文 | 西安交通大学法学院、人工智能与信息安全法律研究中心 王新雷 刘元杰

党的二十大报告指出:“坚决维护国家安全,防范化解重大风险。”网络安全保险是承保于网络安全相关风险的新险种,在分散网络安全风险、弥补经济损失、优化网络安全生态等方面有基础性作用,是治理网络安全风险,维护国家网络安全的重要金融工具。随着网络空间迈向智能化纵深,法律法规的要求、企业的需求和保险业态的创新等因素促使网络安全治理手段由“减除风险”向“减除+分散风险”模式转变,我国网络安全保险迎来了重要战略机遇期,同时也面临着挑战和难题有待研究与破解。

2023 年 7 月,工业和信息化部与国家金融监督管理总局联合印发了《关于促进网络安全保险规范健康发展的意见》(以下简称《意见》),从标准体系、产业创新、技术赋能、释放需求和培育生态等五大方面提出意见,以进一步培育网络安全产业新业态,引导网络安全保险健康有序发展。下一步,我们需要结合国内和国际经验,进一步研究我国网络安全保险产业面临的问题,积极制定和完善相关政策法规,推动网络安全保险发展壮大。

一、当前我国网络安全保险发展的初期态势

我国网信产业发展迅猛,网络安全风险也日趋复杂严峻。世界经济论坛(WEF)发布的《2023 年全球风险报告》将网络安全风险列为未来十年全球主要风险之一。国家互联网应急中心(CNCERT)统计报告显示,仅 2021 年上半年,CNCERT 捕获恶意程序样本数量约达 2307 万个,日均传播 582 万次,感染恶意程序的主机数量约446万台。网络安全事件发生频次高、损失数额巨大、风险关联性强。对此,我国迫切需要完善网络安全生态,增强应对此类风险的能力。

网络安全风险以损害类型划分,包括网络攻击风险、营业中断风险、信息泄露风险和声誉损失风险;以风险来源划分,包括使用互联网等技术工具所产生的风险、网络攻击造成的物质损失风险、数据的不当使用造成的欺诈风险、数据存储产生的风险、及电子信息的可用性、完整性和保密性被破坏的风险等。

网络安全保险是一种用于分散转移网络安全风险的保险产品。通过对上述风险的量化、定价、分散和转移,网络安全保险能够对此类风险造成的经济损失进行补偿,提升市场主体对风险的应对和恢复能力,从财务方面有效提高市场的韧性。此外,作为承保必要流程的审计评估和监控预防等措施,有助于提升主体的网络安全自我保护意识,量化并提高社会总体网络安全水平;保费折扣等灵活的保险策略也能够激励用户主动提升防护水平,从基础上优化网络安全生态体系。

国家工业信息安全发展研究中心 2023 年初发布的《网络安全保险研究报告》(以下简称《研究报告》)称,2022 年我国网络安全保险的保费规模已达 1.4 亿元,较上年度翻一番。尽管保持较快增速,但与欧美等国相比,我国网络安全保险尚处于初期发展阶段。据惠誉国际信用评级公司统计,2022 年美国网络安全保费规模约 72 亿美元,同比增长 73%,增长势头持续强劲。经合组织早在 2017 年就已面向 G7 国家发布了名为《支持有效的网络安全保险市场》的专门报告,分析了网络安全保险市场面临的挑战与应采取的对策。多年来,美国政府责任署、美国联邦保险办公室及美国国土安全部等多部门协同合作,就网络安全保险发展过程中的问题进行报告分析和合作干预,以期充分发挥网络安全保险对国家安全的保障作用。在当前形势下,着力推进我国网络安全保险产业化,对提升我国网络安全、维护国家安全和社会稳定具有重要意义。

二、我国网络安全保险发展初期面临的挑战

尽管有关政策环境持续优化,但囿于发展初期的特性,我国网络安全保险在政策法规和发展机制方面仍面临一系列挑战。

(一)统一的标准规范体系建设尚不完善

我国网络安全保险产业发展初期,既需借鉴国际经验,又需应对新场景下的应用需求。在此背景下,市场主体的自发探索受多种因素影响,容易导致专业术语不统一、语义界定不明确。具体而言,主要包括:一是网络安全风险的广泛性和跨行业性要求对新术语进行统一解释以方便沟通和实践,而现阶段新的术语和概念及其适用尚且缺乏细致统一的标准;二是标准化保单和服务准则的缺失——一般场景下的标准化保单范式有利于可复制、易推广的服务模式的形成,而概括性的服务准则难以保证网络安全保险的有效实施;三是网络安全保险和传统商业责任险存在未被厘清界限的重叠地带——这是由于网络安全保险拓宽了传统保险的语境,使原本没有争议的概念有了新的解释方向。

统一的术语是网络安全保险获得广泛认知的前提,语义不明直接关乎网络安全保险市场的扩展。同时,此类问题容易引起争讼,影响市场对网络安全保险的信心。例如,在引起广泛讨论的亿滋国际诉苏黎世案中,苏黎世美国保险公司以“战争除外条款”为由,拒绝向亿滋国际赔付因受 NotPetya 勒索软件攻击而主张的索赔。这场 2018 年的争讼到 2022 年才以双方达成和解收场,但关于网络时代应当如何界定“网络战争”以及网络安全保险免责条款的解释和适用问题,仍然是网络安全保险行业和政府制定政策所持续关注的重要课题。

(二)缺乏基础数据,影响技术支持

与传统保险相比,网络安全保险除了需要承保主体参与,还需要配套提供日常监控和安全防护等网络安全技术服务。《研究报告》称我国网络安全保险产品形态和服务模式日趋多元,“保险服务+安全风控”模式日趋成熟。在现有模式下,保险环节的量化评估和费率厘定所需的精算模型需要大量基础数据支持,而网络安全服务环节的安全防护、风险监测和事故预警也需要大量的数据支撑——数据的完备程度直接影响着网络安全保险的有效性。此处的基础数据不仅因大数法则的要求而追求数量之多,在结构上也要求全面、具体、真实准确。包括网络安全事故类型、严重程度、事故各阶段时间线、风控水平、影响后果等信息都应当包含在内。

现阶段,我国网络安全保险产业在基础数据方面不足,包括两重挑战:从数量上看,由于缺乏数据披露和共享机制,网络安全保险难以进行风险量化和合理定价;从结构上看,由于信息网络技术发展的动态性和场景多样性,原本就数量不足的既有数据在细分场景下的实践价值大幅削减,可用数据匮乏。

(三)市场失灵问题凸显

网络安全的外部性容易产生需求侧的“搭便车”效应,导致市场主体的投保积极性不足。评估和判定网络安全水平应具备专业性和保密性,这又容易引发信息不对称。投保主体的网络安全水平无法得到准确评估,风险量化困难,为保障赔付能力,保险公司不得不提高保费。此种情形下,逆向选择诱发“劣币驱逐良币”现象,投保主体不愿提高对网络安全保险的投入,阻碍了保险公司承保和产品创新。美国政府责任署将保费提高和最高赔付额降低视为网络安全保险发展面临的主要挑战之一。而基础数据不足和市场失灵正是这一现象的主要成因。

三、《意见》的应对及进一步建立健全我国网络安全保险政策法规体系的建议

《关于促进网络安全保险规范健康发展的意见》是我国网络安全保险领域的首份国家层面的政策文件,就现阶段我国网络安全保险产业发展难题提出了一揽子重要政策方案。下一阶段,需要在完善宏观设计的同时,针对网络安全保险发展中的痛点、难点,制定和完善微观层面的具体对策。

(一)统一术语和服务流程

针对术语和概念不统一的现状,《意见》提出从产业政策制度和标准规范体系两方面进行网络安全保险政策标准体系建设,依行业划分看,由网络安全产业和保险业共同提供支持、加强合作,建立标准体系,推动标准化建设。

《意见》并未强调专业文本体系和标准化保单。下一步,统一术语规范和流程要求的同时,也应着力建设专业文本体系,确立标准化保单。建立专业的网络安全保险法律文本体系,对基本概念、保险覆盖范围、生效条件等进行统一解释。文义严密、结构完备的标准化保单,是规范术语使用和行业实践标准化的直接形式。专业文本体系和标准化保单的确立,有助于减少网络安全保险业务中的法律争议风险,提升网络安全保险的可靠性和稳定性。

(二)建立健全数据披露和共享机制

面对缺乏基础数据的难题,《意见》提出强化网络安全技术赋能保险发展,从量化评估和风险监测两方面进行鼓励和支持,鼓励保险机构建立风险理赔数据库,支撑精准定价,充分发挥安全技术手段,加强风险监测能力。

《意见》鼓励支持保险机构建立风险理赔数据库,但在市场经济条件下,数据和信息的披露与交流存在外部性,这意味着数据和信息的流动难以单方面依赖市场主体的协商合作而自主实现。此外,涉及国家安全、商业秘密和个人隐私的数据与信息也不能够任由保险机构自行处置。据此,政府有关部门和行业协会应作为中立主体介入,主持并监督数据披露和共享机制的实施。这有助于更加准确地进行风险预测和评估,推动合理定价,开拓更加丰富多元的网络安全保险保单体系。

(三)完善再保险体系

为解决网络安全保险推进中的市场失灵问题,《意见》从供需双方入手,供给侧加强网络安全保险产品与服务创新,强调多元化产品创新的同时鼓励各机构协同合作,探索保险业与网络安全产业融合创新的网络安全保险服务;需求侧抓住重点行业及新兴领域,鼓励试点与推广,同时广泛培育合格投保主体,兼顾重点行业和中小企业,推动企业风险应对能力的提升。

《意见》从拓宽参与主体的广度、加强融合创新的角度进行规划,没有涉及金融保险机制上的纵深探索。再保险是对网络安全保险所管理风险的二次分担。短期来看,有效的再保险不仅为保险公司的赔付能力提供了保障,还有助于促进保险公司积极承保、扩大保险覆盖范围。长远来看,再保险方式的完善创新有利于持续维护保险公司赔付能力,强化网络安全保险市场防范和化解重大风险的能力,以应对巨灾风险、提高市场韧性。

网络安全保险作为科技与金融交汇融合的产物,在未来,更将作为完善网络安全治理体系和推动保险产业长足发展的新业态,成为维护国家安全和经济平稳运行的重要工具。现阶段,我国网络安全保险市场正蓬勃发展,《关于促进网络安全保险规范健康发展的意见》为现阶段我国网络安全保险发展进行了科学合理的设计与规划,对培育网络安全保险新业态、引导网络安全产业规范健康发展具有重要意义。政策环境持续向好的同时,需要把握网络安全产业和保险产业的交叉点这一特征,立足我国网络安全保险“服务+保险”的运行模式,在政府合理引导、行业协会积极配合和公司机构广泛参与的过程中,全面释放网络安全保险的活力与优势,建立更加具有韧性的网络安全生态,提高网络安全风险治理能力和水平。

(本文刊登于《中国信息安全》杂志2023年第10期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。