全保险的发展同样是一个常态化的过程,需要遵循保险市场的运行规律,相应的政策引导和支持也具有必要性。该类险种首先是商业保险,其次才是网络安全治理工具,故而在探索发展阶段,不适宜以强制投保的方式推动该类险种的发展与推广。因为此时的保险业务模式尚未成熟,强制投保只可能会造成市场对该类险种的功能作用产生怀疑。

法律、政策、技术标准和市场(保险)均是网络安全风险社会治理的有效途径,法律通过行为规范指引义务主体选择适当的行为模式规避网络安全风险,政策以国家公权力为背书介入网络安全风险管理的社会活动中,技术标准在提供标准化技术流程和通用的安全技术方案实现从源头遏制网络安全风险的产生,保险则是市场机制为其他市场主体提供了参与风险治理的合作机制,存在同质风险的风险主体借助保险实现网络安全风险的整体性转移,保险公司借助网络安全产业的技术支撑实现对被保险人风险的动态监测与行为监督。这些风险管理工具的组合实质上也反映了当下网络安全治理的全生命周期多维度治理的基本理念,单向的治理工具难以回应网络安全秩序的动态演化与多元主体交互的本质特征,体系化的治理框架才是现代社会治理的最佳选择。【本文系国家社科基金重大项目“信息法基础”(16ZDA075)阶段性成果】

(本文刊登于《中国信息安全》杂志2023年第10期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。