叶 翔 浙江省网络空间安全协会

当前，以数字科技为核心的科技变革和产业密集涌现，数据共享力度持续加大，数字化应用不断上线，防范化解网络安全、数据安全风险任务更加艰巨。开展网络安全保险业务研究与应用探索，对于提升企业安全防护水平，降低网络安全社会总成本投入，建设监管部门、第三方服务和企业等多方协作风险防控机制，构建防范重大风险防御体系，具有重要作用。

一、网络安全保险的价值和意义

网络安全已经成为当今社会最复杂、最现实、最直接的风险因素，全面影响经济发展和社会稳定。网络安全风险治理比传统安全风险治理更加复杂，现有治理模式需要进一步完善。当前，网络攻击、网络犯罪频繁发生，数量庞大、覆盖面广，并存在预知难、溯源难问题，仅靠监管部门、网络安全企业、专业研究机构很难有效应对。随着数字化改革的深入、数字经济的发展，面临的网络安全风险也“水涨船高”，增强全社会网络安全风险防范能力需要长期、大量、不间断投入，给社会运转带来巨大负担，防范风险的社会成本极高。

具体来讲，对于网络攻击，“防患于未然”的成本比事故发生导致的损失要低得多，企业通过购买网络安全产品，抵御了大部分基础网络安全风险，筑起了第一道防线。但仍存在部分用户购买后，未有效配置和合理使用网络安全产品、未能及时为操作系统和应用软件升级的情况，这时候网信和公安部门强制推行的等级保护测评工作起到了第二道防线的作用。然而，就像规范法律并不能完全制止网络安全犯罪的发生一样，安全手段也无法确保带来100%的安全。有研究表明，持续增加安全投入，所付出的增量部分，可能高于所挽救的预期损失。

作为针对数字经济特定风险的新险种，网络安全保险可以转移残余风险，成为抵御网络安全风险的第三道防线，真正做到100%的安全保障。网络安全保险是以投保人信息资产安全性（信息的完整性、机密性、有效性等）作为保险标的的保险产品，可以帮助企业构建新型网络安全生态。网络安全保险的价值首先在于降低社会总成本。网络安全保险和配套服务能够赋能企业的网络安全整体防灾水平，可通过保险的责任转移机制来有效降低网络安全事件发生的风险。其次，为企业标注安全标签。保险公司在为投保企业进行网络安全风险评估的过程中，不仅能促进企业提升自我保护意识，而且为投保企业打上了精准的安全标签，以反映企业的网络安全防御水平。最后，落实企业社会责任。《个人信息保护法》等一系列法规条例的出台，规定了企业在网络安全方面的社会责任，对拥有用户数据但不具备网络安全应对能力的企业来说，网络安全保险将是一个有效的运用工具。

二、网络安全保险发展现状

根据国家工业信息安全发展研究中心在2021年年底发布的《我国网络安全保险产业发展白皮书（2021 年）》，目前国外网络安全保险市场已进入快速发展阶段。

20 世纪90 年代，全球网络安全保险市场进入萌芽阶段。受到“千年虫”问题的警示，保险公司尝试开展网络安全保险业务。1998年，国际计算机安全协会推出了第一款“黑客保险”，作为其网络安全服务的一部分。不过，由于企业因黑客攻击导致的业务影响并不显著，且尚未制定相关法律促使企业重视其网络安全合规责任，这一阶段网络安全保险的市场认可度较低，发展较为迟缓。

21世纪初，网络安全保险市场进入初步探索阶段，网络安全事件频发给企业造成的经济损失持续攀升，企业开始高度重视网络安全风险防御及应对。2003 年美国保险行业协会保险信息研究所的数据显示，90%的企业和政府机构存在安全漏洞，且75%的企业因此遭遇网络攻击并造成经济损失。

21世纪10年代后期，全球网络安全保险市场进入快速发展阶段。2018年5 月，欧盟《通用数据保护条例》（GDPR）正式生效，这被视为隐私和数据保护的里程碑事件。该条例进一步强化了对数据主权的保护并加大了行政处罚力度，有力拉动了网络安全投保需求。这一阶段，网络安全保险市场进一步发展，保费规模快速增长，平均年复合增长率超过20%。据市场研究公司（Research and Markets）预测，到 2026 年，全球网络安全保险市场规模将达到350.7 亿美元，平均年复合增长率达到26.6%，展现出巨大的网络安全保险市场空间。

我国的网络安全保险还处于萌芽阶段，相关政策开始受到关注。2019 年9 月，工信部发布的《关于促进网络安全产业发展的指导意见》（征求意见稿）提出，要“探索开展网络安全保险服务，加快网络安全保险政策引导和标准制定，通过网络安全保险服务监控风险敞口。鼓励企业构建并完善自身网络安全风险管理体系，强化网络安全风险应对能力”。

在技术标准方面，可以参考的文献主要有国外的ISO/IEC 27102-2019InformationSecurity management- Guidelines for cyberinsurance（《信息安全管理—网络保险指南》），国内刚刚发布的团标T/CCIA 001-2022《面向网络安全保险的风险评估指引》，以及正在立项的国标《信息安全技术网络安全保险应用指南》（草案）。

三、网络安全保险产品分析

适用于国内企业的网络安全保险产品，通常销售的时候会提供多个模块供企业选择，形成综合险。这类似于消费者购买车险，可以同时购买交强险、车损险和第三者责任险，也可以只购买交强险和第三者责任险，第三者责任险的赔偿额也可以自由选择20 万元或100 万元。但是，网络安全本身的复杂性和市场成熟度决定了网络安全保险比车险要复杂得多，目前这些产品还尚未达到标品的级别，很多保险公司采用“一客一议”的销售方式，销售效率低，销售成本高。

（一）应急响应：保障第一方损失

保险保障范围涵盖组织因网络安全事件所引发的特定网络安全应急响应费用，包括以下3个方面：

1.被保险人在指定权威机构进行检测、鉴定服务所产生的必要费用、成本和支出。

2.名誉恢复公关费用，是指被保险人在保险事故发生后聘请指定第三方公共关系专业机构和向公共媒体及平台投放的宣传、传播措施及新闻发布活动所产生的必要的、合理的费用。

3.抗辩费用，是指被保险人发生上述保险事故后，经保险人事先同意，聘请第三方专业机构对保险事故进行调查、和解、抗辩、申诉或辩护而产生的合理、必要的费用。

（二）营业中断损失：保障第一方损失和承担第三方责任

保险人在保险期间首次在其计算机系统中发现网络安全风险事件且造成被保险人计算机系统全部或部分中断，导致被保险人营业受到干扰或中断。

经营性网站会发生在赔偿期内毛利润损失及工作成本增加，第一方责任保险人以保险合同约定的赔偿额、赔偿期为限负责赔偿。

工业生产系统的停产，可能导致无法交付货物，按合同约定被下游客户索赔，这时候由第三方责任险负责赔偿给下游客户。

（三）数据安全：保障第一方损失和承担第三方责任

保障第一方损失指的是当被保险人的计算机系统发生保险事故（包括中了勒索病毒等），造成被保险人数据丢失、损毁、修改、删除、泄露，被保险人为了重新获得、更换或恢复其计算机系统，为在受损前存储在其中并因网络安全事故发生而导致损坏、丢失或损毁的数据恢复所支出的合理、必要的费用。

保障范围也可涵盖组织因网络安全事件导致的第三者责任损失，赔偿范围主要是信息泄露责任，即第三者在保险期间或保险合同约定的延长报告期内向被保险人提出索赔、依法应由被保险人承担的经济赔偿责任，保险人按照保险合同的约定负责赔偿。

（四）技术人员职业责任险产品

主要面向信息技术公司及其从业人员，以信息技术服务和信息技术产品作为承保标的，保险保障范围涵盖组织因在提供产品和服务过程中存在疏忽过失行为或出现质量未达标准情形所引发的第三方索赔责任。

四、网络安全保险实施过程

网络安全保险的实施过程通常包括3个阶段：投保前风险评估、投保后风险监测与预防，以及出险后的事故理赔。相较车险，网络安全保险投保前的风险评估过程比较复杂，并且投保后一般还要实施风险监测。

（一）投保前的风险评估

投保前的风险评估是网络安全保险实施的前提。由于投保人网络安全水平良莠不齐，为降低保险人自身的风险，保险人会委托指定网络安全服务商对投保人开展风险评估；同时，投保人也可根据风险评估结果制定风险转移的策略，形成准确的网络安全保险需求；最终双方根据风险评估的结果达成保险方案。

承保前的风险评估通常有3 个环节：一是网络安全风险的自动化评估环节。该环节属于非配合式评估，主要是利用安全扫描、资产探测、第三方威胁情报分析等技术或手段，研究企业暴露在互联网端的安全状况和风险敞口大小，为保险公司可否对之承保提供技术研判支持。二是网络安全能力评估环节。通常采用问卷调查的方式，从合规遵从、组织架构、制度体系、技术措施、人员培训等方面对投保对象的网络安全成熟度进行评估。三是基于客户特点的量化风险评估环节。这主要是针对客户对特定场景的风险或指定的控制措施购买保险的想法，需要专项评估与潜在风险相适应的配套安全措施，根据威胁源、攻击方法、脆弱点、安全事件及负面影响这5个评估要素来计算特定场景的风险值。

（二）投保后的风险监测与预防

投保后的风险监测与预防是进行防灾减损的必要手段，同时也是网络安全保险进行风险管理的主要方式。在投保后，网络安全风险可能因内外部环境变化而发生变化，应开展相应的风险监测和预防活动，及时了解投保人的风险变化情况，并采取相应措施将风险的变化控制在合理范围，积极发挥防灾减损作用。当风险发生较大变化时，投保人应实施相应的处置措施，投保后的风险监测与预防可帮助投保人进行有效的风险管理。

例如针对勒索病毒的保障，必须持续监测客户的防病毒措施落实情况，防病毒软件安装率低于90%时可能会出现重大风险。

（三）出险后的理赔

当发生保险保障范围内的网络安全事件后就会进入出险理赔阶段，投保人按照保险合同约定的理赔流程进行理赔。在这个过程中，保险人对网络安全事件进行调查，确定事件责任和实际损失，并根据调查结果作出赔偿决定，履行保险人的赔偿责任。

五、网络安全保险的三种销售方式

网络安全保险虽然都是保险公司销售给企业（投保人或被保险人）的，但销售方式可以归纳为以下3种：

（一）企业直接购买保险

这是国外比较普遍使用的方式，但是在国内，这种方式实施起来暂时还比较困难，企业对这个新事物的接受还需要培养。一是因为国内目前信息泄露事件造成的损失很难评估，尚没有巨额赔偿判例，难以触动企业主动购买保险；二是目前企业做好网络安全保障的动力有相当部分来源于网信和公安等监管机构的压力，保险无法赔付行政处罚，因此无法缓解这方面的压力；三是企业的网络安全水平良莠不齐，如果不做完整的风险评估，对保险公司来说风险太大，如果要做完整的风险评估，那么关于是企业还是保险公司来支付这笔高额的评估费用的问题，双方难以达成一致。

（二）供应链销售保险

由安全服务厂商来协助保险公司销售网络安全产品给它们的服务对象，这可能是目前比较主流的方式，因为安全服务厂商的介入，在一定程度上解决了投保前风险评估的问题，通常购买了网络安全产品和服务的企业，网络安全风险相对可控。安全服务厂商也有意愿去推动这个增值业务，网络安全保险可以给其产品的可信度背书，提高产品的竞争力，另外也可以通过附赠保险额度来展现其网络安全防御实力。并且，对于长期合作的安全服务厂商，保险公司有比较多的数据可以开展研究，按照赔付情况，对不同的安全服务厂商给予不同的费率。

（三）监管推动

将来网络安全保险市场日趋成熟后，相信这种方式也会是主流，把网络安全保险做成交强险，和等保测评一起推动，以保险的方式把全社会的网络安全风险降到最低。

六、垂直领域的模式创新探索

目前网络安全保险市场仍然面临着许多挑战，如网络安全事件定义不够清晰、缺乏一致性，网络安全事故或损失的历史数据有限，以及企业对网络风险和保险责任覆盖范围认知程度有限等。保险公司基本采用“一客一议”的销售方式，前端销售对产品不甚了解，无法为客户解答疑问，动辄需要总部支持，销售成本高，销售效率低。

为加快推进网络安全保险的快速落地发展，充分发挥保险风险转移作用，应当在模式上创新，并在某些垂直领域给予政策支持，大胆尝试。

（一）产品标品化模块化

为提高销售效率，必须打破“一客一议”的销售方式，制定标准化的产品和条款。例如，下面这个保障金额400万元的产品，客户可以选择买1份或者多份。产品在最初设计的时候，要经过市场调研，在某个垂直领域的客户中找到共性。产品适用于大部分客户，标品客户可以享受较低的费率，少部分特殊客户需要修改和定制，则会面临高昂的费率。

?

（二）主打供应链销售模式

通常客户能够接受的费率，杠杆必须在1∶100以上，目前“一客一议”的销售方式下，费率甚至高达1∶10，花20万元的保费才能享受200 万元的保障，大部分客户是无法接受的。为了降低费率，对保险公司来说，就必须做到风险可控，需要对客户做风险评估。但是，全面的风险评估所带来的高昂费用同样是客户无法接受的。

采用供应链销售模式可以较好地降低保险公司的风险，保险公司通过安全服务厂商来销售这个产品，要求客户是安全服务厂商的长期合作伙伴，购买过一定金额的网络安全产品和服务，保障范围限定在经过等保测评的系统，那么总体来说风险是可控的，可以降低首次投保的风险评估复杂度。安全服务厂商和保险公司的愿景是一致的，都不希望出现网络安全事件，安全服务厂商有意愿去保障客户，为客户的网络安全能力做了背书。保险公司还可以对安全服务厂商进行考核，实行费率浮动化，而原先直接销售给客户的方式，由于客户之间都是独立的个体，难以开展考核。

（三）垂直领域的选择

把产品限定在某个或某些垂直领域试点，这样做的好处是，一方面，同行业的需求比较相近，方便制定标准化产品；另一方面，行业的风险相近，可以制定合理的费率。

根据前期调研发现，现在购买网络安全保险的客户主要有船舶行业和电力行业，其原因在于船舶行业从16 世纪开始就有购买保险的传统，每年支付的保险费用非常高，不太在乎再购买一个网络安全保险；而电力行业购买保险则主要是因为这个行业资金充裕，喜欢去尝试新险种。实际上船舶行业和电力行业在网络安全方面几乎没有什么系统性风险，且都属于比较封闭的行业，在这种领域试点标品意义不大。

一个好的试点领域，最好是确实存在较大的网络安全风险，那么这个行业会有较强意愿对网络安全保障进行投入，并且行业里面客户数量比较充足，标品的销售方式才比较有意义。本文认为，政务、金融、医疗、教育和制造业比较符合以上特点，而医疗和制造业更是优选，可以作为第一阶段的试点。医院拥有大量个人敏感信息，并且病人需要使用互联网挂号和查询报告单，符合较大风险的特征；制造业现在已经高度依赖工控网络，一旦出现网络安全事件，可能造成停产甚至生产事故，会造成较大的经济损失，故出险后制造业对保险赔付存在较大需求。

网络安全涉及的利益涵盖社会各个方面，有公有私，有宏观也有微观，有利益一致性，又存在多种博弈，需要综合施策，找出各方利益共同点，实现多方合作共赢。保险公司应当重视网络安全保险这个新产品，充分开展网络安全保险相关宣传教育活动，介绍网络安全保险的承保范围、真实案例、作用意义；和网络安全公司合作，在上文推荐的试点行业开展网络安全保险标品试点，不断总结试点经验，最终可望形成在全行业推广的网络安全保险服务模式。