(相关资料图)
□ 王天凡
近日,工业和信息化部、国家金融监督管理总局联合印发了《关于促进网络安全保险规范健康发展的意见》(以下简称《意见》)。作为我国网络安全保险领域的首份政策性文件,《意见》立足我国网络安全保险发展现状和亟待解决的问题,围绕完善政策标准、创新产品服务等方面提出10条意见,为推动和引导网络安全保险健康有序发展指明了路径。
自互联网进入人类生活以来,网络安全攻防战就相伴而生。早在2012年,世界经济论坛全球风险报告就将网络风险列为企业所面对的重大风险之一。近年来,网络安全事件依旧频发,特别是有组织、有目的的网络攻击激增,不仅对国家网络和数据安全造成威胁,而且给网络安全产品及服务提供者、服务接受者等造成极大损害。
网络安全是数字经济发展的“生命线”,对于数字经济及发展具有基础性、保障性作用。随着互联网深入渗透经济社会生活,很多互联网企业包括很多传统企业在进行数字化转型过程中,都会积累大量用户数据和业务数据,一旦发生网络安全案事件,不仅会损害企业声誉,影响自身长远发展,而且会严重侵害用户合法权益。因此,确保网络安全、合理分担风险已经成为互联网行业乃至整个数字经济产业亟须面对的问题。
保险制度作为一种市场化的风险分担机制,可以有效应对、管理可能出现的风险。在网络安全领域引入保险制度,同样可以实现这一效果,从而有效推动网络安全理念从“被动安全”管理步入“主动安全”管理时代,提升企业、行业网络安全风险应对能力。
网络安全保险其实并非新鲜事物,在境外保险市场已有较长时间的发展。据《2022年全球网络安全保险市场报告》显示,2022年全球网络安全保险市场规模约为119亿美元,预计到2027年将达到292亿美元,体现出巨大的发展空间。反观我国的网络安全保险市场却不甚发达。统计数据显示,截至2023年3月,我国共有29家保险机构备案了约203款网络安全保险产品,很多传统保险公司对网络安全保险仍持谨慎观望态度。究其原因,一方面是由于学界对网络安全风险的可保性、风险的估算、损害的计算等问题缺乏讨论与共识;另一方面也是因为业界欠缺先前经验可参考。
有鉴于此,相关部门专门印发《意见》,旨在加快推动网络安全产业和金融服务融合创新,引导网络安全保险健康有序发展。具体而言,《意见》提出,应当建立健全网络安全保险政策标准体系,包括完善政策制度、加强政策支持,充分利用地方现有政策,提供保险减税、保险购买补贴等措施;加强网络安全风险监测能力,提升网络安全风险监测预警、应急处置等能力,等等。这些举措可以说是直指当前网络安全保险发展瓶颈的痛点,有助于引导培育网络安全保险新业态,促进企业加强网络安全风险管理。
而针对保险产品设计面临的现实困境——如缺乏网络安全风险量化评估模型、网络安全风险影响规模预测、经济损失分析等,《意见》指出,强化网络安全技术赋能保险发展,包括支持网络安全企业、专业网络安全测评机构等研发网络安全风险量化评估技术,开发轻量化网络安全风险量化评估工具,开展网络安全风险量化评估。这些要求有利于促进技术与保险制度的结合,使得技术能够在规范化的路径下发展,使网络安全保险制度的构建获得技术与数据支持,两者形成合力,为网络安全上好“双保险”。
《意见》的颁布,对于建设网络强国,大力推动网信事业高质量发展无疑具有积极作用。而对保险行业而言,推出网络安全保险也是走出同质化竞争、推动业务创新的有益举措。期待各地各部门能够认真落实《意见》中的各项要求,不断完善优化我国网络安全社会化服务体系,推动网络安全产业高质量发展。
(作者系北京航空航天大学法学院副教授)