网络安全 | 我国网络安全保险发展初期阶段的主要挑战及应对

本文链接：https://blog.csdn.net/weixin_57514792/article/details/135373582

党的二十大报告指出：“坚决维护国家安全，防范化解重大风险。

”网络安全保险是承保于网络安全相关风险的新险种，在分散网络安全风险、弥补经济损失、优化网络安全生态等方面有基础性作用，是治理网络安全风险，维护国家网络安全的重要金融工具。随着网络空间迈向智能化纵深，法律法规的要求、企业的需求和保险业态的创新等因素促使网络安全治理手段由“减除风险”向“减除+分散风险”模式转变，我国网络安全保险迎来了重要战略机遇期，同时也面临着挑战和难题有待研究与破解。

2023 年 7 月，

工业和信息化部与国家金融监督管理总局联合印发了《关于促进网络安全保险规范健康发展的意见》（以下简称《意见》），从标准体系、产业创新、技术赋能、释放需求和培育生态等五大方面提出意见，以进一步培育网络安全产业新业态，引导网络安全保险健康有序发展。下一步，我们需要结合国内和国际经验，进一步研究我国网络安全保险产业面临的问题，积极制定和完善相关政策法规，推动网络安全保险发展壮大。

一、当前我国网络安全保险发展的初期态势

我国网信产业发展迅猛，网络安全风险也日趋复杂严峻。世界经济论坛（WEF）发布的《2023 年全球风险报告》将网络安全风险列为未来十年全球主要风险之一。国家互联网应急中心（CNCERT）统计报告显示，仅 2021 年上半年，CNCERT 捕获恶意程序样本数量约达 2307 万个，日均传播 582 万次，感染恶意程序的主机数量约446万台。网络安全事件发生频次高、损失数额巨大、风险关联性强。对此，我国迫切需要完善网络安全生态，增强应对此类风险的能力。

网络安全风险以损害类型划分，包括网络攻击风险、营业中断风险、信息泄露风险和声誉损失风险；以风险来源划分，包括使用互联网等技术工具所产生的风险、网络攻击造成的物质损失风险、数据的不当使用造成的欺诈风险、数据存储产生的风险、及电子信息的可用性、完整性和保密性被破坏的风险等。

网络安全保险是一种用于分散转移网络安全风险的保险产品。通过对上述风险的量化、定价、分散和转移，网络安全保险能够对此类风险造成的经济损失进行补偿，提升市场主体对风险的应对和恢复能力，从财务方面有效提高市场的韧性。此外，作为承保必要流程的审计评估和监控预防等措施，有助于提升主体的网络安全自我保护意识，量化并提高社会总体网络安全水平；保费折扣等灵活的保险策略也能够激励用户主动提升防护水平，从基础上优化网络安全生态体系。

二、我国网络安全保险发展初期面临的挑战

尽管有关政策环境持续优化，但囿于发展初期的特性，我国网络安全保险在政策法规和发展机制方面仍面临一系列挑战。

（一）统一的标准规范体系建设尚不完善

我国网络安全保险产业发展初期，既需借鉴国际经验，又需应对新场景下的应用需求。在此背景下，市场主体的自发探索受多种因素影响，容易导致专业术语不统一、语义界定不明确。具体而言，主要包括：一是网络安全风险的广泛性和跨行业性要求对新术语进行统一解释以方便沟通和实践，而现阶段新的术语和概念及其适用尚且缺乏细致统一的标准；二是标准化保单和服务准则的缺失——一般场景下的标准化保单范式有利于可复制、易推广的服务模式的形成，而概括性的服务准则难以保证网络安全保险的有效实施；三是网络安全保险和传统商业责任险存在未被厘清界限的重叠地带——这是由于网络安全保险拓宽了传统保险的语境，使原本没有争议的概念有了新的解释方向。

统一的术语是网络安全保险获得广泛认知的前提，语义不明直接关乎网络安全保险市场的扩展。同时，此类问题容易引起争讼，影响市场对网络安全保险的信心。例如，在引起广泛讨论的亿滋国际诉苏黎世案中，苏黎世美国保险公司以“战争除外条款”为由，拒绝向亿滋国际赔付因受 NotPetya 勒索软件攻击而主张的索赔。这场 2018 年的争讼到 2022 年才以双方达成和解收场，但关于网络时代应当如何界定“网络战争”以及网络安全保险免责条款的解释和适用问题，仍然是网络安全保险行业和政府制定政策所持续关注的重要课题。

（二）缺乏基础数据，影响技术支持

与传统保险相比，网络安全保险除了需要承保主体参与，还需要配套提供日常监控和安全防护等网络安全技术服务。《研究报告》称我国网络安全保险产品形态和服务模式日趋多元，“保险服务+安全风控”模式日趋成熟。在现有模式下，保险环节的量化评估和费率厘定所需的精算模型需要大量基础数据支持，而网络安全服务环节的安全防护、风险监测和事故预警也需要大量的数据支撑——数据的完备程度直接影响着网络安全保险的有效性。此处的基础数据不仅因大数法则的要求而追求数量之多，在结构上也要求全面、具体、真实准确。包括网络安全事故类型、严重程度、事故各阶段时间线、风控水平、影响后果等信息都应当包含在内。

现阶段，我国网络安全保险产业在基础数据方面不足，包括两重挑战：从数量上看，由于缺乏数据披露和共享机制，网络安全保险难以进行风险量化和合理定价；从结构上看，由于信息网络技术发展的动态性和场景多样性，原本就数量不足的既有数据在细分场景下的实践价值大幅削减，可用数据匮乏。

（三）市场失灵问题凸显

网络安全的外部性容易产生需求侧的“搭便车”效应，导致市场主体的投保积极性不足。评估和判定网络安全水平应具备专业性和保密性，这又容易引发信息不对称。投保主体的网络安全水平无法得到准确评估，风险量化困难，为保障赔付能力，保险公司不得不提高保费。此种情形下，逆向选择诱发“劣币驱逐良币”现象，投保主体不愿提高对网络安全保险的投入，阻碍了保险公司承保和产品创新。美国政府责任署将保费提高和最高赔付额降低视为网络安全保险发展面临的主要挑战之一。而基础数据不足和市场失灵正是这一现象的主要成因。