數字經濟時代網絡風險分散機制構建研究

○唐金成 莫賜聰

廣西大學經濟學院 廣西南寧 530004

一、數字經濟發展與網絡風險的矛盾現狀

（一）數字經濟時代發展與安全的辯證統一

在數字經濟時代，國家始終秉持發展與安全并重的核心理念，堅持實現安全與發展的良性互動，形成雙輪驅動力。在高質量發展前提下，我國不斷穩步推進相關安全工作；而在高水平的安全背景下，我國一直落實并深化各項安全改革工作，確保經濟社會發展的深度和寬度、確保在安全環境中實現平穩有序發展。如圖1所示，據中國信通院數據，2017—2021年，我國數字經濟規模從27.2萬億元迅猛發展至45.5萬億元，總量穩居世界第二。2021年數字經濟同比名義增長16.2%，占GDP 比重達39.8%，逐漸成為推動經濟增長的重要引擎之一。愈加龐大的數字經濟規模需要相應的網絡安全保險保駕護航。

隨著數字通信技術及新型基礎設施建設的不斷發展，數據要素成為繼勞動力、土地、資本和信息后的第五大生產要素。數字經濟高速發展凸顯了數據要素的重要價值，體現在以下兩方面：一是在于“發展”，即如何運用數據要素助力數字經濟邁上新臺階。在數據與算力所構成的數字經濟底層基礎中，新型生產要素與生產力催生了應運而生的生產關系。算法成為溝通數據與算力運行機制中的重要平臺。新型算法極大地發揮了算力的內在價值，提升了經濟資源配置效率。二是在于“安全”，即如何保障數據要素的安全運行以便更好地護航數字經濟穩步運行。2014年，習近平總書記在中央網絡安全和信息化領導小組第一次會議上強調，信息資源日益成為重要生產要素和社會財富，信息掌握的多寡成為國家軟實力和競爭力的重要標志①數據來源：https://www.gov.cn/xinwen/2014-02/27/content_2625112.htm。，凸顯了數據對提升國家競爭力的重要價值。數據資源作為核心生產要素，其安全問題成為數字經濟平穩發展的“壓艙石”。數字經濟規模的擴大伴隨著網絡犯罪的日益猖獗，據Cybersecurity Ventures測算，網絡犯罪僅在2022年就造成全球8萬億美元的損失，并以每年15%的速度增長，預計2025年達到每年10.5 萬億美元的損失。安全與發展是辯證統一的，安全是發展的前提，發展是安全的基礎。當前數字經濟平穩發展離不開網絡安全，而網絡安全的意義在于護航數字經濟可持續發展。如何提高防范化解網絡安全風險的風險治理能力，分散并緩釋網絡安全風險對現有數字經濟的沖擊效應，是當前亟待研究的重要課題。

（二）數字經濟與網絡風險突出的現實矛盾

數據存儲的海量增長及高頻的數字互動加速了各個經濟體之間數字層面的經濟交流，并為相關數字模式下新型經濟產業發展注入了新活力。但數據資源在賦能數字經濟飛速發展的同時，也承受著網絡風險與日俱增的壓力。根據IBM 發布的《2021 年數據泄露成本報告》，2020—2021 年，網絡風險造成的單次數據泄露平均總成本從386萬美元上漲到424 萬美元，同比增加9.84%。如圖2 所示，處理單次數據泄露事件不僅限于相關機構的升級維護及事后響應，還包括系統停機所造成的經營損失，包括營業中斷損失、客戶流失、獲取新客成本，以及商業聲譽損失。

圖2 2021年數據泄露平均總成本分布

隨著數字經濟不斷深入發展，未來數據資源所承載的經濟價值及長尾效應可能會加大，針對數據安全的網絡風險將會給數字經濟平穩發展帶來更復雜且多元化的壓力。當前數字經濟發展亟待解決的首要矛盾就是在突出的網絡風險環境中尋求科學的方法，努力治理網絡安全風險，不斷提升數字經濟發展的韌性。特別是近年來，在新冠疫情與數字化進程的疊加影響下，各類企業都在逐漸提高線上辦公的比重，該現象也使得部分缺乏網絡安全防護能力的企業擴大了網絡風險敞口。

二、以網絡安全保險為主要手段的網絡風險分散機制現狀分析

（一）網絡安全保險的社會定位及主要特征

1.網絡安全保險的社會定位。現代保險是非常有效的網絡風險轉移方式，網絡安全保險對提升企業組織的網絡安全建設水平作用極大。一是網絡安全保險的保費可以刺激企業組織的網絡安全投資。現代網絡風險治理格局之中，網絡安全保險的選擇非常重要，企業難以避免保費問題，只有加強自身網絡安全防護能力建設換取經濟的網絡保險保費，企業才可以達到最優網絡風險管理水平。二是網絡安全保險產品具有正外部性。在改善每個參與者網絡保護水平的前提下，數字經濟也必然會得到發展保證，社會網絡風險管理水平也會向最優點靠攏。三是網絡安全保險可以視為觀測企業組織網絡安全防護水平的指標。充足的保險覆蓋率能保障企業組織處于較好的經營水平，企業網絡安全保險的歷史賠付數據能夠反映企業的真實風險水平。四是網絡安全保險能夠改進現有的網絡安全標準。不斷增長的網絡保險市場會鼓勵保險公司優化保險條款，包括保費激勵及保險責任擴大覆蓋，以確保更好地保障網絡防護體系建設。

總之，網絡安全保險在網絡風險分散機制中處于核心位置，是重要的風險分散手段，反映了分散機制中的各項指標數據，包括風險分散水平、風險承受能力及網絡安全防護能力。因此，網絡風險分散機制的構建必須圍繞網絡安全保險這一核心進行整體布局。在各分散層級中，明確保險公司與再保險公司作為業務運作的主要組成部分，政府作為最后風險分散層級，逐一進行風險分散，實現保險市場對網絡風險分散作用的最大化。

2.網絡安全保險的特點。

（1）措辭嚴格的合同特征。保險合同對于保險承保流程意義重大。相對于傳統財險保單，網絡安全保險條款措辭更嚴格，其始終致力于消除沉默風險，并保證保單處于風險可控且精算建模有效狀態。一是網絡風險的賠付率及高額索賠導致保險公司為保障經營網絡安全保險業務的效益，必須增加更多的除外條款以保證保單的利潤率。二是明晰網絡安全保險保單的除外條款有利于增強可保性。Eling et al.（2016）認為，日常性網絡風險是可保的，而災難性網絡風險及帶有國家網絡戰爭性質的網絡風險則不具備可保性。如何使得網絡安全保險保單容納更多的日常性可保風險，豐富的除外條款必不可少。

（2）保險與安全服務綁定的經營特征。網絡安全保險承保方案離不開相關技術支持，其依靠“一攬子”方案提供綜合性網絡安全保險產品服務。網絡安全保險一攬子方案通常指“保險+技術服務”的綜合性承保方案，主流模式一般有三種：一是“網絡安全服務+網絡安全保險”模式，主要由網絡安全技術企業依靠技術優勢，不斷提升網絡安全保險各流程的服務體驗，強化技術性保險產品。二是“網絡安全產品+網絡安全保險”模式，主要依靠產品組合優勢，更有利于企業組織根據各自不同的風險格局選用不同產品組合，有效提升網絡安全防護效率。在該模式下，企業可以對特定業務流程選擇更多技術保障及風險分散形式，有利于提升其需求適配性。三是全流程一站式網絡風險解決方案，企業組織的風險識別、風險掃描、風險監測、風險處理及風險響應均由保險公司及網絡安全技術公司進行全方位介入。該模式能夠全面改善并提升企業組織的網絡韌性。

（3）保險與科技的深度融合。從網絡安全保險全流程來看，其科技化特征非常明顯。如圖3所示，在產品設計階段，通過數字孿生技術，科技公司可以為投保企業及保險公司構建實時實景的虛擬空間。通過風險宇宙形成龐大的風險數據庫，保險公司通過風險數據庫，可以動態查看最新的風險信息，以優化保險產品設計。在核保階段，網絡安全保險的風險評估效率需要保險科技來提高。保險科技可以利用科學方法、流程及算法從風險數據中挖掘深層價值，優化當前的風險評估模型與風險定價模型，確保企業獲得合理的保費。在承保期間，網絡安全保險同樣離不開這一科技特征。現有網絡安全保險產品與網絡安全服務相結合，依靠其網絡風險數據對保險對象進行風險掃描，形成圍繞行業、企業與場景的不同維度的風險洞察，輔助相關企業更好地進行風險管理。在網絡風險事件出險時，理賠和定損也離不開科技手段的深度參與。借助人工智能及區塊鏈技術處理網絡安全保險索賠案件是大勢所趨，依靠數據科學模型建立網絡風險定損模型是支撐快速理賠的重要保障，依托機器學習模型則能夠迅速分析投保企業是否存在保險欺詐行為。

圖3 保險與數字化技術的融合示意圖

（二）國內網絡安全保險市場發展現狀

1.市場規模有限，保單類型較少。據國家工業信息安全發展研究中心測算，2021年我國網絡安全保險保費規模7080萬元左右，較上年增長3.2倍以上，最高保額超過4億元（據《我國網絡安全保險產業發展白皮書（2021 年）》）。我國網絡安全保險市場整體規模雖然不大，但其保持高增長的狀態，未來幾年有望成為財險業務的新增長點。在目前網絡風險管理體系中，企業組織所選擇的網絡風險處理手段主要是風險自留及風險緩解，依靠保險手段進行風險轉移通常只涉及有形資產風險。波耐蒙與怡安的研究顯示，2022年只有16.6%的數字和其他無形資產獲得了保險保障，哪怕部分有形資產的價值較低，仍有58%以保險轉移風險，是無形資產的三倍。網絡風險管理理念的差異也是網絡安全保險市場規模小的主因。從國外經驗來看，這些保險缺口會使得未來網絡安全保險業務產生較大規模的增長。

從保單類型來看，我國目前網絡安全保險保單類型較少、承保機構數量不多。根據中國保險行業協會財產險產品信息庫數據，目前國內登記備案經營網絡安全保險的公司共有13家，其中，外國獨資保險企業5家、國有控股保險企業3家、中外合資保險企業1家、港資保險企業1家（如圖4所示）。提供網絡安全保險的外資企業占比超46%，顯示了外資保險機構在網絡安全保險方面的先發優勢。在網絡安全保險條款方面，蘇黎世財產保險和太平洋財產保險所提供的網絡安全保險條款最為豐富。

圖4 國內提供網絡安全保險的保險公司相關條款分布

2.以保險為核心形成了多種服務模式。保險與安全服務深度綁定是網絡安全保險產品的重要特征，這在國內外保險市場極為常見。目前，網絡安全技術企業擁有先進的網絡安全防護技術。面向各個基礎行業，網絡安全企業完善了端點安全、網絡與基礎架構安全、身份與訪問管理、應用安全、數據安全、安全管理六大基礎安全領域的建設，提供了零信任、數據安全治理、威脅管理/XDR、開發安全、安全運營/MDR/MSS、安全訪問服務邊緣六種網絡安全解決方案，初步實現了云安全、移動安全、工業互聯網安全、物聯網安全四大應用場景。因此，網絡安全企業是當前保險公司在風險評估及風險量化中最好的合作伙伴。

網絡安全保險市場受網絡風險演變的制約，由網絡風險的核心屬性決定。從風險管理角度來看，網絡安全生態需要風險轉移手段及風險緩解措施，共同弱化網絡風險的影響，網絡安全綜合服務也符合當前風險格局的需要。從風險感知角度來看，企業組織對于網絡安全技術的風險緩解效應更有獲得感，因此企業組織更愿意為能提供安全保障感知的綜合性產品付費。目前，國內網絡安全技術企業與保險公司達成了不少合作項目（見表1），這對于網絡安全市場的未來發展產生了賦能作用。

表1 2017—2022年保險公司與網絡安全企業的部分合作

3.頂層設計逐漸完善，形成了良好的政策效應。條款措辭嚴格是網絡安全保險區別于傳統財險的重要特征，為此，中國保險監管機構不斷對網絡安全保險的監管條例進行探索，并不斷出臺政策以保證網絡安全保險良性發展。在保險設計及運營環境方面，《網絡安全法》《數據安全法》與《個人信息保護法》搭建了優質的網絡安全政策框架，使得網絡安全的責任歸屬與法律權益有法可依，明確了網絡安全主體的責任與義務，強化了網絡安全的監管力度。在此法律框架下，我國中央與地方不斷探索風險減量與風險定價的政策路徑。2023 年1月，工信部、國家網信辦等十六部門聯合印發《關于促進數據安全產業發展的指導意見》，指出需要努力提升數據產業創新能力、壯大數據安全服務及推進數據標準體系建設。該文件指明了數據安全產業的發展方向和目前網絡安全市場實行風險減量的發展思路。2022 年12 月，財政部辦公廳起草的《企業數據資源相關會計處理暫行規定（征求意見稿）》為數據安全產業發展解決了數據定價問題。不斷完善的政策頂層設計，逐步豐富了網絡安全保險框架，也使得市場愈加規范化。

（三）網絡安全保險發展的問題分析

1.供給側問題分析。

（1）嚴格且復雜的保單條款抑制了需求。首先，網絡安全保險的購買力依賴于企業的保險需求，而現實矛盾是，企業風險轉移需求未被納入保險責任或是列于除外責任之中。為了更好地應對多變的網絡風險格局，現有網絡安全保單均作出了相應保險承保范圍的限制、明示了更多的除外責任。保險公司層面，嚴格的除外責任及有限制的承保范圍能夠更好地應對當前的風險格局，也是穩定經營的要求；企業層面，網絡風險的動態演變使得保險公司除外責任條款也是變動的，企業難以把握保險的實際承保范圍。Robinson（2012）認為，保險責任范圍的不明確是企業不購買網絡保險的原因之一。其次，過于嚴格的保單條款也抑制了保險需求。以數據安全保護為例，當前企業對于數據安全的風險轉移需求是從數據丟失中得到相應的損失補償，而不同行業對于數據內含價值的期望不相同，數據定價主要受賣方成本、市場價值及場景影響三方因素共同作用，而當前網絡保險對于數據定價較為嚴格，因此對保單條款作出了較嚴格的控制。總體來看，當前網絡安全保險受到諸多限制，而保單條款措辭復雜與嚴格的除外責任是傳統財險不具備的，這對網絡安全保險市場需求產生了一定抑制作用。

（2）缺乏標準化的統一風險數據庫。歷史數據庫一直是財險行業費率厘定的精算基礎，如何確保費率更加科學、風險敞口更小，歷史風險數據庫是先決條件。上述網絡安全保險問題，如供給單一與條款嚴格，都是因為風險量化工作不夠細致。從歷史數據累積來看，國外保險企業具備先發優勢，大部分外資保險公司在國內率先推出了相關保險產品；國內保險公司由于缺乏歷史精算數據，精算建模在沒有定價依據的支撐下變成了無源之水。從風險的核心屬性來看，網絡風險處于快速變化的狀態，由于網絡攻擊技術的進化，其對產業鏈的威脅方式也在不斷演變。現有歷史數據的有效性流失過快，網絡風險建模由此產生了歷史局限性。從投保方來看，為避免網絡風險帶來更多間接損失，企業對于網絡風險損失選擇匿而不舉，這無疑形成了一個新型數據壁壘，加深了信息不對稱。保險公司需要損失數據，而企業也需要一個提供損失數據的安全平臺，這個溝通橋梁目前還沒有統一性框架。因此，歷史損失數據庫的建立對于網絡安全保險產品的供給意義重大。要發展國內網絡安全保險市場及改善保險產品的供給側問題，應先解決統一的歷史損失數據庫的搭建問題。

（3）利潤率受損。保險公司提供保險產品的最終目的是獲得經營利潤，而網絡風險事件的增加已經對財險公司經營產生了沖擊。雖然市場極為看好網絡安全保險，過多的網絡風險敞口也需要相應保險手段進行彌合，但網絡風險所體現的風險聚合性及人為因素導致保險公司在承保中遇到了利潤難題。從國際相關發展經驗來看，目前網絡安全保險經營虧損的主因是高額的數據補償及找回費用、業務中斷補償費用，以及長尾性的損失糾紛。近年來，隨著網絡攻擊不斷瞄準企業供應鏈薄弱環節，并依靠多變的網絡攻擊手段使得大部分企業損失慘重，而損失的相關性與連鎖性進一步放大了損失效應。Sophos發布的《2021年勒索軟件態勢調查報告》顯示，當前支付的贖金平均為170404美元，但修復費用為185 萬美元，是支付贖金金額的10 余倍。保險公司利潤率的另一個影響因素是信息不對稱。在網絡安全保險市場，獲得了保險覆蓋的企業對于風險評估及風險防護能力建設更為放松，從而產生了一定的道德風險。保險市場道德風險問題是保險公司承保網絡風險面臨的巨大挑戰，如何消除道德風險影響、減少信息不對稱是當前保險公司提升承保效益面臨的重要問題。

2.需求側方面的問題分析。

（1）風險感知因素主導下的風險管理結構失衡。消費者購買行為將產生一種不確定的后果（Blankertz et al.，1969）。其基本假設在于消費者是目標導向型消費，購買商品卻不能達到預期的目標即感知了風險；而企業的風險管理決策是以有限的資金分配適當的比例，尋求外部的風險管理協助。目前，網絡安全保險市場的保險需求存在一定的替代性，企業風險管理決策者更傾向于選擇網絡安全技術，即通過采用先進的技術手段來緩解網絡風險。而對于以保險手段轉移風險，風險管理決策者則更愿意為有形資產支付相關保費，以獲得保險保障。就目前網絡風險的頻率及破壞性而言，風險緩解只能應對部分網絡風險。如果忽視了網絡安全保險的管理體系配置，在高頻的網絡風險攻擊下，其所引發的經濟后果將會是一般企業難以承受的，這從根本上來說是風險管理結構的失衡。適當的風險管理結構應當尋求一個合適的風險自留額及網絡安全建設投入額，以謀求獲取網絡安全收益的最大額（如圖5所示）。

圖5 企業網絡安全建設收益圖

（2）信息泄露事件的維權意識不強。歐美網絡安全保險市場激增的一個重要原因是相關數據保護條例的發布。以歐洲為例，《通用數據保護條例》（GDPR）的出臺意味著數據保護有法可依，而高額罰款會導致企業對于網絡安全保險第三方責任的需求增加。歐美都曾經歷過巨災網絡安全事件，其影響范圍之大、時間之久是大部分企業難以承受的，其造成的巨額索賠會提升相應的保險需求。頂層設計方面，我國逐漸完善了網絡安全相關的法律政策，明確了數據安全責任是有法可依的。法律政策的完善還未能轉化成實際保險需求的原因：一是我國網絡安全事件披露機制尚未完善。企業對于網絡安全事件遭受的損失及數據泄露情況不需要公開，其負外部性未得到第三方合作伙伴及公眾的知曉，因此未產生大型數據泄露索賠案件。二是數據濫用現象非常普遍，民眾的數據泄露維權意識不強。雖然近年來屢有加強數據保護的呼聲，但數據泄露索賠鮮有落到實處。因此，企業在數據泄露后并未從中汲取教訓，缺乏因高額索賠而產生額外的相關保險需求。

（3）對網絡安全保險的認識不足，保險經紀人制度缺位。網絡安全保險作為新險種，企業組織對其所能產生的風險轉移效用普遍不了解。網絡安全保險是一種綜合性保險，其保險范圍涵蓋了有形及無形損失，專業性的保單條款使其成為新型且復雜的財險項目。需求側主體對于網絡保險產品認識不足、保險經紀人制度缺位，導致投保主體對于網絡保險的了解途徑受到影響。在產品認知方面，保險產品宣傳過少及網絡風險意識淡薄，使得投保主體缺乏獲取網絡安全保險的有效途徑。大部分企業在面臨網絡風險時選擇以網絡安全技術來緩解風險，這既符合支出規劃，也符合其風險感知，這也會導致企業在風險管理戰略選擇上就缺乏主動了解網絡安全保險的動力。保險經紀人制度方面，保險經紀制度為買賣雙方牽線搭橋，成為搜索量和信息成本較高的市場環境中的“專業交易者”。保險經紀機構收集信息，為買賣雙方和產品的匹配提供市場空間，其存在能有效降低信息收集和交易成本。保險經紀人在國外一直是促成保險交易的重要力量，網絡風險咨詢、評估及量化風險敞口的工作，都需要保險經紀人的介入，并依靠其分析網絡安全投資組合中最值得風險轉移的部分，以達成網絡安全投資的最優，最終可以增加保險需求。

三、數字經濟時代我國網絡風險分散機制的構建思路

（一）構建網絡風險分散機制的目標

國內網絡風險分散機制的整體目標應該結合我國數字經濟發展現狀、網絡風險特征，以及網絡安全保險市場存在的問題，聚焦如何解決數字化轉型企業所面臨的網絡風險聚集問題，以便及時彌合當前網絡風險敞口，推動數字經濟健康平穩發展。

構建網絡風險分散機制的具體目標：一是強化網絡風險可保性，優化保險覆蓋范圍。信息不對稱、損失相關度較高、缺乏分散主體及潛在性巨災損失，對當前網絡風險的可保性提出了一定挑戰。因此，首要原則便是以多方式、多層次的手段分散網絡風險、增強其可保性、不斷優化網絡風險治理格局。二是依靠政府干預手段提振數字經濟市場信心，優化網絡風險認識結構。構建網絡風險分散機制能有效提振市場對于風險治理的信心，進一步提升生產效率和市場活躍度。同時，政府干預手段介入會使越來越多的企業組織了解網絡風險，糾正其網絡風險管理戰略的偏差、改善其網絡安全保險市場的經營狀況。

（二）構建網絡風險分散機制的原則

1.政府干預原則。針對各種網絡風險，市場私人治理難以提供社會最優網絡安全水平和保障網絡安全保險市場的正常運轉。因此，網絡風險分散機制的構建需要政府干預、私人治理與公共治理三者有效結合。其首要原則便是承認政府的重要地位，依靠政府干預手段實行網絡風險分散調控，從宏觀層面規劃網絡風險分散層次，實現社會層面網絡風險的最優治理。總體來看，網絡風險分散機制是一個自上而下的全國性機制，涉及多方主體的參與合作，只憑借市場調節資源配置及風險管理策略的配置，顯然不能最大化其安全效應。只有基于政府干預，依靠政府及監管機構充分發揮統籌優勢，主導網絡風險分散機制的構建及運作，才能充分發揮網絡風險分散機制中各主體的能動性，不斷增強風險分散機制的內在動力。

2.多主體參與原則。國外學者Smolka（2003）曾分析在風險轉移過程中所需要的五個主體：風險所有者、保險人、再保險人、資本市場及政府。在整體風險框架中，各方主體各司其職，共同支撐起整體的風險分散架構，因此構建網絡風險分散機制的主要原則應為多主體參與。堅持各方主體參與網絡風險管理框架，完善網絡風險管理上下游產業鏈，形成多主體參與、市場主導及政府干預監督的網絡風險分散機制。在此機制之下，各方主體應當積極履行其責任義務，努力形成合力，管理好網絡風險。

3.風險共擔原則。經濟學家塔勒布（2018）在《非對稱性風險——風險共擔，應對現實中的不確定性》中指出，經濟活動中應當建立對稱的關系，防止被他人轉嫁隱藏的尾部風險。為應對非對稱性風險，各方主體應當依靠“入局”的方式，實行風險共擔原則。網絡風險分散機制同樣應該實行風險共擔原則，使風險所有者、保險公司及政府機構共擔網絡風險，共同面對其帶來的損失，共同彌合網絡風險敞口。政府機構的介入并不是對網絡風險損失照單全收，而是充當最后保險人角色。因此，網絡風險分散機制在實施過程中，應嚴格按照預先設計的網絡風險留存量，確定各層面臨的網絡風險敞口、明晰各方責任及義務、穩定分散機制的基本結構，實現市場平穩運行。

（三）構建網絡風險分散機制的基本要素

1.風險擁有者。風險擁有者是網絡風險的第一責任人，其主要負責在前端緩解網絡風險并選擇部分網絡風險進行分散。在網絡風險事件發生前，企業組織應當積極履行網絡風險的緩解義務，減少網絡風險的損失預期；在網絡風險事件中，企業組織則應積極配合保險公司與網絡安全公司進行數據恢復工作，以安全的方式履行其風險告知義務，盡可能地減少網絡風險的損失；在網絡風險事件發生后，企業組織則應積極咨詢律所，明確事故中自身的第三方責任損失，做好出險事故認定工作。總體來看，企業組織是網絡安全事件的全流程參與者，各方共擔網絡風險即與企業組織共擔網絡風險。因此，緩解并轉移網絡風險，弱化市場的信息不對稱，企業組織是第一責任人。

網絡風險分散可以從企業組織層面進行第一層分散。在共同面臨網絡風險的企業組織中，建立一種保證金形式的風險補償資金池，進一步創新風險補償機制。風險池管理機制就是將風險特征類似的個人或團體列入一個風險池中，單獨進行風險管理及定價。此方法目前在我國醫療保險行業運用較為廣泛。規劃網絡風險池，即從企業組織層面構建第一層的網絡風險分散。通過風險前置模式，在網絡安全事件發生的第一時間，網絡風險池就先進行資金補償，以便保障企業業務資金的連續性。網絡風險池管理制度的設計可從范圍框架入手，部分企業組織可以建立私人網絡風險保險池，地方企業也可建立地方網絡風險池，行業組織則可以自行搭建行業的網絡風險池，實行網絡風險的層層分散。

2.保險公司。保險公司與再保險公司是網絡風險轉移的主要力量，主要負責收取保費、實現網絡風險在各市場的轉移分散。為應對網絡安全風險事件，保險公司應當積極開發保險產品，量化風險敞口，提供網絡風險承保的咨詢意見，以保險產品創新滿足企業組織產業鏈中的保險需求。在網絡安全事件發生后，保險公司應當積極履行保險損失補償義務，與企業組織一同努力補救數據資產、減少損失。

網絡風險分散可以從保險市場層面進行第二層分散。從整體來看，依靠保險市場轉移企業的網絡風險財務損失是最為有效的風險管理途徑。除網絡安全保險外，保險公司應以多種方式轉移網絡風險、優化網絡安全保險風險敞口。網絡風險分散機制實行風險共擔原則，保險公司與企業組織風險共擔、保險公司之間也實行風險共擔。保險人與其他保險人共同承擔風險，可以為潛在巨災風險創造更為廣泛的精算基礎（Reichel and Schmeiser，2018）。為實現保險公司之間的風險共擔，保險公司主要有兩種合作方式：一是網絡風險共保。多家保險公司與投保人簽訂共同保險協議，約定以一定的比例共同分擔網絡風險所引起的財務損失。共同保險是保險公司之間的第一次風險分散，有利于擴大風險分散面積、降低承保的風險。二是網絡風險共保體。共保體制度是指在保險公司之間成立一個共同體，實行自愿參與、風險共擔的原則，對保險業務實行管理及承銷。共保體與共保的主要區別在于實現約定的責任限額。共保體是一個客觀性的承保實體組織，而共保則是保險公司之間隨機約定的共同保險協議。共保體能不斷優化我國網絡安全保險市場，除風險轉移優勢外，共保體市場影響力能使得其成員保險公司更易獲得業務，減少惡性競爭帶來的經營惡化。國內目前的共保體主要有地震共保體、核保險共保體、航空航天共保體及農業保險共保體，均可為網絡風險共保體提供實踐經驗的學習借鑒。

3.再保險公司。再保險是市場化轉移風險的最后一道屏障，也是保險市場的“穩定器”與“安全網”。通過相關保險業務的分保，能夠減少經營網絡安全保險業務的波動性，降低巨額網絡風險索賠對公司償付能力的沖擊，提高網絡風險的承保能力。再保險人專業性極強的風險咨詢服務能確保原保險公司不斷優化其承保結構，使風險前置，增強企業組織的獲得感。再保險業務使得原保險公司的資本不被過高的網絡風險業務占用，也不必為其留存更多的風險準備金。

國外的網絡安全保險市場十分依賴再保險機制進行風險分散，網絡風險分保成為了保險市場重要的風險管理手段；再保險所產生的網絡風險洞察也為眾多保險公司及政府監管機構提供了風險管理意見。中國再保險公司已開始參與網絡安全保險產品的設計與研究。2022年7月，中再產險公司推出國內首款普惠性網絡安全保險產品，標志著中再產險公司的技術積累與產品研究已經成熟落地。網絡風險分散機制的平穩運行需要多層風險分散機制，無論在橫向層面還是縱向層面，網絡風險都應獲得廣闊的分散空間。企業組織、保險人與再保險人構成縱向風險分散體系，再保險人作為最后的網絡風險分散層，也是支撐市場化分散的最堅實力量。

4.資本市場。資本市場已經逐漸成為保險公司轉移風險的補充選項。保險通過資本市場轉移風險的工具為保險連結債券（ILS），即發起人（Sponsor）將其承保的風險通過特殊目的實體（SPV）發行證券化產品。保險連結債券的運行架構如圖6 所示，其發起人一般包括保險人、再保險人與政府機構，由發起人將其風險轉移需求與SPV簽訂再保險或衍生品合同，并向SPV支付再保費。SPV是發起人特別設立的法律實體，其承接發起人分出的巨災風險后，同時向資本市場發行債券。而債券發行募集的資金存入抵押信托機構，可用于投資低風險的高質量投資產品。在保險連結債券存續期內觸發約定的風險事件，SPV則按合同約定向發起人支付賠償，剩余本金在到期時全部或部分（取決于債券類型）返還給投資者。保險連結證券通過資本市場增加了保險的承保容量、提升了保險公司的承保能力。網絡風險有著潛在性的巨災損失，亟需網絡風險證券化來增強保險公司抵御風險的能力，從而推動構建網絡風險分散機制。網絡風險證券化過程應當充分發揮政府的監管與政策支持作用，不斷完善相關監管體制，穩步推進保險連結債券市場的發展。

圖6 保險連結債券傳統運行架構

5.政府部門。在網絡風險分散機制中，政府的角色定位是多方面的。在保險市場承保風險層面，政府干預地位可能并不突出；在聚合性網絡風險層面，政府干預占據主導地位。市場與政府干預是調配資源的兩種方式，必須靈活使用，以維持市場的良性發展。政府干預手段主要是直接干預和間接干預：間接干預是政府依靠政策手段及監管框架，打造適合當前市場發展的環境，使其能解除束縛；直接干預是政府干預手段的補充形式，在市場失靈后依靠政府干預手段保障市場恢復運行。當網絡風險愈加不可控時，公私合營保險將是最有效的解決途徑。政府參與保險市場，作為保險人與保險公司一同為企業組織提供網絡安全保險。該模式有兩種類型：一是政府作為完全保險人。政府作為保險人為投保企業提供網絡風險分散功能，并不依靠私人市場承保。該模式主要面向網絡風險極大、業務中斷成本較高的投保企業，例如航運、核能、軍事等。二是政府充當保險公司的再保險人。政府可以與保險公司約定一個賠付限額，超過限額的賠款由政府財政承擔。在此模式下，政府充當了再保險人角色，依靠其強大的資金實力及跨區域的風險分散能力，增強了保險公司的承保能力。

6.小結。政府干預下的網絡風險分散機制堅持多方主體參與和風險共擔的基本原則。在整體網絡安全市場格局中，多方主體參與是機制運行的基礎；在面臨突出的網絡風險格局中，多方主體的風險共擔是運行保障。只有明確各主體的義務及責任，妥善實行風險共擔，才能獲取最優網絡安全水平。如圖7所示，在當前構建的網絡風險分散機制中，共有投保企業、保險公司及政府三層縱向風險分散機制。留存部分網絡風險的企業作為第一層風險轉移，企業通過保險市場與再保險市場實行第二層市場化風險轉移，以政府為最后保險人實行第三層風險轉移。其中，保險是最重要的風險分散手段，現有網絡風險將著重依靠保險市場實行風險分散。從橫向來看，企業組織實行風險池制度，完成風險擁有者間的風險橫向轉移；保險公司依靠共保協議與共保體制度完成新一輪的風險橫向轉移；在整體機制下，依靠資本市場提供的ILS 工具實現風險轉移的有機補充。至此，網絡風險能夠實現橫縱結合的多層級分散。

圖7 網絡風險分散機制結構示意圖

四、數字經濟時代網絡風險分散機制的實施環境與方案

（一）我國網絡風險分散機制的實施環境

1.市場環境。雖然當前網絡風險治理的矛盾突出，但在網絡安全市場與財險市場支撐下，網絡風險分散機制的落地獲得了雙重保障。在財險市場方面，新冠疫情重塑了保險價值鏈與產業鏈，推動了全行業的整合與升級，為產品創新奠定了堅實基礎。在網絡安全市場方面，信息技術應用創新產業、數據安全及關鍵信息基礎設施安全保護構成了三重核心驅動力，促使網絡安全市場不斷創新發展。網絡風險分散機制的落地實施離不開財險市場與網絡安全市場的保駕護航。成熟的財險市場能為網絡風險分散機制提供成熟的市場化保險產品，是風險分散的重要工具；網絡安全市場能全面參與網絡風險分散機制的各環節，提供技術支持與風險咨詢。在數字經濟時代，網絡安全技術與保險從無限性和不確定性中尋找網絡風險的廣度與深度，形成網絡風險管控的新策略。

2.政策環境。從國家治理層面來說，網絡安全是國家安全的重要部分。面對國際復雜形勢及交錯的地緣政治問題，黨中央堅持安全與發展是一體之兩翼，積極把控國家安全觀下的數字經濟體系發展。自2016年以來，我國網絡安全相關法律法規逐步頒布，指導意見加速落實。2019 年頒布的《信息安全技術網絡安全等級保護基本要求》使得我國進入等保2.0時代，將云計算、大數據及物聯網全面納入監管。在“十四五”規劃下，網絡安全發展將貫穿國家發展的各個領域，切實維護國家發展安全。網絡安全的重要性對當前的風險防范機制產生了新需求，既需要化解風險的新技術支持，也需要風險事故發生后的處理機制。在網絡安全觀的指導下，網絡風險分散機制的實施具備了當下所需要的政策環境。

3.技術環境。網絡風險是數字信息時代的科技產物，構建安全穩定的網絡空間需要先進技術賦能產業轉型升級。近年來，保險科技方興未艾，以科技驅動保險業數字化轉型，由此研發新型保險產品。網絡風險分散機制的落地實施需要技術環境的支持，包括風險量化技術、風險評估監測技術及風險緩解技術等。雖然網絡風險分散機制實行多層分散模式，但保險市場仍是最重要的風險分散手段。面對保險市場信息不對稱及精算建模問題，財險公司已經盡可能地完善了技術基礎。在風險評估、安全防御、安全響應及安全恢復的全流程中，當前財險公司均可以先進的保險科技進行全流程賦能，提供全面科技化服務。總體來看，我國網絡風險分散機制的落地實施已經具備了較為成熟的技術基礎，機制構建只需要思考各要素主體之間的合作溝通，以及如何最大化地發揮其技術效應。

（二）我國網絡風險分散機制逐步試點的實施方案

1.逐步試點方案的實施原因。

（1）現有市場秩序的穩定性與干預政策的不確定性。網絡風險分散機制的首要原則是政府干預，但這可能導致市場產生不確定性。政府間接干預是常用的調控政策，可規范市場，優化整體網絡安全市場與相關保險產品。在保險市場中，政府直接干預政策主要分為投保企業的保險人與保險公司的再保險人。不同于依靠市場機制確定價格，政府對網絡風險的定價依靠財政支出維持其承保經營，難以計算經營成本。因此，這對地方財政有一定要求，也不適合長期經營。依靠強大的國家信用，政府主導性質的網絡安全保險一定程度上會擠占商業保險發展空間，而受財政壓力影響的網絡安全保險所能提供的風險保障難以滿足日常風險保障需求。對政府而言，直接的政府干預政策將會引起是否需要構建新型政府組織機構的爭議。現階段，全國網絡安全保險市場不斷發展，依靠市場機制調配資源與政府的政策監管仍處于較為穩定狀態，政府直接干預可能帶來的波動性及直接干預效果均需要通過試點方案獲得反饋。

（2）網絡風險分散機制各主體要素的權責配比。在網絡風險機制構建的設計過程中，只初步考慮了機制中各個主體要素的構成，以及網絡風險分散的方式及層次，整體研究尚處于定性分析層面。其局限在于并未對目前的網絡風險責任配比進行定量分析。受精算基礎數據缺乏和保險企業分出責任的比例計算限制，信息不充分導致網絡風險分散機制設計的不確定性。另外，保險責任的分出比例也需依靠實踐積累經驗，以確定合適的比例，分出比例不僅指保險公司與再保險公司，也指保險公司與政府、再保險公司與資本市場的權責配比。在試點模式下，保險公司與再保險公司可以確定分保成數及賠款最大限額，并根據網絡風險格局進行相應調整。在網絡風險證券化方面，再保險公司可在試點模式下嘗試確定網絡風險證券化的份額，以優化再保業務。網絡風險分散機制的逐步試點有利于降低當前的機制建設成本、避免資源浪費，并從試點模式中汲取經驗來優化機制設計模式，完善整體機制。

（3）我國地區數字經濟發展不平衡。整體來看，我國數字經濟市場足夠大，其展現的網絡風險隱患需要網絡風險分散機制的介入。從局部來看，我國數字經濟發展存在一定地區差異。從中國信通院發布的城市數字經濟競爭力指數來看，北京、上海及深圳引領我國數字經濟發展；廣州、杭州、南京等12個城市形成特色開拓者，共同構成數字經濟發展的中堅力量。在這15個城市中，南部與東部城市占比大、西部城市占比較少，構成東、西部差異。在此差異水平下，各省市數字經濟發展水平不同。這些差異化將會導致網絡風險格局差異，風險過小且經濟較差的地區可能會間接地承擔過多損失，這顯然不合適，因此不適宜在短時間內建立一個舉國一致的風險分散機制。綜上，在現有數字經濟發展情況下，構建網絡風險分散機制選擇逐步實施的方案，符合當前中國國情。

2.逐步試點方案的方式選擇。回顧我國風險分散機制的構建經驗，主要堅持以點帶面原則，凸顯地域性特征。以巨災保險制度為例，目前國內巨災保險制度已經形成了四川模式、寧波模式及云南模式三種較成熟的模式。四川模式主要承保住宅地震型巨災保險，依次從投保人、保險人、再保險人及整體實行四層分級分散制度。寧波模式下，新型技術的運用展現了寧波地區保險與技術結合的突出特征。云南模式則依靠試點模式探索指數型巨災保險、新型風險分散方法。在財政支持方面，云南所提供的政策性巨災保險實行省級與州縣級共同配比責任制，省級財政承擔六成保費，州縣級財政承擔四成保費，完全補貼居民投保巨災保險。

構建網絡風險分散機制也可采用區域逐步推行方案，打造各省的網絡風險橫向分散模式，探索網絡安全各個賽道的風險轉移需求。在構建網絡風險分散機制初期，應當選擇北京、上海及深圳等數字經濟發展引領者，研究細分網絡安全保險險種，以數字經濟規模效應推動網絡安全保險產品研究成果落地。此外，這三個城市的數字經濟體量較大，其風險分散需求更多，對風險分散機制的需求也更迫切。在具備一定經驗后，網絡風險分散機制可以逐步擴散至寧波、廣州、杭州及南京等城市，這些城市具備比較好的數字經濟發展基礎，也具備保險科技的落地應用能力。以寧波為例，作為首個國家保險創新綜合試驗區，寧波始終堅持將“保險+”內生性地嵌入“全域保險”，實現由外化為工具向內化為機制的保險發展方式轉變。在寧波模式下，網絡安全保險將會獲得更多創新的可能，為全國提供更多的保險創新經驗。

同時，構建網絡風險分散機制應當實行層級逐步方案。根據本文構建的網絡風險分散機制，風險擁有者及保險公司兩個層級可以構建橫向網絡風險分散機制，使得整體機制更為立體、風險分散能力更全面。在留存風險的企業組織層面，提出構建企業組織之間的風險池制度；在保險公司層面，可以嘗試以共保協議來共同承擔網絡風險。此外，保險公司也可以針對網絡風險建立網絡風險共保體制度，依靠共保體的規模效應形成有效的風險分散。各層級的風險分散制度都應當逐步逐層級實現，根據各個地區的行業發展差異選擇合適的分散制度。

3.逐步試點方案的預期目標。

（1）明確各層級責任比例。構建網絡風險分散機制的聚焦點是確定其建設目標、運行原則及明晰各主體的權責。在構建機制初期，各主體的權責配比應當從試點實踐中獲得。以網絡風險池制度為例，現階段的試點方向主要為明確網絡風險池制度的規模大小與準入門檻，如選擇行業風險池制度還是局部風險池制度。依靠整體行業的資金積累及廣泛的風險分散能力，全行業風險池制度對于目前的網絡風險治理無疑更為有利。但由于風險敞口的差異化及管理成本負擔的存在，試點地區應進一步探索有效的實踐方案。同時，在風險池制度中，試點地區應當建立公司分級繳納資金的制度，確保權責統一且明晰，以保證風險池制度的長遠發展。另外，風險池制度應優化自身退出機制的建設，完善各企業組織的最終義務體系，保證履行其到期責任義務，妥善處理好遺留的風險份額。

（2）以“保險+科技”模式，優化網絡風險轉移市場。構建網絡風險分散機制過程中，優化網絡安全保險市場至關重要。打造創新型網絡安全保險方案是主要的網絡風險轉移手段。網絡安全保險承保風險的特殊性、保單條款措辭嚴格及融合安全服務的經營模式都要求網絡安全保險有更多的科技含量。科技創新將在網絡安全保險產業發展及其與網絡安全產業融合應用中衍生新的模式、業務、流程與產品。因此，試點地區應進一步探索“保險+科技”模式，在投保人、保險人及保險經紀人三方中發揮其承轉作用。依靠現代科技進行第三方數據收集及整合，將數據應用于云計算、人工智能及機器學習中，形成保險與技術、風險與安全響應相結合的網絡安全保險新業態，并進一步映射于保險的整個價值鏈中，形成一套可供復制的網絡風險分散機制經驗模式。

（3）探索網絡安全投資收入收益比的最優解。我國當前的網絡風險格局下，企業已經很難通過一種風險處理方式應對網絡安全威脅，而是更多地轉向依靠網絡安全風險管理策略來解決企業的網絡安全問題。制定網絡安全管理策略是企業面臨的重要工作，該工作需要長期持續及大量試錯成本。在風險緩解的前提下，如果風險損失超越了企業能接受的范圍，企業便開始尋求風險轉移手段以獲得損失補償。網絡風險管理策略本質上屬于企業管理問題，其包含了成本及收益的計算，在此管理策略下的中國網絡安全保險，本質上也是一個財務選擇，在有限的投資成本中尋找網絡安全保險資金配置及網絡安全技術投入的平衡點。