张瑞纲 吴叶莹

（广西大学，广西 南宁 530004）

一、引言

个人信息安全责任保险是指承保个人信息处理者因非法泄露、滥用个人信息或疏于防范导致所控制的个人信息泄露，造成第三人遭受损失的一类责任保险。在信息时代，互联网成为民众生产与生活的第二空间，个人信息在网络上的存储与传输构建出用户的数字化人格，在为民众带来便利的同时，也增大个人信息泄露的风险（陈星，2016）。

现如今，个人信息保护问题随着互联网的发展日益得到重视，根据315 舆情专项报告显示，2018 年信息泄露事件频发，有近50亿条个人信息被泄露，个人信息泄露成为消费者投诉新热点，个人信息上所保有的人格权、隐私权、名誉权能否得到妥善保护日益成为消费者关心的话题。个人信息安全责任保险的设立正是符合这一社会变化发展的需要，能起到帮助企业分散因用户信息泄露导致的风险，给予遭受侵害的消费者及时的补偿，规范市场对于个人信息使用的作用。然而目前大多数个人信息安全责任保险是作为网络安全综合保险的附加险种，难以为企业和消费者提供全面保障，在此背景下，探究个人信息安全风险的特征，研究个人信息安全责任保险制度建立的现状、难点及困境，对于将个人信息安全责任保险从附加险中分离成为独立险种、迎合市场需要、分散企业风险和保障消费者权益有着重要意义。

国内对于个人信息安全责任保险的研究方面。王一飞（2008）以企业级别的局域网为样本，分析个人信息安全保险的核保工作中的重点与难点。王亚肖（2013）探讨企业数据信息面临的威胁，并指出推行个人信息安全保险的可行性与必要性。赵绰翔和李晓翾（2018）指出网络信息保险定价面临两大挑战：第一大挑战是风险的易变性，第二大挑战是风险的相关性。史延涛（2019）阐述网络信息安全保险的概念、市场及作用，分析网络信息安全保险推广的重要性。成燕等（2020）通过构建企业与消费者的博弈模型探究隐私信息保险对消费者和企业的影响后得出结论：隐私信息保险能够提升消费者提供更多信息的意愿。

从国外学者角度看，Lelarge & Bolot（2009）发现网络信息保险是一种强大的激励机制，可促使代理人进行自我保护，故应成为互联网风险管理的重要组成部分。Biener et al.（2015）对网络信息风险的可保性进行分析，发现缺乏数据和信息不对称是承保网络信息风险的重大问题。Maher & Packham（2015）指出互联网的发展使数据信息风险处于一个不断变化的环境中，量身定制的保险产品能更好地为公司防范随之不断变化的风险。Edwards et al.（2016）通过开发贝叶斯广义线性模型以研究数据泄露趋势，得出无论趋势如何，数据泄露的代价都很高，且预计在未来三年内违规可能会导致成本上升至1790 亿美元的结论。Pooser et al.（2018）研究2006 年至2015 年网络数据风险识别的趋势，发现越来越多的公司将网络数据风险识别为重大风险。

综上所述，国内外学者目前的研究主要集中于网络综合保险或网络数据保险发展的重难点、数据信息泄露风险的成本及可保性上，个人信息安全责任保险作为其附带险种加以讨论，鲜少作为单独险种进行研究。网络综合保险或网络数据保险虽然也对个人信息泄露风险起到一定的分散作用，其风险特征及承保运营也有一定的相似性，但是随着时代的发展，仅作为一种附加险种的个人信息安全责任保险显然无法满足企业需求。故对个人信息安全责任保险的风险特点、制度构建进行单独深入研究，有助于社会各方更好地认识个人信息安全风险，对于保险公司丰富保险产品设计、优化个人信息风险承保机制以及完善信息侵权风险管理有着重要作用。

二、个人信息安全风险与其责任保险的概述

（一）个人信息安全风险的概念与特征

2020 年5 月颁布的《民法典》将个人信息定义为以电子形式或以其他形式记录的、能单独或与其他信息结合识别的特定自然人信息，包括姓名、出生日期、电话、身份证件号、生物识别信息、行踪信息等。个人信息安全风险是指个人信息的收集者或处理者无意泄露或非法提供个人信息导致第三方遭受名誉或财产损失的一类风险。在大数据时代，个人信息主要通过互联网承载与传输，因而其安全风险具有其独有的特征：

1.具有厚尾性（Heavy-tailed）特征。随着个人信息数据在互联网上的存储规模不断扩大，数据的攻击面也随之扩大，数据的保护变得更加困难，个人信息泄露的风险也不断上升。泄露的信息被网络罪犯所获取，导致个人隐私受到侵蚀且可能造成特大风险事故。Wheatley et al.（2016）对2000 年至2015 年信息泄露数据进行建模，以此研究个人信息泄露的风险及危害。研究检测到在此期间信息泄露的最大规模约为2亿，且预计在未来5年内增长50%，尾部风险发生的概率呈现幂函数递减形态，即特大风险发生的概率不是充分小的，一旦发生可能会造成严重损失，个人信息安全风险呈现明显的厚尾性特征。

2.具有隐蔽性特征。《民法典》中规定个人信息处理程序包括个人信息的收集、存储、使用、加工、传输、提供、公开等过程。这一信息处理程序最主要通过互联网完成，互联网技术的更迭以及时代的需要使个人信息在日常生活中被广泛传输使用。根据第46 次《中国互联网络统计报告》显示，截至2020 年6 月，我国在线医疗用户规模达到2.76亿人，网上外卖用户规模达到4.09 亿人，网络购物用户规模达到7.49 亿人，在线政务用户规模达到7.73 亿人。互联网的广泛运用增加了个人信息泄露的渠道且个人信息数据实际泄露与用户知晓其信息泄露有一定的时间间隔，这使得用户往往很难追溯信息泄露的真正源头。

3.具有规模性及损害性特征。信息数据是批量存储与使用的，因此若发生数据泄露则往往是大范围、大批量泄露，涉及用户数目众多，波及范围广，造成严重财产损失。根据2018 年波耐蒙研究所（Ponemon）调查全球477个企业和组织得出的数据泄露成本分析报告显示：数据泄露的平均成本从2017年的362万美元上升到2018年的386万美元，平均每条失窃记录的成本从2017 的141 美元上升为148 美元。此外，事件应急响应团队能够挽回的成本约为平均每条记录14美元。数据泄露损失最大的行业为医疗行业和金融行业，平均成本分别为408 美元和206美元（图1）。造成这一现象的原因，一方面是由于医疗及金融行业的数据涉及较多隐私及资产信息；另一方面这两个行业数据共享的需求更加明显，数据集中，所以这也意味着数据越集中，泄露情况也更加严重。

图1 2018年各行业信息泄露平均成本（单位：美元）

（二）个人信息安全责任保险的概述

1.发展历程。相比于欧美发达国家，我国的个人信息安全责任保险起步较晚，还在构建之中，目前较多以网络综合保险的附加险出现。我国第一个与个人信息安全有关的责任保险是2013年苏黎世保险公司在我国推出的“安全与隐私保护险”，该保险在推行之初仅有8项保障内容，主要承保因企业计算机系统遭受攻击所导致的客户个人信息、雇员信息、公司内部信息泄露造成的财产损失，企业董事或高级管理人员因故意或疏忽导致客户或企业信息泄露也可以得到赔偿。继“安全与隐私保护险”之后，2015年10月，中国人保财险公司与韩国三星火灾公司联合开发“个人信息泄露赔偿责任保险”，承保企业由于遭受网络黑客攻击等原因，造成所管理的客户信息泄露，引发相关赔偿责任。此后，针对信息泄露的问题，各大保险公司陆续推出相关保险，主要险种包括业务中断和数据资产保护责任险、网络诈骗责任险等（陈伟等，2016），见表1。如安心财产有限责任公司推出的“网络支付安全险”承保因支付账户密码被他人盗取造成的资金财产损失，众安保险公司推出的“数据安全险”主要承保企业云服务器上数据信息的泄露造成的经济损失（王天凡，2018）。

表1 典型与个人信息安全责任保险相关的保险

2.相关法律政策。2009年2月，全国人大常务委员会公布实施《刑法修正案（七）》，首次将个人信息作为法律概念加以确定，增加“出售、非法提供公民个人信息罪”；2012年12月，全国人大常务委员会发布《关于加强网络信息保护的决定》，规定互联网服务的提供者不得非法向他人泄露、出售或提供在业务活动中收集到的用户个人信息，在法律层面构建我国个人电子信息保护的基本规范；2019 年5 月，全国人民代表大会表决通过《中华人民共和国民法典》，规定信息处理者不得泄露、提供或篡改其收集、存储的个人信息，为我国《个人信息保护法案》的拟定奠定基础；2020年10月，《个人信息保护法（草案）》的议案正式提出，规定严重侵害个人信息权益者处以5000万元以下或者上一年度营业额5%以下罚款，处罚力度超过对个人信息保护最严格的欧盟。由此可见，我国公民个人信息权立法进程正在步步推进，为个人信息安全责任保险制度建立提供指引，但对于处罚定责方面的规定仍然有待完善。

3.个人信息安全责任保险制度构建设想。本文从承保主体、保障范围、保险金给付、保险赔付金额等四个方面对个人信息安全责任保险制度的构建提出设想。

（1）承保主体。企业投保个人信息安全责任保险的主要目的是转移企业的责任风险，在实务操作中，有能力收集使用用户个人信息的主体多为企业法人，存在责任风险的也为企业法人，而企业法人多是通过董事、监事及其他高级管理人员等自然人实际执行企业事务，即企业董事、监事及其高级管理人员的行为操作能够代表企业法人行为，应纳入被保险人范围内（刘俊海，2015）；企业中的员工因受雇于企业而拥有对用户信息的控制与使用权，其行为虽不能代表企业法人，但由于雇佣关系的存在，受控于雇佣企业，根据《侵权责任法》规定，雇员责任由雇主承担，故企业雇员也应为被保险人（张民安，2009）；企业若将用户个人信息数据委托交予外部第三方机构使用处理，受托方机构造成用户个人信息泄露而引起用户要求侵权损害赔偿的，基于民法上的委托关系，委托者应承担赔偿责任，故企业外部的受托机构同样也为被保险人。

实务操作中的信息使用者与收集者除企业以外，还包括政府机关及各类事业单位，比如学校、医院等。2019 年11 月18 日，山东聊城政府门户网站公布了266名执法人员名录库，公布的名录库中除了披露执法人员姓名、性别、执法证件号等基本信息外，还披露了执法人员的完整身份证号码，引起网友的广泛讨论。根据我国《政府信息公开条例》第十五条规定，“涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息，行政机关不得公开”，可知若政府机关造成个人信息的泄露也很难逃脱当事人及民众的拷问质疑。医院也是信息泄露的重灾区，比如新冠肺炎疫情期间出入青岛市胶州中心医院的6000余人的住址、电话、身份证号被工作人员泄露，给当事人造成严重困扰。不论是政府机关或是事业单位，均是通过聘用员工履行职责，所以对于政府机关或事业单位而言，其保险主体仍然是其员工，且临时员工也应纳入承保主体中。除此之外还可以采取集体保险的方式，以员工职位、身份等作为识别依据，在风险事故发生时再确定具体的被保险人。

（2）保障范围。个人信息责任保险主要承保的应是企业有意识或无意识侵害公民个人信息权利造成的损失。侵害公民个人信息权利的加害行为包括作为与不作为，作为是指信息占有者非法提供、出售、获取、滥用个人信息等（杨立新，2013）。非法滥用个人信息近年来成为个人信息侵权的重灾区，有关部门对此的监管也越发严格。2020 年11 月18 日网信办点名35 款滥用公民个人信息的APP 并要求整改，同年11 月26 日电信终端产业协会官网即宣布《APP 收集使用个人信息最小必要评估规范总则》开始实施，规定APP 进行个人信息处理时应遵循“最小、必要”原则，故滥用公民个人信息应纳入个人信息安全责任保险的保障范围。不作为则是指未尽个人信息保护义务造成公民个人信息丢失等。依据《网络安全法》的规定，个人信息的运营者对个人信息负有应尽保护义务以及应采取必要的防范措施，若违反个人信息保护义务则应当承担相应法律责任。个人信息遭受损失的具体表现在于，因个人信息被非法泄露造成的财产损失以及精神损害。过错的归责应以信息控制者在处理信息时是否符合相关规定以及是否履行必要信息保护义务为标准。事故发生的认定时间应为被保险人违反个人信息保护相关法律法规，导致第三人个人信息权、财产权、名誉权遭受非法侵害，第三人依法向被保险人请求损害赔偿（蔡大顺，2019）。

（3）保险金给付。个人信息安全责任保险不同于汽车第三者责任险，在事故发生时即能确定受害第三方，并即刻办理定损理赔，个人信息安全责任保险所触及风险具有一定的长尾性，从个人信息实际泄露到信息主体知晓个人信息被泄露，再到信息主体对于信息泄露做出反应有着较长的时间间隔，在此期间信息泄露规模可能不断扩张，受害人陆续出现，导致在保单存续期内受害者并未主张损害赔偿，保单期满后受害人提出索赔主张的情况，不利于保险人进行财务估算。为避免此类情况的发生，个人信息安全责任保险的保险金给付应采用索赔发生制而不是事故发生制（褚悦，2019）。

采用索赔发生制可能带来的一个问题是道德风险问题，即投保人将投保前所造成的侵权损害以受害方在保单期内提出索赔为依据要求保险公司进行赔付。为防范这一问题，保险金的给付还应配合约定追诉期制度，规定保险人只需对投保人在特定日期发生的特定事故所造成的损失进行赔付（罗向明，2005）。但由于个人信息安全风险具有隐蔽性特征，个人信息安全责任保险还应提供延长报案期的保障，即若风险事故发生在保单存续期内，即使被保险人未在保险期间向保险公司提起索赔，只要其在约定的延长报案期内向保险公司提出索赔申请，保险公司也应对保险事故进行赔付。

（4）保险赔付金额。个人信息安全责任保险的赔付应以企业对用户信息的不当处置给用户带来物质财产损失与精神损害为计算基础。物质财产损失赔付方面，由于个人信息风险带有一定的隐蔽性，对于事故因果关系认定上存在一定的困难，所以在证明保险责任上应采用与环境污染纠纷案件相同的举证责任倒置原则，由侵权企业对于法律规定的不承担侵权责任或只承担部分责任的情形及其损害之间不存在因果关系进行举证；精神损害赔偿方面，根据《侵权责任法》第22条规定：侵害他人人身权益造成严重精神损害者，被侵权人可以要求其赔偿精神损害。目前司法案例对于精神损害赔付的认定标准不一，对于实际造成的精神损害难以量化，要进行科学合理的赔付有一定的难度，国内学者曾针对这一问题提出可以采取法定赔偿和定额赔偿相结合的方式进行精神损害赔偿，即对于一次特定的侵权行为提出具体的赔偿金额，并根据受害人实际损失或侵权人实际获利进行赔偿。在个人信息安全责任保险探索阶段的初期，还可以借鉴美国对精神损害进行赔付并设置赔付上限的做法。

三、阻碍我国个人信息安全责任保险制度发展的因素

（一）与个人信息安全相关的法律制度及配套设施不完善

我国目前正处于数字化和信息化高速发展的时期，出于社会管理及社会建设的角度，政府公共部门及非公共部门收集个人信息已成常态，社交平台、娱乐平台、餐饮平台等与日常生活有关的平台收集处理个人信息的现象也日益普遍。如前文所述，我国与个人信息安全相关的法律处于推进中，然而从目前情况来看，尚存在以下不完善的地方：一是我国目前涉及的个人信息法律法规过于庞杂，缺乏统领性法律法规，导致现行法律法规缺乏协调性，使公民个人信息无法得到有效保护。二是我国宪法和法律中关于个人信息的保护规定条款过于宽泛，缺乏可操作性。比如2009 年颁布的《刑法修正案（七）》虽然新增了“出售、非法提供公民个人信息罪”，且规定对情节严重的处以有期徒刑或拘役，但对于“情节严重”并未做出具体描述，使得在实际操作中难以定责。三是我国目前的法律法规大部分都属于事后救济规范，未能达到事前监督的目的，且针对信息安全的监督管理部门以及执法部门并未有明确指定。目前信息泄露最主要的途径是互联网，然而互联网监管部门推行的信息保护规章制度法律层次较低，未能达到遏制平台滥用、泄露个人信息的违法行为，使企业懈于保护用户信息，提高了保险公司承保成本。

（二）保险公司承保存在技术障碍

保险公司在对个人信息安全风险进行承保时面临许多挑战。个人信息安全风险所具有的隐蔽性加大了保险公司在进行风险归责时的难度，一个用户面临的是非单一的信息控制者与使用者，造成事故因果关系认定存在举证困难。个人信息安全风险的另一特性——厚尾性，使其更类似于巨灾保险所面临的风险，特大风险发生的机会不是无限小，一旦遭受损失会波及诸多行业。另外，当风险事故发生时，企业为维护声誉避免对企业产生进一步的不利影响，往往会对真实数据加以隐瞒或避而不谈，不利于保险公司对于基础精算数据的收集。不仅如此，物联网的发展加快风险的动态变化，导致原有的精算数据模型不具有稳定性，需要保险公司及时捕捉最新数据信息并及时更新风险量化技术，而现阶段个人信息安全保险市场并不成熟，这也加大数据收集的难度，缺乏数据的问题可能会使得风险承保陷入恶性循环的困境之中（见图2）。

图2 保险公司数据缺乏的循环困境

（三）缺乏复合型人才

个人信息安全保险作为一种新兴保险，在展业过程中需要掌握各类专业技能的人员参与加入。由于物联网的发展加快风险的变化，所以要求进行数据建模及预测的技术人员具有较高的精算水平，还要精通某一方面的网络信息技术知识，而目前各行业培养的人才多具有单一性，“互联网+保险精算”方面的人才稀缺，在这一新兴领域上学术方面的探究仍处于早期，人才培养方面仍比较落后。除此之外，个人信息安全保险作为一种新的保险，还有许多需要探索的地方，保险公司可以通过了解客户需求对保险进行改进完善。与客户产生直接接触且联系较为密切的人员是保险公司的销售人员，而现行销售人员的培养重点主要在于销售，对于客户需求方面往往疏于关注，这也是人才培养落后的方面。在发生风险事故后，保险公司需要与投保企业、专业的律师团队以及第三方被侵权者进行及时对接、协调与沟通，确保经营的稳定性，因此保险行业还亟须精通法律与保险且善于沟通的人才。

（四）企业缺乏足够的重视

根据中国消费者协会公布的2018年APP个人信息泄露情况调查报告显示，2018 年我国的信息泄露情况非常严重，超8 成受访者曾遭遇过信息泄露，信息泄露的表现形式多种多样，主要途径：一是未经本人同意收集个人信息，约占总样本的62.2%；二是经营者或不法分子故意泄露、出售或者非法向他人提供个人信息，约占调查总样本的60.6%；三是网络服务系统存在漏洞造成个人信息泄露，约占总样本的57.4%；还有不法分子通过木马病毒、钓鱼网站等手段盗取、骗取个人信息和经营者收集不必要的个人信息分别占34.4%和26.2%。在信息泄露以后，消费者最担心被利用从事诈骗或窃取活动，其次是贩卖或交换给第三方。值得注意的是，消费者对于个人隐私的重视逐渐加强，在个人信息遭受泄露后，会采取多种措施维护自身权益，如向消费者协会和有关行政部门投诉，甚至向法院起诉等（图3），超过6成的消费者表示会在使用企业提供服务时通过少填信息来保护个人信息的安全。消费者对于个人信息的注重意识及维权意识的变化将会对企业经营成本产生一定的影响，然而就目前企业投保情况来看，企业对于个人信息安全风险的认知情况是有一定缺失的。

图3 2018年消费者遭遇信息泄露后采取手段

（五）产品设计过于单一

我国目前的个人信息安全责任保险类型比较单一，且多与网络责任保险相关，对于该保险的开发缺乏系统性的研究，市面上为数不多的与个人信息有关的保险也仅提供保险承保服务，对于事前预防风险以及事后应急处理方面没有相应完善配套服务。根据植德律所对2015 年5 月1 日至2018 年3 月1 日涉及“个人信息”相关的146起民事案例的归类整理可知，我国个人信息纠纷案的争议环节如表2所示，目前对于企业而言，市面上可购买的保险产品并不能提供很好的事前预防或分散争议环节存在的风险。

表2 2015年5月至2018年3月我国个人信息纠纷案争议环节

四、国外个人信息安全责任保险发展的经验启示

（一）美国个人信息安全责任保险制度

美国的个人信息安全责任保险的发展在世界处于领先地位，这与美国各州政府对于公民个人信息的重视程度分不开。自2002 年起，美国各个州陆续通过针对用户个人可识别信息泄露规定的《违反安全通知法案》，该法案明确要求当个人信息的控制者或使用者在发生个人信息数据泄露时应及时履行告知义务并立即采取相应的措施补救因信息泄露造成的损害，且不同州对于信息泄露均规定金额大小不一的罚金。2003 年美国国际集团（AIG）保险公司推出涵盖个人信息安全保险的网络保险（CyberEdge），承保由于黑客入侵导致数据的泄露，造成受害人的直接损失以及由于数据遭到入侵所造成的营业收入损失等。在法案的规范以及雅虎、亚马孙等网络巨头相继发生客户信息泄露事件使得该保险业务量暴增。美国还自1997 年起成立保险全信托咨询管理公司（Insuretrust），专门针对因互联网技术导致客户信息泄露给企业带来的经济、声誉损失量身定制保险。除此之外，2013 年时任美国总统的奥巴马签署有关互联网系统遭受黑客攻击时呼吁私营企业分享信息的协议，并公布相应激励措施，2015 年，美国通过《网络安全信息共享法案》，目的是加快互联网系统遭到黑客攻击时的情报交换，以防范数据信息泄露。在法律的推进以及总统的带头呼吁下，美国企业面临更严格的数据信息管控以及承担更明确的信息安全保障义务，因而增强了对个人信息安全保险的购买意愿。

（二）德国个人信息安全责任保险制度

早在1970 年，德国就通过了世界上最早的公民个人信息保护法——《德国联邦数据保护法》。《德国联邦数据保护法》规定，若存在多名数据控制使用者，但无法证明实际加害人的情况下，每一名信息控制者或使用者或其法人均应承担相应责任，且会根据企业的违法行为以及程度，视情况给予企业经济及刑事上的处罚，若存在严重违法行为，所缴纳罚款可能会导致企业破产。德国还设有数据保护专员制度，规定数据保护专员履行职责只受到法律监督以确保其保护公民个人信息时的独立性。在德国严格的法律下，德国有关个人信息保护的保险得到一定程度的发展，2013年安联保险公司开始推出承保因互联网络问题导致个人信息泄露的网络保险（Cyber Protect），但是直到2014 年，整个德国仅有12 家公司提供相关的保险，而此时电子信息网络迅速发展，相比之下，德国的保险市场产品供给明显不足。根据2017年美国保险集团（Hiscox）委托的一份研究表明，德国企业中45%担心数据信息泄露，40%担心信息的安全以及28%出于客户的担心而有购买保险的需求，这再次刺激了保险市场的发展。比如加密安全初创公司（Curv Inc）2019 年就宣布，德国保险公司慕尼黑再保险集团（Munich Re Group）已经与其合作，为Curv 的客户价值高达5000 万美元的数字资产提供保险服务，Curv是一家提供基于云数字资产管理（包括区块链基础设施的设置、管理和维护）服务的公司，该保险主要针对Curv或其员工的外部网络泄露或其他信息恶意行为。

（三）印度个人信息安全责任保险制度

在印度，由于网络上盗窃资料的犯罪案件逐渐增多，引起民众的密切关注，所以与个人信息安全有关的责任保险成为保险市场的新宠，对此类保险的需求量增加30%以上。印度的个人信息责任保险通常作为专业责任保险的附加保险，主要涉及违反保密协议，忽略计算机病毒导致误传、泄露信息等相关风险而引起的第三方索赔。印度的保险公司在致力于开拓市场的同时，也对该类风险着重采取相关措施，防止此类风险事故的发生。根据印度工业信贷伦巴德一般保险公司调查结果显示，目前对于该类保险需求较大的主要有互联网、银行业、保险业和医疗、教育等行业。收取的保费约是每投保100万美元收取0.5万美元到1.5万美元。印度保险公司将主管或高级管理人员因疏忽造成损失或造成索赔列入保单范围内，但若投保公司未能维持一个安全的计算机等级，则所导致的损失将被排除在外。除此之外，印度保险公司还致力于开发承保互联网上的故意或非故意传送病毒导致的信息泄露损失的保险，并预计该保险会增加10%或20%的保费。

五、个人信息安全责任保险发展的制度建议

（一）完善法律法规建设，强化相关部门监督管理

我国个人信息安全保险相关法律法规建设方面，应逐步健全个人安全保险法律体系，修订完善已有的法律法规，例如扩大《刑法修正案（七）》中“出售、非法提供公民个人信息罪”中认定的犯罪主体范围，对“情节严重者处以有期徒刑或拘役”增加具体可操作性规范。对于新修订的或正在修订的法律法规，要注意与已有的法律法规相互协调，将事前预防与事后救济相结合，以规范对于公民个人信息的管理，全面有效保护公民个人信息。在监管体系建设方面，由于信息泄露的影响范围比较广，波及范围可能跨越不同区域，监管监督需要一定的技术性和专业性，因此应该设立专门的独立信息监督管理部门，承担监督指导信息合理合规使用的工作，并对信息泄露投诉问题进行专门的调查、协调与受理，为信息主体提供司法救济与指导，收集信息泄露有关数据进行公示，并协助保险公司及其他有关部门工作，还应设立专门的公估定损部门，对于信息泄露造成的损失予以定损，推动个人信息安全保护工作的进展。

（二）搭建共享数据平台，引入再保险机制

保险的工作是围绕损失预测展开的，要对损失进行科学合理的预测就需要尽可能收集到宽泛的数据，若缺乏数据基础就可能导致建模不准确、保险定价不合理等问题。许多国家已经建立信息共享机制，比如美国建立信息共享分析中心，并通过立法加以保护，英国建立网络信息安全共享站，以共享网络威胁信息。借鉴以上发达国家的经验，我国在建立个人信息安全责任保险制度的初级阶段，可以采取搭建数据共享平台，收集信息泄露的渠道途径、相关数据、理赔案例进行数据共享，逐步建立起信息安全数据库，制定差异化定价策略，使保费金额与理赔历史、企业自身对数据信息的保护相关联，实现企业利益、消费者利益、保险利益相均衡。由于个人信息安全风险类似于巨灾风险，一旦发生风险事故将会造成巨额损失，这就需要保险公司具备较高的偿付能力，为了对尽可能多的企业进行承保，获取更多数据，用大数法则将风险进行分散，可以引入再保险机制，由保险机构与再保险机构共同进行建设模型、精算费率、分散风险，促进个人信息安全责任保险的发展。

（三）提高技术人员水平，培养引进复合型人才

保险产品开发的突破在一定程度上依赖于保险从业人员的技术水平，人才培养对于保险公司的发展至关重要。保险公司应该定期组织保险从业人员进行多样化长期培训，聘请高校教师开展专题讲座，充分捕捉行业动态，实时更新培训内容，逐步建立健全组织培训体系，保障培训有效进行，以培养出一批适应市场变化、发现问题并解决问题、具有专业技术手段、服务态度良好的从业人员，开拓市场空间。与此同时，应充分吸收不同学科、不同领域的优秀人才，在网络时代，互联网成为信息传播的重要渠道，所以互联网方面的人才对于发展个人信息安全责任保险发展尤为重要，保险公司应广泛引进培养“互联网+保险”的复合型人才，提高对于数据信息的敏感度、精算模型的精确度，还可以引进国外先进人才，借鉴吸收国外发展个人信息安全责任保险的经验，结合我国实际情况，为个人信息安全责任保险市场提供专业化的一流服务。

（四）加强信息安全宣传，推广强制性保险

强制性保险是国家出于维护公众利益及社会安全稳定的角度干涉个人意愿，强制要求参保的保险，保险的参保人员、参保范围以及赔付标准由法律法规作出明确规定。《国家网络空间安全战略》指出，没有信息化就没有现代化，没有网络安全就没有国家安全。信息安全从某一程度来说是一件关乎公众利益的事情，信息化时代为公民提供便利的同时也加快公民个人信息的传播速度。普通企业、医院、学校、政府部门、国家机关都存储着直接涉及我国公民隐私的信息，若将这些信息随意使用传播，将是危害我国国防安全与政治安全的大事，对国家而言是难以估量的损失。对于一些企业而言，无意而为的信息泄露所造成的巨大损失后果是难以独自承担的，可能会导致企业破产清算，对我国经济产生影响，因此引进强制性个人信息安全责任保险，一方面有利于对个人信息使用与赔付进行科学合理的规划，另一方面也达到分担损失、引起社会各界重视的目的。在推行个人信息安全强制性保险之前，有关部门还应加大对个人信息安全的教育宣传工作，提高公民对信息安全的重视与认知，为推广个人信息安全责任保险做好铺垫。

（五）丰富产品配套设计，促进条款标准化发展

保险公司应从现有个人信息安全纠纷案中充分挖掘可承保部分，进行风险预测与精算，丰富产品设计，还应该完善保险配套相关服务，形成“事前安全防范+事中日常服务+事后赔付+应急响应服务”的风险防控管理工作的闭环，事前安全防范工作应包括给企业进行安全教育培训，对企业进行风险定级，根据所定级别收取保费；事中日常服务工作应为企业提供相应的法律咨询服务，引导企业规范行为；事后应急响应服务工作应为企业预先垫付赔偿金、律师费用等，与企业共同进行风险管理。针对目前保险费率偏高问题，我国可以借鉴发达国家的经验，以英美为例，英美在个人信息安全责任保险发展之初也同样面临着参保人群较少、保费居高不下的情况，但是伴随着相关法律逐渐完善增加，侵权判例相继涌现，保险公司获得更多准确信息，能够对风险进行更准确的评估与预测，统一保险风险评估、保险金额、赔偿金额的业界标准，保险合同条款逐渐向标准化方向发展，既提高赔付效率，减少纷争，增进客户对于风险的认识，也有利于市场竞争，推动个人信息安全责任保险又好又快发展。