文 | 東南大學(xué)法學(xué)院 戴曉軍

《中華人民共和國(guó)個(gè)人信息保護(hù)法》規(guī)定，違法處理個(gè)人信息或者未履行個(gè)人信息保護(hù)義務(wù)，拒不改正的，將處100萬(wàn)元以下罰款；情節(jié)嚴(yán)重的，將處5000萬(wàn)元以下或者上一年度營(yíng)業(yè)額5%以下罰款。對(duì)違法處理個(gè)人信息的嚴(yán)厲處罰乃國(guó)際通例。比如，社交媒體Meta（原名Facebook）曾因泄露超5億用戶數(shù)據(jù)而被愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)罰款近10億歐元，同樣因泄露用戶信息而被韓國(guó)個(gè)人信息保護(hù)委員會(huì)罰款67億韓元。由于違法處理個(gè)人信息的行政罰款金額巨大，處理者很可能因一次違法處理而直接破產(chǎn)，這促使金融市場(chǎng)推出一種網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品，用以緩解企業(yè)在個(gè)人信息保護(hù)義務(wù)上的壓力。這種保險(xiǎn)產(chǎn)品為處理者提供專業(yè)的風(fēng)險(xiǎn)評(píng)估、監(jiān)測(cè)預(yù)警與風(fēng)險(xiǎn)發(fā)生后的理賠等服務(wù)，注重預(yù)防個(gè)人信息違法處理，規(guī)避企業(yè)運(yùn)營(yíng)風(fēng)險(xiǎn)。

網(wǎng)絡(luò)安全保險(xiǎn)的快速發(fā)展與政策趨向

2023年，中國(guó)工業(yè)信息安全發(fā)展研究中心信息政策所組織發(fā)布的《網(wǎng)絡(luò)安全保險(xiǎn)研究報(bào)告》指出，網(wǎng)絡(luò)安全保險(xiǎn)是全球財(cái)產(chǎn)保險(xiǎn)市場(chǎng)中發(fā)展速度最快的細(xì)分領(lǐng)域之一，全球網(wǎng)絡(luò)安全保險(xiǎn)保費(fèi)規(guī)模正在大幅增長(zhǎng)。據(jù)《2022年全球網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)報(bào)告》，2021年全球網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)規(guī)模為92.9億美元，2022年為121億美元。據(jù)慕尼黑再保險(xiǎn)（Munich Re）估算，2024年全球網(wǎng)絡(luò)安全保險(xiǎn)的市場(chǎng)規(guī)模達(dá)153億美元，而此規(guī)模在2030年前年均增速將超10%。

近年來(lái)，我國(guó)網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)取得穩(wěn)步發(fā)展。《網(wǎng)絡(luò)安全保險(xiǎn)研究報(bào)告》顯示，2022年我國(guó)網(wǎng)絡(luò)安全保險(xiǎn)保費(fèi)規(guī)模達(dá)1.4億元，是2021年保費(fèi)規(guī)模的兩倍?！督?jīng)濟(jì)日?qǐng)?bào)》刊文指出，截至2024年底，我國(guó)已有53家保險(xiǎn)公司備案了341款網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品，其核心業(yè)務(wù)就是為用戶提供個(gè)人信息安全保障。如《中國(guó)銀行保險(xiǎn)報(bào)》報(bào)道，2016年中國(guó)人民保險(xiǎn)公司與韓國(guó)三星火災(zāi)海上保險(xiǎn)公司合作開(kāi)發(fā)的“個(gè)人信息泄露責(zé)任保險(xiǎn)”產(chǎn)品，針對(duì)企業(yè)因黑客攻擊或員工故意行為等而導(dǎo)致的個(gè)人信息泄露及客戶提起索賠等情況提供保障；2022年《經(jīng)濟(jì)日?qǐng)?bào)》報(bào)道，眾安在線財(cái)產(chǎn)保險(xiǎn)股份有限公司發(fā)布了首款全覆蓋式網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品，其保障范圍主要有網(wǎng)絡(luò)安全事故發(fā)生后企業(yè)需承擔(dān)的事故響應(yīng)費(fèi)用、營(yíng)業(yè)收入損失、網(wǎng)絡(luò)勒索威脅和修復(fù)費(fèi)用等經(jīng)濟(jì)損失，也對(duì)第三方責(zé)任進(jìn)行賠償，包括數(shù)據(jù)保密責(zé)任、數(shù)據(jù)安全責(zé)任和法律費(fèi)用。目前，已有不少互聯(lián)網(wǎng)企業(yè)購(gòu)買(mǎi)此類保險(xiǎn)產(chǎn)品，保險(xiǎn)公司根據(jù)企業(yè)自身特點(diǎn)提供相應(yīng)的網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)。

2023年7月2日，工業(yè)和信息化部與國(guó)家金融監(jiān)督管理總局聯(lián)合發(fā)布《關(guān)于促進(jìn)網(wǎng)絡(luò)安全保險(xiǎn)規(guī)范健康發(fā)展的意見(jiàn)》，規(guī)范網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)開(kāi)展。該意見(jiàn)要求建立健全網(wǎng)絡(luò)安全保險(xiǎn)政策標(biāo)準(zhǔn)體系，加強(qiáng)網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品服務(wù)創(chuàng)新，強(qiáng)化網(wǎng)絡(luò)安全技術(shù)賦能保險(xiǎn)發(fā)展，促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)需求釋放，培育網(wǎng)絡(luò)安全保險(xiǎn)發(fā)展生態(tài)。同年12月21日，工業(yè)和信息化部辦公廳發(fā)布《關(guān)于組織開(kāi)展網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)試點(diǎn)工作的通知》明確提出，加快推進(jìn)網(wǎng)絡(luò)安全保險(xiǎn)新模式落地應(yīng)用，組織開(kāi)展網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)試點(diǎn)工作。該通知面向電信和互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、車(chē)聯(lián)網(wǎng)等重點(diǎn)行業(yè)的企業(yè)類保險(xiǎn)和網(wǎng)絡(luò)安全產(chǎn)品、信息技術(shù)產(chǎn)品，以及網(wǎng)絡(luò)安全服務(wù)類保險(xiǎn)展開(kāi)試點(diǎn)工作，以企業(yè)法人為被保險(xiǎn)方或以產(chǎn)品服務(wù)的購(gòu)買(mǎi)方為保障對(duì)象。為了推進(jìn)試點(diǎn)工作，2024年4月9日，工業(yè)和信息化部辦公廳公布網(wǎng)絡(luò)安全保險(xiǎn)典型服務(wù)方案目錄，評(píng)選出49種相對(duì)成熟、可行的保險(xiǎn)方案作為開(kāi)展試點(diǎn)工作的參考依據(jù)。工業(yè)和信息化部公布的數(shù)據(jù)顯示，截至2025年上半年，試點(diǎn)期間的總保費(fèi)規(guī)模已超1.5億元，總保額約115億元。

個(gè)人信息保護(hù)法對(duì)網(wǎng)絡(luò)安全保險(xiǎn)的規(guī)范

盡管我國(guó)網(wǎng)絡(luò)安全保險(xiǎn)已初具規(guī)模，但對(duì)比同期1.6萬(wàn)億元之多的財(cái)產(chǎn)保險(xiǎn)保費(fèi)規(guī)模，前者尚不足后者的萬(wàn)分之一。在個(gè)人信息保護(hù)受到高度重視、國(guó)家政策提供大力支持的背景下，網(wǎng)絡(luò)安全保險(xiǎn)具有極大的發(fā)展?jié)摿?。但是，囿于定價(jià)標(biāo)準(zhǔn)不清、風(fēng)險(xiǎn)評(píng)估體系不完善、法律法規(guī)不健全等因素，網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)的發(fā)展有待進(jìn)一步規(guī)范。

作為一種商業(yè)行為，網(wǎng)絡(luò)安全保險(xiǎn)的核心功能在于為被保險(xiǎn)人轉(zhuǎn)移風(fēng)險(xiǎn)、補(bǔ)償損失。在個(gè)人信息處理活動(dòng)中，企業(yè)更在乎如何保證處理行為合法，降低違法處理的風(fēng)險(xiǎn)，故網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品應(yīng)當(dāng)根據(jù)個(gè)人信息保護(hù)法對(duì)處理者設(shè)置的法定義務(wù)進(jìn)行承保，對(duì)處理者因違法處理所承擔(dān)的責(zé)任依法進(jìn)行理賠。

其一，保險(xiǎn)公司應(yīng)根據(jù)其應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的經(jīng)驗(yàn)，合理評(píng)估處理者參保時(shí)的個(gè)人信息違法處理風(fēng)險(xiǎn)，包括考察處理者的資質(zhì)、處理的信息類型和規(guī)模、信息技術(shù)掌握的專業(yè)程度，以及已采取的安全保障措施等，由此決定是否達(dá)成保險(xiǎn)合同及確定參保費(fèi)用。其二，保險(xiǎn)公司應(yīng)根據(jù)個(gè)人信息保護(hù)法第五十一條中處理者的安全保障義務(wù)，為處理者設(shè)立或補(bǔ)充相應(yīng)的技術(shù)設(shè)施、管理制度以及教育培訓(xùn)等，也可以根據(jù)個(gè)人信息保護(hù)法第五十二條之規(guī)定，為處理者介紹和提供相關(guān)專業(yè)人才以指定個(gè)人信息保護(hù)負(fù)責(zé)人。其三，保險(xiǎn)公司應(yīng)根據(jù)個(gè)人信息保護(hù)法第五十四條至第五十六條的規(guī)定，以其專業(yè)的信息技術(shù)與安全技術(shù)及法律和監(jiān)管服務(wù)，為處理者開(kāi)展定期的合規(guī)審計(jì)與處理前的影響評(píng)估。在委托處理活動(dòng)中，保險(xiǎn)公司應(yīng)在事前充分審核委托處理范圍、受托人資質(zhì)等內(nèi)容。保險(xiǎn)公司應(yīng)當(dāng)向被保險(xiǎn)人負(fù)責(zé)，按照約定向被保險(xiǎn)人提供或向社會(huì)公開(kāi)信息安全審計(jì)和評(píng)估報(bào)告。同時(shí)，保險(xiǎn)公司應(yīng)根據(jù)個(gè)人信息保護(hù)法第五十七條的規(guī)定，在發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的情況時(shí)，受處理者委托，由網(wǎng)絡(luò)應(yīng)急響應(yīng)專家團(tuán)隊(duì)形成應(yīng)急預(yù)案，立即采取補(bǔ)救措施，并履行通知義務(wù)，通過(guò)電話、網(wǎng)站或移動(dòng)應(yīng)用程序報(bào)告事件。其四，保險(xiǎn)公司應(yīng)根據(jù)個(gè)人信息保護(hù)法第六十六條的規(guī)定，在發(fā)生違法處理之后，按照保險(xiǎn)合同的約定進(jìn)行理賠。理賠的事項(xiàng)應(yīng)當(dāng)包括信息主體的直接損失、處理者為應(yīng)對(duì)信息安全事件而支出的技術(shù)和法律成本、營(yíng)業(yè)收入損失及行政罰款等。若網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)涵蓋行政罰款，有利于保險(xiǎn)公司通過(guò)專業(yè)監(jiān)督助力個(gè)人信息處理者更好地履行個(gè)人信息保護(hù)義務(wù)，也有利于發(fā)揮市場(chǎng)力量，減輕企業(yè)負(fù)擔(dān)，促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展。

多舉措推進(jìn)網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)健康發(fā)展

我國(guó)網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)有著巨大潛力，有待保險(xiǎn)行業(yè)共同探索開(kāi)發(fā)，更需要有關(guān)部門(mén)為其發(fā)展保駕護(hù)航。依據(jù)我國(guó)個(gè)人信息保護(hù)法第十一條的規(guī)定，國(guó)家有義務(wù)建立健全個(gè)人信息保護(hù)制度，預(yù)防和懲治侵害個(gè)人信息權(quán)益的行為，推動(dòng)形成政府、企業(yè)等共同參與個(gè)人信息保護(hù)的良好環(huán)境。網(wǎng)絡(luò)安全保險(xiǎn)作為平衡市場(chǎng)機(jī)制與個(gè)人信息保護(hù)的特殊險(xiǎn)種，其風(fēng)險(xiǎn)的社會(huì)性和復(fù)雜性決定了公權(quán)力介入的必要。國(guó)家有關(guān)部門(mén)可通過(guò)行政指導(dǎo)和行政規(guī)制為網(wǎng)絡(luò)安全保險(xiǎn)的發(fā)展提供多方面保障。

其一，建立國(guó)家安全風(fēng)險(xiǎn)評(píng)估體系。當(dāng)前，保險(xiǎn)行業(yè)對(duì)網(wǎng)絡(luò)安全缺乏統(tǒng)一的風(fēng)險(xiǎn)量化模型。由于沒(méi)有形成統(tǒng)一的技術(shù)標(biāo)準(zhǔn)，保險(xiǎn)公司難以對(duì)勒索軟件、供應(yīng)鏈攻擊等新型風(fēng)險(xiǎn)進(jìn)行精準(zhǔn)評(píng)估。對(duì)此，國(guó)家網(wǎng)信部門(mén)可組織、牽頭整合國(guó)家信息安全漏洞庫(kù)、“黑產(chǎn)數(shù)據(jù)”等，構(gòu)建精算公共數(shù)據(jù)庫(kù)，逐步形成統(tǒng)一適用的數(shù)據(jù)安全標(biāo)準(zhǔn)體系。

其二，引導(dǎo)構(gòu)建差異化費(fèi)率機(jī)制。為防止出現(xiàn)高風(fēng)險(xiǎn)企業(yè)集中投保、低風(fēng)險(xiǎn)企業(yè)退出的惡性循環(huán)，有必要在行業(yè)內(nèi)形成強(qiáng)制分級(jí)投保的差異化定價(jià)機(jī)制。一方面，相關(guān)部門(mén)可發(fā)布強(qiáng)制投保目錄，要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、超百萬(wàn)用戶平臺(tái)等投保。另一方面，參考等保評(píng)級(jí)動(dòng)態(tài)定價(jià)機(jī)制，保險(xiǎn)公司根據(jù)定期風(fēng)險(xiǎn)等級(jí)評(píng)估報(bào)告調(diào)整保價(jià)。

其三，形成全行業(yè)風(fēng)險(xiǎn)共擔(dān)機(jī)制。政府相關(guān)部門(mén)應(yīng)積極出臺(tái)稅收抵免政策，支持企業(yè)保費(fèi)支出抵免所得稅，降低中小企業(yè)合規(guī)成本。同時(shí)，大力推行“保險(xiǎn)+安全服務(wù)”模式，強(qiáng)制要求保險(xiǎn)公司將一定比率的保費(fèi)用于企業(yè)安全能力建設(shè)，如通過(guò)滲透測(cè)試、應(yīng)急演練等不斷提升企業(yè)網(wǎng)絡(luò)安全水平。此外，還可設(shè)立風(fēng)險(xiǎn)共擔(dān)基金池。可考慮提取保費(fèi)總額的5%—10%注入國(guó)家網(wǎng)絡(luò)安全基金，以應(yīng)對(duì)超大規(guī)模數(shù)據(jù)泄露事件的償付缺口，增強(qiáng)網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)韌性。

數(shù)字經(jīng)濟(jì)快速發(fā)展的同時(shí)也引發(fā)了個(gè)人信息保護(hù)的合規(guī)風(fēng)險(xiǎn)，網(wǎng)絡(luò)安全保險(xiǎn)也因此駛?cè)肓税l(fā)展快車(chē)道。通過(guò)安全風(fēng)險(xiǎn)評(píng)估體系、差異化費(fèi)率機(jī)制及風(fēng)險(xiǎn)共擔(dān)機(jī)制凝聚多方合力，可持續(xù)為網(wǎng)絡(luò)安全保險(xiǎn)的規(guī)范健康發(fā)展提供堅(jiān)實(shí)保障，真正使其成為數(shù)字經(jīng)濟(jì)繁榮的“安全基座”。【本文為國(guó)家社科基金重點(diǎn)項(xiàng)目“完善黨和國(guó)家監(jiān)督體系研究”（項(xiàng)目編號(hào)：21AZD088）的階段性研究成果?！?/span>

（來(lái)源：民主與法制時(shí)報(bào)）