来源:中国银行保险报时间:2023-09-20 07:14
□马达
随着全球信息化浪潮的不断推进,网络安全逐渐成为社会关注的热点,国家层面对网络安全的重视程度也在持续上升。2023年7月,工业和信息化部与国家金融监督管理总局联合印发《关于促进网络安全保险规范健康发展的意见》,这是我国网络安全保险领域的一份政策文件,意在指导和鼓励各方主体积极推进网络安全保险产品和服务创新,构建网络安全风险管理体系。
当前,我国网络安全保险的发展尚处于起步阶段,行业制度标准不健全,企业投保意愿不强。笔者借鉴国外网络安全保险的成熟经验,为我国网络安全保险的发展提出几点建议,供业内人士参考。
政府需加强对网络安全保险的引导与政策支持
《2022年全球网络安全保险市场报告》显示,2022年全球网络安全保险市场规模约为119亿美元,其中美国占据着全球网络安全保险市场的主要份额。美国之所以能发展成全球最大的网络安全保险市场,跟美国政府通过立法及发布行业指南鼓励、指导企业购买网络安全保险有很大关系。如2019年3月,马萨诸塞州立法修正案增加了“任何采购信息技术产品或服务的国家机构,应优先考虑具有网络安全保险的供应商”条款;2020年5月,堪萨斯州通过了有关网络安全保险的法案,鼓励相关机构购买网络安全保险,并明确了网络安全保险的定义和承保范围;2021年2月,加利福尼亚州修订了《公共合同法》,增加了“合同应要求承包商提供足够的网络安全保险,以承保可能因非法访问或披露个人信息而造成的一切损失”条款,为公共部门提供网络安全保护。
通过多方努力,我国正在逐步构建一个合理有效的网络安全法律制度体系。《网络安全法》和《中华人民共和国密码法》分别于2017年和2020年相继颁布实施,《中华人民共和国数据安全法》和《关键信息基础设施安全保护条例》也于2021年9月正式实施。《关于促进网络安全保险规范健康发展的意见》的印发,更是加快推动了网络安全和金融服务创新融合的发展,培育出网络安全保险新业态,极大促进网络安全产业高质量发展。
健全的法律基础对于网络安全保险的发展十分重要。比如《网络安全法》中对企业网络安全事件处理有明确规定,但较多为定性规定,未涉及具体法律责任及追究制度。在此笔者建议,我国尽快制定配套的法律法规,进一步细化具体法律责任及追究制度。一方面,组织网络安全行业专家,对网络安全事件惩罚定量化,为保险定价及赔偿标准提供法律依据;另一方面,明确网络安全边界,界定网络安全事件责任主体和受害主体,在解决索赔纠纷事件时有法可依。
另外,建议对网络安全保险发展提供财政支持和税收优惠。第一,对投保主体的网络安全保险保费提供一定的财政补贴,可以根据不同投保主体企业类型设定不同的补贴标准,具体实施可参照我国科技保险和知识产权保险的补贴机制。网络安全保险保费财政补贴几乎也是大多国家通行的实践做法,如美国《数据泄露保险法》规定,符合改善关键性基础设施网络安全的投保项目,其网络安全保险费成本20%的部分可以享受税收抵免。第二,对保险公司网络安全保险保费收入适当减免相关税收。第三,投保企业参与IT安全认证的费用,建议可以由政府提供财政支持,这样既可以提高投保企业的投保意愿,又有助于保险公司降低核保费用,提高承保质量。
保险企业需提高网络安全保险经营水平
1.构建数据共享平台,提升网络安全保险定价能力
网络安全保险保障范围的选择与扩展会受制于其产品的定价能力,而有效的定价必须依托于有效的数据基础。在网络安全保险发展较好的国家中,政府一般会通过数据共享计划等方式承担部分网络风险数据收集、共享的责任和义务。保险公司在拥有政府的公开数据基础上,同时加强与网络安全技术方、风险建模公司的合作与数据共享,打造保险行业内的信息共享数据库。
保险公司在这些数据的基础上,可有序进行产品开发和定价。如基于阿里数据库开发适用于阿里客户的网络安全保险产品,基于客户账户资金被盗的相关数据而设定的客户账户资金安全险,基于网游行业设定的虚拟账户安全险和电信欺诈险等。总结来说,保险公司可充分利用闭合场景需求方的数据进行产品开发和产品定价,如金融行业、医疗行业、电商行业、教育行业等闭合场景,这是保险公司扩展保障范围的现实选择。
2.多种方式提升保险公司承保能力
对于一些较大保额的网络安全保险保障,保险公司可以合理地利用再保险,以增强该保险保障经营的稳定性。对风险性质相近的一些行业,保险公司可通过行业统保的方式,以增强同类风险的大数性质,同时降低营销和核保成本,实现行业统一承保的规模经济。
对于一些新型网络安全风险的小额承保,保险公司可以在原来的传统保险保单中扩展保障范围或者附加责任方式承保,形成传统保险和网络安全新型风险的风险组合。对于一些定价基础不够稳健的新型网络安全风险的高保额投保,则可通过保险公司之间的共同承保或联合承保方式提供风险保障,以形成保险商之间的风险池,既可以提高保险商的承保能力,又可以相互在风险池进行风险分摊。
在信息共享的条件下,风险池成员可获得其他保险商成员的索赔经验,可以共享有关网络威胁和漏洞的信息,以及分享不同安全实践的成功案例,缩小各保险公司间在承保和建立网络风险模型方面的差距。风险池机制还可抑制一些险企试图通过降低承保标准来获得市场份额的动机,进而有利于网络安全保险市场的规范发展。(上)
(作者系大连交通大学经济管理学院副教授)
