數字經濟時代網絡安全保險創新發展研究

○唐金成 莫賜聰

廣西大學經濟學院 廣西南寧 530004

2021年是中國數字化浪潮全面賦能經濟發展的關鍵一年，如何穩步推進數字化進程，使其成為經濟增長的新引擎備受各界關注。數字經濟是指以數據資料為核心生產要素，通過現代信息網絡和信息通信技術，持續提升生產運營效率的新型經濟活動。我國數字經濟2020年占國內生產總值的比例已達到38.6%，預計在2030年將達到經濟總量的50%。數字經濟發展帶來了諸多機遇，也催生了更復雜隱蔽的網絡安全風險。高頻次數字互動及相互滲透融合的數字活動，對我國網絡安全提出了高要求。習近平總書記指出，網絡安全和信息化相輔相成，安全是發展的前提。2019年9月，中國工信部發布了《關于促進網絡安全產業發展的指導意見》，鼓勵所有相關方努力探索開展網絡安全保險服務。在國家“十四五”規劃中，明確提出了加快數字化發展，建設數字中國的戰略，并分別就數字經濟、數字社會、數字政府、數字生態、網絡安全風險問題做了重要論述。中國如何實現從當前的“網絡大國”到“網絡強國”的轉變，首先要解決好網絡安全風險這一突出問題。

一、網絡安全風險和網絡安全保險發展現狀分析

（一）網絡安全風險分析

關于現代網絡風險，本文認為可以定義為，運用信息通信技術生產過程中個體所面臨的危及數據和服務機密性、可用性和完整性的任何風險。隨著數字化進程的加深，高頻次的數字互動催生了新型網絡安全風險（Xie等，2020）。因其隱蔽性、技術性以及高度破壞性的特點，使得管理數字經濟時代的網絡風險勢在必行（Biener C等，2015）。據國際網絡安全風險投資公司數據顯示，2020年網絡風險估計給全球帶來6萬億美元損失①數據來源：Cybercrime To Cost The World$10.5 Trillion Annually By 2025(cybersecurityventures.com)。，并且這一數字將不斷以指數級的趨勢增長。數字經濟的飛速發展，對網絡安全提出了更高要求。習近平總書記早在2014年就明確指出，網絡安全和信息化是事關國家安全和國家發展、事關廣大人民群眾工作生活的重大戰略問題。企業通過數字化轉型快速發展的同時，也要管控好網絡安全風險。在數字經濟時代，企業必須彌合網絡風險敞口，增強數字經濟的韌性，做到數字化轉型和網絡安全風險管理齊頭并進。

1.營業中斷風險是現代網絡的共性風險。企業營業中斷主要包括關閉操作系統、重新格式化計算機和服務器，以及從備份設備恢復關鍵數據，營業中斷風險給企業帶來了極大經濟損失。以全球航運巨頭馬士基集團為例，其年報中顯示，由于網絡攻擊造成的業務中斷導致盈利損失達2.5億至3億美元。業務中斷會波及企業數字技術驅動的一體化供應鏈，阻礙經濟要素流通，并產生一系列間接的經濟損失。因此，企業投保人對網絡安全保險的更多期待是，探索網絡安全風險下業務中斷風險的承保方案。工商業保險和風險管理人協會Airmic的調查顯示，大部分企業投保人希望網絡安全保險能夠提供最為優先的保險解決方案是提供業務中斷的補償②數據來源：Cyber threats:Living with disruption(2021 survey themed report)|Airmic。。根據安聯保險集團的年度報告，網絡風險事件后導致經濟損失的原因有，業務中斷對供應鏈的影響、聲譽損失、數據泄露后的責任索賠以及數據恢復費用。特別是業務中斷對供應鏈的影響，也是導致經濟損失的主因。

2.數據泄露是現代網絡的核心風險。數字技術是一把雙刃劍，受其影響的網絡攻擊愈加難以預防。對處于數字互動中的民眾而言，由于物聯網技術缺乏數據安全防護，竊取數據的網絡犯罪不斷增長；而基于人工智能技術的網絡犯罪擴大了攻擊范圍，也增加了網絡安全的管控難度。根據IBM的《2021數據泄露成本報告》，一個企業數據泄露的全球平均總成本為424萬美元，每份丟失或被盜記錄的平均成本為150.8美元。對企業而言，遠程工作比重正在迅速上升，且受勒索軟件攻擊的增加，導致信息技術漏洞在不斷增加。自2015年起，因電子網絡郵件犯罪而被盜竊的資金已超過了50億美元。在企業經營數字化轉型背景下，電子郵件逐漸成為線上辦公的主要方式，而電子郵件網絡釣魚成了竊取數據的重要攻擊手段。美國FBI的研究報告稱，全球共有22000家企業成為電子郵件泄露數據的犯罪目標，面臨數據泄露、丟失風險。大型網絡安全公司Coveware的數據顯示，網絡勒索軟件已經成為最廣泛的攻擊形式。截至2021年第三季度，數據勒索贖金支付額的中位數已經增至71674美元，增幅達52.5%，而由于缺乏足夠的備份數據能力或財務資源，中小企業在受到勒索軟件攻擊后很難實現全面恢復③數據來源：Ransomware attackers down shift to'Mid-Game'hunting in Q3(coveware.com)。。

3.現代網絡安全保障的投資不足。在數字經濟發展及網絡風險突出的環境下，企業應將其風險認知擴展到數據資料層面，并為其尋求風險解決方案。然而，現代企業對于網絡風險存在長期保險不足問題。許多企業難以掌握其所面臨的風險敞口程度，且隨著數字化程度的不斷加深，更加難以衡量數據丟失以及業務中斷后導致經濟損失的長尾效應。相對無形的網絡損失而言，企業更愿意對可測估值的有形物質損失購買相關保險。因此，企業在資金配置方面傾向于有形資產風險的保險解決方案，而網絡風險則通過提升數字技術，謀求在預防端進行風險管控。根據慕尼黑再保險公司的資料顯示（如圖1），企業在網絡安全技術層面投資增長迅速，遠遠超過網絡安全保險的支出。這表明，當前的企業更注重前端的技術緩解，對網絡風險管理全面規劃以及事后響應機制的投資，仍存在較大的不足。

（二）全球網絡安全保險市場發展現狀

網絡安全保險屬于新型互聯網保險，是指以第一方損失如營業中斷損失、網絡系統攻擊損失、網絡欺詐損失等，以及第三方責任如數據泄露責任、網絡安全索賠責任等為保險責任的保險。數字經濟全面提升了企業運行效率，但企業也同時受到網絡安全風險的威脅。近年來，全球網絡安全保險市場規模穩步上升，保費逐年提高，保障領域進一步擴大，同時也強調與各種險種相結合提供新型風險保障。全球網絡安全保險市場發展呈現如下特點：

1.網絡安全保險業務蓬勃發展，投保率不斷提高。數字經濟時代，全球各企業在加快數字化轉型的同時，更加關注網絡安全保險。從業務發展水平來看，在2016～2020年間，全球網絡安全保險保費的年增長率維持在25%左右，業務量增長了124.62%，保持了迅速上升的態勢（見圖2）。重點考察美國的網絡安全保險市場，發現2020年美國財險行業網絡安全保險業務的直接承保保費增長了22%，達到27.4億美元；已結案的索賠平均已付損失為35.8萬美元，增幅達到了驚人的146.9%。

從企業投保率方面來看，針對數字經濟時代日趨復雜的網絡安全風險，越來越多的企業組織開始轉變風險認知。據Marsh保險經紀公司調查顯示，有將近50%的企業已經購買了網絡安全保險。其中，年收入超過10億美元的大型公司中，有57%已經投保網絡安全保險，而年收入低于1億美元的公司中，有36%的企業投保了網絡安全保險④數據來源：2019年全球網絡風險透視調查報告（marsh.com）。。

2.網絡安全保險市場集中度較高，創新型公司異軍突起。總體而言，受網絡攻擊愈加頻繁的影響，網絡安全保險市場的競爭日漸加劇，但仍相當集中。從國家分布來看，美國占據全球網絡安全保險62%的市場份額，英國和歐盟分別占據16%和14%，其他國家則占市場的8%。美國是全球第一數字經濟體，其數字經濟規模在2019年就達到了13.1萬億美元，是中國同期的兩倍多。美國網絡安全市場受益于其數字經濟規模，能更早積累精算經驗數據并優化其風險承保模型，因此越來越多的非壽險公司瞄準了這一新興市場。從全球的保險經營公司來看，全球網絡安全保險市場主要由國際、丘博和信利等幾家大型保險集團主導，占據網絡保險市場40%的份額。以典型的美國網絡安全保險市場為例，排名前十的保險公司占據了68%的市場份額，相較于美國責任險的56%以及商業險的46%，美國網絡安全保險市場集中度仍然相當高。近年來也有新型專營網絡安全保險的財險公司不斷開發網絡風險保險方案。以2017年成立的Coalition公司為例，該公司在2021年完成了新一輪融資，成功籌集了2.05億美元，估值達到35億美元以上，很快躋身全球保險科技獨角獸公司榜單的前十名。Coalition強調解決網絡安全風險應該運用整理風險管理的方法，創新性地拓寬了網絡保險的責任范圍，并能給投保人提供完善的網絡安全技術平臺。

3.網絡安全立法趨嚴，明顯刺激了保險需求。近年來，數字經濟的持續增長與新冠疫情的疊加共振，放大了數字技術依賴的風險效應。圍繞數據保護問題，全球網絡安全立法未來將持續趨嚴（見表1），其中界定網絡安全風險涉及的第三方責任將會是重點方向之一（陸岷峰和王婷婷，2020）。在各國通過立法形式進一步明確網絡風險中的責任歸屬后，關于第三方責任網絡安全保險的索賠數量將會有明顯上升，而這也迅速增加了網絡安全保險的需求。

表1 近年部分國家網絡安全相關法律政策匯編

美國作為現代數字經濟規模最大的國家，通過積極立法打擊網絡犯罪，并對新技術風險給予了高度關注。美國早在2015年就頒布了《網絡安全法案》，將“網絡安全”定義擴展到“網絡數據安全”，該法案頒布之后，美國網絡安全保險保費連續兩年保持了35%左右的增長率。歐盟于2018年發布網絡安全法案《通用數據保護條例》（GDPR），是全球目前為止監管最嚴格、覆蓋面最廣的網絡安全政策法規。根據Advisen最新市場調研報告顯示，有大半受訪者認為，GDPR會促使歐盟網絡安全保險的投保率上升⑤數據來源：Cyber Risk,Property,Casualty,&Transaction Insurance Events|Advisen Ltd。

二、數字經濟時代我國網絡安全保險的發展機遇分析

（一）網絡安全產業高速增長，夯實了保險技術基礎

我國網絡安全產業因數字經濟政策扶持、數字技術升級和安全需求上升的多方驅動，在近年進入了高增長態勢。根據中國信通研究院的數據，2020年我國網絡安全產業規模為1702億元，增速為8.85%。近幾年，網絡安全企業深入布局網絡安全領域，鞏固了網絡安全產業鏈，并加大了研發投入。從網絡安全市場來看，2020年我國網絡安全領域融資事件已達40余起，涉及金額達到了90億元。快速發展的網絡安全產業保障了網絡安全保險市場的持續發展。受網絡風險高技術性及多變性制約，保險公司在數據積累和技術支持方面存在諸多短板。各大財險公司持續加大和網絡安全企業的合作力度，充分發揮其風險分散能力，并為網絡安全企業良性發展提供保障，同時，也從網絡安全企業中獲取網絡安全技術，挖掘網絡安全保險云計算、大數據、物聯網、工業控制、移動互聯網等應用場景，促進本土網絡安全保險落地。

近年來，我國各大保險公司不斷深化與網絡安全企業合作，推出國內網絡安全保單，探索中國企業網絡風險保險方案（見表2）。2017年，眾安保險公司聯合安恒信息推出了國內首份網絡信息安全綜合保險，該保險主要面向國內政府和企事業單位的網絡風險補償以及前端風險控制，為其提供了相對完整的保險解決方案，強調“技術防控+事后補償”的模式，保險責任覆蓋第一方損失和第三方責任補償。我國目前的網絡安全保險主要面向企業單位，面向個人的網絡安全保險仍是空白。根據中國保險行業協會的數據顯示，2020年共有17家財險公司提供獨立的網絡安全保險產品，占財險公司的20%；其中大部分提供的是網絡安全風險一攬子保險產品，占該保險的69.2%；針對第一方損失和第三方責任賠償的網絡安全保險分別占23.1%和7.7%。

表2 國內大型網絡安全企業與保險公司合作概覽

網絡安全企業持續加碼云安全和大數據安全防護管理、移動安全和工控安全，以及物聯網安全產品的投入，提高了保險公司的風險保障水平和風險監測能力。持有大量客戶數據的保險公司也容易成為網絡犯罪的攻擊對象。在財產保險公司的數據庫中，客戶健康數據、汽車駕駛人數據以及承保網絡安全保險所帶來的其他企業數據，是網絡攻擊所偏愛的對象。根據國內首個第三方安全評價機構“安全值”的調研，我國半數財險公司與58%的壽險公司都存在安全漏洞。而伴隨著疫情的常態化，保險公司被迫加速了數字化經營進程，而這又放大了網絡安全漏洞。因此，網絡安全企業可以為保險公司提供網絡安全服務，提高保險公司抵御網絡攻擊的能力。2020年，中國電信上海分公司和上海華訊網絡系統有限公司分別中選大地產險的DDOS攻擊防護服務項目和服務器端防惡意代碼軟件擴容項目。保險公司通過項目招標的方式與網絡安全企業不斷加強合作，有效提高了自身的風險抵御能力。

（二）保險科技的應用落地提供了有效解決模式

1.快速發展的保險科技拓寬了其應用場景。保險公司加速保險科技應用和數字化轉型，才能提升其在數字經濟時代的競爭力。中國保險科技市場規模從企業投資額來看，由2015年的441.5億元上升到2019年的775.4億元，年復合增長率達到15.1%。在融資方面，保險科技自2015年迎來融資高峰后一直處于活躍狀態。大量科研投入使得近年的保險科技完成了應用落地，并為網絡安全保險的發展提供了技術基礎。與一般財險業務不同，由于網絡安全風險的特殊性，網絡安全保險更加需要深度結合保險科技，以便進行風險評估和管理。在當前各行業“算法、算力、數據”三要素深度融合的環境下，云計算、大數據、物聯網、人工智能等前沿技術正在不斷拓寬保險科技在日益突出的網絡風險格局中的應用場景，保險公司在近幾年加速布局保險科技市場，以實現數字化轉型。

2.區塊鏈技術或可破解數據保護的難題。區塊鏈技術已經在健康險、農業險和再保險中得到廣泛運用，為網絡安全保險的數據保護提供了解決方案。網絡安全保險可以參考其他財險與區塊鏈結合的模式，發掘保險科技給網絡安全保險帶來的新機遇。中國網絡安全保險市場當前面臨數據保護與使用的難題，區塊鏈技術通過構建新式記賬簿，對投保人數據進行保護與儲存，而且能在保險公司及網絡安全聯盟之間實現數據的流通與共享。同時，區塊鏈技術有利于提高投保人對保險公司的信任感，提升網絡安全保險的需求量。此外，加密數據庫能更好地幫助保險公司建立自身的網絡安全數據庫，其可追溯性的特點能夠提高保險公司的風控管理水平。目前，眾安科技投資開發的一站式隱私合規平臺ACE已進入運營階段，其核心模塊DKMS基于密碼學技術實現可信密鑰管理功能，以支持滿足用戶意愿的數據共享和轉讓，并通過加密方式防止企業對用戶敏感數據的濫用。另一個核心模塊BlockDB基于不可篡改的特性構建企業安全數據庫，能夠有效防止員工的過失責任風險。

3.人工智能和機器學習賦能風險檢測機制。由于網絡安全風險的特殊性、復雜性及多變性特點，網絡安全保險單純依靠人工進行網絡安全的評估防御并不現實，現代人工智能技術（AI）和機器學習技術（ML）則為網絡風險檢測創造了技術條件。目前，人工智能及大數據技術已大量應用于保險公司風控體系，致力于建立反欺詐系統等風險控制體系，識別檢測風險。強調優質算法的機器學習技術，能夠有效整合并清理前端數據，使其成為AI技術的驅動力以形成生產型數據戰略。在網絡安全保險的風險控制中，缺乏完善的網絡安全數據管理模式，難以有效捕捉和分析網絡中的安全漏洞以及潛在攻擊，而AI技術和ML技術就能形成技術閉環，有效防止網絡風險。基于網絡攻擊的頻率、規模以及人為因素的特點，ML技術能更好地提煉有價值的數據，并形成數據集以供AI技術學習分析。網絡保險分析公司En?velop Risk基于人工智能的建模和仿真工具，利用經濟、技術、行為和歷史數據，將網絡風險描述為動態系統。該公司結合了網絡攻擊策略和趨勢分析、外部網絡態勢分析和社交媒體數據，致力于為保險公司提供網絡安全風險分析。

（三）政府和監管機構高度重視網絡安全，為新險種設計提供了有利條件

網絡安全是實現網絡強國的基礎和前提。隨著數字經濟深入發展，我國政府不斷加快網絡安全相關政策的布局，積極推出相關規范文件，完善了網絡安全產業格局。“十四五”規劃中明確指出，未來的建設方向是加快數字化轉型發展，以信息技術賦能數字經濟，創造數字中國新優勢。

1.網絡安全政策規范文件持續推出，為網絡安全保險創造了發展新機遇。自《中華人民共和國網絡安全法》2017年推出后，我國緊緊圍繞“數據要素”這一本原，完善數據安全方面的立法制度。2020年，《數據安全法》和《個人信息保護法》已納入網絡安全法治建設體系中，標志著我國個人數據保護進入了新時代。根據美歐的發展路徑分析，愈加明晰的數據歸屬界定，能使得網絡安全風險涉及的第三方應付責任實現有法可依，并促進網絡安全保險的健康發展。全新的數據監管環境，正在呼喚網絡安全保險提升保障水平并拓展保險范圍。更嚴格的法律法規將會進一步規范目前國內的數據治理亂象，傳統財險產品將明示自身的保障范圍以緩解沉默風險的影響，網絡安全保險將明確區分于傳統財險，并專為網絡風險提供保障，這為該保險發展創造了新機遇。實施個人數據保護的相關法律，會促使保險公司將產品瞄準網絡安全個人險。基于國內個人數據資產的風險特點，以及海量移動支付交互的存在，保險公司將會打造本土化的個人網絡安全保險、填補國內空白，而這也將會成為財險業務市場的下一個藍海。

2.國家的政策法規持續關注新興技術風險。近年來，我國市場監管機構持續關注新興技術帶來的風險，并陸續發布面向新興數字技術的政策法規。新技術的應用能夠提升各行業服務質量，但新興技術在發展初期常把效益放在首位而忽視了潛在風險。在我國，網絡安全由網信辦、工信部、公安部和行業監管部門聯合監管。2017年以來，工信部針對車聯網、5G、工業互聯網以及人工智能數個領域發布文件，引導網絡安全與新技術融合。隨著保險科技在網絡安全領域的應用，政策法規對新興技術風險做出引導規范，使得網絡安全保險能更多地從科技發展中受益；在投保企業方面，四方聯合監管規范新技術的使用，能為保險公司前期評估投保人網絡安全風險提供便利。

（四）重大疫情加深了企業的網絡風險認知，保險需求日益增加

當前是后疫情時代與數字經濟時代的疊加期，各企業受疫情影響被迫將原有線下業務轉至線上進行，加速了數字化轉型進程。現代數字經濟正在全面重構產業鏈，其中網絡風險的防護優先級不斷上升。在新冠疫情前期，網絡安全風險就已成為各大企業風險控制的重點，并且主要以前期技術緩解控制為主。國內目前的網絡安全市場規模約為1702億元，而網絡安全保險發展尚不充分。我國大部分企業聚焦于投資網絡安全防御領域，將網絡安全防護前移至預防端，認為網絡風險可以通過技術手段來管理或者消除。全球化數字經濟體系下的大范圍網絡安全事件，使得網絡風險的系統性風險特征更突出，越來越難以通過安全技術手段緩解并控制。新冠疫情時期劇增的網絡訪問數量，擴大了企業的網絡風險敞口，而且員工在居家辦公期間的個人工作失誤等，都為網絡攻擊創造了條件。2020年3月，境外黑客組織對我國政府和醫療機構進行了定向攻擊。根據國家互聯網應急中心檢測，2020年3月境內感染網絡病毒的終端數達151萬余個，較2月增長13.7%；被篡改網站數量為26029個，較2月增長了41.6%。新冠疫情加深了各企業對網絡風險的認知，使其開始思考如何為自身網絡安全風險尋求事前技術控制與事后損失補償相結合的風險解決方案。網絡安全保險在新冠疫情放大了網絡風險后，將會迎來更多的企業投保。

新冠疫情引發的營業中斷風險也給數字經濟時代的企業帶來嚴峻考驗。信息不對稱、損失高度相關性、適用分析的歷史合同數量不足、定價頻率和嚴重性數據稀缺，以及網絡技術日新月異，這些因素導致的風險動態變化已使得傳統財險保單過時，且無法有效承保網絡損失。保險公司在其他財產保險中，開始將網絡風險列為除外責任，這也促使企業開始重視網絡安全風險并尋求獨立的保險。根據安聯保險集團對全球92個國家和地區2769名受訪者的調查結果顯示，網絡事件是僅次于疫情暴發的最令人擔心的業務中斷原因。出于對業務中斷風險的考慮，未來將會有更多的企業投保網絡安全保險，這將會進一步刺激網絡安全保險的需求。據Marsh公司的有關統計，越來越多的企業將網絡安全保險視為其網絡彈性戰略的關鍵，并愿意在未來花費財務預算的34%購買網絡安全保險。

三、中國網絡安全保險市場發展難題

在數字經濟和《中華人民共和國網絡安全法》的共同作用下，中國網絡安全保險迎來了大發展的機遇。但網絡安全保險市場目前規模較小，險種單一，保障范圍較窄，與數字經濟的發展規模不匹配。由于當前中國市場中網絡風險多納入傳統險種的承保范圍，而作為一個獨立的業務險種，缺乏統一界定的標準及承保范圍，因此其市場規模難以衡量。根據瑞士再保險公司估計，2018年中國網絡安全保險市場總保費已達到了7000萬元以上。盡管我國網絡安全保險預期將高速增長，但仍然存在許多亟待解決的難題。

（一）客戶數據保護和使用的范圍難以界定

數字經濟時代使得數據資料上升至核心生產資料高度，并模糊了數據使用和安全隱私的邊界。由于中國網絡安全保險起步較晚，缺乏數據精算基礎，因此精算模型未能更優化。網絡安全保險保障范圍通常包括第一方損失和第三方損失責任，其中第一方損失保障涉及數據損失及泄露。保險公司通過評估數據資料的網絡風險來進行定價，需要明確保戶的數據價值并確定其可保性，特別是在承保期內，保險公司需要建立數字化平臺對保戶數據資產進行捕獲追蹤，并掌握其動態信息，這必然引起投保人對自身數據資產的不安全感乃至引發道德風險。因此，目前國內經營網絡安全保險的財險公司面臨明確界定保戶數據資產保護和使用范圍的問題，亟需一套行之有效的數據保護方案，在確保數據安全的前提下能夠及時獲取并使用數據。

（二）網絡風險精算數據庫的建立面臨障礙

保險業通過積累巨量歷史數據對未來不確定事件進行預測，以此建立精算模型探索風險承保方案。網絡風險作為一種新興風險，國內各保險公司缺少經驗數據累積，缺乏定價依據。而網絡犯罪由于數字技術的發展日益復雜多變，保險企業收集的數據很快失去了相關價值。而且受攻擊公司可能會基于自身名譽問題或避免遭到持續攻擊等，掩蓋受到網絡犯罪的事實，這都給保險公司收集損失數據帶來了難題，也阻礙了保險精算模型的構建。不同于一般財險所面臨的外部自然風險因素或是內部人為因素，網絡保險所面臨的外部人為風險因素也提高了精算建模的難度。國內目前對于網絡保險的研究主要集中于定性分析，依賴于幾項確定性指標分析網絡安全風險，而定量分析網絡保險定價問題的研究很少。數字經濟帶來部分基礎服務企業的業務高度數字化、整體化，而其受網絡犯罪攻擊引起的業務中斷等連鎖反應將會上升至網絡巨災事件。2017年的NotPetya惡意攻擊軟件攻擊就感染了全球150多個國家，造成很多公司、政府機構運作癱瘓，經濟損失超過100億美元。由于缺乏日常歷史數據監測控制巨災風險，因此增加了潛在的巨災損失，進一步提高了保險定價難度。

（三）核心定義及保險合同缺乏行業的統一規范

中國網絡安全保險的保險責任已納入傳統險種承保范圍來承保，例如營業中斷保險以及董事責任險等。但是，當前國內仍然缺乏一套統一規范的網絡安全保險規范性文件，對于網絡安全保險的核心定義、保障范圍、理賠條件以及合同標準缺乏明確定義。欠缺規范的市場環境無法確保此保險的良性發展，而缺乏核心定義的保險產品，依靠借鑒國外產品條款未能實現本土化則難以契合市場需求。此外，隨著潛在網絡風險的擴大，財險公司更應該注重傳統險種與網絡安全保險保障范圍的劃分。

近年來，沉默風險越來越受到國外學者關注。沉默風險（Silent Risk），即數字化信息技術的產生給傳統保單帶來了合同措辭未明確承保或者拒保的新型風險（Cartagena等，2020）。值得傳統財險和責任險保單注意的是，條款中長期嵌入大量的隱藏的沉默風險。2017年波及全球的網絡巨災事件給各行業造成的損失90%來自沉默風險，這已經引起了國外保險公司以及監管機構的高度重視⑥數據來源：Petya cyber industry loss passes$3bn driven by Merck&silent cyber:PCS-Reinsurance News.。

（四）企業網絡風險意識大多聚焦于技術緩解

國外企業雖然普遍重視網絡安全保險，但目前國內企業對于網絡安全更加關注技術層面的緩解。企業認知不足導致近年來網絡安全保險的需求乏力，而預期較低的保費收入導致保險公司減少了網絡安全保險的投入。由各大財險公司和網絡安全企業的合作情況可以看出，目前網絡安全保險業務主要停留在國家安全領域，其中政策性導向更多，商業性網絡安全保險的落地仍面臨很大困難。國內企業主要運用技術緩解網絡風險的重要原因是，目前國內仍未出現重大的系統性網絡安全風險。2017年席卷歐美的網絡安全事件極大地刺激了網絡安全保險需求，推動企業開始關注數據損失以及業務中斷的補償。而對于第三方責任，過去幾年國內的網絡安全法律對于第三方責任領域立法仍存在較大空白，從而抑制了企業的網絡風險責任意識。

四、國外網絡安全保險的經驗借鑒

（一）美國網絡安全保險的發展經驗

自2012年以來，美國網絡安全和基礎設施安全局（CISA）不斷加強與網絡安全保險相關方的溝通，以探索有效的實踐模式。國家機構確保了企業首席信息安全官（CISO）、首席安全官（CSO）與保險企業的交流渠道，有利于網絡安全保險的供需匹配。2021年，為促進美國網絡安全保險市場的強勁增長，維護保險公司的財務穩定、保護投保人的權益，紐約金融服務部（NFS）推出網絡保險風險框架，闡明了一系列風險管理的實踐措施。該框架更加關注保險公司所面臨的沉默網絡風險和系統性風險。NFS要求保險公司的網絡安全保險應當明確并量化沉默網絡風險以及定期評估系統性風險。美國的網絡安全保險在近幾年才迎來高速增長期，但其監管機構更為注重保險公司承受風險能力的監管，強調在風險能力承受范圍之內，進行網絡風險的分散。

CISA認為，擴大并改進網絡安全市場的關鍵措施是網絡信息事件共享、網絡事件后果分析和企業風險管理。基于上述措施，CISA探索了網絡事件數據存儲庫的構建模式以及網絡信息事件共享機制。該數據庫提供一個安全的環境，以供面對網絡風險的企業共享自身數據。構建網絡事件數據庫，能提供給企業更多的風險認知，提高其網絡防護的覆蓋面積并縮小風險敞口；保險公司也能通過數據庫構建更加精準的精算模型，豐富網絡安全保險的供給。另外，CISA通過開發并實施網絡信息共享和協作計劃（CISCP），使得政府、基礎設施所有者以及企業能夠進行信息交流，并建立信任空間，加強信息交流能提高網絡風險監測及識別能力。

總體而言，美國網絡安全保險市場的做法，揭示了一個有效保險制度模式以及配套設施的重要性。我國網絡安全保險市場當前處于起步階段，而數字經濟快速發展正在呼喚網絡風險的解決方案。一套行之有效的網絡安全保險實踐方案、完善的配套設施及相應制度是其良性發展的重要保障。基于美國網絡保險市場的經驗，我國應該發揮獨有的全國一盤棋優勢，以政府強有力的號召能力，確定網絡安全保險的整體框架，建立網絡風險事件數據存儲中心及網絡安全事件信息分享中心，為網絡安全保險的前期發展奠定基礎。同時，我國政府各部門也應當聯合行動，搭建監管層、企業層以及學術界的三方合作模式，探討中國網絡安全保險的有效實踐模式。

（二）新加坡網絡安全保險的發展經驗

2015年9月，新加坡政府開始調整經濟發展戰略，提出了建設“智慧國家”的戰略布局，致力于建設以政府為主導的全球智慧技術研發中心和金融服務中心。新加坡擁有亞洲高度發達的保險市場以及發展成熟的保險科技行業，也是亞太地區重要的數據樞紐，致力于通過數據優勢全面推動數字經濟發展。在新加坡市場，政府監管部門和保險公司很早便注意到了網絡安全風險敞口的擴大并思考風險解決方案。與美國監管模式類似，新加坡金融管理局（MAS）和網絡安全局（CSA）共同對保險行業面臨的網絡風險以及網絡安全保險進行了嚴格監管。

新加坡政府監管機構積極推動網絡安全防護能力的支持機制建設（見圖3）。MAS建立金融部門安全運營中心用以收集網絡風險數據，并和國際社會建立有效合作關系，構建網絡安全保險風險管理框架。為了引入國際先進網絡安全技術，新加坡設立了網絡安全能力補助金，吸引國際金融機構在新加坡建立網絡安全職能中心。2018年，新加坡宣布成立10億美元的世界上第一個網絡風險保險基金，該項基金由新加坡再保險協會和網絡專家Peter Hack?er合作建立，主要面向亞洲范圍內特別是東盟地區的經濟體。該制度能有效分擔網絡風險，提升亞洲地區保險公司抗擊巨災性網絡風險的能力。

總體來看，新加坡的經驗主要集中在彌合金融機構的網絡風險敞口，提升企業抗風險能力。新加坡金融監管當局以及網絡安全局，聯合對保險業網絡安全風險進行嚴格的監管。在網絡風險日益突出的背景下，如何構建并完善金融機構的網絡安全防護機制，以及解決當前我國金融機構的網絡風險問題，值得思考和借鑒。

（三）歐洲地區網絡安全保險的實踐

GDPR條例的生效揭示了歐盟迎來了個人數據安全強監管的時代。該法案使得網絡安全保險的第三方責任有法可依，刺激了網絡安全保險的需求量。其巨大的罰金上限使得各企業面臨數據經營業務中的合規風險，開始尋求保險方案解決GDPR所帶來的巨額罰單問題。根據財務分析網站Finbold的計算，2020年GDPR針對歐洲國家的罰款總額高達3.063億歐元,違規累計數量激增113.5%⑦數據來源：UPDATED:EU countries amass€306.3 million in GDPR fines in 2020(finbold.com).。歐洲的巨額網絡風險責任索賠將迫使企業提升數據安全的治理能力，以跟上數字經濟發展的步伐。同時，GDPR也極大地改變了歐洲網絡安全保險市場。GDPR帶來的高額索賠，無疑使得保險公司明確網絡保險保單中的沉默網絡風險，主動明示何種范圍下的網絡攻擊事件引起數據泄露的網絡風險納入可保風險，提升了保險合同條文的準確性。保險公司也開始思考保險范圍的界定，針對GDPR所產生的巨額罰款設計新型承保方案或作除外責任來處理。自2019年開始，美國Coalition公司提供高達1500萬美元網絡安全保險產品，其中以附加責任的方式對GDPR的責任賠款進行承保。另一方面，GDPR對保險公司數據搜集帶來了新挑戰。更加嚴格的數據保護措施阻礙了企業之間數據的共享，削弱了保險公司建立風險數據庫的能力。總體來看，GDPR有效推進了保險公司對于網絡安全保險的改進與思考，網絡安全保險開始和傳統財險明確劃界，而對于個人數據安全的嚴格監管，促使保險公司探索更加合理科學的承保巨額責任的索賠方案。

英國是歐洲地區最早進行網絡安全探索的國家，并建立起了一套完整的網絡安全保險生態。從英國的具體實踐來看，該生態體系以保險行業為主體，并以雙峰監管為主要監管模式。除保險行業以外，英國更注重各行業的聯系以及數據共享以創造更優的生態環境。從國際環境來看，英國積極聯合國際行業合作伙伴，創造了數據分享模式。受網絡技術的專業性影響，網絡安全服務商以及網絡安全認證供應商是英國網絡安全保險生態的重要組成部分。而網絡風險的犯罪性特征，導致英國引入了執法機構，以便增加風險保障。

總體而言，歐洲地區網絡安全保險的經驗在于極大地推動了數據安全立法的進程。明確網絡安全責任的索賠范圍以及明晰的數據使用范疇，更能規范網絡安全保險的發展。數據安全立法趨嚴將會是未來趨勢，而中國網絡安全保險及其供給企業則需要思考如何量化網絡風險責任，并為其尋求新型承保方案。

五、數字經濟時代創新發展中國網絡安全保險的政策建議

（一）對網絡安全保險經營公司的創新建議

1.大型網絡安全保險經營公司的創新建議。大型網絡安全保險經營公司應充分發揮其成熟的數字化運營能力，憑借一體化數字生產價值鏈，以數據和相應保險科技手段驅動我國網絡安全保險的廣泛應用。

（1）以點帶面，依靠頭部引領建立風險數據庫。風險數據庫對于財險費率定價關系重大。當前網絡安全保險行業內普遍存在缺乏網絡安全保險定價的依據問題，使得各財險公司難以涉足網絡安全保險業務。從國際發展經驗來看，美歐保險公司在經營早期就建立了網絡風險數據庫，輔助各企業進行精算定價，這有利于優化網絡安全保險精算模型，并推動保險公司推出網絡安全保險產品。國內財險公司也可以借鑒國外經驗，大型保險公司應充分發揮自身頭部企業的深度價值鏈優勢，搭建三方合作橋梁，在數據安全的前提下牽頭建立網絡風險數據庫。在數據分享方面，大型保險公司應當以共享精神構建數據分享模式，打通數據壁壘，充分發揮數字經濟時代大數據的優勢，共同抵御網絡安全風險。

（2）努力提升數字經濟中的保險科技應用能力，賦能網絡安全保險的發展。大型保險公司多年布局保險科技已到了收獲季節，而技術的良好應用能提升網絡安全保險的風險識別能力。針對當前網絡安全保險存在的難題，大型保險公司應當努力提升保險科技運用能力，發揮技術優勢堵住網絡風險點。例如，當前承保網絡安全保險中的數據存儲難題亟待解決，而保險公司可以運用區塊鏈技術，對保戶數據進行加密處理，在確保數據隱私的情況下提升數據共享及使用效率。在保險科技應用場景方面，大型保險公司應充分發揮人才及部門優勢，夯實技術基礎，把保險科技運用到網絡安全保險的各個價值鏈。

（3）盡快打造“網絡安全保險+網絡安全服務”的創新型承保模式。各大保險公司要充分認識到，網絡安全保險旨在保障數字經濟的平穩發展，而單純依靠保險難以有效緩解當前企業所面臨的潛在網絡風險。依靠前端網絡風險技術控制、后端網絡安全保險兜底，以及網絡事件緊急響應服務，才能全面控制網絡風險。大型保險公司擁有豐富的技術優勢以及人才資源，以其優質資源更能吸引國內網絡安全企業進行合作，以服務為基礎打造創新型一體化的網絡風險承保模式。

（4）切實提高網絡風險的防控意識。大型財險公司在承保網絡安全風險時，應當注意經營過程中暴露出來的數據安全風險。大型財險公司因其龐大的數據資源，易成為網絡攻擊的目標；在經營網絡安全保險過程中，不合理使用數據的行為則會催生責任風險。大型財險公司應當努力提升自身終端安全管理水平，加大網絡安全信息技術的投入，加強員工安全技能的培養，全面提升防控網絡風險的能力。大型保險公司在經營過程中還要注意數據的安全使用規范，努力改善數據加密技術，以數據安全為前提，確保網絡安全保險業務的平穩發展。

2.中小型網絡安全保險經營公司的創新建議。中小型保險公司的資本積累和技術實力與大型保險公司存在很大差距，難以在傳統財險業務中與其競爭，故可以專注于新型風險的承保，形成垂直業務領域。因此，中小型保險公司在網絡安全保險領域，可以采取如下發展策略：

（1）汲取國外經驗，深耕網絡安全保險的垂直領域。中小型財險公司應當選擇幾個特色險種領域深耕發展，打造自身品牌效應。在特色網絡安全保險領域中，可以深度挖掘其創新技術應用空間，提升數據使用效率，拓寬保險科技手段的應用場景，努力開發新型險種。不同于當前市場上提供的網絡信息安全綜合險種，中小型公司可以從細分險種領域著手，以網絡風險為基礎提供自身特色的網絡安全保險險種。如針對以數據為核心的B端用戶，可以圍繞數據安全和數據泄露責任為其開發保險產品。

（2）加快局部數字化轉型，盡快提升信息技術運用能力。中小型財險公司相對大型公司，面臨分支機構少、技術沉淀弱以及綜合成本高的問題。如何運用數字化技術實現強化生產價值鏈、提升技術滲透率以及降低運營成本，對其數字化轉型、提升網絡安全保險經營效率意義重大。基于當前網絡安全保險的業務需求，中小型財險公司可以對業務模塊或者系統功能模塊加以改造，以數字化信息技術為導向，強化網絡安全保險的生產價值鏈。

（3）以企業聯盟的方式提供“一攬子網絡風險承保方案”。網絡風險作為新型技術性風險，很難通過保險公司一方提供全面的網絡風險解決方案。中小型保險公司缺乏充足的資金以及各種人才技術，并不具備獨立經營網絡安全保險的能力。通過借鑒國外先進經驗，可以聯合保險科技公司以及網絡安全企業建立網絡安全風險聯盟，提供端到端的網絡風險方案；也可以專注于網絡安全保險產品的開發設計，而前端的風險控制和運營流程可以交由專業的網絡安全企業和保險科技公司負責實施。網絡安全風險聯盟通過協同運作的方式，以專業優勢組合發揮其效用，從而提供一攬子網絡安全風險的有效解決方案。

（二）對網絡安全企業的創新建議

網絡安全企業屬于網絡安全保險市場上的支持服務方，在前期保險產品設計開發、后期保險運營風險管理中，都因其專業技術優勢而發揮著重大作用。對保險公司來說，通過與其合作能獲得技術優勢，加速保險產品開發落地；對政府監管機構來說，與其良性互動能實時監控保險企業風險敞口，不斷提升監管效率。

1.優化數據治理模式，豐富網絡風險形態應對策略。當前，網絡安全保險業務經營存在新興網絡風險不斷涌現、網絡風險形態不斷發展變化，以及缺乏歷史損失數據和業內典型案例的痛點。網絡安全企業應當立足保險行業特點，優化自身數據治理模式，發展以行業為導向的精細化數據治理模式。針對大型財險公司，網絡安全企業可以從數據存儲、數據挖掘技術開發、數據安全技術融資等方面，進行全面的戰略合作；針對中小型財險公司，可以從提供數據技術支持以及輔助數據庫建立等方面進行合作。網絡風險形態的動態變化，導致歷史風險數據庫建立受阻，而網絡安全企業可以從新型網絡安全信息技術入手，通過人工智能和機器學習技術捕捉網絡安全風險數據，多途徑分析網絡攻擊趨勢并建立相應的模型，以便全面提升數據使用的效率。

2.持續深化網絡安全技術，筑牢保險公司的網絡安全閥門。伴隨數字經濟快速擴張而來的網絡安全風險，既給保險公司帶來開發相應險種的機遇，也給處于數字化轉型中的安全運營提出了挑戰。網絡安全企業在與保險公司合作時，應當不斷拓寬合作領域，建立自動化、智能化以及合規化的風險管理平臺。同時，網絡安全企業還應當配合有關政府監管機構，實時監控經營網絡安全保險市場的網絡風險漏洞，及時發現并處理惡意網絡攻擊，通過大數據、人工智能以及云計算等技術強化保險公司的終端安全。保險公司作為數據密集型產業，當前網絡安全防護薄弱問題可以由網絡安全企業來彌補，筑牢數字經濟時代保險公司的網絡安全閥。

3.優化網絡安全技術服務，賦能網絡安全保險產品開發運營。網絡安全保險產品主要承保高技術性的網絡風險。在保險向綜合服務型業務轉變的背景下，保險產品配套風控技術將成為保障方案的重要一環。為推動網絡安全風險解決方案的落地運行，網絡安全企業應當從優化網絡安全信息技術入手，結合細分領域的網絡安全保險推出對應網絡風險解決措施。基于投保企業面臨的主要風險及基本框架，可以針對常見的網絡攻擊形式開發對應的網絡安全防御手段，提升保險解決方案的厚度。網絡安全保險對于數字經濟時代的網絡安全意義重大，網絡安全企業的愿景和使命在于增強國內網絡安全韌性，因此網絡安全企業應當以其網絡安全技術優勢，匹配保險企業的損失補償職能，整合性地提升企業網絡安全彈性戰略。

（三）對政府監管部門的政策建議

政府監管部門屬于網絡安全保險市場上的監管支持方。國家網信辦、工信部、公安部以及行業監管機構組成的多部門聯合監管模式，基本確定了我國網絡安全監管框架。為了網絡安全保險的平穩落地、良性運行，政府監管部門可從以下三方面來積極應對：

1.建立數據溝通分享機制，助力風險數據庫的建立。網絡安全保險的實施，需要大量的風險損失數據進行財險精算建模。財險企業推出的網絡安全保險承保各行業的風險，而跨行業、跨市場的經營，導致風險數據收集成為經營痛點。鑒于數據與網絡基礎設施是網絡安全的重點，政府管理部門可以推動構建數據溝通分享機制，加快匿名網絡安全事件披露平臺的建設，為保險行業構建網絡風險數據庫提供制度基礎，從而有效提升網絡安全保險定價能力。同時，政府監管機構應當定時與保險公司、網絡安全企業以及學術界進行溝通交流，共同探索網絡安全保險的有效實踐模式，吸納風險管理意見、了解智能基礎設施建設需求，為中國數字經濟發展提供強大動力。政府監管部門通過建立數據溝通分享機制，能夠有效打通數據壁壘，提升監管效用。

2.建立網絡安全保險標準，審慎監管沉默風險。當前，國內缺乏網絡安全保險的行業規范文件。在網絡安全保險第一方損失責任中，各份保單所涉及的業務中斷觸發條件以及網絡攻擊損失定義的準確度不統一。在網絡安全保險第三方責任風險中，國內保險公司在承保范圍以及除外責任的劃分上存在著較大出入。新保險產品的順利落地離不開政府監管部門發布的規范文件，因此政府監管部門以及中國保險行業協會應當盡快發布行業規范性文件，對網絡安全保險的核心定義以及權責歸屬問題作出詳細的界定規范，引導網絡安全保險加快落地。對于傳統財險保單中的沉默網絡風險，政府監管部門應當密切關注審慎監管，促使保險公司評估并量化其傳統財險保單中的網絡沉默風險，縮小其風險敞口。受信息技術發展的影響，監管機構應當積極聯合保險公司與再保險公司以及保險經紀機構，聯合建立評估框架，盡快明晰當前財產保險合同條款的具體定義。

3.建立巨災性網絡風險共同基金池，關注市場剩余風險。受數字化轉型的影響，社會各級產業鏈整合并向數字化轉型，這一趨勢使得聚合性網絡安全風險的出現成為可能。全球再保險公司也在積極思考巨災性網絡風險的解決方案，復興再保險公司與英國Beazley探索，積極利用資本市場來分擔巨災性網絡風險損失。我國監管部門應當積極關注潛在的巨災性網絡風險，參考巨災風險共同基金池制度，建立我國網絡巨災風險基金池制度。共同基金池可以由政府、保險公司以及再保險公司共同出資設立，旨在承保巨災性網絡風險帶來的巨額經濟損失。對于頻繁面臨網絡攻擊的受損企業，可以將其納入基金池，由市場上的財險公司共同分擔這一風險。通過建立風險共同基金池，政府部門可以更好地監管財險公司的償付能力，進而不斷提升其經營網絡安全保險的能力。