王禹：网络安全保险的新兴发展与监管研究（2）

二、网络安全保险案例分析

（一）目前在售网络安全保险情况

2015年8月，众安在线财产保险股份有限公司（以下简称“众安保险”）携手全球领先的云计算服务商——阿里云，基于企业用户在租用阿里云服务器时对信息安全方面的需求，推出了国内首款云计算保险，全方位护航云计算服务的安全。在承保前，根据阿里云用户对服务器的使用情况及是否有被黑客入侵的历史记录等进行筛选。投保生效后，一旦用户因网络安全、云服务、硬件设备故障等问题遭受损失，只需向阿里云反馈情况，核实后即可得到赔付，同时还对数据的私密性和销毁性等提供相应保障。2016年1月，众安保险又与阿里云又推出了国内首款网络安全类保险——信息安全综合保险，包含数字资产损失保险和数字资产安全责任保险两部分保障范围，最高赔偿达100万元，保费由阿里云承担。其中，数字资产损失保险是保障因发生未经授权访问、未经授权使用、将恶意代码引入被保险人自有或租用的计算机系统或对其发起的拒绝服务攻击等风险事件，并导致被保险人的服务中断或任何由被保险人拥有、保管或控制的，且受保密协议或类似合同保护的相关用户的信息遭到泄露、损坏或完全灭失，保险人对由此产生的数字资产的直接经济损失和（或）数字资产的重置费用，按照保险合同约定进行赔偿；数字资产安全责任保险是保障在约定的保险期间或追溯期内，由于上述风险事件导致被保险人拥有、保管或控制的数字资产发生泄露，并直接导致第三方因此遭受直接经济损失，则保险人对第三方在保险期间内或延长报告期内首次向被保险人提出的依法应由被保险人承担民事赔偿责任的赔偿请求，以及被保险人被提起仲裁或者诉讼所支付的法律抗辩费用或事先经保险人书面同意支付的其它必要的、合理的费用，按照保险合同约定进行赔偿。

（二）存在的问题

目前，众安保险主要通过阿里云的渠道，向使用阿里云且注册资本金在100万以上的金融、电商类企业用户推介网络安全保险产品。此外，阿里云在投保前对用户的安全能力和信誉进行审核后，对部分安全防护能力较差的客户，要求额外购买服务器安全托管服务。

根据历史数据，当前阿里云平台的平均入侵比例约为0.5% /月（见下图），一些安全能力差的小客户经常被黑客反复入侵。但在被入侵的客户中，数据遭公开泄露的比例低于0.5%，所以目前实际发生经济损失的案例相对较少。

综上，目前存在的难题可能主要有以下方面：一是实际发生经济损失的事件较少，云服务商主动为企业购买该保险产品的动力略有不足；二是虽然该产品是为云服务商的用户度身定制，但保险公司只能通过云服务商才能接触到该客户，因此在产品推广上相对被动；三是出于商业利益和商誉等考虑，云服务商未必愿意对外披露实际发生的损失，也使潜在用户对该产品的了解程度不够。

（三）原因分析

虽然网络安全保险产品具有巨大的潜力，但又有赖于法律环境、技术标准、风控经验等基本发展条件，目前该类产品尚处于摸索阶段。制约因素主要有如下几项：

1. 法律环境尚待完善。因为风险保障的额度较大，对保险条款的严谨程度要求高，而个人隐私保护、网络风险损失责任赔偿等方面的法规还比较滞后（网络技术的发展往往超前于法规的制订），各保险公司在产品开发时缺少可参照的依据。

2. 部分关键技术还不成熟、人才比较欠缺。加密技术、访问控制、防火墙、电子安全交易认证等还未达到网络安全保险发展所要求的技术水平。同时，也需开发出适合我国保险市场发展需要又与国际标准相通用的网络技术。

3. 保险公司还缺乏承保和风险防范方面的经验和动力。若风险事件一旦发生，损害的对象是广泛和跨地域的，除了物质财产的直接损失，因知识产权、电子数据、资料、企业或个人信誉等遭受的侵害，以及第三者责任引起的损失也可能使保险公司难以承受。因此不敢贸然出手，也缺乏积极心。

4. 用户的意识和对相关保险产品的认知程度还比较弱。主要因目前相关保险产品尚处于摸索阶段，鉴于风险可控的原则，保险公司在推广过程中也比较谨慎。同时，风险事件造成的法律惩罚机制还不完善，所以警示作用有限。