刘 秒 河北经贸大学金融学院

目前，我国已进入数字经济高速发展时期，一系列互联网技术正驱动我国经济向数字化转型。如何保证数字化进程稳步推进，是社会各界关注的重点。数字经济是直接或间接地利用数据来引导、资源快速优质配置与再生，实现经济高质量发展的经济形态。2020年，我国数字经济规模已达到39.2万亿元，占GDP的比重达到38.6%，位居全球第二。由此可见，我国数字经济的发展相对领先，数据信息已成为企业的核心资产。数字经济时代在孕育新机遇的同时，也带来了更多复杂多变、难以应对的网络安全风险。网络安全是建设现代化强国的重要基础，现代化的发展离不开网络安全。自2016 年底《国家网络安全空间战略》实施以来，网络安全已上升至国家战略。《网络安全法》《数据安全法》《个人信息保护法》的相继颁布与实施，从法律层面体现出国家对网络安全的重视。

一、网络安全保险概述

保险作为风险管理手段之一，是风险应对中的重要一环。近年来，全球化数字经济体系下的大范围网络攻击事件给全球造成了巨大的经济损失。2017 年5 月，“WannaCry”勒索病毒共计对全球150个国家造成不同程度的影响，导致30 万台电脑无法正常运行，许多企业因此遭受了较为严重的经济损失；2019 年10 月，全球航运和电子商务巨头Pitney Bowes遭受勒索软件攻击，其业务系统受到严重破坏，造成直接经济损失高达500亿美元。网络安全风险层出不穷，具有不可消除的特点，仅通过安全技术手段难以化解，解决风险保障问题是重中之重。

工业和信息化部于2019 年9 月27 日发布的《关于促进网络安全产业发展的指导意见（征求意见稿）》和2021 年7 月12 日发布的《网络安全产业高质量发展三年行动计划（2021—2023 年）（征求意见稿）》中均提到了要探索开展网络安全保险服务。《网络安全保险产业白皮书》将网络安全保险定义为承保与网络空间风险等相关风险为目的的保险合同。投保人根据网络安全保险单（即合同）向保险人支付保险费，当合同约定范围内的网络安全事件发生时，保险人依据合同条款就对应的财产损失和第三方责任承担赔偿保险金责任的商业保险行为。

根据投保对象不同，网络安全保险可分为个人网络安全保险和企业网络安全保险。目前，我国保险公司主要经营面向大企业的商业网络安全保险，承保范围分为第一方损失和第三方赔偿责任。第一方损失，即网络安全风险事故直接对投保人造成的经济损失，包括营业中断损失、网络勒索损失、数据修复费用等；第三方赔偿责任，即由于网络安全事故的发生对第三方造成影响，依法需要承担的赔偿责任，包括信息泄露责任、网络安全责任等。

目前，企业与保险公司签署的网络安全保单主要分为两种：一种是独立保单，指单独承保网络安全事故、风险，不与其他保险相互关联，为独立个体；第二种是综合保单，在原有财产险、责任险或其他保险的基础上附加对网络安全风险的保障。

二、网络安全保险现状

中国保险行业协会数据显示，目前国内市场上在售的网络安全保险产品有50 余款。其中，近半数险种为企财险，另有10 余款责任保险，少量综合保险、特殊保险等。多数保险产品的承保范围将第一方损失和第三方赔偿责任同时包含其中。提供产品及服务的保险公司分为外资保险公司和中资保险公司，其中，中资保险公司占绝大部分，约20家。

国家工业信息安全发展研究中心发布报告称，2021 年，我国网络安全保险保费规模突破7080 万元，最高保额超4 亿元，较上一年增长3.2 倍以上，但与财产险业务2021年原保费收入1.17 万亿元相比，不足万分之一。

我国网络安全保险发展仍处于初级阶段。从需求侧看，保费规模较小，消费者参保积极性不高，企业投保动力有望进一步提升，网络安全保险投保率低的问题难以解决；从供给侧看，保险产品创新不足，风险保障范围较窄，导致保险的风险分散作用不能完全发挥，从而降低了消费者投保意愿。

三、网络安全保险投保率低的原因分析

全球数字经济时代在加速各行各业数字化的同时，带来的网络安全风险与数据信息隐私风险也日益凸显，网络安全保险市场由此迎来了巨大的发展空间。近年来，虽然保险公司陆续推出相关保险产品，但我国网络安全保险的投保情况却不尽如人意。针对上述问题，只有正确认识其产生原因，才能在此基础上改善投保现状。

2017 年《网络安全法》的实施具有里程碑式的意义。这是我国第一部有关网络安全的专门综合性立法，提出了如何应对网络安全挑战的对策，明确了发生网络安全事件和信息泄露时网络运营者的及时告知和补救义务。网络安全保险作为风险管理基本手段，有了发展的法律基础。2021年，《数据安全法》和《个人信息保护法》进一步促进了网络安全保险的发展，但目前国内尚未颁布详细的网络安全保险相关规章制度和法律法规。《保险法》作为我国保险行业的主要法律，其中并没有网络安全保险具体条款，这导致我国网络安全保险的发展缺少法律保障，缺少相关细则规范整个保险流程。由于网络安全风险具有互联及依赖性、动态演变快、损失难以及时发现等特点，网络安全保险的开发定价、核保理赔都面临不同程度的难题。例如，缺乏保险费率厘定标准、网络攻击复杂导致责任承担主体难以确定、攻击时间与损失发生时间不一致等。权威法律依据缺失，后期理赔产生纠纷难以处理，这些都不利于网络安全保险的投保。

1.产品创新不足导致目标客户群体局限

网络安全保险推广的一个主要问题是不同行业面临的网络安全问题参差不齐，不同企业网络安全建设投入有差异。因此，保险公司提供的保险服务需要更具有针对性，保险产品更多样化和灵活化。然而，我国市场上网络安全保险产品品种单一、缺少个性化方案，导致不能满足有特定需求的客户；适合中小企业和个人的网络安全保险还未普及发展，目标客户集中于大型企业，在一定程度上忽略了同样有投保需求的中小企业及个人，不利于提高投保率和扩大覆盖面。

2.企业存在内部信息泄露担忧

网络安全保险的保险标的为企业的信息资产。在进行投保定价时，保险公司需要充分了解企业的资产价值和风险管理情况，通过分析企业提供的内部信息进行网络安全风险评估。内部信息可能会涉及投保企业包括资产信息、财务信息、安全技术信息等多方面信息，甚至会包括部分客户隐私信息。发生网络安全事故后，保险公司需要调查事件，进行定损评估、披露理赔数据，这就要求企业公开相关数据信息，甚至需要向保险公司透露商业机密信息。如果保险公司没有完善的数据保障和保密机制，就很难保证企业信息的安全性。企业出于防止自身内部数据泄露的基本考虑，可能会拒绝购买网络安全保险。

3.企业风险管理意识有待加强

数字科技的不断进步，也促使网络攻击技术不断更新且变得更有隐秘性。由于网络攻击短期内可能不会造成明显损失，企业会存在一定的侥幸心理，低估网络安全事件带来的损失，从而导致其购买网络安全保险的意愿不高。同时，面对网络安全风险，大部分企业会首先选择增加对网络安全防御领域的投资，注重对安全设备的投入。这些企业相信，即使出现网络安全事故，运用自身已有的先进技术手段也能及时解决，因而很少从转移分散风险角度采取应对措施。可见，网络安全保险作为转移风险的有效工具未得到企业足够重视。随着高新技术发展，网络攻击的技术也越发高超，对企业进行猛烈网络攻击的可行性大增。而事故一旦发生，经济损失不可估量，后果亦不堪设想。

4.网络安全保险了解程度不足

互联网信息时代，各种网络攻击与意外难以预测，面对无法杜绝的网络安全事故，网络安全保险大有用武之地。然而，目前网络安全保险在市场上推广和宣传较少，大多数企业对网络安全保险的认知仅为出险理赔的刻板印象。由于网络安全保险保费高，保额较低，有的企业甚至认为网络安全保险不能提供足够的保障，却并不了解网络安全保险已经开始提供安全技术服务。投保网络安全保险的重点是，通过事前监测，在源头上降低风险发生的可能；通过事后干预，在转移经济损失的同时，为企业提供及时的风险解决方案。

四、提升网络安全保险投保率的对策建议

（一）完善法律法规，实现统一规范

网络安全保险的高质量推广离不开完善的法律规范。应逐步健全网络安全保险法律体系，实现网络安全保险全流程统一规范；修订完善《保险法》，将网络安全保险条款尽快纳入其中，明确保险当事人的权利及义务；制定详细规定以便正确处理保险服务过程中的纠纷问题。比如，许多网络攻击难以及时观测，损失可能在攻击之后一段时间才会产生，网络攻击时间跨度也可能长达数月，因此，需要从法律上明确保险覆盖的时间区间，避免出现期限冲突问题。完善网络安全保险法律制度，使保险公司经营保险、处理纠纷有法可依，使投保人的切实利益有所保障。

（二）了解市场需求，加快产品创新

当前网络安全环境监管不足，《个人信息保护法》的颁布实施足以引起个人对自身网络安全的重视；中小企业资产有限，往往没有能力投保综合性网络安全保险，需要“普惠型”产品的覆盖。考虑到此类险种的供给缺失，保险公司应了解客户需求，加快创新，加紧填补此领域的空白。

一是加快个人网络安全保险产品设计。据报道，2022年1月，国寿财险推出国内首款个人网络安全保险，该产品主要对资金失窃、身份信息失窃、网络购物欺诈等三种情形提供责任保障，并且在承保模式和保障额度方面都进行了创新，体现了很高的灵活性。其他保险公司应加快创新，在对消费者个人信息资产进行保障的基础上，探索更多承保内容，逐步推出有竞争力的产品，以满足不同消费者的需求。

二是加快中小型企业普惠型网络安全保险产品设计。目前，中小型企业安全投入薄弱、安全技术受限、独自设立网络安全保障部成本高。相比于大型企业，中小型企业没有充足资金购买定制型综合网络安全保险，难以承担高额保费。因此，要解决中小型企业网络安全问题，“普惠化”是重点。其一，“普”要求此类产品能够提供web攻击、网络篡改、恶意病毒等常见攻击防护服务，保障遭受损失后的基础修复费用、营业中断损失；其二，“惠”要求产品开发定价团队设计出大部分中小型企业能够承担的保费。

（三）加快数据保障机制建设

监管部门、保险公司和科技公司联合打造独立的网络安全保险数据信息机制。在承保方面，保险公司与科技公司合作建立专门的网络安全保险投保数据库，与传统保险数据进行划分，并对其进行严格的监控。除专业评估人员以外，应限制其余内部人员登录数据库的权利，以减少内部人员泄露数据的可能。在理赔方面，监管部门应推动建立匿名理赔数据分享机制。我国网络安全保险发展仍处于初级阶段，应要求保险公司披露理赔数据，当然也要保护投保企业的隐私权。匿名机制的建立有助于在规避侵犯隐私、保障投保方利益的前提下提供有效的经验信息，解决数据孤岛问题。

（四）政府引导企业完善网络安全风险管理体系

政府部门可以从以下两方面出发，引导企业逐步完善自身的网络安全风险管理体系。

一是综合运用财税激励政策。政府可以注资带动相关主管部门以及社会资本共同建立网络安全保险补贴资金池，根据企业投保等级，提供不同程度的直接补贴，以激励更多企业加入；同时，将闲置资金进行投资，以保证资金池的可持续发展。此外，结合税收优惠，监管部门与税务部门应明确网络安全保险减税政策，实施等级优惠制度，加大对投保人的税收优惠力度，有利于提高参保积极性，扩大保险覆盖面。

二是推行网络安全保险试点工作。一方面，从大局入手对重点行业和高风险行业进行强制试点工作。如新能源、工业制造等关乎国家经济和人民生活的行业，保险公司和科技公司可以开发适应上述行业特性的产品，对重点行业进行安全保障，也是对国家安全的保障。同时，对重点行业和高风险行业推行网络安全保险试点，可以起到模范带头作用，引导企业增加对网络安全保险的关注。另一方面，对中小型企业进行选择性试点。可以从各个行业中选择具有代表性的企业，为其提供“保险+风险管理+服务”模式的保障，让企业切身体会保险的风险管理作用，保障企业基本安全防护需求，有效降低企业在受到网络攻击后的维护成本，加深企业对网络安全保险的了解，提升投保需求。

（五）加强宣传，提升网络安全风险及网络安全保险认知

我们必须看到，当今时代，在网络技术如此先进的条件下，网络安全漏洞依然存在。2022年4月28日，北京市召开新冠病毒肺炎疫情防控工作新闻发布会，会议表示，当日北京健康宝使用高峰期遭受境外网络攻击。虽然相关保障团队已有效应对，但不能保证未来不会继续遭受攻击，且网络攻击形式和手法在不断升级，过去的应对方法不一定有效，因此，提高企业风险管理意识至关重要。

政府及监管机构应引领举办线上网络安全宣传活动、学术会议，联合各大媒体做推广，开办专栏节目等，将网络安全宣传渗透到人们的日常生活中。例如，宣讲典型网络安全事故，指明其对经济运行影响的严重程度，并传达居安思危的思想，加强社会各界对网络安全风险的重视；将网络安全保险作为有效转移经济损失风险的方式介绍给公众；国内保险公司在公司官网界面介绍保险保障和安全服务时，可以列举公众熟知案例的具体应对方案，让公众更直观明确地了解该险种提供的具体保障服务。