○唐金成 莫赐聪

广西大学经济学院 广西南宁 530004

一、数字经济发展与网络风险的矛盾现状

（一）数字经济时代发展与安全的辩证统一

在数字经济时代，国家始终秉持发展与安全并重的核心理念，坚持实现安全与发展的良性互动，形成双轮驱动力。在高质量发展前提下，我国不断稳步推进相关安全工作；而在高水平的安全背景下，我国一直落实并深化各项安全改革工作，确保经济社会发展的深度和宽度、确保在安全环境中实现平稳有序发展。如图1所示，据中国信通院数据，2017—2021年，我国数字经济规模从27.2万亿元迅猛发展至45.5万亿元，总量稳居世界第二。2021年数字经济同比名义增长16.2%，占GDP 比重达39.8%，逐渐成为推动经济增长的重要引擎之一。愈加庞大的数字经济规模需要相应的网络安全保险保驾护航。

随着数字通信技术及新型基础设施建设的不断发展，数据要素成为继劳动力、土地、资本和信息后的第五大生产要素。数字经济高速发展凸显了数据要素的重要价值，体现在以下两方面：一是在于“发展”，即如何运用数据要素助力数字经济迈上新台阶。在数据与算力所构成的数字经济底层基础中，新型生产要素与生产力催生了应运而生的生产关系。算法成为沟通数据与算力运行机制中的重要平台。新型算法极大地发挥了算力的内在价值，提升了经济资源配置效率。二是在于“安全”，即如何保障数据要素的安全运行以便更好地护航数字经济稳步运行。2014年，习近平总书记在中央网络安全和信息化领导小组第一次会议上强调，信息资源日益成为重要生产要素和社会财富，信息掌握的多寡成为国家软实力和竞争力的重要标志①数据来源：https://www.gov.cn/xinwen/2014-02/27/content_2625112.htm。，凸显了数据对提升国家竞争力的重要价值。数据资源作为核心生产要素，其安全问题成为数字经济平稳发展的“压舱石”。数字经济规模的扩大伴随着网络犯罪的日益猖獗，据Cybersecurity Ventures测算，网络犯罪仅在2022年就造成全球8万亿美元的损失，并以每年15%的速度增长，预计2025年达到每年10.5 万亿美元的损失。安全与发展是辩证统一的，安全是发展的前提，发展是安全的基础。当前数字经济平稳发展离不开网络安全，而网络安全的意义在于护航数字经济可持续发展。如何提高防范化解网络安全风险的风险治理能力，分散并缓释网络安全风险对现有数字经济的冲击效应，是当前亟待研究的重要课题。

（二）数字经济与网络风险突出的现实矛盾

数据存储的海量增长及高频的数字互动加速了各个经济体之间数字层面的经济交流，并为相关数字模式下新型经济产业发展注入了新活力。但数据资源在赋能数字经济飞速发展的同时，也承受着网络风险与日俱增的压力。根据IBM 发布的《2021 年数据泄露成本报告》，2020—2021 年，网络风险造成的单次数据泄露平均总成本从386万美元上涨到424 万美元，同比增加9.84%。如图2 所示，处理单次数据泄露事件不仅限于相关机构的升级维护及事后响应，还包括系统停机所造成的经营损失，包括营业中断损失、客户流失、获取新客成本，以及商业声誉损失。

图2 2021年数据泄露平均总成本分布

随着数字经济不断深入发展，未来数据资源所承载的经济价值及长尾效应可能会加大，针对数据安全的网络风险将会给数字经济平稳发展带来更复杂且多元化的压力。当前数字经济发展亟待解决的首要矛盾就是在突出的网络风险环境中寻求科学的方法，努力治理网络安全风险，不断提升数字经济发展的韧性。特别是近年来，在新冠疫情与数字化进程的叠加影响下，各类企业都在逐渐提高线上办公的比重，该现象也使得部分缺乏网络安全防护能力的企业扩大了网络风险敞口。

二、以网络安全保险为主要手段的网络风险分散机制现状分析

（一）网络安全保险的社会定位及主要特征

1.网络安全保险的社会定位。现代保险是非常有效的网络风险转移方式，网络安全保险对提升企业组织的网络安全建设水平作用极大。一是网络安全保险的保费可以刺激企业组织的网络安全投资。现代网络风险治理格局之中，网络安全保险的选择非常重要，企业难以避免保费问题，只有加强自身网络安全防护能力建设换取经济的网络保险保费，企业才可以达到最优网络风险管理水平。二是网络安全保险产品具有正外部性。在改善每个参与者网络保护水平的前提下，数字经济也必然会得到发展保证，社会网络风险管理水平也会向最优点靠拢。三是网络安全保险可以视为观测企业组织网络安全防护水平的指标。充足的保险覆盖率能保障企业组织处于较好的经营水平，企业网络安全保险的历史赔付数据能够反映企业的真实风险水平。四是网络安全保险能够改进现有的网络安全标准。不断增长的网络保险市场会鼓励保险公司优化保险条款，包括保费激励及保险责任扩大覆盖，以确保更好地保障网络防护体系建设。

总之，网络安全保险在网络风险分散机制中处于核心位置，是重要的风险分散手段，反映了分散机制中的各项指标数据，包括风险分散水平、风险承受能力及网络安全防护能力。因此，网络风险分散机制的构建必须围绕网络安全保险这一核心进行整体布局。在各分散层级中，明确保险公司与再保险公司作为业务运作的主要组成部分，政府作为最后风险分散层级，逐一进行风险分散，实现保险市场对网络风险分散作用的最大化。

2.网络安全保险的特点。

（1）措辞严格的合同特征。保险合同对于保险承保流程意义重大。相对于传统财险保单，网络安全保险条款措辞更严格，其始终致力于消除沉默风险，并保证保单处于风险可控且精算建模有效状态。一是网络风险的赔付率及高额索赔导致保险公司为保障经营网络安全保险业务的效益，必须增加更多的除外条款以保证保单的利润率。二是明晰网络安全保险保单的除外条款有利于增强可保性。Eling et al.（2016）认为，日常性网络风险是可保的，而灾难性网络风险及带有国家网络战争性质的网络风险则不具备可保性。如何使得网络安全保险保单容纳更多的日常性可保风险，丰富的除外条款必不可少。

（2）保险与安全服务绑定的经营特征。网络安全保险承保方案离不开相关技术支持，其依靠“一揽子”方案提供综合性网络安全保险产品服务。网络安全保险一揽子方案通常指“保险+技术服务”的综合性承保方案，主流模式一般有三种：一是“网络安全服务+网络安全保险”模式，主要由网络安全技术企业依靠技术优势，不断提升网络安全保险各流程的服务体验，强化技术性保险产品。二是“网络安全产品+网络安全保险”模式，主要依靠产品组合优势，更有利于企业组织根据各自不同的风险格局选用不同产品组合，有效提升网络安全防护效率。在该模式下，企业可以对特定业务流程选择更多技术保障及风险分散形式，有利于提升其需求适配性。三是全流程一站式网络风险解决方案，企业组织的风险识别、风险扫描、风险监测、风险处理及风险响应均由保险公司及网络安全技术公司进行全方位介入。该模式能够全面改善并提升企业组织的网络韧性。

（3）保险与科技的深度融合。从网络安全保险全流程来看，其科技化特征非常明显。如图3所示，在产品设计阶段，通过数字孪生技术，科技公司可以为投保企业及保险公司构建实时实景的虚拟空间。通过风险宇宙形成庞大的风险数据库，保险公司通过风险数据库，可以动态查看最新的风险信息，以优化保险产品设计。在核保阶段，网络安全保险的风险评估效率需要保险科技来提高。保险科技可以利用科学方法、流程及算法从风险数据中挖掘深层价值，优化当前的风险评估模型与风险定价模型，确保企业获得合理的保费。在承保期间，网络安全保险同样离不开这一科技特征。现有网络安全保险产品与网络安全服务相结合，依靠其网络风险数据对保险对象进行风险扫描，形成围绕行业、企业与场景的不同维度的风险洞察，辅助相关企业更好地进行风险管理。在网络风险事件出险时，理赔和定损也离不开科技手段的深度参与。借助人工智能及区块链技术处理网络安全保险索赔案件是大势所趋，依靠数据科学模型建立网络风险定损模型是支撑快速理赔的重要保障，依托机器学习模型则能够迅速分析投保企业是否存在保险欺诈行为。

图3 保险与数字化技术的融合示意图

（二）国内网络安全保险市场发展现状

1.市场规模有限，保单类型较少。据国家工业信息安全发展研究中心测算，2021年我国网络安全保险保费规模7080万元左右，较上年增长3.2倍以上，最高保额超过4亿元（据《我国网络安全保险产业发展白皮书（2021 年）》）。我国网络安全保险市场整体规模虽然不大，但其保持高增长的状态，未来几年有望成为财险业务的新增长点。在目前网络风险管理体系中，企业组织所选择的网络风险处理手段主要是风险自留及风险缓解，依靠保险手段进行风险转移通常只涉及有形资产风险。波耐蒙与怡安的研究显示，2022年只有16.6%的数字和其他无形资产获得了保险保障，哪怕部分有形资产的价值较低，仍有58%以保险转移风险，是无形资产的三倍。网络风险管理理念的差异也是网络安全保险市场规模小的主因。从国外经验来看，这些保险缺口会使得未来网络安全保险业务产生较大规模的增长。

从保单类型来看，我国目前网络安全保险保单类型较少、承保机构数量不多。根据中国保险行业协会财产险产品信息库数据，目前国内登记备案经营网络安全保险的公司共有13家，其中，外国独资保险企业5家、国有控股保险企业3家、中外合资保险企业1家、港资保险企业1家（如图4所示）。提供网络安全保险的外资企业占比超46%，显示了外资保险机构在网络安全保险方面的先发优势。在网络安全保险条款方面，苏黎世财产保险和太平洋财产保险所提供的网络安全保险条款最为丰富。

图4 国内提供网络安全保险的保险公司相关条款分布

2.以保险为核心形成了多种服务模式。保险与安全服务深度绑定是网络安全保险产品的重要特征，这在国内外保险市场极为常见。目前，网络安全技术企业拥有先进的网络安全防护技术。面向各个基础行业，网络安全企业完善了端点安全、网络与基础架构安全、身份与访问管理、应用安全、数据安全、安全管理六大基础安全领域的建设，提供了零信任、数据安全治理、威胁管理/XDR、开发安全、安全运营/MDR/MSS、安全访问服务边缘六种网络安全解决方案，初步实现了云安全、移动安全、工业互联网安全、物联网安全四大应用场景。因此，网络安全企业是当前保险公司在风险评估及风险量化中最好的合作伙伴。

网络安全保险市场受网络风险演变的制约，由网络风险的核心属性决定。从风险管理角度来看，网络安全生态需要风险转移手段及风险缓解措施，共同弱化网络风险的影响，网络安全综合服务也符合当前风险格局的需要。从风险感知角度来看，企业组织对于网络安全技术的风险缓解效应更有获得感，因此企业组织更愿意为能提供安全保障感知的综合性产品付费。目前，国内网络安全技术企业与保险公司达成了不少合作项目（见表1），这对于网络安全市场的未来发展产生了赋能作用。

表1 2017—2022年保险公司与网络安全企业的部分合作

3.顶层设计逐渐完善，形成了良好的政策效应。条款措辞严格是网络安全保险区别于传统财险的重要特征，为此，中国保险监管机构不断对网络安全保险的监管条例进行探索，并不断出台政策以保证网络安全保险良性发展。在保险设计及运营环境方面，《网络安全法》《数据安全法》与《个人信息保护法》搭建了优质的网络安全政策框架，使得网络安全的责任归属与法律权益有法可依，明确了网络安全主体的责任与义务，强化了网络安全的监管力度。在此法律框架下，我国中央与地方不断探索风险减量与风险定价的政策路径。2023 年1月，工信部、国家网信办等十六部门联合印发《关于促进数据安全产业发展的指导意见》，指出需要努力提升数据产业创新能力、壮大数据安全服务及推进数据标准体系建设。该文件指明了数据安全产业的发展方向和目前网络安全市场实行风险减量的发展思路。2022 年12 月，财政部办公厅起草的《企业数据资源相关会计处理暂行规定（征求意见稿）》为数据安全产业发展解决了数据定价问题。不断完善的政策顶层设计，逐步丰富了网络安全保险框架，也使得市场愈加规范化。

（三）网络安全保险发展的问题分析

1.供给侧问题分析。

（1）严格且复杂的保单条款抑制了需求。首先，网络安全保险的购买力依赖于企业的保险需求，而现实矛盾是，企业风险转移需求未被纳入保险责任或是列于除外责任之中。为了更好地应对多变的网络风险格局，现有网络安全保单均作出了相应保险承保范围的限制、明示了更多的除外责任。保险公司层面，严格的除外责任及有限制的承保范围能够更好地应对当前的风险格局，也是稳定经营的要求；企业层面，网络风险的动态演变使得保险公司除外责任条款也是变动的，企业难以把握保险的实际承保范围。Robinson（2012）认为，保险责任范围的不明确是企业不购买网络保险的原因之一。其次，过于严格的保单条款也抑制了保险需求。以数据安全保护为例，当前企业对于数据安全的风险转移需求是从数据丢失中得到相应的损失补偿，而不同行业对于数据内含价值的期望不相同，数据定价主要受卖方成本、市场价值及场景影响三方因素共同作用，而当前网络保险对于数据定价较为严格，因此对保单条款作出了较严格的控制。总体来看，当前网络安全保险受到诸多限制，而保单条款措辞复杂与严格的除外责任是传统财险不具备的，这对网络安全保险市场需求产生了一定抑制作用。

（2）缺乏标准化的统一风险数据库。历史数据库一直是财险行业费率厘定的精算基础，如何确保费率更加科学、风险敞口更小，历史风险数据库是先决条件。上述网络安全保险问题，如供给单一与条款严格，都是因为风险量化工作不够细致。从历史数据累积来看，国外保险企业具备先发优势，大部分外资保险公司在国内率先推出了相关保险产品；国内保险公司由于缺乏历史精算数据，精算建模在没有定价依据的支撑下变成了无源之水。从风险的核心属性来看，网络风险处于快速变化的状态，由于网络攻击技术的进化，其对产业链的威胁方式也在不断演变。现有历史数据的有效性流失过快，网络风险建模由此产生了历史局限性。从投保方来看，为避免网络风险带来更多间接损失，企业对于网络风险损失选择匿而不举，这无疑形成了一个新型数据壁垒，加深了信息不对称。保险公司需要损失数据，而企业也需要一个提供损失数据的安全平台，这个沟通桥梁目前还没有统一性框架。因此，历史损失数据库的建立对于网络安全保险产品的供给意义重大。要发展国内网络安全保险市场及改善保险产品的供给侧问题，应先解决统一的历史损失数据库的搭建问题。

（3）利润率受损。保险公司提供保险产品的最终目的是获得经营利润，而网络风险事件的增加已经对财险公司经营产生了冲击。虽然市场极为看好网络安全保险，过多的网络风险敞口也需要相应保险手段进行弥合，但网络风险所体现的风险聚合性及人为因素导致保险公司在承保中遇到了利润难题。从国际相关发展经验来看，目前网络安全保险经营亏损的主因是高额的数据补偿及找回费用、业务中断补偿费用，以及长尾性的损失纠纷。近年来，随着网络攻击不断瞄准企业供应链薄弱环节，并依靠多变的网络攻击手段使得大部分企业损失惨重，而损失的相关性与连锁性进一步放大了损失效应。Sophos发布的《2021年勒索软件态势调查报告》显示，当前支付的赎金平均为170404美元，但修复费用为185 万美元，是支付赎金金额的10 余倍。保险公司利润率的另一个影响因素是信息不对称。在网络安全保险市场，获得了保险覆盖的企业对于风险评估及风险防护能力建设更为放松，从而产生了一定的道德风险。保险市场道德风险问题是保险公司承保网络风险面临的巨大挑战，如何消除道德风险影响、减少信息不对称是当前保险公司提升承保效益面临的重要问题。

2.需求侧方面的问题分析。

（1）风险感知因素主导下的风险管理结构失衡。消费者购买行为将产生一种不确定的后果（Blankertz et al.，1969）。其基本假设在于消费者是目标导向型消费，购买商品却不能达到预期的目标即感知了风险；而企业的风险管理决策是以有限的资金分配适当的比例，寻求外部的风险管理协助。目前，网络安全保险市场的保险需求存在一定的替代性，企业风险管理决策者更倾向于选择网络安全技术，即通过采用先进的技术手段来缓解网络风险。而对于以保险手段转移风险，风险管理决策者则更愿意为有形资产支付相关保费，以获得保险保障。就目前网络风险的频率及破坏性而言，风险缓解只能应对部分网络风险。如果忽视了网络安全保险的管理体系配置，在高频的网络风险攻击下，其所引发的经济后果将会是一般企业难以承受的，这从根本上来说是风险管理结构的失衡。适当的风险管理结构应当寻求一个合适的风险自留额及网络安全建设投入额，以谋求获取网络安全收益的最大额（如图5所示）。

图5 企业网络安全建设收益图

（2）信息泄露事件的维权意识不强。欧美网络安全保险市场激增的一个重要原因是相关数据保护条例的发布。以欧洲为例，《通用数据保护条例》（GDPR）的出台意味着数据保护有法可依，而高额罚款会导致企业对于网络安全保险第三方责任的需求增加。欧美都曾经历过巨灾网络安全事件，其影响范围之大、时间之久是大部分企业难以承受的，其造成的巨额索赔会提升相应的保险需求。顶层设计方面，我国逐渐完善了网络安全相关的法律政策，明确了数据安全责任是有法可依的。法律政策的完善还未能转化成实际保险需求的原因：一是我国网络安全事件披露机制尚未完善。企业对于网络安全事件遭受的损失及数据泄露情况不需要公开，其负外部性未得到第三方合作伙伴及公众的知晓，因此未产生大型数据泄露索赔案件。二是数据滥用现象非常普遍，民众的数据泄露维权意识不强。虽然近年来屡有加强数据保护的呼声，但数据泄露索赔鲜有落到实处。因此，企业在数据泄露后并未从中汲取教训，缺乏因高额索赔而产生额外的相关保险需求。

（3）对网络安全保险的认识不足，保险经纪人制度缺位。网络安全保险作为新险种，企业组织对其所能产生的风险转移效用普遍不了解。网络安全保险是一种综合性保险，其保险范围涵盖了有形及无形损失，专业性的保单条款使其成为新型且复杂的财险项目。需求侧主体对于网络保险产品认识不足、保险经纪人制度缺位，导致投保主体对于网络保险的了解途径受到影响。在产品认知方面，保险产品宣传过少及网络风险意识淡薄，使得投保主体缺乏获取网络安全保险的有效途径。大部分企业在面临网络风险时选择以网络安全技术来缓解风险，这既符合支出规划，也符合其风险感知，这也会导致企业在风险管理战略选择上就缺乏主动了解网络安全保险的动力。保险经纪人制度方面，保险经纪制度为买卖双方牵线搭桥，成为搜索量和信息成本较高的市场环境中的“专业交易者”。保险经纪机构收集信息，为买卖双方和产品的匹配提供市场空间，其存在能有效降低信息收集和交易成本。保险经纪人在国外一直是促成保险交易的重要力量，网络风险咨询、评估及量化风险敞口的工作，都需要保险经纪人的介入，并依靠其分析网络安全投资组合中最值得风险转移的部分，以达成网络安全投资的最优，最终可以增加保险需求。

三、数字经济时代我国网络风险分散机制的构建思路

（一）构建网络风险分散机制的目标

国内网络风险分散机制的整体目标应该结合我国数字经济发展现状、网络风险特征，以及网络安全保险市场存在的问题，聚焦如何解决数字化转型企业所面临的网络风险聚集问题，以便及时弥合当前网络风险敞口，推动数字经济健康平稳发展。

构建网络风险分散机制的具体目标：一是强化网络风险可保性，优化保险覆盖范围。信息不对称、损失相关度较高、缺乏分散主体及潜在性巨灾损失，对当前网络风险的可保性提出了一定挑战。因此，首要原则便是以多方式、多层次的手段分散网络风险、增强其可保性、不断优化网络风险治理格局。二是依靠政府干预手段提振数字经济市场信心，优化网络风险认识结构。构建网络风险分散机制能有效提振市场对于风险治理的信心，进一步提升生产效率和市场活跃度。同时，政府干预手段介入会使越来越多的企业组织了解网络风险，纠正其网络风险管理战略的偏差、改善其网络安全保险市场的经营状况。

（二）构建网络风险分散机制的原则

1.政府干预原则。针对各种网络风险，市场私人治理难以提供社会最优网络安全水平和保障网络安全保险市场的正常运转。因此，网络风险分散机制的构建需要政府干预、私人治理与公共治理三者有效结合。其首要原则便是承认政府的重要地位，依靠政府干预手段实行网络风险分散调控，从宏观层面规划网络风险分散层次，实现社会层面网络风险的最优治理。总体来看，网络风险分散机制是一个自上而下的全国性机制，涉及多方主体的参与合作，只凭借市场调节资源配置及风险管理策略的配置，显然不能最大化其安全效应。只有基于政府干预，依靠政府及监管机构充分发挥统筹优势，主导网络风险分散机制的构建及运作，才能充分发挥网络风险分散机制中各主体的能动性，不断增强风险分散机制的内在动力。

2.多主体参与原则。国外学者Smolka（2003）曾分析在风险转移过程中所需要的五个主体：风险所有者、保险人、再保险人、资本市场及政府。在整体风险框架中，各方主体各司其职，共同支撑起整体的风险分散架构，因此构建网络风险分散机制的主要原则应为多主体参与。坚持各方主体参与网络风险管理框架，完善网络风险管理上下游产业链，形成多主体参与、市场主导及政府干预监督的网络风险分散机制。在此机制之下，各方主体应当积极履行其责任义务，努力形成合力，管理好网络风险。

3.风险共担原则。经济学家塔勒布（2018）在《非对称性风险——风险共担，应对现实中的不确定性》中指出，经济活动中应当建立对称的关系，防止被他人转嫁隐藏的尾部风险。为应对非对称性风险，各方主体应当依靠“入局”的方式，实行风险共担原则。网络风险分散机制同样应该实行风险共担原则，使风险所有者、保险公司及政府机构共担网络风险，共同面对其带来的损失，共同弥合网络风险敞口。政府机构的介入并不是对网络风险损失照单全收，而是充当最后保险人角色。因此，网络风险分散机制在实施过程中，应严格按照预先设计的网络风险留存量，确定各层面临的网络风险敞口、明晰各方责任及义务、稳定分散机制的基本结构，实现市场平稳运行。

（三）构建网络风险分散机制的基本要素

1.风险拥有者。风险拥有者是网络风险的第一责任人，其主要负责在前端缓解网络风险并选择部分网络风险进行分散。在网络风险事件发生前，企业组织应当积极履行网络风险的缓解义务，减少网络风险的损失预期；在网络风险事件中，企业组织则应积极配合保险公司与网络安全公司进行数据恢复工作，以安全的方式履行其风险告知义务，尽可能地减少网络风险的损失；在网络风险事件发生后，企业组织则应积极咨询律所，明确事故中自身的第三方责任损失，做好出险事故认定工作。总体来看，企业组织是网络安全事件的全流程参与者，各方共担网络风险即与企业组织共担网络风险。因此，缓解并转移网络风险，弱化市场的信息不对称，企业组织是第一责任人。

网络风险分散可以从企业组织层面进行第一层分散。在共同面临网络风险的企业组织中，建立一种保证金形式的风险补偿资金池，进一步创新风险补偿机制。风险池管理机制就是将风险特征类似的个人或团体列入一个风险池中，单独进行风险管理及定价。此方法目前在我国医疗保险行业运用较为广泛。规划网络风险池，即从企业组织层面构建第一层的网络风险分散。通过风险前置模式，在网络安全事件发生的第一时间，网络风险池就先进行资金补偿，以便保障企业业务资金的连续性。网络风险池管理制度的设计可从范围框架入手，部分企业组织可以建立私人网络风险保险池，地方企业也可建立地方网络风险池，行业组织则可以自行搭建行业的网络风险池，实行网络风险的层层分散。

2.保险公司。保险公司与再保险公司是网络风险转移的主要力量，主要负责收取保费、实现网络风险在各市场的转移分散。为应对网络安全风险事件，保险公司应当积极开发保险产品，量化风险敞口，提供网络风险承保的咨询意见，以保险产品创新满足企业组织产业链中的保险需求。在网络安全事件发生后，保险公司应当积极履行保险损失补偿义务，与企业组织一同努力补救数据资产、减少损失。

网络风险分散可以从保险市场层面进行第二层分散。从整体来看，依靠保险市场转移企业的网络风险财务损失是最为有效的风险管理途径。除网络安全保险外，保险公司应以多种方式转移网络风险、优化网络安全保险风险敞口。网络风险分散机制实行风险共担原则，保险公司与企业组织风险共担、保险公司之间也实行风险共担。保险人与其他保险人共同承担风险，可以为潜在巨灾风险创造更为广泛的精算基础（Reichel and Schmeiser，2018）。为实现保险公司之间的风险共担，保险公司主要有两种合作方式：一是网络风险共保。多家保险公司与投保人签订共同保险协议，约定以一定的比例共同分担网络风险所引起的财务损失。共同保险是保险公司之间的第一次风险分散，有利于扩大风险分散面积、降低承保的风险。二是网络风险共保体。共保体制度是指在保险公司之间成立一个共同体，实行自愿参与、风险共担的原则，对保险业务实行管理及承销。共保体与共保的主要区别在于实现约定的责任限额。共保体是一个客观性的承保实体组织，而共保则是保险公司之间随机约定的共同保险协议。共保体能不断优化我国网络安全保险市场，除风险转移优势外，共保体市场影响力能使得其成员保险公司更易获得业务，减少恶性竞争带来的经营恶化。国内目前的共保体主要有地震共保体、核保险共保体、航空航天共保体及农业保险共保体，均可为网络风险共保体提供实践经验的学习借鉴。

3.再保险公司。再保险是市场化转移风险的最后一道屏障，也是保险市场的“稳定器”与“安全网”。通过相关保险业务的分保，能够减少经营网络安全保险业务的波动性，降低巨额网络风险索赔对公司偿付能力的冲击，提高网络风险的承保能力。再保险人专业性极强的风险咨询服务能确保原保险公司不断优化其承保结构，使风险前置，增强企业组织的获得感。再保险业务使得原保险公司的资本不被过高的网络风险业务占用，也不必为其留存更多的风险准备金。

国外的网络安全保险市场十分依赖再保险机制进行风险分散，网络风险分保成为了保险市场重要的风险管理手段；再保险所产生的网络风险洞察也为众多保险公司及政府监管机构提供了风险管理意见。中国再保险公司已开始参与网络安全保险产品的设计与研究。2022年7月，中再产险公司推出国内首款普惠性网络安全保险产品，标志着中再产险公司的技术积累与产品研究已经成熟落地。网络风险分散机制的平稳运行需要多层风险分散机制，无论在横向层面还是纵向层面，网络风险都应获得广阔的分散空间。企业组织、保险人与再保险人构成纵向风险分散体系，再保险人作为最后的网络风险分散层，也是支撑市场化分散的最坚实力量。

4.资本市场。资本市场已经逐渐成为保险公司转移风险的补充选项。保险通过资本市场转移风险的工具为保险连结债券（ILS），即发起人（Sponsor）将其承保的风险通过特殊目的实体（SPV）发行证券化产品。保险连结债券的运行架构如图6 所示，其发起人一般包括保险人、再保险人与政府机构，由发起人将其风险转移需求与SPV签订再保险或衍生品合同，并向SPV支付再保费。SPV是发起人特别设立的法律实体，其承接发起人分出的巨灾风险后，同时向资本市场发行债券。而债券发行募集的资金存入抵押信托机构，可用于投资低风险的高质量投资产品。在保险连结债券存续期内触发约定的风险事件，SPV则按合同约定向发起人支付赔偿，剩余本金在到期时全部或部分（取决于债券类型）返还给投资者。保险连结证券通过资本市场增加了保险的承保容量、提升了保险公司的承保能力。网络风险有着潜在性的巨灾损失，亟需网络风险证券化来增强保险公司抵御风险的能力，从而推动构建网络风险分散机制。网络风险证券化过程应当充分发挥政府的监管与政策支持作用，不断完善相关监管体制，稳步推进保险连结债券市场的发展。

图6 保险连结债券传统运行架构

5.政府部门。在网络风险分散机制中，政府的角色定位是多方面的。在保险市场承保风险层面，政府干预地位可能并不突出；在聚合性网络风险层面，政府干预占据主导地位。市场与政府干预是调配资源的两种方式，必须灵活使用，以维持市场的良性发展。政府干预手段主要是直接干预和间接干预：间接干预是政府依靠政策手段及监管框架，打造适合当前市场发展的环境，使其能解除束缚；直接干预是政府干预手段的补充形式，在市场失灵后依靠政府干预手段保障市场恢复运行。当网络风险愈加不可控时，公私合营保险将是最有效的解决途径。政府参与保险市场，作为保险人与保险公司一同为企业组织提供网络安全保险。该模式有两种类型：一是政府作为完全保险人。政府作为保险人为投保企业提供网络风险分散功能，并不依靠私人市场承保。该模式主要面向网络风险极大、业务中断成本较高的投保企业，例如航运、核能、军事等。二是政府充当保险公司的再保险人。政府可以与保险公司约定一个赔付限额，超过限额的赔款由政府财政承担。在此模式下，政府充当了再保险人角色，依靠其强大的资金实力及跨区域的风险分散能力，增强了保险公司的承保能力。

6.小结。政府干预下的网络风险分散机制坚持多方主体参与和风险共担的基本原则。在整体网络安全市场格局中，多方主体参与是机制运行的基础；在面临突出的网络风险格局中，多方主体的风险共担是运行保障。只有明确各主体的义务及责任，妥善实行风险共担，才能获取最优网络安全水平。如图7所示，在当前构建的网络风险分散机制中，共有投保企业、保险公司及政府三层纵向风险分散机制。留存部分网络风险的企业作为第一层风险转移，企业通过保险市场与再保险市场实行第二层市场化风险转移，以政府为最后保险人实行第三层风险转移。其中，保险是最重要的风险分散手段，现有网络风险将着重依靠保险市场实行风险分散。从横向来看，企业组织实行风险池制度，完成风险拥有者间的风险横向转移；保险公司依靠共保协议与共保体制度完成新一轮的风险横向转移；在整体机制下，依靠资本市场提供的ILS 工具实现风险转移的有机补充。至此，网络风险能够实现横纵结合的多层级分散。

图7 网络风险分散机制结构示意图

四、数字经济时代网络风险分散机制的实施环境与方案

（一）我国网络风险分散机制的实施环境

1.市场环境。虽然当前网络风险治理的矛盾突出，但在网络安全市场与财险市场支撑下，网络风险分散机制的落地获得了双重保障。在财险市场方面，新冠疫情重塑了保险价值链与产业链，推动了全行业的整合与升级，为产品创新奠定了坚实基础。在网络安全市场方面，信息技术应用创新产业、数据安全及关键信息基础设施安全保护构成了三重核心驱动力，促使网络安全市场不断创新发展。网络风险分散机制的落地实施离不开财险市场与网络安全市场的保驾护航。成熟的财险市场能为网络风险分散机制提供成熟的市场化保险产品，是风险分散的重要工具；网络安全市场能全面参与网络风险分散机制的各环节，提供技术支持与风险咨询。在数字经济时代，网络安全技术与保险从无限性和不确定性中寻找网络风险的广度与深度，形成网络风险管控的新策略。

2.政策环境。从国家治理层面来说，网络安全是国家安全的重要部分。面对国际复杂形势及交错的地缘政治问题，党中央坚持安全与发展是一体之两翼，积极把控国家安全观下的数字经济体系发展。自2016年以来，我国网络安全相关法律法规逐步颁布，指导意见加速落实。2019 年颁布的《信息安全技术网络安全等级保护基本要求》使得我国进入等保2.0时代，将云计算、大数据及物联网全面纳入监管。在“十四五”规划下，网络安全发展将贯穿国家发展的各个领域，切实维护国家发展安全。网络安全的重要性对当前的风险防范机制产生了新需求，既需要化解风险的新技术支持，也需要风险事故发生后的处理机制。在网络安全观的指导下，网络风险分散机制的实施具备了当下所需要的政策环境。

3.技术环境。网络风险是数字信息时代的科技产物，构建安全稳定的网络空间需要先进技术赋能产业转型升级。近年来，保险科技方兴未艾，以科技驱动保险业数字化转型，由此研发新型保险产品。网络风险分散机制的落地实施需要技术环境的支持，包括风险量化技术、风险评估监测技术及风险缓解技术等。虽然网络风险分散机制实行多层分散模式，但保险市场仍是最重要的风险分散手段。面对保险市场信息不对称及精算建模问题，财险公司已经尽可能地完善了技术基础。在风险评估、安全防御、安全响应及安全恢复的全流程中，当前财险公司均可以先进的保险科技进行全流程赋能，提供全面科技化服务。总体来看，我国网络风险分散机制的落地实施已经具备了较为成熟的技术基础，机制构建只需要思考各要素主体之间的合作沟通，以及如何最大化地发挥其技术效应。

（二）我国网络风险分散机制逐步试点的实施方案

1.逐步试点方案的实施原因。

（1）现有市场秩序的稳定性与干预政策的不确定性。网络风险分散机制的首要原则是政府干预，但这可能导致市场产生不确定性。政府间接干预是常用的调控政策，可规范市场，优化整体网络安全市场与相关保险产品。在保险市场中，政府直接干预政策主要分为投保企业的保险人与保险公司的再保险人。不同于依靠市场机制确定价格，政府对网络风险的定价依靠财政支出维持其承保经营，难以计算经营成本。因此，这对地方财政有一定要求，也不适合长期经营。依靠强大的国家信用，政府主导性质的网络安全保险一定程度上会挤占商业保险发展空间，而受财政压力影响的网络安全保险所能提供的风险保障难以满足日常风险保障需求。对政府而言，直接的政府干预政策将会引起是否需要构建新型政府组织机构的争议。现阶段，全国网络安全保险市场不断发展，依靠市场机制调配资源与政府的政策监管仍处于较为稳定状态，政府直接干预可能带来的波动性及直接干预效果均需要通过试点方案获得反馈。

（2）网络风险分散机制各主体要素的权责配比。在网络风险机制构建的设计过程中，只初步考虑了机制中各个主体要素的构成，以及网络风险分散的方式及层次，整体研究尚处于定性分析层面。其局限在于并未对目前的网络风险责任配比进行定量分析。受精算基础数据缺乏和保险企业分出责任的比例计算限制，信息不充分导致网络风险分散机制设计的不确定性。另外，保险责任的分出比例也需依靠实践积累经验，以确定合适的比例，分出比例不仅指保险公司与再保险公司，也指保险公司与政府、再保险公司与资本市场的权责配比。在试点模式下，保险公司与再保险公司可以确定分保成数及赔款最大限额，并根据网络风险格局进行相应调整。在网络风险证券化方面，再保险公司可在试点模式下尝试确定网络风险证券化的份额，以优化再保业务。网络风险分散机制的逐步试点有利于降低当前的机制建设成本、避免资源浪费，并从试点模式中汲取经验来优化机制设计模式，完善整体机制。

（3）我国地区数字经济发展不平衡。整体来看，我国数字经济市场足够大，其展现的网络风险隐患需要网络风险分散机制的介入。从局部来看，我国数字经济发展存在一定地区差异。从中国信通院发布的城市数字经济竞争力指数来看，北京、上海及深圳引领我国数字经济发展；广州、杭州、南京等12个城市形成特色开拓者，共同构成数字经济发展的中坚力量。在这15个城市中，南部与东部城市占比大、西部城市占比较少，构成东、西部差异。在此差异水平下，各省市数字经济发展水平不同。这些差异化将会导致网络风险格局差异，风险过小且经济较差的地区可能会间接地承担过多损失，这显然不合适，因此不适宜在短时间内建立一个举国一致的风险分散机制。综上，在现有数字经济发展情况下，构建网络风险分散机制选择逐步实施的方案，符合当前中国国情。

2.逐步试点方案的方式选择。回顾我国风险分散机制的构建经验，主要坚持以点带面原则，凸显地域性特征。以巨灾保险制度为例，目前国内巨灾保险制度已经形成了四川模式、宁波模式及云南模式三种较成熟的模式。四川模式主要承保住宅地震型巨灾保险，依次从投保人、保险人、再保险人及整体实行四层分级分散制度。宁波模式下，新型技术的运用展现了宁波地区保险与技术结合的突出特征。云南模式则依靠试点模式探索指数型巨灾保险、新型风险分散方法。在财政支持方面，云南所提供的政策性巨灾保险实行省级与州县级共同配比责任制，省级财政承担六成保费，州县级财政承担四成保费，完全补贴居民投保巨灾保险。

构建网络风险分散机制也可采用区域逐步推行方案，打造各省的网络风险横向分散模式，探索网络安全各个赛道的风险转移需求。在构建网络风险分散机制初期，应当选择北京、上海及深圳等数字经济发展引领者，研究细分网络安全保险险种，以数字经济规模效应推动网络安全保险产品研究成果落地。此外，这三个城市的数字经济体量较大，其风险分散需求更多，对风险分散机制的需求也更迫切。在具备一定经验后，网络风险分散机制可以逐步扩散至宁波、广州、杭州及南京等城市，这些城市具备比较好的数字经济发展基础，也具备保险科技的落地应用能力。以宁波为例，作为首个国家保险创新综合试验区，宁波始终坚持将“保险+”内生性地嵌入“全域保险”，实现由外化为工具向内化为机制的保险发展方式转变。在宁波模式下，网络安全保险将会获得更多创新的可能，为全国提供更多的保险创新经验。

同时，构建网络风险分散机制应当实行层级逐步方案。根据本文构建的网络风险分散机制，风险拥有者及保险公司两个层级可以构建横向网络风险分散机制，使得整体机制更为立体、风险分散能力更全面。在留存风险的企业组织层面，提出构建企业组织之间的风险池制度；在保险公司层面，可以尝试以共保协议来共同承担网络风险。此外，保险公司也可以针对网络风险建立网络风险共保体制度，依靠共保体的规模效应形成有效的风险分散。各层级的风险分散制度都应当逐步逐层级实现，根据各个地区的行业发展差异选择合适的分散制度。

3.逐步试点方案的预期目标。

（1）明确各层级责任比例。构建网络风险分散机制的聚焦点是确定其建设目标、运行原则及明晰各主体的权责。在构建机制初期，各主体的权责配比应当从试点实践中获得。以网络风险池制度为例，现阶段的试点方向主要为明确网络风险池制度的规模大小与准入门槛，如选择行业风险池制度还是局部风险池制度。依靠整体行业的资金积累及广泛的风险分散能力，全行业风险池制度对于目前的网络风险治理无疑更为有利。但由于风险敞口的差异化及管理成本负担的存在，试点地区应进一步探索有效的实践方案。同时，在风险池制度中，试点地区应当建立公司分级缴纳资金的制度，确保权责统一且明晰，以保证风险池制度的长远发展。另外，风险池制度应优化自身退出机制的建设，完善各企业组织的最终义务体系，保证履行其到期责任义务，妥善处理好遗留的风险份额。

（2）以“保险+科技”模式，优化网络风险转移市场。构建网络风险分散机制过程中，优化网络安全保险市场至关重要。打造创新型网络安全保险方案是主要的网络风险转移手段。网络安全保险承保风险的特殊性、保单条款措辞严格及融合安全服务的经营模式都要求网络安全保险有更多的科技含量。科技创新将在网络安全保险产业发展及其与网络安全产业融合应用中衍生新的模式、业务、流程与产品。因此，试点地区应进一步探索“保险+科技”模式，在投保人、保险人及保险经纪人三方中发挥其承转作用。依靠现代科技进行第三方数据收集及整合，将数据应用于云计算、人工智能及机器学习中，形成保险与技术、风险与安全响应相结合的网络安全保险新业态，并进一步映射于保险的整个价值链中，形成一套可供复制的网络风险分散机制经验模式。

（3）探索网络安全投资收入收益比的最优解。我国当前的网络风险格局下，企业已经很难通过一种风险处理方式应对网络安全威胁，而是更多地转向依靠网络安全风险管理策略来解决企业的网络安全问题。制定网络安全管理策略是企业面临的重要工作，该工作需要长期持续及大量试错成本。在风险缓解的前提下，如果风险损失超越了企业能接受的范围，企业便开始寻求风险转移手段以获得损失补偿。网络风险管理策略本质上属于企业管理问题，其包含了成本及收益的计算，在此管理策略下的中国网络安全保险，本质上也是一个财务选择，在有限的投资成本中寻找网络安全保险资金配置及网络安全技术投入的平衡点。