中国市场网络安全保险的起飞
Frank Wang/文 刘佳丽/译
随着中国网络安全保险需求的逐步上升,一些原本没有参与保险业务的网络安全公司也在谋求与保险公司合作的机会。他们希望能共同开发网络风险的综合解决方案,包括风险评估、监测和早期预警、应急响应和保险保障覆盖等方面。
2017年6月,WannaCry ransomware网络蠕虫病毒感染波及全球近150个国家,仅在中国地区,就有3万家机构的电脑被入侵。这次大规模的网络蠕虫袭击事件,为各国网络风险管控敲响了警钟,也将大家对网络风险的认识提高到了一个新的水平。
同样在6月,中国新的《网络安全法案》颁布。这一法律的颁布以及越来越多的恶意软件攻击事件,使得网络安全风险被持续热议,也让中国企业更加积极地寻求网络安全保险保障等风险解决方案。保险公司为了满足这类日益增长的网络风险转移、管控需求,正在大力发展创新的保险产品和服务,帮助企业免受波及。然而,尽管中国存在着巨大的网络安全保险市场潜力,但在实现这一目标之前,仍需解决诸多挑战。
飞速发展的全球网络安全保险市场
2016 年第三季度,普华永道发布了一份题为《保险2020 与超越:从网络弹性中获取红利》的报告,其预测道:到了2018年,全球网络安全保险市场将增至50亿美元,到 2020年将增至75亿美元。
北美,是最大的网络安全保险市场,占据全球市场90%的份额,且依然保持高速发展。美国保险经纪公司(CIAB)在2017年4月发布的报告显示,美国约32%的商业机构购买了网络安全保险。其保额平均限额由2016年10月的300万美元,在半年时间内增至600万美元。
与北美相比,欧洲的网络安全保险市场发展相对落后,但也为网络安全保险的快速发展做好了准备。欧洲地区新颁布的《通用数据保护条例》(GDPR),将于2018年5月生效,它强制要求各公司公布其网络安全漏洞,这一举措预计将引发欧洲对网络安全保险保障的强烈需求。
亚洲地区随着网络安全保险需求的增加,使得欧美网络安全保险业务拓展至中国等亚洲新兴市场,但亚洲地区整体网络安全保险的普及率仍然较低。
在中国,人们对网络风险的焦虑与日俱增。根据安联保险(Allianz Insurance)的一份网络安全研究报告显示,中国每年因网络攻击所遭受的经济损失达600亿美元,损失额位列亚洲第一,全球第二。
目前,已有外资保险公司为中国企业提供全面的网络安全保险,其保险保障范围包含了受损人经济损失和第三方责任损失赔偿,主要包括以下三部分:
1、保障主要集中于减少企业因黑客攻击导致的正常营业中断而产生的经济损失,可以赔偿企业在系统安全失效期间,扣除正常营运开支而损失的部分经济损失。
2、保障主要覆盖网络安全认证鉴定以及顾问服务所产生的费用。
3、保障覆盖的是网络安全事故发生时所产生法律赔付成本,同时包括雇佣独立的专业公关顾问进行声誉补偿时所支付的公关费用。
中国市场亟待填补的网络安全保险发展缺陷
与北美和欧洲相比,中国的网络安全保险市场仍处于早期发展阶段。从保险公司的角度看,中国网络安全保险的发展主要受限于三方面问题:缺乏更复杂的法律和监管支持体系;缺乏有效的承保和产品定价的历史损失数据;以及网络安全风险管理资源不足。
虽然新的《中华人民共和国网络安全法》已经确立了保护个人信息的基本规则,但相关实施细节仍不完善。此外,就中国个人信息滥用的现状而言,法律规定对个人信息的保护仍相对有限,没有统一的个人资料保护法,其应用范围比较狭窄。与此同时,保护个人信息的相关法律法规现阶段更适用于“刑事处罚”和“行政管理”,而非“民事责任”的认定。因此,即使企业在数据泄露之后受到惩罚,也不可能获得任何实质性的民事损害赔偿。
此外,网络安全保险作为一种全新的保险品种,发展历史极短,没有相关成熟市场的经验可借鉴。同时网络风险瞬息万变,如何进行网络安全风险承保和定价,对于全球的保险公司来说都是一个极大挑战。在中国,虽然网络安全保险已有数年的发展历史,但由于几乎没有损失赔付事件发生,且保险公司获得有效定价数据的渠道极其有限,使得数据真实性和可靠程度也有待考量。中国公开报道的网络安全事件的数量远远小于实际发生数字,所以很难用历史数据来评估真实的网络风险水平。因此,笔者建议保险公司应采取谨慎的承保政策,在积累经验教训的同时,发展业务,并及时调整和纠正。
另一个技术挑战是网络风险管控。对保险公司来说,承保前风险评估、承保后风险控制和损失调整等环节都离不开专业人员的分析、测评,需要网络安全专业人员全程参与。美国,随着网络安全保险的迅速发展,几乎所有开展网络安全保险业务的保险企业都与至少一家网络安全咨询公司结成伙伴关系,这也催生了一些为保险公司服务的网络安全科技初创企业。而尽管中国已经有许多公司在从事与网络安全相关的工作,但他们仍然很难为保险公司提供建模和定价支持。
为了解决这些问题,中国目前正在研究推动《个人信息保护法》的立法,明确网络运营商对相关个人信息的保密义务以及违反该义务的法律责任,尤其是民事损害赔偿标准的设定。与此同时,中国网络空间管理局也发布了一系列实施网络安全法律的详细规定。
此外,随着中国网络安全保险需求的逐步上升,一些原本没有参与保险业务的网络安全公司也在谋求与保险公司合作的机会。他们希望能共同开发网络风险的综合解决方案,包括风险评估、监测和早期预警、应急响应和保险保障覆盖等方面。笔者认为,中国网络安全保险未来仍有挑战,但可持续的网络安全保险市场正在站稳脚跟。
(作者系通用再保险财产险、意外险研究员)