王伊琳 钱镜羽 王天硕 西南财经大学保险学院

网络安全保险在上世纪90 年代伴随着互联网技术的发展及安全风险的再配置与转移应运而生。经过近20 年全球社会经济和网络技术的发展，在国外发达国家中该市场已较为成熟，我国的发展则相对缓慢。这与我国数字经济的全球领先地位极不匹配。伴随新冠疫情的爆发，大量企业办公从线下转为线上，开启了全新的办公模式。伴随着防疫工作的常态化，尤其是前不久北京等地疫情的波动，我们认为，后疫情时代企业“线上+线下”的办公模式仍然是市场主流，数字技术正不断融入公司的内部流程以及与客户的互动中。企业如此大规模的数字化经营转型必然带来大量的网络安全风险敞口，在此背景下，网络安全保险如何满足企业的网络安全风险保障需求，必将成为未来保险行业持续探讨和实践的重要主题。

一、后疫情时代催生企业数字化转型

在后疫情时代，尤其是前不久个别地区新发疫情的背景下，远程办公成为企业的最佳选择，更成为部分需要国际合作的企业的唯一选择。疫情期间，各大远程办公软件也逐渐开放免费服务。据最新报告显示，目前中国在线办公平台中，90 后、95 后成为职场新主力。新经济新动能较快成长，转型升级步伐不停。数据显示，中国智能移动办公市场规模持续稳步增长，预计2020年将达到人民币449亿元。以互联网为依托的工作方式在疫情反复的背景下具有很大的发展潜力，对冲了部分疫情对经济的负面影响。后疫情时代，中国有超过1800万家企业采用线上远程办公模式，共计超过3 亿人使用在线办公应用软件（艾媒咨询《2020 年中国新春远程办公行业热点专题报告》）。与此同时，线上办公程序也在不断改进功能以适应新的需求，例如腾讯和钉钉等办公软件不断扩容和更新功能以保障用户的正常使用，助力企业在线办公。随着在线办公需求增长及用户习惯养成，智能移动办公市场将更快速地发展。

工作方式的大规模转变，造成了线上业务的突发性、集中性和高流量。例如很多企业远程办公应用在第一天的高峰期出现了不能服务等问题。后疫情线上办公期间，除了系统稳定性问题，诸如数据泄露、网络钓鱼攻击等风险也会加大。

二、后疫情时代企业网络安全风险透视

目前世界各地的数字化进程差异大，网络发展不平等。虽然数字化的进步极大推动了全球经济发展，但是网络安全问题的高发性与危害性严重的特点，构成了包括信息基础设施崩溃等在内的重大风险，威胁着企业的利益（世界经济论坛，Marsh&McLennan Companies《2020 年全球风险报告》）。国际保险行业智库日内瓦协会将网络安全风险定义为“在使用信息通信技术过程中产生的危及数据和服务机密性、可用性和完整性的任何风险”。网络风险带来的致命打击并不是偶然事件，中国受网络攻击造成的安全损失有一定的背景，据统计，作为全球网络犯罪案件井喷的一年，2019年全球企业和个人网络安全事件超过46 万件，带来了超过35亿美元的损失（安华金和《2019年全球数据安全事件盘点及行业分析报告》）。我们需要未雨绸缪，提前关注网络安全风险。

通常来说，网络安全风险的类型有以下几种：

（一）信息泄露风险

大数据所存储的数据集合非常可观，而目前数据保护相对简单，通过漏洞进行数据泄露的风险严重，造成很大的安全问题。随着网络科技的进步，各类行业在不断“触网”。在“互联网+”时代，数据无处不在，数据的累积会形成多元数据关联，因此本身的技术或者监管的漏洞和不法分子的别有用心都可能导致个人隐私信息泄露。2018 年Facebook 由于黑客攻击导致5000 万用户账户被入侵和盗用。事件导致Facebook 市值损失430 亿美元且面临高达16 亿美元的罚款。数据显示，一旦企业遭受数据泄露，涉事企业平均损失资金3.47亿美元，股价平均下跌7.5%，平均损失市值54 亿美元。在线上办公“全民化”的趋势下，中国企业对这一非传统风险带来的危害也越来越重视。

▶表1 疫情期间远程办公应用下载增长率变化

（二）营业中断风险

对于业务模式高度依赖网络的行业而言，网络安全事件也会对其业务连续性造成较大冲击，不仅会对企业收入造成影响，也会影响企业声誉。安联保险中国区的风险调研报告结果显示，营业中断风险的影响力仍然最大，其造成的损失规模与复杂程度也呈持续增长趋势。而数字供应链就是造成营业中断的主要原因。疫情当下，随着线上办公的持续进行，企业对于数据和计算机更加倚重，加之网络安全事件的高发性以及危害性，因此，这些行业更加关注网络安全保险是否能够缓解自身的营业中断风险。

（三）网络攻击风险

对于网络依赖度较高的行业而言，它们拥有具有较高经济价值的虚拟资产，如大量的数据，较容易成为黑客网络攻击敲诈的目标。随着企业规模的增大和对数据依赖度的提高，网络攻击事件对于企业的打击性越来越大，一个典型的勒索事件造成的损失会从五年前的几万美元变成现在的几百万美元。随着信息安全环境日益复杂，即使是大型企业和机构也越来越难以独自应对，目前很多企业的网络安全建设普遍落后于业务发展，尤其是疫情期间对于网络安全需求的突然增加使得很多公司措手不及，这也无形中将用户的个人信息或者公司的机密数据置于危险之中。因此，完备网络安全技术和合理运用网络安全产品，对于后疫情时代线上办公的企业而言十分必要。

▶表2 网络攻击事件

（四）声誉责任风险

企业遭受网络攻击时，其损失的可能不仅仅是当时的数据等信息，还有由于安全防护能力不足给客户造成的不良印象。事故发生当时和后续的损失都应该被考虑在内。例如2013 年的Target 公司信息泄露事件，黑客利用POS 机进行信息盗取，造成7000 万用户个人信息和4000 万信用卡数据的泄露。事件之后，Target 丧失了12%的老顾客，继续购物的人中有79%不再使用信用卡，公司最终付出了1.48亿美元的代价。企业一旦遭遇网络安全事故，不仅要迅速恢复数据、堵住安全漏洞，还要挽回声誉和形象，是对企业综合能力的考验。

风险是保险产生的前提和基础，网络安全风险的存在与危害性催生了网络安全保险。随着经验积累与科技进步，保险公司在网络风险监测、风险定价、理赔评估等方面的能力将日益提升，促使网络安全保险在供需层面有进一步的发展。在此次由于疫情导致的大规模线上办公情形下，企业对网络安全保险也会更加青睐。对于保险行业而言，数据和服务的安全问题是主要关注领域。保险行业一般将网络安全保险的责任范围定义为“由于IT系统和架构的损坏或信息丢失引发的一切损失，包括主体的损失和对于第三方的损失造成的相应责任”。而专业的网络安全保险则是为数据和网络安全事故及造成的损失提供核心保障与补偿。企业通过责任保险的方式进行风险转嫁，最终实现分散风险的目的，这是已被经验所证明的极为有效的法律策略。

三、后疫情时代网络安全保险市场观察

（一）国外市场观察

随着线上办公的全球化，网络安全的重要性愈加凸显，鉴于其不可绝对消除，因此，保险作为风险转移的主要手段以及企业和个人进行风险管理的方式之一，理应受到重视。网络安全保险面向两类风险，即第一方或第三方对网络系统的访问或使用。因此，保险公司开发了对应的网络安全保险，通过对责任进行划分满足不同用户的需求。一般的第一方保险范围包括：数据丢失或损坏；营业中断；网络诈骗。一般的第三方保险范围包括：安全和隐私事故；公关费用；第三方数据丢失；第三方合同赔偿（王新雷、王玥，2017）。

▶表3 网络安全风险的表现及定义

▶表4 部分网络安全风险带来的企业损失（单位：百万美元）

▶表5 网络安全事故导致的潜在经济损失估计（2018年）

▶表6 第一方和第三方网络安全保险责任范围对比

疫情期间在家办公政策的出现，平时被忽视的各种网络安全和隐私政策问题可能集中爆发。为应对不断变化的网络风险，网络安全保险也不断进行完善，更加吸引消费者的注意。数据显示，2019年47%的企业拥有网络安全保险，且多数为大型公司；年收入超过10亿美元的公司中有57%已经投保，而收入低于1亿美元的公司中已投保的比例为36%（达信Marsh《2019年全球网络风险透视调查报告》）。目前，在国际市场上，网络安全保险在欧美地区发展较为成熟，从分布上来看，美国约占90%，欧洲约占8%，亚太地区仅占1%左右。通过调查分析得出，目前国际市场常见网络安全保险对于风险的责任范围如表7所示。

（二）国内市场分析

目前国内的网络安全保险市场相较于美国而言，还处于发展的早期阶段。根据调研信息显示，中国网络安全保险市场保费规模约为人民币7000 万元左右（瑞士再保险《网络安全风险专题系列第一辑：全球网络安全产业概述》）。对比美国市场的充分竞争，我国的网络安全保险由于需求还未充分激发，保险公司在此市场环境下也没有足够的经验，因此，国内网络安全保险多以传统责任险的形式存在。2013年底，苏黎世保险公司在中国推出安全与信息保护险。此保险主要针对企业用户，对企业涉及的内部商业机密、客户以及雇员信息进行承保，并对计算机安全系统受到恶意攻击带来的损失进行赔付。2016年初，我国的保险公司推出了数据安全险，专门针对黑客盗取云计算数据进行保险。2017年6月1日，《中华人民共和国网络安全法》正式实施，标志着网络安全正式受到我国基础性法律的保护，信息安全将成为未来我国信息技术领域的重点发展方向，会有越来越多的资源投入到该领域中。疫情当下，各行各业对于网络风险的重视为网络安全保险的发展提供了契机，这是保险业快速进步的机会，但同时，网络安全保险自身由于发展缓慢仍面临策略难题和理论空缺。

目前中国市场上的网络安全保险包括个人险与商业险，个人险主要保障的是个人账户安全，本文主要分析的是目前中国市场上较少的商业险。就承保范围而言，目前中国市场上商业网络安全保险的承保范围依然分为第一方损失保障和第三方赔偿责任。但由于网络安全及信息保护方面的立法尚有不足，中国市场现有针对企业的商业网络安全保险产品以保障第一方损失为主。根据瑞士再保险2019 年对中国市场的调查，我们可以发现，各项保险责任在市场现有保单中的特征。

近年来随着全球对于数据安全风险的监管加强、企业风险意识的提高，以及法律法规的完善，更多企业在完善内控机制的同时开始考虑用商业保险的手段分散风险。有些中国企业在为海外客户提供服务的时候，也会被海外客户要求购买网络安全保险。

▶表7 国际市场常见网络安全保险范围

目前保险公司通过与第三方网络安全公司合作，积极参与网络安全保障，更加专业地预防损失的发生，客观上带动了网络安全产业的蓬勃发展。我国网络安全保险还处于初步发展阶段，目前市场上的保险产品数量严重不足。但是由于国内经营主体的经验不足、相关数据不够充分，且不同的企业对网络安全的需求也不尽相同，如何更好地设计网络安全保险以适应国内市场以及如何把握此次疫情反复背景下的新机遇，保险业亟需在这些方面寻找答案。

四、后疫情时代网络安全保险发展的机遇与思考

（一）后疫情时代网络安全保险发展的机遇

1.中国数字经济的快速发展

网络安全保险具有损失补偿和风险防范的功能，这是单纯的网络防护技术所没有的。引入网络安全保险，能够避免经济上的重大损失，提升网络和信息的安全保障。因此，网络安全保险将是数字化时代最具发展潜力的创新行业之一。目前网络安全保险在我国仍处于初级发展阶段，为了促使网络安全保险发展速度与数字化进程相适应，我们不仅需要保险业和信息技术产业的有效结合，也需要政府相关法律法规的保护和相关政策的扶持（马晓宝，2016）。随着网络安全风险的不断发展和变化，网络安全保险承保的责任范围也逐渐扩大，有公司开始对网络诈骗等社会工程遭受攻击的损失进行承保。

2.政府高度重视网络安全风险

中国网络安全领域的基础性法律《中华人民共和国网络安全法》自2017 年6 月1 日起施行，使我国网络安全问题有了新的制约与规定。该法第42条规定：网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失；在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告（引自《中华人民共和国网络安全法》）。这一条规定对信息泄露时网络运营者的义务进行了规定，保障了事故发生时各方的利益，为网络安全保险在中国的发展奠定了法律基础。但目前，我国《保险法》中没有针对特殊险种进行约束，也未涉及网络安全保险。因此，保险监管机构应进一步明确网络安全保险的法律责任，并通过财政、税收等其他相关政策引导保险公司和网络安全企业共同积极推动网络安全保险发展。

3.疫情提升了企业网络安全保险意识

在我国，随着疫情带来的网络安全风险敞口的暴露，众多企业对于网络安全风险及保险的认识也正在逐渐加深，网络安全保险的市场潜力巨大。需求决定市场。随着网络安全威胁的普遍性，网络安全保险作为应对风险的重要手段之一，其需求量将会不断增加。在后疫情数字化转型的背景下，企业风险与机遇并存。因此，我们要通过系统性地完善保险产品与健全法律政策，来不断推动网络安全保险更好更快地适应数字化发展速度。

（二）后疫情时代网络安全保险发展的思考

1.网络安全保险产品供给的思考

目前，我国尚未出现本土保险公司开展网络安全保险，保险市场上的网络安全保险产品屈指可数，产品供给严重不足，无论是在条款责任、费率设计，还是在数量上都远远不能满足投保人的需求。我国网络安全保险研究起步较晚，实践更是少之又少，缺少足够的历史经验帮助精算出此类保险产品科学、合理的费率，最终无法精确地设计出保险产品。由于我国非寿险精算方面力量匮乏，因此，在开展网络安全保险时可参考国外经验数据，学习相关的风险评估技术，提高风险防范能力，对网络安全“巨灾”事件加以识别，对可保风险和除外责任进行清晰界定。同时，我国也应根据实际情况，加快专业人员培养，不断优化产品设计，可设置单独的网安险保单或者组合保单，满足不同企业的需求。

2.网络安全保险风险管理的思考

网络安全保险不仅仅是在保险事故发生后进行赔付，其根本目标是事前的风险防范和控制。因此，目前市场上提供网络安全保险的保险公司多与服务提供商合作，由前者提供保险，后者在其运营的平台上进行信息安全保障，通过对企业内部的数据进行日常管控，了解企业网络化经营模式，分析和识别企业面临的网络风险，有针对性地制定保障措施。此过程中，高科技企业作为第三方提供技术保障，为避免网络风险敞口带来显著的尾部和累积风险，保险公司应选择专业的网络信息技术外包商，确认外包商的信用水平，选择成熟的团队进行合作。除此之外，保险公司应在与客户签订合同时协商拟定甄选外包商的标准，明确因外包商责任造成损失的赔偿处理，以期达到事前风险防范的目标。