数字经济的快速发展对网络安全提出了新要求，网络安全已成为各国政治、经济、社会、文化博弈的竞技场。同时，个人在享受网络服务的同时，其数据也在时刻被各种机构收集、分析、存储，这些数据所蕴含的网络安全风险已经成为数字时代最为突出的风险之一。

“十四五”以来，我国在互联网移动经济、人工智能、5G等方面均取得了举世瞩目的成就。但随着与之相关的网络安全保障的诉求也逐渐凸显，市场对于网络安全防护和治理能力的需求愈发强烈。习近平总书记在全国网络安全和信息化工作会议中指出，“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。”网络安全事关国家安全、经济社会发展和人民福祉，是一项极端重要的工作。随着网络化、智能化程度不断加深，数字化转型持续推进，网络空间安全风险格局加速演变，网络安全风险成为数字时代最大的风险。

网络安全保险作为风险转移的重要手段，在转移残余风险、优化资源配置、保障组织财务稳定性和业务连续性等方面发挥着重要作用，可以有效聚合各方力量，共同提升网络安全风险治理水平，为数字经济发展和建设网络强国提供重要支撑。

 

网络安全保险概述

随着信息化和网络化不断发展,网络安全的重要性日益凸显,而仅仅依靠技术手段难以完全消除网络风险。因此,保险作为风险转移的主要手段以及企业和个人进行风险管理的方式之一,理应发挥重要作用。20世纪90年代,受到千年虫问题的警示,网络安全保险开始出现。1998年,美国有保险公司开始针对黑客攻击推出相关的保险产品。

网络安全保险是指在保险期间内发生释义定义的网络安全事件引起的保险事故（包括发生服务中断，重要资料泄露或丢失、知识产权受到侵犯），造成企业财产和营业收入损失及对第三方的赔偿责任时，保险公司按照保险合同约定对此承担赔偿责任的商业保险行为。通常覆盖的保险责任包括第一方的损失和第三方的损失。一般的商业保险并不承保网络损失，而网络安全保险则是针对网络经济的特定风险所设计的新险种。

作为针对数字经济特定风险的新险种，网络安全保险是以投保人信息资产安全性（信息的完整性、机密性、有效性等）作为保险标的的保险产品。其本质是传统财产保险在网络空间中的延伸。网络空间可参与保险的资产要素包括设备、系统、应用、数据、人员、组织等。根据不同的风险转移需求，保险公司会开发系统/算法失效险、数据安全责任险、网络安全综合险等不同的网络安全保险，并结合行业特色需求，根据能源、金融、通信、医疗等不同行业设计定制化保险方案。

 

网络安全保险承保范围

 

无论保险公司采取何种保单形式承保网络安全保险，都需要详细清晰界定网络安全保险的承保范围。保险责任需阐明“网络安全威胁（风险）可能导致何种网络安全事件，最终引发何种损失类型”， 其核心为确定“可保网络安全事件”与“可保损失类型”。网络安全保险承保的网络事件类型丰富多样，包括数据泄露、数据损毁、勒索软件攻击、拒绝服务攻击、恶意软件、病毒、网络敲诈、人为错误、编程错误等多种网络事件。现阶段网络安全保险保障范围解析如表 1 所示。

 

表 1 现阶段网络安全保险保障范围解析

 

网络安全保险的必要性

01

 

网络攻击类型日益多样化造成企业损失巨大

迈克菲（McAfee）和美国国际战略研究中心（CSIS）联合公布的研究报告显示，2021年网络犯罪使全球经济损失超过1万亿美元。中国平均每年由于网络安全问题造成的损失高达600亿美元，居亚洲首位、全球第二。

新冠肺炎疫情爆发以来，各国民众已逐渐适应远程办公、在线医疗、网上教育等“新常态”，全球规模的大面积、广范围的线下活动线上化、云上化迁移，直接扩大了网络攻击的暴露面，而许多行为体对互联网的高依赖度并没有做好准备，成为网络攻击的主要对象。网络安全事故造成的损失越来越严重，相关责任方所承受的压力也越来越大。随着复杂多变的风险和威胁产生，控制型措施无法做到万无一失，融资性风险管理措施的作用不言而喻。

02

信息不对称性导致安全防御功能多、价格高的网络安全产品逐步退出市场

由于网络安全产品供应商和网络用户之间的信息不对称，用户对网络安全产品缺乏清晰认知，导致网络用户只愿意以平均价格来购买网络安全产品，促使安全防御功能多、价格高的网络安全产品逐步退出市场，网络安全产品为企业带来的风险抵御效用随之降低。

根据网络安全投入效用曲线（见图1），企业在购入网络安全产品后就具备了一定的网络安全成熟度水平，同时，为购买安全产品所付出的增量开销也抵消了降低风险所挽救的预期损失，再增加安全投入会造成所付出的增量部分抵消不了所挽救的预期损失情况。此时，可以选择通过购买网络安全保险的方式转移残余风险。

03

战略法规政策驱动，合规风险日益增加

最近几年世界各国都加快了关于网络安全和隐私保护的相关立法工作。我国对于网络安全的重视与时俱进，2016年底《国家网络空间安全战略》发布实施以来，网络空间安全已上升至国家战略。《网络安全法》（2017年6月1日）、《数据安全法》（2021年9月1日）、《个人信息保护法》（2021年11月1日）等相关法律的实施，网络安全已成为国家安全不可或缺的重要方面。2021年7月，工信部发布《网络安全产业高质量发展三年行动计划（2021-2023年）（征求意见稿）》提出，探索开展网络安全保险，面向电信和互联网、工业互联网、车联网等领域，开展网络安全保险服务试点，鼓励企业构建并完善自身网络安全风险管理体系，强化网络安全风险应对能力。

美国发布《2021财政年国防授权法案》 《临时国家安全战略纲要》 《改善国家网络安全行政令》等，将网络安全作为重中之重，致力于加强网络空间安全能力、就绪度和弹性。设置国家网络总监作为总统在网络安全及相关新兴技术领域的首席顾问，负责监督和协调联邦政府给出网络威胁应对方案。

俄罗斯总统普京签署的新版《国家安全战略》首次加入信息安全章节，对网络信息安全的重视程度日益增加。

欧盟发布《欧盟数字十年网络安全战略》等数字政策，打响“数字主权”保卫战。

英国发布《网络战略2022》 《安全、防务、发展和外交政策综合评估报告》，将网络安全作为战略重点，以提升英国在全球网络空间的地位。

日本发布《未来三年网络安全战略纲要》，强化网络空间安全的战略指导。设立数字厅指导制定日本网络安全战略方针。

对于企业来说，合规风险日益上升，急需通过保险的方式为企业经营转嫁风险。

 

网络安全保险行业发展现状及机遇

01

国外网络安全保险市场发展成熟

据有关机构测算，2020年全球网络安全保险市场规模高达78亿美元，增长从2016年的26% 上升至2020年的47%，并将在未来5年以大于20%的增速发展，其中美国共有200余家保险公司直接开展网络安全保险业务，2020年保费规模达27.43亿美元。美欧地区通过指定相关强制性法规有效强化企业网络安全风险意识，逐步扩展市场占有率。

02

我国网络安全保险市场规模整体较低

在全球范围内，中国网络安全保险市场尚处于初期探索阶段。据国家工业信息安全发展研究中心测算，2021年我国网络安全险保费规模在7080万元，较上一年增长3.2倍以上，最高保额超过4亿元。虽然这与2021年产险业原保费收入1.17万亿元相比尚不足万分之一，但网络安全保险依然呈现出高速增长态势和巨大发展空间。

03

我国网络安全保险保险类型数量及服务机构较少

从目前国内服务网络安全的机构及在售产品结构来看，国内市场在售网络安全保险产品50余款。除如苏黎世，美亚等外资保险公司外，国内还是以人太平等三大家为主和其他合计20余家中资保险公司具备网络安全保险相关产品和承保能力服务。国内主流的网络安全保险产品以传统险种如企财险，责任险，综合保险进行附加承保，也存在部分应急响应专项险等其他类型险种。

 

国内主流保险产品承保范围及承保责任概述

 

04

缺乏定价数据支持与网络安全风险模型

我国网络安全保险发展历程尚不足6年，行业参与者较少，几乎没有可参考的历史保险损失经验，保险公司获取有效定价基础信息的渠道非常有限，数据的缺失严重制约着网络安全保险的发展进程。对于风险缺乏准确的评估能力也是保险公司风控能力的一大掣肘。网络风险影响因素复杂、数据搜集困难，网络风险的传导性也加大了对潜在经济损失的预测难度，这些都使得保险公司即使看到了网络安全保险市场的机遇，也只能谨慎地开展业务尝试。

05

政策利好将带动网络安全安全快速发展

网络安全方面的法律法规加速健全和完善，内容涉及数据安全、个人信息安全、网络安全等级保护等。2021年1月1日生效的《中华人民共和国民法典》明确界定了隐私和个人信息的范围，有助于促进民事主体对侵犯个人信息行为进行追责。《个人信息保护法》和《数据安全法》为个人信息安全和数据安全奠定了法律基础，让数据安全有法可依、有章可循，为数字化经济的安全健康发展提供了有力支撑。此外，一系列金融监管政策、规范性政策、制度执行指导意见的加速出台，不断增强网络信息安全的保障能力。工信部发布《网络安全产业高质量发展三年行动计划（2021-2023年）（征求意见稿）》，明确提出面向电信和互联网、工业互联网、车联网等领域，开展网络安全保险服务试点。法律和政策日益完善将促进网络安全保险的全面发展。

我国网络安全保护部分相关之配套法律法规示例

06

“十四五”规划将推动网络安全保险多方位发展

国家“十四五”规划重点强调要全面加强网络安全保障体系和能力建设、保障国家数据安全，加强个人信息保护以及建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范，推动数据资源开发利用。

从局部整改到体系融合。全面加强网络安全保障体系和能力建设各行业的建设模式从“局部整改外挂式”走向“深度融合体系化”。从数据资源安全到数字经济安全。数据安全是“十四五”期间的重点任务，重点强调了数据安全保护和数字经济安全保障。建立数据安全保护的基础制度和标准规范，推动数据资源开发利用。从“互联网+”融合体系到产学研一体化建设。基础较好地区产业园区布局，打造一批面向“新基建”重点领域和“高精尖”技术方向的网络安全创新应用先进示范区，加快推动网络安全产业发展和网络安全产业园建设。从基础保障型空间治理到综合整治。“十四五”规划中强调要健全网络空间综合治理体系和深化“净网”行动，具体包括要减少网络电信诈骗、建立扫黑除恶制度、防范化解网上意识形态风险挑战。落实网络安全工作责任制，强化网络空间综合治理。从重要信息系统保护到重点领域安全建设。《网络安全法》、《关键信息基础设施保护条例》等一系列法律法规的出台，都为我国关键信息基础设施保护的顶层设计指明了方向，表明了关键信息基础设施领域的安全保护刻不容缓。

网络安全管理的深层次发展不能仅仅将网络风险看作技术问题，而是应将其纳入企业全面风险管理框架之中。目前来看，以制造、金融、医疗、信息技术等为代表的行业企业对于网络安全保险的需求较大，而通过保险的方式或能为企业提供事前预防和事后管理等一揽子服务。

07

保险+科技+安全”创新保险服务模式落地

2022年1月26日，众安保险正式发布首款全覆盖式网络安全保险产品（简称众安网络安全保险），为首批服务的中小微企业提供网络安全保险服务，承担并优化中小微企业的安全能力建设体系。据悉，该产品面向医疗、教育、金融等网络安全风险重点领域，为被保方提供一站式“保险+科技+安全”的创新保险服务模式。

众安在线此次推出的网络安全保险聚焦企业数字资产领域，保障范围包括网络安全事故发生后，企业承担的自身经济损失和责任。企业自身损失包括事故响应费用、营业收入损失、网络勒索威胁和修复费用等；第三方责任则覆盖数据保密责任、数据安全责任和法律费用。

企业的网络管理网络风险的设想需要建立在政府相关部门、保险服务机构和企业自身三方面协调配合工作的基础上。在网络保险牵头进行网络风险管理的过程中三方协同作用，企业的网络风险才能够得到妥善的管理，在发生相应的危机的时候也能够得到有效的应对。

END

参考文献

网络安全保险保障数字经济高质量发展.中国网信杂志

我国网络安全保险产业发展白皮书（2021 年）.国家工业信息安全发展研究中心

为网络与数据安全上一份保险.中国网信杂志

“保险+科技+安全”新模式 网络安全保险能否迎来春天.历险