王禹:网络安全保险的新兴发展与监管研究 作者:中国保险监督管理委员会 财产保险监管部 王禹

随着数字经济的蓬勃发展和大数据时代的快速到来,互联网越来越成为人们学习、工作、生活不可或缺的新空间,越来越成为7亿多网民获取服务不可替代的新平台,互联网、物联网、云平台、区块链等已成为新经济的技术载体和重要基础设施。网络应用和大数据面临着因网络攻击、中断等种种因素引起的信息泄露、资料灭失、营业中断等诸多网络安全问题。因为光纤被挖断、员工误操作、黑客攻击等多种原因,近年来断网或者网络瘫痪的情况大幅增加,这些风险给企业经营和声誉带来的重大影响,同时给网民的财产损失带来了巨大的风险隐患。2012年,世界经济论坛在《全球风险报告》中首次将“网络攻击”列为全球企业管理人员和政府面临的五大风险之一。2016年9月,雅虎5亿用户的账户信息被黑客盗取,可能影响其出售交易。在国内市场,典型的案例有:2013年,多家连锁酒店因系统漏洞导致2000万条客户信息泄露;同年,1500万2500万个支付宝用户的账户信息遭泄露。由此可见,作为网络风险中的一项重要类别,网络安全风险具有广域性、传染性、高破坏性和复杂性等特征,一旦发生风险事件,极易造成巨大经济损失。

保险是现代经济的重要产业和风险管理的基本手段,是社会文明水平、经济发达程度、社会治理能力的重要标志。《国务院关于加快发展现代保险服务业的若干意见》指出,要提升企业和居民利用商业保险等市场化手段应对灾害事故风险的意识和水平,增强全社会抵御风险的能力。要充分发挥保险费率杠杆的激励约束作用,强化事前风险防范,减少灾害事故发生,促进安全生产和突发事件应急管理。

在提高网络安全水平、建设网络强国的进程中,保险作为市场经济条件下最重要的风险管理和风险转移机制,在保护网络运行和数据安全、提高被保险人网络安全防护水平等方面,大有可为而且应该有所作为。

一、国内外网络安全保险发展现状

国际上首批网络风险保险产品出现于20世纪90年代中期,但直至美国修改立法要求将非法披露个人信息纳入承保范围后,该类产品才开始盛行起来,保费规模随即增加至约10亿美元。如今已有越来越多的被保险人通过购买保险来保障由数据泄露和营业中断带来的财务损失,同时,投保后保险公司通过向被保险人提供有针对性的风险防控方案,帮助被保险人梳理并防范来自网络领域的各类风险,通过专业技术能力为网络风险“减量”。2012年,关于互联网安全风险方面的保险业务的保费规模约为5亿美元,主要市场集中在美国。2014 年,在美国,投保人购买网络风险保险的数量同比增长了32%。2014年,全球收入超过10亿美元的公司所购买的网络安全保险责任限额平均达3410万美元,同比增长22%。其中,金融机构购买的保险限额居首位,电力及公用事业公司以及通讯、媒体和高科技公司紧随其后。预计,未来有关互联网网络安全的保险市场将保持持续增长态势,尤其是在法律监管环境不断完善的背景下。例如,在美国,数据储存方对因计算机入侵而导致的客户数据泄露负赔偿责任。美国证券交易委员会于2011年10月发布指导文件,无论是否涉及保密数据泄露,计算机入侵均应被视为需要披露的潜在重大事项。

目前,国际市场上主流的网络安全类保险产品主要保障企业类被保险人的因网络风险导致的财产损失。例如,2015年6月初,安联财险在国内推出电子商务和信息安全保障综合保险和声誉保险,主要针对各种原因引起的数据丢失、网络被加插恶意软件、网络盗窃与网络敲诈、营业中断、设备损坏费用、赎金等风险损失。在国内市场,虽然网络安全保险市场还处于起步阶段,法律机制有待完善,但也有比较早尝试进入该领域的保险公司。例如,2013年5月8日,人保财险公司开发了国内首款网络虚拟财产交易安全保险,并通过虚拟财产交易平台上线销售,主要为游戏卖家的恶意行为致使保险标的被卖家盗回、被游戏运营商收回或被游戏官方封号导致被保险人的直接损失。

二、网络安全保险案例分析

(一)目前在售网络安全保险情况

2015年8月,众安在线财产保险股份有限公司(以下简称“众安保险”)携手全球领先的云计算服务商——阿里云,基于企业用户在租用阿里云服务器时对信息安全方面的需求,推出了国内首款云计算保险,全方位护航云计算服务的安全。在承保前,根据阿里云用户对服务器的使用情况及是否有被黑客入侵的历史记录等进行筛选。投保生效后,一旦用户因网络安全、云服务、硬件设备故障等问题遭受损失,只需向阿里云反馈情况,核实后即可得到赔付,同时还对数据的私密性和销毁性等提供相应保障。2016年1月,众安保险又与阿里云又推出了国内首款网络安全类保险——信息安全综合保险,包含数字资产损失保险和数字资产安全责任保险两部分保障范围,最高赔偿达100万元,保费由阿里云承担。其中,数字资产损失保险是保障因发生未经授权访问、未经授权使用、将恶意代码引入被保险人自有或租用的计算机系统或对其发起的拒绝服务攻击等风险事件,并导致被保险人的服务中断或任何由被保险人拥有、保管或控制的,且受保密协议或类似合同保护的相关用户的信息遭到泄露、损坏或完全灭失,保险人对由此产生的数字资产的直接经济损失和(或)数字资产的重置费用,按照保险合同约定进行赔偿;数字资产安全责任保险是保障在约定的保险期间或追溯期内,由于上述风险事件导致被保险人拥有、保管或控制的数字资产发生泄露,并直接导致第三方因此遭受直接经济损失,则保险人对第三方在保险期间内或延长报告期内首次向被保险人提出的依法应由被保险人承担民事赔偿责任的赔偿请求,以及被保险人被提起仲裁或者诉讼所支付的法律抗辩费用或事先经保险人书面同意支付的其它必要的、合理的费用,按照保险合同约定进行赔偿。

(二)存在的问题

目前,众安保险主要通过阿里云的渠道,向使用阿里云且注册资本金在100万以上的金融、电商类企业用户推介网络安全保险产品。此外,阿里云在投保前对用户的安全能力和信誉进行审核后,对部分安全防护能力较差的客户,要求额外购买服务器安全托管服务。

根据历史数据,当前阿里云平台的平均入侵比例约为0.5% /月(见下图),一些安全能力差的小客户经常被黑客反复入侵。但在被入侵的客户中,数据遭公开泄露的比例低于0.5%,所以目前实际发生经济损失的案例相对较少。

综上,目前存在的难题可能主要有以下方面:一是实际发生经济损失的事件较少,云服务商主动为企业购买该保险产品的动力略有不足;二是虽然该产品是为云服务商的用户度身定制,但保险公司只能通过云服务商才能接触到该客户,因此在产品推广上相对被动;三是出于商业利益和商誉等考虑,云服务商未必愿意对外披露实际发生的损失,也使潜在用户对该产品的了解程度不够。

(三)原因分析

虽然网络安全保险产品具有巨大的潜力,但又有赖于法律环境、技术标准、风控经验等基本发展条件,目前该类产品尚处于摸索阶段。制约因素主要有如下几项:

1. 法律环境尚待完善。因为风险保障的额度较大,对保险条款的严谨程度要求高,而个人隐私保护、网络风险损失责任赔偿等方面的法规还比较滞后(网络技术的发展往往超前于法规的制订),各保险公司在产品开发时缺少可参照的依据。

2. 部分关键技术还不成熟、人才比较欠缺。加密技术、访问控制、防火墙、电子安全交易认证等还未达到网络安全保险发展所要求的技术水平。同时,也需开发出适合我国保险市场发展需要又与国际标准相通用的网络技术。

3. 保险公司还缺乏承保和风险防范方面的经验和动力。若风险事件一旦发生,损害的对象是广泛和跨地域的,除了物质财产的直接损失,因知识产权、电子数据、资料、企业或个人信誉等遭受的侵害,以及第三者责任引起的损失也可能使保险公司难以承受。因此不敢贸然出手,也缺乏积极心。

4. 用户的意识和对相关保险产品的认知程度还比较弱。主要因目前相关保险产品尚处于摸索阶段,鉴于风险可控的原则,保险公司在推广过程中也比较谨慎。同时,风险事件造成的法律惩罚机制还不完善,所以警示作用有限。

 

三、相关建议

党的十八届五中全会提出要实施“国家大数据战略”,标志着大数据战略正式上升为国家战略。因此,作为经济的“助推器”和社会的“稳定器”,保险业对大数据时代下影响面逾广、影响力日增的新风险应及时开展研究并制订对策,这也是为了贯彻落实“新国十条”精神和保险业供给侧改革的要求。

(一)加快信息安全保护方面法律法规的立法工作,明确网络安全边界,加强网络安全和个人隐私保护。同时,网络安全主管机关应加快对相关技术标准和制度规范方面的制定工作,并加强与国际机构之间的合作。

(二)网络安全主管机关牵头、保险监管部门配合共同加强网络安全保险研究,对网络安全领域易发多发的风险点,研究通过保险的手段予以防范转移的可行性。对群众关切、涉及面广领域的互联网安全保险产品,比如账户安全保险等,建议通过立法形式上升为强制保险,要求网络账户提供者为网民账户安全提供切实可靠的风险保障,使消费者放心消费,踏实上网。

(三)保险监管部门要鼓励支持保险公司开展网络安全保险的研究和创新。要集合行业资源和智慧,立足我国互联网发展现状,分析研究网络安全领域存在的主要风险点,适时指导行业推出网络安全保险示范产品;要鼓励支持市场主体加强对互联网安全保险产品的研究,勇于尝试,大胆创新,对互联网安全保险产品优先审批备案,支持开展互联网安全保险业务的保险公司创新发展。

(四)鼓励保险公司发挥防灾减损功能,加强网络安全主动防护。保险公司承保网络安全保险后,应充分发挥保险的防灾减损功能,利用大数据、云计算等手段,向被保险人输出有效的网络风险管理工具,帮助客户分析风险点并制定相应的防范措施,督促客户加强落实抵御网络风险的措施、推荐更实时有效的网络安全建设方案,以力求避免发生网络风险,减少客户损失,实现多方共赢。


2017-03-22 14:39
来源:中国信息安全杂志(2017.3)
热门推荐更多
热点新闻更多