数字经济时代网络安全保险创新发展研究

○唐金成 莫赐聪

广西大学经济学院 广西南宁 530004

2021年是中国数字化浪潮全面赋能经济发展的关键一年，如何稳步推进数字化进程，使其成为经济增长的新引擎备受各界关注。数字经济是指以数据资料为核心生产要素，通过现代信息网络和信息通信技术，持续提升生产运营效率的新型经济活动。我国数字经济2020年占国内生产总值的比例已达到38.6%，预计在2030年将达到经济总量的50%。数字经济发展带来了诸多机遇，也催生了更复杂隐蔽的网络安全风险。高频次数字互动及相互渗透融合的数字活动，对我国网络安全提出了高要求。习近平总书记指出，网络安全和信息化相辅相成，安全是发展的前提。2019年9月，中国工信部发布了《关于促进网络安全产业发展的指导意见》，鼓励所有相关方努力探索开展网络安全保险服务。在国家“十四五”规划中，明确提出了加快数字化发展，建设数字中国的战略，并分别就数字经济、数字社会、数字政府、数字生态、网络安全风险问题做了重要论述。中国如何实现从当前的“网络大国”到“网络强国”的转变，首先要解决好网络安全风险这一突出问题。

一、网络安全风险和网络安全保险发展现状分析

（一）网络安全风险分析

关于现代网络风险，本文认为可以定义为，运用信息通信技术生产过程中个体所面临的危及数据和服务机密性、可用性和完整性的任何风险。随着数字化进程的加深，高频次的数字互动催生了新型网络安全风险（Xie等，2020）。因其隐蔽性、技术性以及高度破坏性的特点，使得管理数字经济时代的网络风险势在必行（Biener C等，2015）。据国际网络安全风险投资公司数据显示，2020年网络风险估计给全球带来6万亿美元损失①数据来源：Cybercrime To Cost The World$10.5 Trillion Annually By 2025(cybersecurityventures.com)。，并且这一数字将不断以指数级的趋势增长。数字经济的飞速发展，对网络安全提出了更高要求。习近平总书记早在2014年就明确指出，网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题。企业通过数字化转型快速发展的同时，也要管控好网络安全风险。在数字经济时代，企业必须弥合网络风险敞口，增强数字经济的韧性，做到数字化转型和网络安全风险管理齐头并进。

1.营业中断风险是现代网络的共性风险。企业营业中断主要包括关闭操作系统、重新格式化计算机和服务器，以及从备份设备恢复关键数据，营业中断风险给企业带来了极大经济损失。以全球航运巨头马士基集团为例，其年报中显示，由于网络攻击造成的业务中断导致盈利损失达2.5亿至3亿美元。业务中断会波及企业数字技术驱动的一体化供应链，阻碍经济要素流通，并产生一系列间接的经济损失。因此，企业投保人对网络安全保险的更多期待是，探索网络安全风险下业务中断风险的承保方案。工商业保险和风险管理人协会Airmic的调查显示，大部分企业投保人希望网络安全保险能够提供最为优先的保险解决方案是提供业务中断的补偿②数据来源：Cyber threats:Living with disruption(2021 survey themed report)|Airmic。。根据安联保险集团的年度报告，网络风险事件后导致经济损失的原因有，业务中断对供应链的影响、声誉损失、数据泄露后的责任索赔以及数据恢复费用。特别是业务中断对供应链的影响，也是导致经济损失的主因。

2.数据泄露是现代网络的核心风险。数字技术是一把双刃剑，受其影响的网络攻击愈加难以预防。对处于数字互动中的民众而言，由于物联网技术缺乏数据安全防护，窃取数据的网络犯罪不断增长；而基于人工智能技术的网络犯罪扩大了攻击范围，也增加了网络安全的管控难度。根据IBM的《2021数据泄露成本报告》，一个企业数据泄露的全球平均总成本为424万美元，每份丢失或被盗记录的平均成本为150.8美元。对企业而言，远程工作比重正在迅速上升，且受勒索软件攻击的增加，导致信息技术漏洞在不断增加。自2015年起，因电子网络邮件犯罪而被盗窃的资金已超过了50亿美元。在企业经营数字化转型背景下，电子邮件逐渐成为线上办公的主要方式，而电子邮件网络钓鱼成了窃取数据的重要攻击手段。美国FBI的研究报告称，全球共有22000家企业成为电子邮件泄露数据的犯罪目标，面临数据泄露、丢失风险。大型网络安全公司Coveware的数据显示，网络勒索软件已经成为最广泛的攻击形式。截至2021年第三季度，数据勒索赎金支付额的中位数已经增至71674美元，增幅达52.5%，而由于缺乏足够的备份数据能力或财务资源，中小企业在受到勒索软件攻击后很难实现全面恢复③数据来源：Ransomware attackers down shift to'Mid-Game'hunting in Q3(coveware.com)。。

3.现代网络安全保障的投资不足。在数字经济发展及网络风险突出的环境下，企业应将其风险认知扩展到数据资料层面，并为其寻求风险解决方案。然而，现代企业对于网络风险存在长期保险不足问题。许多企业难以掌握其所面临的风险敞口程度，且随着数字化程度的不断加深，更加难以衡量数据丢失以及业务中断后导致经济损失的长尾效应。相对无形的网络损失而言，企业更愿意对可测估值的有形物质损失购买相关保险。因此，企业在资金配置方面倾向于有形资产风险的保险解决方案，而网络风险则通过提升数字技术，谋求在预防端进行风险管控。根据慕尼黑再保险公司的资料显示（如图1），企业在网络安全技术层面投资增长迅速，远远超过网络安全保险的支出。这表明，当前的企业更注重前端的技术缓解，对网络风险管理全面规划以及事后响应机制的投资，仍存在较大的不足。

（二）全球网络安全保险市场发展现状

网络安全保险属于新型互联网保险，是指以第一方损失如营业中断损失、网络系统攻击损失、网络欺诈损失等，以及第三方责任如数据泄露责任、网络安全索赔责任等为保险责任的保险。数字经济全面提升了企业运行效率，但企业也同时受到网络安全风险的威胁。近年来，全球网络安全保险市场规模稳步上升，保费逐年提高，保障领域进一步扩大，同时也强调与各种险种相结合提供新型风险保障。全球网络安全保险市场发展呈现如下特点：

1.网络安全保险业务蓬勃发展，投保率不断提高。数字经济时代，全球各企业在加快数字化转型的同时，更加关注网络安全保险。从业务发展水平来看，在2016～2020年间，全球网络安全保险保费的年增长率维持在25%左右，业务量增长了124.62%，保持了迅速上升的态势（见图2）。重点考察美国的网络安全保险市场，发现2020年美国财险行业网络安全保险业务的直接承保保费增长了22%，达到27.4亿美元；已结案的索赔平均已付损失为35.8万美元，增幅达到了惊人的146.9%。

从企业投保率方面来看，针对数字经济时代日趋复杂的网络安全风险，越来越多的企业组织开始转变风险认知。据Marsh保险经纪公司调查显示，有将近50%的企业已经购买了网络安全保险。其中，年收入超过10亿美元的大型公司中，有57%已经投保网络安全保险，而年收入低于1亿美元的公司中，有36%的企业投保了网络安全保险④数据来源：2019年全球网络风险透视调查报告（marsh.com）。。

2.网络安全保险市场集中度较高，创新型公司异军突起。总体而言，受网络攻击愈加频繁的影响，网络安全保险市场的竞争日渐加剧，但仍相当集中。从国家分布来看，美国占据全球网络安全保险62%的市场份额，英国和欧盟分别占据16%和14%，其他国家则占市场的8%。美国是全球第一数字经济体，其数字经济规模在2019年就达到了13.1万亿美元，是中国同期的两倍多。美国网络安全市场受益于其数字经济规模，能更早积累精算经验数据并优化其风险承保模型，因此越来越多的非寿险公司瞄准了这一新兴市场。从全球的保险经营公司来看，全球网络安全保险市场主要由国际、丘博和信利等几家大型保险集团主导，占据网络保险市场40%的份额。以典型的美国网络安全保险市场为例，排名前十的保险公司占据了68%的市场份额，相较于美国责任险的56%以及商业险的46%，美国网络安全保险市场集中度仍然相当高。近年来也有新型专营网络安全保险的财险公司不断开发网络风险保险方案。以2017年成立的Coalition公司为例，该公司在2021年完成了新一轮融资，成功筹集了2.05亿美元，估值达到35亿美元以上，很快跻身全球保险科技独角兽公司榜单的前十名。Coalition强调解决网络安全风险应该运用整理风险管理的方法，创新性地拓宽了网络保险的责任范围，并能给投保人提供完善的网络安全技术平台。

3.网络安全立法趋严，明显刺激了保险需求。近年来，数字经济的持续增长与新冠疫情的叠加共振，放大了数字技术依赖的风险效应。围绕数据保护问题，全球网络安全立法未来将持续趋严（见表1），其中界定网络安全风险涉及的第三方责任将会是重点方向之一（陆岷峰和王婷婷，2020）。在各国通过立法形式进一步明确网络风险中的责任归属后，关于第三方责任网络安全保险的索赔数量将会有明显上升，而这也迅速增加了网络安全保险的需求。

表1 近年部分国家网络安全相关法律政策汇编

美国作为现代数字经济规模最大的国家，通过积极立法打击网络犯罪，并对新技术风险给予了高度关注。美国早在2015年就颁布了《网络安全法案》，将“网络安全”定义扩展到“网络数据安全”，该法案颁布之后，美国网络安全保险保费连续两年保持了35%左右的增长率。欧盟于2018年发布网络安全法案《通用数据保护条例》（GDPR），是全球目前为止监管最严格、覆盖面最广的网络安全政策法规。根据Advisen最新市场调研报告显示，有大半受访者认为，GDPR会促使欧盟网络安全保险的投保率上升⑤数据来源：Cyber Risk,Property,Casualty,&Transaction Insurance Events|Advisen Ltd。

二、数字经济时代我国网络安全保险的发展机遇分析

（一）网络安全产业高速增长，夯实了保险技术基础

我国网络安全产业因数字经济政策扶持、数字技术升级和安全需求上升的多方驱动，在近年进入了高增长态势。根据中国信通研究院的数据，2020年我国网络安全产业规模为1702亿元，增速为8.85%。近几年，网络安全企业深入布局网络安全领域，巩固了网络安全产业链，并加大了研发投入。从网络安全市场来看，2020年我国网络安全领域融资事件已达40余起，涉及金额达到了90亿元。快速发展的网络安全产业保障了网络安全保险市场的持续发展。受网络风险高技术性及多变性制约，保险公司在数据积累和技术支持方面存在诸多短板。各大财险公司持续加大和网络安全企业的合作力度，充分发挥其风险分散能力，并为网络安全企业良性发展提供保障，同时，也从网络安全企业中获取网络安全技术，挖掘网络安全保险云计算、大数据、物联网、工业控制、移动互联网等应用场景，促进本土网络安全保险落地。

近年来，我国各大保险公司不断深化与网络安全企业合作，推出国内网络安全保单，探索中国企业网络风险保险方案（见表2）。2017年，众安保险公司联合安恒信息推出了国内首份网络信息安全综合保险，该保险主要面向国内政府和企事业单位的网络风险补偿以及前端风险控制，为其提供了相对完整的保险解决方案，强调“技术防控+事后补偿”的模式，保险责任覆盖第一方损失和第三方责任补偿。我国目前的网络安全保险主要面向企业单位，面向个人的网络安全保险仍是空白。根据中国保险行业协会的数据显示，2020年共有17家财险公司提供独立的网络安全保险产品，占财险公司的20%；其中大部分提供的是网络安全风险一揽子保险产品，占该保险的69.2%；针对第一方损失和第三方责任赔偿的网络安全保险分别占23.1%和7.7%。

表2 国内大型网络安全企业与保险公司合作概览

网络安全企业持续加码云安全和大数据安全防护管理、移动安全和工控安全，以及物联网安全产品的投入，提高了保险公司的风险保障水平和风险监测能力。持有大量客户数据的保险公司也容易成为网络犯罪的攻击对象。在财产保险公司的数据库中，客户健康数据、汽车驾驶人数据以及承保网络安全保险所带来的其他企业数据，是网络攻击所偏爱的对象。根据国内首个第三方安全评价机构“安全值”的调研，我国半数财险公司与58%的寿险公司都存在安全漏洞。而伴随着疫情的常态化，保险公司被迫加速了数字化经营进程，而这又放大了网络安全漏洞。因此，网络安全企业可以为保险公司提供网络安全服务，提高保险公司抵御网络攻击的能力。2020年，中国电信上海分公司和上海华讯网络系统有限公司分别中选大地产险的DDOS攻击防护服务项目和服务器端防恶意代码软件扩容项目。保险公司通过项目招标的方式与网络安全企业不断加强合作，有效提高了自身的风险抵御能力。

（二）保险科技的应用落地提供了有效解决模式

1.快速发展的保险科技拓宽了其应用场景。保险公司加速保险科技应用和数字化转型，才能提升其在数字经济时代的竞争力。中国保险科技市场规模从企业投资额来看，由2015年的441.5亿元上升到2019年的775.4亿元，年复合增长率达到15.1%。在融资方面，保险科技自2015年迎来融资高峰后一直处于活跃状态。大量科研投入使得近年的保险科技完成了应用落地，并为网络安全保险的发展提供了技术基础。与一般财险业务不同，由于网络安全风险的特殊性，网络安全保险更加需要深度结合保险科技，以便进行风险评估和管理。在当前各行业“算法、算力、数据”三要素深度融合的环境下，云计算、大数据、物联网、人工智能等前沿技术正在不断拓宽保险科技在日益突出的网络风险格局中的应用场景，保险公司在近几年加速布局保险科技市场，以实现数字化转型。

2.区块链技术或可破解数据保护的难题。区块链技术已经在健康险、农业险和再保险中得到广泛运用，为网络安全保险的数据保护提供了解决方案。网络安全保险可以参考其他财险与区块链结合的模式，发掘保险科技给网络安全保险带来的新机遇。中国网络安全保险市场当前面临数据保护与使用的难题，区块链技术通过构建新式记账簿，对投保人数据进行保护与储存，而且能在保险公司及网络安全联盟之间实现数据的流通与共享。同时，区块链技术有利于提高投保人对保险公司的信任感，提升网络安全保险的需求量。此外，加密数据库能更好地帮助保险公司建立自身的网络安全数据库，其可追溯性的特点能够提高保险公司的风控管理水平。目前，众安科技投资开发的一站式隐私合规平台ACE已进入运营阶段，其核心模块DKMS基于密码学技术实现可信密钥管理功能，以支持满足用户意愿的数据共享和转让，并通过加密方式防止企业对用户敏感数据的滥用。另一个核心模块BlockDB基于不可篡改的特性构建企业安全数据库，能够有效防止员工的过失责任风险。

3.人工智能和机器学习赋能风险检测机制。由于网络安全风险的特殊性、复杂性及多变性特点，网络安全保险单纯依靠人工进行网络安全的评估防御并不现实，现代人工智能技术（AI）和机器学习技术（ML）则为网络风险检测创造了技术条件。目前，人工智能及大数据技术已大量应用于保险公司风控体系，致力于建立反欺诈系统等风险控制体系，识别检测风险。强调优质算法的机器学习技术，能够有效整合并清理前端数据，使其成为AI技术的驱动力以形成生产型数据战略。在网络安全保险的风险控制中，缺乏完善的网络安全数据管理模式，难以有效捕捉和分析网络中的安全漏洞以及潜在攻击，而AI技术和ML技术就能形成技术闭环，有效防止网络风险。基于网络攻击的频率、规模以及人为因素的特点，ML技术能更好地提炼有价值的数据，并形成数据集以供AI技术学习分析。网络保险分析公司En⁃velop Risk基于人工智能的建模和仿真工具，利用经济、技术、行为和历史数据，将网络风险描述为动态系统。该公司结合了网络攻击策略和趋势分析、外部网络态势分析和社交媒体数据，致力于为保险公司提供网络安全风险分析。

（三）政府和监管机构高度重视网络安全，为新险种设计提供了有利条件

网络安全是实现网络强国的基础和前提。随着数字经济深入发展，我国政府不断加快网络安全相关政策的布局，积极推出相关规范文件，完善了网络安全产业格局。“十四五”规划中明确指出，未来的建设方向是加快数字化转型发展，以信息技术赋能数字经济，创造数字中国新优势。

1.网络安全政策规范文件持续推出，为网络安全保险创造了发展新机遇。自《中华人民共和国网络安全法》2017年推出后，我国紧紧围绕“数据要素”这一本原，完善数据安全方面的立法制度。2020年，《数据安全法》和《个人信息保护法》已纳入网络安全法治建设体系中，标志着我国个人数据保护进入了新时代。根据美欧的发展路径分析，愈加明晰的数据归属界定，能使得网络安全风险涉及的第三方应付责任实现有法可依，并促进网络安全保险的健康发展。全新的数据监管环境，正在呼唤网络安全保险提升保障水平并拓展保险范围。更严格的法律法规将会进一步规范目前国内的数据治理乱象，传统财险产品将明示自身的保障范围以缓解沉默风险的影响，网络安全保险将明确区分于传统财险，并专为网络风险提供保障，这为该保险发展创造了新机遇。实施个人数据保护的相关法律，会促使保险公司将产品瞄准网络安全个人险。基于国内个人数据资产的风险特点，以及海量移动支付交互的存在，保险公司将会打造本土化的个人网络安全保险、填补国内空白，而这也将会成为财险业务市场的下一个蓝海。

2.国家的政策法规持续关注新兴技术风险。近年来，我国市场监管机构持续关注新兴技术带来的风险，并陆续发布面向新兴数字技术的政策法规。新技术的应用能够提升各行业服务质量，但新兴技术在发展初期常把效益放在首位而忽视了潜在风险。在我国，网络安全由网信办、工信部、公安部和行业监管部门联合监管。2017年以来，工信部针对车联网、5G、工业互联网以及人工智能数个领域发布文件，引导网络安全与新技术融合。随着保险科技在网络安全领域的应用，政策法规对新兴技术风险做出引导规范，使得网络安全保险能更多地从科技发展中受益；在投保企业方面，四方联合监管规范新技术的使用，能为保险公司前期评估投保人网络安全风险提供便利。

（四）重大疫情加深了企业的网络风险认知，保险需求日益增加

当前是后疫情时代与数字经济时代的叠加期，各企业受疫情影响被迫将原有线下业务转至线上进行，加速了数字化转型进程。现代数字经济正在全面重构产业链，其中网络风险的防护优先级不断上升。在新冠疫情前期，网络安全风险就已成为各大企业风险控制的重点，并且主要以前期技术缓解控制为主。国内目前的网络安全市场规模约为1702亿元，而网络安全保险发展尚不充分。我国大部分企业聚焦于投资网络安全防御领域，将网络安全防护前移至预防端，认为网络风险可以通过技术手段来管理或者消除。全球化数字经济体系下的大范围网络安全事件，使得网络风险的系统性风险特征更突出，越来越难以通过安全技术手段缓解并控制。新冠疫情时期剧增的网络访问数量，扩大了企业的网络风险敞口，而且员工在居家办公期间的个人工作失误等，都为网络攻击创造了条件。2020年3月，境外黑客组织对我国政府和医疗机构进行了定向攻击。根据国家互联网应急中心检测，2020年3月境内感染网络病毒的终端数达151万余个，较2月增长13.7%；被篡改网站数量为26029个，较2月增长了41.6%。新冠疫情加深了各企业对网络风险的认知，使其开始思考如何为自身网络安全风险寻求事前技术控制与事后损失补偿相结合的风险解决方案。网络安全保险在新冠疫情放大了网络风险后，将会迎来更多的企业投保。

新冠疫情引发的营业中断风险也给数字经济时代的企业带来严峻考验。信息不对称、损失高度相关性、适用分析的历史合同数量不足、定价频率和严重性数据稀缺，以及网络技术日新月异，这些因素导致的风险动态变化已使得传统财险保单过时，且无法有效承保网络损失。保险公司在其他财产保险中，开始将网络风险列为除外责任，这也促使企业开始重视网络安全风险并寻求独立的保险。根据安联保险集团对全球92个国家和地区2769名受访者的调查结果显示，网络事件是仅次于疫情暴发的最令人担心的业务中断原因。出于对业务中断风险的考虑，未来将会有更多的企业投保网络安全保险，这将会进一步刺激网络安全保险的需求。据Marsh公司的有关统计，越来越多的企业将网络安全保险视为其网络弹性战略的关键，并愿意在未来花费财务预算的34%购买网络安全保险。

三、中国网络安全保险市场发展难题

在数字经济和《中华人民共和国网络安全法》的共同作用下，中国网络安全保险迎来了大发展的机遇。但网络安全保险市场目前规模较小，险种单一，保障范围较窄，与数字经济的发展规模不匹配。由于当前中国市场中网络风险多纳入传统险种的承保范围，而作为一个独立的业务险种，缺乏统一界定的标准及承保范围，因此其市场规模难以衡量。根据瑞士再保险公司估计，2018年中国网络安全保险市场总保费已达到了7000万元以上。尽管我国网络安全保险预期将高速增长，但仍然存在许多亟待解决的难题。

（一）客户数据保护和使用的范围难以界定

数字经济时代使得数据资料上升至核心生产资料高度，并模糊了数据使用和安全隐私的边界。由于中国网络安全保险起步较晚，缺乏数据精算基础，因此精算模型未能更优化。网络安全保险保障范围通常包括第一方损失和第三方损失责任，其中第一方损失保障涉及数据损失及泄露。保险公司通过评估数据资料的网络风险来进行定价，需要明确保户的数据价值并确定其可保性，特别是在承保期内，保险公司需要建立数字化平台对保户数据资产进行捕获追踪，并掌握其动态信息，这必然引起投保人对自身数据资产的不安全感乃至引发道德风险。因此，目前国内经营网络安全保险的财险公司面临明确界定保户数据资产保护和使用范围的问题，亟需一套行之有效的数据保护方案，在确保数据安全的前提下能够及时获取并使用数据。

（二）网络风险精算数据库的建立面临障碍

保险业通过积累巨量历史数据对未来不确定事件进行预测，以此建立精算模型探索风险承保方案。网络风险作为一种新兴风险，国内各保险公司缺少经验数据累积，缺乏定价依据。而网络犯罪由于数字技术的发展日益复杂多变，保险企业收集的数据很快失去了相关价值。而且受攻击公司可能会基于自身名誉问题或避免遭到持续攻击等，掩盖受到网络犯罪的事实，这都给保险公司收集损失数据带来了难题，也阻碍了保险精算模型的构建。不同于一般财险所面临的外部自然风险因素或是内部人为因素，网络保险所面临的外部人为风险因素也提高了精算建模的难度。国内目前对于网络保险的研究主要集中于定性分析，依赖于几项确定性指标分析网络安全风险，而定量分析网络保险定价问题的研究很少。数字经济带来部分基础服务企业的业务高度数字化、整体化，而其受网络犯罪攻击引起的业务中断等连锁反应将会上升至网络巨灾事件。2017年的NotPetya恶意攻击软件攻击就感染了全球150多个国家，造成很多公司、政府机构运作瘫痪，经济损失超过100亿美元。由于缺乏日常历史数据监测控制巨灾风险，因此增加了潜在的巨灾损失，进一步提高了保险定价难度。

（三）核心定义及保险合同缺乏行业的统一规范

中国网络安全保险的保险责任已纳入传统险种承保范围来承保，例如营业中断保险以及董事责任险等。但是，当前国内仍然缺乏一套统一规范的网络安全保险规范性文件，对于网络安全保险的核心定义、保障范围、理赔条件以及合同标准缺乏明确定义。欠缺规范的市场环境无法确保此保险的良性发展，而缺乏核心定义的保险产品，依靠借鉴国外产品条款未能实现本土化则难以契合市场需求。此外，随着潜在网络风险的扩大，财险公司更应该注重传统险种与网络安全保险保障范围的划分。

近年来，沉默风险越来越受到国外学者关注。沉默风险（Silent Risk），即数字化信息技术的产生给传统保单带来了合同措辞未明确承保或者拒保的新型风险（Cartagena等，2020）。值得传统财险和责任险保单注意的是，条款中长期嵌入大量的隐藏的沉默风险。2017年波及全球的网络巨灾事件给各行业造成的损失90%来自沉默风险，这已经引起了国外保险公司以及监管机构的高度重视⑥数据来源：Petya cyber industry loss passes$3bn driven by Merck&silent cyber:PCS-Reinsurance News.。

（四）企业网络风险意识大多聚焦于技术缓解

国外企业虽然普遍重视网络安全保险，但目前国内企业对于网络安全更加关注技术层面的缓解。企业认知不足导致近年来网络安全保险的需求乏力，而预期较低的保费收入导致保险公司减少了网络安全保险的投入。由各大财险公司和网络安全企业的合作情况可以看出，目前网络安全保险业务主要停留在国家安全领域，其中政策性导向更多，商业性网络安全保险的落地仍面临很大困难。国内企业主要运用技术缓解网络风险的重要原因是，目前国内仍未出现重大的系统性网络安全风险。2017年席卷欧美的网络安全事件极大地刺激了网络安全保险需求，推动企业开始关注数据损失以及业务中断的补偿。而对于第三方责任，过去几年国内的网络安全法律对于第三方责任领域立法仍存在较大空白，从而抑制了企业的网络风险责任意识。

四、国外网络安全保险的经验借鉴

（一）美国网络安全保险的发展经验

自2012年以来，美国网络安全和基础设施安全局（CISA）不断加强与网络安全保险相关方的沟通，以探索有效的实践模式。国家机构确保了企业首席信息安全官（CISO）、首席安全官（CSO）与保险企业的交流渠道，有利于网络安全保险的供需匹配。2021年，为促进美国网络安全保险市场的强劲增长，维护保险公司的财务稳定、保护投保人的权益，纽约金融服务部（NFS）推出网络保险风险框架，阐明了一系列风险管理的实践措施。该框架更加关注保险公司所面临的沉默网络风险和系统性风险。NFS要求保险公司的网络安全保险应当明确并量化沉默网络风险以及定期评估系统性风险。美国的网络安全保险在近几年才迎来高速增长期，但其监管机构更为注重保险公司承受风险能力的监管，强调在风险能力承受范围之内，进行网络风险的分散。

CISA认为，扩大并改进网络安全市场的关键措施是网络信息事件共享、网络事件后果分析和企业风险管理。基于上述措施，CISA探索了网络事件数据存储库的构建模式以及网络信息事件共享机制。该数据库提供一个安全的环境，以供面对网络风险的企业共享自身数据。构建网络事件数据库，能提供给企业更多的风险认知，提高其网络防护的覆盖面积并缩小风险敞口；保险公司也能通过数据库构建更加精准的精算模型，丰富网络安全保险的供给。另外，CISA通过开发并实施网络信息共享和协作计划（CISCP），使得政府、基础设施所有者以及企业能够进行信息交流，并建立信任空间，加强信息交流能提高网络风险监测及识别能力。

总体而言，美国网络安全保险市场的做法，揭示了一个有效保险制度模式以及配套设施的重要性。我国网络安全保险市场当前处于起步阶段，而数字经济快速发展正在呼唤网络风险的解决方案。一套行之有效的网络安全保险实践方案、完善的配套设施及相应制度是其良性发展的重要保障。基于美国网络保险市场的经验，我国应该发挥独有的全国一盘棋优势，以政府强有力的号召能力，确定网络安全保险的整体框架，建立网络风险事件数据存储中心及网络安全事件信息分享中心，为网络安全保险的前期发展奠定基础。同时，我国政府各部门也应当联合行动，搭建监管层、企业层以及学术界的三方合作模式，探讨中国网络安全保险的有效实践模式。

（二）新加坡网络安全保险的发展经验

2015年9月，新加坡政府开始调整经济发展战略，提出了建设“智慧国家”的战略布局，致力于建设以政府为主导的全球智慧技术研发中心和金融服务中心。新加坡拥有亚洲高度发达的保险市场以及发展成熟的保险科技行业，也是亚太地区重要的数据枢纽，致力于通过数据优势全面推动数字经济发展。在新加坡市场，政府监管部门和保险公司很早便注意到了网络安全风险敞口的扩大并思考风险解决方案。与美国监管模式类似，新加坡金融管理局（MAS）和网络安全局（CSA）共同对保险行业面临的网络风险以及网络安全保险进行了严格监管。

新加坡政府监管机构积极推动网络安全防护能力的支持机制建设（见图3）。MAS建立金融部门安全运营中心用以收集网络风险数据，并和国际社会建立有效合作关系，构建网络安全保险风险管理框架。为了引入国际先进网络安全技术，新加坡设立了网络安全能力补助金，吸引国际金融机构在新加坡建立网络安全职能中心。2018年，新加坡宣布成立10亿美元的世界上第一个网络风险保险基金，该项基金由新加坡再保险协会和网络专家Peter Hack⁃er合作建立，主要面向亚洲范围内特别是东盟地区的经济体。该制度能有效分担网络风险，提升亚洲地区保险公司抗击巨灾性网络风险的能力。

总体来看，新加坡的经验主要集中在弥合金融机构的网络风险敞口，提升企业抗风险能力。新加坡金融监管当局以及网络安全局，联合对保险业网络安全风险进行严格的监管。在网络风险日益突出的背景下，如何构建并完善金融机构的网络安全防护机制，以及解决当前我国金融机构的网络风险问题，值得思考和借鉴。

（三）欧洲地区网络安全保险的实践

GDPR条例的生效揭示了欧盟迎来了个人数据安全强监管的时代。该法案使得网络安全保险的第三方责任有法可依，刺激了网络安全保险的需求量。其巨大的罚金上限使得各企业面临数据经营业务中的合规风险，开始寻求保险方案解决GDPR所带来的巨额罚单问题。根据财务分析网站Finbold的计算，2020年GDPR针对欧洲国家的罚款总额高达3.063亿欧元,违规累计数量激增113.5%⑦数据来源：UPDATED:EU countries amass€306.3 million in GDPR fines in 2020(finbold.com).。欧洲的巨额网络风险责任索赔将迫使企业提升数据安全的治理能力，以跟上数字经济发展的步伐。同时，GDPR也极大地改变了欧洲网络安全保险市场。GDPR带来的高额索赔，无疑使得保险公司明确网络保险保单中的沉默网络风险，主动明示何种范围下的网络攻击事件引起数据泄露的网络风险纳入可保风险，提升了保险合同条文的准确性。保险公司也开始思考保险范围的界定，针对GDPR所产生的巨额罚款设计新型承保方案或作除外责任来处理。自2019年开始，美国Coalition公司提供高达1500万美元网络安全保险产品，其中以附加责任的方式对GDPR的责任赔款进行承保。另一方面，GDPR对保险公司数据搜集带来了新挑战。更加严格的数据保护措施阻碍了企业之间数据的共享，削弱了保险公司建立风险数据库的能力。总体来看，GDPR有效推进了保险公司对于网络安全保险的改进与思考，网络安全保险开始和传统财险明确划界，而对于个人数据安全的严格监管，促使保险公司探索更加合理科学的承保巨额责任的索赔方案。

英国是欧洲地区最早进行网络安全探索的国家，并建立起了一套完整的网络安全保险生态。从英国的具体实践来看，该生态体系以保险行业为主体，并以双峰监管为主要监管模式。除保险行业以外，英国更注重各行业的联系以及数据共享以创造更优的生态环境。从国际环境来看，英国积极联合国际行业合作伙伴，创造了数据分享模式。受网络技术的专业性影响，网络安全服务商以及网络安全认证供应商是英国网络安全保险生态的重要组成部分。而网络风险的犯罪性特征，导致英国引入了执法机构，以便增加风险保障。

总体而言，欧洲地区网络安全保险的经验在于极大地推动了数据安全立法的进程。明确网络安全责任的索赔范围以及明晰的数据使用范畴，更能规范网络安全保险的发展。数据安全立法趋严将会是未来趋势，而中国网络安全保险及其供给企业则需要思考如何量化网络风险责任，并为其寻求新型承保方案。

五、数字经济时代创新发展中国网络安全保险的政策建议

（一）对网络安全保险经营公司的创新建议

1.大型网络安全保险经营公司的创新建议。大型网络安全保险经营公司应充分发挥其成熟的数字化运营能力，凭借一体化数字生产价值链，以数据和相应保险科技手段驱动我国网络安全保险的广泛应用。

（1）以点带面，依靠头部引领建立风险数据库。风险数据库对于财险费率定价关系重大。当前网络安全保险行业内普遍存在缺乏网络安全保险定价的依据问题，使得各财险公司难以涉足网络安全保险业务。从国际发展经验来看，美欧保险公司在经营早期就建立了网络风险数据库，辅助各企业进行精算定价，这有利于优化网络安全保险精算模型，并推动保险公司推出网络安全保险产品。国内财险公司也可以借鉴国外经验，大型保险公司应充分发挥自身头部企业的深度价值链优势，搭建三方合作桥梁，在数据安全的前提下牵头建立网络风险数据库。在数据分享方面，大型保险公司应当以共享精神构建数据分享模式，打通数据壁垒，充分发挥数字经济时代大数据的优势，共同抵御网络安全风险。

（2）努力提升数字经济中的保险科技应用能力，赋能网络安全保险的发展。大型保险公司多年布局保险科技已到了收获季节，而技术的良好应用能提升网络安全保险的风险识别能力。针对当前网络安全保险存在的难题，大型保险公司应当努力提升保险科技运用能力，发挥技术优势堵住网络风险点。例如，当前承保网络安全保险中的数据存储难题亟待解决，而保险公司可以运用区块链技术，对保户数据进行加密处理，在确保数据隐私的情况下提升数据共享及使用效率。在保险科技应用场景方面，大型保险公司应充分发挥人才及部门优势，夯实技术基础，把保险科技运用到网络安全保险的各个价值链。

（3）尽快打造“网络安全保险+网络安全服务”的创新型承保模式。各大保险公司要充分认识到，网络安全保险旨在保障数字经济的平稳发展，而单纯依靠保险难以有效缓解当前企业所面临的潜在网络风险。依靠前端网络风险技术控制、后端网络安全保险兜底，以及网络事件紧急响应服务，才能全面控制网络风险。大型保险公司拥有丰富的技术优势以及人才资源，以其优质资源更能吸引国内网络安全企业进行合作，以服务为基础打造创新型一体化的网络风险承保模式。

（4）切实提高网络风险的防控意识。大型财险公司在承保网络安全风险时，应当注意经营过程中暴露出来的数据安全风险。大型财险公司因其庞大的数据资源，易成为网络攻击的目标；在经营网络安全保险过程中，不合理使用数据的行为则会催生责任风险。大型财险公司应当努力提升自身终端安全管理水平，加大网络安全信息技术的投入，加强员工安全技能的培养，全面提升防控网络风险的能力。大型保险公司在经营过程中还要注意数据的安全使用规范，努力改善数据加密技术，以数据安全为前提，确保网络安全保险业务的平稳发展。

2.中小型网络安全保险经营公司的创新建议。中小型保险公司的资本积累和技术实力与大型保险公司存在很大差距，难以在传统财险业务中与其竞争，故可以专注于新型风险的承保，形成垂直业务领域。因此，中小型保险公司在网络安全保险领域，可以采取如下发展策略：

（1）汲取国外经验，深耕网络安全保险的垂直领域。中小型财险公司应当选择几个特色险种领域深耕发展，打造自身品牌效应。在特色网络安全保险领域中，可以深度挖掘其创新技术应用空间，提升数据使用效率，拓宽保险科技手段的应用场景，努力开发新型险种。不同于当前市场上提供的网络信息安全综合险种，中小型公司可以从细分险种领域着手，以网络风险为基础提供自身特色的网络安全保险险种。如针对以数据为核心的B端用户，可以围绕数据安全和数据泄露责任为其开发保险产品。

（2）加快局部数字化转型，尽快提升信息技术运用能力。中小型财险公司相对大型公司，面临分支机构少、技术沉淀弱以及综合成本高的问题。如何运用数字化技术实现强化生产价值链、提升技术渗透率以及降低运营成本，对其数字化转型、提升网络安全保险经营效率意义重大。基于当前网络安全保险的业务需求，中小型财险公司可以对业务模块或者系统功能模块加以改造，以数字化信息技术为导向，强化网络安全保险的生产价值链。

（3）以企业联盟的方式提供“一揽子网络风险承保方案”。网络风险作为新型技术性风险，很难通过保险公司一方提供全面的网络风险解决方案。中小型保险公司缺乏充足的资金以及各种人才技术，并不具备独立经营网络安全保险的能力。通过借鉴国外先进经验，可以联合保险科技公司以及网络安全企业建立网络安全风险联盟，提供端到端的网络风险方案；也可以专注于网络安全保险产品的开发设计，而前端的风险控制和运营流程可以交由专业的网络安全企业和保险科技公司负责实施。网络安全风险联盟通过协同运作的方式，以专业优势组合发挥其效用，从而提供一揽子网络安全风险的有效解决方案。

（二）对网络安全企业的创新建议

网络安全企业属于网络安全保险市场上的支持服务方，在前期保险产品设计开发、后期保险运营风险管理中，都因其专业技术优势而发挥着重大作用。对保险公司来说，通过与其合作能获得技术优势，加速保险产品开发落地；对政府监管机构来说，与其良性互动能实时监控保险企业风险敞口，不断提升监管效率。

1.优化数据治理模式，丰富网络风险形态应对策略。当前，网络安全保险业务经营存在新兴网络风险不断涌现、网络风险形态不断发展变化，以及缺乏历史损失数据和业内典型案例的痛点。网络安全企业应当立足保险行业特点，优化自身数据治理模式，发展以行业为导向的精细化数据治理模式。针对大型财险公司，网络安全企业可以从数据存储、数据挖掘技术开发、数据安全技术融资等方面，进行全面的战略合作；针对中小型财险公司，可以从提供数据技术支持以及辅助数据库建立等方面进行合作。网络风险形态的动态变化，导致历史风险数据库建立受阻，而网络安全企业可以从新型网络安全信息技术入手，通过人工智能和机器学习技术捕捉网络安全风险数据，多途径分析网络攻击趋势并建立相应的模型，以便全面提升数据使用的效率。

2.持续深化网络安全技术，筑牢保险公司的网络安全阀门。伴随数字经济快速扩张而来的网络安全风险，既给保险公司带来开发相应险种的机遇，也给处于数字化转型中的安全运营提出了挑战。网络安全企业在与保险公司合作时，应当不断拓宽合作领域，建立自动化、智能化以及合规化的风险管理平台。同时，网络安全企业还应当配合有关政府监管机构，实时监控经营网络安全保险市场的网络风险漏洞，及时发现并处理恶意网络攻击，通过大数据、人工智能以及云计算等技术强化保险公司的终端安全。保险公司作为数据密集型产业，当前网络安全防护薄弱问题可以由网络安全企业来弥补，筑牢数字经济时代保险公司的网络安全阀。

3.优化网络安全技术服务，赋能网络安全保险产品开发运营。网络安全保险产品主要承保高技术性的网络风险。在保险向综合服务型业务转变的背景下，保险产品配套风控技术将成为保障方案的重要一环。为推动网络安全风险解决方案的落地运行，网络安全企业应当从优化网络安全信息技术入手，结合细分领域的网络安全保险推出对应网络风险解决措施。基于投保企业面临的主要风险及基本框架，可以针对常见的网络攻击形式开发对应的网络安全防御手段，提升保险解决方案的厚度。网络安全保险对于数字经济时代的网络安全意义重大，网络安全企业的愿景和使命在于增强国内网络安全韧性，因此网络安全企业应当以其网络安全技术优势，匹配保险企业的损失补偿职能，整合性地提升企业网络安全弹性战略。

（三）对政府监管部门的政策建议

政府监管部门属于网络安全保险市场上的监管支持方。国家网信办、工信部、公安部以及行业监管机构组成的多部门联合监管模式，基本确定了我国网络安全监管框架。为了网络安全保险的平稳落地、良性运行，政府监管部门可从以下三方面来积极应对：

1.建立数据沟通分享机制，助力风险数据库的建立。网络安全保险的实施，需要大量的风险损失数据进行财险精算建模。财险企业推出的网络安全保险承保各行业的风险，而跨行业、跨市场的经营，导致风险数据收集成为经营痛点。鉴于数据与网络基础设施是网络安全的重点，政府管理部门可以推动构建数据沟通分享机制，加快匿名网络安全事件披露平台的建设，为保险行业构建网络风险数据库提供制度基础，从而有效提升网络安全保险定价能力。同时，政府监管机构应当定时与保险公司、网络安全企业以及学术界进行沟通交流，共同探索网络安全保险的有效实践模式，吸纳风险管理意见、了解智能基础设施建设需求，为中国数字经济发展提供强大动力。政府监管部门通过建立数据沟通分享机制，能够有效打通数据壁垒，提升监管效用。

2.建立网络安全保险标准，审慎监管沉默风险。当前，国内缺乏网络安全保险的行业规范文件。在网络安全保险第一方损失责任中，各份保单所涉及的业务中断触发条件以及网络攻击损失定义的准确度不统一。在网络安全保险第三方责任风险中，国内保险公司在承保范围以及除外责任的划分上存在着较大出入。新保险产品的顺利落地离不开政府监管部门发布的规范文件，因此政府监管部门以及中国保险行业协会应当尽快发布行业规范性文件，对网络安全保险的核心定义以及权责归属问题作出详细的界定规范，引导网络安全保险加快落地。对于传统财险保单中的沉默网络风险，政府监管部门应当密切关注审慎监管，促使保险公司评估并量化其传统财险保单中的网络沉默风险，缩小其风险敞口。受信息技术发展的影响，监管机构应当积极联合保险公司与再保险公司以及保险经纪机构，联合建立评估框架，尽快明晰当前财产保险合同条款的具体定义。

3.建立巨灾性网络风险共同基金池，关注市场剩余风险。受数字化转型的影响，社会各级产业链整合并向数字化转型，这一趋势使得聚合性网络安全风险的出现成为可能。全球再保险公司也在积极思考巨灾性网络风险的解决方案，复兴再保险公司与英国Beazley探索，积极利用资本市场来分担巨灾性网络风险损失。我国监管部门应当积极关注潜在的巨灾性网络风险，参考巨灾风险共同基金池制度，建立我国网络巨灾风险基金池制度。共同基金池可以由政府、保险公司以及再保险公司共同出资设立，旨在承保巨灾性网络风险带来的巨额经济损失。对于频繁面临网络攻击的受损企业，可以将其纳入基金池，由市场上的财险公司共同分担这一风险。通过建立风险共同基金池，政府部门可以更好地监管财险公司的偿付能力，进而不断提升其经营网络安全保险的能力。