网络安全保险法律政策的路线图

王新雷

(西安交通大学 信息安全法律研究中心，陕西 西安 710049)

“网络安全保险”早在2000年左右就在美国产生和发展起来。时至今日，网络安全保险仍有不同的表达:网络空间保险 (cyberspace insurance);信息安全保险 (information security insurance);网络安全保险 (network security insurance);电子风险保险 (e－risk insurance)等，在国际上，尤其是在网络安全保险的起源地美国，政府和学者最常用的还是cyber insurance，即网络安全保险。我国学界和实务界在这一术语上，有的采用“网络保险”，有的使用“网络信息安全保险”，有的使用“网络安全保险”。为了正确表达术语语义，并遵循国际惯例，我们使用“网络安全保险”。综合国内外学者的观点，网络安全保险应当定义为:一种应对互联网、信息技术基础设施及其运行的风险的保险产品。网络安全保险涉及的安全风险问题，包括病毒，蠕虫，拒绝服务攻击造成的损失，和数据盗窃或损坏等。

一、网络安全保险产生发展的背景

Internet正以几何递增的速度向世界各个角落、各个领域渗透，政务、经济事务、人们生活的各个环节，对网络的依赖性均在日益增强。但同时，互联网又是个开放的系统，资源共享和信息安全是其中与生俱有的一对矛盾共同体，互联网面临种种攻击的威胁。网络安全问题仅仅依靠防火墙技术、防病毒软件、信息加密技术等技术手段是无法解决的，无论采用多么完善的技术、防范措施，互联网安全风险总会存在。［1］

在国际上，美国的数字基础设施已经多次遭到入侵，数亿美元资金、知识产权以及敏感军事信息被盗，美国经济、社会等领域的关键基础设施遭到破坏，带来了巨大的经济损失。美国国土安全部一份报告称，2008年针对美国政府和私营部门的网络攻击已增长至7.2万起。美国最大信用卡公司之一的万事达公司众多用户的银行资料近年被黑客窃取，酿成美国最大规模信用卡用户信息泄密案，带来了巨大的经济损失。

在中国，截至2010年7月，全国上下已经开通5万多个政府门户网站，越来越多的政府和企业将围绕网络进行改组和调整，关键信息系统已悄然掌握政府和经济运行的命脉。网络黑客、电脑病毒、计算机犯罪的存在，严重威胁着我国网络安全，使得网络的延伸不断加大财产损失的可能性，网络扩展的范围越广，这种损失的风险就越高:网络飓风 (cyber－hurricane)的破坏力也愈强。

二、国内外网络安全保险的发展现状和法律困境

面对“cyber－hurricane”等网络安全事故可能带来的巨大经济损失，传统的财产保险无法完全适应这种新经济形态下的不确定性风险。全球网络信息安全SANS会议的最重要结论之一是:网络信息安全服务和信息安全保险的密切结合将是解决网络信息安全问题的必然趋势。瑞士苏黎士金融集团也认为，解决电子商务安全的全面方案应当由技术解决实施方案加保险实施方案构成，网络安全保险作为一种新的保险种类出现并逐渐发展成熟。

在一些发达国家和地区，网络安全保险业务正成倍增加。到目前为止，西方大多数保险公司已经推出网络安全保险的相关险种，保险范围涵盖计算机病毒、黑客入侵、网上欺诈、网上盗窃等很多方面。一些实力较强的保险公司推出了针对不同客户需求的保险产品，这些产品分别针对不同的网络安全风险进行承保，较为著名的有美国的AIG公司推出的Net－Advantage网络安全保险、伦敦劳合社的E－Comprehensive网络安全保险、Insure阵雨Trust．com公司的Webnet－Protection网络安全保险等。

AIG公司是世界上最早推出网络安全保险业务的公司，该公司在网络安全保险领域积累了丰富的实践经验，AIG公司推出的netAdvantage网络安全保险套装总共有7个等级，投保人可以根据自身网络风险的类型，选择某一保险项目进行投保，如下表4－1:

表4－1:AIG推出的netAdvantage网络安全保险套装各保险项目对比①根据美国国际集团 (AIG)官方网站的《The AIG netAdvantage Suite?Coverage Highlights》整理而成。

不仅AIG公司在网络安全保险合同内容和保险责任方面有着长期的探索和实践，伦敦劳合社和InsureTrust．com等公司也在探索和确定网络安全保险责任与除外责任方面有着丰富的经验，伦敦劳合社的 E－Comprehensive，InsureTrust．com公司的Webnet－Protection与 AIG公司的 Net－Advantage网络安全保险都是目前世界上相对成熟的网络安全保险业务。如表4－2:

表4－2:AIG公司的Net－Advantage网络安全保险、伦敦劳合社的E－Comprehensive网络安全保险、InsureTrust．com公司的Webnet－Protection网络安全保险的对比分析［2］

在印度，网民和ISP可以享受一项专门针对黑客攻击风险的保险服务。这一保险项目涵盖了印度所有电子犯罪的保险项目，其中断网损失赔偿金最高达到了两千五百万美元。类似保险业务已在美国、英国和日本率先开设，将这一业务引进印度的则是由Tatas公司和美国保险集团公司合资开办的Tata－AIG公司。保险内容将包括合理的赎金要求、诉讼费用和第三方责任等。保险公司同时会悬赏提供破案线索，并提供紧急管理资金。保险业务可以适用于黑客案件、电子敲诈、电子窃案、电子欺诈和电子欺骗等各类电子犯罪。

相比较而言，中国的保险公司对高科技保险态度谨慎，目前还没有一家保险公司登记备案，开展这项保险业务。金山公司曾经尝试同一些保险公司接触，希望能在销售网络安全产品时，捆绑上保险公司的安全保险。但由于风险评估的困难，没有获得保险公司的响应，保险公司仅限于承保硬件方面的损失。因为硬件的损失是明确而可以估算的，数据丢失造成的间接损失，数额很难预计。这对保险公司来说风险太大，而且也没有再保险公司支持这项业务。

可见，大量的组织和个人已经或者即将将网络安全保险当作同网络安全技术同等重要防御工具，以更好地保障信息网络安全。统筹我国信息安全保障方略，一方面需要发展技术来防范安全风险，另一方面需要建立和完善保险法律政策，来管理和分散网络安全风险。但是，我国在网络安全保险方面的实践才刚刚起步，网络安全保险法律政策几乎空白，应当尽快借鉴先进立法和政策经验，应对网络安全保险业发展带来的法律和政策困境。

网络安全保险的法律政策的建立和完善涉及多个方面的交叉，目前世界各国对网络安全保险法律政策问题的研究和实践都在探索当中。由于网络安全保险的专业性、复杂性、技术性，网络安全保险法律需要更多的操作性和技术依赖性强的制度，这些制度和保险法律部门没有关系，例如网络安全事故信息披露制度和网络安全标准立法。当然，还需要在传统保险法律制度之上确立专门的网络安全保险法律规范，明确保险当事人的权利义务、保险责任，建立专门的网络安全保险监管制度。在政策层面上，还需要专门的风险信息共享和政府再保险等扶持政策。

三、网络安全保险法律政策的构想

正如瑞士再保险公司声称的那样，必须探索网络安全的风险管理与法律政策的最佳运作模式，才能够有效管理和转移互联网带来的风险。但是，网络带来的风险不能简单地转移给保险业，投保人内部风险控制和自我安全保障机制也应当建立起来。［3］

逆向选择和道德危险是贯穿保险的两个根本挑战，首先必须建立防范逆向选择和道德危险的制度对策，以保证网络安全保险的成功运行。

1．建立抑制逆向选择的制度

信息不对称导致了逆向选择的发生。在应然状态下，签订合同的双方在订约之前必须充分共享信息;但是在实然状态下，订约双方的合同的信息往往是不对称的。保险人在订立网络安全保险合同时，难以判定哪些保险标的是高风险的，哪些保险标的是低风险的，这样可能导致保险人订立的保费等保险合同条款与保险标的的实际风险大相径庭。

理论上，保险人可以根据保险标的的风险大小，提供不同类型的保险合同。对风险较低的提供低费率的保险合同，对风险较高的提供高费率的保险合同。但是，在网络安全保险中，保险人通常难以准确界定投保的网络的风险高低，投保人可能籍此将自己高风险的网络系统伪装成低风险，用较低的保险费率换来高额的保单。

为了防范逆向选择，保险人必须对投保的网络系统进行详细的风险评估，然后根据评估得出的网络安全风险等级提供不同价格的保单。这种方式能够将复杂的网络安全风险，切割为若干独立、确定的风险，使得网络安全风险成为可保风险。

在先保险合同的评估中，首先要根据类似ISO 17799等网络安全标准，进行对投保的信息网络系统进行问卷调查分析。［4］投保人必须将下列事项如实告知保险人:1)对网络系统的科技预算和安全投入;2)安全设施的情况;3)病毒防护;4)测试和安全程序;5)信息技术的外部共享;6)行业类别;7)要投保的网站;8)消费者或用户的情况;9)网页的数量;10)网页被访问的频次;11)年销售量和收入;12)常用的网络服务 (包括E－mail服务，页面浏览，电子商务，第三方服务托管等)。

进一步的告知事项还包括:信息的内容特征，网络活动的监控，网络安全的具体安排。

在投保过程中，投保人必须提交详细说明的文书，内容包括入侵检测结果，信息技术经理在内的高层管理人员简历，经审计的财务报表。保险人应当根据上述事项对投保的网络基础设施的安全进行物理和技术方面的评估。保险人有权对投保网络的使用人员、物理安全、事故应急、灾难恢复力等进行评估。技术方面的评估是指借助脆弱性扫描技术对网络外部的漏洞，网络监控，防火墙，网络系统的结构进行评估。

通过严格的评估制度，保险人能够更加准确的对网络安全风险进行界定，从而有效防范了逆向选择。

2．建立抑制道德危险的制度

道德危险是指网络安全保险的投保人往往怠于维护投保网络的安全或者在网络安全事故发生后不积极采取措施止损。建立有效的激励机制，即保险人在签发保单后，必须采取有效措施激励投保人加强安全预防。建立惩罚性机制，赋予投保人对网络的安全维护义务，未履行签发保单时制定的安全事项的，投保人将承担出险后保险人拒绝理赔的不利后果。

保险人应当根据风险类别和大小确定保险费率，同时对于善良管理网络安全的情形，保险人有责任在下一个阶段降低保费。在网络安全保险事故发生后，保险人应当履行下列义务:1)及时为被保险人提供专业的信息风险咨询，以减灾止损;2)提供刑事奖励基金，以奖励协助查明网络事故的信息提供者;3)及时向执法部门报告网络安全事故;4)为网络系统备份和恢复提供必要的援助。

另一个有效的制度是，保险人可以和被保险人达成协议，赋予保险人实时监控被保险人网络安全的权利和技术能力。［5］如果发现被保险人存在没有履行备份、善良安全保护义务、维护和升级网络安全设施，欺诈等行为，保险人可以拒绝支付保险赔偿金。

3．构建网络安全再保险政策

再保险是保险人为了防范自身在商业经营中可能的损失而设立的，再保险制度对发展网络安全保险意义重大，主要表现在:再保险加强了网络安全保险的能力，可靠性，为网络安全保险提供融资或巨灾保护。“9.11”事件发生后，再保险在共同抵御战争、恐怖主义、金融灾难、自然灾害方面的作用在全球都得到体现。在传统意义上，网络风险责任通常是保险人的除外责任，但是随着网络安全保险的出现，再保险制度的构建成为必要。再保险制度对保险人在险种的创新方面发挥着重要保障作用，再保险人会审慎审查网络保险合同的风险，经过这样的过程，保险人和再保险人将能够有效把握网络灾难性事故发生的可能性。表5－1简要描述了投保人 (个人或组织)、保险人、再保险人、政府之间的网络安全风险分散模型。

表5－1:网络安全保险与再保险对网络安全风险的分散模型

保险与再保险业均应当重视对信息安全产业的技术投入，努力收集和共享精算数据，以开发更好的网络安全保险产品。应当吸纳信息技术及安全产业的专业人员参与到网络安全保险当中。

建立健全再保险制度对加强网络安全保障，促进网络安全保险发展具有重要意义。尽管缺乏历史数据和精算数据的积累，但是，任何保险项目的发展成熟都要靠完善的保险法律制度和再保险制度，只要两者相互配合建立起高效率的风险评估模型，共同分散网络安全风险，推动保险市场发展，上述问题必将逐步得到解决。

4．制定政府参与再保险政策和规划

上文对美国的恐怖主义保险法案的成功例证进行了实证考察。可以提出的是，政府在一定时期内，应当对网络安全保险公司进行再保险。参照美国恐怖主义保险法案的办法，由政府在网络安全保险的发展的初期对网络保险公司提供再保险，能够缩减成本、降低网络安全保险产品的价格，同时促进网络保险市场的竞争。［6］通过法律明确网络恐怖主义保险的类型，由国家在特定阶段进行再保险，国家对网络恐怖主义风险进行再保险将能够消除保险人对关键信息系统因遭到攻击而大面积瘫痪带来的巨额损失。

政府对网络安全保险进行再保险的制度价值还在于强大的赔偿能力能够促进网络安全保险产品的发展和销售，因为通常大部分投保人投保时都希望保单有再保险的保障。

政府承担再保险的期限届满后，保险公司将建立起足以应对关键信息系统安全事故赔付的强大基金池，那时无论是关键信息系统保险还是普通网络安全保险，都将成为完全市场化运作的商业保险。

5．加快网络安全事故信息披露与网络安全标准的立法

首先，对网络安全事故信息披露制度进行立法。网络安全保险始终风雨相伴的一个重要原因是，网络安全风险的基础数据缺乏，基础数据或者历史数据来源于现实，现实中网络服务商通常出于商誉等顾虑不愿意主动进行信息披露。通过立法赋予网络服务提供者以网络安全事故信息披露的强制性义务不仅能够保护数据所有人的知情权，更将有利于信息安全产业和保险公司共同积累网络安全风险基础数据，保险人可以通过披露的事件进行风险评估，推出更科学、准确的保险项目。

其次，加快对网络安全标准的立法。网络安全风险评估需要依赖法定网络安全标准。正如美国著名的Choicepoint案的启示那样，网络安全标准不仅对信息安全业界是重要的，对网络安全保险业也十分重要。立法确定网络安全标准，能够使网络安全风险评估及等级确定有据可依，也可以用以认定投保人是否履行了善良管理网络安全的义务。法律确定的网络安全标准，是网络安全保险的法律坐标。出台网络安全标准的立法，一定会大大促进网络安全保险业的快速发展。

6．建立网络安全保险业和信息安全业的信息共享制度

美国和欧盟关于网络安全风险信息的法规均禁止非经授权地收集和利用网络安全漏洞等风险信息，这是出于安全考虑。但是，网络安全保险人如果不能得到网络风险的信息，将会带来信息不对称，使得保险人对投保网络的风险状况和互联网的整体风险缺乏把握，一方面保险人不敢贸然订立网络安全保险合同，另一方面订立保险合同时也可能产生投保人逆向选择现象。美国的信息披露法案已经对收集网络安全漏洞等风险信息进行了有限豁免。［7］网络安全保险人和再保险人是网络安全风险信息的最佳共享枢纽，因为出于最大诚信原则需要，被保险人必须履行及时向保险人报告网络攻击、漏洞等风险信息。

信息安全保障部门需要同网络安全保险公司共同加强信息共享。信息安全产业首先应当接受网络安全保险的理念，网络安全保险有利于网络型公司或高技术公司有效应对网络安全威胁。网络安全保险人收集安全信息的行为不仅不会对网络安全的带来威胁，而且会协助投保组织加强网络安全。

加强保险公司收集关于网络漏洞和攻击方面的信息，保险人和风险管理者能够更好地建立风险的评估模型，从而降低保险费率、使网络安全保险对企业或者个人更加具有吸引力，推进网络安全保险的应用。

7．建立防范保险金融风险和网络安全风险的网络安全保险监管法律制度

网络安全保险的监管不仅要防范保险金融风险，更需要注意防范网络安全风险。网络安全保险监管制度应当恰当处理两种风险。

网络安全脆弱性信息的保护制度是网络安全保险业监管制度的重要构成。网络安全保险人在订立保险合同之前和保险合同履行过程中都必须进行专业的风险评估，获得网络脆弱性信息，以资确定保险费率及保险范围等。这些信息同时对网络安全十分重要，出于安全考虑，网络系统的脆弱性信息一般不能任意传播。网络脆弱性信息被恶意泄露或买卖，将可能对网络安全带来严重威胁。［8］因此网络安全保险的监管必须保护网络脆弱性信息。

网络安全保险监管制度还须注意防范保险金融风险。网络安全保险的风险系数较高，在前期甚至需要再保险加政府注资才能有效防范保险金融风险。因此，必须严格监管网络安全保险资金及基金池的运行，保障保险业的赔付能力。

设立独立的网络安全保险监管机构。一方面网络安全保险监管部门对专业技术的依赖性强，另一方面网络安全保险监管部门搜集和存留大量的网络脆弱性信息，这些信息是监管保险金融风险的基础技术依据。网络安全保险监管机构承担着传统监管保险金融风险的职责，但是更要监管网络脆弱性信息的保护与利用。因此，应当将网络安全保险监管的机构从传统的保险监管机构独立出来，成立专门的网络安全保险监管部门，对网络安全保险业的资金、风险控制、经营状况及网络安全信息保护利用进行专门监管，以保障金融安全和信息安全。

四、展望

网络安全保险的时代已经到来。网络技术的发展应用变革了生产生活的方式，同时也带来了新的复杂的安全问题，催化了风险社会的到来。依靠技术显然不能完全弥补解决技术带来的危险，网络安全保障需要将技术与保险紧密结合起来，将降低网络安全风险和分散网络安全风险结合起来。网络安全保险是一个十分复杂的新兴保险项目，已经从当初的微不足道，迅速发展壮大，成为信息安全保障的重要工具。网络安全保险的法律问题涉及多个方面的交叉，由于网络安全保险的专业性，网络安全保险法律需要更多的例如网络安全事故信息披露制度和网络安全标准立法等操作性和技术依赖性强的制度，同时需要在传统保险法律制度之上确立专门的网络安全保险法律规范，以明确网络安全保险当事人的权利义务、保险责任，构建专门的网络安全保险监管制度。在政策层面上，还需要信息共享和政府再保险等扶持政策。美欧等率先探索网络安全保险的国家目前也未有形成网络安全保险法律制度的成熟体系，主要依靠保险合同、司法判例、其他法案的概括性规定为网络安全保险提供制度对策。

可见，传统的保险法律框架不能完全解决网络安全保险问题，网络安全保险法律制度发展完善的路线图绝不是对保险法律制度的调整，也不是专门的一部网络安全保险法的制定。网络安全保险法律政策应当采用综合协调、多方推进的方式，任重而道远。

［1］马民虎．互联网安全法［M］．西安:西安交通大学出版社，2003．

［2］Jay P．Kesan，Rupterto P．Majuca，and William J．Yurcik．Cyberinsurance as a Market－ based Solution to the Problem of Cybersecurity－a Case Study［J/OL］，［2010－3－2］，http://infosecon．net/workshop/pdf/42．pdf

［3］Bosco．The Economic Viability of Cyber Insurance:Seeking Financial Certainty in IT Security［R/OL］．［2009－7－2］．http://www．sift．com．au/assets/downloads/SIFT_Intelligence－Economic_Viability_of_Cyber_Insurance_v1．00．pdf

［4］Nikhil Shetty，Galina Schwartz．Competitive Cyber－ Insurance and Internet Security［J/OL］．［2010－3－20］，http://www． eecs． berkeley． edu/～ nikhils/PublishedPapers/SSFW－WEIS2009．pdf

［5］William Yurcik，David Doss．Cyber Insurance:A Market Solution to the Internet Security Market Failure［J/OL］．［2010 － 3 － 1］．http://www．cl．cam．ac．uk/～rja14/econws/53．pdf

［6］Sagalow．The Role of Cyber Insurance in Fighting the War on Terror［J］．Cutter IT Journal，2006，5:23 －27．

［7］Ruperto P．Majuca William Yurcik Jay P．Kesan．The E-volution of Cyberinsurance［R］．arXiv e－print，2006，1．

［8］Rainer B hme．A Comparison of Market Approaches to Software Vulnerability Disclosure［M］．Springer Berlin:Lecture Notes in Computer Science，2006，6．