朱孟林

大连海事大学 辽宁 大连 116085

1 海上网络风险的概述

目前国际上对海上网络风险没有一个统一明确的定义，各个组织对海上网络风险的定义也不尽相同，比如在 IMO 的《海上网络风险管理指南》（GUIDELINES ON MARITIME CYBER RISK MANAGEMENT）中对海上网络风险的定义是对技术资产受到潜在环境或事件威胁的程度的衡量，这些潜在环境或事件可能导致信息或系统被破坏、丢失或危害，从而导致与航运相关的操作、安全或安全故障。一般来说，海上网络风险是船舶的网络和系统安全受到影响，而船舶的网络安全分为“cyber security”和“cyber safety”,前者是保护船舶的 TI、OT、信息和数据免受未经访问、操作和破坏，后者是保护安全性的关键数据和 OT 完整性和可用性的受到损失。所以本人认为海上网络风险是指船舶的系统和信息数据的完整性和可用性被破坏而造成的风险。

2 设立海上网络风险的必要性

2.1 海上网络风险的现状

随着互联网技术的发展，航运业与网络技术紧密相连，海上运输也越来越智能化、数字化，然而，对数字技术的依赖增加可能导致海运业部门的潜在脆弱性和风险增加，尤其涉及物流和运输系统。在这些系统中，信息往往在各种不同的主体之间共享，对这些系统的任何部分的攻击都可能而且已经导致灾难性后果。比如 2011年8月，伊朗伊斯兰共和国航运公司(以下简称 IRISL)遭受了激烈的网络攻击。网络攻击破坏了所有与费率、装货、货号、日期和地点有关的数据，并消除了公司和内部通信网络。所有这些都造成了这样一种情况，即集装箱在没有任何控制或意识的情况下被运走。由于操作系统中断，一些货物被送到错误的目的地，造成严重的财务损失。甚至，更令人担忧的是，由于网络攻击，大量货物丢失得无影无踪。

目前在海上保险市场，对这种类型的风险还没有很好的规避措施，存在空白。一是海上网络风险确实是才出现的新型风险，以前发生的频率很少，投保这种风险的需求很少，海上保险市场对它的承保公司也少之又少。二是因为是新型风险，大家对它的了解和研究不够深刻和成熟，存在准确评估和量化风险以及缺乏信息共享等困难，保险公司不敢去做“第一人”，去承担承保该类风险之后的风险。

2.2 海事网络攻击与海盗行为

在上文提到的案例中我们其实可以看到海事网络攻击风险目前是海上网络风险中最常见的风险，其实海上网络攻击与海盗行为非常相似，都是外来的恶意行为对船舶以及船上货物的攻击，甚至随着目前技术的发展，有些海盗会利用网络漏洞或 GPS 操纵船舶然后实施劫持，使得海事网络攻击行为与海盗行为几乎重合，其实就是海盗将传统的用暴力劫持船舶的手段变成了网络技术手段。比如有人通过网络技术破坏了船舶系统以及信息数据，使得船舶不能正常航运，要求船方支付赎金才将系统和数据恢复。在这个案例中，行为人的网络攻击行为就不同于海盗行为了，他虽然也是要求支付赎金，但是并没有实际劫持控制住船舶。因此单单将海事网络攻击行为和海盗行为相提并论是不可取的，用承保海盗的方式去解决海上网络风险也是不全面的。

2.3 网络风险除外条款

对海上网络风险，在水险中通常使用 CL380 除外条款，该条款是指将一切出于恶意，使用计算机系统（含计算机软件系统、恶意代码、病毒等）产生的直接或间接物质损失及费用除外。首先根据条款内容，该条款的适用要求主观动机是“恶意”的，而且是使用计算机造成损失，即网络攻击是造成伤害的手段，所以保险公司若想拒赔，则需要证明以上两个条件，这在实践中是十分困难的。2014 年攻击者使用鱼叉式钓鱼邮件获得钢厂办公网络的访问权，然后设法进入钢厂的生产网络。攻击者的行为导致工控系统的控制组件和整个生产线停止运转，炼钢炉由于非正常关闭而损坏。在保险理赔中，保险公司认定该损失为物质损失，但并未提及对该事件网络攻击的根本原因分析。专家分析认为，即使保单中引入了 CL380 除外条款，保险人恐怕也很难应用除外条款。并且海上网络风险的发生并不是都是出于“恶意”的动机和目的，所以该排除条款也不能将海上网络风险完全排除，那么对于其他没有被网络风险除外条款排除的网络风险，又没有海上保险对他们进行承保，这些风险怎么解决？

针对目前海上网络风险的现状和问题，本人认为设立单独的海上网络安全保险制度去解决目前海上网络风险存在的问题是必要的。首先目前海上网络风险的事件频发，尽管网络风险保险市场仍许多困难，但目前网络风险保险市场的规模、复杂性和重要性都在不断增长，越来越有能力满足各种组织的减轻风险需求[1]。目前海上网络市场对海上网络风险的态度还是在水险中排除，并且该排除条款产生的效果并不好，使得对一些海上网络风险产生的损失能不能得到承保模糊不清，在实践中产生争议并且当事人的利益也不能得到保障，可以通过设立海上网络保险去弥补这一漏洞。

3 建立海上网络保险制度的可行性

3.1 借鉴网络安全保险

1998年网络安全保险业务开始在欧美兴起并快速发展，现在综合网络安全保险的内容和借鉴美国国土安全部的经验，将网络安全保险定义为“一项承保网络系统及其运行风险的保险产品”，涵盖数据事故、网络破坏和网络欺诈等风险。在中国网络安全保险多以传统责任险的形式存在，网络安全法的实施为网络安全保险在中国发展开创了新时代。大型的信息技术依赖性强的公司已经开始将网络安全保险融入营销策略和风险管理方式之中[2]。网络安全保险不管在国外还是我国都已经发展一段时间，网络安全保险对企业、个人网络安全风险的规避有很大的贡献，独立的网络安全保险的设立和其自身的发展历程证明我们海上网络安全保险制度的设立也是可行的，并且比起还未发展起来的海上网络保险来说网络安全保险已经比较成熟和有经验，海上网络安全保险制度的设立可以向网络安全保险借鉴和学习。比如目前网络安全保险产品的提供方式主要包括两种，一是通过扩展责任（extensions）或批单（endorsement）等形式在现有保单责任中增加网络风险相关的责任，即复合责任保单（Packaged policy）；二是保险公司提供针对网络风险的独立保单（stand—alone policy）[3]。海上网络安全保险制度也可以考虑建立什么样的投保方式。还有保险内容方面，网络安全保险最早主要是黑客攻击险，后来随着网络保险的不断发展出现了包含第三方损失责任的保险单，现在网络安全保险根据承保责任主要分为针对企业的网络安全（责任）保险和针对个人的信息失窃。

海上网络安全保险也可以针对船舶、货物、人员以及责任的体系构建保险内容。那为什么不直接由普通网络安全保险来承保海上网络风险呢？首先普通网络保险主要是针对企业网络安全和个人信息安全进行保险，是企业或者公司为自己的网络安全和个人为了自己的信息安全去投保，而在航运业中针对海上网络风险，除了有船公司这样的投保主体，还有物的买方或卖方或者承租人这样的投保主体，针对船舶、货物或者责任进行保险，而正如上文所说网络安全保险存在所提供的风险分散作用也有限，网络保险产品尚未实现标准化，海上网络风险中的投保主体和标的都比比普通网络保险范围要广，网络安全保险也不能完全去解决海上网络风险的问题。最重要的是，普通网络安全风险和海上网络风险有很多的不同，因为海上网络风险有其海上风险的独特性，投保人和承包人的权利义务要求以及保险内容等方面网络安全保险制度和海上网络安全保险也应大有不同，所以需要单独建立海上网络安全保险制度去解决海上网络风险问题，而普通网络安全保险的设立和发展也为我们海上网络安全保险提供了经验和信心。

3.2 船舶互保协会对网络风险的态度

在水险中把网络风险明确排除在保险条款外之后，目前实践中的做法是有部分船舶互保协会的保赔保险承保海上网络风险，这一点也说明海上网络风险已经引起了航运界的关注，船舶互保协会对海上网络风险能得到承保是肯定的态度。比如北英保赔协会也承保网络风险，西英保赔协会的标准保赔条款中没有排除网络风险，因此会承保由网络风险引起的 P&I 风险（属于战争险的除外），但由于该风险是沉默条款，在实践中可能就是否承保引起争议。船舶互保协会对海上网络风险的承保不仅说明规避海上网络风险对我们来说是不可回避的问题，也说明虽然面临这样问题时间还不久，保险领域方面还不成熟，但是以后通过一系列管理规则和风险分析机制的完善，我们不用再去排除该类风险承保，并且该类风险可以得到很好的规避。

4 结束语

虽然海上网络安全风险事件频发，但是网络技术在航运业的运用不过也才二三十年，不仅在技术和管理制度方面还不成熟，在保险领域，对海上网络风险的保险制度和规范也是缺失的。因此作者认为在网络技术与航运业相互发展的情况下，网络风险对航运业影响越来越大，应该完善海上保险对网络风险的承保，构建海上网络保险制度，以便维护各方当事人的利益。