释放网络安全保险价值 构建数字安全屏障
作者:《保密工作》杂志
时间:2023-08-31

2023年初,中共中央、国务院印发《数字中国建设整体布局规划》,将数字技术创新体系与数字安全屏障并列为强化数字中国的“两大能力”,提出切实维护网络安全。网络安全保险作为应对网络安全风险的重要工具,在分散安全风险、弥补经济损失、优化网络安全生态等方面发挥着基础性作用。当前,在数字中国建设进程中,我国网络安全保险也迎来了重要的战略机遇期,因此,须系统研究其发展面临的实际问题,积极制定和完善有关政策法规,推动网络安全保险发展壮大。

搭建网络安全生态的重要支柱

近年来,我国网信产业迅速发展,面临的网络安全风险也日趋严峻。世界经济论坛发布的《2023年全球风险报告》认为,网络安全风险或将成为未来10年全球面临的主要风险之一,也是唯一居于此列的科技风险。

网络安全风险按照损害类型,可分为网络攻击风险、营业中断风险、信息泄露风险和声誉损失风险;按照风险来源,可分为使用互联网等技术工具产生的风险,网络攻击可能造成的物质损失风险,数据不当使用造成的欺诈风险,数据存储产生的风险,以及电子信息的可用性、完整性和保密性被破坏的风险等。

自20世纪70年代,计算机犯罪首次受到关注以来,以网络安全防御为核心的技术性风险减除措施,就成了网络安全行业的重心。经过几十年的发展,业界逐渐发现技术性风险减除措施存在明显不足:一是技术手段存在天然的局限性,当网络攻击一方拥有更高明的技术,或网络风险由意外事件等非技术因素引起时,技术手段很难进行预警和规避;二是技术手段只能进行管控,不能对风险造成的巨大经济损失作出实质弥补。因此,传统的网络安全服务难以应对网络安全风险的各项需要,尤其近年来随着勒索病毒愈演愈烈,业界对网络安全损失发生后,出台相关经济补偿机制的呼声也越来越高。

保险作为一种金融工具,能够以有价让渡的方式,将市场主体面临的个体风险进行集中。当大量的个体风险集中后,就会呈现出符合大数定律的稳定性和可预测性,并以此为基础进行风险量化评估。在个体遭遇风险时,又能由各投保人保费建立的资金池对个体损失进行分摊,从而达到风险转移和财务补偿的效果。但目前一些新的网络安全场景难以与传统保险的核心条款相对应,如传统保险对“有形损失”的定义,就将非实物化的数据安全损失排除在外,造成了传统保险在网络安全领域的失灵。因此,亟须推出独立的网络安全保险,在微观上协助网络安全事件中受损的被保险人减少损失、恢复生产经营,在宏观上保障行业平稳运行、提高市场的事后恢复能力,以维持经济与社会稳定。

从现实角度看,一方面,网络安全保险能够增强市场主体的风险应对能力和恢复能力;另一方面,保险公司和网络安全服务提供者对被保险方开展的审计评估、监控预防等措施,还将促使网络安全风险等级进一步具象化、标准化,为各行业进行风险管理提供更具体的衡量尺度。同时,保费折扣等灵活的保险定价策略,也能够激励用户主动采取措施提升自我保护水平,把网络安全风险管理融入日常经营和组织安排,从而优化网络安全生态体系,提高市场的网络弹性。

与此同时,网络安全保险也将为保险业提供新的发展动能。一方面,网络安全保险本身作为保险业的新业态,能够以其蓬勃的创新力和增长潜力,成为保险业新的增长点。另一方面,网络安全保险以其“科技+金融”的特殊运作机制,能够在数字中国建设进程中,助力科技与金融行业融合,进一步推进保险业的数字化转型。

国内外网络安全保险发展进程

1998年,国际计算机安全协会(ICSA)推出了首个网络安全保险服务,以应对黑客攻击。此后,网络安全保险逐步成为市场主体管理网络安全风险的重要一环。根据ResearchAndMarkets发布的《2022年全球网络安全保险市场报告》,2022年全球网络安全保险市场规模约为119亿美元,预计到2027年将达到292亿美元。

其中,美国就占据了超过一半的份额,欧美网络安全保险市场的总和,也超过了全球的90%,拥有较丰富的经验和更成熟的产业链条。早在2017年,经济合作与发展组织就为七国集团成员国建立有效的网络安全保险市场发布了专门报告。多年来,美国政府责任署、美国财政部联邦保险办公室、美国国土安全部网络安全和基础设施安全局等多部门协同合作,就网络安全保险发展中的问题进行分析与合作干预,以期充分发挥对网络安全和国家安全的保障作用。

我国网络安全保险起步较晚,尚处于发展初期,但增长势头强劲。2022年11月,工信部起草并发布了《关于促进网络安全保险规范健康发展的意见(征求意见稿)》,明确要加快推动网络安全与金融服务创新融合发展。今年2月,国家工业信息安全发展研究中心发布的网络安全保险研究报告显示,2022年我国网络安全保险的保费规模已达1.4亿元,较上年度翻一番,呈高速增长态势。另据银保监会“财产险公司备案产品目录查询”结果,截至今年3月,我国共有29家保险机构备案了约203款网络安全保险产品,是上一年备案产品数量的两倍以上。

当前,我国应加大推进网络安全保险健康有序发展,这既是数据化、智能化和全球化进程中提升网络安全、维护国家安全和社会稳定的客观需要,也是充分激发保险业活力、助力我国经济和社会高质量发展的必然要求。

我国网络安全保险发展困境与思考

尽管我国网络安全保险市场的开拓已取得初步进展,并出台了相应的指引性政策,但目前的政策法规仍缺乏针对性和体系性,无法满足网络安全保险的培育及监管机制的并行需求,网络安全保险发展初期的诸多难题依旧存在。

就发展条件而言,普及知识、推广产品、沟通服务是网络安全保险市场开拓的重要前提,而统一规范的术语概念则是其中的关键。网络安全保险是新兴产业,在新的应用场景下,旧有的概念标准因实践产生了新的含义,但又缺乏统一规定,因此容易造成语义混乱和使用不规范等问题,从而导致缔约沟通低效,也易引起争讼。

就运作原理而言,网络安全保险的本质是风险由投保主体向保险方的转移与集中,在此过程中,对风险发生频次、损失规模等量化估计是其合理定价、有效运行的核心环节。风险量化不准确,就可能导致保险公司难以赔付,产品作用失效。欲实现准确量化的目标,大量可用的基础数据是必要前提。然而,由于技术发展的动态性,老旧的历史数据正在逐渐丧失实践层面和预测层面的分析价值,而数据的隐私性和披露机制的不完善,又使许多投保主体不愿透露其真实情况,导致可用基础数据的缺乏,最终出现保险公司定价困难,变相提升了承保难度。

就供需关系而言,双方都存在一些易影响主体积极性的问题。其中,需求侧的主要问题是认知不足,包括市场主体对自身网络安全水平和网络安全事件后果的认识,以及网络安全保险功能的认知,缺乏投保动力。供给侧的主要问题是由于信息不对称和不同行业网络安全风险差异化较高,保险公司对投保主体的网络安全水平和风险难以评估,定价定损、保中监控等环节难度增大,引发保险公司对自身赔付能力和利润空间的忧虑。这些因素导致供需双方乏力、市场硬化,阻碍网络安全保险产业发展。

面对上述难题与挑战,我们应妥善分析,充分调动市场主体的积极性,及时完善相关法律法规,同时发挥政府的指导作用,保障我国网络安全保险市场健康有序运行。具体而言,一是针对术语和概念不统一的情形,由政府相关部门、行业协会建立专业的网络安全保险文本体系,对基本概念、保险覆盖范围、生效条件等进行统一解释,以保证高效沟通,减少因语义不明而产生的争讼。二是针对基础数据缺乏的现状,考虑到数据披露和共享机制的非竞争性和非排他性,可由政府有关部门和行业协会主持建设并监督实施,进一步保证网络安全保险市场定价合理、运行有序、赔付顺畅。三是针对供需乏力的问题,政府可通过财政补贴、税收优惠等手段助力网络安全保险的推广,同时参与并探索完善网络安全保险的再保险体系,增强市场主体信心,提升网络安全保险市场的风险承载力,促进我国网络安全保险产业由初始阶段走向成熟。

全国财产保险监管工作会议高度关注网络安全保险,并将其列为今年财险业重点发展的业务方向之一,政策环境正持续向好。未来,网络安全保险不再是单一属性的静态工具,而是网络安全和保险的发展过程中,科技与金融交汇的产物。作为网络安全产业新业态的网络安全保险,本身也为保险行业在数字经济时代提供了新的发展动能。同时,网络安全保险作为网络安全保障的重要战略工具,需要在立足数字中国建设布局的同时,在政府合理引导、行业协会积极配合、各行业市场主体积极参与的过程中给予有力的培育扶持,以全面释放网络安全保险的双重优势,实现保险产业和网络安全事业双赢发展。

正品保证 优质服务 急速物流 售后无忧