互联网环境下,数据隐私与安全的法律建设层出不穷。继《数据安全法》和《网络安全法》颁布后,近日,期待已久的《个人信息保护法》正式公布上线时间表。随着顶层设计的密集出台,网络安全建设迫在眉睫。此外,网络安全保险试点首次被写入三年规划,为信息安全增加一道“保护屏障”的网络安全保险的重要性更是不言而喻。
业内人士认为,随着国家在网络安全领域一系列法律法规的加紧出台,网络安全保险行业发展势头喜人,可以预见未来将有更多保险机构进入这一蓝海市场。但产品定价、专业人才稀缺、服务机制不规范等绊脚石依然存在。国内网络安全保险路在何方?
顶级网络安全保险会搭“风”?
随着数字信息技术的快速发展,数据已成为数字经济发展的核心生产要素,是重要的国家资产和基础性战略资源。随着数据价值的日益凸显,数据安全风险与日俱增,数据泄露、数据贩卖等数据安全事件频发,给个人隐私、商业秘密和国家重要信息带来了严重的安全隐患。
8月20日,《个人信息保护法》表决通过。它与之前实施的《数据安全法》和《网络安全法》一起,直面信息安全方面的漏洞和困难,为保护个人和企业提供了强有力的法律保障。与此同时,信息安全话题再次引起广泛讨论,转移信息风险的网络安全保险也成为聚光灯下的焦点。
“目前网络安全保险的主要业务有网络敲诈、业务中断、信息泄露责任等。”上海建伟律师事务所高级顾问王敏解释说,网络安全保险作为一种有效的企业网络安全风险管理工具,涵盖的损失范围非常广泛,不仅包括被保险人因网络安全事件造成的第一方费用和经济损失,还包括被保险人依法需要对第三方承担的民事赔偿责任。
“《个人信息保护法》第二十条和第二十一条规定了网络运营者和个人信息处理者的侵权责任范围、义务和举证,为网络安全保险中被保险人民事责任的认定提供了依据。”中国社科院保险与经济发展研究中心副主任王湘南对北京商报记者分析。“第27条和第34条界定了数据处理者的范围,包括对国内自然人行为主体的分析和评估,支持了保险需求的普遍性。”
个人信息保护法的制定给网络安全保险带来哪些发展机遇?王湘南分析,首先,《个人信息保护法》明确列举了信息处理者的信息保护义务和补救措施,为设计责任保险条款提供了依据,促进了龙头保险公司的网络风险管理服务需求;其次,要求信息处理者提前做好个人信息保护的影响评估,使其意识到自身的风险和保险保障的需要;第三,举证责任倒置的设计降低了保护信息处理人权利的成本,这反过来有助于促进保险需求。最后,没有惩罚性赔偿的制度设计和集团诉讼条款,对保险需求的刺激可能是有限的。
至于《个人信息保护法》第57条明确了个人信息处理者对信息泄露的法律救济和告知义务,第69条确立了个人信息侵权的“过错推定”归责原则,第70条确立了个人信息侵权的公益诉讼制度,王敏说,“这大大增加了个人信息处理者的民事责任风险及其通过网络安全保险转移风险的需求”。
此前,网络安全法和数据安全法的相继实施,为网络安全保险的发展奠定了基础。今年7月,工信部网络安全管理局也发布了《网络安全产业高质量发展三年行动计划》,其中提出开展电信和互联网、工业互联网、车联网等领域网络安全保险服务试点。
随着网络安全领域一系列国家法律法规的加紧出台,以及重要行业网络安全顶层设计的密集出台,网络安全保险行业的发展迎来了新的时代。元宝科技创始人兼CEO韩冰表示,面对日益严峻的网络安全问题,网络安全保险具有巨大的社会价值。既能为各行业建立完善的网络风险应对预案,又能为个人隐私建立保护屏障。
市场潜力巨大的问题还有待解决。
根据《中国网络安全保险行业发展白皮书》,2021年全球因网络犯罪造成的经济损失预计将达到6万亿美元,逼近世界经济的10%。
网络犯罪造成的风险损失不容小觑。但风险中有活力,催生了全球超百亿空的网络安全保险市场。除了上述法律法规的完善,“十四五”加速我国数字化,也为网络安全保险提供了前所未有的发展机遇。
目前,国内网络安全保险业的发展正从萌芽阶段逐步进入初步探索阶段。然而,目前国内的网络安全保险产品主要是由国外的一些保险公司从海外引入中国的。虽然保险条款内容与国外类似,但很少充分考虑国内被保险群体特有的风险和保险需求。
至于目前阻碍网络安全保险发展的“绊脚石”,韩冰指出,首先是公众接受程度。现阶段,国内企业通过保险转移网络风险的接受度仍然较低。其次,现有的网络安全服务难以匹配保险环境的需求,网络安全保险行业尚未形成规范的服务机制。网络安全保险提供商经常面临风险如何定价、企业需要购买什么样的保险、企业能从保险中获得什么样的实际回报等问题。
首都经济贸易大学保险系副主任李文忠也分析,网络安全保险刚刚兴起,数字化风险形式瞬息万变,导致保险公司很难对网络安全保险产品进行准确定价。同时,保险公司的数字安全技术人员,尤其是高级安全工程师严重不足。一方面,难以为客户提供有效的事前风险防范和管理服务;另一方面,保险欺诈风险也很高。
“此外,目前除电子账户外,其他数字资产的价值仍难以准确评估,导致网络安全保险无法赔偿数据丢失造成的数字资产损失,只能赔偿数据恢复和更换的费用。最后,一旦发生大规模网络安全攻击,保险公司可能面临巨额保险理赔,威胁其财务安全。”李文忠补充道。
从哪里寻找突围之路?行业建议:需要大家共同努力。
网络安全风险是动态的、不确定的。传统的风险防范手段并不能解决所有的安全风险。保险作为一种风险管理方式,需要不断创新和升级,才能更好地应对日益增加的网络安全风险。其中,再保险公司在网络安全保险的风险转移中发挥了重要作用。
面对核保难、定价难等核心问题,北京商报今日记者了解到,目前,保险公司、再保险公司已联合业内保险科技公司,共同开发网络安全保险与科技创新相结合的应用方案,将网络安全威胁模型与保险定价模型、承保范围相结合,基于科技公司自主知识产权的量化风险评估模型和平台,帮助保险、再保险公司提升核保定价能力。
由此看来,网络安全保险要想健康前行,茁壮成长,在法制先行的同时,其他领域也要跟上步伐,实现多方共治,共同推开绊脚石。正如王敏建议,未来国内保险机构需要根据国内客户的具体风险场景和需求,打造本土化的网络安全保险产品,解决其在网络安全风险管理方面的痛点。
王民还强调,保险公司还需要提高保险业自身的网络安全风险管理水平和能力,尤其是风险评估和风险控制服务能力。这就需要与第三方网络安全专业服务机构合作,为被保险人提供一站式的保险和风控解决方案。
韩冰也认为,网络安全保险并不是一个纯粹的保险产品,而应该基于投保企业的网络安全风险管理需求,为其提供一揽子、全周期的管理方案。这就需要保险公司加强与专业第三方技术公司的合作和推广,帮助企业降低安全事故风险和网络安全事故带来的损失,最终构建“保险+风险管理+服务”的网络安全保险新生态。
北京商报记者陈婷婷实习记者胡永新
