海事网络安全风险保险的法律治理研究

2020-05-29 09:32
江西社会科学 2020年5期
关键词:海事网络安全法律

海事网络安全风险极为特殊的特征和影响对象带来了严重的社会安全隐患,其风险内容和特征亟需对现有的海上保险风险治理体制作出系统化的全面再审视。在统筹内外部治理规则的基础上,应当进一步明确海事网络安全风险在涉海保险中的概念体系和地位层级,优化我国保险合同对承保风险的具体约定及其解释规则,并以构建我国保险市场监管与风险的多元分散结构为基础,完善对海事网络安全风险的治理体系。

在全球网络进入“大安全”时代的背景下,网络安全①已经不再局限于网络本身的安全,它是社会安全、基础设施安全、城市安全、人身安全等广泛意义上的安全,也是国家安全的基础。“它强调了在危急关头为国家、组织、个人策划和实施网络空间安全的战略性和关键性本质。”[1](P15)越来越多的网络安全风险开始显现并带来严重的社会影响和重大的经济损失②。

传统的海上保险一直是保险法领域中的特殊部门,在网络安全与保险不断深化融合的时代,结合其他涉海领域的保险安排,实现对海事网络安全风险的合理分散和有效治理是一个巨大的现实挑战。与其他行业对待信息与网络安全风险的态度不尽相同的是,在海事领域网络安全风险并没有得到足够的重视[2](Piv-v,P1-3),至少在实践中对网络安全风险这种新兴风险进行单独保险,或者增加附加险条款并不是海事领域相关主体常见的做法。尽管近年来在实践中已经发生了多起针对海事行业的网络风险事件③;与经济学中的“比索问题”类似,ENISA认为“在整体上缺乏直接的经济诱因”是海事领域网络安全环境难以改善的原因。[3](P16)在数字经济加速发展,自主创新推进网络强国建设的指引下,全球的互联网治理需要越来越多的中国声音。海事网络安全作为网络安全和连接社会经济发展动脉的重要环节,在我国法律体系下如何认识和分散海事网络安全风险,并在此基础上推进国际网络安全治理体系的变革,加强“数字丝绸之路”合作,建构并完善法律治理体系是一个亟待解决的问题。

一、网络风险与海事网络风险的法律内涵

通常,对风险概念的界定直接影响着保险单或者保险条款中对承保范围的解释,但很难对网络风险下一个确切的定义。网络风险本身是一个集合性的概念,广义的网络风险指的是大量的、不同来源的、通过网络或信息技术影响个人、企业或社会有形的或无形的信息或财产的风险集合。“网络”(cyber)一词是“网络空间”(cyberspace)的缩写,来源于单词“控制论”(cybernetics),衍生自希腊语“领导、操纵”(kubernan)。[4]它通常被理解为一个交互式的领域,由所有的用于存储、修改和通信信息的数字网络和硬件组成,包括所有的用于商业、基础设施以及服务的信息与电子系统。[5](P3)网络信息是由网络产生或改变的、通过网络传输或者储存的电子数据。在保险法语境下,网络风险是由对网络本身或网络信息侵害其机密性、完整性、可用性[6][7](P974)或可追溯性[8](P14,P28)的行为或者事实带来的威胁④[9]、损害或者责任的可能性。⑤

结合已有的保险和金融实践,有学者从风险管理的角度提出,在“借鉴”Basel II[10](P144)和SolvencyII[11](P43)风险分类框架体系的基础上,针对个人或公司等私法法律主体,网络风险可以被认定为是一种“操作风险”(operational risk),⑥并经过进一步分析认为“操作性网络风险”(operational cyber risk)可以被识别并归纳为以下四种(成因):(1)人为因素;(2)系统和技术故障;(3)内部进程错误或失效;(4)外部事件。[12](P1)在上述风险框架体系中,“操作风险”通常包括国家风险⑦、法律与监管合规风险、模型风险、政治和主权风险以及估值风险。也有学者认为“信用风险”(reputational risk)也是“网络风险”的重要内容之一。[5](P3-4)

网络空间治理具有跨领域、多元性、高度复杂等特点;网络风险在针对不同的对象和不同的领域会有不同的具体表征,海事网络风险就是网络风险在海事相关领域的具体体现,对其主要保险法律特征可以做如下分析:

(一)受影响主体及法律关系的广泛性

行业信息化是海事领域重要的发展方向。我国的“网络强国战略”“中国制造2025”“互联网+”,都对行业智能化、信息化和网络化提出了较高要求。在物流运输和生产工具越来越自动化,并依赖以云技术、大数据技术和现代工业控制系统[13]为代表的信息数据系统的情况下,海事相关行业几乎全领域无一例外地暴露在日益凸显的网络风险之下。海事各个领域之间也随之构成了一个相对独立于其他社会子结构的网络风险次环境。海事行业内部行为习惯的相似特征,进一步导致了相似的具体网络风险容易在行业内部通过信息的交互与共享发生扩散,能够在较短的时间内给社会带来重大影响,即在一定行业范围内表现出了系统性特征。尽管尚未在海事领域带来行业性甚至社会性重大损失的案例,网络风险是一种“系统性风险”也已经成为保险业内的共识。[14][15](P29)这些影响往往是跨地域性的,而物联网和通信技术的发展正带来这些影响在海事领域加速传播和变化的可能性;同时如航运联盟、共舱协议之类的业务合作协议扩展了海事主体间局域网络互联的广度和深度;所有与网络相连接的个人或其他实体,以及领域内的服务、数据、网络、设备、设施等都是海事网络风险潜在的影响对象;其可能侵犯的权利和法益涵盖从生命安全、隐私权到一般财产权、知识产权甚至公共安全等非常广泛的领域;在资金密集型的海事行业内数种法律风险叠加,法律与技术问题和贸易政策“共振”,数据法律责任层出不穷。[16](P117-118)从海事行业内部划分的角度,最容易受到网络风险威胁的行业主要是海洋能源、海事交通运输和海事信息服务领域。[17][18]面对网络风险如此广泛的影响范围,能否在法律层面准确通过保险分散某些特定网络风险对特定主体带来的威胁将在很大程度上取决于双方在保险合同中对承保风险、损失与责任的约定。

除了传统的海事领域的活动主体外,与海事活动相关联的互联网中介组织以及一些对海事网络安全设备提供认证与监管的受认可的组织(RO)都有可能成为海事网络风险新的风险点。除故意行为之外,设备制造商、供应商、RO及其雇员的疏忽和过失也有可能成为海事网络风险所致损失的责任方。但在不同法域的实践中,对其规定不同的责任形式和具体的判断标准为通过保险分担其责任范围和具体的责任内容创造了极大的不确定性。互联网中介组织针对用户个人数据信息保护的责任日趋多样化。[19](P136-140)部分地区的立法和判例已经确定了对其履行网络中介行为时合同责任的限制[20](P58-62)和免责事项的规则⑧,但整体上仍然非常分散,有限的立法集中于知识产权保护领域,涉及互联网中介组织的一般财产权侵权和合同责任的内容较少。

(二)风险损失成因的复杂性

海事网络风险的特殊性从成因看主要表现在两个方面:首先,网络作为一种新的媒介形式为传统风险的传播提供了新的途径和方法,如海盗利用网络漏洞或GPS引导船舶驶入危险区域并实施劫持[21](P106-107);其次,网络本身也带来了新的损失和风险类型,作为单独原因或者多个原因中的一个或者数个导致保险事故。前两个方面的特殊性还可能进一步结合,如将传统机械系统置于计算机或算法的控制之下,网络与物理系统发展的不同步与其在设计制造领域的割裂共同为某些事故的发生带来了可能。“在传统的物理世界中,安全计划通常基于某种假设,即事故发生的可能性是偶然的。如果两个关联因素在情况变得危险之前失效,发生灾难性事故的可能性就会进一步降低……但恶意软件的设计目的是让所有相关因素一次性失败。”[22]

结合前述论文对“操作性网络风险”成因的识别,有必要从是否存在故意行为的角度,结合已有的可保风险和责任的分类,将海事网络风险损失产生的原因区分为非故意事件和故意行为两种[23](P52-60),故意行为仍是最主要的原因。具体分类参见表1。

从海事网络风险损失成因的发展趋势看,船用系统的自动化与系统集成程度增加进一步扩大了该风险的影响范围,可供联网的双向或单向数据传输的信息系统或者操作控制系统(IT and OT system)都成为重要的风险侵害对象⑨[24](P16-21);一些船舶开始提供以Wi-Fi为代表的局域网络接入服务以及电子娱乐系统、射频识别设备、船基与岸基的设备与系统之间缺乏必要安全区隔的现状等都增加了船舶设备面临网络风险的可能。网络攻击由单纯的网络侵入转变为通过社交工程学、暴力算法破解和技术入侵等,针对数据与系统的拦截、伪造、修改和破坏的多种手段并用[25](P4);黑客在针对特定目标攻击时形成了“前期侦查—确定目标—侵入网络或系统—获取目标信息/进行攻击”的范式。另外,网络本身越发普遍的社会工具属性也导致其可能成为其他风险的行为手段,如恐怖主义或国家行为等,这在更深的层面上扩展了海事网络风险所致损失原因的复杂性。

表1 海事网络风险损失的一般成因

(三)损失与责任的多样性

在尚不讨论其在不同法域的法律、商业和监管环境中合法性与可保利益是否存在的前提下,海事网络风险可能带来的具体损失和责任非常繁杂。网络风险的跨领域特性使得其有可能将原来并不关联的数种传统风险连接并形成新的风险类型或者风险链条,通过特定地理区域划分风险类型的一般标准得到重塑,它对海事全行业全过程的渗透性从客观上导致了一个统一的、对海事网络风险相对集中分担的保险机制无法实现,在此基础上相应的保险法律治理结构也无法实现。但网络风险与传统海上风险的结合过程又不可逆,网络风险在一定程度上的聚合性导致了传统海上风险的内容的泛化和异化。如海上风险在与网络风险结合之后,就需要根据航行与网络风险的结合程度和内容去讨论其所面临的风险是否具有“外来性”特征的风险;当船舶导航系统被入侵后可能带来船舶本身适航性[26]或航程合法性问题存疑;当网络风险与海盗行为结合时,对网络赎金的支付行为是否符合与传统海盗风险下赎金支付具有法律上的相当性⑩[27](P25-26)[28](P96-97),以及赎金支付是否符合被保险人试图减小损失的合理支出,并请求保险人通过施救费用承担赔偿责任也同样存疑。虽然在业界已经有互保协会开始在绑架与赎金险的基础上增加了对网络勒索费用的扩展承保[29],但相应条款的范围和解释仍有待具体案例的明确。

另一方面,网络风险保险中存在极为繁复的因果关系网。首先,网络风险能够直接或者间接导致损失与责任产生,当存在复合原因或介入原因的情况下可能会导致重叠和耦合的关系链条,这对保险因果关系理论带来了新的挑战;保险人对此直接的应对将会是在保险合同中拟定更为苛刻和限定性的承保条件,或者对承保条款的表述采用偏技术性的措辞。其次,损失的多样化还体现在时空过程上。一些网络风险从“接触”到“爆发”,再到当事人意识到或者发现损失发生,往往存在着未知的时间间隔;网络风险事故发生的地点不明确,“保险事故”以及损失发生的时间和内容难以确定。这不仅为确定因果关系在时间上的发展阶段带来阻碍,使得发生保险事故后被保险人“及时”履行通知义务的时间不确定,同时也会带来保险人之间有关保险责任期间的争议。第三,对网络风险识别与确定所需要的技术性认知可能会影响网络风险保险因果关系的判定标准。它会导致通过一般常识判断难以识别网络风险事故中的原因、效果及其联系,为从事实因果关系向法律因果关系转化的理论带来挑战;在对网络风险缺乏明确认识且合同措辞不甚明确的情况下,它会进一步影响合同条款解释规则并带来争议,保险合同双方在合同中所达成的合意承保何种网络风险及其损失将会是一个存在争议的问题。第四,由于网络安全带来的技术性特征,尤其是在某些特殊环境下(主要是人工智能领域)侵权法的归责原则和责任主体领域仍存在着巨大的不确定性。11

二、海事网络风险外部治理的法律框架与影响

结合上述对于海事网络风险的含义和特征分析,其治理将贯穿国际法与国内法、公法与私法等数个层面。基于网络空间的特殊性和融合性,法律法规和标准规范积极引导新技术的应用并解决其安全困境有赖于内外部治理的协同配合,现阶段的外部治理框架由国际法律和行业规则两个层次构成。

(一)海事网络安全的国际规则与法律

在国际规则的层面,2018年的《网络空间信任和安全巴黎倡议》在面对不明确的网络安全风险时赋予国际规则和习惯法适用的空间,该倡议认为2001年布达佩斯《网络犯罪公约》是应对网络犯罪的“关键文件”,强调“认识到私营行业的重要参与者在增进网络空间信任、安全和稳定方面的责任,鼓励其提出旨在增强数字流程、产品和服务安全性的提议”。这实际上为海事与保险行业主体主动参与网络风险的多元治理提供了积极的政策信号。

在针对具体的海事网络安全问题上,IMO海上安全委员会于2017年6月16日通过了《“安全管理系统中的海事网络风险管理”决议》[30](P121)并颁布了《海事网络风险管理指南》联合通函,从风险管理的角度给出了防范海事计算机网络攻击的原则和要求;在参考成员国和船旗国政府规定的同时,应当遵循国际和业界的标准与最佳实践做法。但该通函并未明确如何评估海事网络风险的问题,也未能提出一个具有规范性意义的(prescriptive)、“目标导向性”的海事网络安全要求,或者列明具体的海事网络事故的管理要求。

在国家或地区的规则层面,美国加州2002年出现第一部有关网络信息安全保障的法律12,之后有关网络风险法律规制缺失的情况开始得到关注。随后,其他国家和地区的有关网络安全保护的立法开始逐渐出现,如美国2002年《联邦数据安全管理法》等。为了应对相应的海事网络风险,美国除公布了《确保运输部门控制系统安全的路线图》[31]《关于增强关键基础设施网络安全的行政命令》《关于关键基础设施的安全与恢复力的总统政策指令》 等重要文件之外,海岸警卫队(UCCG)也出台了一系列的文件,包括《USCG网络安全战略》《海上散装液体运输网络安全框架文件草案》《旅客运输业务网络安全框架文件草案》《受〈海上安全法案〉(MTSA)监管的设施应对网络风险的指导方针》《关于“网络安全事件报告制度”的政策文件》13等。在欧盟范围内,除了欧盟《一般数据保护条例》(GDPR)可以适用于船只之外,欧盟《“关于提高网络和信息系统的共同安全水平的措施”的指令》已于2016年7月对与海事相关的能源、港口、交通服务主体生效并适用14。欧盟成员国也有具体的相应规则、政策和建议,如:法国《船上网络安全的最佳实践》《关于海事网络安全的建议》,德国2015年《网络安全法》(不适用于船舶),荷兰2016年《数据处理和网络安全通知义务法案》,英国1990年《计算机滥用法案》《关于港口与港口系统网络安全的操作规程》《关于船舶网络安全的操作规程》,等等。

整体上,这些法案针对有关海事网络风险的规定仍较为宽泛,缺乏强制性,且规则集中于船舶和港口这两个现阶段最容易受到网络风险危及的海事领域。对于其他的海事网络风险,法律仍处于未规定或规定不明的状态。对海事网络风险的特征和内涵仍没有明确的界定或定义表达,关于海事网络风险对传统保险法理论的影响仍缺少系统性的研究。

(二)标准与行业规则

从航运业角度,相应的行业标准除了来自一些国际和国家标准化组织的文件之外15,主要是IMO《海事网络风险管理指南》和波罗的海航运工会(BIMCO)等海运组织共同制定2018年发布的《船上网络安全指南(第三版)》。

另外,海事行业的个别部门已经通过建立自己的政策和程序开始应对网络风险问题。如,石油公司海事论坛的“油轮管理与自我评估计划”第三版新增加了海事安全章节,规定了有关船上和办公室网络安全审核要求。再如Rightship检验、BIMCO发布的适用于租船合同的“2019年网络安全条款”也都提出网络安全措施的要求。这些开放性的标准与行业规范均得到了海事领域的适用,一定程度上为海事网络风险的管理提供了指引,明确了当事人防范与应对海事网络安全风险时的责任内容和划分。但其不足之处是:首先,“何种安全”以及“何种程度上的安全标准”符合网络安全的定义缺乏统一的标准尺度。以安全与环境立法方面作为类比,针对“安全”,英国法采用的是所谓“尽可能的低”标准或者类似的“在合理可行的范围内”标准。相比于其他国家则采取的“绝对安全”标准,前述两者的核心在于所谓“合理可行”。[32](P712)而在网络安全领域,类似对安全的界定尚未形成共识,所谓“最佳实践”的标准仅可为部分的行业实践提供参照,并没有法律方面的依据和强制力。其次,从行业整体的角度出发,以上的标准和规则缺乏综合性,对海事网络安全缺乏整体性、统领性的界定;这些标准在实质内容上难以影响现阶段涉海领域的财产与责任保险中有关保险人和被保险人的义务。通过合同路径将网络风险实现由现实风险向法律风险的转化仍有赖于个案的判断。

三、海事网络风险保险——保险治理的现状与问题

保险合同的条款,尤其是格式条款中对于网络风险的承保约定,直观地反映了保险市场对于网络风险认识的变化过程。尽管极其复杂的成因和多样化的损失已经使得海事网络风险有了足够的“不容忽视”的特殊性和潜在影响,但在实践中,海事相关领域的保险市场上并没有专门针对网络风险的相应保单格式,承保与理赔数据的缺乏导致保险人/再保险人难以构建或者模拟重大损失事件的风险模型。在海上保险中,网络风险经常作为除外风险被排除,由网络风险带来的损失作为保险的除外责任;即便通过商业险“签回”条款或者单独保险产品的方式获得了承保,其保险条件也会相当苛刻;在特殊情况下,个人或者实体为政治、社会或宗教的动机发动的网络攻击可能被视为战争风险或恐怖主义风险,分别可能由相应的特殊保险予以承保,但网络风险能否作为原因或介入因素被承认仍有待明确;由网络风险带来人身伤亡责任的法律影响也并未得到进一步分析。

(一)格式条款中的风险排除

当前我国保险市场中仍然缺乏针对海事网络风险定制条款。现有的在“列明风险”条件下通过“填补承保漏洞”的形式使得海事网络安全风险作为新型风险一般很难在传统保单中得到直接的明示承保。在保险条款大多依赖翻译英文条款的现实情况下,中文语境下相关条款中对“网络”“数据信息”等重要词语缺乏解释,网络风险的范围非常模糊,对条款采取体系解释和文意解释带来的对网络风险重复保险和漏保的可能性显著增加[33],保险人面临的逆利益解释的风险也成倍增加。

对海事网络风险缺乏认识,有关网络安全的法律和行业标准以及责任承担格式条款的缺失共同带来两个问题。首先,风险带来损失与责任的承担和分担法律规则不明确,单纯的市场选择将会带来法律和合规上的不确定性。无论是法律还是市场都无法提供足够详细的规则和量化标准,综合保单中投保方案和保险单的措辞对风险的表述与理解的不一致将导致对特征风险是否承保产生争议,或者无法获得保险赔付风险。其次,缺乏确定具体海事网络风险与损失、法律责任之间的因果关系及其标准。这两者的明确正是有关海事网络风险保险法律问题得到解决的前提。当前的涉海保险法律环境下,一旦保险人选择承保,通过合同确定适当的承保网络风险就是最核心的问题,而恰恰中文语境下的保险合同及条款的措辞缺乏对网络风险承保的准确而清晰的表述。这里必须强调的是在与海事网络风险有关的保险合同中用词的重要性,包括具体的用词的选择,词语和句式之间的逻辑关系以及词语本身的含义和范围。这都会影响合同订立与争议发生时对合同内容的解释。由于并没有明确的成文法律规定或者判例对实践中的合同条款和市场规则做出明确解读,当前的解决途径可能更需要依赖于更清晰的合同措辞和有效的合同解释。

(二)商业保险之外的充足保障

海上保险中除了战争行为和恐怖主义行为中的网络风险之外,其他类型的海事网络风险都可能会被互保协会“生化风险与电脑病毒条款”承保。国际船东保赔协会集团(IG)中的互保协会也为仅为减少赔偿责任或者风险的行为带来船员的人身伤亡的损害和赔偿,或者仅为减少由生化与电脑病毒风险带来的其他保赔责任法律费用及支出,提供了每船最多3000万美元的特别赔偿(special pooling facility)。符合上述标准并由网络风险带来的责任将可能通过此种方式获得补偿,当然前提是标的船舶由船东互保协会承保。同样,自保公司在其承保能力范围内也可以其承保对象的海事网络风险进行综合评估之后提供承保。但这两种风险分担的方式在我国的发展仍相当不成熟,导致其市场作用受限。

另外,除了商业保险承保的对于以网络数据和资金为代表的无形资产的损失之外,网络恐怖主义风险带来的物质损失和营业中断损失还可以通过诸如参加美国的“恐怖主义风险保险计划”和英国的Pool Re获得补偿。这种由政府主导或政府与市场合作建立的政策型保险机制为有效分担一部分的海事网络风险提供了便捷的途径,弥补了可能的市场承保真空。遗憾的是现阶段我国的保险市场并未有类似的实践。尽管相应的网络风险可能在我国的出口信用保险、海外投资保险制度和双边/多边贸易投资协定中略有涉及,但针对网络风险,尤其是海事网络风险的全部或者部分建立专门保险机构或者由统一的机构(如保险交易所)统筹运营,不仅能够将该风险的承保有效地与国际保险和再保市场对接,也将同时达到提供完善市场承保、政策支持和统一监管的“三位一体”的针对海事网络风险的保险治理和保险服务。从长效机制上,此种专门机构的设立也将逐渐明确我国保险法理论中针对特殊风险适用不同风险转移方式的程序和界限,为丰富保险要素以及多样化保险工具的创新提供法律理论和实践的支持。

四、我国对海事网络风险法律治理的完善

尽管在当前以区块链为代表的新兴网络技术为提升安全、防范风险、弥合信任创造了新的可能性,但网络安全技术无法取代网络风险保险,市场的自我治理与保险法律的治理相辅相成。从保险市场的角度,海事网络风险都应当得到各市场完整而系统的承保覆盖,这有赖于保险人/再保险人之间的共同合作,为市场提供良好而具备竞争力的承保条件。从涉海行业和企业的角度,深化对海事网络风险的认识程度,根据对自身的财务和运营连续性的潜在影响量化风险,综合利用风险管理工具分散风险,增强财务韧性以尽可能减少海事网络风险的影响。

我国已经对危害计算机信息网络安全、网络收集个人信息和用户隐私保护等方面形成了较为完善的法律和规则标准体系。16参照《智能航运发展指导意见》和《智能船舶发展行动计划(2019-2021年)》17,应当进一步提升航运服务、安全、环保水平与经济性,提升网络和信息安全防护能力,防范智能航运安全风险;以法规、标准、规范制定为重点,加强智能航运法规标准与监管机制建设,加快构建智能航运治理体系。针对本文主要讨论的海事网络安全保险领域,一般民商事法律特别是保险法和海事法领域仍有较大的完善空间。

(一)明确“海事网络安全”概念

海事网络风险其概念和内涵的不断扩张发展,对于传统的保险法和海上保险法领域有关保险标的、保险利益等基本概念都有着直接的影响。涉海财产与责任保险的保险标的的范围将不断得到扩展创新,“无形财产或损失”的内容和范围需要进一步明确;与海事网络风险有关的人身保险内容会逐渐增加;海事网络风险的集聚性和广泛联结性特征使得《保险法》规定的“法律上承认的利益”变得更为空泛,在财产保险中保险利益的判断标准应当进一步结合具体的网络风险得到明确;对保险利益与险种承保风险内容的一致性和海事网络风险的合法性要求进一步加深。在行业标准无法解决统一“海事网络安全”概念的情况下,通过法律明确具体的“安全”的概念和界分标准是一种可行的选择,至少在保险法层面上为保险合同当事人提供明确的指引。

(二)协调网络风险保险法律适用

对于跨领域的海事网络风险而言,其究竟应当被认定为是由《海商法》第十二章调整的“海上风险”还是由《保险法》调整的一般风险,有待法律和司法实践的明确。海事网络风险成因的复杂性也影响了告知义务及其标准的问题。在现代保险服务行业和大数据网络信息的支持下,网络风险与海事风险的结合虽然不至于使得对海事网络风险承保时的信息不对称状态回归至现代海上保险的初始形态,但也足够导致保险人与被保险人之间因不同的风险认知产生争议。一个是风险内容的不确定,一个是传统法律规则对新生保险风险和规则适用的不确定。在双重不确定因素下如何明确被保险人对风险的告知义务将是对保险法律的一个重要挑战。另外,诸如在海事网络风险事故发生后如何确认保险标的危险程度“显著增加”,进而影响被保险人的通知义务及未履行的责任等问题都尚待明确。《海商法》的修订与《保险法》后续的司法解释,有必要进一步研究海事网络风险为保险法理论带来的系统性问题,并应当在更新与扩展新的法律概念以适应网络风险[34](P309)的同时,尽可能地为调整网络风险带来的法律问题预留解释的空间,逐渐推动海上保险法律和实践中的传统风险结构和保险合同当事人对风险认知的转型。同时,互保协会作为重要的利益相关方对分散海事网络风险上的作用已经得到业内的广泛认可,明确其在我国民商法和《保险法》中的法律地位将有助于全面完善海事网络风险的综合治理结构。[35](P110-111)

(三)完善保险监管面向

首先是对中介机构的监管。定制化的海事网络风险保险产品并不单纯由保险人或者经纪人做出,在保险合同订立与履行过程中,专门的网络风险评估中介机构或者网络安全服务提供商利用其专业技能向保险人提供与特定被保险人或保险标的有关的、具有操作性的风险或事故分析报告,同时也可以为目标客户(被保险人)提供网络风险分析以提升产品品质或商业运营的稳定性。考虑到海事网络风险的技术性和可能带来的巨大责任,针对此种风险评估机构在网络风险保险合同中的重要作用,其法律地位是否应该得到保险监管机构的监管,以及可能由其承担的责任都是需要由监管机构回答的新问题。其次是对保险条款的监管。一方面,复杂的网络风险内容要求对中文的保险条款进行更细致的分类或者解释,在“部分保险产品高度同质化、费率不合理与民众日益丰富与多元化的保险需求难以满足之间的矛盾”[36](P111)日益明显的同时,细化《财产保险公司保险产品开发指引》中有关保险条款释义的规则18,在考查国内外保险/再保险市场连结的基础上强化中英文保险条款的关联程度,以增强条款审批备案制下网络风险市场的稳定性;另一方面,网络风险保险条款存在着大量的保险创新内容,独立的海事网络保险单和保险条款作为保险产品是保险人的智力成果的体现,在加大法律保护力度的同时,应适当考虑引入市场化的知识产权保护和激励机制的可能性。[37](P97)在当前一般网络安全法律有可能提升合规成本和影响技术创新与应用的背景下,通过保险法律和保险安排为海事行业提供发展的网络安全保障。

五、结论

海事网络风险正日益加深其社会影响的广泛性和普遍性。现阶段对海事网络风险划分和再认识的意义并不在于将其定性,而在于从法律上明确其性质和合理的解释范围,从而实现有效分散和化解未知风险。在当前已经形成了对海事网络风险治理的国际规则的框架下,从保险法律层面加深对其风险内涵和特征的认识,并向海事领域的利益相关方普及海事网络风险安全意识。通过分析现有法律环境下网络风险与海事风险和其他风险具体结合的表现形式,完善保险法律规则;通过重构与海事网络风险有关的“海上风险”结构,完善保险条款的内容和解释规则,实现对海事网络风险的系统性分散,减少商业保险承保的遗漏和重复;同时通过多元化的保险分担机制,实现对海事网络风险的综合保险治理。

注释:

①在某些语境下,网络风险可能是网络安全风险的上位概念,根据不同的对象,其他的网络风险还包括网络犯罪风险、网络交易风险、网络监管风险、网络金融风险等。在本文所探讨的保险法律范围内,将网络风险与网络安全风险、海事网络风险与海事网络安全风险作为同义词处理。

②全球防御网络犯罪的成本约为年均6000亿美元,占全球总GDP的0.8%。而且此数字还在因为网络攻击者不断适应更为复杂的网络防御机制而逐年增加。

③如2017年针对马士基公司的计算机系统瘫痪、2013年安特卫普港口货物跟踪系统入侵、2011年伊朗航运遭受网络攻击、类似WannaCry和NotPetya的勒索病毒、针对工业控制系统的TRITON恶意软件和针对工业终端的Lucky病毒横行等。

④指一个事件潜在的原因。

⑤它既可以泛指全部或者几种网络风险的集合(可以称其为风险束,bundle of risks),也可以指代某一种特定类型的网络风险。

⑥中国风险导向的偿付能力体系(C-ROSS)中也有类似的规定和定义。见原中国保险监督管理委员会《保险公司偿付能力监管规则第10号:风险综合评级(分类监管)》。

⑦包括但不限于汇率风险、经济风险、管辖权风险和外汇转移风险。

⑧如17 U.S.Code §512.Limitations on liability relating to material online; Article 5,Directive 2001/29/EC of the European Parliament and of the Council of 22 May 2001 on the harmonisation of certain aspects of copyright and related rights in the information society,OJ L 167,22 June 2001,pp.16-17; 47 U.S.Code §230.Protection for private blocking and screening of offensive material;Article 12-14,Directive 2000/31/EC on electronic commerce,OJ L 178,pp.12-13; Part VI Liability of network service providers,Article 26,Singapore Electronic Transactions Act 2010 (Cap.88),revised edition 2011。

⑨包括但不限于船舶主控网络中位于船桥与机舱的电脑和工作站、货物/集装箱的温控系统和追踪系统、货物的装卸和管理系统、船舶智能决策支持系统、船壳信息监控系统、导航系统(包括ECDIS、AIS/LRIT、Radar/ARPA、GNSS/GPS/Compass、GMDSS、VDR、DP等)、货物积载、管理和监控系统(PMS、IMS)、智能集装箱系统、通信和安全系统(包括VSAT、VoIP、Stream video、CCTV等)、门禁系统、旅客服务和管理系统、船员行政和福利系统、其他特殊系统等。

⑩在Masefield AG v.Amlin Corporate Member Ltd.案([2010] 1 Lloyd’s Rep 509,521)中,英国高等法院和上诉法院两审均认定向海盗支付赎金既不是非法的行为,也不违反公共政策。同时一审判决指明法院在判断“同一领域”的问题时会相当谨慎,除非有明确或者紧迫的理由,否则法院将不会把支付赎金的行为认定为违反公共政策。

11欧盟2019《可信赖人工智能道德准则》中除了对“可信赖人工智能”做出了相应定义之外,在对于AI “技术坚固性和安全性” 测试的内容中也涉及有关人工智能环境下网络安全的评估内容。但这一准则并非法律规则,在人工智能环境下仍无法为侵权责任,尤其是共同侵权情形下的责任判断和归属提供明确的指引,进而导致关涉相应责任与损失的保险法律规则不明。

12见Senate Bill No.1386,Personal information:privacy,2002。

13相应文件见Executive Order 13636:Improving Critical Infrastructure Cybersecurity.February 12,2013.Federal Register Vol.78,No.33,February 19,2013,Presidential Documents;以及Presidential Policy Directive 21 (PPD-21):Critical Infrastructure Security and Resilience.February 12,2013;以及CG-5P Policy Letter No.08-16.14/12/2016。

14规定在第4-4条和附件2中,第5条则进一步提供了三个判断标准:(a)该实体提供维持关键的社会和/或经济活动所必需的服务;(b)这种服务的提供有赖于网络和信息系统;(c)安全事件将对提供该服务产生重大的破坏性的影响。见Directive (EU) 2016/1148。

15现阶段,具有广泛行业影响的有关网络安全的国际标准主要来自国际标准化组织(ISO)和国际电工委员会(IEC),包括“信息技术、安全技术、信息安全管理系统标准”(ISO/IEC 27001)、“信息安全标准”(ISO/IEC 27002)和“网络安全标准”(IEC 62443)。其他的还包括国际自动化协会(ISA)的“有关实现电子安全工业自动化和控制系统的标准”(ANSI/ISA 62443)等。美国标准技术协会也出台了“网络安全框架”(NIST Cybersecurity Framework)以管理与网络安全有关的风险。

16除了《网络安全法》对关键信息基础设施的运行安全和网络信息安全做了大量原则性的规定之外,结合《侵权责任法》第36条有关网络侵权责任的规定、《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》、2011年修订的《互联网信息服务管理办法》《计算机信息系统安全保护条例》和《计算机信息网络国际联网安全保护管理办法》,以及2018年5月1日实施的《信息安全技术个人信息安全规范》和《数据安全管理办法(征求意见稿)》等法律法规共同构成了我国信息安全法律治理体系。

17见交海发〔2019〕66号,交通运输部、中央网信办、国家发展改革委、教育部、科技部、工业和信息化部、财政部共同发布,2019年5月16日;以及工信部联装〔2018〕288号,2018年12月29日。

18见《中国保监会关于印发〈财产保险公司保险产品开发指引〉 的通知》 第25条。保监发〔2016〕115号。

猜你喜欢
海事网络安全法律
信息精要与海事扫描
信息精要与海事扫描
法律解释与自然法
信息精要与海事扫描
信息精要与海事扫描
网络安全
上网时如何注意网络安全?
网络安全监测数据分析——2015年11月
让人死亡的法律
“互助献血”质疑声背后的法律困惑