朱孟林

大連海事大學(xué) 遼寧 大連 116085

1 海上網(wǎng)絡(luò)風(fēng)險(xiǎn)的概述

目前國(guó)際上對(duì)海上網(wǎng)絡(luò)風(fēng)險(xiǎn)沒(méi)有一個(gè)統(tǒng)一明確的定義，各個(gè)組織對(duì)海上網(wǎng)絡(luò)風(fēng)險(xiǎn)的定義也不盡相同，比如在 IMO 的《海上網(wǎng)絡(luò)風(fēng)險(xiǎn)管理指南》（GUIDELINES ON MARITIME CYBER RISK MANAGEMENT）中對(duì)海上網(wǎng)絡(luò)風(fēng)險(xiǎn)的定義是對(duì)技術(shù)資產(chǎn)受到潛在環(huán)境或事件威脅的程度的衡量，這些潛在環(huán)境或事件可能導(dǎo)致信息或系統(tǒng)被破壞、丟失或危害，從而導(dǎo)致與航運(yùn)相關(guān)的操作、安全或安全故障。一般來(lái)說(shuō)，海上網(wǎng)絡(luò)風(fēng)險(xiǎn)是船舶的網(wǎng)絡(luò)和系統(tǒng)安全受到影響，而船舶的網(wǎng)絡(luò)安全分為“cyber security”和“cyber safety”,前者是保護(hù)船舶的 TI、OT、信息和數(shù)據(jù)免受未經(jīng)訪問(wèn)、操作和破壞，后者是保護(hù)安全性的關(guān)鍵數(shù)據(jù)和 OT 完整性和可用性的受到損失。所以本人認(rèn)為海上網(wǎng)絡(luò)風(fēng)險(xiǎn)是指船舶的系統(tǒng)和信息數(shù)據(jù)的完整性和可用性被破壞而造成的風(fēng)險(xiǎn)。

2 設(shè)立海上網(wǎng)絡(luò)風(fēng)險(xiǎn)的必要性

2.1 海上網(wǎng)絡(luò)風(fēng)險(xiǎn)的現(xiàn)狀

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，航運(yùn)業(yè)與網(wǎng)絡(luò)技術(shù)緊密相連，海上運(yùn)輸也越來(lái)越智能化、數(shù)字化，然而，對(duì)數(shù)字技術(shù)的依賴增加可能導(dǎo)致海運(yùn)業(yè)部門的潛在脆弱性和風(fēng)險(xiǎn)增加，尤其涉及物流和運(yùn)輸系統(tǒng)。在這些系統(tǒng)中，信息往往在各種不同的主體之間共享，對(duì)這些系統(tǒng)的任何部分的攻擊都可能而且已經(jīng)導(dǎo)致災(zāi)難性后果。比如 2011年8月，伊朗伊斯蘭共和國(guó)航運(yùn)公司(以下簡(jiǎn)稱 IRISL)遭受了激烈的網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊破壞了所有與費(fèi)率、裝貨、貨號(hào)、日期和地點(diǎn)有關(guān)的數(shù)據(jù)，并消除了公司和內(nèi)部通信網(wǎng)絡(luò)。所有這些都造成了這樣一種情況，即集裝箱在沒(méi)有任何控制或意識(shí)的情況下被運(yùn)走。由于操作系統(tǒng)中斷，一些貨物被送到錯(cuò)誤的目的地，造成嚴(yán)重的財(cái)務(wù)損失。甚至，更令人擔(dān)憂的是，由于網(wǎng)絡(luò)攻擊，大量貨物丟失得無(wú)影無(wú)蹤。

目前在海上保險(xiǎn)市場(chǎng)，對(duì)這種類型的風(fēng)險(xiǎn)還沒(méi)有很好的規(guī)避措施，存在空白。一是海上網(wǎng)絡(luò)風(fēng)險(xiǎn)確實(shí)是才出現(xiàn)的新型風(fēng)險(xiǎn)，以前發(fā)生的頻率很少，投保這種風(fēng)險(xiǎn)的需求很少，海上保險(xiǎn)市場(chǎng)對(duì)它的承保公司也少之又少。二是因?yàn)槭切滦惋L(fēng)險(xiǎn)，大家對(duì)它的了解和研究不夠深刻和成熟，存在準(zhǔn)確評(píng)估和量化風(fēng)險(xiǎn)以及缺乏信息共享等困難，保險(xiǎn)公司不敢去做“第一人”，去承擔(dān)承保該類風(fēng)險(xiǎn)之后的風(fēng)險(xiǎn)。

2.2 海事網(wǎng)絡(luò)攻擊與海盜行為

在上文提到的案例中我們其實(shí)可以看到海事網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)目前是海上網(wǎng)絡(luò)風(fēng)險(xiǎn)中最常見(jiàn)的風(fēng)險(xiǎn)，其實(shí)海上網(wǎng)絡(luò)攻擊與海盜行為非常相似，都是外來(lái)的惡意行為對(duì)船舶以及船上貨物的攻擊，甚至隨著目前技術(shù)的發(fā)展，有些海盜會(huì)利用網(wǎng)絡(luò)漏洞或 GPS 操縱船舶然后實(shí)施劫持，使得海事網(wǎng)絡(luò)攻擊行為與海盜行為幾乎重合，其實(shí)就是海盜將傳統(tǒng)的用暴力劫持船舶的手段變成了網(wǎng)絡(luò)技術(shù)手段。比如有人通過(guò)網(wǎng)絡(luò)技術(shù)破壞了船舶系統(tǒng)以及信息數(shù)據(jù)，使得船舶不能正常航運(yùn)，要求船方支付贖金才將系統(tǒng)和數(shù)據(jù)恢復(fù)。在這個(gè)案例中，行為人的網(wǎng)絡(luò)攻擊行為就不同于海盜行為了，他雖然也是要求支付贖金，但是并沒(méi)有實(shí)際劫持控制住船舶。因此單單將海事網(wǎng)絡(luò)攻擊行為和海盜行為相提并論是不可取的，用承保海盜的方式去解決海上網(wǎng)絡(luò)風(fēng)險(xiǎn)也是不全面的。

2.3 網(wǎng)絡(luò)風(fēng)險(xiǎn)除外條款

對(duì)海上網(wǎng)絡(luò)風(fēng)險(xiǎn)，在水險(xiǎn)中通常使用 CL380 除外條款，該條款是指將一切出于惡意，使用計(jì)算機(jī)系統(tǒng)（含計(jì)算機(jī)軟件系統(tǒng)、惡意代碼、病毒等）產(chǎn)生的直接或間接物質(zhì)損失及費(fèi)用除外。首先根據(jù)條款內(nèi)容，該條款的適用要求主觀動(dòng)機(jī)是“惡意”的，而且是使用計(jì)算機(jī)造成損失，即網(wǎng)絡(luò)攻擊是造成傷害的手段，所以保險(xiǎn)公司若想拒賠，則需要證明以上兩個(gè)條件，這在實(shí)踐中是十分困難的。2014 年攻擊者使用魚(yú)叉式釣魚(yú)郵件獲得鋼廠辦公網(wǎng)絡(luò)的訪問(wèn)權(quán)，然后設(shè)法進(jìn)入鋼廠的生產(chǎn)網(wǎng)絡(luò)。攻擊者的行為導(dǎo)致工控系統(tǒng)的控制組件和整個(gè)生產(chǎn)線停止運(yùn)轉(zhuǎn)，煉鋼爐由于非正常關(guān)閉而損壞。在保險(xiǎn)理賠中，保險(xiǎn)公司認(rèn)定該損失為物質(zhì)損失，但并未提及對(duì)該事件網(wǎng)絡(luò)攻擊的根本原因分析。專家分析認(rèn)為，即使保單中引入了 CL380 除外條款，保險(xiǎn)人恐怕也很難應(yīng)用除外條款。并且海上網(wǎng)絡(luò)風(fēng)險(xiǎn)的發(fā)生并不是都是出于“惡意”的動(dòng)機(jī)和目的，所以該排除條款也不能將海上網(wǎng)絡(luò)風(fēng)險(xiǎn)完全排除，那么對(duì)于其他沒(méi)有被網(wǎng)絡(luò)風(fēng)險(xiǎn)除外條款排除的網(wǎng)絡(luò)風(fēng)險(xiǎn)，又沒(méi)有海上保險(xiǎn)對(duì)他們進(jìn)行承保，這些風(fēng)險(xiǎn)怎么解決？

針對(duì)目前海上網(wǎng)絡(luò)風(fēng)險(xiǎn)的現(xiàn)狀和問(wèn)題，本人認(rèn)為設(shè)立單獨(dú)的海上網(wǎng)絡(luò)安全保險(xiǎn)制度去解決目前海上網(wǎng)絡(luò)風(fēng)險(xiǎn)存在的問(wèn)題是必要的。首先目前海上網(wǎng)絡(luò)風(fēng)險(xiǎn)的事件頻發(fā)，盡管網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)市場(chǎng)仍許多困難，但目前網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)市場(chǎng)的規(guī)模、復(fù)雜性和重要性都在不斷增長(zhǎng)，越來(lái)越有能力滿足各種組織的減輕風(fēng)險(xiǎn)需求[1]。目前海上網(wǎng)絡(luò)市場(chǎng)對(duì)海上網(wǎng)絡(luò)風(fēng)險(xiǎn)的態(tài)度還是在水險(xiǎn)中排除，并且該排除條款產(chǎn)生的效果并不好，使得對(duì)一些海上網(wǎng)絡(luò)風(fēng)險(xiǎn)產(chǎn)生的損失能不能得到承保模糊不清，在實(shí)踐中產(chǎn)生爭(zhēng)議并且當(dāng)事人的利益也不能得到保障，可以通過(guò)設(shè)立海上網(wǎng)絡(luò)保險(xiǎn)去彌補(bǔ)這一漏洞。

3 建立海上網(wǎng)絡(luò)保險(xiǎn)制度的可行性

3.1 借鑒網(wǎng)絡(luò)安全保險(xiǎn)

1998年網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)開(kāi)始在歐美興起并快速發(fā)展，現(xiàn)在綜合網(wǎng)絡(luò)安全保險(xiǎn)的內(nèi)容和借鑒美國(guó)國(guó)土安全部的經(jīng)驗(yàn)，將網(wǎng)絡(luò)安全保險(xiǎn)定義為“一項(xiàng)承保網(wǎng)絡(luò)系統(tǒng)及其運(yùn)行風(fēng)險(xiǎn)的保險(xiǎn)產(chǎn)品”，涵蓋數(shù)據(jù)事故、網(wǎng)絡(luò)破壞和網(wǎng)絡(luò)欺詐等風(fēng)險(xiǎn)。在中國(guó)網(wǎng)絡(luò)安全保險(xiǎn)多以傳統(tǒng)責(zé)任險(xiǎn)的形式存在，網(wǎng)絡(luò)安全法的實(shí)施為網(wǎng)絡(luò)安全保險(xiǎn)在中國(guó)發(fā)展開(kāi)創(chuàng)了新時(shí)代。大型的信息技術(shù)依賴性強(qiáng)的公司已經(jīng)開(kāi)始將網(wǎng)絡(luò)安全保險(xiǎn)融入營(yíng)銷策略和風(fēng)險(xiǎn)管理方式之中[2]。網(wǎng)絡(luò)安全保險(xiǎn)不管在國(guó)外還是我國(guó)都已經(jīng)發(fā)展一段時(shí)間，網(wǎng)絡(luò)安全保險(xiǎn)對(duì)企業(yè)、個(gè)人網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的規(guī)避有很大的貢獻(xiàn)，獨(dú)立的網(wǎng)絡(luò)安全保險(xiǎn)的設(shè)立和其自身的發(fā)展歷程證明我們海上網(wǎng)絡(luò)安全保險(xiǎn)制度的設(shè)立也是可行的，并且比起還未發(fā)展起來(lái)的海上網(wǎng)絡(luò)保險(xiǎn)來(lái)說(shuō)網(wǎng)絡(luò)安全保險(xiǎn)已經(jīng)比較成熟和有經(jīng)驗(yàn)，海上網(wǎng)絡(luò)安全保險(xiǎn)制度的設(shè)立可以向網(wǎng)絡(luò)安全保險(xiǎn)借鑒和學(xué)習(xí)。比如目前網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品的提供方式主要包括兩種，一是通過(guò)擴(kuò)展責(zé)任（extensions）或批單（endorsement）等形式在現(xiàn)有保單責(zé)任中增加網(wǎng)絡(luò)風(fēng)險(xiǎn)相關(guān)的責(zé)任，即復(fù)合責(zé)任保單（Packaged policy）；二是保險(xiǎn)公司提供針對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的獨(dú)立保單（stand—alone policy）[3]。海上網(wǎng)絡(luò)安全保險(xiǎn)制度也可以考慮建立什么樣的投保方式。還有保險(xiǎn)內(nèi)容方面，網(wǎng)絡(luò)安全保險(xiǎn)最早主要是黑客攻擊險(xiǎn)，后來(lái)隨著網(wǎng)絡(luò)保險(xiǎn)的不斷發(fā)展出現(xiàn)了包含第三方損失責(zé)任的保險(xiǎn)單，現(xiàn)在網(wǎng)絡(luò)安全保險(xiǎn)根據(jù)承保責(zé)任主要分為針對(duì)企業(yè)的網(wǎng)絡(luò)安全（責(zé)任）保險(xiǎn)和針對(duì)個(gè)人的信息失竊。

海上網(wǎng)絡(luò)安全保險(xiǎn)也可以針對(duì)船舶、貨物、人員以及責(zé)任的體系構(gòu)建保險(xiǎn)內(nèi)容。那為什么不直接由普通網(wǎng)絡(luò)安全保險(xiǎn)來(lái)承保海上網(wǎng)絡(luò)風(fēng)險(xiǎn)呢？首先普通網(wǎng)絡(luò)保險(xiǎn)主要是針對(duì)企業(yè)網(wǎng)絡(luò)安全和個(gè)人信息安全進(jìn)行保險(xiǎn)，是企業(yè)或者公司為自己的網(wǎng)絡(luò)安全和個(gè)人為了自己的信息安全去投保，而在航運(yùn)業(yè)中針對(duì)海上網(wǎng)絡(luò)風(fēng)險(xiǎn)，除了有船公司這樣的投保主體，還有物的買方或賣方或者承租人這樣的投保主體，針對(duì)船舶、貨物或者責(zé)任進(jìn)行保險(xiǎn)，而正如上文所說(shuō)網(wǎng)絡(luò)安全保險(xiǎn)存在所提供的風(fēng)險(xiǎn)分散作用也有限，網(wǎng)絡(luò)保險(xiǎn)產(chǎn)品尚未實(shí)現(xiàn)標(biāo)準(zhǔn)化，海上網(wǎng)絡(luò)風(fēng)險(xiǎn)中的投保主體和標(biāo)的都比比普通網(wǎng)絡(luò)保險(xiǎn)范圍要廣，網(wǎng)絡(luò)安全保險(xiǎn)也不能完全去解決海上網(wǎng)絡(luò)風(fēng)險(xiǎn)的問(wèn)題。最重要的是，普通網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和海上網(wǎng)絡(luò)風(fēng)險(xiǎn)有很多的不同，因?yàn)楹Ｉ暇W(wǎng)絡(luò)風(fēng)險(xiǎn)有其海上風(fēng)險(xiǎn)的獨(dú)特性，投保人和承包人的權(quán)利義務(wù)要求以及保險(xiǎn)內(nèi)容等方面網(wǎng)絡(luò)安全保險(xiǎn)制度和海上網(wǎng)絡(luò)安全保險(xiǎn)也應(yīng)大有不同，所以需要單獨(dú)建立海上網(wǎng)絡(luò)安全保險(xiǎn)制度去解決海上網(wǎng)絡(luò)風(fēng)險(xiǎn)問(wèn)題，而普通網(wǎng)絡(luò)安全保險(xiǎn)的設(shè)立和發(fā)展也為我們海上網(wǎng)絡(luò)安全保險(xiǎn)提供了經(jīng)驗(yàn)和信心。

3.2 船舶互保協(xié)會(huì)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的態(tài)度

在水險(xiǎn)中把網(wǎng)絡(luò)風(fēng)險(xiǎn)明確排除在保險(xiǎn)條款外之后，目前實(shí)踐中的做法是有部分船舶互保協(xié)會(huì)的保賠保險(xiǎn)承保海上網(wǎng)絡(luò)風(fēng)險(xiǎn)，這一點(diǎn)也說(shuō)明海上網(wǎng)絡(luò)風(fēng)險(xiǎn)已經(jīng)引起了航運(yùn)界的關(guān)注，船舶互保協(xié)會(huì)對(duì)海上網(wǎng)絡(luò)風(fēng)險(xiǎn)能得到承保是肯定的態(tài)度。比如北英保賠協(xié)會(huì)也承保網(wǎng)絡(luò)風(fēng)險(xiǎn)，西英保賠協(xié)會(huì)的標(biāo)準(zhǔn)保賠條款中沒(méi)有排除網(wǎng)絡(luò)風(fēng)險(xiǎn)，因此會(huì)承保由網(wǎng)絡(luò)風(fēng)險(xiǎn)引起的 P&I 風(fēng)險(xiǎn)（屬于戰(zhàn)爭(zhēng)險(xiǎn)的除外），但由于該風(fēng)險(xiǎn)是沉默條款，在實(shí)踐中可能就是否承保引起爭(zhēng)議。船舶互保協(xié)會(huì)對(duì)海上網(wǎng)絡(luò)風(fēng)險(xiǎn)的承保不僅說(shuō)明規(guī)避海上網(wǎng)絡(luò)風(fēng)險(xiǎn)對(duì)我們來(lái)說(shuō)是不可回避的問(wèn)題，也說(shuō)明雖然面臨這樣問(wèn)題時(shí)間還不久，保險(xiǎn)領(lǐng)域方面還不成熟，但是以后通過(guò)一系列管理規(guī)則和風(fēng)險(xiǎn)分析機(jī)制的完善，我們不用再去排除該類風(fēng)險(xiǎn)承保，并且該類風(fēng)險(xiǎn)可以得到很好的規(guī)避。

4 結(jié)束語(yǔ)

雖然海上網(wǎng)絡(luò)安全風(fēng)險(xiǎn)事件頻發(fā)，但是網(wǎng)絡(luò)技術(shù)在航運(yùn)業(yè)的運(yùn)用不過(guò)也才二三十年，不僅在技術(shù)和管理制度方面還不成熟，在保險(xiǎn)領(lǐng)域，對(duì)海上網(wǎng)絡(luò)風(fēng)險(xiǎn)的保險(xiǎn)制度和規(guī)范也是缺失的。因此作者認(rèn)為在網(wǎng)絡(luò)技術(shù)與航運(yùn)業(yè)相互發(fā)展的情況下，網(wǎng)絡(luò)風(fēng)險(xiǎn)對(duì)航運(yùn)業(yè)影響越來(lái)越大，應(yīng)該完善海上保險(xiǎn)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的承保，構(gòu)建海上網(wǎng)絡(luò)保險(xiǎn)制度，以便維護(hù)各方當(dāng)事人的利益。