網絡安全保險內涵和發展探析
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了網絡安全保險內涵和發展探析范文,希望能給你帶來靈感和參考,敬請閱讀。
網絡安全風險的定義分為狹義和廣義兩種。狹義的網絡安全風險通常只涉及特定類型的網絡安全風險,如造成商業破壞和經濟損失的惡意攻擊、身份盜竊、敏感信息泄露和業務中斷等;而廣義的則通常相對淡化網絡屬性,如信息系統失靈或信息安全風險、任何因使用和傳送電子資料而產生的風險等。目前在保險學術界,對網絡安全風險最為廣泛使用的定義是“影響信息技術資產的保密性、可用性和完整性的操作風險”,以便于參照巴塞爾協議和償二代監管框架對操作風險的分類,同時便于利用已有的操作風險數據庫。在此定義下,網絡安全風險按風險來源可分為:1.人的行為導致,包括非故意行為(失誤、遺漏)、故意行為(惡意攻擊、勒索)、缺乏行為能力(缺乏專業知識)等;2.信息系統或技術失靈,包括硬件失靈(內存、硬盤空間不足)、軟件失靈(兼容性、環境配置、安全設置)、系統失靈(系統架構設計)等;3.內部程序不完善,包括風險應對程序設計問題(通知預警、日志記錄、角色分工等)、風險應對程序管理問題(安全態勢監控、測量、檢查)、風險應對支持機制問題(人員配置、設備支持、安全培訓)等;4.外部事件,包括自然災害(地震、洪水造成物理損壞)、對外服務依賴(安全服務提供商服務中止)等。值得注意的是,上述第一種風險類型不僅僅局限于外部人員,也納入了由企業內部員工行為導致的網絡安全風險。相應的,網絡安全保險即為一種針對上述所定義的網絡安全風險造成相關經濟損失的風險轉移工具。按損失主體不同,網絡安全保險可分為承保第一方損失,即投保人自身的損失的,例如數字資產丟失或損壞,以及承保網絡安全風險事故造成的第三方損失的,例如無意傳播病毒導致的第三方損失、數據泄露對客戶造成的損失等;按產品類型分類,網絡安全保險可分為獨立保單(通常包含配套網絡安全服務)、復合責任保險(與其他財產/責任保險打包成一攬子保險方案)和隱性網絡安全風險保障(SilentCyberRiskCoverage)。隱性網絡安全風險保障源自保險條款術語表述的不完善或局限性,隱藏于并未明確免除網絡安全風險責任的其他財產/責任保險產品中,因而這是一種潛在的風險保障。例如,營業中斷保險中通常沒有明確除外由網絡故障導致的運營中斷事故,董事及高管人員責任保險中通常沒有明確除外企業高管在其職業活動中泄露公司機密數據而引致的經濟損失,職業責任保險中通常沒有明確除外企業職工誤刪數據、更改數據、中斷對第三方電子數據交換的訪問等造成的經濟損失,這些都屬于隱性網絡安全風險保障。新冠疫情暴發后,隨著物聯網設備加速滲透和辦公線上化(例如智能家居、智能辦公),傳統財產/責任保險中的隱性網絡安全風險保障,一方面亟需保險行業重視和評估其經營穩健性,另一方面需要盡量減少責任重疊以避免重復保險和可能引起的理賠糾紛。
二、發展網絡安全保險的必要性
實現數字經濟健康發展,必須有效應對網絡空間日益嚴峻的安全風險。以計算機、網絡、通信為代表的現代信息技術革命催生了數字經濟。目前,數字技術正廣泛應用于現代經濟活動中,其提高了經濟效率,促進了經濟結構加速轉變,成為全球經濟復蘇的重要驅動力。作為我國把握新一輪科技革命和產業變革新機遇的戰略選擇,發展數字經濟正成為新時代中國特色社會主義經濟建設的重大歷史任務。隨著移動互聯網和智能設備的快速普及,網絡攻擊呈現常態化、全球化、大眾化的新特點,攻擊范圍、攻擊破壞力日益擴大。網絡和數據安全風險不僅關系到公民切身利益,而且涉及保護數字經濟發展的關鍵生產要素。在數字經濟時代,數據已成為關鍵生產要素和重要戰略資源,是創造價值的核心資產。沒有一個強大、安全和可信的網絡空間,數據要素無法高效生產,數字經濟無法持續繁榮。網絡安全保險是數字經濟安全體系的“血液”和最終風險轉移手段。“強化數字經濟安全體系”是“十四五”數字經濟發展規劃的重要內容。網絡安全保險的賠償通常覆蓋事后安全漏洞的彌補、系統運營的修復、防病毒軟件設計等防御性措施產生的費用,是事故后網絡安全費用的實際支付方。從這個角度來看,網絡安全保險為數字經濟安全體系的健康運行提供資金“血液”,用清償力支撐我國網絡安全產業的快速發展。在當前人類的科技視域下,不可能徹查信息系統所有的漏洞、后門,不可能構建一個“無毒無菌”的網絡空間,信息化、智能化與網絡安全在動態博弈中辯證統一、相伴相生。網絡與數據安全風險的不可杜絕性從根源上對網絡安全保險的風險轉移功能產生了必然需求。因此,除了事后補償,網絡安全保險通常作為一攬子網絡安全服務方案的一部分,擔當已有安全措施后的最終風險轉移手段的角色。當然,網絡安全保險發展的前提是建立標準化的網絡安全水平評價體系和相應的網絡安全措施實踐,這也會產生一定正外部性,倒逼企業在投保前建立符合標準的網絡安全防護體系。總而言之,網絡安全保險是數字經濟安全體系不可或缺的一部分。
三、網絡安全保險面臨的挑戰
當前發展網絡安全保險仍將面臨種種考驗。第一,如何解決損失發生的隨機性問題?從精算標準來看,大數定律下平均損失依概率收斂于期望值需要兩個前提,一是單件損失發生的獨立性,二是風險池中的保單數量充分大。網絡安全風險存在三個特點可能導致其違背這兩個前提:首先,IT行業的規模經濟導致當前許多軟件、硬件、系統架構等高度同源,容易受到相同網絡安全事故的影響,從而導致部分網絡安全風險類型(例如DDoS攻擊)在不同公司之間存在風險相關性;其次,由于目前我國網絡安全保險市場仍處于起步階段,承保的保單總體數量較少,導致保險公司的風險分散不足,同時也缺乏再保險風險分散力量的支持,但這一點會隨著市場的持續高速增長而有所緩解;最后,網絡安全風險往往動態性較強,算法更新、系統或設備升級都可能引起企業網絡安全風險出現根本性變化,破壞事故發生的隨機性。第二,如何達成網絡安全投資激勵和網絡安全風險保障的平衡?這種平衡的重要性體現在兩個方面。首先,作為典型的事前道德風險,投保后網絡安全投資激勵不足可能威脅網絡安全保險的持續經營。我們有充足的理由相信,網絡安全風險的信息不對稱比普通的財產風險更嚴重。例如:網絡安全風險本身更加復雜且具有動態性特征,對于保險公司的理解和評估構成挑戰;內部系統和數據資產關乎企業機密,企業在披露相關信息時天然地會更趨保守,投保后保險公司難以及時了解企業的真實網絡安全水平。因此,在沒有抑制措施的情況下,企業在投保后具備更強的動機減少網絡安全投資。其次,從全局看,網絡安全投資的正外部性關乎數字經濟的整體福利。最近有文獻表明,隱私信息具備公共物品屬性(PublicGoods),這為政府對數據隱私保護的監管提供了理論依據。在數字經濟時代,一個人的隱私信息泄露會被第三方用于訓練模型并預測他人的行為,進而影響他人的福利。據此,隱私保護措施自然具備正外部性。信息泄露本身是網絡安全風險之一,如果接受這一觀點,則網絡安全投資的正外部性和對于數字經濟的重要性毋庸置疑。同時,網絡安全風險的相關性強化了這一屬性。如果一個企業在網絡安全投資決策時出于風險關聯會考慮其他企業的網絡安全保護情況,那么企業的私人網絡安全投資水平會次優。綜上所述,如果投保后企業的網絡安全投資激勵下降,就會給數字經濟的整體福利帶來負面影響。需要注意的是,網絡安全投資激勵和網絡安全風險保障的平衡并不意味著非此即彼,而是強調網絡安全保險產品需要重視和創新網絡安全投資激勵機制,使其更多地發揮促進網絡安全投資的正向作用。第三,如何看待間接損失和事后道德風險?網絡安全事故的直接損失表現為業務中斷或癱瘓,包括財產、權利或交易性損失、維修和恢復費用、合同違約成本等,通常發生在風險事故的監測識別、通知、及時處理和事后預防階段。相對地,間接損失則源于網絡安全事故導致利益相關方的信心受損,通常由網絡安全事故信息的披露導致企業安全狀況評價降低而觸發,包括現有客戶流失和新客戶減少,以及聲譽、品牌形象、員工信心、市場地位受損等。不難發現,間接損失往往在事故發生后較長一段時間才產生,并且難以定量測算、損失規模波動大,因此可保性差,往往不被網絡安全保險的保障責任覆蓋。然而,這種間接損失的保障缺口會導致企業在披露事故則獲得賠償和不披露事故以避免間接損失兩者之間權衡,形成事后道德風險。具體而言,只有當披露事故信息后所獲得的賠償大于該舉措所造成的間接損失時,企業才會索賠;否則,不披露事故信息以及不索賠才是最優選擇。顯然,在特定網絡風險類型的直接和間接損失聯合分布符合一定條件時(例如間接損失為常數),這種權衡會系統性地推高平均賠償金額。此外,風險數據缺乏、企業網絡安全水平缺乏統一可信的衡量標準被廣泛認為是構成網絡安全風險建模和準確評估的障礙;對網絡攻擊的激勵也是網絡安全保險在產品責任設計時需要抑制的負外部性之一。
四、發展網絡安全保險的建議
我國網絡安全保險盡管起步較晚,但在目前發展數字經濟的新時代重大戰略選擇背景下更具重要意義。國外發展歷史表明,政府監管的引導和支持是提升社會網絡安全風險意識、推動網絡安全保險發展的重要力量。2020年以來,我國政府先后出臺《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》,網絡空間治理進入了新的階段。目前,我國網絡安全保險市場上出現了保障網絡金融賬戶安全、虛擬財產安全、移動支付安全、云服務安全及防御DDoS攻擊風險等側重部分特定風險類型或保險標的的產品,存在責任覆蓋狹隘、產品種類缺乏、條款表述冗雜、風險控制不足、持續經營能力弱等問題。整體而言,作為一款新險種,由于缺乏行業標準規范,我國網絡安全保險發展較為緩慢。對此,本文提出以下7條關于發展我國網絡安全保險的建議:1.發展網絡安全保險需要網絡安全技術范式創新、實現安全功能可定制可度量可檢驗。網絡安全風險概率可測、損失可估是可保的首要條件,是精算定價的重要基礎。然而,傳統的網絡安全技術范式無法在缺乏先驗知識的條件下有效應對未知漏洞、未知病毒等未知內生安全威脅,進而難以量化安全可信水平。因此,從根本上推動技術范式創新、落實安全功能可定制可度量可檢驗,是實現網絡安全保險產品創新的充要條件。2.發展網絡安全保險需要構建“保險+風險管理+服務”的綜合業態。網絡安全保險亦是網絡安全服務,事前風險評估、事后風險干預是保險業風險控制的重要手段。由于產業交叉性、數據有限性、風險相關性、技術復雜性等特征,網絡安全風險具備更高的信息不對稱性,潛在的逆向選擇和道德風險隱患更大。為此,網絡安全保險產品創新必須與網絡安全服務深度融合,轉移風險的同時提供更具主動性、預警性、實時性、動態性的安全風險解決方案。3.發展網絡安全保險需要確立中國特色的服務規范,制定企業和行業標準。目前我國正處于網絡安全保險發展的初級階段,起步較晚、缺乏標準。盡管歐美國家發展領先,但由于市場體制、行業生態、網絡空間治理等存在差異,不能生搬硬套產品服務模式。為滿足我國數字經濟安全保障的迫切需求,推進網絡安全保險落地,需要加強頂層設計,在借鑒國外發展經驗的同時,重視國情,因地制宜,制定具有中國特色的網絡安全保險和服務的標準規范。4.發展網絡安全保險需要自上而下推進數據基礎設施建設。基礎數據對于建立相對準確的網絡安全風險經濟模型、防止過度夸大網絡安全風險具有決定性作用。在網絡安全保險發展初級階段,我們一方面有必要借助公權力推動強制信息披露制度,為網絡安全風險情報庫提供權威數據來源;另一方面需要建立匿名共享網絡安全事故信息機制,在規避隱私問題的前提下推動多源數據融合,共享網絡安全感知。5.發展網絡安全保險需要保險、網絡安全產業、高校科研機構協同創新。立足當前我國網絡空間安全態勢,整合跨產業、跨學科多方資源和技術力量,鼓勵產學研深度合作,協同攻關網絡安全保險領域的風險定義、定價、風控等難點疑點,創新網絡安全保險機制和模式,指導行業推出切實滿足需求、自有知識產權、保持穩健經營的網絡安全保險示范產品。6.發展網絡安全保險需要政府部門大力支持和社會力量積極參與。面對數字經濟時代的迫切需求,實現當期和中遠期的網絡安全保險快速發展不能僅僅依靠行業自身。歐美國家網絡安全保險的發展歷史表明,政府監管部門的政策支持是提升社會網絡安全風險意識、統籌協調各方資源、推動行業快速成長的重要引導力量。我國應充分發揮體制優勢,在政府的引導下團結社會力量積極參與,共同做大做強中國網絡安全保險。7.發展網絡安全保險需要先行先試,在實踐中不斷完善。為積累探索穩健經營網絡安全保險的經驗,填補我國相關行業標準空白、示范產品空白,可針對網絡安全風險類別、保險公司、承保對象等展開試點,在系統性風險可控的條件下摸著石頭過河,鼓勵機制創新、產品創新、服務創新,在實踐中不斷完善網絡安全保險發展模式。
作者:徐煒 單位:復旦大學中國保險與社會安全研究中心
