郑威 姜鼎 郭飞 孙丽洁

(中国信息通信研究院安全研究所，北京 100191)

0 引言

近年来，随着数字经济的蓬勃发展，全球网络安全威胁持续加剧。各国政府纷纷加强网络监管，企业的安全投入不断增加，网络安全保险作为承保网络安全风险的新险种，日益成为转移、防范网络安全风险的重要工具。国外网络安全保险产业发展迅速，已形成较为成熟的上下游生态。加强对国外网络安全保险产业发展研究，推动我国网络安全保险产业健康发展，对建设网络强国、助力经济发展具有重大而深远的意义。

1 网络安全保险综述

1.1 网络安全保险的背景

随着新一轮科技革命和产业变革席卷全球，大数据、人工智能、移动互联网等新技术得以广泛应用，在促进实体经济高速发展的同时，也带来了诸多新的网络安全威胁和挑战。

(1)国际方面。根据安联集团(Allianz)发布的《2022全球风险晴雨表》[1]，2022年十大商业风险中，网络事件(包括网络犯罪、IT故障/停机、数据泄露、罚款和处罚等)占据首位。2021年2月，美国佛罗里达州水处理厂电脑系统被黑客入侵，导致当地居民生活用水中断；2021年4月，Facebook的5 亿用户数据在暗网被公开售卖，企业声誉受损；2022年1月，新加坡加密货币交易平台被攻击，黑客利用智能合约漏洞窃取价值3.2 亿美元的加密货币。频发的网络安全事件给企业造成巨大经济损失和声誉影响。

(2)国内方面。根据国家互联网应急中心发布的《2021年上半年我国互联网网络安全监测数据分析报告》[2]，2021年上半年，我国受攻击IP有3 048 万个，占我国IP地址总数的7.8%；“零日”漏洞7 107 个，同比大幅增长55.1%。2020年3月，微博5.38 亿用户数据泄露，企业声誉受损；2021年3月，中国台湾电脑公司Acer遭勒索软件攻击，赎金高达3.25 亿美元。2021年6月，淘宝近12 亿条用户数据被盗取，引发社会广泛关注。

为减少或避免网络安全事件带来的损失，企业需不断完善自身的网络风险管理体系，提升应对网络安全风险的能力。在风险控制模型中，应对风险共有四种手段：消除、降低、转移和接受。由于网络安全风险难以消除，企业通常通过部署网络安全产品和服务来抵御攻击，降低风险发生的可能性，并最终接受残余风险。网络安全保险作为转移网络安全风险的重要手段之一，尚未得到充分应用。

1.2 网络安全保险的内涵

目前，国内外尚未形成对网络安全保险的统一定义。英国保险协会(Association of British Insurers，ABI)将网络安全保险定义为“用于弥补与IT系统和网络的损坏或信息丢失相关损失的一种保险产品”[3]；美国国土安全部(United States Department of Homeland Security，DHS)将网络安全保险定义为“旨在降低企业遭受数据泄露、业务中断和网络损坏等事故损失的一种保险产品”[4]；欧洲网络与信息安全局(European Network and Information Security Agency，ENISA)将网络安全保险定义为“承保与网络空间风险(包括赔偿责任、财产损失和盗窃、数据损坏、网络中断收入损失和计算机故障或网站污染)等相关的风险损失为目的的保险合同”[5]。根据《中华人民共和国保险法》，保险是指“投保人根据合同约定，向保险人支付保险费，保险人对于合同约定的可能发生的事故因其发生所造成的财产损失承担赔偿保险金责任，或者当被保险人死亡、伤残、疾病或者达到合同约定的年龄、期限等条件时承担给付保险金责任的商业保险行为”[6]。

综合国内外相关定义，网络安全保险的核心内涵是以被保险人的网络及系统安全性(包括完整性、机密性、有效性等)及预期损失为保险标的，当出现被保险人遭受网络安全事故而导致企业生产中断、网站系统被破坏、商业机密被窃取、第三方隐私信息被盗用等情况时，保险人依据合同对被保险人承担给付保险金责任的商业保险行为。业内涉及网络安全的诸多保险术语，如网络保险(Cyber Insurance)、网络风险保险(Cyber Risk Insurance)、网络空间保险(Cyberspace Insurance)、网络责任保险(Cyber Liability Insurance)、信息安全保险(Information Security Insurance)、网络安全保险(Network Security Insurance)、电子风险保险(E-risk Insurance)等，均属于本文中网络安全保险(Cyber Security Insurance)的范畴。

1.3 网络安全保险的分类

根据承保范围不同，可将网络安全保险分为第一方损失险和第三方责任险两类(见表1)。

表1 网络安全保险主要类型

第一方损失险承保的是网络安全事故导致投保企业产生的直接损失。主要对营业中断进行保障，包括直接利润损失、内部错误和技术故障所产生的费用，黑客攻击导致的资金损失，网络勒索的支付费用以及其他相关费用。

第三方责任险承保的是网络安全事故导致第三方遭受损失时，须由投保企业承担的法律责任。主要是针对第三方向投保企业的网络安全责任提出的索赔，包括用以覆盖最终用户(消费者、使用者等)索赔的消费者赔偿费用，违反相关法律法规所导致的费用，以及由于监管要求产生的调查、取证费用。

2 国外产业环境及发展趋势

国外的网络安全保险市场经历了二十余年的发展实践，已进入快速发展期，并形成了较为成熟的上下游生态。

2.1 市场发展历程

(1)萌芽期。20世纪90年代，伴随着IT技术和互联网的快速发展，美国、欧洲等国家和地区出现针对网络安全风险相关的保单，以第一方损失险为主。国际计算机安全协会、英国劳埃德(Lloyd)保险公司相继推出黑客保险。苏黎世北美保险公司(Zurich North America)在美国推出“E-Risk保险”，专门针对因感染病毒、非法入侵、网上攻击等导致企业业务瘫痪、经济损失巨大的情形。

(2)探索期。进入21世纪，随着网络安全风险的种类、发生频率及所造成损失不断增加，以及相关法律法规的逐步完善，国外网络安全保险的需求迅速增长。保险公司不断探索优化网络安全保险产品，扩大产品承保范围，承保第三方责任的网络安全保险保单开始出现。2003年，美国国际集团(AIG)保险公司推出承保范围涵盖因网络安全或数据被侵入而造成第三者损失的黑客保险。随着Amazon、Yahoo和eBay等著名网站相继遭受黑客侵袭，黑客保险需求迅速扩张，截至2003年年底，美国国际集团保险公司销售额增加了4～5倍。

(3)发展期。自2010年起，国外网络安全保险市场进入快速发展期，网络安全保险逐渐成为保险公司的一款基础产品。据Research and Markets预测[5]，到2026年，全球网络安全保险市场规模将达到350.7 亿美元，平均年复合增长率达到26.6%。高速发展的同时，国外网络安全保险市场仍面临着多重挑战，如网络安全风险定义不清晰、网络事故损失历史数据有限以及对网络安全保险承保范围认知不足等。

2.2 法律政策环境

得益于成熟的法律、监管体系及良好的政策环境，过去二十余年，国外网络安全保险市场得到了快速发展。

美国网络安全保险市场发展最为迅速，占全球市场份额的90%以上。在法律要求方面，美国将非法披露个人信息纳入保险承保范围，推动企业通过购买保险来保障因数据泄露和营业中断带来的经营损失；在监管体系方面，美国证券交易委员会(United States Securities and Exchange Commission，SEC)要求上市公司必须上报网络安全事故、数据泄露事件，否则将面临调查传讯及股东和客户的集体诉讼，网络安全保险产品需求激增；在政策环境方面，从2016年起，美国对购买数据泄露保险采用美国国家标准与技术研究所(National Institute of Standards and Technology，NIST)网络安全框架或财政部批准的安全标准的企业，提供15%的税收减免。健全的法律监管和积极的财政政策促进了美国网络安全保险市场的快速发展，据美国保险监督官协会(National Association of Insurance Commissioners，NAIC)的统计数据显示[6]，目前提供网络安全保险产品的美国保险公司已超过500 家，较2016年增加35%。

欧盟的网络安全保险市场与美国的发展较为同步。欧盟采用网络隐私立法模式，从法律上确定网络隐私权保护的各项基本原则和具体制度，并在此基础上建立各项司法和行政救济保护措施。相关法律法规对隐私泄露等引发的第三方责任有着较为明确的罚则指导，可为网络安全保险的保费定价提供参考。如欧盟的《通用数据保护条例》(General Data Protection Regulation，GDPR)高度重视个人数据保护，对企业违规建立了严格的处罚机制。根据规定[7]，企业出现一般违法行为将面临全年营收额2%或1 000 万欧元的罚款，高者为限；出现严重违法行为将面临全年营收额4%或2 000 万欧元的罚款，高者为限。2018年5月该法案生效后，欧洲地区的网络安全保险市场迅速壮大。

2.3 产业生态现状

由于网络安全保险本身的专业性要求和跨行业属性，产业发展面临较大的技术和行业壁垒。在政府汇集多方资源的联合推动下，国外网络安全保险生态得以快速发展。以美国为例，政府在提供相对健全的网络安全和数据安全方面的法律要求、监管体系和政策环境外，还推动各方联合建立网络安全风险基础数据库，发布风险损失测算量化标准，完善网络安全保险精算模型，助力保险公司提升承保技术能力。从2012年起，美国的政府机构开始联合保险业建立网络安全风险基础数据库，如推动数据公司Advisen、风险建模公司RMS等建立了网络安全风险管理相关数据库，帮助保险公司识别企业网络安全风险并提供网络安全损失测试服务。2016年1月，美国巨灾建模公司AIR Worldwide和数据分析公司Verisk联合发布网络安全损失数据收集标准，进行网络安全风险建模数据收集。2016年5月，国际再保险巨头佳达保险(Guy Carpenter)联合网络安全领域巨头赛门铁克(Symantec)创建了网络安全加总模型(Cyber Aggregation Model)。

经过多年发展，国外网络安全保险产业已形成公共基础服务体系完善、利益相关方众多、业务全生命周期覆盖的较为成熟的上下游生态。保险公司和再保险公司是生态的核心，作为网络安全保险业务经营的主体，实现产品规划设计、销售和交付，如美国国际集团(AIG)、旅行者集团(Travelers)，欧洲的苏黎世再保险和慕尼黑再保险等。投保前，网络安全公司、保险科技公司或风险数据建模公司支撑对投保企业进行网络安全风险评估，提供网络安全风险数据，联合保险公司设计风险量化和损失测算模型，如美国网络安全公司Symantec、数据公司Advisen、巨灾建模公司AIR Worldwide等。承保期，部分保险公司会与第三方网络安全技术服务商合作，持续监测投保企业的网络安全风险动态变化，并在必要时提供预警和处置措施。理赔时，保险公司依据保单的承保责任向投保企业提供第一方损失、第三方责任相关的经济赔付和外部专家支持，协调网络安全公司、数据恢复公司提供应急响应和救援支持，对网络安全事故开展技术鉴定、调查取证、技术评估、系统和数据恢复等工作。

2.4 产业发展趋势

数据显示[8]，国外网络安全保险市场呈现保费增长、行业损失率上升、市场份额集中的趋势。以美国为例，怡安集团在其2021年6月发布的《2020年美国网络安全保险的利润及表现》指出[9]，2020年美国网络安全保险直接签单保费达27.4 亿美元，较2019年增长21%；由于勒索软件索赔导致事件响应成本和勒索金额增加，平均索赔额增幅超过50%，网络安全保险的行业损失率上涨了22%；美国网络安全保险市场虽略有扩大，但市场份额主要集中于大型保险集团公司，提供的风险分散作用相对有限，存在一定的承保风险。在此背景下，国外网络安全保险产业进一步发展完善，呈现出以下趋势。

(1)保险公司持续优化网络安全保险产品。保险公司在市场变化中持续探索保费与企业安全投入的平衡点，以免保费过高降低了企业的购买欲望，或保费过低使企业过多转移了本应承担的安全风险，从而导致企业忽视自身安全建设。对产品的优化措施包括：减少低价网络安全保险产品，避免企业以较低价格购买高赔付限额的网络安全保险产品，例如2020年美国独立保单保费平均上升了28.6%；提高投保的安全基线要求，保险公司要求企业在投保评估之前，进行切实有效的网络安全加固；调整保单的承保范围，部分保险公司减少了保单中的承保范围，例如法国的安盛保险去除了所有涉及勒索的相关条款。这些措施有效减少了通过降低保费和安全基线来吸引客户的不成熟市场竞争行为，有助于推动行业良性健康发展。

(2)“保险+安全服务”的业务模式已逐步成为行业共识。保险公司提供包括主动防御在内的网络安全解决方案，把实施风险控制作为企业投保基线的一部分，用确定的风险防御投入降低预期损失，进而获得承保收益。一方面，保险公司为投保企业提供安全培训、威胁情报订阅等服务，可有效降低网络安全保险的出险率，并形成市场差异化竞争，提高自身竞争优势；另一方面，保险公司联合网络安全公司为投保企业提供主动风险控制，以实现将一部分风险较高的“不可保业务”转化为风险可控的“可保业务”，达到扩大业务规模的目的。

(3)跨行业数据共享分析机制逐步建立。与成熟的保险产品相比，网络安全保险在保前风险评估、险后理赔鉴定环节可参考的数据均相对较少，保险公司通过与网络安全公司、第三方保险科技公司建立数据共享与分析机制，基于网络安全风险基础数据，准确、动态地发现特定行业或者特定时间的威胁，有效缓释网络空间“黑天鹅”事件带来的未知风险。

3 国内产业环境及发展现状

在数字经济蓬勃发展及网络风险持续加剧双驱动下，我国对网络安全的重视程度不断提升，相继出台了一系列法律法规及标准规范。在此背景下，我国网络安全保险市场需求逐渐增加，一些保险公司对网络安全保险的业务模式展开了积极探索。

3.1 市场发展现状

国内网络安全保险起步于21世纪10年代，目前仍处于市场探索期。自2013年起，苏黎世财产保险(中国)有限公司、安联财产保险(中国)有限公司等外资险企率先在中国市场上推出了网络安全保险产品。此后，随着市场需求的逐步增加，中国人民财产保险股份有限公司、中国人寿财产保险股份有限公司、中国平安财产保险股份有限公司、中国太平洋财产保险股份有限公司等国内大型保险公司相继开发并推出网络安全保险产品(见表2)。

表2 国内市场网络安全保险相关产品

从供给侧看，国内市场上的网络安全保险机构及产品逐渐增多。目前，已有20 余家保险公司在中国银行保险监督管理委员会备案了50 余款网络安全保险产品，险种涉及黑客保险、网络风险保险、电子商务保险、网络安全责任保险、网络安全应急响应保险、网络安全综合保险、计算机保险等[10]。面向的客户分布于政府部门、企事业单位、国家重点保护单位、互联网企业、医疗、金融、教育机构、网上交易平台、网络游戏公司等众多行业。网络安全保险在我国属于新兴险种，保险公司在产品定价、风险评估、定损理赔等环节尚未形成完备的机制体系。

从需求侧看，网络安全保险在国内的市场接受度不断提升。随着国内网络和数据安全相关法律法规、政策环境的不断完善，及数字经济发展战略的深入实施，国内企业在安全体系建设方面的投入逐渐增多，并逐步认识到网络安全保险有助于企业实现风险转移，建立全面的网络安全风险应对方案。近两年，除了外资及合资企业外，国内一些具备海外业务的中资企业、易受网络攻击的重点行业企业及具有较高风险管理意识的企业逐渐开始尝试购买网络安全保险产品。

3.2 法律政策环境

法律法规方面，网络安全相关法律法规不断建设完善，但网络安全保险专属的法规制度尚为空白。2017年6月，《中华人民共和国网络安全法》正式实施，为网络安全法律体系建设提供上位法基础。2021年，《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律法规发布实施，国家层面的网络安全相关法律法规框架不断完善。此外，海南、贵州、天津、浙江和上海等全国18个省市相继出台了地方性的数据安全法规；以金融、电信、电力等为代表的网络安全成熟度较高的行业基于国家法律法规建立了行业的网络和数据安全规章制度。

政策环境方面，鼓励探索网络安全保险服务模式创新。2019年9月，工业和信息化部发布《关于促进网络安全产业发展的指导意见(征求意见稿)》[12]，将“探索开展网络安全保险服务”作为“积极创新网络安全服务模式”的内容之一。2021年7月，工业和信息化部发布《网络安全产业高质量发展三年行动计划(2021—2023年)(征求意见稿)》[13]，在“产融合作深化行动”中提出“面向电信和互联网、工业互联网、车联网等领域，开展网络安全保险服务试点。加快网络安全保险政策引导和标准制定，通过网络安全保险服务监控风险敞口，鼓励企业构建并完善自身网络安全风险管理体系，强化网络安全风险应对能力”。上海、宁波、武汉等地已纷纷出台激励政策，部分城市已着手开展试点工作。

3.3 主要业务模式

随着我国网络安全保险市场需求的逐步增加，国内保险公司开始了网络安全保险的市场探索。总体来看，目前国内网络安全保险市场上主要存在“IT产品+保险”和“保险+安全服务”两类业务模式。

“IT产品+保险”模式指云服务厂商、安全服务厂商等IT服务商为其生产销售的产品购买网络安全保险，以借助保险的风险转移功能，完善所售产品的安全保障体系(见图1)。此模式有助于IT服务商提高产品的市场竞争力，减少因产品存在潜在网络安全风险为企业自身及其客户带来的损失。在此模式下，保险公司无需直接面向用户开展网络安全保险产品的营销，网络安全保险产品依附于IT服务商的产品并为其增信。

“保险+安全服务”模式指保险公司与安全公司合作，共同向投保企业提供网络安全保险产品及服务(见图2)。保险公司为企业提供标准化或定制化的网络安全保险产品，产品中包含可订阅的安全服务，如应急响应、溯源取证等，安全公司则向保险公司提供专业的技术支撑，赋能保险产品。此模式与国外网络安全保险市场成熟期的业务模式较为相似，但国内市场在产品和服务的种类、覆盖范围、服务机制等方面仍有待提升。尤其在安全服务方面，安全公司应协助保险公司为投保企业提供保前安全风险评估，以确定保单的保费及保额，并进一步提供安全加固、监测预警等服务，以降低出险率，平衡保险保费与企业安全投入。

在“保险+安全服务”模式下，投保企业发生安全事件后，保险公司第一时间联系安全公司，安全公司通过远程或现场方式了解事故情况，判定安全事件是否在承保范围内；如是，则提供应急响应服务，并协助保险公司进行理赔定损、溯源取证等工作(见图3)。

3.4 产业面临的问题

伴随着我国网络安全系列法律法规的实施落地，重要行业领域网络安全顶层设计的密集出台，国内网络安全保险产业迎来发展机遇期。政府部门、研究机构、保险公司、网络安全企业等相关机构对网络安全保险的关注与日俱增，产业面临的政策引领作用未充分发挥、行业标准规范缺乏、产品数量有限、客户认知不足等问题开始凸显。

(1)政策引领尚需加强。为积极响应国家政策号召，部分地区已表现出对网络安全保险的关注，通过组织成立地方性网络安全保险联盟、出台相关保费补贴政策等方式激励当地网络安全保险的发展，但尚未在全国范围内形成规模效应和示范效应，企业参与的积极性尚未充分激发。

(2)行业规范尚未建立。国内网络安全保险定义尚不明确，且仅有少量大型网络安全保险公司进行业务探索，保险条款、承保范围、服务要求、业务流程等均未达成行业共识、形成统一标准，难以获取客户认可，不利于网络安全保险大规模推广落地。

(3)产品供给尚显不足。保险产品设计需依据历史市场数据，运用精算模型计算保险费率。费率过高，将难以吸引客户，降低产品的市场竞争力；费率过低，则会造成保险公司之间的恶性竞争，不利于稳定经营。一方面，国内网络安全保险仍处于发展初期，保险公司缺乏网络安全风险数据积累，难以开发出符合市场需求的保险产品；另一方面，网络安全风险复杂多变，造成的损失难以量化评估，国内保险公司缺乏相关风险损失测算量化标准和对应的保险精算模型，在设计网络安全保险产品时存在定价难、承保难的问题。产品设计能力的不足制约了国内网络安全保险产品的供给，产品数量难以满足国内市场需求。

(4)客户认知有待提升。网络安全保险作为新兴险种，国内宣传推广力度不足，市场上产品数量有限，多数企业对其缺乏了解，部分企业片面地认为“购买保险即可消除风险”，极少有企业认识到网络安全保险可提供风险管理服务、监控风险敞口的重要作用。认知不足导致多数企业仍持观望态度，国内网络安全保险市场需求未充分释放。

4 国内产业发展建议

国内网络安全保险产业在借鉴欧美发展经验的同时，应结合自身产业环境、发展阶段、实践经验，积极探索创新，打造本土化的网络安全保险产品，促进网络安全保险产业健康发展。

4.1 加强政策支持，推动试点工作落地

一方面，各地主管部门应积极发挥引导作用，制定网络安全保险相关优惠政策，例如参考重大装备首台(套)保险补偿政策，为中小型企业提供网络安全保险购置减税政策、保险购买补贴政策等，拉动市场需求；针对开展网络安全保险的保险公司推出奖励或补贴政策等，扩大市场供给。另一方面，地方政府应充分利用国家级网络安全保险试点的推动作用，针对工业互联网的漏洞攻击、基础电信企业的数据泄露等行业痛点问题，选择安全风险较高或保险意识较强的企业开展试点，结合配套优惠政策，在实践中探索网络安全保险业务模式。行业主管部门应组织各方专家研讨，针对试点建立多元化评价机制，科学评价试点成效，总结试点经验，推动形成网络安全保险最佳实践，并加强示范推广。

4.2 健全标准体系，指导市场规范发展

鼓励相关机构及行业协会在现有网络安全相关标准的基础上，组织制定网络安全保险标准及规范，建立健全网络安全保险相关标准体系。在国家标准方面，相关机构应汇集产学研各方力量，协同开展网络安全保险相关标准研究，明确网络安全保险专业术语的含义，制定本土化保险条款，统一业务流程，规范服务要求，明确在网络安全保险产品设计、核保评估、风险管理、出险理赔等阶段中各利益相关方的职责定位，以指导网络安全保险健康有序发展。在行业标准方面，行业协会应针对行业差异化的风险管理需求，组织开展风险场景研究，推动网络安全保险在行业内开展试点，并结合试点经验，在实践中逐步完善网络安全保险行业标准。

4.3 强化产业合作，完善产品供给能力

保险公司应积极探索网络安全保险业务，加强不同行业间的沟通合作，丰富产品种类，提升供给能力。在产品研发方面，保险公司应与电信、金融、医疗、交通等关乎国计民生的重点行业合作，围绕新技术、新业态、新模式引发的业务风险，深入调研网络安全风险管理需求，积极探索产品创新，开发多元化、本土化、差异化网络安全保险产品。在技术能力方面，保险公司应加强与网络安全公司、保险科技企业及风险数据建模公司等专业技术机构合作，探索建立数据共享机制，融合保险承保、理赔数据与网络安全风险数据，为开发风险量化模型和损失测算模型提供基础数据支撑，助力解决定价难、核保难等问题。

4.4 加大宣传力度，推动市场需求增长

市场各方应共同加强网络安全保险的宣传力度，形成全方位、多层次、多渠道联合推广态势，不断提高企业的网络安全意识及对网络安全保险的认知水平，着力激发企业投保意愿，推动市场需求持续增长。一方面，充分利用国家安全教育日、全国保险公众宣传日、网络安全宣传周等全国性宣传机会，开展网络安全保险相关宣传教育活动，介绍网络安全保险的承保范围、作用意义、应用案例等；另一方面，积极组织网络安全保险的优秀案例征集、最佳实践评选、产融合作比赛等活动，推广网络安全保险产品；借助网络安全行业及保险行业的论坛峰会、学术会议等平台，推进网络安全保险交流研讨。

5 结束语

数字经济的迅猛发展，推动网络安全产业全面发展。作为产业生态链中不可或缺的一环，网络安全保险的意义愈发凸显。西方发达国家网络安全保险市场已进入快速发展阶段，展现出巨大的市场空间。国内网络安全保险市场虽然尚处于市场探索期，但已引发政府部门、研究机构、保险公司、网络安全企业等相关机构的高度关注，发展前景值得期待。