数字经济时代网络安全保险的发展机遇、困难与对策

周 雷

(苏州市职业大学 商学院，江苏 苏州 215104)

近年来，互联网、大数据、云计算、人工智能、区块链等技术加速创新，日益融入经济社会发展各领域，推动我国数字经济快速发展。基于数字化技术的运用，线上线下相结合、多种业态融合的创新型商业运作模式和高频次的数字互动催生了新型网络安全风险[1]。根据国际网络安全风险投资公司的估测，2020年网络风险给全球带来了6万亿美元的损失。巨额损失主要是数据泄露及营业活动中断的长尾经济效应导致的。网络安全保险属于新型财险险种，是指以第一方损失(如营业中断损失、网络系统攻击损失、网络欺诈损失等)，以及第三方责任(如数据泄露责任、网络安全索赔责任等)为保险责任的财产保险[2]。近年来，全球网络安全保险市场呈高速发展态势。随着5G等新兴技术的广泛应用，我国亟须推出高质量的网络安全保险产品和服务为数字经济保驾护航[3]。本文分析我国网络安全保险的发展机遇和面临的困难，从政府监管部门、保险公司和网络安全企业角度提出建议，以期推动我国网络安全保险行业合规经营、创新发展。

(一)网络安全产业高速增长

受数字经济政策扶持、数字技术升级和安全需求增长的驱动，我国网络安全产业呈高速增长态势。根据中国信息通信研究院的测算，2019年我国网络安全产业规模为1 563亿元，2020 年达到1 702亿元。近年来，网络安全企业深入布局网络安全产业链并积极融资，保守估计涉及金额达到90 亿元。快速发展的网络安全产业助力网络安全保险市场持续发展。网络风险有高技术性、多变性的特点，保险公司为了补齐数据积累和技术支持方面的短板，持续加大与网络安全企业合作的力度，不断更新网络安全技术并挖掘网络安全保险的应用场景，促进网络安全保险落地。对于云计算和大数据等安全防护管理、移动安全和工控安全以及物联网安全产品，网络安全企业相应增加投入，提高了保险公司的风险保障水平和风险监测能力。近年来，各大保险公司深化与网络安全企业的合作，探索具有中国特色的企业网络安全保险产品及方案。根据中国保险行业协会公布的数据，我国目前共有17 家财险公司推出了独立的网络安全保险产品，其中大部分产品是网络安全风险一揽子计划，占69.2%，而针对第一方损失、第三方责任赔偿的产品分别占23.1%、7.7%。

(二)保险科技得以应用

受数字经济驱动，我国保险科技的投融资活动仍然保持高度活跃状态。资本驱动保险科技完成应用落地，为针对新技术风险的网络安全保险打下了基础。在“数智化时代”，各行业的“算法、算力、数据”深度融合，区块链、云计算、大数据、物联网、人工智能等前沿技术不断拓展保险科技在防控网络风险中的应用场景。首先，区块链技术可以破解数据保护难题。例如，“健农险”与区块链结合的模式，通过构建分布式账本对投保人数据进行保护与储存，并且实现网络安全联盟的数据流通及共享。基于区块链技术的网络安全数据库能提高保险公司的数据资产风控管理水平。例如，众安科技投资开发的一站式隐私合规平台ACE 已进入运营阶段，其核心模块DKMS 支持满足用户意愿的数据共享和转让，还可防止企业滥用。人工智能技术和机器学习技术为网络风险检测创造了条件，弥补了人工评估的技术缺口。强调优质算法的机器学习技术能有效整合并清理前端数据，使其成为AI技术的驱动力以形成生产型数据战略，由此构建的技术闭环能有效预防网络风险。网络保险分析公司Envelop Risk 基于人工智能的建模和仿真工具，利用经济、技术、行为和历史数据，将网络风险描述为动态系统，从而为保险公司提供网络风险分析服务，赋能网络安全保险创新发展。

(三)政府和监管机构高度重视网络安全

网络安全是实现网络强国的前提和基础。随着数字经济深入发展，政府和监管机构积极推出支持网络安全保险发展的政策。《中华人民共和国网络安全法》颁布后，《数据安全法》《个人信息保护法》等相继出台，我国的网络安全法治建设体系日趋完善，标志着个人数据保护进入新时代,由网信办、工信部、公安部和行业监管部门联合监管网络风险。2020年以来，工信部针对车联网、5G、工业互联网及人工智能等领域发布专项文件，持续关注新兴技术风险，引导网络安全与新技术融合，为网络安全保险特定险种的设计和具体产品的开发创造了有利条件。

(四)新冠肺炎疫情加深了企业对网络风险的认识

新冠肺炎疫情出现后短期内剧增的网络访问数量加大了企业的网络风险。员工在居家办公期间的操作失误也会引发网络攻击。2020年3月，境外黑客组织对我国政府和医疗机构频繁进行定向攻击。国家互联网应急中心的检测结果显示，2020年3 月境内感染网络病毒的终端数达151万余个，较上月增长了13.7%；
被篡改的网站数量为26 029 个，较上月增长了41.6%。因此，疫情放大的网络攻击影响和营业中断风险间接加深了企业对网络风险的认识。信息不对称、损失高度相关性、适用分析的历史合同数量不足、定价频率和严重性数据稀缺、技术创新和法律监管环境的变化，使保险公司无法有效承保网络损失。保险公司开始将网络风险列为财险除外责任，促使企业寻求网络风险引发的营业中断等风险的专门保险解决方案，培育了网络安全保险垂直市场。

(一)缺乏统一的行业规范及标准

一些保险公司已开发了针对网络安全保险的部分险种，如营业中断保险及董事责任险等。但是，当前我国缺乏统一的网络安全保险制度，对网络安全保险的保障范围、理赔条件以及合同标准没有明确界定，无法保障网络安全保险的良性发展。潜在网络风险有扩大趋势，财险公司应该关注传统险种与网络安全保险保障范围的界限划分。近年来，沉默风险(Silent Risk)越来越受到国外学者关注，而国外业界也出现了拒保拒赔案例。沉默风险，即数字化信息技术带来的合同措辞未明确承保或者拒保的新型风险[4]。网络安全保险与传统险种划分界限的规范性文件缺失，给网络安全保险创新带来合规不确定性。

(二)构建网络风险精算数据库有障碍

由于网络安全风险是新兴风险，各保险公司缺少基础精算数据，缺乏保费定价依据[5]。随着数字技术的发展，网络犯罪的花样不断翻新，受攻击公司可能会基于利益考量而掩盖受攻击事实，进而给保险公司收集损失数据造成难题，提高了定价难度。数字经济带来部分基础服务企业的业务高度数字化、整体化，可能导致网络巨灾事件，而类似传染病的网络攻击将会产生长尾效应,使得赔付产生极大不确定性。另外，建立网络风险精算数据库，在数据整理、数据挖掘、精算建模、模型检验等方面也遇到传统保险理论和定价技术无法适用的问题。

(三)承保客户数据资产使用范围的界定难题

在数字经济时代，数据成为核心生产要素，使合理使用数据与安全隐私保护的边界变得模糊。保险公司通过评估数据的网络风险来进行定价，需要明确承保的数据价值并确定其可保性，特别是在承保期间，保险公司需要建立数字化平台对承保数据资产进行捕获追踪，并掌握其动态信息，这必然引发投保人对自身数据资产安全性的担忧,甚至引发道德风险。因此，国内财险公司面临承保数据资产保护和使用范围的问题，迫切需要一套行之有效的数据界定和保护方案，在确保数据安全的前提下获取并使用数据。

(一)政府监管与行业管理的政策建议

1.制定行业标准，规范市场运行

政府监管部门及保险行业协会应当发布行业规范性文件，明确界定网络安全保险的核心定义以及权责归属问题。对于传统财险保单中的沉默风险，政府监管部门应当密切关注并审慎监管，促使保险公司明确是否承保网络风险，缩小其风险敞口。

2.建立数据沟通分享机制和风险数据库

加强网络与数据基础设施建设是保障网络安全的重点，政府行业管理部门可以推动构建数据沟通分享机制，加快匿名网络安全事件披露平台建设，为保险行业网络风险数据库的建立奠定制度基础，从而有效提高网络安全保险定价能力。同时，政府监管部门应当定期与保险公司、网络安全企业以及学术界沟通，共同探索网络安全保险的实践模式，听取风险管理意见，了解智能基础设施建设需求。政府监管部门建立数据沟通分享机制，能够打通数据壁垒，不仅有助于保险公司建立风险数据库，而且有助于提高监管的有效性。

3.建立网络巨灾风险共同基金池，关注市场剩余风险

网络安全风险在数字经济时代不断演变，有极端化趋势。受数字经济渗透的影响，社会各级产业链、供应链相互融合并向数字化转型，加强了网络安全风险的传染性。我国政府及监管部门应当密切关注潜在的网络巨灾风险，参考国际经验，建立网络巨灾风险基金池制度。基金池由政府、保险公司及再保险公司共同出资设立，承保网络巨灾风险带来的巨额损失。对于频繁遭受网络攻击的受损企业，可以将其纳入基金池并由市场上的保险公司共同分担风险。

(二)保险公司的经营发展策略

1.大型网络安全保险经营公司的发展策略

一要发挥头部企业的引领作用，建立网络风险数据库。建立风险数据库对于财险费率定价具有重要作用。从国际经验来看，欧美国家的头部保险公司建立数据库并在业界共享，有利于企业量化风险并推动产品落地。国内大型财险公司应当充分发挥作为头部企业的深度价值链优势，搭建合作桥梁，在保证数据安全的前提下牵头建立网络风险数据库。在数据分享方面，大型保险公司应当以共享的精神构建数据分享模式，破除数据壁垒，充分发挥数字经济时代大数据的优势，共同抵御网络安全风险。二要推广保险科技的应用。保险科技是新时代赋能保险业高质量发展的重要路径[6]。大型保险公司多年来对保险科技的研发和应用投入较多，能够提高风险识别能力。针对当前网络安全保险存在的难题，大型保险公司应当发挥技术优势，堵住网络风险点。例如，运用区块链与隐私计算技术解决数据存证和共享问题，在确保隐私安全的前提下提高数据共享程度及使用效率。在保险科技应用场景方面，大型保险公司应当充分发挥资金、技术、人才等优势，探索如何将保险科技运用到网络安全保险价值链中。三要打造“网络安全保险产品+网络安全服务”的创新型网络安全保险承保模式。单纯依靠网络安全保险产品并不能完全缓解当前企业所面临的潜在网络风险。要依靠前端网络风险技术控制、后端网络安全保险产品兜底以及网络事件紧急应对服务，全面控制网络风险。大型保险公司要充分认识保险的社会稳定器功能，利用自身的人力、资金、技术等资源与国内网络安全企业合作[7]，打造“网络安全保险产品+网络安全服务”的创新型一体化网络安全风险承保模式，保障数字经济健康发展。

2.中小型网络安全保险经营公司的发展策略

一要打造网络安全保险的特色垂直领域。中小型保险公司应当深度挖掘特色网络安全保险领域中的创新技术应用空间，提高数据使用效率，拓宽保险科技的应用场景，开发新险种。要以网络风险为基础开发特色网络安全保险险种，提高自身的品牌价值。比如，针对以数据为核心的B端用户，中小型财险公司可以围绕数据安全和数据泄露责任开发定制化的保险产品。二要加快局部数字化转型，提高信息技术运用能力。中小型财险公司的分支机构少、技术积淀少、综合成本高。如何运用数字化技术强化生产价值链、提高技术渗透率、降低运营成本，对中小型财险公司数字化转型、提高网络安全保险经营效率的意义重大。基于当前网络安全保险业务的需求，中小型财险公司可以对业务模块或者系统功能模块加以局部改造，以数字化信息技术为导向完善网络安全保险的生产价值链。三要以企业联盟的方式提供网络风险承保方案。国内中小型财险公司可以联合保险科技公司、网络安全企业，建立网络安全风险保障企业联盟，提供端到端的网络风险承保方案，也可以专注于网络安全保险产品的开发设计，将前端的风险控制和运营流程交给专业的网络安全企业。网络安全风险保障企业联盟通过协同运作的方式，以专业优势组合发挥效用，从而提供较全面的网络安全风险承保解决方案。

(三)网络安全企业的应对策略

1.优化数据治理模式

提高数据使用效率是我国保险行业向数字化转型的重要一环，而实现数字化转型是保险公司跟上数字经济发展的重要前提。当前，网络安全保险业务经营存在新兴网络风险不断涌现、网络风险形态不断变化，以及缺乏历史损失数据的痛点。网络安全企业应当探索以市场为导向的精细化数据治理模式。针对大型财险公司，网络安全企业可以在数据存储、数据挖掘技术开发、数据安全技术融资等方面开展战略合作。针对中小型财险公司，网络安全企业可以在提供数据技术支持、建立辅助数据库等方面开展合作。

2.优化网络安全技术服务

为推动网络安全风险解决方案的落地运行，网络安全企业应当从优化网络安全信息技术入手，结合细分领域的网络安全保险，推出对应的网络风险管理赋能措施。基于投保企业面临的主要风险及基本框架，网络安全企业可以针对常见的网络攻击形式(如隐私泄露、数据安全漏洞、邮箱钓鱼和恶意代码等)，开发相应的网络安全防御手段，使保险公司更好地开发和运营网络安全保险产品，从而满足数字经济时代网络安全保障需求。