據有關機構測算，2020年全球網絡安全保險市場規模達78億美元，并將在未來5年以大于20%的增速發展。在通訊互聯網技術占國際領先地位的我國，網絡安全保險正生根發芽并引起社會熱議。雖然該市場在我國尚處于起步階段，但其未來潛力巨大，將助力我國數字經濟可持續健康發展。

[[438468]]

2021年5月，美國政府問責局(United States Government Accountability Office，簡稱GAO)針對網絡安全保險市場發布了一份名為《網絡安全保險：保險公司和投保人在不斷變化的市場中面臨挑戰》的報告。報告指出，目前網絡安全保險接受率上升、保險價格上漲、保險限額降低，網絡安全保險內容也更加明確。但同時，該市場仍然面臨著多重挑戰，如網絡風險事故或損失歷史數據有限，網絡風險定義不夠清晰、缺乏一致性，以及企業對網絡風險和保險責任覆蓋范圍認知程度有限等。針對上述問題，報告提出了一些政策建議。

通過這份報告，GAO向保險市場發出了積極信號。由于互聯網全方位融入企業發展，以及政府對網絡安全重視程度的提升，網絡安全保險供給和需求端不斷發展，促使網絡安全保險功能更加細化。在鼓勵行業發展的同時，GAO也鼓勵政府與企業、市場合作，共同攻克業態尚未成熟的技術發展瓶頸和制度缺陷。

網絡安全保險的概念與監管

網絡安全保險由私人保險公司向企業和其他實體提供，保護第一方(投保人)和第三方(投保人客戶)免受網絡事故(如網絡中斷、數據盜竊等)帶來的損失，例如信息系統的機密性、完整性和可用性遭到破壞等。網絡安全保險有兩種形態，一是只覆蓋網絡風險的獨立保單，二是作為一般保險(覆蓋多種類型風險)的一攬子保險范圍的一部分(如一般商業責任保險)。

美國保險監管協會(NAIC)重點關注網絡安全保險公司的償付能力。監管對象包括網絡安全保險在內的私人保險市場，確保保險條款公平合理且符合各州法律，不存在可能被消費者誤解的保險責任范圍，但一般不制定網絡安全保險責任覆蓋范圍的最低標準。此外，美國財政部聯邦保險辦公室恐怖主義風險保險計劃(TRIP)要求在發生特定恐怖行為時，聯邦政府應與私人保險公司共同分擔損失。如果網絡攻擊符合條款標準，那么網絡攻擊造成的損失可以依據TRIP得到補償。

網絡安全保險市場現狀與發展趨勢

1. 網絡安全保險接受率整體提升，行業間存在差異

網絡安全保險接受率是指有資格獲得網絡安全保險的實體選擇網絡安全保險的百分比。隨著網絡安全保險的發展，市場接受比率不斷提升，從2016年的26%上升到了2020年的47%。

網絡安全保險接受率與實體規模密切相關。中小型實體網絡安全保險接受率落后于大型實體，可能的原因包括：中小企業低估網絡風險，難以理解保險責任覆蓋范圍，認為當前責任覆蓋范圍已足夠，以及擔憂自身經濟承受能力等。此外，該保險接受率也因行業而異。2016至2020年，在威達信集團(Marsh Mclenan)的客戶群體中，接受率最高的行業為教育和醫療保健，因為它們需要收集、維護并使用大量個人身份信息和受保護的健康信息。由于酒店和零售行業也需收集客戶的支付卡信息，酒店和零售行業的接受率也有顯著增長。同時，隨著制造行業對潛在網絡攻擊風險的日益重視，該行業的接受率也呈增長趨勢。

圖：2016-2020年不同行業公司對網絡安全保險的接受率

2. 企業關注網絡安全保險的可獲得性及可負擔性

網絡安全保險的可獲得性和可負擔性是各行業關注的重點。2016年以來，大多數實體均可以負擔得起網絡安全保險。如果小企業認為自身風險較小或保險費過高，那么他們購買網絡安全保險的頻率會更低。然而，網絡安全保險將在多大程度上繼續具有可獲得性和可負擔性仍是不確定的。據保險代理和經紀委員會、Marsh McLennan和A.M.Best調研反饋，盡管接受率保持上升趨勢，但保險公司對網絡風險的承保欲望和能力近期呈現收縮趨勢，特別是對于某些高風險行業(如醫療保健、教育、公共部門)承保收縮趨勢尤為明顯。其原因包括網絡攻擊造成的損失增加、未來網絡攻擊的威脅以及整體保險市場環境等。

同時，承保人更加仔細地審查了所有實體(包括各類規模及行業)面對的風險。為了應對網絡攻擊頻率與嚴重程度的增加、網絡攻擊成本上升、以及對未來攻擊的類型、范圍和目標的不確定性，保險公司在是否對高風險行業和實體承保上以及提高保費方面變得更加謹慎。這都可能會影響未來網絡安全保險的可獲得性和可負擔性。

3. 網絡安全保險需求不斷增加

隨著企業逐漸重視日益增加的網絡風險，其對于網絡安全保險的需求有所增加。根據對標準普爾市場情報和NAIC的數據分析，2016至2019年生效的網絡安全保單數量從220萬份上升到360余萬份，增加約60%;書面保費總額從21億美元增長至31億美元，增長50%。超過60%的受訪經紀人表示，網絡安全保險增長的前兩大驅動因素為曾遭受網絡攻擊和聽到其他人在網絡攻擊中遭受損失。

圖：2016-2019年網絡安全保險的書面保費和保單數量變化

4. 網絡安全保險保費增加

網絡安全保險保費在2017年、2018年保持相對穩定，在2020年呈顯著增長趨勢。超過一半的經紀人反映，2020第三季度到第四季度，其客戶繳納的網絡安全保險費用上漲了10%至30%;只有15%的經紀人表示，在此期間客戶保費無發生變化。

網絡安全保險費上升有兩方面原因：一方面，客戶需求增加;另一方面，更頻繁和嚴重的網絡攻擊造成了保險公司損失增加，尤其是勒索軟件攻擊，它會阻止用戶訪問系統或數據，直到支付贖金為止。

圖：2017-2020年間網絡安全保險的保費變化

保費增長程度的影響因素包括公司規模、所處行業以及公司對網絡安全的內部控制強度。專門為中小型實體提供網絡安全保險的經紀人表示，目前對于擁有強大網絡控制和低風險行業的小型實體，網絡保單的平均保費維持從1400美元到3000美元不等。由于公司和行業的風險不同，保費可能是平均值的多倍。2021年間，高風險行業和中大型實體的保費增幅預計高于網絡控制強度較高的小企業(保費增幅約5%至10%)。

5. 網絡安全保險供給者數量增加

通過對NAIC的網絡補充數據分析發現，2016至2019年間，提供網絡安全保險的保險公司數量約增加35%。然而，2016年以后新進入網絡安全保險市場的保險公司只占據2019年市場保費總額的9%左右。

可見，網絡安全保險市場的整體集中度高于財產險和意外傷害險市場。結合標普市場情報的市場份額報告和網絡補充數據分析，2019年，10家美國保險集團占據了近70%的網絡安全保費總額，但僅占據當年財產險費和意外險費總額的18%。

6. 專門針對網絡風險的保單增多

專門針對網絡風險的保險，主要有三種提供方式：獨立的網絡安全保險;將網絡安全保險與專業責任保險相結合;對其他保險責任覆蓋范圍提供網絡擔保。網絡風險保單的增加反映出，企業希望保險責任范圍應與數據或系統的機密性、完整性和可用性相關聯;還希望網絡安全保險責任覆蓋更加清晰，這有助于減少網絡攻擊事故中的索賠糾紛和訴訟。此外，獨立保單還有助于投保人獲得更高的保險限額。

7. 網絡安全保險覆蓋范圍不斷變化

網絡攻擊的頻率和嚴重程度不斷增加，特別是勒索軟件的攻擊，導致保險公司縮減了對醫療保健公司、教育公司、國企等實體的保險限額，并增加了對勒索軟件保險責任覆蓋范圍的限制。

8. 免責條款更多，保險條款更為嚴格

保險公司一直在收緊網絡安全保險條款和賠付條件，并在傳統保險覆蓋范圍和一攬子保單基礎上增加網絡擔保免責條款，以避免產生歧義。這些限制旨在消除對潛在網絡風險的覆蓋，潛在網絡風險可能損害多家企業，并造成保險公司遭受重大的不可預見損失，甚至造成償付能力的不足。雖然難以在短期內被消除，但網絡進一步獨立和對相關術語的闡明會有所裨益。

網絡安全保險業面臨的多重挑戰和政策建議

1. 網絡風險事故或損失歷史數據有限

一般情況下，保險公司使用歷史損失數據來量化風險，并設計保險產品的費率。然而，目前有關網絡損失的歷史數據非常有限，數據不完整或質量較差。這些限制使得保險公司很難建立網絡攻擊損失概率預測模型，也沒有全面集中的網絡攻擊信息供保險公司訪問使用。關于網絡事件的不完整或不準確的歷史數據降低了精算模型的可靠性，導致損失估計的不確定性增加。如果無法獲得這些數據，網絡安全保險的價格可能無法準確反映網絡風險。如果網絡安全保險的定價過低，保險公司可能將沒有足夠的資金賠付投保人，甚至會導致保險公司的破產;如果保險定價過高，則可能很少有企業和消費者負擔得起網絡安全保險。

因此，全行業共同收集、共享網絡攻擊信息將有助于提升國家收集網絡事故數據的能力。美國國會可以建立一個實體專門收集數據，進而更好地理解網絡風險，幫助保險業構建更好的風險模型。此外，還可以在美國國土安全部設立公私合作組，與保險公司和網絡風險模型構建公司合作，匯集可用數據，從而為網絡風險建模的創新進步提供信息支持。

2. 網絡安全保險缺乏通用定義

構建標準化保單模板和保單語言的保險服務辦公室表示，網絡保單中使用的語言差別很大，保險額度超過500萬美元的保單與標準化的語言、模板有較大區別，運營商在其定義中可能會使用略有不同的語言。

由于關于網絡攻擊和網絡恐怖主義的定義缺乏全球共識，保險公司也可能會以不同的方式來定義勒索軟件攻擊。不一致的保單術語(包括關鍵保單條款的定義)可能會給保險業帶來挑戰。如果行業對關鍵保單術語未使用統一定義，將無法明確哪些風險被覆蓋、哪些風險未被覆蓋，進而使得保險行業難以形成廣泛的政策標準。此外，這種歧義可能導致保險公司和投保人之間的誤解和訴訟。

通用術語將有助于形成更具可持續性的網絡安全保險市場。網絡安全保險的可持續性意味著，保險公司可以明智地選擇保險責任覆蓋范圍，投保人也可以理解相應的責任范圍。一些行業利益相關者建議提高保險語言的清晰度和透明度，包括對關鍵保險術語的統一定義。聯邦、州政府和保險行業可以加強合作，推出通用定義。

3. 企業對網絡風險和保險責任覆蓋范圍的認知有限

許多實體，特別是小型企業，可能低估了所面臨的網絡風險和減輕這些風險所需的網絡安全保險責任覆蓋范圍。保險額度偏低和承保范圍不足的保險會造成保護縫隙，從而增加公司的財務風險敞口。在全球范圍內，網絡事故造成的年均經濟成本幾乎是年均自然災害損失數額的兩倍。商業改善局的一項調查發現，87%的小企業受訪者認為自身容易受到網絡攻擊。然而一些規模較小的實體可能沒有完全認識到所面臨的網絡風險規模，以及網絡攻擊對其業務的潛在影響。一些企業猶豫是否應購買網絡安全保險，因為他們未看到網絡安全保險的價值，認為其無法修復公司遭受的網絡攻擊，或者認為這類保險包括過多的除外責任。

保險代理和經紀委員會建議，保險行業可以幫助實體了解網絡攻擊對其運營造成的風險和潛在損失，并了解其購買的保險責任范圍及除外責任。一些中小企業的技術資源有限，或具有網絡安全專業知識的員工也很有限，因此并沒有充分利用網絡安全保險公司的服務。

4. 《恐怖主義風險保險法案》(TRIA)對網絡攻擊的適用性不足

由于美國財政部從未根據TRIA認證過任何事故，而網絡攻擊特征很可能不容易符合該法案的認證要求，所以網絡攻擊是否能被定義為恐怖主義行為存在不確定性。財政部認定的恐怖主義行為必須是暴力的或危及人類生命、財產或基礎設施的行為，這些恐怖主義行為通常會給美國帶來損失，并強迫美國平民或通過強迫手段影響美國政府。然而，網絡攻擊可能不是暴力的，也可能會給位于美國以外的計算機服務器造成損失。此外，網絡攻擊可能是為了獲取經濟利益，而不是強迫政府或美國人民。

如果想要TRIA更廣泛地覆蓋網絡攻擊，國會可以修改認證標準：包括電子數據和基礎設施相關損失;擴展地理參數(囊括除美國外其他國家遭受的危害);擴大網絡攻擊的意圖范圍(包括除強迫外其余意圖)。但是，擴大TRIA的覆蓋范圍可能會對保險市場產生短期影響。如果保險公司認為他們無法承擔這類水平的風險，可能會收回他們提供的財產和責任保險。同時，對電網的大型網絡攻擊可能會造成超出TRIA所設定的1000億美元損失上限，超過上限的損失是沒有保險的。此外，私營部門保險公司承擔風險的能力也存有隱患，而國會對TRIA的重新授權通常會將風險從聯邦政府轉移到私營部門。2020年5月的一份報告顯示，據財政部風險分擔機制咨詢委員會調查，由于損失風險敞口的變化，TRIA可能不再是保障保險業穩定的有效框架，并建議財政部重新評估改變上限的潛在影響。

5. 網絡風險正在演變，可能涉及巨額損失

隨著技術和網絡攻擊方法變化，網絡風險持續演變，使得保險公司難以承保。恐怖分子手段的復雜性和敏捷度均在上升，技術的進步和數字設備與互聯網或云計算連接性的增加給承保網絡安全保險帶來了挑戰。德勤近期的一份報告指出，即使保險公司收集了更多的數據，并基于之前的網絡數據訓練改進了預測模型，但潛在的風險暴露仍在不斷變化，這使得在保險公司不清楚供給者攻擊目標、策略或技術的情況下，很難構建一個可靠的預測模型。

此外，一次網絡攻擊可能會損害多家公司業務，并造成重大損失，許多企業可能同時提出索賠，使保險公司面臨財務挑戰。網絡攻擊可能會迅速蔓延，并造成巨額損失。據劍橋風險研究中心在2016年發布的一份報告，大多數保險公司為此選擇不擴大其網絡安全保險規模。威達信表示，由于對此類攻擊造成的系統性風險和潛在巨額損失的擔憂，保險公司尋求在已有的、非巨額投資組合損失之外的損失建模，包括對災難性網絡事故影響的預測。隨著網絡投資組合的持續增長和建模水平的成熟，預計保險公司將更加依賴數據分析來為承保策略、產品定價和再保險購買提供信息。