张铭心 复旦大学发展研究院

当前我国的数字经济正在经历从第一阶段向第二阶段快速过渡的时期。所谓第一阶段数字经济，主要是指信息产业等直接跟信息技术相关的经济活动；第二阶段数字经济则是传统经济活动在网络空间的扩展，也就是传统经济的数字化。在第二阶段，经济活动越来越多地将在网络空间展开，也就难以避免地在网络空间中遇到风险，其应对措施一方面是通过技术和制度的手段去阻断网络攻击和风险，另一方面则是将现实空间中形成的保险机制应用到网络空间中。网络安全保险的诞生是数字经济发展的必然产物。在数据已成为关键生产要素和重要战略资源、成为创造价值的核心资产的数字经济时代，网络和数据安全不仅关系到公民切身利益，而且涉及保护数字经济发展的关键生产要素。习近平总书记在关于“不断做强做优做大我国数字经济”的论述中强调，要完善数字经济治理体系，尤其是要完善国家安全制度体系，重点加强数字经济安全风险预警、防控机制和能力建设。因此，要着重发挥网络安全保险在保障数字经济安全的独特作用，有效应对网络安全保险发展面临的挑战。

一、网络安全保险发展面临的挑战

网络与数据安全保险并不是一个新概念，国外设立相关险种已经有20多年的历史，它通常涵盖了企业因涉及客户敏感信息的数据泄露而承担的责任。近年来，受互联网的迅速普及、信息安全相关法律制度的不断完善和日益严峻的网络攻击态势等因素驱动，全球网络安全保险市场迅速发展。据测算，2020年全球网络安全保险市场规模高达78亿美元，预计未来5年将维持20%以上的增速。美国作为全球最大的网络安全保险市场，目前已有577家保险公司披露其网络安全保险业务，保费规模达31.5亿美元，其中独立保单的保费规模年均增长率超过10%。随着我国加速进入5G时代，网络风险及其安全问题日益严重（唐金成、刘榕，2021）。我国网络安全保险尽管起步较晚，先后出现了保障网络金融账户安全、虚拟财产安全、移动支付安全、云服务安全等侧重特定风险类型或保险标的的产品，但仍存在责任覆盖狭窄、产品种类缺乏、条款表述冗杂、风险控制不足等问题。总的来说，作为经济活动向网络空间拓展的重要部分，网络安全保险亦需要考虑数字经济的特殊性，直面多重挑战。

（一）覆盖范围和条款缺乏明确性和统一性

欧洲保险与职业养老金协会（European Insurance and Occupational Pensions Authority,EIOPA）在2018年对瑞士、法国、意大利、德国和英国的13家保险公司（根据网络保险的专业知识和风险敞口选择的8家保险公司和5家再保险公司）就网络安全保险进行了调研。针对关于网安保险市场的主要担忧这一开放性问题，责任覆盖范围和条款不明确成为被调查者认同的最主要的担忧；与之相关联的，承销商和经纪人对风险缺乏了解则成为排名第二的担忧。

网安保险的这种不明确性主要来源于两方面：

一是与传统险种保单存在一定冲突。首先，网安保险可能在其他各种保险项目中投保，包括财产保险、各种责任保险、绑架和赎金保险等。事实上，财产险和责任险保单很可能包含网络事故造成的损失的除外责任，尽管这些除外责任的适用范围存在不确定性。其次，在商业财产险保单中，数据通常不被视为可保的有形财产，这一点在许多保单中通过强调电子数据背书得到了印证，而财产险保单中营业中断损失的承保范围取决于该保单承保的有形财产发生损失的情况。

二是作为独立险种，其在覆盖范围、除外责任和条件上存在显著差异。数字经济和相关政策变化非常迅速，这阻碍了网络安全保险标准化语言的出现，保险范围的差异很大程度上源于定义、条件和除外条款的差异，保险人通常使用不同的术语来描述相似的承保损失或事故或适用条件。比如，澳大利亚市场上出现的三种不同的保单在描述涉及个人信息的保密性数据泄露造成的常见损失的保险范围时存在很大差异，数据、软件和硬件恢复成本被分别描述成“数字资产替换和改进成本”“管理成本”和“数据恢复成本”。

（二）对网络风险的深入理解是一个核心挑战

▶图1 市场担忧

▶图2 商业保险经纪人对网络安全保险责任范围的看法

不仅是从行业角度出发，即使是从客户的角度来看，深入了解网络风险也存在同样的挑战。发达国家网安保险市场的经验显示，许多客户不了解产品或他们自己的需求，尤其是中小型公司。由于网安保险对绝大多数保险机构来说是一项新的业务，并且保险公司有意愿快速扩展这项业务，因此对人才的需求预计将显著增长，这为市场带来新的专业知识和人才需求的增长。美国保险代理人和经纪人委员会在对商业保险经纪人的定期调查中发现，70%左右的经纪人认为网络安全保险保单中的覆盖范围和除外责任不够明确（见图2）。在英国，2018年接受调查的经纪人中有31%表示，他们对网安保险和网络风险的了解很少。在2018年发布的一项针对北美（以及一些国际）保险商和经纪人的调查中，56%的受访者表示，对承保范围的了解不足是网安保险业务发展的最大障碍。

考虑到数字经济快速发展的性质，网络安全风险在某种程度上是一种具有新的复杂性的风险，而这种复杂性本身尚未得到充分理解。比如，我们缺乏足够的历史数据和对重大潜在事件的系统性风险的清晰认知。缺乏足够历史数据是详细了解网络风险基本方面的主要障碍。在可用性数据有限的情况下，建立足够的模型以确保风险管理的准确性是一项挑战。尤其对于再保险公司来说，这代表着巨大的承保风险。而从另一个角度来说，缺乏适当的网络安全风险的再保险覆盖又是保险公司的主要担忧。两个互为因果的困难成了网络安全保险发展的障碍。重大潜在事件的系统性和相关性是另一个重要外部挑战，这使得我们很难理解整个市场的规模和累积风险。从保险的角度来看，或有业务中断的处理和潜在的风险聚合是一个很值得关注的问题。网络攻击相关性的增加以及IT服务（例如云服务）的单一化，将使市场很难正确量化从而难以对这种风险提供保障。其主要担忧在于由市场标准、累积风险控制和评估工具而导致的累积风险估值错误。

总体来看，网络安全保险发展的核心挑战是对网络安全风险缺乏足够认知。这种核心挑战来源于内外两方面因素，内因包括缺少足够历史数据和网络风险事件的系统性认知，外因包括风险信息不足和缺少专业的承保人（尤其是再保人）。而这些不足可能形成的后果包括：责任范围和条款不统一、难以准确量化风险、定价过低、缺乏足够的再保险覆盖、不恰当的沉默风险表述等。

二、监管介入网络安全的影响

鉴于以上网络安全保险发展所面临的特殊挑战，政府和监管在网络风险和网络安全保险上的作用逐渐被行业所重视。关于网络信息安全保险的监管和政府介入的意义方面的研究，学者从不同角度做了阐释。Woods and Simpson（2017）分析了政府给予企业在网络信息安全领域的补贴和保险费的税收抵扣问题。Lemnitzer（2021）则指出政府还必须建立支持机制以解决总体风险，并确保网络病毒和赔付数据库的建立。结合“十四五”纲要与数字经济生态的发展，唐金成和莫赐聪（2022）针对网络信息安全险，分别从风险的识别、评估和监管的角度探讨如何构建网络信息安全保险的风险管理体系。

事实上，政府和监管介入网络安全保险的意义包括以下几方面内容：第一，发达国家的保险人普遍认为，监管措施应直接有助于提高对风险的理解水平，以应对网安保险发展的核心挑战。比如在Solvency II中引入网安保险新业务线代码，这将有助于对网络安全保险提供更多的见解。第二，确保对风险（尤其是风险聚合和系统性风险）进行适当的定价和监控。第三，强调监管应允许共享数据，允许不同行业的公司共享共同利益和信息，建立一个匿名、集中的系统，以实现信息共享，应对网络威胁。第四，发挥政府在协调各国潜在监管框架方面的作用。然而，政府和监管介入的直接、具体的影响可能还需要从以下几点去考量。

（一）提高条款的一致性水平与降低产品创新性

从全球案例来看，几乎所有（再）保险承保人和中介机构都表示，近年来网安保险保单中提供的术语、保险条款和条件的一致性水平显著提高。尤其是新设立的和小规模保险公司，其网安保险保单主要按照中介机构、其他保险公司或再保险公司的保单制定，这对减少保单语言的差异产生了积极影响。在美国，保险服务办公室（ISO）为中小企业开发了标准化网安保险保单表格，为大型商业实体开发了基于菜单的保单表格，该表格至少在美国42个州已批准使用。德国保险协会（GDV）为中小险企制定了标准的网安保险保单表格，据统计，约50%的保险公司使用了该表格。

大多数市场参与者意识到有必要提高术语的一致性，不过也担心标准化可能会扼杀创新。数字经济的日新月异随时可能产生新的投保人需求或出现新的风险，这需要不断创新保险责任范围、条件和除外责任等。

（二）政府网络安全事故罚款的可保性与负外部性

美国市场上的保险公司和再保险公司针对不同州的网络安全事故罚款情况作了不同的罚款可保性规定，这为每个州的网安保险投保提供了明确指引。但是在其他国家，这个问题就变得很复杂。比如，欧盟的《通用数据保护条例（GDPR）》就没有明确说明罚款是否可以投保，欧盟国家隐私监管机构也没有提供任何明确信息。类似的困惑也出现在很多亚洲国家。总的来说，由于许多司法管辖区刚刚开始对违反隐私条例的行为处以罚款，而罚款往往只占应对违反隐私条例行为的总成本的一小部分，因此，保险机构对罚款和处罚的索赔经验有限，尤其是在美国以外的地方。保险监管机构可以通过明确这类损失在其管辖范围内是否可投保，以及鼓励保险公司在其保单中反映罚款可保性的立场，来给予投保人更明确的投保信息。

▶表1 网安事故罚款的承保情况

然而对网络安全事故罚款承保的限制对网络安全保险的需求已产生一定影响，也降低了负外部性的溢出。一项针对保险买家的调查发现，绝大多数投保人（71%）希望投保罚款和罚金保险，而且事实上购买网络安全保险的一个明确动机（35%）就是用来支付可能产生的罚款。而这很可能减少保险公司支持和建议投保人遵守隐私和网络安全法规的动机，同时降低投保人主动增加安全防护措施和提高数据隐私合规性的动力。这就需要配套监管措施的强制执行，比如数据隐私合规检查和最低安全水平的设置等。当然，根据OECD对澳大利亚、加拿大、日本、荷兰、英国、美国和在地区范围内提供网络安全保险服务的35份保单的统计发现，目前市场上绝大多数网安保险保单包含了一定的罚款和处罚赔付责任（见表1）。

（三）网络勒索损失的可保性与政府态度

网络勒索攻击可能会导致大量损失，包括业务中断（勒索妨碍对运营所需数据的访问）、危机管理成本、数据和硬件恢复及可能的赎金支付。OECD的统计发现，几乎所有国家的绝大多数网络安全保险为网络勒索造成的费用提供了一定的保险覆盖（见表2）。而网络勒索风险能否承保主要取决于政府对网络勒索支付赎金的态度，反对支付赎金的国家主要是为了避免助长敲诈勒索行为。而（再）保险公司可能希望承保赎金风险的原因在于，支付赎金可以避免代价高昂的业务中断和数据恢复索赔。据统计，业务中断和数据恢复索赔通常可达赎金的23倍。但其实（再）保险公司承保赎金损失，也是一项有明显负外部性的行为。一方面，一份公开的网络安全保险投保人名单可能反而导致这些投保人更多地成为攻击目标（Dudley，2019）；另一方面，无法保证被害人支付了赎金后敲诈勒索者就会恢复被害人的访问权限。而如果有健全的主动防护和备份程序，网络勒索损失是可以避免的。当然，也不得不考虑对赎金支付可保性的限制是否会对中小企业产生较大不利影响，因为中小企业显然也是勒索病毒攻击的目标，但它们可能没有足够资源来投资与主动建立防护系统并进行必要的备份。

▶表2 网络勒索损失保险

三、总结与建议

通过以上梳理，本文认为，首先，有必要对网络安全风险进行更深入的研究，扩大认知，这不仅与评估和处理新网络安全事件中的风险有关，还与客户加深对网络安全风险的了解有关。其次，目前网安保险的覆盖范围主要集中在商业业务上，但随着物联网（IoT）等技术的发展，消费者越来越容易受到数字服务侵权的影响，为个人提供网安保险的可能性也在增加。这更加凸显了提高网络安全认知的重要性。再则，缺乏足够的历史数据、难以准确估计风险累积和系统性风险等也是网安保险发展急需解决的关键挑战。这些决定了政府和监管介入的必要性。但是政府和监管的介入也需要处理好统一性与创新性的关系、鼓励网安保险发展与负外部性溢出之间的关系。为此本文建议：

第一，保险监管机构应建立统一适用于网络风险的保险定义和除外条款，并监控因保单语言意思表示不明确而产生的索赔纠纷；同时，考虑到任何强制标准化都可能会扼杀保险创新的风险，如果短期内无法实现充分的融合，监管部门应鼓励行业协会开发标准化语言以供险企自愿使用。

第二，政府应就网安事故罚款以及网络勒索支付赎金的可保性明确声明。为了防止负外部性的产生，监管部门限制可保性的决定应适当考虑某些例外的情况，比如，被保险人没有直接的安全防护疏忽责任的情况，以及为了避免对生命或财产造成重大损害而支付赎金的情况。在该问题上加强国际协调与合作，采取一致做法，降低保险公司通过跨境方式进行监管套利、为不可投保损失提供保险的风险，从而为保险供应商和投保人提供一个公平的国际竞争环境。