互联网时代大环境下,相关数据隐私和安全的法律建设相继补位。继《数据安全法》《网络安全法》出台后,近日,市场期盼已久的《个人信息保护法》也正式官宣了上线时间表。顶层设计密集出台,网络安全建设刻不容缓。加之开展网络安全保险试点首次写入三年规划,为信息安全添上“保护屏障”的网络安全保险重要性更是不言自明。 业内人士认为,伴随着系列国家网络安全领域法律法规的加紧落地,网络安全保险行业发展迎来风口,可以预见未来会有更多的保险机构进入到这一蓝海市场。不过,产品定价、专业人才稀缺、标准化服务机制尚未形成等“绊脚石”犹存,国内网络安全保险路在何方? 顶层设计频出炉 网络安全险将乘“风”起? 在数字信息技术日新月异的发展趋势下,数据已成为数字经济发展的核心生产要素,是国家重要资产和基础战略资源。随着数据价值的愈加凸显,数据安全风险与日俱增,数据泄露、数据贩卖等数据安全事件频发,为个人隐私、企业商业秘密、国家重要情报等带来了严重的安全隐患。 8月20日,《个人信息保护法》被表决通过,与此前推行的《数据安全法》《网络安全法》一道,直面信息安全漏洞及难点,为保护个人及企业提供了强有力的法律保障。信息安全话题同时也再次引起广泛探讨,而转嫁信息风险的网络安全保险也成聚光灯下的焦点。 “目前,网络安全险主营业务包含网络勒索、营业中断、信息泄露责任等” ,上海市建纬律师事务所高级顾问王民解释,网络安全保险作为一种有效的企业网络安全风险管理工具,其承保的损失范围非常广,既包括被保险人因网络安全事件(例如数据泄露和黑客攻击)导致的第一方费用和经济损失,也包括被保险人因此需要向第三者(个人信息权利人)依法应承担的民事赔偿责任。 “《个人信息保护法》第二十条、二十一条等对网络运营者和个人信息处理者的范围、义务、侵权责任证明作出规定,为网络安全保险中投保人的民事赔偿责任的认定提供了基础。”社科院保险与经济发展研究中心副主任王向楠对北京商报记者分析,“第二十七条、三十四条等对数据处理者范围做出定义,包括分析、评估境内自然人行为的主体,其支持了保险需求的普遍性。” 《个人信息保护法》的设立对网络安全险而言,带来哪些发展契机?王向楠分析指出,首先,《个人信息保护法》对信息处理者的信息保护义务和事后补救措施进行了明确列举,为设计责任类保险条款提供了基础,并促进对领先保险公司网络风险管理服务的需求;其次,要求信息处理者事前进行个人信息保护影响评估,可让其认识到自身风险和保险保障的需要;第三,举证责任倒置的设计降低了信息被处理者的维权成本,进而有助于促进保险需求。最后,没有惩罚性赔偿的制度设计和集体诉讼的条款,对保险需求的刺激可能有限。 对于《个人信息保护法》中的第五十七条明确了个人信息处理者对于信息泄露的法定补救与通知义务、第六十九条确立了个人信息侵权的“过错推定”归责原则、第七十条确立了个人信息侵权公益诉讼制度,王民表示,“这大大提高了个人信息处理者的民事责任风险及其通过网络安全保险转嫁风险的需求”。 此前,《网络安全法》和《数据安全法》的相继实施为网络安全保险的发展奠定了基础,今年7月,工业和信息化部网络安全管理局也印发了《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》,其中提出,面向电信和互联网、工业互联网、车联网等领域,开展网络安全保险服务试点。 伴随着系列国家网络安全领域法律法规的加紧落地,重要行业领域网络安全顶层设计的密集出台,网络安全保险行业发展迎来风口。源堡科技创始人兼CEO韩冰表示,面对日趋严重的网络安全问题,网络安全保险具有重大的社会价值,不仅可以为各行业建立完善的网络风险应对方案,也可为个人隐私安全建立保护屏障。 市场蕴藏巨大潜力 问题凸显仍待解 据《我国网络安全保险产业发展白皮书》显示,2021年因网络犯罪造成的全球经济损失预测达到6万亿美元,逼近世界经济的10%。 网络犯罪带来的风险损失不容小觑。然而,风险中蕴藏生机,在全球范围内催生出超百亿的网络安全保险市场空间。除了上述法律法规制度日趋完善外,“十四五规划”加速数字化中国,亦为网络安全保险提供前所未有的发展机遇。 当前,国内网络安全保险产业发展正从萌芽阶段逐步进入到初步探索阶段。但是目前国内的网络安全保险产品主要是由一部分外资保险公司从海外引入国内。保险条款内容虽然与国外差不多,但较少充分考虑国内投保群体的独特风险与保险需求。 而对于目前掣肘网络安全保险发展的“绊脚石”,韩冰指出,首先是公众接受层面,现阶段国内企业通过保险方式转移网络风险的接受程度还较低。其次,现有网络安全服务难以匹配保险环境需要,网络安全保险产业尚未形成标准化服务机制,网络安全保险的提供商常常面临诸如:如何对风险进行定价、企业需要购买什么样的保险、企业能够从投保中得到的实际回报是什么等问题。 首都经贸大学保险系副主任李文中还分析,网络安全保险刚刚兴起,而且数字(网络)风险的形态处于快速变化之中,使得保险公司难以为网络安全保险产品准确定价。同时,保险公司的数字(网络)安全技术人员,特别是高水平的安全工程师严重不足,一方面难以为客户提供有效的事前风险防范管理服务,另一方面经营中也面临着较高的保险欺诈风险。 “此外,目前除了电子账户,其他数字资产价值还难以被准确评估,导致网络安全保险尚不能为因数据丢失引起的数字资产损失提供补偿,而只能补偿数据恢复重置的费用。最后,一旦发生大规模网络安全攻击事件,保险公司有可能面临巨额保险索赔,威胁保险公司的财务安全。”李文中补充道。 突围之路何处寻?业内建议:需多方合力 网络安全风险是动态的、不确定的。传统的风险防御手段无法解决所有的安全风险,保险作为一种风险管理手段,需要不断进行创新和升级,以更好地应对日益加剧的网络安全风险。其中,再保险公司就网络安全保险风险转移发挥了重要作用。 面对核保难、定价难的等核心问题,北京商报记者了解到,目前行业内已有保险公司、再保险公司联合保险科技公司,共同开发的网络安全保险与科技创新相结合的应用方案,将网络安全威胁模型与保险定价模型、承保范围相结合,并基于科技公司自主知识产权的量化风险评估模型和平台,帮助保险和再保险公司提升网络安全保险的核保和定价能力。 如此来看,网络安全保险要想健康前行、茁壮成长,在法律制度先行的同时,其他领域也要跟上步伐,实现多方共治、合力推开“绊脚石”。正如王民建议,未来国内保险机构需要根据国内客户的具体风险场景与需求打造本土化的网络安全保险产品以解决他们在网络安全风险管理上的痛点。 王民还强调,保险公司还需要提高保险业自身的网络安全风险管理水平与能力,特别是在风险评估与风控服务能力上,这需要与第三方网络安全专业服务机构合作,一起为被保险人提供一站式的保险与风控解决方案。 韩冰也认为,网络安全保险并非是一个单纯的保险产品,应主要立足于投保企业的网络安全风险管理需求,为企业提供一揽子、全周期管理方案。这就需要保险公司加强与专业的第三方科技公司共同合作推动,从而达到帮助企业降低安全事故风险,减少网络安全事故带来的损失的目的,最终构建“保险+风险管理+服务”的网络安全保险新生态。 北京商报记者 陈婷婷 实习记者 胡永新 |