據(jù)有關(guān)機構(gòu)測算，2020年全球網(wǎng)絡(luò)安全保險市場規(guī)模達78億美元，并將在未來5年以大于20%的增速發(fā)展。在通訊互聯(lián)網(wǎng)技術(shù)占國際領(lǐng)先地位的我國，網(wǎng)絡(luò)安全保險正生根發(fā)芽并引起社會熱議。雖然該市場在我國尚處于起步階段，但其未來潛力巨大，將助力我國數(shù)字經(jīng)濟可持續(xù)健康發(fā)展。

[[438468]]

2021年5月，美國政府問責局(United States Government Accountability Office，簡稱GAO)針對網(wǎng)絡(luò)安全保險市場發(fā)布了一份名為《網(wǎng)絡(luò)安全保險：保險公司和投保人在不斷變化的市場中面臨挑戰(zhàn)》的報告。報告指出，目前網(wǎng)絡(luò)安全保險接受率上升、保險價格上漲、保險限額降低，網(wǎng)絡(luò)安全保險內(nèi)容也更加明確。但同時，該市場仍然面臨著多重挑戰(zhàn)，如網(wǎng)絡(luò)風險事故或損失歷史數(shù)據(jù)有限，網(wǎng)絡(luò)風險定義不夠清晰、缺乏一致性，以及企業(yè)對網(wǎng)絡(luò)風險和保險責任覆蓋范圍認知程度有限等。針對上述問題，報告提出了一些政策建議。

通過這份報告，GAO向保險市場發(fā)出了積極信號。由于互聯(lián)網(wǎng)全方位融入企業(yè)發(fā)展，以及政府對網(wǎng)絡(luò)安全重視程度的提升，網(wǎng)絡(luò)安全保險供給和需求端不斷發(fā)展，促使網(wǎng)絡(luò)安全保險功能更加細化。在鼓勵行業(yè)發(fā)展的同時，GAO也鼓勵政府與企業(yè)、市場合作，共同攻克業(yè)態(tài)尚未成熟的技術(shù)發(fā)展瓶頸和制度缺陷。

網(wǎng)絡(luò)安全保險的概念與監(jiān)管

網(wǎng)絡(luò)安全保險由私人保險公司向企業(yè)和其他實體提供，保護第一方(投保人)和第三方(投保人客戶)免受網(wǎng)絡(luò)事故(如網(wǎng)絡(luò)中斷、數(shù)據(jù)盜竊等)帶來的損失，例如信息系統(tǒng)的機密性、完整性和可用性遭到破壞等。網(wǎng)絡(luò)安全保險有兩種形態(tài)，一是只覆蓋網(wǎng)絡(luò)風險的獨立保單，二是作為一般保險(覆蓋多種類型風險)的一攬子保險范圍的一部分(如一般商業(yè)責任保險)。

美國保險監(jiān)管協(xié)會(NAIC)重點關(guān)注網(wǎng)絡(luò)安全保險公司的償付能力。監(jiān)管對象包括網(wǎng)絡(luò)安全保險在內(nèi)的私人保險市場，確保保險條款公平合理且符合各州法律，不存在可能被消費者誤解的保險責任范圍，但一般不制定網(wǎng)絡(luò)安全保險責任覆蓋范圍的最低標準。此外，美國財政部聯(lián)邦保險辦公室恐怖主義風險保險計劃(TRIP)要求在發(fā)生特定恐怖行為時，聯(lián)邦政府應(yīng)與私人保險公司共同分擔損失。如果網(wǎng)絡(luò)攻擊符合條款標準，那么網(wǎng)絡(luò)攻擊造成的損失可以依據(jù)TRIP得到補償。

網(wǎng)絡(luò)安全保險市場現(xiàn)狀與發(fā)展趨勢

1. 網(wǎng)絡(luò)安全保險接受率整體提升，行業(yè)間存在差異

網(wǎng)絡(luò)安全保險接受率是指有資格獲得網(wǎng)絡(luò)安全保險的實體選擇網(wǎng)絡(luò)安全保險的百分比。隨著網(wǎng)絡(luò)安全保險的發(fā)展，市場接受比率不斷提升，從2016年的26%上升到了2020年的47%。

網(wǎng)絡(luò)安全保險接受率與實體規(guī)模密切相關(guān)。中小型實體網(wǎng)絡(luò)安全保險接受率落后于大型實體，可能的原因包括：中小企業(yè)低估網(wǎng)絡(luò)風險，難以理解保險責任覆蓋范圍，認為當前責任覆蓋范圍已足夠，以及擔憂自身經(jīng)濟承受能力等。此外，該保險接受率也因行業(yè)而異。2016至2020年，在威達信集團(Marsh Mclenan)的客戶群體中，接受率最高的行業(yè)為教育和醫(yī)療保健，因為它們需要收集、維護并使用大量個人身份信息和受保護的健康信息。由于酒店和零售行業(yè)也需收集客戶的支付卡信息，酒店和零售行業(yè)的接受率也有顯著增長。同時，隨著制造行業(yè)對潛在網(wǎng)絡(luò)攻擊風險的日益重視，該行業(yè)的接受率也呈增長趨勢。

圖：2016-2020年不同行業(yè)公司對網(wǎng)絡(luò)安全保險的接受率

2. 企業(yè)關(guān)注網(wǎng)絡(luò)安全保險的可獲得性及可負擔性

網(wǎng)絡(luò)安全保險的可獲得性和可負擔性是各行業(yè)關(guān)注的重點。2016年以來，大多數(shù)實體均可以負擔得起網(wǎng)絡(luò)安全保險。如果小企業(yè)認為自身風險較小或保險費過高，那么他們購買網(wǎng)絡(luò)安全保險的頻率會更低。然而，網(wǎng)絡(luò)安全保險將在多大程度上繼續(xù)具有可獲得性和可負擔性仍是不確定的。據(jù)保險代理和經(jīng)紀委員會、Marsh McLennan和A.M.Best調(diào)研反饋，盡管接受率保持上升趨勢，但保險公司對網(wǎng)絡(luò)風險的承保欲望和能力近期呈現(xiàn)收縮趨勢，特別是對于某些高風險行業(yè)(如醫(yī)療保健、教育、公共部門)承保收縮趨勢尤為明顯。其原因包括網(wǎng)絡(luò)攻擊造成的損失增加、未來網(wǎng)絡(luò)攻擊的威脅以及整體保險市場環(huán)境等。

同時，承保人更加仔細地審查了所有實體(包括各類規(guī)模及行業(yè))面對的風險。為了應(yīng)對網(wǎng)絡(luò)攻擊頻率與嚴重程度的增加、網(wǎng)絡(luò)攻擊成本上升、以及對未來攻擊的類型、范圍和目標的不確定性，保險公司在是否對高風險行業(yè)和實體承保上以及提高保費方面變得更加謹慎。這都可能會影響未來網(wǎng)絡(luò)安全保險的可獲得性和可負擔性。

3. 網(wǎng)絡(luò)安全保險需求不斷增加

隨著企業(yè)逐漸重視日益增加的網(wǎng)絡(luò)風險，其對于網(wǎng)絡(luò)安全保險的需求有所增加。根據(jù)對標準普爾市場情報和NAIC的數(shù)據(jù)分析，2016至2019年生效的網(wǎng)絡(luò)安全保單數(shù)量從220萬份上升到360余萬份，增加約60%;書面保費總額從21億美元增長至31億美元，增長50%。超過60%的受訪經(jīng)紀人表示，網(wǎng)絡(luò)安全保險增長的前兩大驅(qū)動因素為曾遭受網(wǎng)絡(luò)攻擊和聽到其他人在網(wǎng)絡(luò)攻擊中遭受損失。

圖：2016-2019年網(wǎng)絡(luò)安全保險的書面保費和保單數(shù)量變化

4. 網(wǎng)絡(luò)安全保險保費增加

網(wǎng)絡(luò)安全保險保費在2017年、2018年保持相對穩(wěn)定，在2020年呈顯著增長趨勢。超過一半的經(jīng)紀人反映，2020第三季度到第四季度，其客戶繳納的網(wǎng)絡(luò)安全保險費用上漲了10%至30%;只有15%的經(jīng)紀人表示，在此期間客戶保費無發(fā)生變化。

網(wǎng)絡(luò)安全保險費上升有兩方面原因：一方面，客戶需求增加;另一方面，更頻繁和嚴重的網(wǎng)絡(luò)攻擊造成了保險公司損失增加，尤其是勒索軟件攻擊，它會阻止用戶訪問系統(tǒng)或數(shù)據(jù)，直到支付贖金為止。

圖：2017-2020年間網(wǎng)絡(luò)安全保險的保費變化

保費增長程度的影響因素包括公司規(guī)模、所處行業(yè)以及公司對網(wǎng)絡(luò)安全的內(nèi)部控制強度。專門為中小型實體提供網(wǎng)絡(luò)安全保險的經(jīng)紀人表示，目前對于擁有強大網(wǎng)絡(luò)控制和低風險行業(yè)的小型實體，網(wǎng)絡(luò)保單的平均保費維持從1400美元到3000美元不等。由于公司和行業(yè)的風險不同，保費可能是平均值的多倍。2021年間，高風險行業(yè)和中大型實體的保費增幅預計高于網(wǎng)絡(luò)控制強度較高的小企業(yè)(保費增幅約5%至10%)。

5. 網(wǎng)絡(luò)安全保險供給者數(shù)量增加

通過對NAIC的網(wǎng)絡(luò)補充數(shù)據(jù)分析發(fā)現(xiàn)，2016至2019年間，提供網(wǎng)絡(luò)安全保險的保險公司數(shù)量約增加35%。然而，2016年以后新進入網(wǎng)絡(luò)安全保險市場的保險公司只占據(jù)2019年市場保費總額的9%左右。

可見，網(wǎng)絡(luò)安全保險市場的整體集中度高于財產(chǎn)險和意外傷害險市場。結(jié)合標普市場情報的市場份額報告和網(wǎng)絡(luò)補充數(shù)據(jù)分析，2019年，10家美國保險集團占據(jù)了近70%的網(wǎng)絡(luò)安全保費總額，但僅占據(jù)當年財產(chǎn)險費和意外險費總額的18%。

6. 專門針對網(wǎng)絡(luò)風險的保單增多

專門針對網(wǎng)絡(luò)風險的保險，主要有三種提供方式：獨立的網(wǎng)絡(luò)安全保險;將網(wǎng)絡(luò)安全保險與專業(yè)責任保險相結(jié)合;對其他保險責任覆蓋范圍提供網(wǎng)絡(luò)擔保。網(wǎng)絡(luò)風險保單的增加反映出，企業(yè)希望保險責任范圍應(yīng)與數(shù)據(jù)或系統(tǒng)的機密性、完整性和可用性相關(guān)聯(lián);還希望網(wǎng)絡(luò)安全保險責任覆蓋更加清晰，這有助于減少網(wǎng)絡(luò)攻擊事故中的索賠糾紛和訴訟。此外，獨立保單還有助于投保人獲得更高的保險限額。

7. 網(wǎng)絡(luò)安全保險覆蓋范圍不斷變化

網(wǎng)絡(luò)攻擊的頻率和嚴重程度不斷增加，特別是勒索軟件的攻擊，導致保險公司縮減了對醫(yī)療保健公司、教育公司、國企等實體的保險限額，并增加了對勒索軟件保險責任覆蓋范圍的限制。

8. 免責條款更多，保險條款更為嚴格

保險公司一直在收緊網(wǎng)絡(luò)安全保險條款和賠付條件，并在傳統(tǒng)保險覆蓋范圍和一攬子保單基礎(chǔ)上增加網(wǎng)絡(luò)擔保免責條款，以避免產(chǎn)生歧義。這些限制旨在消除對潛在網(wǎng)絡(luò)風險的覆蓋，潛在網(wǎng)絡(luò)風險可能損害多家企業(yè)，并造成保險公司遭受重大的不可預見損失，甚至造成償付能力的不足。雖然難以在短期內(nèi)被消除，但網(wǎng)絡(luò)進一步獨立和對相關(guān)術(shù)語的闡明會有所裨益。

網(wǎng)絡(luò)安全保險業(yè)面臨的多重挑戰(zhàn)和政策建議

1. 網(wǎng)絡(luò)風險事故或損失歷史數(shù)據(jù)有限

一般情況下，保險公司使用歷史損失數(shù)據(jù)來量化風險，并設(shè)計保險產(chǎn)品的費率。然而，目前有關(guān)網(wǎng)絡(luò)損失的歷史數(shù)據(jù)非常有限，數(shù)據(jù)不完整或質(zhì)量較差。這些限制使得保險公司很難建立網(wǎng)絡(luò)攻擊損失概率預測模型，也沒有全面集中的網(wǎng)絡(luò)攻擊信息供保險公司訪問使用。關(guān)于網(wǎng)絡(luò)事件的不完整或不準確的歷史數(shù)據(jù)降低了精算模型的可靠性，導致?lián)p失估計的不確定性增加。如果無法獲得這些數(shù)據(jù)，網(wǎng)絡(luò)安全保險的價格可能無法準確反映網(wǎng)絡(luò)風險。如果網(wǎng)絡(luò)安全保險的定價過低，保險公司可能將沒有足夠的資金賠付投保人，甚至會導致保險公司的破產(chǎn);如果保險定價過高，則可能很少有企業(yè)和消費者負擔得起網(wǎng)絡(luò)安全保險。

因此，全行業(yè)共同收集、共享網(wǎng)絡(luò)攻擊信息將有助于提升國家收集網(wǎng)絡(luò)事故數(shù)據(jù)的能力。美國國會可以建立一個實體專門收集數(shù)據(jù)，進而更好地理解網(wǎng)絡(luò)風險，幫助保險業(yè)構(gòu)建更好的風險模型。此外，還可以在美國國土安全部設(shè)立公私合作組，與保險公司和網(wǎng)絡(luò)風險模型構(gòu)建公司合作，匯集可用數(shù)據(jù)，從而為網(wǎng)絡(luò)風險建模的創(chuàng)新進步提供信息支持。

2. 網(wǎng)絡(luò)安全保險缺乏通用定義

構(gòu)建標準化保單模板和保單語言的保險服務(wù)辦公室表示，網(wǎng)絡(luò)保單中使用的語言差別很大，保險額度超過500萬美元的保單與標準化的語言、模板有較大區(qū)別，運營商在其定義中可能會使用略有不同的語言。

由于關(guān)于網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)恐怖主義的定義缺乏全球共識，保險公司也可能會以不同的方式來定義勒索軟件攻擊。不一致的保單術(shù)語(包括關(guān)鍵保單條款的定義)可能會給保險業(yè)帶來挑戰(zhàn)。如果行業(yè)對關(guān)鍵保單術(shù)語未使用統(tǒng)一定義，將無法明確哪些風險被覆蓋、哪些風險未被覆蓋，進而使得保險行業(yè)難以形成廣泛的政策標準。此外，這種歧義可能導致保險公司和投保人之間的誤解和訴訟。

通用術(shù)語將有助于形成更具可持續(xù)性的網(wǎng)絡(luò)安全保險市場。網(wǎng)絡(luò)安全保險的可持續(xù)性意味著，保險公司可以明智地選擇保險責任覆蓋范圍，投保人也可以理解相應(yīng)的責任范圍。一些行業(yè)利益相關(guān)者建議提高保險語言的清晰度和透明度，包括對關(guān)鍵保險術(shù)語的統(tǒng)一定義。聯(lián)邦、州政府和保險行業(yè)可以加強合作，推出通用定義。

3. 企業(yè)對網(wǎng)絡(luò)風險和保險責任覆蓋范圍的認知有限

許多實體，特別是小型企業(yè)，可能低估了所面臨的網(wǎng)絡(luò)風險和減輕這些風險所需的網(wǎng)絡(luò)安全保險責任覆蓋范圍。保險額度偏低和承保范圍不足的保險會造成保護縫隙，從而增加公司的財務(wù)風險敞口。在全球范圍內(nèi)，網(wǎng)絡(luò)事故造成的年均經(jīng)濟成本幾乎是年均自然災害損失數(shù)額的兩倍。商業(yè)改善局的一項調(diào)查發(fā)現(xiàn)，87%的小企業(yè)受訪者認為自身容易受到網(wǎng)絡(luò)攻擊。然而一些規(guī)模較小的實體可能沒有完全認識到所面臨的網(wǎng)絡(luò)風險規(guī)模，以及網(wǎng)絡(luò)攻擊對其業(yè)務(wù)的潛在影響。一些企業(yè)猶豫是否應(yīng)購買網(wǎng)絡(luò)安全保險，因為他們未看到網(wǎng)絡(luò)安全保險的價值，認為其無法修復公司遭受的網(wǎng)絡(luò)攻擊，或者認為這類保險包括過多的除外責任。

保險代理和經(jīng)紀委員會建議，保險行業(yè)可以幫助實體了解網(wǎng)絡(luò)攻擊對其運營造成的風險和潛在損失，并了解其購買的保險責任范圍及除外責任。一些中小企業(yè)的技術(shù)資源有限，或具有網(wǎng)絡(luò)安全專業(yè)知識的員工也很有限，因此并沒有充分利用網(wǎng)絡(luò)安全保險公司的服務(wù)。

4. 《恐怖主義風險保險法案》(TRIA)對網(wǎng)絡(luò)攻擊的適用性不足

由于美國財政部從未根據(jù)TRIA認證過任何事故，而網(wǎng)絡(luò)攻擊特征很可能不容易符合該法案的認證要求，所以網(wǎng)絡(luò)攻擊是否能被定義為恐怖主義行為存在不確定性。財政部認定的恐怖主義行為必須是暴力的或危及人類生命、財產(chǎn)或基礎(chǔ)設(shè)施的行為，這些恐怖主義行為通常會給美國帶來損失，并強迫美國平民或通過強迫手段影響美國政府。然而，網(wǎng)絡(luò)攻擊可能不是暴力的，也可能會給位于美國以外的計算機服務(wù)器造成損失。此外，網(wǎng)絡(luò)攻擊可能是為了獲取經(jīng)濟利益，而不是強迫政府或美國人民。

如果想要TRIA更廣泛地覆蓋網(wǎng)絡(luò)攻擊，國會可以修改認證標準：包括電子數(shù)據(jù)和基礎(chǔ)設(shè)施相關(guān)損失;擴展地理參數(shù)(囊括除美國外其他國家遭受的危害);擴大網(wǎng)絡(luò)攻擊的意圖范圍(包括除強迫外其余意圖)。但是，擴大TRIA的覆蓋范圍可能會對保險市場產(chǎn)生短期影響。如果保險公司認為他們無法承擔這類水平的風險，可能會收回他們提供的財產(chǎn)和責任保險。同時，對電網(wǎng)的大型網(wǎng)絡(luò)攻擊可能會造成超出TRIA所設(shè)定的1000億美元損失上限，超過上限的損失是沒有保險的。此外，私營部門保險公司承擔風險的能力也存有隱患，而國會對TRIA的重新授權(quán)通常會將風險從聯(lián)邦政府轉(zhuǎn)移到私營部門。2020年5月的一份報告顯示，據(jù)財政部風險分擔機制咨詢委員會調(diào)查，由于損失風險敞口的變化，TRIA可能不再是保障保險業(yè)穩(wěn)定的有效框架，并建議財政部重新評估改變上限的潛在影響。

5. 網(wǎng)絡(luò)風險正在演變，可能涉及巨額損失

隨著技術(shù)和網(wǎng)絡(luò)攻擊方法變化，網(wǎng)絡(luò)風險持續(xù)演變，使得保險公司難以承保?？植婪肿邮侄蔚膹碗s性和敏捷度均在上升，技術(shù)的進步和數(shù)字設(shè)備與互聯(lián)網(wǎng)或云計算連接性的增加給承保網(wǎng)絡(luò)安全保險帶來了挑戰(zhàn)。德勤近期的一份報告指出，即使保險公司收集了更多的數(shù)據(jù)，并基于之前的網(wǎng)絡(luò)數(shù)據(jù)訓練改進了預測模型，但潛在的風險暴露仍在不斷變化，這使得在保險公司不清楚供給者攻擊目標、策略或技術(shù)的情況下，很難構(gòu)建一個可靠的預測模型。

此外，一次網(wǎng)絡(luò)攻擊可能會損害多家公司業(yè)務(wù)，并造成重大損失，許多企業(yè)可能同時提出索賠，使保險公司面臨財務(wù)挑戰(zhàn)。網(wǎng)絡(luò)攻擊可能會迅速蔓延，并造成巨額損失。據(jù)劍橋風險研究中心在2016年發(fā)布的一份報告，大多數(shù)保險公司為此選擇不擴大其網(wǎng)絡(luò)安全保險規(guī)模。威達信表示，由于對此類攻擊造成的系統(tǒng)性風險和潛在巨額損失的擔憂，保險公司尋求在已有的、非巨額投資組合損失之外的損失建模，包括對災難性網(wǎng)絡(luò)事故影響的預測。隨著網(wǎng)絡(luò)投資組合的持續(xù)增長和建模水平的成熟，預計保險公司將更加依賴數(shù)據(jù)分析來為承保策略、產(chǎn)品定價和再保險購買提供信息。