亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

作者簡介

鄭威

中國信息通信研究院安全研究所高級工程師，主要從事網(wǎng)絡(luò)安全、數(shù)據(jù)安全、移動應(yīng)用安全、人工智能安全等方面的研究工作。

姜鼎

通信作者。中國信息通信研究院安全研究所工程師，主要從事網(wǎng)絡(luò)安全、數(shù)據(jù)安全、移動應(yīng)用安全、網(wǎng)絡(luò)安全保險等方面的研究工作。

郭飛

中國信息通信研究院安全研究所工程師，主要從事網(wǎng)絡(luò)安全、數(shù)據(jù)安全、移動應(yīng)用安全、人工智能安全等方面的研究工作。

孫麗潔

中國信息通信研究院安全研究所工程師，主要從事網(wǎng)絡(luò)安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全保險、人工智能安全等方面的研究工作。

論文引用格式：

鄭威, 姜鼎, 郭飛, 等. 網(wǎng)絡(luò)安全保險國內(nèi)外產(chǎn)業(yè)發(fā)展研究[J]. 信息通信技術(shù)與政策, 2022,48(8):43-51.

網(wǎng)絡(luò)安全保險國內(nèi)外產(chǎn)業(yè)發(fā)展研究

鄭威 姜鼎 郭飛 孫麗潔

（中國信息通信研究院安全研究所，北京 100191）

摘要：隨著網(wǎng)絡(luò)安全風(fēng)險日益加劇，網(wǎng)絡(luò)安全保險得到了快速發(fā)展，成為轉(zhuǎn)移、防范網(wǎng)絡(luò)安全風(fēng)險的重要工具。國外的網(wǎng)絡(luò)安全保險市場經(jīng)歷了二十余年的發(fā)展實踐，已形成了較為成熟的上下游生態(tài)。通過研究國外網(wǎng)絡(luò)安全保險的產(chǎn)業(yè)環(huán)境及發(fā)展趨勢，結(jié)合國內(nèi)網(wǎng)絡(luò)安全保險產(chǎn)業(yè)發(fā)展現(xiàn)狀及業(yè)務(wù)模式，分析國內(nèi)產(chǎn)業(yè)發(fā)展面臨的問題，并提出發(fā)展建議。

關(guān)鍵詞：網(wǎng)絡(luò)安全保險；產(chǎn)業(yè)環(huán)境；網(wǎng)絡(luò)安全

中圖分類號：TP393.08；F842.6?文獻標(biāo)志碼：A

引用格式：鄭威, 姜鼎, 郭飛, 等. 網(wǎng)絡(luò)安全保險國內(nèi)外產(chǎn)業(yè)發(fā)展研究[J]. 信息通信技術(shù)與政策, 2022,48(8):43-51.

DOI：10.12267/j.issn.2096-5931.2022.08.007

0 引言

近年來，隨著數(shù)字經(jīng)濟的蓬勃發(fā)展，全球網(wǎng)絡(luò)安全威脅持續(xù)加劇。各國政府紛紛加強網(wǎng)絡(luò)監(jiān)管，企業(yè)的安全投入不斷增加，網(wǎng)絡(luò)安全保險作為承保網(wǎng)絡(luò)安全風(fēng)險的新險種，日益成為轉(zhuǎn)移、防范網(wǎng)絡(luò)安全風(fēng)險的重要工具。國外網(wǎng)絡(luò)安全保險產(chǎn)業(yè)發(fā)展迅速，已形成較為成熟的上下游生態(tài)。加強對國外網(wǎng)絡(luò)安全保險產(chǎn)業(yè)發(fā)展研究，推動我國網(wǎng)絡(luò)安全保險產(chǎn)業(yè)健康發(fā)展，對建設(shè)網(wǎng)絡(luò)強國、助力經(jīng)濟發(fā)展具有重大而深遠(yuǎn)的意義。

1 網(wǎng)絡(luò)安全保險綜述

1.1 網(wǎng)絡(luò)安全保險的背景

隨著新一輪科技革命和產(chǎn)業(yè)變革席卷全球，大數(shù)據(jù)、人工智能、移動互聯(lián)網(wǎng)等新技術(shù)得以廣泛應(yīng)用，在促進實體經(jīng)濟高速發(fā)展的同時，也帶來了諸多新的網(wǎng)絡(luò)安全威脅和挑戰(zhàn)。

（1）國際方面。根據(jù)安聯(lián)集團（Allianz）發(fā)布的《2022全球風(fēng)險晴雨表》^[1]，2022年十大商業(yè)風(fēng)險中，網(wǎng)絡(luò)事件（包括網(wǎng)絡(luò)犯罪、IT故障/停機、數(shù)據(jù)泄露、罰款和處罰等）占據(jù)首位。2021年2月，美國佛羅里達州水處理廠電腦系統(tǒng)被黑客入侵，導(dǎo)致當(dāng)?shù)鼐用裆钣盟袛啵?021年4月，F(xiàn)acebook的5 億用戶數(shù)據(jù)在暗網(wǎng)被公開售賣，企業(yè)聲譽受損；2022年1月，新加坡加密貨幣交易平臺被攻擊，黑客利用智能合約漏洞竊取價值3.2 億美元的加密貨幣。頻發(fā)的網(wǎng)絡(luò)安全事件給企業(yè)造成巨大經(jīng)濟損失和聲譽影響。

（2）國內(nèi)方面。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2021年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報告》^[2]，2021年上半年，我國受攻擊IP有3 048 萬個，占我國IP地址總數(shù)的7.8%；“零日”漏洞7 107 個，同比大幅增長55.1%。2020年3月，微博5.38 億用戶數(shù)據(jù)泄露，企業(yè)聲譽受損；2021年3月，中國臺灣電腦公司Acer遭勒索軟件攻擊，贖金高達3.25 億美元。2021年6月，淘寶近12 億條用戶數(shù)據(jù)被盜取，引發(fā)社會廣泛關(guān)注。

為減少或避免網(wǎng)絡(luò)安全事件帶來的損失，企業(yè)需不斷完善自身的網(wǎng)絡(luò)風(fēng)險管理體系，提升應(yīng)對網(wǎng)絡(luò)安全風(fēng)險的能力。在風(fēng)險控制模型中，應(yīng)對風(fēng)險共有四種手段：消除、降低、轉(zhuǎn)移和接受。由于網(wǎng)絡(luò)安全風(fēng)險難以消除，企業(yè)通常通過部署網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)來抵御攻擊，降低風(fēng)險發(fā)生的可能性，并最終接受殘余風(fēng)險。網(wǎng)絡(luò)安全保險作為轉(zhuǎn)移網(wǎng)絡(luò)安全風(fēng)險的重要手段之一，尚未得到充分應(yīng)用。

1.2 網(wǎng)絡(luò)安全保險的內(nèi)涵

目前，國內(nèi)外尚未形成對網(wǎng)絡(luò)安全保險的統(tǒng)一定義。英國保險協(xié)會（Association of British Insurers，ABI）將網(wǎng)絡(luò)安全保險定義為“用于彌補與IT系統(tǒng)和網(wǎng)絡(luò)的損壞或信息丟失相關(guān)損失的一種保險產(chǎn)品”^[3]；美國國土安全部（United States Department of Homeland Security，DHS）將網(wǎng)絡(luò)安全保險定義為“旨在降低企業(yè)遭受數(shù)據(jù)泄露、業(yè)務(wù)中斷和網(wǎng)絡(luò)損壞等事故損失的一種保險產(chǎn)品”^[4]；歐洲網(wǎng)絡(luò)與信息安全局（European Network and Information Security Agency，ENISA）將網(wǎng)絡(luò)安全保險定義為“承保與網(wǎng)絡(luò)空間風(fēng)險（包括賠償責(zé)任、財產(chǎn)損失和盜竊、數(shù)據(jù)損壞、網(wǎng)絡(luò)中斷收入損失和計算機故障或網(wǎng)站污染）等相關(guān)的風(fēng)險損失為目的的保險合同”^[5]。根據(jù)《中華人民共和國保險法》，保險是指“投保人根據(jù)合同約定，向保險人支付保險費，保險人對于合同約定的可能發(fā)生的事故因其發(fā)生所造成的財產(chǎn)損失承擔(dān)賠償保險金責(zé)任，或者當(dāng)被保險人死亡、傷殘、疾病或者達到合同約定的年齡、期限等條件時承擔(dān)給付保險金責(zé)任的商業(yè)保險行為”^[6]。

綜合國內(nèi)外相關(guān)定義，網(wǎng)絡(luò)安全保險的核心內(nèi)涵是以被保險人的網(wǎng)絡(luò)及系統(tǒng)安全性（包括完整性、機密性、有效性等）及預(yù)期損失為保險標(biāo)的，當(dāng)出現(xiàn)被保險人遭受網(wǎng)絡(luò)安全事故而導(dǎo)致企業(yè)生產(chǎn)中斷、網(wǎng)站系統(tǒng)被破壞、商業(yè)機密被竊取、第三方隱私信息被盜用等情況時，保險人依據(jù)合同對被保險人承擔(dān)給付保險金責(zé)任的商業(yè)保險行為。業(yè)內(nèi)涉及網(wǎng)絡(luò)安全的諸多保險術(shù)語，如網(wǎng)絡(luò)保險（Cyber Insurance）、網(wǎng)絡(luò)風(fēng)險保險（Cyber Risk Insurance）、網(wǎng)絡(luò)空間保險（Cyberspace Insurance）、網(wǎng)絡(luò)責(zé)任保險（Cyber Liability Insurance）、信息安全保險（Information Security Insurance）、網(wǎng)絡(luò)安全保險（Network Security Insurance）、電子風(fēng)險保險（E-risk Insurance）等，均屬于本文中網(wǎng)絡(luò)安全保險（Cyber Security Insurance）的范疇。

1.3 網(wǎng)絡(luò)安全保險的分類

根據(jù)承保范圍不同，可將網(wǎng)絡(luò)安全保險分為第一方損失險和第三方責(zé)任險兩類（見表1）。

表1 網(wǎng)絡(luò)安全保險主要類型

第一方損失險承保的是網(wǎng)絡(luò)安全事故導(dǎo)致投保企業(yè)產(chǎn)生的直接損失。主要對營業(yè)中斷進行保障，包括直接利潤損失、內(nèi)部錯誤和技術(shù)故障所產(chǎn)生的費用，黑客攻擊導(dǎo)致的資金損失，網(wǎng)絡(luò)勒索的支付費用以及其他相關(guān)費用。

第三方責(zé)任險承保的是網(wǎng)絡(luò)安全事故導(dǎo)致第三方遭受損失時，須由投保企業(yè)承擔(dān)的法律責(zé)任。主要是針對第三方向投保企業(yè)的網(wǎng)絡(luò)安全責(zé)任提出的索賠，包括用以覆蓋最終用戶（消費者、使用者等）索賠的消費者賠償費用，違反相關(guān)法律法規(guī)所導(dǎo)致的費用，以及由于監(jiān)管要求產(chǎn)生的調(diào)查、取證費用。

2 國外產(chǎn)業(yè)環(huán)境及發(fā)展趨勢

國外的網(wǎng)絡(luò)安全保險市場經(jīng)歷了二十余年的發(fā)展實踐，已進入快速發(fā)展期，并形成了較為成熟的上下游生態(tài)。

2.1 市場發(fā)展歷程

（1）萌芽期。20世紀(jì)90年代，伴隨著IT技術(shù)和互聯(lián)網(wǎng)的快速發(fā)展，美國、歐洲等國家和地區(qū)出現(xiàn)針對網(wǎng)絡(luò)安全風(fēng)險相關(guān)的保單，以第一方損失險為主。國際計算機安全協(xié)會、英國勞埃德（Lloyd）保險公司相繼推出黑客保險。蘇黎世北美保險公司（Zurich North America）在美國推出“E-Risk保險”，專門針對因感染病毒、非法入侵、網(wǎng)上攻擊等導(dǎo)致企業(yè)業(yè)務(wù)癱瘓、經(jīng)濟損失巨大的情形。

（2）探索期。進入21世紀(jì)，隨著網(wǎng)絡(luò)安全風(fēng)險的種類、發(fā)生頻率及所造成損失不斷增加，以及相關(guān)法律法規(guī)的逐步完善，國外網(wǎng)絡(luò)安全保險的需求迅速增長。保險公司不斷探索優(yōu)化網(wǎng)絡(luò)安全保險產(chǎn)品，擴大產(chǎn)品承保范圍，承保第三方責(zé)任的網(wǎng)絡(luò)安全保險保單開始出現(xiàn)。2003年，美國國際集團（AIG）保險公司推出承保范圍涵蓋因網(wǎng)絡(luò)安全或數(shù)據(jù)被侵入而造成第三者損失的黑客保險。隨著Amazon、Yahoo和eBay等著名網(wǎng)站相繼遭受黑客侵襲，黑客保險需求迅速擴張，截至2003年年底，美國國際集團保險公司銷售額增加了4~5倍。

（3）發(fā)展期。自2010年起，國外網(wǎng)絡(luò)安全保險市場進入快速發(fā)展期，網(wǎng)絡(luò)安全保險逐漸成為保險公司的一款基礎(chǔ)產(chǎn)品。據(jù)Research and Markets預(yù)測^[5]，到2026年，全球網(wǎng)絡(luò)安全保險市場規(guī)模將達到350.7 億美元，平均年復(fù)合增長率達到26.6%。高速發(fā)展的同時，國外網(wǎng)絡(luò)安全保險市場仍面臨著多重挑戰(zhàn)，如網(wǎng)絡(luò)安全風(fēng)險定義不清晰、網(wǎng)絡(luò)事故損失歷史數(shù)據(jù)有限以及對網(wǎng)絡(luò)安全保險承保范圍認(rèn)知不足等。

2.2 法律政策環(huán)境

得益于成熟的法律、監(jiān)管體系及良好的政策環(huán)境，過去二十余年，國外網(wǎng)絡(luò)安全保險市場得到了快速發(fā)展。

美國網(wǎng)絡(luò)安全保險市場發(fā)展最為迅速，占全球市場份額的90%以上。在法律要求方面，美國將非法披露個人信息納入保險承保范圍，推動企業(yè)通過購買保險來保障因數(shù)據(jù)泄露和營業(yè)中斷帶來的經(jīng)營損失；在監(jiān)管體系方面，美國證券交易委員會（United States Securities and Exchange Commission，SEC）要求上市公司必須上報網(wǎng)絡(luò)安全事故、數(shù)據(jù)泄露事件，否則將面臨調(diào)查傳訊及股東和客戶的集體訴訟，網(wǎng)絡(luò)安全保險產(chǎn)品需求激增；在政策環(huán)境方面，從2016年起，美國對購買數(shù)據(jù)泄露保險采用美國國家標(biāo)準(zhǔn)與技術(shù)研究所（National Institute of Standards and Technology，NIST）網(wǎng)絡(luò)安全框架或財政部批準(zhǔn)的安全標(biāo)準(zhǔn)的企業(yè)，提供15%的稅收減免。健全的法律監(jiān)管和積極的財政政策促進了美國網(wǎng)絡(luò)安全保險市場的快速發(fā)展，據(jù)美國保險監(jiān)督官協(xié)會（National Association of Insurance Commissioners，NAIC）的統(tǒng)計數(shù)據(jù)顯示^[6]，目前提供網(wǎng)絡(luò)安全保險產(chǎn)品的美國保險公司已超過500 家，較2016年增加35%。

歐盟的網(wǎng)絡(luò)安全保險市場與美國的發(fā)展較為同步。歐盟采用網(wǎng)絡(luò)隱私立法模式，從法律上確定網(wǎng)絡(luò)隱私權(quán)保護的各項基本原則和具體制度，并在此基礎(chǔ)上建立各項司法和行政救濟保護措施。相關(guān)法律法規(guī)對隱私泄露等引發(fā)的第三方責(zé)任有著較為明確的罰則指導(dǎo)，可為網(wǎng)絡(luò)安全保險的保費定價提供參考。如歐盟的《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，GDPR）高度重視個人數(shù)據(jù)保護，對企業(yè)違規(guī)建立了嚴(yán)格的處罰機制。根據(jù)規(guī)定^[7]，企業(yè)出現(xiàn)一般違法行為將面臨全年營收額2%或1 000 萬歐元的罰款，高者為限；出現(xiàn)嚴(yán)重違法行為將面臨全年營收額4%或2 000 萬歐元的罰款，高者為限。2018年5月該法案生效后，歐洲地區(qū)的網(wǎng)絡(luò)安全保險市場迅速壯大。

2.3 產(chǎn)業(yè)生態(tài)現(xiàn)狀

由于網(wǎng)絡(luò)安全保險本身的專業(yè)性要求和跨行業(yè)屬性，產(chǎn)業(yè)發(fā)展面臨較大的技術(shù)和行業(yè)壁壘。在政府匯集多方資源的聯(lián)合推動下，國外網(wǎng)絡(luò)安全保險生態(tài)得以快速發(fā)展。以美國為例，政府在提供相對健全的網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面的法律要求、監(jiān)管體系和政策環(huán)境外，還推動各方聯(lián)合建立網(wǎng)絡(luò)安全風(fēng)險基礎(chǔ)數(shù)據(jù)庫,發(fā)布風(fēng)險損失測算量化標(biāo)準(zhǔn)，完善網(wǎng)絡(luò)安全保險精算模型，助力保險公司提升承保技術(shù)能力。從2012年起，美國的政府機構(gòu)開始聯(lián)合保險業(yè)建立網(wǎng)絡(luò)安全風(fēng)險基礎(chǔ)數(shù)據(jù)庫，如推動數(shù)據(jù)公司Advisen、風(fēng)險建模公司RMS等建立了網(wǎng)絡(luò)安全風(fēng)險管理相關(guān)數(shù)據(jù)庫，幫助保險公司識別企業(yè)網(wǎng)絡(luò)安全風(fēng)險并提供網(wǎng)絡(luò)安全損失測試服務(wù)。2016年1月，美國巨災(zāi)建模公司AIR Worldwide和數(shù)據(jù)分析公司Verisk聯(lián)合發(fā)布網(wǎng)絡(luò)安全損失數(shù)據(jù)收集標(biāo)準(zhǔn)，進行網(wǎng)絡(luò)安全風(fēng)險建模數(shù)據(jù)收集。2016年5月，國際再保險巨頭佳達保險（Guy Carpenter）聯(lián)合網(wǎng)絡(luò)安全領(lǐng)域巨頭賽門鐵克（Symantec）創(chuàng)建了網(wǎng)絡(luò)安全加總模型（Cyber Aggregation Model）。

經(jīng)過多年發(fā)展，國外網(wǎng)絡(luò)安全保險產(chǎn)業(yè)已形成公共基礎(chǔ)服務(wù)體系完善、利益相關(guān)方眾多、業(yè)務(wù)全生命周期覆蓋的較為成熟的上下游生態(tài)。保險公司和再保險公司是生態(tài)的核心，作為網(wǎng)絡(luò)安全保險業(yè)務(wù)經(jīng)營的主體，實現(xiàn)產(chǎn)品規(guī)劃設(shè)計、銷售和交付，如美國國際集團（AIG）、旅行者集團（Travelers），歐洲的蘇黎世再保險和慕尼黑再保險等。投保前，網(wǎng)絡(luò)安全公司、保險科技公司或風(fēng)險數(shù)據(jù)建模公司支撐對投保企業(yè)進行網(wǎng)絡(luò)安全風(fēng)險評估，提供網(wǎng)絡(luò)安全風(fēng)險數(shù)據(jù)，聯(lián)合保險公司設(shè)計風(fēng)險量化和損失測算模型，如美國網(wǎng)絡(luò)安全公司Symantec、數(shù)據(jù)公司Advisen、巨災(zāi)建模公司AIR Worldwide等。承保期，部分保險公司會與第三方網(wǎng)絡(luò)安全技術(shù)服務(wù)商合作，持續(xù)監(jiān)測投保企業(yè)的網(wǎng)絡(luò)安全風(fēng)險動態(tài)變化，并在必要時提供預(yù)警和處置措施。理賠時，保險公司依據(jù)保單的承保責(zé)任向投保企業(yè)提供第一方損失、第三方責(zé)任相關(guān)的經(jīng)濟賠付和外部專家支持，協(xié)調(diào)網(wǎng)絡(luò)安全公司、數(shù)據(jù)恢復(fù)公司提供應(yīng)急響應(yīng)和救援支持，對網(wǎng)絡(luò)安全事故開展技術(shù)鑒定、調(diào)查取證、技術(shù)評估、系統(tǒng)和數(shù)據(jù)恢復(fù)等工作。

2.4 產(chǎn)業(yè)發(fā)展趨勢

數(shù)據(jù)顯示^[8]，國外網(wǎng)絡(luò)安全保險市場呈現(xiàn)保費增長、行業(yè)損失率上升、市場份額集中的趨勢。以美國為例，怡安集團在其2021年6月發(fā)布的《2020年美國網(wǎng)絡(luò)安全保險的利潤及表現(xiàn)》指出^[9]，2020年美國網(wǎng)絡(luò)安全保險直接簽單保費達27.4 億美元，較2019年增長21%；由于勒索軟件索賠導(dǎo)致事件響應(yīng)成本和勒索金額增加，平均索賠額增幅超過50%，網(wǎng)絡(luò)安全保險的行業(yè)損失率上漲了22%；美國網(wǎng)絡(luò)安全保險市場雖略有擴大，但市場份額主要集中于大型保險集團公司，提供的風(fēng)險分散作用相對有限，存在一定的承保風(fēng)險。在此背景下，國外網(wǎng)絡(luò)安全保險產(chǎn)業(yè)進一步發(fā)展完善，呈現(xiàn)出以下趨勢。

（1）保險公司持續(xù)優(yōu)化網(wǎng)絡(luò)安全保險產(chǎn)品。保險公司在市場變化中持續(xù)探索保費與企業(yè)安全投入的平衡點，以免保費過高降低了企業(yè)的購買欲望，或保費過低使企業(yè)過多轉(zhuǎn)移了本應(yīng)承擔(dān)的安全風(fēng)險，從而導(dǎo)致企業(yè)忽視自身安全建設(shè)。對產(chǎn)品的優(yōu)化措施包括：減少低價網(wǎng)絡(luò)安全保險產(chǎn)品，避免企業(yè)以較低價格購買高賠付限額的網(wǎng)絡(luò)安全保險產(chǎn)品，例如2020年美國獨立保單保費平均上升了28.6%；提高投保的安全基線要求，保險公司要求企業(yè)在投保評估之前，進行切實有效的網(wǎng)絡(luò)安全加固；調(diào)整保單的承保范圍，部分保險公司減少了保單中的承保范圍，例如法國的安盛保險去除了所有涉及勒索的相關(guān)條款。這些措施有效減少了通過降低保費和安全基線來吸引客戶的不成熟市場競爭行為，有助于推動行業(yè)良性健康發(fā)展。

（2）“保險+安全服務(wù)”的業(yè)務(wù)模式已逐步成為行業(yè)共識。保險公司提供包括主動防御在內(nèi)的網(wǎng)絡(luò)安全解決方案，把實施風(fēng)險控制作為企業(yè)投保基線的一部分，用確定的風(fēng)險防御投入降低預(yù)期損失，進而獲得承保收益。一方面，保險公司為投保企業(yè)提供安全培訓(xùn)、威脅情報訂閱等服務(wù)，可有效降低網(wǎng)絡(luò)安全保險的出險率，并形成市場差異化競爭，提高自身競爭優(yōu)勢；另一方面，保險公司聯(lián)合網(wǎng)絡(luò)安全公司為投保企業(yè)提供主動風(fēng)險控制，以實現(xiàn)將一部分風(fēng)險較高的“不可保業(yè)務(wù)”轉(zhuǎn)化為風(fēng)險可控的“可保業(yè)務(wù)”，達到擴大業(yè)務(wù)規(guī)模的目的。

（3）跨行業(yè)數(shù)據(jù)共享分析機制逐步建立。與成熟的保險產(chǎn)品相比，網(wǎng)絡(luò)安全保險在保前風(fēng)險評估、險后理賠鑒定環(huán)節(jié)可參考的數(shù)據(jù)均相對較少，保險公司通過與網(wǎng)絡(luò)安全公司、第三方保險科技公司建立數(shù)據(jù)共享與分析機制，基于網(wǎng)絡(luò)安全風(fēng)險基礎(chǔ)數(shù)據(jù)，準(zhǔn)確、動態(tài)地發(fā)現(xiàn)特定行業(yè)或者特定時間的威脅，有效緩釋網(wǎng)絡(luò)空間“黑天鵝”事件帶來的未知風(fēng)險。

3 國內(nèi)產(chǎn)業(yè)環(huán)境及發(fā)展現(xiàn)狀

在數(shù)字經(jīng)濟蓬勃發(fā)展及網(wǎng)絡(luò)風(fēng)險持續(xù)加劇雙驅(qū)動下，我國對網(wǎng)絡(luò)安全的重視程度不斷提升，相繼出臺了一系列法律法規(guī)及標(biāo)準(zhǔn)規(guī)范。在此背景下，我國網(wǎng)絡(luò)安全保險市場需求逐漸增加，一些保險公司對網(wǎng)絡(luò)安全保險的業(yè)務(wù)模式展開了積極探索。

3.1 市場發(fā)展現(xiàn)狀

國內(nèi)網(wǎng)絡(luò)安全保險起步于21世紀(jì)10年代，目前仍處于市場探索期。自2013年起，蘇黎世財產(chǎn)保險（中國）有限公司、安聯(lián)財產(chǎn)保險（中國）有限公司等外資險企率先在中國市場上推出了網(wǎng)絡(luò)安全保險產(chǎn)品。此后，隨著市場需求的逐步增加，中國人民財產(chǎn)保險股份有限公司、中國人壽財產(chǎn)保險股份有限公司、中國平安財產(chǎn)保險股份有限公司、中國太平洋財產(chǎn)保險股份有限公司等國內(nèi)大型保險公司相繼開發(fā)并推出網(wǎng)絡(luò)安全保險產(chǎn)品（見表2）。

表2 國內(nèi)市場網(wǎng)絡(luò)安全保險相關(guān)產(chǎn)品

從供給側(cè)看，國內(nèi)市場上的網(wǎng)絡(luò)安全保險機構(gòu)及產(chǎn)品逐漸增多。目前，已有20 余家保險公司在中國銀行保險監(jiān)督管理委員會備案了50 余款網(wǎng)絡(luò)安全保險產(chǎn)品，險種涉及黑客保險、網(wǎng)絡(luò)風(fēng)險保險、電子商務(wù)保險、網(wǎng)絡(luò)安全責(zé)任保險、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)保險、網(wǎng)絡(luò)安全綜合保險、計算機保險等^[10]。面向的客戶分布于政府部門、企事業(yè)單位、國家重點保護單位、互聯(lián)網(wǎng)企業(yè)、醫(yī)療、金融、教育機構(gòu)、網(wǎng)上交易平臺、網(wǎng)絡(luò)游戲公司等眾多行業(yè)。網(wǎng)絡(luò)安全保險在我國屬于新興險種，保險公司在產(chǎn)品定價、風(fēng)險評估、定損理賠等環(huán)節(jié)尚未形成完備的機制體系。

從需求側(cè)看，網(wǎng)絡(luò)安全保險在國內(nèi)的市場接受度不斷提升。隨著國內(nèi)網(wǎng)絡(luò)和數(shù)據(jù)安全相關(guān)法律法規(guī)、政策環(huán)境的不斷完善，及數(shù)字經(jīng)濟發(fā)展戰(zhàn)略的深入實施，國內(nèi)企業(yè)在安全體系建設(shè)方面的投入逐漸增多，并逐步認(rèn)識到網(wǎng)絡(luò)安全保險有助于企業(yè)實現(xiàn)風(fēng)險轉(zhuǎn)移，建立全面的網(wǎng)絡(luò)安全風(fēng)險應(yīng)對方案。近兩年，除了外資及合資企業(yè)外，國內(nèi)一些具備海外業(yè)務(wù)的中資企業(yè)、易受網(wǎng)絡(luò)攻擊的重點行業(yè)企業(yè)及具有較高風(fēng)險管理意識的企業(yè)逐漸開始嘗試購買網(wǎng)絡(luò)安全保險產(chǎn)品。

3.2 法律政策環(huán)境

法律法規(guī)方面，網(wǎng)絡(luò)安全相關(guān)法律法規(guī)不斷建設(shè)完善，但網(wǎng)絡(luò)安全保險專屬的法規(guī)制度尚為空白。2017年6月，《中華人民共和國網(wǎng)絡(luò)安全法》正式實施，為網(wǎng)絡(luò)安全法律體系建設(shè)提供上位法基礎(chǔ)。2021年，《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等法律法規(guī)發(fā)布實施，國家層面的網(wǎng)絡(luò)安全相關(guān)法律法規(guī)框架不斷完善。此外，海南、貴州、天津、浙江和上海等全國18個省市相繼出臺了地方性的數(shù)據(jù)安全法規(guī)；以金融、電信、電力等為代表的網(wǎng)絡(luò)安全成熟度較高的行業(yè)基于國家法律法規(guī)建立了行業(yè)的網(wǎng)絡(luò)和數(shù)據(jù)安全規(guī)章制度。

政策環(huán)境方面，鼓勵探索網(wǎng)絡(luò)安全保險服務(wù)模式創(chuàng)新。2019年9月，工業(yè)和信息化部發(fā)布《關(guān)于促進網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見（征求意見稿）》^[12]，將“探索開展網(wǎng)絡(luò)安全保險服務(wù)”作為“積極創(chuàng)新網(wǎng)絡(luò)安全服務(wù)模式”的內(nèi)容之一。2021年7月，工業(yè)和信息化部發(fā)布《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃（2021—2023年）（征求意見稿）》^[13]，在“產(chǎn)融合作深化行動”中提出“面向電信和互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等領(lǐng)域，開展網(wǎng)絡(luò)安全保險服務(wù)試點。加快網(wǎng)絡(luò)安全保險政策引導(dǎo)和標(biāo)準(zhǔn)制定，通過網(wǎng)絡(luò)安全保險服務(wù)監(jiān)控風(fēng)險敞口，鼓勵企業(yè)構(gòu)建并完善自身網(wǎng)絡(luò)安全風(fēng)險管理體系，強化網(wǎng)絡(luò)安全風(fēng)險應(yīng)對能力”。上海、寧波、武漢等地已紛紛出臺激勵政策，部分城市已著手開展試點工作。

3.3 主要業(yè)務(wù)模式

隨著我國網(wǎng)絡(luò)安全保險市場需求的逐步增加，國內(nèi)保險公司開始了網(wǎng)絡(luò)安全保險的市場探索。總體來看，目前國內(nèi)網(wǎng)絡(luò)安全保險市場上主要存在“IT產(chǎn)品+保險”和“保險+安全服務(wù)”兩類業(yè)務(wù)模式。

“IT產(chǎn)品+保險”模式指云服務(wù)廠商、安全服務(wù)廠商等IT服務(wù)商為其生產(chǎn)銷售的產(chǎn)品購買網(wǎng)絡(luò)安全保險，以借助保險的風(fēng)險轉(zhuǎn)移功能，完善所售產(chǎn)品的安全保障體系（見圖1）。此模式有助于IT服務(wù)商提高產(chǎn)品的市場競爭力，減少因產(chǎn)品存在潛在網(wǎng)絡(luò)安全風(fēng)險為企業(yè)自身及其客戶帶來的損失。在此模式下，保險公司無需直接面向用戶開展網(wǎng)絡(luò)安全保險產(chǎn)品的營銷，網(wǎng)絡(luò)安全保險產(chǎn)品依附于IT服務(wù)商的產(chǎn)品并為其增信。

圖1 “IT產(chǎn)品+保險”模式

“保險+安全服務(wù)”模式指保險公司與安全公司合作，共同向投保企業(yè)提供網(wǎng)絡(luò)安全保險產(chǎn)品及服務(wù)（見圖2）。保險公司為企業(yè)提供標(biāo)準(zhǔn)化或定制化的網(wǎng)絡(luò)安全保險產(chǎn)品，產(chǎn)品中包含可訂閱的安全服務(wù)，如應(yīng)急響應(yīng)、溯源取證等，安全公司則向保險公司提供專業(yè)的技術(shù)支撐，賦能保險產(chǎn)品。此模式與國外網(wǎng)絡(luò)安全保險市場成熟期的業(yè)務(wù)模式較為相似，但國內(nèi)市場在產(chǎn)品和服務(wù)的種類、覆蓋范圍、服務(wù)機制等方面仍有待提升。尤其在安全服務(wù)方面，安全公司應(yīng)協(xié)助保險公司為投保企業(yè)提供保前安全風(fēng)險評估，以確定保單的保費及保額，并進一步提供安全加固、監(jiān)測預(yù)警等服務(wù)，以降低出險率，平衡保險保費與企業(yè)安全投入。

圖2 “保險+安全服務(wù)”模式

在“保險+安全服務(wù)”模式下，投保企業(yè)發(fā)生安全事件后，保險公司第一時間聯(lián)系安全公司，安全公司通過遠(yuǎn)程或現(xiàn)場方式了解事故情況，判定安全事件是否在承保范圍內(nèi)；如是，則提供應(yīng)急響應(yīng)服務(wù)，并協(xié)助保險公司進行理賠定損、溯源取證等工作（見圖3）。

圖3 理賠處理流程

3.4 產(chǎn)業(yè)面臨的問題

伴隨著我國網(wǎng)絡(luò)安全系列法律法規(guī)的實施落地，重要行業(yè)領(lǐng)域網(wǎng)絡(luò)安全頂層設(shè)計的密集出臺，國內(nèi)網(wǎng)絡(luò)安全保險產(chǎn)業(yè)迎來發(fā)展機遇期。政府部門、研究機構(gòu)、保險公司、網(wǎng)絡(luò)安全企業(yè)等相關(guān)機構(gòu)對網(wǎng)絡(luò)安全保險的關(guān)注與日俱增，產(chǎn)業(yè)面臨的政策引領(lǐng)作用未充分發(fā)揮、行業(yè)標(biāo)準(zhǔn)規(guī)范缺乏、產(chǎn)品數(shù)量有限、客戶認(rèn)知不足等問題開始凸顯。

（1）政策引領(lǐng)尚需加強。為積極響應(yīng)國家政策號召，部分地區(qū)已表現(xiàn)出對網(wǎng)絡(luò)安全保險的關(guān)注，通過組織成立地方性網(wǎng)絡(luò)安全保險聯(lián)盟、出臺相關(guān)保費補貼政策等方式激勵當(dāng)?shù)鼐W(wǎng)絡(luò)安全保險的發(fā)展，但尚未在全國范圍內(nèi)形成規(guī)模效應(yīng)和示范效應(yīng)，企業(yè)參與的積極性尚未充分激發(fā)。

（2）行業(yè)規(guī)范尚未建立。國內(nèi)網(wǎng)絡(luò)安全保險定義尚不明確，且僅有少量大型網(wǎng)絡(luò)安全保險公司進行業(yè)務(wù)探索，保險條款、承保范圍、服務(wù)要求、業(yè)務(wù)流程等均未達成行業(yè)共識、形成統(tǒng)一標(biāo)準(zhǔn)，難以獲取客戶認(rèn)可，不利于網(wǎng)絡(luò)安全保險大規(guī)模推廣落地。

（3）產(chǎn)品供給尚顯不足。保險產(chǎn)品設(shè)計需依據(jù)歷史市場數(shù)據(jù)，運用精算模型計算保險費率。費率過高，將難以吸引客戶，降低產(chǎn)品的市場競爭力；費率過低，則會造成保險公司之間的惡性競爭，不利于穩(wěn)定經(jīng)營。一方面，國內(nèi)網(wǎng)絡(luò)安全保險仍處于發(fā)展初期，保險公司缺乏網(wǎng)絡(luò)安全風(fēng)險數(shù)據(jù)積累，難以開發(fā)出符合市場需求的保險產(chǎn)品；另一方面，網(wǎng)絡(luò)安全風(fēng)險復(fù)雜多變，造成的損失難以量化評估，國內(nèi)保險公司缺乏相關(guān)風(fēng)險損失測算量化標(biāo)準(zhǔn)和對應(yīng)的保險精算模型，在設(shè)計網(wǎng)絡(luò)安全保險產(chǎn)品時存在定價難、承保難的問題。產(chǎn)品設(shè)計能力的不足制約了國內(nèi)網(wǎng)絡(luò)安全保險產(chǎn)品的供給，產(chǎn)品數(shù)量難以滿足國內(nèi)市場需求。

（4）客戶認(rèn)知有待提升。網(wǎng)絡(luò)安全保險作為新興險種，國內(nèi)宣傳推廣力度不足，市場上產(chǎn)品數(shù)量有限，多數(shù)企業(yè)對其缺乏了解，部分企業(yè)片面地認(rèn)為“購買保險即可消除風(fēng)險”，極少有企業(yè)認(rèn)識到網(wǎng)絡(luò)安全保險可提供風(fēng)險管理服務(wù)、監(jiān)控風(fēng)險敞口的重要作用。認(rèn)知不足導(dǎo)致多數(shù)企業(yè)仍持觀望態(tài)度，國內(nèi)網(wǎng)絡(luò)安全保險市場需求未充分釋放。

4 國內(nèi)產(chǎn)業(yè)發(fā)展建議

國內(nèi)網(wǎng)絡(luò)安全保險產(chǎn)業(yè)在借鑒歐美發(fā)展經(jīng)驗的同時，應(yīng)結(jié)合自身產(chǎn)業(yè)環(huán)境、發(fā)展階段、實踐經(jīng)驗，積極探索創(chuàng)新，打造本土化的網(wǎng)絡(luò)安全保險產(chǎn)品，促進網(wǎng)絡(luò)安全保險產(chǎn)業(yè)健康發(fā)展。

4.1 加強政策支持，推動試點工作落地

一方面，各地主管部門應(yīng)積極發(fā)揮引導(dǎo)作用，制定網(wǎng)絡(luò)安全保險相關(guān)優(yōu)惠政策，例如參考重大裝備首臺（套）保險補償政策，為中小型企業(yè)提供網(wǎng)絡(luò)安全保險購置減稅政策、保險購買補貼政策等，拉動市場需求；針對開展網(wǎng)絡(luò)安全保險的保險公司推出獎勵或補貼政策等，擴大市場供給。另一方面，地方政府應(yīng)充分利用國家級網(wǎng)絡(luò)安全保險試點的推動作用，針對工業(yè)互聯(lián)網(wǎng)的漏洞攻擊、基礎(chǔ)電信企業(yè)的數(shù)據(jù)泄露等行業(yè)痛點問題，選擇安全風(fēng)險較高或保險意識較強的企業(yè)開展試點，結(jié)合配套優(yōu)惠政策，在實踐中探索網(wǎng)絡(luò)安全保險業(yè)務(wù)模式。行業(yè)主管部門應(yīng)組織各方專家研討，針對試點建立多元化評價機制，科學(xué)評價試點成效，總結(jié)試點經(jīng)驗，推動形成網(wǎng)絡(luò)安全保險最佳實踐，并加強示范推廣。

4.2 健全標(biāo)準(zhǔn)體系，指導(dǎo)市場規(guī)范發(fā)展

鼓勵相關(guān)機構(gòu)及行業(yè)協(xié)會在現(xiàn)有網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)的基礎(chǔ)上，組織制定網(wǎng)絡(luò)安全保險標(biāo)準(zhǔn)及規(guī)范，建立健全網(wǎng)絡(luò)安全保險相關(guān)標(biāo)準(zhǔn)體系。在國家標(biāo)準(zhǔn)方面，相關(guān)機構(gòu)應(yīng)匯集產(chǎn)學(xué)研各方力量，協(xié)同開展網(wǎng)絡(luò)安全保險相關(guān)標(biāo)準(zhǔn)研究，明確網(wǎng)絡(luò)安全保險專業(yè)術(shù)語的含義，制定本土化保險條款，統(tǒng)一業(yè)務(wù)流程，規(guī)范服務(wù)要求，明確在網(wǎng)絡(luò)安全保險產(chǎn)品設(shè)計、核保評估、風(fēng)險管理、出險理賠等階段中各利益相關(guān)方的職責(zé)定位，以指導(dǎo)網(wǎng)絡(luò)安全保險健康有序發(fā)展。在行業(yè)標(biāo)準(zhǔn)方面，行業(yè)協(xié)會應(yīng)針對行業(yè)差異化的風(fēng)險管理需求，組織開展風(fēng)險場景研究，推動網(wǎng)絡(luò)安全保險在行業(yè)內(nèi)開展試點，并結(jié)合試點經(jīng)驗，在實踐中逐步完善網(wǎng)絡(luò)安全保險行業(yè)標(biāo)準(zhǔn)。

4.3 強化產(chǎn)業(yè)合作，完善產(chǎn)品供給能力

保險公司應(yīng)積極探索網(wǎng)絡(luò)安全保險業(yè)務(wù)，加強不同行業(yè)間的溝通合作，豐富產(chǎn)品種類，提升供給能力。在產(chǎn)品研發(fā)方面，保險公司應(yīng)與電信、金融、醫(yī)療、交通等關(guān)乎國計民生的重點行業(yè)合作，圍繞新技術(shù)、新業(yè)態(tài)、新模式引發(fā)的業(yè)務(wù)風(fēng)險，深入調(diào)研網(wǎng)絡(luò)安全風(fēng)險管理需求，積極探索產(chǎn)品創(chuàng)新，開發(fā)多元化、本土化、差異化網(wǎng)絡(luò)安全保險產(chǎn)品。在技術(shù)能力方面，保險公司應(yīng)加強與網(wǎng)絡(luò)安全公司、保險科技企業(yè)及風(fēng)險數(shù)據(jù)建模公司等專業(yè)技術(shù)機構(gòu)合作，探索建立數(shù)據(jù)共享機制，融合保險承保、理賠數(shù)據(jù)與網(wǎng)絡(luò)安全風(fēng)險數(shù)據(jù)，為開發(fā)風(fēng)險量化模型和損失測算模型提供基礎(chǔ)數(shù)據(jù)支撐，助力解決定價難、核保難等問題。

4.4 加大宣傳力度，推動市場需求增長

市場各方應(yīng)共同加強網(wǎng)絡(luò)安全保險的宣傳力度，形成全方位、多層次、多渠道聯(lián)合推廣態(tài)勢，不斷提高企業(yè)的網(wǎng)絡(luò)安全意識及對網(wǎng)絡(luò)安全保險的認(rèn)知水平，著力激發(fā)企業(yè)投保意愿，推動市場需求持續(xù)增長。一方面，充分利用國家安全教育日、全國保險公眾宣傳日、網(wǎng)絡(luò)安全宣傳周等全國性宣傳機會，開展網(wǎng)絡(luò)安全保險相關(guān)宣傳教育活動，介紹網(wǎng)絡(luò)安全保險的承保范圍、作用意義、應(yīng)用案例等；另一方面，積極組織網(wǎng)絡(luò)安全保險的優(yōu)秀案例征集、最佳實踐評選、產(chǎn)融合作比賽等活動，推廣網(wǎng)絡(luò)安全保險產(chǎn)品；借助網(wǎng)絡(luò)安全行業(yè)及保險行業(yè)的論壇峰會、學(xué)術(shù)會議等平臺，推進網(wǎng)絡(luò)安全保險交流研討。

5 結(jié)束語

數(shù)字經(jīng)濟的迅猛發(fā)展，推動網(wǎng)絡(luò)安全產(chǎn)業(yè)全面發(fā)展。作為產(chǎn)業(yè)生態(tài)鏈中不可或缺的一環(huán)，網(wǎng)絡(luò)安全保險的意義愈發(fā)凸顯。西方發(fā)達國家網(wǎng)絡(luò)安全保險市場已進入快速發(fā)展階段，展現(xiàn)出巨大的市場空間。國內(nèi)網(wǎng)絡(luò)安全保險市場雖然尚處于市場探索期，但已引發(fā)政府部門、研究機構(gòu)、保險公司、網(wǎng)絡(luò)安全企業(yè)等相關(guān)機構(gòu)的高度關(guān)注，發(fā)展前景值得期待。

參考文獻

[1] 安聯(lián)集團. 2022全球風(fēng)險晴雨表[R], 2020.

[2] 國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心. 2021年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報告[R], 2021.

[3] ABI. Cyber risk insurance[EB/OL]. [2022-02-09]. https://www.abi.org.uk/products-and-issues/choosing-the-right-insurance/business-insurance/cyber-risk-insurance/.

[4] NPPD. Cybersecurity insurance workshop readout report[R], 2012.

[5] Research and Markets. 網(wǎng)絡(luò)安全保險——全球市場展望(2017—2026)[R], 2019.

[6] 大數(shù)據(jù)產(chǎn)業(yè)生態(tài)聯(lián)盟. 美國網(wǎng)絡(luò)安全保險業(yè)發(fā)展帶來的啟示[EB/OL]. (2020-11-18)[2022-02-17]. https://www.bdinchina.com/Article/info/id/1251/column_id/216.html.

[7] 歐洲聯(lián)盟. 通用數(shù)據(jù)保護條例[Z], 2018.

[8] ENISA. Cyber insurance: recent advances, good practices and challenges[R], 2016.

[9] 怡安集團. 2020年美國網(wǎng)絡(luò)安全保險的利潤及表現(xiàn)[R], 2021.

[10] 全國人民代表大會常務(wù)委員會. 中華人民共和國保險法[Z], 2009.

[11] Aon Corporation. US cyber market update-2020 US cyber insurance profits and performance[R], 2021.

[12] 工業(yè)和信息化部. 關(guān)于促進網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(征求意見稿)[Z], 2019.

[13] 工業(yè)和信息化部. 網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃(2021—2023年)(征求意見稿)[Z], 2021.

Research on industry development of cyber security insurance at home and abroad

ZHENG Wei, JIANG Ding, GUO Fei, SUN Lijie

(Security Research Institute, China Academy of Information and Communications Technology, Beijing 100191, China)

Abstract: In recent years, cyber security insurance has developed rapidly and become an important tool to transfer and prevent network security risks. Foreign cyber security insurance market has experienced more than 20 years of development practice, has formed a relatively mature upstream and downstream ecology. By studying the industry environment and development trend of cyber security insurance in foreign countries, combined with the development status and business model of domestic cyber security insurance industry, this paper analyzes the problems faced by the development of domestic industry and puts forword development suggestions.

Keywords: cyber security insurance; industry environment; network security

本文刊于《信息通信技術(shù)與政策》2022年 第8期

來源：信息通信技術(shù)與政策