随着“元宇宙”概念的日益火热,网络空间与物理世界的融合逐渐加深,网络安全问题愈加复杂且全面泛化。作为能有效转移、分散网络安全风险的工具,网络安全保险近年来在全球迅速发展。据有关机构测算,2020年全球网络安全保险市场规模达78亿美元,并将在未来5年以大于20%的增速发展。
2021年5月,美国政府问责局(United States Government Accountability Office,简称GAO)发布的《网络安全保险:保险公司和投保人在不断变化的市场中面临挑战》的报告指出,目前网络安全保险接受率上升、保险价格上涨、保险限额降低,网络安全保险内容也更加明确。但同时,该市场仍然面临着多重挑战,如网络风险事故或损失历史数据有限,网络风险定义不够清晰、缺乏一致性,以及企业对网络风险和保险责任覆盖范围认知程度有限等。针对上述问题,报告提出了一些政策建议。
报告指出,由于互联网全方位融入企业发展,以及政府对网络安全重视程度的提升,网络安全保险供给和需求端不断发展,促使网络安全保险功能更加细化。在鼓励行业发展的同时,GAO也鼓励政府与企业、市场合作,共同攻克业态尚未成熟的技术发展瓶颈和制度缺陷。
网络安全保险概念与监管
网络安全保险由私人保险公司向企业和其他实体提供,保护第一方(投保人)和第三方(投保人客户)免受网络事故(如网络中断、数据盗窃等)带来的损失,例如信息系统的机密性、完整性和可用性遭到破坏等。网络安全保险有两种形态,一是只覆盖网络风险的独立保单,二是作为一般保险(覆盖多种类型风险)的一揽子保险范围的一部分(如一般商业责任保险)。
美国保险监管协会(NAIC)重点关注网络安全保险公司的偿付能力。监管对象包括网络安全保险在内的私人保险市场,确保保险条款公平合理且符合各州法律,不存在可能被消费者误解的保险责任范围,但一般不制定网络安全保险责任覆盖范围的最低标准。
此外,美国财政部联邦保险办公室恐怖主义风险保险计划(TRIP)要求在发生特定恐怖行为时,联邦政府应与私人保险公司共同分担损失。如果网络攻击符合条款标准,那么网络攻击造成的损失可以依据TRIP得到补偿。
现状与趋势
目前,美国市场网络安全保险接受率整体提升,行业间存在差异。网络安全保险接受率是指有资格获得网络安全保险的实体选择网络安全保险的百分比。随着网络安全保险的发展,市场接受比率不断提升,从2016年的26%上升到了2020年的47%。
此外,接受率也因行业而异。2016-2020年,在威达信集团(Marsh Mclenan)的客户群体中,接受率最高的行业为教育和医疗保健,因为它们需要收集、维护并使用大量个人身份信息和受保护的健康信息。由于酒店和零售行业也需收集客户的支付卡信息,酒店和零售行业的接受率也有显著增长。同时,随着制造行业对潜在网络攻击风险的日益重视,该行业的接受率也呈增长趋势。
企业关注网络安全保险的可获得性及可负担性。2016年以来,大多数实体均可以负担得起网络安全保险,但网络安全保险将在多大程度上继续具有可获得性和可负担性仍是不确定的。据保险代理和经纪委员会等相关机构的调研反馈,尽管接受率保持上升趋势,但保险公司对网络风险的承保欲望和能力近期呈现收缩趋势,特别是对于某些高风险行业(如医疗保健、教育、公共部门)承保收缩趋势尤为明显。其原因包括网络攻击造成的损失增加、未来网络攻击的威胁以及整体保险市场环境等。
同时,承保人更加仔细地审查了所有实体(包括各类规模及行业)面对的风险。为了应对网络攻击频率与严重程度的增加、网络攻击成本上升、以及对未来攻击的类型、范围和目标的不确定性,保险公司在是否对高风险行业和实体承保上以及提高保费方面变得更加谨慎。这都可能会影响未来网络安全保险的可获得性和可负担性。
网络安全保险需求不断增加。据对标准普尔市场情报和NAIC的数据分析,2016-2019年生效的网络安全保单数量从220万份上升到360余万份,增加约60%;书面保费总额从21亿美元增长至31亿美元,增长50%。超过60%的受访经纪人表示,网络安全保险增长的前两大驱动因素为曾遭受网络攻击和听到其他人在网络攻击中遭受损失。
保费增加。网络安全保险保费在2017年、2018年保持相对稳定,在2020年呈显著增长趋势。超过一半的经纪人反映,2020第三季度到第四季度,其客户缴纳的网络安全保险费用上涨了10%至30%;只有15%的经纪人表示,在此期间客户保费无发生变化。
网络安全保险费上升有两方面原因:一方面,客户需求增加;另一方面,更频繁和严重的网络攻击造成了保险公司损失增加,尤其是勒索软件攻击,它会阻止用户访问系统或数据,直到支付赎金为止。2021年间,高风险行业和中大型实体的保费增幅预计高于网络控制强度较高的小企业(保费增幅约5%至10%)。
供给者数量增加。2016-2019年间,提供网络安全保险的保险公司数量约增加35%。然而,2016年以后新进入网络安全保险市场的保险公司只占据2019年市场保费总额的9%左右。2019年,10家美国保险集团占据了近70%的网络安全保费总额,但仅占据当年财产险费和意外险费总额的18%。
专门针对网络风险的保单增多。专门针对网络风险的保险,主要有三種提供方式:独立的网络安全保险;将网络安全保险与专业责任保险相结合;对其他保险责任覆盖范围提供网络担保。网络风险保单的增加反映出,企业希望保险责任范围应与数据或系统的机密性、完整性和可用性相关联;还希望网络安全保险责任覆盖更加清晰,这有助于减少网络攻击事故中的索赔纠纷和诉讼。此外,独立保单还有助于投保人获得更高的保险限额。
覆盖范围不断变化。网络攻击的频率和严重程度不断增加,特别是勒索软件的攻击,导致保险公司缩减了对医疗保健公司、教育公司、国企等实体的保险限额,并增加了对勒索软件保险责任覆盖范围的限制。
免责条款更多,保险条款更为严格。保险公司一直在收紧网络安全保险条款和赔付条件,并在传统保险覆盖范围和一揽子保单基础上增加网络担保免责条款,以避免产生歧义。这些限制旨在消除对潜在网络风险的覆盖,潜在网络风险可能损害多家企业,并造成保险公司遭受重大的不可预见损失,甚至造成偿付能力的不足。虽然难以在短期内被消除,但网络进一步独立和对相关术语的阐明会有所裨益。