2023年7月17日,工业和信息化部、国家金融监督管理总局联合印发《关于促进网络安全保险规范健康发展的意见》(以下简称《意见》)。《意见》作为我国网络安全保险领域的首份政策文件,立足我国网络安全保险发展现状和亟待解决的问题,围绕完善政策标准、创新产品服务、强化技术支持、促进需求释放、培育产业生态等提出五方面10条具体意见,为网络安全保险规范健康发展指明了方向、明确了路径。《意见》的出台对提升我国网络安全风险应对能力,构建网络安全社会化服务体系护航网络强国、数字中国建设具有重要意义。
《意见》指出,网络安全保险是为网络安全风险提供保险保障的新兴险种,已日益成为转移、防范网络安全风险的重要工具,在推进网络安全社会化服务体系建设中发挥着重要作用。
从需求端看,网络安全是网络强国、数字中国建设的重要保障。党的二十大报告明确指出,建设现代化产业体系要“加快建设制造强国、质量强国、航天强国、交通强国、网络强国、数字中国”,要“加快发展数字经济,促进数字经济和实体经济深度融合,打造具有国际竞争力的数字产业集群”。据统计,截至2022年,我国网民规模达10.67亿,互联网普及率高达75.6%。与此同时我国数字经济规模达50.2万亿元,占GDP比重提升至41.5%。数字化时代,数据成为生产资料,计算能力成为生产力,互联网成为生产关系,但同时也滋生了数据泄露、数据损毁、网络攻击等网络风险,成为数字时代影响人们生产与生活的新型风险。
网络安全风险已经成为影响国家、社会安全的重要因素。2018年4月,习在全国网络安全和信息化工作会议上指出“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障”。网络风险在国家对抗中可能导致部队指挥系统混乱、武器装备失灵;在企业生产中可能导致商业机密泄露或者生产停摆;在国家治理中,可能导致政府部门瘫痪,管理不畅;在城市管理中,可能导致水、电、气、交通等基础设施失效、社会服务停滞。网络安全风险的范围和影响程度已经超过了过去各种普通风险,网络安全已经成为国家安全的重要屏障和社会安全的必然基础,是数字时代最重要的风险防护工程。
从供给端看,保险是有效管理风险,保障网络安全的重要工具。保险始终是管理各种风险的有效手段,作为应对数字经济特定风险的新险种,网络安全保险是以投保人信息资产安全性(信息的完整性、机密性、有效性等)作为保险标的的保险产品,其本质是传统财产保险在网络空间中的延伸,可以为种类繁多的网络安全事件提供全面风险保障,包括数据泄露开云注册APP下载安装、数据损毁、勒索软件攻击、拒绝服务攻击、恶意软件、病毒、网络敲诈、人为错误、编程错误等。为保障被保险人稳定经营,除了传统的损失补偿职能外,网络安全保险还初步建成了“保险+服务”的运营模式,通过引入网络安全专业力量,精准识别风险、评估风险并有效开展风险减量服务,有利于社会整体安全价值的提升。2022年全球网络安全保险市场保费规模约为119亿美元,预计五年内仍将保持年均20%以上的高速增长,到2027年将超过300亿美元,发展空间十分广阔。网络安全保险已成为防范、转移、化解网络安全风险的重要工具,在网络安全社会化服务体系建设中发挥着重要作用。
以推进供给侧改革为重要抓手,积极发挥保险力量助力网络安全社会化服务体系建设
网络安全保险起源于海外市场,在美国、欧洲等地区发展较为成熟,展现出巨大发展潜力。2022年,我国网络安全保险整体保费规模约为1.4亿元,较上一年翻一番,与全球网络安全保险百亿美元的市场规模有很大差距,一定程度上存在供需双冷的问题。一方面,从需求侧看,网络安全保险仍属于新兴业务,产品形态复杂,市场的接受度提升需要一个过程;另一方面,从供给侧看,承保初期,保险公司在风险评估、定价及服务方面专业力建设滞后,无法提供充足的承保能力。因此医疗,加强产品、服务和模式创新,强化网络安全技术对保险的赋能发展,充分发挥网络安全保险在风险管理中的作用,已经成为各相关方的重要任务。《意见》也进一步提出了具体要求。
总结近些年实践,行业已开展了一些“保险+服务”的有益尝试,主要包括:以保险产品为核心的风险减量管理模式。例如中国人寿财险2020年8月在第八届互联网安全大会上发布的“网安心”网络安全保险产品,已为金融机构、制造业企业、大型主题公园等多家知名企业提供风险保障。以安全产品为核心的剩余风险保障模式。例如中国人寿财险与头部安全服务公司、科技公司以及部分行业同仁共同发布的“零事故”网络安全保障险。除上述两种模式以外开云注册APP下载安装,行业也在积极开展针对细分领域的创新模式探索,例如普惠保险、个人网络安全保险、供应链网络安全保险等,为保险服务网络安全提供了更多颇有价值的发展路径。
深入贯彻落实《意见》要求,保险公司要不断优化网络安全保险产品服务供给,切实发挥保险在网络安全建设体系中的作用。
一是推进产品多元化,进一步激发市场需求。基于不同网络主体、不同场景的网络安全风险特点,进一步丰富网络安全保险产品体系,推动网络安全保险从当前“大而全”、高度同质化的全风险保障产品,向定制化、精细化、场景化方向延伸,差异化满足不同客户的精准风险保障需求,进一步提高网络安全保险的普适性和覆盖面。
二是推进服务标准化,进一步提升服务质效。在建立网络安全保险服务能力的基础上,进一步提升服务流程的标准化程度。通过探索标准化的风险问询、风险评估、保中监测、应急服务、保后管理、定责定损等,降低各方沟通成本,将保险服务落到实处,切实发挥保险风险减量管理的作用。
三是推进数据共建,夯实风险量化评估基础。借鉴国内外风险量化工具及优秀经验,完善风险定价能力,特别是对于网络巨灾风险的量化评估能力。同时建议由国家相关部门牵头,保险行业、网络安全行业共同协作,通过开展网络安全保险,建立网络安全风险事件损失数据库,搭建风险量化模型,进一步完善我国网络安全损失数据基础,同时服务于网络安全生态圈中的管理者和需求方。
四是推进交流合作,建设网络安全生态圈。针对网络安全保险经营专业性要求,进一步加强保险机构、学术机构、科技企业、各类企业等专业机构间的交流合作,促进网络安全保险公共基础服务体系建设,共同推动学界、产业界、网络安全业和保险业的协同发展,构建网络安全生态圈,切实将网络安全保险打造为生态圈中的重要一环。