本报记者陈晶晶北京报道
党的二十大报告在健全国家安全体系中指出,要强化金融、网络等安全保障体系建设。
11月7日,为加快推动网络安全和金融服务创新融合发展,大力培育网络安全保险新业态,促进网络安全产业高质量发展,工业和信息化部会同中国银保监会起草了《关于促进网络安全保险规范健康发展的意见(征求意见稿)》(以下简称“《征求意见稿》”)。
《中国经营报》记者注意到,《征求意见稿》从建立健全网络安全保险政策标准体系、加强网络安全保险产品服务创新、强化网络安全技术赋能保险发展、促进网络安全产业需求释放、培育网络安全保险发展生态等五方面提出了具体要求。
中国工程院院士方滨兴撰文指出,国内相关政策陆续出台,为我国网络安全保险的发展营造了良好的政策环境。网络安全保险行业发展将迎来发展机遇,有望成为一个千亿级别的新兴业务领域,助力我国数字经济可持续健康发展。
20家险企具备相关承保能力
人保财险、平安产险、众安保险、国寿财险等约20家保险公司具备网络安全保险相关产品和承保能力。
今年1月份,国寿财险推出了国内首款个人网络安全保险。该产品围绕个人网络使用常见场景,针对潜在非主观行为导致的网络安全风险,覆盖资金失窃、身份信息失窃、网络购物欺诈等保险责任。
作为针对数字经济特定风险的新险种,网络安全保险是以投保人信息资产安全性(信息的完整性、机密性、有效性等)作为保险标的的保险产品。其本质是传统财产保险在网络空间中的延伸。网络空间可参与保险的资产要素包括设备、系统、应用、数据、人员、组织等。根据不同的风险转移需求,保险公司会开发系统/算法失效险、数据安全责任险、网络安全综合险等不同的网络安全保险,并结合不同行业特色需求,根据能源、金融、通信、医疗等不同行业设计定制化保险方案。
目前,网络安全保险承保的网络事件类型丰富多样,包括数据泄露、数据损毁、勒索软件攻击、拒绝服务攻击、恶意软件、病毒、网络敲诈、人为错误、编程错误等多种网络事件。
中国保险行业协会数据显示,目前国内市场在售网络安全保险产品超过50款,其中大部分是关于网络安全风险一揽子保险产品。人保财险、平安产险、众安保险、国寿财险等约20家保险公司具备网络安全保险相关产品和承保能力。
不过,众安保险相关负责人对《中国经营报》记者表示,现阶段,网络安全保险发展还存在一些难点,比如投保企业比较少,险企风险分散能力有限,风险量化能力比较弱,精算模型的定价能力不足等。
一家大型财险信息技术相关负责人对记者表示,保险公司自身理赔团队的理赔能力主要是以车险和传统非车险为主,对于网络安全保险这些新型风险的出险率、损失烈度等还不太掌握,因此在此类险种的开发和推广上,险企还是较为慎重。
“在市场供给端,即使保险公司获得了有关网络损失事件的更多历史数据,网络风险建模仍将继续带来挑战。网络保险建模问题的核心是历史攻击不一定会在未来重复,为了帮助保险公司准确定价未来的网络风险,必须开发预测性网络风险模型。在市场需求端,目前中国网络安全保险以服务企业为主,大型企业对于网络安全保险的付费意识更强,而中小企业和个人的保险意识相对缺乏,导致网络安全保险在相关领域尚未形成市场。此外,大众消费者对网络安全问题或带来的经济损失的理解及关注度较低,也加大了该类产品在市场上的销售难度。”上述众安保险相关负责人进一步认为。
政策发力
《征求意见稿》还要求,加强网络安全保险产品服务创新。鼓励保险公司面向不同行业场景的差异化网络安全风险管理需求,开发多元化网络安全保险产品。
记者注意到,在《征求意见稿》发布之前,今年已有多个新文件出台支持网络安全保险。
例如,今年6月份,公安部下发的《关于落实网络安全保护重点措施深入实施网络安全等级保护制度的指导意见》(公网安〔2022〕1058号)中提到要探索开展网络安全保险。研究网络安全保险相关政策和标准规范,共同培育市场,试点先行,构建“保险+风险管控+服务”模式,提升网络安全社会治理能力。
7月21日,中国银保监会、上海市人民政府《关于印发中国(上海)自由贸易试验区临港新片区科技保险创新引领区工作方案的通知》,鼓励保险机构加强与网络安全领域科技企业的合作,创新网络安全保险服务模式,促进网络安全产业与保险业共赢发展,为企业提供安全、可靠的网络环境。
9月28日,在上海银保监局和上海市经信委的指导下,上海市保险同业公会发布了国内首个网络安全保险服务团体标准《网络安全保险服务规范》,对开展网络安全保险业务在承保、风控、理赔服务等各个环节制定了统一标准要求。
《征求意见稿》对业界实践中的问题和当前已经出台的政策文件进行了回应和补充。
《征求意见稿》明确,要完善网络安全保险政策制度,包括加强网络安全产业政策对网络安全保险的支持,推动网络安全技术服务赋能网络安全保险发展,引导关键信息基础设施保护、新兴融合领域网络安全保障等充分运用网络安全保险。加强保险业政策对网络安全保险的支持,指导网络安全保险创新发展,引导开发符合网络安全特点规律的保险产品。
在健全网络安全保险标准规范方面,支持网络安全产业和保险业加强合作,建立覆盖网络安全保险服务全生命周期的标准体系,明确承保、核保、理赔等主要环节基本流程和通用要求。研究制定承保前重点行业领域网络安全风险量化评估相关标准,规范安全风险评估要求;承保中网络安全监测管理服务相关标准,规范监测预警方法;承保后理赔服务实施要求相关标准,规范网络安全保险售后服务。
不仅如此,《征求意见稿》还要求,加强网络安全保险产品服务创新。鼓励保险公司面向不同行业场景的差异化网络安全风险管理需求,开发多元化网络安全保险产品。面向重点行业企业开发网络安全财产损失险、责任险和综合险等,提升企业网络安全风险应对能力。面向信息技术产品开发产品责任险,面向网络安全产品开发网络安全专门保险,为信息网络技术产品提供保险保障。面向网络安全服务开发职业责任险等产品,降低专业技术人员在安全服务过程中因人为操作可能引发的安全风险。
产能释放
众安保险相关负责人对记者表示,从政策层面来看,国内网络安全保险正在迎来前所未有的战略机遇期。
IDC数据显示,2021年全球网络安全IT总投资规模为1687.7亿美元,并有望在2026年增至2875.7亿美元,五年复合增长率(CAGR)为11.3%。聚焦中国市场,2026年中国网络安全IT支出规模将达到318.6亿美元,全球占比约11.1%,五年复合增长率约21.2%。中国网络安全市场增速持续领跑全球,五年复合增长率近全球两倍。
而网络安全技术创新、开辟市场蓝海、信息产业结构升级换代离不开网络安全保险助力,网络安全产业和金融服务融合发展,亦将进一步释放新动能。
国家工业信息安全发展研究中心《我国网络安全保险产业发展白皮书(2021年)》显示,国内财产保险公司积极寻求与网络安全专业技术机构的合作,推动保险机制与网络安全技术措施相结合,以扩大投保企业对这一新兴险种的接受度。并且,网络安全产业主体也逐渐意识到保险机制对于完善网络安全服务体系、形成网络风险管理闭环的重要作用,在其业务体系内增加了网络安全保险服务,进一步推动了保险产品与网络安全服务融合发展。
《征求意见稿》亦明确,面向电信和互联网、能源、金融、医疗卫生等重点行业,以及工业互联网、车联网等新兴融合领域,围绕网络安全与信息技术产品服务供给侧和需求侧两类主体,充分发挥网络安全产业、网络安全保险相关联盟协会等作用,开展网络安全保险服务试点,形成可复制、可推广的网络安全保险服务模式,促进网络安全保险推广应用。鼓励重点行业企业完善网络安全风险管理机制,推动电信、能源、金融、交通、水利、教育等重点行业企业积极利用网络安全保险工具,有效转移、防范网络安全风险,提升网络基础设施、重要信息系统和数据的安全防护能力。支持中小企业通过网络安全保险监控风险敞口,建立健全网络安全风险管理体系,不断加强中小企业网络安全防护能力。
众安保险相关负责人对记者表示,从政策层面来看,国内网络安全保险正在迎来前所未有的战略机遇期。