鄭威 姜鼎 郭飛 孫麗潔

(中國信息通信研究院安全研究所，北京 100191)

0 引言

近年來，隨著數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展，全球網(wǎng)絡(luò)安全威脅持續(xù)加劇。各國政府紛紛加強(qiáng)網(wǎng)絡(luò)監(jiān)管，企業(yè)的安全投入不斷增加，網(wǎng)絡(luò)安全保險作為承保網(wǎng)絡(luò)安全風(fēng)險的新險種，日益成為轉(zhuǎn)移、防范網(wǎng)絡(luò)安全風(fēng)險的重要工具。國外網(wǎng)絡(luò)安全保險產(chǎn)業(yè)發(fā)展迅速，已形成較為成熟的上下游生態(tài)。加強(qiáng)對國外網(wǎng)絡(luò)安全保險產(chǎn)業(yè)發(fā)展研究，推動我國網(wǎng)絡(luò)安全保險產(chǎn)業(yè)健康發(fā)展，對建設(shè)網(wǎng)絡(luò)強(qiáng)國、助力經(jīng)濟(jì)發(fā)展具有重大而深遠(yuǎn)的意義。

1 網(wǎng)絡(luò)安全保險綜述

1.1 網(wǎng)絡(luò)安全保險的背景

隨著新一輪科技革命和產(chǎn)業(yè)變革席卷全球，大數(shù)據(jù)、人工智能、移動互聯(lián)網(wǎng)等新技術(shù)得以廣泛應(yīng)用，在促進(jìn)實體經(jīng)濟(jì)高速發(fā)展的同時，也帶來了諸多新的網(wǎng)絡(luò)安全威脅和挑戰(zhàn)。

(1)國際方面。根據(jù)安聯(lián)集團(tuán)(Allianz)發(fā)布的《2022全球風(fēng)險晴雨表》[1]，2022年十大商業(yè)風(fēng)險中，網(wǎng)絡(luò)事件(包括網(wǎng)絡(luò)犯罪、IT故障/停機(jī)、數(shù)據(jù)泄露、罰款和處罰等)占據(jù)首位。2021年2月，美國佛羅里達(dá)州水處理廠電腦系統(tǒng)被黑客入侵，導(dǎo)致當(dāng)?shù)鼐用裆钣盟袛啵?021年4月，F(xiàn)acebook的5 億用戶數(shù)據(jù)在暗網(wǎng)被公開售賣，企業(yè)聲譽(yù)受損；2022年1月，新加坡加密貨幣交易平臺被攻擊，黑客利用智能合約漏洞竊取價值3.2 億美元的加密貨幣。頻發(fā)的網(wǎng)絡(luò)安全事件給企業(yè)造成巨大經(jīng)濟(jì)損失和聲譽(yù)影響。

(2)國內(nèi)方面。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2021年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報告》[2]，2021年上半年，我國受攻擊IP有3 048 萬個，占我國IP地址總數(shù)的7.8%；“零日”漏洞7 107 個，同比大幅增長55.1%。2020年3月，微博5.38 億用戶數(shù)據(jù)泄露，企業(yè)聲譽(yù)受損；2021年3月，中國臺灣電腦公司Acer遭勒索軟件攻擊，贖金高達(dá)3.25 億美元。2021年6月，淘寶近12 億條用戶數(shù)據(jù)被盜取，引發(fā)社會廣泛關(guān)注。

為減少或避免網(wǎng)絡(luò)安全事件帶來的損失，企業(yè)需不斷完善自身的網(wǎng)絡(luò)風(fēng)險管理體系，提升應(yīng)對網(wǎng)絡(luò)安全風(fēng)險的能力。在風(fēng)險控制模型中，應(yīng)對風(fēng)險共有四種手段：消除、降低、轉(zhuǎn)移和接受。由于網(wǎng)絡(luò)安全風(fēng)險難以消除，企業(yè)通常通過部署網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)來抵御攻擊，降低風(fēng)險發(fā)生的可能性，并最終接受殘余風(fēng)險。網(wǎng)絡(luò)安全保險作為轉(zhuǎn)移網(wǎng)絡(luò)安全風(fēng)險的重要手段之一，尚未得到充分應(yīng)用。

1.2 網(wǎng)絡(luò)安全保險的內(nèi)涵

目前，國內(nèi)外尚未形成對網(wǎng)絡(luò)安全保險的統(tǒng)一定義。英國保險協(xié)會(Association of British Insurers，ABI)將網(wǎng)絡(luò)安全保險定義為“用于彌補(bǔ)與IT系統(tǒng)和網(wǎng)絡(luò)的損壞或信息丟失相關(guān)損失的一種保險產(chǎn)品”[3]；美國國土安全部(United States Department of Homeland Security，DHS)將網(wǎng)絡(luò)安全保險定義為“旨在降低企業(yè)遭受數(shù)據(jù)泄露、業(yè)務(wù)中斷和網(wǎng)絡(luò)損壞等事故損失的一種保險產(chǎn)品”[4]；歐洲網(wǎng)絡(luò)與信息安全局(European Network and Information Security Agency，ENISA)將網(wǎng)絡(luò)安全保險定義為“承保與網(wǎng)絡(luò)空間風(fēng)險(包括賠償責(zé)任、財產(chǎn)損失和盜竊、數(shù)據(jù)損壞、網(wǎng)絡(luò)中斷收入損失和計算機(jī)故障或網(wǎng)站污染)等相關(guān)的風(fēng)險損失為目的的保險合同”[5]。根據(jù)《中華人民共和國保險法》，保險是指“投保人根據(jù)合同約定，向保險人支付保險費(fèi)，保險人對于合同約定的可能發(fā)生的事故因其發(fā)生所造成的財產(chǎn)損失承擔(dān)賠償保險金責(zé)任，或者當(dāng)被保險人死亡、傷殘、疾病或者達(dá)到合同約定的年齡、期限等條件時承擔(dān)給付保險金責(zé)任的商業(yè)保險行為”[6]。

綜合國內(nèi)外相關(guān)定義，網(wǎng)絡(luò)安全保險的核心內(nèi)涵是以被保險人的網(wǎng)絡(luò)及系統(tǒng)安全性(包括完整性、機(jī)密性、有效性等)及預(yù)期損失為保險標(biāo)的，當(dāng)出現(xiàn)被保險人遭受網(wǎng)絡(luò)安全事故而導(dǎo)致企業(yè)生產(chǎn)中斷、網(wǎng)站系統(tǒng)被破壞、商業(yè)機(jī)密被竊取、第三方隱私信息被盜用等情況時，保險人依據(jù)合同對被保險人承擔(dān)給付保險金責(zé)任的商業(yè)保險行為。業(yè)內(nèi)涉及網(wǎng)絡(luò)安全的諸多保險術(shù)語，如網(wǎng)絡(luò)保險(Cyber Insurance)、網(wǎng)絡(luò)風(fēng)險保險(Cyber Risk Insurance)、網(wǎng)絡(luò)空間保險(Cyberspace Insurance)、網(wǎng)絡(luò)責(zé)任保險(Cyber Liability Insurance)、信息安全保險(Information Security Insurance)、網(wǎng)絡(luò)安全保險(Network Security Insurance)、電子風(fēng)險保險(E-risk Insurance)等，均屬于本文中網(wǎng)絡(luò)安全保險(Cyber Security Insurance)的范疇。

1.3 網(wǎng)絡(luò)安全保險的分類

根據(jù)承保范圍不同，可將網(wǎng)絡(luò)安全保險分為第一方損失險和第三方責(zé)任險兩類(見表1)。

表1 網(wǎng)絡(luò)安全保險主要類型

第一方損失險承保的是網(wǎng)絡(luò)安全事故導(dǎo)致投保企業(yè)產(chǎn)生的直接損失。主要對營業(yè)中斷進(jìn)行保障，包括直接利潤損失、內(nèi)部錯誤和技術(shù)故障所產(chǎn)生的費(fèi)用，黑客攻擊導(dǎo)致的資金損失，網(wǎng)絡(luò)勒索的支付費(fèi)用以及其他相關(guān)費(fèi)用。

第三方責(zé)任險承保的是網(wǎng)絡(luò)安全事故導(dǎo)致第三方遭受損失時，須由投保企業(yè)承擔(dān)的法律責(zé)任。主要是針對第三方向投保企業(yè)的網(wǎng)絡(luò)安全責(zé)任提出的索賠，包括用以覆蓋最終用戶(消費(fèi)者、使用者等)索賠的消費(fèi)者賠償費(fèi)用，違反相關(guān)法律法規(guī)所導(dǎo)致的費(fèi)用，以及由于監(jiān)管要求產(chǎn)生的調(diào)查、取證費(fèi)用。

2 國外產(chǎn)業(yè)環(huán)境及發(fā)展趨勢

國外的網(wǎng)絡(luò)安全保險市場經(jīng)歷了二十余年的發(fā)展實踐，已進(jìn)入快速發(fā)展期，并形成了較為成熟的上下游生態(tài)。

2.1 市場發(fā)展歷程

(1)萌芽期。20世紀(jì)90年代，伴隨著IT技術(shù)和互聯(lián)網(wǎng)的快速發(fā)展，美國、歐洲等國家和地區(qū)出現(xiàn)針對網(wǎng)絡(luò)安全風(fēng)險相關(guān)的保單，以第一方損失險為主。國際計算機(jī)安全協(xié)會、英國勞埃德(Lloyd)保險公司相繼推出黑客保險。蘇黎世北美保險公司(Zurich North America)在美國推出“E-Risk保險”，專門針對因感染病毒、非法入侵、網(wǎng)上攻擊等導(dǎo)致企業(yè)業(yè)務(wù)癱瘓、經(jīng)濟(jì)損失巨大的情形。

(2)探索期。進(jìn)入21世紀(jì)，隨著網(wǎng)絡(luò)安全風(fēng)險的種類、發(fā)生頻率及所造成損失不斷增加，以及相關(guān)法律法規(guī)的逐步完善，國外網(wǎng)絡(luò)安全保險的需求迅速增長。保險公司不斷探索優(yōu)化網(wǎng)絡(luò)安全保險產(chǎn)品，擴(kuò)大產(chǎn)品承保范圍，承保第三方責(zé)任的網(wǎng)絡(luò)安全保險保單開始出現(xiàn)。2003年，美國國際集團(tuán)(AIG)保險公司推出承保范圍涵蓋因網(wǎng)絡(luò)安全或數(shù)據(jù)被侵入而造成第三者損失的黑客保險。隨著Amazon、Yahoo和eBay等著名網(wǎng)站相繼遭受黑客侵襲，黑客保險需求迅速擴(kuò)張，截至2003年年底，美國國際集團(tuán)保險公司銷售額增加了4～5倍。

(3)發(fā)展期。自2010年起，國外網(wǎng)絡(luò)安全保險市場進(jìn)入快速發(fā)展期，網(wǎng)絡(luò)安全保險逐漸成為保險公司的一款基礎(chǔ)產(chǎn)品。據(jù)Research and Markets預(yù)測[5]，到2026年，全球網(wǎng)絡(luò)安全保險市場規(guī)模將達(dá)到350.7 億美元，平均年復(fù)合增長率達(dá)到26.6%。高速發(fā)展的同時，國外網(wǎng)絡(luò)安全保險市場仍面臨著多重挑戰(zhàn)，如網(wǎng)絡(luò)安全風(fēng)險定義不清晰、網(wǎng)絡(luò)事故損失歷史數(shù)據(jù)有限以及對網(wǎng)絡(luò)安全保險承保范圍認(rèn)知不足等。

2.2 法律政策環(huán)境

得益于成熟的法律、監(jiān)管體系及良好的政策環(huán)境，過去二十余年，國外網(wǎng)絡(luò)安全保險市場得到了快速發(fā)展。

美國網(wǎng)絡(luò)安全保險市場發(fā)展最為迅速，占全球市場份額的90%以上。在法律要求方面，美國將非法披露個人信息納入保險承保范圍，推動企業(yè)通過購買保險來保障因數(shù)據(jù)泄露和營業(yè)中斷帶來的經(jīng)營損失；在監(jiān)管體系方面，美國證券交易委員會(United States Securities and Exchange Commission，SEC)要求上市公司必須上報網(wǎng)絡(luò)安全事故、數(shù)據(jù)泄露事件，否則將面臨調(diào)查傳訊及股東和客戶的集體訴訟，網(wǎng)絡(luò)安全保險產(chǎn)品需求激增；在政策環(huán)境方面，從2016年起，美國對購買數(shù)據(jù)泄露保險采用美國國家標(biāo)準(zhǔn)與技術(shù)研究所(National Institute of Standards and Technology，NIST)網(wǎng)絡(luò)安全框架或財政部批準(zhǔn)的安全標(biāo)準(zhǔn)的企業(yè)，提供15%的稅收減免。健全的法律監(jiān)管和積極的財政政策促進(jìn)了美國網(wǎng)絡(luò)安全保險市場的快速發(fā)展，據(jù)美國保險監(jiān)督官協(xié)會(National Association of Insurance Commissioners，NAIC)的統(tǒng)計數(shù)據(jù)顯示[6]，目前提供網(wǎng)絡(luò)安全保險產(chǎn)品的美國保險公司已超過500 家，較2016年增加35%。

歐盟的網(wǎng)絡(luò)安全保險市場與美國的發(fā)展較為同步。歐盟采用網(wǎng)絡(luò)隱私立法模式，從法律上確定網(wǎng)絡(luò)隱私權(quán)保護(hù)的各項基本原則和具體制度，并在此基礎(chǔ)上建立各項司法和行政救濟(jì)保護(hù)措施。相關(guān)法律法規(guī)對隱私泄露等引發(fā)的第三方責(zé)任有著較為明確的罰則指導(dǎo)，可為網(wǎng)絡(luò)安全保險的保費(fèi)定價提供參考。如歐盟的《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，GDPR)高度重視個人數(shù)據(jù)保護(hù)，對企業(yè)違規(guī)建立了嚴(yán)格的處罰機(jī)制。根據(jù)規(guī)定[7]，企業(yè)出現(xiàn)一般違法行為將面臨全年營收額2%或1 000 萬歐元的罰款，高者為限；出現(xiàn)嚴(yán)重違法行為將面臨全年營收額4%或2 000 萬歐元的罰款，高者為限。2018年5月該法案生效后，歐洲地區(qū)的網(wǎng)絡(luò)安全保險市場迅速壯大。

2.3 產(chǎn)業(yè)生態(tài)現(xiàn)狀

由于網(wǎng)絡(luò)安全保險本身的專業(yè)性要求和跨行業(yè)屬性，產(chǎn)業(yè)發(fā)展面臨較大的技術(shù)和行業(yè)壁壘。在政府匯集多方資源的聯(lián)合推動下，國外網(wǎng)絡(luò)安全保險生態(tài)得以快速發(fā)展。以美國為例，政府在提供相對健全的網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面的法律要求、監(jiān)管體系和政策環(huán)境外，還推動各方聯(lián)合建立網(wǎng)絡(luò)安全風(fēng)險基礎(chǔ)數(shù)據(jù)庫，發(fā)布風(fēng)險損失測算量化標(biāo)準(zhǔn)，完善網(wǎng)絡(luò)安全保險精算模型，助力保險公司提升承保技術(shù)能力。從2012年起，美國的政府機(jī)構(gòu)開始聯(lián)合保險業(yè)建立網(wǎng)絡(luò)安全風(fēng)險基礎(chǔ)數(shù)據(jù)庫，如推動數(shù)據(jù)公司Advisen、風(fēng)險建模公司RMS等建立了網(wǎng)絡(luò)安全風(fēng)險管理相關(guān)數(shù)據(jù)庫，幫助保險公司識別企業(yè)網(wǎng)絡(luò)安全風(fēng)險并提供網(wǎng)絡(luò)安全損失測試服務(wù)。2016年1月，美國巨災(zāi)建模公司AIR Worldwide和數(shù)據(jù)分析公司Verisk聯(lián)合發(fā)布網(wǎng)絡(luò)安全損失數(shù)據(jù)收集標(biāo)準(zhǔn)，進(jìn)行網(wǎng)絡(luò)安全風(fēng)險建模數(shù)據(jù)收集。2016年5月，國際再保險巨頭佳達(dá)保險(Guy Carpenter)聯(lián)合網(wǎng)絡(luò)安全領(lǐng)域巨頭賽門鐵克(Symantec)創(chuàng)建了網(wǎng)絡(luò)安全加總模型(Cyber Aggregation Model)。

經(jīng)過多年發(fā)展，國外網(wǎng)絡(luò)安全保險產(chǎn)業(yè)已形成公共基礎(chǔ)服務(wù)體系完善、利益相關(guān)方眾多、業(yè)務(wù)全生命周期覆蓋的較為成熟的上下游生態(tài)。保險公司和再保險公司是生態(tài)的核心，作為網(wǎng)絡(luò)安全保險業(yè)務(wù)經(jīng)營的主體，實現(xiàn)產(chǎn)品規(guī)劃設(shè)計、銷售和交付，如美國國際集團(tuán)(AIG)、旅行者集團(tuán)(Travelers)，歐洲的蘇黎世再保險和慕尼黑再保險等。投保前，網(wǎng)絡(luò)安全公司、保險科技公司或風(fēng)險數(shù)據(jù)建模公司支撐對投保企業(yè)進(jìn)行網(wǎng)絡(luò)安全風(fēng)險評估，提供網(wǎng)絡(luò)安全風(fēng)險數(shù)據(jù)，聯(lián)合保險公司設(shè)計風(fēng)險量化和損失測算模型，如美國網(wǎng)絡(luò)安全公司Symantec、數(shù)據(jù)公司Advisen、巨災(zāi)建模公司AIR Worldwide等。承保期，部分保險公司會與第三方網(wǎng)絡(luò)安全技術(shù)服務(wù)商合作，持續(xù)監(jiān)測投保企業(yè)的網(wǎng)絡(luò)安全風(fēng)險動態(tài)變化，并在必要時提供預(yù)警和處置措施。理賠時，保險公司依據(jù)保單的承保責(zé)任向投保企業(yè)提供第一方損失、第三方責(zé)任相關(guān)的經(jīng)濟(jì)賠付和外部專家支持，協(xié)調(diào)網(wǎng)絡(luò)安全公司、數(shù)據(jù)恢復(fù)公司提供應(yīng)急響應(yīng)和救援支持，對網(wǎng)絡(luò)安全事故開展技術(shù)鑒定、調(diào)查取證、技術(shù)評估、系統(tǒng)和數(shù)據(jù)恢復(fù)等工作。

2.4 產(chǎn)業(yè)發(fā)展趨勢

數(shù)據(jù)顯示[8]，國外網(wǎng)絡(luò)安全保險市場呈現(xiàn)保費(fèi)增長、行業(yè)損失率上升、市場份額集中的趨勢。以美國為例，怡安集團(tuán)在其2021年6月發(fā)布的《2020年美國網(wǎng)絡(luò)安全保險的利潤及表現(xiàn)》指出[9]，2020年美國網(wǎng)絡(luò)安全保險直接簽單保費(fèi)達(dá)27.4 億美元，較2019年增長21%；由于勒索軟件索賠導(dǎo)致事件響應(yīng)成本和勒索金額增加，平均索賠額增幅超過50%，網(wǎng)絡(luò)安全保險的行業(yè)損失率上漲了22%；美國網(wǎng)絡(luò)安全保險市場雖略有擴(kuò)大，但市場份額主要集中于大型保險集團(tuán)公司，提供的風(fēng)險分散作用相對有限，存在一定的承保風(fēng)險。在此背景下，國外網(wǎng)絡(luò)安全保險產(chǎn)業(yè)進(jìn)一步發(fā)展完善，呈現(xiàn)出以下趨勢。

(1)保險公司持續(xù)優(yōu)化網(wǎng)絡(luò)安全保險產(chǎn)品。保險公司在市場變化中持續(xù)探索保費(fèi)與企業(yè)安全投入的平衡點，以免保費(fèi)過高降低了企業(yè)的購買欲望，或保費(fèi)過低使企業(yè)過多轉(zhuǎn)移了本應(yīng)承擔(dān)的安全風(fēng)險，從而導(dǎo)致企業(yè)忽視自身安全建設(shè)。對產(chǎn)品的優(yōu)化措施包括：減少低價網(wǎng)絡(luò)安全保險產(chǎn)品，避免企業(yè)以較低價格購買高賠付限額的網(wǎng)絡(luò)安全保險產(chǎn)品，例如2020年美國獨(dú)立保單保費(fèi)平均上升了28.6%；提高投保的安全基線要求，保險公司要求企業(yè)在投保評估之前，進(jìn)行切實有效的網(wǎng)絡(luò)安全加固；調(diào)整保單的承保范圍，部分保險公司減少了保單中的承保范圍，例如法國的安盛保險去除了所有涉及勒索的相關(guān)條款。這些措施有效減少了通過降低保費(fèi)和安全基線來吸引客戶的不成熟市場競爭行為，有助于推動行業(yè)良性健康發(fā)展。

(2)“保險+安全服務(wù)”的業(yè)務(wù)模式已逐步成為行業(yè)共識。保險公司提供包括主動防御在內(nèi)的網(wǎng)絡(luò)安全解決方案，把實施風(fēng)險控制作為企業(yè)投?；€的一部分，用確定的風(fēng)險防御投入降低預(yù)期損失，進(jìn)而獲得承保收益。一方面，保險公司為投保企業(yè)提供安全培訓(xùn)、威脅情報訂閱等服務(wù)，可有效降低網(wǎng)絡(luò)安全保險的出險率，并形成市場差異化競爭，提高自身競爭優(yōu)勢；另一方面，保險公司聯(lián)合網(wǎng)絡(luò)安全公司為投保企業(yè)提供主動風(fēng)險控制，以實現(xiàn)將一部分風(fēng)險較高的“不可保業(yè)務(wù)”轉(zhuǎn)化為風(fēng)險可控的“可保業(yè)務(wù)”，達(dá)到擴(kuò)大業(yè)務(wù)規(guī)模的目的。

(3)跨行業(yè)數(shù)據(jù)共享分析機(jī)制逐步建立。與成熟的保險產(chǎn)品相比，網(wǎng)絡(luò)安全保險在保前風(fēng)險評估、險后理賠鑒定環(huán)節(jié)可參考的數(shù)據(jù)均相對較少，保險公司通過與網(wǎng)絡(luò)安全公司、第三方保險科技公司建立數(shù)據(jù)共享與分析機(jī)制，基于網(wǎng)絡(luò)安全風(fēng)險基礎(chǔ)數(shù)據(jù)，準(zhǔn)確、動態(tài)地發(fā)現(xiàn)特定行業(yè)或者特定時間的威脅，有效緩釋網(wǎng)絡(luò)空間“黑天鵝”事件帶來的未知風(fēng)險。

3 國內(nèi)產(chǎn)業(yè)環(huán)境及發(fā)展現(xiàn)狀

在數(shù)字經(jīng)濟(jì)蓬勃發(fā)展及網(wǎng)絡(luò)風(fēng)險持續(xù)加劇雙驅(qū)動下，我國對網(wǎng)絡(luò)安全的重視程度不斷提升，相繼出臺了一系列法律法規(guī)及標(biāo)準(zhǔn)規(guī)范。在此背景下，我國網(wǎng)絡(luò)安全保險市場需求逐漸增加，一些保險公司對網(wǎng)絡(luò)安全保險的業(yè)務(wù)模式展開了積極探索。

3.1 市場發(fā)展現(xiàn)狀

國內(nèi)網(wǎng)絡(luò)安全保險起步于21世紀(jì)10年代，目前仍處于市場探索期。自2013年起，蘇黎世財產(chǎn)保險(中國)有限公司、安聯(lián)財產(chǎn)保險(中國)有限公司等外資險企率先在中國市場上推出了網(wǎng)絡(luò)安全保險產(chǎn)品。此后，隨著市場需求的逐步增加，中國人民財產(chǎn)保險股份有限公司、中國人壽財產(chǎn)保險股份有限公司、中國平安財產(chǎn)保險股份有限公司、中國太平洋財產(chǎn)保險股份有限公司等國內(nèi)大型保險公司相繼開發(fā)并推出網(wǎng)絡(luò)安全保險產(chǎn)品(見表2)。

表2 國內(nèi)市場網(wǎng)絡(luò)安全保險相關(guān)產(chǎn)品

從供給側(cè)看，國內(nèi)市場上的網(wǎng)絡(luò)安全保險機(jī)構(gòu)及產(chǎn)品逐漸增多。目前，已有20 余家保險公司在中國銀行保險監(jiān)督管理委員會備案了50 余款網(wǎng)絡(luò)安全保險產(chǎn)品，險種涉及黑客保險、網(wǎng)絡(luò)風(fēng)險保險、電子商務(wù)保險、網(wǎng)絡(luò)安全責(zé)任保險、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)保險、網(wǎng)絡(luò)安全綜合保險、計算機(jī)保險等[10]。面向的客戶分布于政府部門、企事業(yè)單位、國家重點保護(hù)單位、互聯(lián)網(wǎng)企業(yè)、醫(yī)療、金融、教育機(jī)構(gòu)、網(wǎng)上交易平臺、網(wǎng)絡(luò)游戲公司等眾多行業(yè)。網(wǎng)絡(luò)安全保險在我國屬于新興險種，保險公司在產(chǎn)品定價、風(fēng)險評估、定損理賠等環(huán)節(jié)尚未形成完備的機(jī)制體系。

從需求側(cè)看，網(wǎng)絡(luò)安全保險在國內(nèi)的市場接受度不斷提升。隨著國內(nèi)網(wǎng)絡(luò)和數(shù)據(jù)安全相關(guān)法律法規(guī)、政策環(huán)境的不斷完善，及數(shù)字經(jīng)濟(jì)發(fā)展戰(zhàn)略的深入實施，國內(nèi)企業(yè)在安全體系建設(shè)方面的投入逐漸增多，并逐步認(rèn)識到網(wǎng)絡(luò)安全保險有助于企業(yè)實現(xiàn)風(fēng)險轉(zhuǎn)移，建立全面的網(wǎng)絡(luò)安全風(fēng)險應(yīng)對方案。近兩年，除了外資及合資企業(yè)外，國內(nèi)一些具備海外業(yè)務(wù)的中資企業(yè)、易受網(wǎng)絡(luò)攻擊的重點行業(yè)企業(yè)及具有較高風(fēng)險管理意識的企業(yè)逐漸開始嘗試購買網(wǎng)絡(luò)安全保險產(chǎn)品。

3.2 法律政策環(huán)境

法律法規(guī)方面，網(wǎng)絡(luò)安全相關(guān)法律法規(guī)不斷建設(shè)完善，但網(wǎng)絡(luò)安全保險專屬的法規(guī)制度尚為空白。2017年6月，《中華人民共和國網(wǎng)絡(luò)安全法》正式實施，為網(wǎng)絡(luò)安全法律體系建設(shè)提供上位法基礎(chǔ)。2021年，《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)發(fā)布實施，國家層面的網(wǎng)絡(luò)安全相關(guān)法律法規(guī)框架不斷完善。此外，海南、貴州、天津、浙江和上海等全國18個省市相繼出臺了地方性的數(shù)據(jù)安全法規(guī)；以金融、電信、電力等為代表的網(wǎng)絡(luò)安全成熟度較高的行業(yè)基于國家法律法規(guī)建立了行業(yè)的網(wǎng)絡(luò)和數(shù)據(jù)安全規(guī)章制度。

政策環(huán)境方面，鼓勵探索網(wǎng)絡(luò)安全保險服務(wù)模式創(chuàng)新。2019年9月，工業(yè)和信息化部發(fā)布《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(征求意見稿)》[12]，將“探索開展網(wǎng)絡(luò)安全保險服務(wù)”作為“積極創(chuàng)新網(wǎng)絡(luò)安全服務(wù)模式”的內(nèi)容之一。2021年7月，工業(yè)和信息化部發(fā)布《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃(2021—2023年)(征求意見稿)》[13]，在“產(chǎn)融合作深化行動”中提出“面向電信和互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等領(lǐng)域，開展網(wǎng)絡(luò)安全保險服務(wù)試點。加快網(wǎng)絡(luò)安全保險政策引導(dǎo)和標(biāo)準(zhǔn)制定，通過網(wǎng)絡(luò)安全保險服務(wù)監(jiān)控風(fēng)險敞口，鼓勵企業(yè)構(gòu)建并完善自身網(wǎng)絡(luò)安全風(fēng)險管理體系，強(qiáng)化網(wǎng)絡(luò)安全風(fēng)險應(yīng)對能力”。上海、寧波、武漢等地已紛紛出臺激勵政策，部分城市已著手開展試點工作。

3.3 主要業(yè)務(wù)模式

隨著我國網(wǎng)絡(luò)安全保險市場需求的逐步增加，國內(nèi)保險公司開始了網(wǎng)絡(luò)安全保險的市場探索。總體來看，目前國內(nèi)網(wǎng)絡(luò)安全保險市場上主要存在“IT產(chǎn)品+保險”和“保險+安全服務(wù)”兩類業(yè)務(wù)模式。

“IT產(chǎn)品+保險”模式指云服務(wù)廠商、安全服務(wù)廠商等IT服務(wù)商為其生產(chǎn)銷售的產(chǎn)品購買網(wǎng)絡(luò)安全保險，以借助保險的風(fēng)險轉(zhuǎn)移功能，完善所售產(chǎn)品的安全保障體系(見圖1)。此模式有助于IT服務(wù)商提高產(chǎn)品的市場競爭力，減少因產(chǎn)品存在潛在網(wǎng)絡(luò)安全風(fēng)險為企業(yè)自身及其客戶帶來的損失。在此模式下，保險公司無需直接面向用戶開展網(wǎng)絡(luò)安全保險產(chǎn)品的營銷，網(wǎng)絡(luò)安全保險產(chǎn)品依附于IT服務(wù)商的產(chǎn)品并為其增信。

“保險+安全服務(wù)”模式指保險公司與安全公司合作，共同向投保企業(yè)提供網(wǎng)絡(luò)安全保險產(chǎn)品及服務(wù)(見圖2)。保險公司為企業(yè)提供標(biāo)準(zhǔn)化或定制化的網(wǎng)絡(luò)安全保險產(chǎn)品，產(chǎn)品中包含可訂閱的安全服務(wù)，如應(yīng)急響應(yīng)、溯源取證等，安全公司則向保險公司提供專業(yè)的技術(shù)支撐，賦能保險產(chǎn)品。此模式與國外網(wǎng)絡(luò)安全保險市場成熟期的業(yè)務(wù)模式較為相似，但國內(nèi)市場在產(chǎn)品和服務(wù)的種類、覆蓋范圍、服務(wù)機(jī)制等方面仍有待提升。尤其在安全服務(wù)方面，安全公司應(yīng)協(xié)助保險公司為投保企業(yè)提供保前安全風(fēng)險評估，以確定保單的保費(fèi)及保額，并進(jìn)一步提供安全加固、監(jiān)測預(yù)警等服務(wù)，以降低出險率，平衡保險保費(fèi)與企業(yè)安全投入。

在“保險+安全服務(wù)”模式下，投保企業(yè)發(fā)生安全事件后，保險公司第一時間聯(lián)系安全公司，安全公司通過遠(yuǎn)程或現(xiàn)場方式了解事故情況，判定安全事件是否在承保范圍內(nèi)；如是，則提供應(yīng)急響應(yīng)服務(wù)，并協(xié)助保險公司進(jìn)行理賠定損、溯源取證等工作(見圖3)。

3.4 產(chǎn)業(yè)面臨的問題

伴隨著我國網(wǎng)絡(luò)安全系列法律法規(guī)的實施落地，重要行業(yè)領(lǐng)域網(wǎng)絡(luò)安全頂層設(shè)計的密集出臺，國內(nèi)網(wǎng)絡(luò)安全保險產(chǎn)業(yè)迎來發(fā)展機(jī)遇期。政府部門、研究機(jī)構(gòu)、保險公司、網(wǎng)絡(luò)安全企業(yè)等相關(guān)機(jī)構(gòu)對網(wǎng)絡(luò)安全保險的關(guān)注與日俱增，產(chǎn)業(yè)面臨的政策引領(lǐng)作用未充分發(fā)揮、行業(yè)標(biāo)準(zhǔn)規(guī)范缺乏、產(chǎn)品數(shù)量有限、客戶認(rèn)知不足等問題開始凸顯。

(1)政策引領(lǐng)尚需加強(qiáng)。為積極響應(yīng)國家政策號召，部分地區(qū)已表現(xiàn)出對網(wǎng)絡(luò)安全保險的關(guān)注，通過組織成立地方性網(wǎng)絡(luò)安全保險聯(lián)盟、出臺相關(guān)保費(fèi)補(bǔ)貼政策等方式激勵當(dāng)?shù)鼐W(wǎng)絡(luò)安全保險的發(fā)展，但尚未在全國范圍內(nèi)形成規(guī)模效應(yīng)和示范效應(yīng)，企業(yè)參與的積極性尚未充分激發(fā)。

(2)行業(yè)規(guī)范尚未建立。國內(nèi)網(wǎng)絡(luò)安全保險定義尚不明確，且僅有少量大型網(wǎng)絡(luò)安全保險公司進(jìn)行業(yè)務(wù)探索，保險條款、承保范圍、服務(wù)要求、業(yè)務(wù)流程等均未達(dá)成行業(yè)共識、形成統(tǒng)一標(biāo)準(zhǔn)，難以獲取客戶認(rèn)可，不利于網(wǎng)絡(luò)安全保險大規(guī)模推廣落地。

(3)產(chǎn)品供給尚顯不足。保險產(chǎn)品設(shè)計需依據(jù)歷史市場數(shù)據(jù)，運(yùn)用精算模型計算保險費(fèi)率。費(fèi)率過高，將難以吸引客戶，降低產(chǎn)品的市場競爭力；費(fèi)率過低，則會造成保險公司之間的惡性競爭，不利于穩(wěn)定經(jīng)營。一方面，國內(nèi)網(wǎng)絡(luò)安全保險仍處于發(fā)展初期，保險公司缺乏網(wǎng)絡(luò)安全風(fēng)險數(shù)據(jù)積累，難以開發(fā)出符合市場需求的保險產(chǎn)品；另一方面，網(wǎng)絡(luò)安全風(fēng)險復(fù)雜多變，造成的損失難以量化評估，國內(nèi)保險公司缺乏相關(guān)風(fēng)險損失測算量化標(biāo)準(zhǔn)和對應(yīng)的保險精算模型，在設(shè)計網(wǎng)絡(luò)安全保險產(chǎn)品時存在定價難、承保難的問題。產(chǎn)品設(shè)計能力的不足制約了國內(nèi)網(wǎng)絡(luò)安全保險產(chǎn)品的供給，產(chǎn)品數(shù)量難以滿足國內(nèi)市場需求。

(4)客戶認(rèn)知有待提升。網(wǎng)絡(luò)安全保險作為新興險種，國內(nèi)宣傳推廣力度不足，市場上產(chǎn)品數(shù)量有限，多數(shù)企業(yè)對其缺乏了解，部分企業(yè)片面地認(rèn)為“購買保險即可消除風(fēng)險”，極少有企業(yè)認(rèn)識到網(wǎng)絡(luò)安全保險可提供風(fēng)險管理服務(wù)、監(jiān)控風(fēng)險敞口的重要作用。認(rèn)知不足導(dǎo)致多數(shù)企業(yè)仍持觀望態(tài)度，國內(nèi)網(wǎng)絡(luò)安全保險市場需求未充分釋放。

4 國內(nèi)產(chǎn)業(yè)發(fā)展建議

國內(nèi)網(wǎng)絡(luò)安全保險產(chǎn)業(yè)在借鑒歐美發(fā)展經(jīng)驗的同時，應(yīng)結(jié)合自身產(chǎn)業(yè)環(huán)境、發(fā)展階段、實踐經(jīng)驗，積極探索創(chuàng)新，打造本土化的網(wǎng)絡(luò)安全保險產(chǎn)品，促進(jìn)網(wǎng)絡(luò)安全保險產(chǎn)業(yè)健康發(fā)展。

4.1 加強(qiáng)政策支持，推動試點工作落地

一方面，各地主管部門應(yīng)積極發(fā)揮引導(dǎo)作用，制定網(wǎng)絡(luò)安全保險相關(guān)優(yōu)惠政策，例如參考重大裝備首臺(套)保險補(bǔ)償政策，為中小型企業(yè)提供網(wǎng)絡(luò)安全保險購置減稅政策、保險購買補(bǔ)貼政策等，拉動市場需求；針對開展網(wǎng)絡(luò)安全保險的保險公司推出獎勵或補(bǔ)貼政策等，擴(kuò)大市場供給。另一方面，地方政府應(yīng)充分利用國家級網(wǎng)絡(luò)安全保險試點的推動作用，針對工業(yè)互聯(lián)網(wǎng)的漏洞攻擊、基礎(chǔ)電信企業(yè)的數(shù)據(jù)泄露等行業(yè)痛點問題，選擇安全風(fēng)險較高或保險意識較強(qiáng)的企業(yè)開展試點，結(jié)合配套優(yōu)惠政策，在實踐中探索網(wǎng)絡(luò)安全保險業(yè)務(wù)模式。行業(yè)主管部門應(yīng)組織各方專家研討，針對試點建立多元化評價機(jī)制，科學(xué)評價試點成效，總結(jié)試點經(jīng)驗，推動形成網(wǎng)絡(luò)安全保險最佳實踐，并加強(qiáng)示范推廣。

4.2 健全標(biāo)準(zhǔn)體系，指導(dǎo)市場規(guī)范發(fā)展

鼓勵相關(guān)機(jī)構(gòu)及行業(yè)協(xié)會在現(xiàn)有網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)的基礎(chǔ)上，組織制定網(wǎng)絡(luò)安全保險標(biāo)準(zhǔn)及規(guī)范，建立健全網(wǎng)絡(luò)安全保險相關(guān)標(biāo)準(zhǔn)體系。在國家標(biāo)準(zhǔn)方面，相關(guān)機(jī)構(gòu)應(yīng)匯集產(chǎn)學(xué)研各方力量，協(xié)同開展網(wǎng)絡(luò)安全保險相關(guān)標(biāo)準(zhǔn)研究，明確網(wǎng)絡(luò)安全保險專業(yè)術(shù)語的含義，制定本土化保險條款，統(tǒng)一業(yè)務(wù)流程，規(guī)范服務(wù)要求，明確在網(wǎng)絡(luò)安全保險產(chǎn)品設(shè)計、核保評估、風(fēng)險管理、出險理賠等階段中各利益相關(guān)方的職責(zé)定位，以指導(dǎo)網(wǎng)絡(luò)安全保險健康有序發(fā)展。在行業(yè)標(biāo)準(zhǔn)方面，行業(yè)協(xié)會應(yīng)針對行業(yè)差異化的風(fēng)險管理需求，組織開展風(fēng)險場景研究，推動網(wǎng)絡(luò)安全保險在行業(yè)內(nèi)開展試點，并結(jié)合試點經(jīng)驗，在實踐中逐步完善網(wǎng)絡(luò)安全保險行業(yè)標(biāo)準(zhǔn)。

4.3 強(qiáng)化產(chǎn)業(yè)合作，完善產(chǎn)品供給能力

保險公司應(yīng)積極探索網(wǎng)絡(luò)安全保險業(yè)務(wù)，加強(qiáng)不同行業(yè)間的溝通合作，豐富產(chǎn)品種類，提升供給能力。在產(chǎn)品研發(fā)方面，保險公司應(yīng)與電信、金融、醫(yī)療、交通等關(guān)乎國計民生的重點行業(yè)合作，圍繞新技術(shù)、新業(yè)態(tài)、新模式引發(fā)的業(yè)務(wù)風(fēng)險，深入調(diào)研網(wǎng)絡(luò)安全風(fēng)險管理需求，積極探索產(chǎn)品創(chuàng)新，開發(fā)多元化、本土化、差異化網(wǎng)絡(luò)安全保險產(chǎn)品。在技術(shù)能力方面，保險公司應(yīng)加強(qiáng)與網(wǎng)絡(luò)安全公司、保險科技企業(yè)及風(fēng)險數(shù)據(jù)建模公司等專業(yè)技術(shù)機(jī)構(gòu)合作，探索建立數(shù)據(jù)共享機(jī)制，融合保險承保、理賠數(shù)據(jù)與網(wǎng)絡(luò)安全風(fēng)險數(shù)據(jù)，為開發(fā)風(fēng)險量化模型和損失測算模型提供基礎(chǔ)數(shù)據(jù)支撐，助力解決定價難、核保難等問題。

4.4 加大宣傳力度，推動市場需求增長

市場各方應(yīng)共同加強(qiáng)網(wǎng)絡(luò)安全保險的宣傳力度，形成全方位、多層次、多渠道聯(lián)合推廣態(tài)勢，不斷提高企業(yè)的網(wǎng)絡(luò)安全意識及對網(wǎng)絡(luò)安全保險的認(rèn)知水平，著力激發(fā)企業(yè)投保意愿，推動市場需求持續(xù)增長。一方面，充分利用國家安全教育日、全國保險公眾宣傳日、網(wǎng)絡(luò)安全宣傳周等全國性宣傳機(jī)會，開展網(wǎng)絡(luò)安全保險相關(guān)宣傳教育活動，介紹網(wǎng)絡(luò)安全保險的承保范圍、作用意義、應(yīng)用案例等；另一方面，積極組織網(wǎng)絡(luò)安全保險的優(yōu)秀案例征集、最佳實踐評選、產(chǎn)融合作比賽等活動，推廣網(wǎng)絡(luò)安全保險產(chǎn)品；借助網(wǎng)絡(luò)安全行業(yè)及保險行業(yè)的論壇峰會、學(xué)術(shù)會議等平臺，推進(jìn)網(wǎng)絡(luò)安全保險交流研討。

5 結(jié)束語

數(shù)字經(jīng)濟(jì)的迅猛發(fā)展，推動網(wǎng)絡(luò)安全產(chǎn)業(yè)全面發(fā)展。作為產(chǎn)業(yè)生態(tài)鏈中不可或缺的一環(huán)，網(wǎng)絡(luò)安全保險的意義愈發(fā)凸顯。西方發(fā)達(dá)國家網(wǎng)絡(luò)安全保險市場已進(jìn)入快速發(fā)展階段，展現(xiàn)出巨大的市場空間。國內(nèi)網(wǎng)絡(luò)安全保險市場雖然尚處于市場探索期，但已引發(fā)政府部門、研究機(jī)構(gòu)、保險公司、網(wǎng)絡(luò)安全企業(yè)等相關(guān)機(jī)構(gòu)的高度關(guān)注，發(fā)展前景值得期待。