网络安全保险的发展现状与思考

潘沛宇

【摘要】近年来，随着互联网技术和产业的迅猛发展，信息网络技术在各行各业广泛应用，网络风险日渐成为市场运行中的重要风险，网络风险导致的损失也成为个人和企业的关注焦点。然而我国网络安全保险还处于起步阶段，发展相对缓慢，本文通过分析网络安全保险的现状，就推进网络安全保险的快速发展提出相应的建议。

【关键词】网络安全;保险机制;建议

随着我国信息技术及互联网科技的高速发展，网络安全已涉及如国家基础设施、企业商业秘密、个人信息等政治、经济和社会的各个方面，特别是当前我国的经济社会发展面临更加复杂的国内外环境，网络安全的重要性愈加凸显，受到党中央的高度重视。同时，一系列国家网络安全領域的法律法规加紧落地，重要行业领域网络安全顶层设计密集出台，新兴技术领域安全发展目标和要求不断完善，网络安全行业迎来风口。然而网络安全治理在具体实施层面仍面临不少挑战，包括社会对于网络安全风险认识不足、风险转移手段有限、风险预防与控制措施不够等。保险作为市场化的风险管理手段，有助于解决其中的一些挑战问题。但网络安全保险在我国引入时间尚短，保险公司在经营推广中仍然面临许多问题，为推进网络安全保险的快速发展，本文通过分析网络安全保险的现状和问题，提出了一些建议。

一、网络安全领域急需引入保险机制

据国家互联网应急中心报告，2019年共接收境内外报告的网络安全事件107，801起，较2018年上升1.0%。而根据《2016中国网民权益保护调查报告》显示，仅2015下半年到2016上半年，我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失就高达915亿元。

随着2017年《网络安全法》的颁布实施，网络安全已经成为一项国家战略。如何加快战略落地，提高网络安全保障水平，减少网络安全事件给企业造成的损失，关键在于建立一个高质量、高效率的网络安全风险管理体系。由于物联网、区块链、5G等技术的发展，企业面临的网络安全风险越来越多样化，无数的案例表明：无论企业规模大小，其均无法通过人工、安全防护技术或流程管控来确保百分之一百的安全，除了加强网络安全技术投入，企业开始考虑通过保险的方式转嫁风险。因此网络安全保险成为一种有效转嫁网络安全风险的工具，以弥补技术防范的缺失。

二、网络安全保险领域的发展现状

我国网络安全保险起步较晚，覆盖网络安全领域风险的产品，是从个人类账户安全保险产品开始的，近几年才开始有了相对独立的网络安全类保险。具体来看，我国当前开办网络安全保险的公司较少，主要以外资财产保险公司及大型的中资财产保险公司为主。承保范围主要分为两大类：第一方损失保障，即保障因网络安全事故导致的被保险人遭受的营业中断损失和数据恢复的费用等;和第三方赔偿责任，即因发生网络安全事故导致第三方遭受财产损失或其他人身伤害，被保险人应承担经济赔偿责任。

目前各保险公司除了利用自有渠道及资源推广网络安全保险外，部分保险公司还开拓了与网络安全公司的合作，主要有两种形式：一种是网络安全公司作为技术服务商和风险咨询顾问，为保险公司提供防灾防损的工作，包括为保险公司的网络安全险客户提供投保前的风险评估、保中的巡检和监测、保中的实时防护和出险后的应急响应、保险理赔协助等。第二种形式是通过网络安全保险，对网络安全公司自有客户的网络安全风险进行转嫁。当发生安全事件后，由保险公司提供理赔服务、损失补偿，形成既有网络安全产品和服务，又有保险的双重保障。

然而，我国当前网络安全保险的推广还缺乏有效的手段及必要的环境，无论是从我国网络安全保险的市场成熟度上看，还是从我国当前网络安全保险的投保企业数量和整体渗透率来看，我国网络安全保险发展仍有很长的路要走。

三、我国网络安全保险发展缓慢的原因

我国网络安全保险发展迟缓，概括起来主要是由于以下三方面的原因：

（一）网络安全风险认知方面。一是社会普遍缺乏对于隐私信息保护的权利意识。这是阻碍网络安全保险发展的重要因素之一。二是企业对网络风险认知不足，投保意愿不强。大多数企业对于网络可能带来的巨大风险和损失认知不足，也未接触过网络安全保险相关产品。三是保险公司认为网络风险难控，承保积极性不足。我国网络安全保险发展时间短，保险公司对于网络可能带来的风险和损失缺乏相关数据经验，担心此类风险可能存在赔付率过高和保费积累不足的情况，在缺乏再保险支持的情况下，保险公司对于此类业务的承保表现得十分谨慎。

（二）网络安全保险产品开发方面。一是网络风险信息不对称，保险公司缺乏事故数据积累。企业在发生信息泄露事故后通常不会主动公开事件，风险处于隐藏状态，给保险公司产品设计和定价带来困难。二是网络风险随机性不足，损失具有巨灾特性。网络风险事件背后存在人为因素的影响，具有主观性，网络安全保险存在较高的道德风险。并且，网络攻击具有组织性和关联性，容易产生连锁反应，近年来风险发生频率有提高趋势。三是数据信息等无形资产价值评估困难。数据信息作为互联网企业的核心资产，具有价值难以确定和价值波动性大等特点，其价值评估是网络安全保险确定保险金额和后续定损理赔的关键环节，也是高度专业化的工作。

（三）网络安全保险法律环境方面。个人维权难，举证难，起诉成本高。发生个人信息泄露事故后，由于起诉成本高、举证困难等因素，普通民众很难通过法律途径维护自身权利，受害的普通民众对于自身信息被泄露通常只能选择“忍气吞声”，导致企业认为自身不存在因为数据信息泄露被起诉的风险，即使被起诉，相应的损害赔偿责任也十分有限。法律基础是保险产品的根基所在，缺乏相关法律制度的支持将严重影响网络安全保险的推广和发展。

四、网络安全领域引入保险机制的建议

（一）加强顶层设计，鼓励创新、多方合作

鉴于中国网络安全保险市场尚未成熟，政府在推动提升风险保障方面将会发挥重要作用。尤其在立法保障、数据与信息安全、监管约束、培育社会整体风险意识等方面将起到主导作用。网络安全法规密集出台，政府对信息数据立法日渐趋严，这将进一步促进企业采取更加积极的风险管理策略，强化并提升网络安全风险意识。

政府可以积极探索与保险公司、网络安全公司、企业等多方合作模式，出台支持保险业参与网络安全风险管理的顶层设计方案，包括提高网络安全保险保费补贴额度或财政部出台相关税收优惠政策对相关资质企业进行扶持。通过保费补贴和税收优惠等政策，提升企业投保网络安全保险的意愿，增强其网络安全風险的保障能力。引导保险公司和网络安全企业共同积极推动网络安全保险发展，全方面提升网络安全保障程度。

（二）重点先行，分步实施

在日益趋严的监管要求下，国家的核心信息基础设施行业和公共部门对于网络安全的需求显著高于其他领域。而基础设施一旦发生重大网络事件，波及范围极为广泛，损失或可达到数十亿元。鉴于网络风险的巨灾性质，加上网络安全保险在我国尚处于起步阶段，保险行业风险数据积累较为有限，保险公司可能产生保费估计不足或产生赔付率过高的情形，导致保险机构对于承保较高风险缺乏积极性，转而以提供基础性的低保障为主。另一方面，这些机构往往具有较为完备的网络安全风险管控体系，因此对网络安全保险的需求取决于网络安全保险产品的具体特征是否能够对当前企业内部的风控体系起到补充作用，或能否对现有的部分风险管理功能起到更有效的替代作用。

因此对于全行业网络安全风险的转嫁，可以根据不同行业不同领域的调研结果，针对不同行业及不同规模的企业实施不同的引导措施及保险方案，同时依据需求及风险的显著程度进行评估，分步实施。

（三）发挥保险基础功能，弥补技术防范的缺失

当前，我国互联网领域快速发展，技术与业务场景不断丰富，新业态、新模式不断涌现，网络风险彼此交织，日益复杂，新兴网络风险保障需求不断出现。作为我国保险业的新兴发展领域，网络安全保险仍处于起步阶段，需要较为宽松的创新环境。目前在网络安全保险领域，保险公司可以整合网络安全服务商，形成“保险+服务”的新模式，在发挥保险基础的补偿功能的同时，帮助企业加强网络安全管理，并在安全事件发生后，提供良好的安全解决方案，以弥补技术防范的缺失。建议政府出台相关支持政策，鼓励保险公司在网络安全保险产品上的创新探索，特别是在网络安全保险“保险+科技+服务”模式创新过程中，给予一定的支持空间，提高保险公司发展网络安全保险的积极性和主动性，积极助力我国网络安全治理现代化建设。

参考文献：

[1]梁钰敏，张康，宋立志.网络安全综合保险发展分析及建议[J].金融科技时代，2017（12）：92-94.

[2]张松海.发展网络安全保险，助力网络安全风险治理体系建设[J].中国信息安全，2017（03）：50-51.

[3]王绪瑾，宋占军.保险业服务网络信息安全保障体系研究[J].中国信息安全，2017（03）：41-44.