王新雷

(西安交通大學(xué) 信息安全法律研究中心，陜西 西安 710049)

“網(wǎng)絡(luò)安全保險”早在2000年左右就在美國產(chǎn)生和發(fā)展起來。時至今日，網(wǎng)絡(luò)安全保險仍有不同的表達(dá):網(wǎng)絡(luò)空間保險 (cyberspace insurance);信息安全保險 (information security insurance);網(wǎng)絡(luò)安全保險 (network security insurance);電子風(fēng)險保險 (e－risk insurance)等，在國際上，尤其是在網(wǎng)絡(luò)安全保險的起源地美國，政府和學(xué)者最常用的還是cyber insurance，即網(wǎng)絡(luò)安全保險。我國學(xué)界和實務(wù)界在這一術(shù)語上，有的采用“網(wǎng)絡(luò)保險”，有的使用“網(wǎng)絡(luò)信息安全保險”，有的使用“網(wǎng)絡(luò)安全保險”。為了正確表達(dá)術(shù)語語義，并遵循國際慣例，我們使用“網(wǎng)絡(luò)安全保險”。綜合國內(nèi)外學(xué)者的觀點，網(wǎng)絡(luò)安全保險應(yīng)當(dāng)定義為:一種應(yīng)對互聯(lián)網(wǎng)、信息技術(shù)基礎(chǔ)設(shè)施及其運(yùn)行的風(fēng)險的保險產(chǎn)品。網(wǎng)絡(luò)安全保險涉及的安全風(fēng)險問題，包括病毒，蠕蟲，拒絕服務(wù)攻擊造成的損失，和數(shù)據(jù)盜竊或損壞等。

一、網(wǎng)絡(luò)安全保險產(chǎn)生發(fā)展的背景

Internet正以幾何遞增的速度向世界各個角落、各個領(lǐng)域滲透，政務(wù)、經(jīng)濟(jì)事務(wù)、人們生活的各個環(huán)節(jié)，對網(wǎng)絡(luò)的依賴性均在日益增強(qiáng)。但同時，互聯(lián)網(wǎng)又是個開放的系統(tǒng)，資源共享和信息安全是其中與生俱有的一對矛盾共同體，互聯(lián)網(wǎng)面臨種種攻擊的威脅。網(wǎng)絡(luò)安全問題僅僅依靠防火墻技術(shù)、防病毒軟件、信息加密技術(shù)等技術(shù)手段是無法解決的，無論采用多么完善的技術(shù)、防范措施，互聯(lián)網(wǎng)安全風(fēng)險總會存在。［1］

在國際上，美國的數(shù)字基礎(chǔ)設(shè)施已經(jīng)多次遭到入侵，數(shù)億美元資金、知識產(chǎn)權(quán)以及敏感軍事信息被盜，美國經(jīng)濟(jì)、社會等領(lǐng)域的關(guān)鍵基礎(chǔ)設(shè)施遭到破壞，帶來了巨大的經(jīng)濟(jì)損失。美國國土安全部一份報告稱，2008年針對美國政府和私營部門的網(wǎng)絡(luò)攻擊已增長至7.2萬起。美國最大信用卡公司之一的萬事達(dá)公司眾多用戶的銀行資料近年被黑客竊取，釀成美國最大規(guī)模信用卡用戶信息泄密案，帶來了巨大的經(jīng)濟(jì)損失。

在中國，截至2010年7月，全國上下已經(jīng)開通5萬多個政府門戶網(wǎng)站，越來越多的政府和企業(yè)將圍繞網(wǎng)絡(luò)進(jìn)行改組和調(diào)整，關(guān)鍵信息系統(tǒng)已悄然掌握政府和經(jīng)濟(jì)運(yùn)行的命脈。網(wǎng)絡(luò)黑客、電腦病毒、計算機(jī)犯罪的存在，嚴(yán)重威脅著我國網(wǎng)絡(luò)安全，使得網(wǎng)絡(luò)的延伸不斷加大財產(chǎn)損失的可能性，網(wǎng)絡(luò)擴(kuò)展的范圍越廣，這種損失的風(fēng)險就越高:網(wǎng)絡(luò)颶風(fēng) (cyber－h(huán)urricane)的破壞力也愈強(qiáng)。

二、國內(nèi)外網(wǎng)絡(luò)安全保險的發(fā)展現(xiàn)狀和法律困境

面對“cyber－h(huán)urricane”等網(wǎng)絡(luò)安全事故可能帶來的巨大經(jīng)濟(jì)損失，傳統(tǒng)的財產(chǎn)保險無法完全適應(yīng)這種新經(jīng)濟(jì)形態(tài)下的不確定性風(fēng)險。全球網(wǎng)絡(luò)信息安全SANS會議的最重要結(jié)論之一是:網(wǎng)絡(luò)信息安全服務(wù)和信息安全保險的密切結(jié)合將是解決網(wǎng)絡(luò)信息安全問題的必然趨勢。瑞士蘇黎士金融集團(tuán)也認(rèn)為，解決電子商務(wù)安全的全面方案應(yīng)當(dāng)由技術(shù)解決實施方案加保險實施方案構(gòu)成，網(wǎng)絡(luò)安全保險作為一種新的保險種類出現(xiàn)并逐漸發(fā)展成熟。

在一些發(fā)達(dá)國家和地區(qū)，網(wǎng)絡(luò)安全保險業(yè)務(wù)正成倍增加。到目前為止，西方大多數(shù)保險公司已經(jīng)推出網(wǎng)絡(luò)安全保險的相關(guān)險種，保險范圍涵蓋計算機(jī)病毒、黑客入侵、網(wǎng)上欺詐、網(wǎng)上盜竊等很多方面。一些實力較強(qiáng)的保險公司推出了針對不同客戶需求的保險產(chǎn)品，這些產(chǎn)品分別針對不同的網(wǎng)絡(luò)安全風(fēng)險進(jìn)行承保，較為著名的有美國的AIG公司推出的Net－Advantage網(wǎng)絡(luò)安全保險、倫敦勞合社的E－Comprehensive網(wǎng)絡(luò)安全保險、Insure陣雨Trust．com公司的Webnet－Protection網(wǎng)絡(luò)安全保險等。

AIG公司是世界上最早推出網(wǎng)絡(luò)安全保險業(yè)務(wù)的公司，該公司在網(wǎng)絡(luò)安全保險領(lǐng)域積累了豐富的實踐經(jīng)驗，AIG公司推出的netAdvantage網(wǎng)絡(luò)安全保險套裝總共有7個等級，投保人可以根據(jù)自身網(wǎng)絡(luò)風(fēng)險的類型，選擇某一保險項目進(jìn)行投保，如下表4－1:

表4－1:AIG推出的netAdvantage網(wǎng)絡(luò)安全保險套裝各保險項目對比①根據(jù)美國國際集團(tuán) (AIG)官方網(wǎng)站的《The AIG netAdvantage Suite?Coverage Highlights》整理而成。

不僅AIG公司在網(wǎng)絡(luò)安全保險合同內(nèi)容和保險責(zé)任方面有著長期的探索和實踐，倫敦勞合社和InsureTrust．com等公司也在探索和確定網(wǎng)絡(luò)安全保險責(zé)任與除外責(zé)任方面有著豐富的經(jīng)驗，倫敦勞合社的 E－Comprehensive，InsureTrust．com公司的Webnet－Protection與 AIG公司的 Net－Advantage網(wǎng)絡(luò)安全保險都是目前世界上相對成熟的網(wǎng)絡(luò)安全保險業(yè)務(wù)。如表4－2:

表4－2:AIG公司的Net－Advantage網(wǎng)絡(luò)安全保險、倫敦勞合社的E－Comprehensive網(wǎng)絡(luò)安全保險、InsureTrust．com公司的Webnet－Protection網(wǎng)絡(luò)安全保險的對比分析［2］

在印度，網(wǎng)民和ISP可以享受一項專門針對黑客攻擊風(fēng)險的保險服務(wù)。這一保險項目涵蓋了印度所有電子犯罪的保險項目，其中斷網(wǎng)損失賠償金最高達(dá)到了兩千五百萬美元。類似保險業(yè)務(wù)已在美國、英國和日本率先開設(shè)，將這一業(yè)務(wù)引進(jìn)印度的則是由Tatas公司和美國保險集團(tuán)公司合資開辦的Tata－AIG公司。保險內(nèi)容將包括合理的贖金要求、訴訟費(fèi)用和第三方責(zé)任等。保險公司同時會懸賞提供破案線索，并提供緊急管理資金。保險業(yè)務(wù)可以適用于黑客案件、電子敲詐、電子竊案、電子欺詐和電子欺騙等各類電子犯罪。

相比較而言，中國的保險公司對高科技保險態(tài)度謹(jǐn)慎，目前還沒有一家保險公司登記備案，開展這項保險業(yè)務(wù)。金山公司曾經(jīng)嘗試同一些保險公司接觸，希望能在銷售網(wǎng)絡(luò)安全產(chǎn)品時，捆綁上保險公司的安全保險。但由于風(fēng)險評估的困難，沒有獲得保險公司的響應(yīng)，保險公司僅限于承保硬件方面的損失。因為硬件的損失是明確而可以估算的，數(shù)據(jù)丟失造成的間接損失，數(shù)額很難預(yù)計。這對保險公司來說風(fēng)險太大，而且也沒有再保險公司支持這項業(yè)務(wù)。

可見，大量的組織和個人已經(jīng)或者即將將網(wǎng)絡(luò)安全保險當(dāng)作同網(wǎng)絡(luò)安全技術(shù)同等重要防御工具，以更好地保障信息網(wǎng)絡(luò)安全。統(tǒng)籌我國信息安全保障方略，一方面需要發(fā)展技術(shù)來防范安全風(fēng)險，另一方面需要建立和完善保險法律政策，來管理和分散網(wǎng)絡(luò)安全風(fēng)險。但是，我國在網(wǎng)絡(luò)安全保險方面的實踐才剛剛起步，網(wǎng)絡(luò)安全保險法律政策幾乎空白，應(yīng)當(dāng)盡快借鑒先進(jìn)立法和政策經(jīng)驗，應(yīng)對網(wǎng)絡(luò)安全保險業(yè)發(fā)展帶來的法律和政策困境。

網(wǎng)絡(luò)安全保險的法律政策的建立和完善涉及多個方面的交叉，目前世界各國對網(wǎng)絡(luò)安全保險法律政策問題的研究和實踐都在探索當(dāng)中。由于網(wǎng)絡(luò)安全保險的專業(yè)性、復(fù)雜性、技術(shù)性，網(wǎng)絡(luò)安全保險法律需要更多的操作性和技術(shù)依賴性強(qiáng)的制度，這些制度和保險法律部門沒有關(guān)系，例如網(wǎng)絡(luò)安全事故信息披露制度和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)立法。當(dāng)然，還需要在傳統(tǒng)保險法律制度之上確立專門的網(wǎng)絡(luò)安全保險法律規(guī)范，明確保險當(dāng)事人的權(quán)利義務(wù)、保險責(zé)任，建立專門的網(wǎng)絡(luò)安全保險監(jiān)管制度。在政策層面上，還需要專門的風(fēng)險信息共享和政府再保險等扶持政策。

三、網(wǎng)絡(luò)安全保險法律政策的構(gòu)想

正如瑞士再保險公司聲稱的那樣，必須探索網(wǎng)絡(luò)安全的風(fēng)險管理與法律政策的最佳運(yùn)作模式，才能夠有效管理和轉(zhuǎn)移互聯(lián)網(wǎng)帶來的風(fēng)險。但是，網(wǎng)絡(luò)帶來的風(fēng)險不能簡單地轉(zhuǎn)移給保險業(yè)，投保人內(nèi)部風(fēng)險控制和自我安全保障機(jī)制也應(yīng)當(dāng)建立起來。［3］

逆向選擇和道德危險是貫穿保險的兩個根本挑戰(zhàn)，首先必須建立防范逆向選擇和道德危險的制度對策，以保證網(wǎng)絡(luò)安全保險的成功運(yùn)行。

1．建立抑制逆向選擇的制度

信息不對稱導(dǎo)致了逆向選擇的發(fā)生。在應(yīng)然狀態(tài)下，簽訂合同的雙方在訂約之前必須充分共享信息;但是在實然狀態(tài)下，訂約雙方的合同的信息往往是不對稱的。保險人在訂立網(wǎng)絡(luò)安全保險合同時，難以判定哪些保險標(biāo)的是高風(fēng)險的，哪些保險標(biāo)的是低風(fēng)險的，這樣可能導(dǎo)致保險人訂立的保費(fèi)等保險合同條款與保險標(biāo)的的實際風(fēng)險大相徑庭。

理論上，保險人可以根據(jù)保險標(biāo)的的風(fēng)險大小，提供不同類型的保險合同。對風(fēng)險較低的提供低費(fèi)率的保險合同，對風(fēng)險較高的提供高費(fèi)率的保險合同。但是，在網(wǎng)絡(luò)安全保險中，保險人通常難以準(zhǔn)確界定投保的網(wǎng)絡(luò)的風(fēng)險高低，投保人可能籍此將自己高風(fēng)險的網(wǎng)絡(luò)系統(tǒng)偽裝成低風(fēng)險，用較低的保險費(fèi)率換來高額的保單。

為了防范逆向選擇，保險人必須對投保的網(wǎng)絡(luò)系統(tǒng)進(jìn)行詳細(xì)的風(fēng)險評估，然后根據(jù)評估得出的網(wǎng)絡(luò)安全風(fēng)險等級提供不同價格的保單。這種方式能夠?qū)?fù)雜的網(wǎng)絡(luò)安全風(fēng)險，切割為若干獨(dú)立、確定的風(fēng)險，使得網(wǎng)絡(luò)安全風(fēng)險成為可保風(fēng)險。

在先保險合同的評估中，首先要根據(jù)類似ISO 17799等網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，進(jìn)行對投保的信息網(wǎng)絡(luò)系統(tǒng)進(jìn)行問卷調(diào)查分析。［4］投保人必須將下列事項如實告知保險人:1)對網(wǎng)絡(luò)系統(tǒng)的科技預(yù)算和安全投入;2)安全設(shè)施的情況;3)病毒防護(hù);4)測試和安全程序;5)信息技術(shù)的外部共享;6)行業(yè)類別;7)要投保的網(wǎng)站;8)消費(fèi)者或用戶的情況;9)網(wǎng)頁的數(shù)量;10)網(wǎng)頁被訪問的頻次;11)年銷售量和收入;12)常用的網(wǎng)絡(luò)服務(wù) (包括E－mail服務(wù)，頁面瀏覽，電子商務(wù)，第三方服務(wù)托管等)。

進(jìn)一步的告知事項還包括:信息的內(nèi)容特征，網(wǎng)絡(luò)活動的監(jiān)控，網(wǎng)絡(luò)安全的具體安排。

在投保過程中，投保人必須提交詳細(xì)說明的文書，內(nèi)容包括入侵檢測結(jié)果，信息技術(shù)經(jīng)理在內(nèi)的高層管理人員簡歷，經(jīng)審計的財務(wù)報表。保險人應(yīng)當(dāng)根據(jù)上述事項對投保的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全進(jìn)行物理和技術(shù)方面的評估。保險人有權(quán)對投保網(wǎng)絡(luò)的使用人員、物理安全、事故應(yīng)急、災(zāi)難恢復(fù)力等進(jìn)行評估。技術(shù)方面的評估是指借助脆弱性掃描技術(shù)對網(wǎng)絡(luò)外部的漏洞，網(wǎng)絡(luò)監(jiān)控，防火墻，網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)進(jìn)行評估。

通過嚴(yán)格的評估制度，保險人能夠更加準(zhǔn)確的對網(wǎng)絡(luò)安全風(fēng)險進(jìn)行界定，從而有效防范了逆向選擇。

2．建立抑制道德危險的制度

道德危險是指網(wǎng)絡(luò)安全保險的投保人往往怠于維護(hù)投保網(wǎng)絡(luò)的安全或者在網(wǎng)絡(luò)安全事故發(fā)生后不積極采取措施止損。建立有效的激勵機(jī)制，即保險人在簽發(fā)保單后，必須采取有效措施激勵投保人加強(qiáng)安全預(yù)防。建立懲罰性機(jī)制，賦予投保人對網(wǎng)絡(luò)的安全維護(hù)義務(wù)，未履行簽發(fā)保單時制定的安全事項的，投保人將承擔(dān)出險后保險人拒絕理賠的不利后果。

保險人應(yīng)當(dāng)根據(jù)風(fēng)險類別和大小確定保險費(fèi)率，同時對于善良管理網(wǎng)絡(luò)安全的情形，保險人有責(zé)任在下一個階段降低保費(fèi)。在網(wǎng)絡(luò)安全保險事故發(fā)生后，保險人應(yīng)當(dāng)履行下列義務(wù):1)及時為被保險人提供專業(yè)的信息風(fēng)險咨詢，以減災(zāi)止損;2)提供刑事獎勵基金，以獎勵協(xié)助查明網(wǎng)絡(luò)事故的信息提供者;3)及時向執(zhí)法部門報告網(wǎng)絡(luò)安全事故;4)為網(wǎng)絡(luò)系統(tǒng)備份和恢復(fù)提供必要的援助。

另一個有效的制度是，保險人可以和被保險人達(dá)成協(xié)議，賦予保險人實時監(jiān)控被保險人網(wǎng)絡(luò)安全的權(quán)利和技術(shù)能力。［5］如果發(fā)現(xiàn)被保險人存在沒有履行備份、善良安全保護(hù)義務(wù)、維護(hù)和升級網(wǎng)絡(luò)安全設(shè)施，欺詐等行為，保險人可以拒絕支付保險賠償金。

3．構(gòu)建網(wǎng)絡(luò)安全再保險政策

再保險是保險人為了防范自身在商業(yè)經(jīng)營中可能的損失而設(shè)立的，再保險制度對發(fā)展網(wǎng)絡(luò)安全保險意義重大，主要表現(xiàn)在:再保險加強(qiáng)了網(wǎng)絡(luò)安全保險的能力，可靠性，為網(wǎng)絡(luò)安全保險提供融資或巨災(zāi)保護(hù)?！?.11”事件發(fā)生后，再保險在共同抵御戰(zhàn)爭、恐怖主義、金融災(zāi)難、自然災(zāi)害方面的作用在全球都得到體現(xiàn)。在傳統(tǒng)意義上，網(wǎng)絡(luò)風(fēng)險責(zé)任通常是保險人的除外責(zé)任，但是隨著網(wǎng)絡(luò)安全保險的出現(xiàn)，再保險制度的構(gòu)建成為必要。再保險制度對保險人在險種的創(chuàng)新方面發(fā)揮著重要保障作用，再保險人會審慎審查網(wǎng)絡(luò)保險合同的風(fēng)險，經(jīng)過這樣的過程，保險人和再保險人將能夠有效把握網(wǎng)絡(luò)災(zāi)難性事故發(fā)生的可能性。表5－1簡要描述了投保人 (個人或組織)、保險人、再保險人、政府之間的網(wǎng)絡(luò)安全風(fēng)險分散模型。

表5－1:網(wǎng)絡(luò)安全保險與再保險對網(wǎng)絡(luò)安全風(fēng)險的分散模型

保險與再保險業(yè)均應(yīng)當(dāng)重視對信息安全產(chǎn)業(yè)的技術(shù)投入，努力收集和共享精算數(shù)據(jù)，以開發(fā)更好的網(wǎng)絡(luò)安全保險產(chǎn)品。應(yīng)當(dāng)吸納信息技術(shù)及安全產(chǎn)業(yè)的專業(yè)人員參與到網(wǎng)絡(luò)安全保險當(dāng)中。

建立健全再保險制度對加強(qiáng)網(wǎng)絡(luò)安全保障，促進(jìn)網(wǎng)絡(luò)安全保險發(fā)展具有重要意義。盡管缺乏歷史數(shù)據(jù)和精算數(shù)據(jù)的積累，但是，任何保險項目的發(fā)展成熟都要靠完善的保險法律制度和再保險制度，只要兩者相互配合建立起高效率的風(fēng)險評估模型，共同分散網(wǎng)絡(luò)安全風(fēng)險，推動保險市場發(fā)展，上述問題必將逐步得到解決。

4．制定政府參與再保險政策和規(guī)劃

上文對美國的恐怖主義保險法案的成功例證進(jìn)行了實證考察。可以提出的是，政府在一定時期內(nèi)，應(yīng)當(dāng)對網(wǎng)絡(luò)安全保險公司進(jìn)行再保險。參照美國恐怖主義保險法案的辦法，由政府在網(wǎng)絡(luò)安全保險的發(fā)展的初期對網(wǎng)絡(luò)保險公司提供再保險，能夠縮減成本、降低網(wǎng)絡(luò)安全保險產(chǎn)品的價格，同時促進(jìn)網(wǎng)絡(luò)保險市場的競爭。［6］通過法律明確網(wǎng)絡(luò)恐怖主義保險的類型，由國家在特定階段進(jìn)行再保險，國家對網(wǎng)絡(luò)恐怖主義風(fēng)險進(jìn)行再保險將能夠消除保險人對關(guān)鍵信息系統(tǒng)因遭到攻擊而大面積癱瘓帶來的巨額損失。

政府對網(wǎng)絡(luò)安全保險進(jìn)行再保險的制度價值還在于強(qiáng)大的賠償能力能夠促進(jìn)網(wǎng)絡(luò)安全保險產(chǎn)品的發(fā)展和銷售，因為通常大部分投保人投保時都希望保單有再保險的保障。

政府承擔(dān)再保險的期限屆滿后，保險公司將建立起足以應(yīng)對關(guān)鍵信息系統(tǒng)安全事故賠付的強(qiáng)大基金池，那時無論是關(guān)鍵信息系統(tǒng)保險還是普通網(wǎng)絡(luò)安全保險，都將成為完全市場化運(yùn)作的商業(yè)保險。

5．加快網(wǎng)絡(luò)安全事故信息披露與網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的立法

首先，對網(wǎng)絡(luò)安全事故信息披露制度進(jìn)行立法。網(wǎng)絡(luò)安全保險始終風(fēng)雨相伴的一個重要原因是，網(wǎng)絡(luò)安全風(fēng)險的基礎(chǔ)數(shù)據(jù)缺乏，基礎(chǔ)數(shù)據(jù)或者歷史數(shù)據(jù)來源于現(xiàn)實，現(xiàn)實中網(wǎng)絡(luò)服務(wù)商通常出于商譽(yù)等顧慮不愿意主動進(jìn)行信息披露。通過立法賦予網(wǎng)絡(luò)服務(wù)提供者以網(wǎng)絡(luò)安全事故信息披露的強(qiáng)制性義務(wù)不僅能夠保護(hù)數(shù)據(jù)所有人的知情權(quán)，更將有利于信息安全產(chǎn)業(yè)和保險公司共同積累網(wǎng)絡(luò)安全風(fēng)險基礎(chǔ)數(shù)據(jù)，保險人可以通過披露的事件進(jìn)行風(fēng)險評估，推出更科學(xué)、準(zhǔn)確的保險項目。

其次，加快對網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的立法。網(wǎng)絡(luò)安全風(fēng)險評估需要依賴法定網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。正如美國著名的Choicepoint案的啟示那樣，網(wǎng)絡(luò)安全標(biāo)準(zhǔn)不僅對信息安全業(yè)界是重要的，對網(wǎng)絡(luò)安全保險業(yè)也十分重要。立法確定網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，能夠使網(wǎng)絡(luò)安全風(fēng)險評估及等級確定有據(jù)可依，也可以用以認(rèn)定投保人是否履行了善良管理網(wǎng)絡(luò)安全的義務(wù)。法律確定的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，是網(wǎng)絡(luò)安全保險的法律坐標(biāo)。出臺網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的立法，一定會大大促進(jìn)網(wǎng)絡(luò)安全保險業(yè)的快速發(fā)展。

6．建立網(wǎng)絡(luò)安全保險業(yè)和信息安全業(yè)的信息共享制度

美國和歐盟關(guān)于網(wǎng)絡(luò)安全風(fēng)險信息的法規(guī)均禁止非經(jīng)授權(quán)地收集和利用網(wǎng)絡(luò)安全漏洞等風(fēng)險信息，這是出于安全考慮。但是，網(wǎng)絡(luò)安全保險人如果不能得到網(wǎng)絡(luò)風(fēng)險的信息，將會帶來信息不對稱，使得保險人對投保網(wǎng)絡(luò)的風(fēng)險狀況和互聯(lián)網(wǎng)的整體風(fēng)險缺乏把握，一方面保險人不敢貿(mào)然訂立網(wǎng)絡(luò)安全保險合同，另一方面訂立保險合同時也可能產(chǎn)生投保人逆向選擇現(xiàn)象。美國的信息披露法案已經(jīng)對收集網(wǎng)絡(luò)安全漏洞等風(fēng)險信息進(jìn)行了有限豁免。［7］網(wǎng)絡(luò)安全保險人和再保險人是網(wǎng)絡(luò)安全風(fēng)險信息的最佳共享樞紐，因為出于最大誠信原則需要，被保險人必須履行及時向保險人報告網(wǎng)絡(luò)攻擊、漏洞等風(fēng)險信息。

信息安全保障部門需要同網(wǎng)絡(luò)安全保險公司共同加強(qiáng)信息共享。信息安全產(chǎn)業(yè)首先應(yīng)當(dāng)接受網(wǎng)絡(luò)安全保險的理念，網(wǎng)絡(luò)安全保險有利于網(wǎng)絡(luò)型公司或高技術(shù)公司有效應(yīng)對網(wǎng)絡(luò)安全威脅。網(wǎng)絡(luò)安全保險人收集安全信息的行為不僅不會對網(wǎng)絡(luò)安全的帶來威脅，而且會協(xié)助投保組織加強(qiáng)網(wǎng)絡(luò)安全。

加強(qiáng)保險公司收集關(guān)于網(wǎng)絡(luò)漏洞和攻擊方面的信息，保險人和風(fēng)險管理者能夠更好地建立風(fēng)險的評估模型，從而降低保險費(fèi)率、使網(wǎng)絡(luò)安全保險對企業(yè)或者個人更加具有吸引力，推進(jìn)網(wǎng)絡(luò)安全保險的應(yīng)用。

7．建立防范保險金融風(fēng)險和網(wǎng)絡(luò)安全風(fēng)險的網(wǎng)絡(luò)安全保險監(jiān)管法律制度

網(wǎng)絡(luò)安全保險的監(jiān)管不僅要防范保險金融風(fēng)險，更需要注意防范網(wǎng)絡(luò)安全風(fēng)險。網(wǎng)絡(luò)安全保險監(jiān)管制度應(yīng)當(dāng)恰當(dāng)處理兩種風(fēng)險。

網(wǎng)絡(luò)安全脆弱性信息的保護(hù)制度是網(wǎng)絡(luò)安全保險業(yè)監(jiān)管制度的重要構(gòu)成。網(wǎng)絡(luò)安全保險人在訂立保險合同之前和保險合同履行過程中都必須進(jìn)行專業(yè)的風(fēng)險評估，獲得網(wǎng)絡(luò)脆弱性信息，以資確定保險費(fèi)率及保險范圍等。這些信息同時對網(wǎng)絡(luò)安全十分重要，出于安全考慮，網(wǎng)絡(luò)系統(tǒng)的脆弱性信息一般不能任意傳播。網(wǎng)絡(luò)脆弱性信息被惡意泄露或買賣，將可能對網(wǎng)絡(luò)安全帶來嚴(yán)重威脅。［8］因此網(wǎng)絡(luò)安全保險的監(jiān)管必須保護(hù)網(wǎng)絡(luò)脆弱性信息。

網(wǎng)絡(luò)安全保險監(jiān)管制度還須注意防范保險金融風(fēng)險。網(wǎng)絡(luò)安全保險的風(fēng)險系數(shù)較高，在前期甚至需要再保險加政府注資才能有效防范保險金融風(fēng)險。因此，必須嚴(yán)格監(jiān)管網(wǎng)絡(luò)安全保險資金及基金池的運(yùn)行，保障保險業(yè)的賠付能力。

設(shè)立獨(dú)立的網(wǎng)絡(luò)安全保險監(jiān)管機(jī)構(gòu)。一方面網(wǎng)絡(luò)安全保險監(jiān)管部門對專業(yè)技術(shù)的依賴性強(qiáng)，另一方面網(wǎng)絡(luò)安全保險監(jiān)管部門搜集和存留大量的網(wǎng)絡(luò)脆弱性信息，這些信息是監(jiān)管保險金融風(fēng)險的基礎(chǔ)技術(shù)依據(jù)。網(wǎng)絡(luò)安全保險監(jiān)管機(jī)構(gòu)承擔(dān)著傳統(tǒng)監(jiān)管保險金融風(fēng)險的職責(zé)，但是更要監(jiān)管網(wǎng)絡(luò)脆弱性信息的保護(hù)與利用。因此，應(yīng)當(dāng)將網(wǎng)絡(luò)安全保險監(jiān)管的機(jī)構(gòu)從傳統(tǒng)的保險監(jiān)管機(jī)構(gòu)獨(dú)立出來，成立專門的網(wǎng)絡(luò)安全保險監(jiān)管部門，對網(wǎng)絡(luò)安全保險業(yè)的資金、風(fēng)險控制、經(jīng)營狀況及網(wǎng)絡(luò)安全信息保護(hù)利用進(jìn)行專門監(jiān)管，以保障金融安全和信息安全。

四、展望

網(wǎng)絡(luò)安全保險的時代已經(jīng)到來。網(wǎng)絡(luò)技術(shù)的發(fā)展應(yīng)用變革了生產(chǎn)生活的方式，同時也帶來了新的復(fù)雜的安全問題，催化了風(fēng)險社會的到來。依靠技術(shù)顯然不能完全彌補(bǔ)解決技術(shù)帶來的危險，網(wǎng)絡(luò)安全保障需要將技術(shù)與保險緊密結(jié)合起來，將降低網(wǎng)絡(luò)安全風(fēng)險和分散網(wǎng)絡(luò)安全風(fēng)險結(jié)合起來。網(wǎng)絡(luò)安全保險是一個十分復(fù)雜的新興保險項目，已經(jīng)從當(dāng)初的微不足道，迅速發(fā)展壯大，成為信息安全保障的重要工具。網(wǎng)絡(luò)安全保險的法律問題涉及多個方面的交叉，由于網(wǎng)絡(luò)安全保險的專業(yè)性，網(wǎng)絡(luò)安全保險法律需要更多的例如網(wǎng)絡(luò)安全事故信息披露制度和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)立法等操作性和技術(shù)依賴性強(qiáng)的制度，同時需要在傳統(tǒng)保險法律制度之上確立專門的網(wǎng)絡(luò)安全保險法律規(guī)范，以明確網(wǎng)絡(luò)安全保險當(dāng)事人的權(quán)利義務(wù)、保險責(zé)任，構(gòu)建專門的網(wǎng)絡(luò)安全保險監(jiān)管制度。在政策層面上，還需要信息共享和政府再保險等扶持政策。美歐等率先探索網(wǎng)絡(luò)安全保險的國家目前也未有形成網(wǎng)絡(luò)安全保險法律制度的成熟體系，主要依靠保險合同、司法判例、其他法案的概括性規(guī)定為網(wǎng)絡(luò)安全保險提供制度對策。

可見，傳統(tǒng)的保險法律框架不能完全解決網(wǎng)絡(luò)安全保險問題，網(wǎng)絡(luò)安全保險法律制度發(fā)展完善的路線圖絕不是對保險法律制度的調(diào)整，也不是專門的一部網(wǎng)絡(luò)安全保險法的制定。網(wǎng)絡(luò)安全保險法律政策應(yīng)當(dāng)采用綜合協(xié)調(diào)、多方推進(jìn)的方式，任重而道遠(yuǎn)。

［1］馬民虎．互聯(lián)網(wǎng)安全法［M］．西安:西安交通大學(xué)出版社，2003．

［2］Jay P．Kesan，Rupterto P．Majuca，and William J．Yurcik．Cyberinsurance as a Market－ based Solution to the Problem of Cybersecurity－a Case Study［J/OL］，［2010－3－2］，http://infosecon．net/workshop/pdf/42．pdf

［3］Bosco．The Economic Viability of Cyber Insurance:Seeking Financial Certainty in IT Security［R/OL］．［2009－7－2］．http://www．sift．com．a(chǎn)u/assets/downloads/SIFT_Intelligence－Economic_Viability_of_Cyber_Insurance_v1．00．pdf

［4］Nikhil Shetty，Galina Schwartz．Competitive Cyber－ Insurance and Internet Security［J/OL］．［2010－3－20］，http://www． eecs． berkeley． edu/～ nikhils/PublishedPapers/SSFW－WEIS2009．pdf

［5］William Yurcik，David Doss．Cyber Insurance:A Market Solution to the Internet Security Market Failure［J/OL］．［2010 － 3 － 1］．http://www．cl．cam．a(chǎn)c．uk/～rja14/econws/53．pdf

［6］Sagalow．The Role of Cyber Insurance in Fighting the War on Terror［J］．Cutter IT Journal，2006，5:23 －27．

［7］Ruperto P．Majuca William Yurcik Jay P．Kesan．The E-volution of Cyberinsurance［R］．a(chǎn)rXiv e－print，2006，1．

［8］Rainer B hme．A Comparison of Market Approaches to Software Vulnerability Disclosure［M］．Springer Berlin:Lecture Notes in Computer Science，2006，6．