保險業服務網絡信息安全保障體系研究

隨著互聯網技術的普遍運用，政府、企業和個人與網絡建立了日益密不可分的聯系，我國成為世界網民數量第一的網絡大國。當網絡為國家經濟社會發展和人民群眾的生產生活提供諸多便利的同時，網絡恐怖活動、企業數據泄露、個人隱私被盜等網絡風險事故頻繁發生，亟待建立健全完善的網絡信息安全保障體系。

網絡信息安全是習近平總書記提出的總體國家安全觀的重要組成部分。近年來，黨和國家高度重視網絡信息安全保障工作，先后成立中共中央網絡安全和信息化領導小組，審議通過《網絡安全法》，發布《國家網絡空間安全戰略》，出台《關於促進移動互聯網健康有序發展的意見》，為我國從網絡大國向網絡強國邁進打下了堅實的組織和制度保障。同時應當指出的是，當前我國初步搭建了網絡信息安全保障體系的總體架構，但對於網絡信息安全風險和網絡信息安全事故損失的補償還研究的較少。保險作為風險管理的傳統有效手段，有助於全方位識別網絡信息安全，為經濟社會和人民群眾提供損失補償，從以保險業為防范風險的又一道屏障，立足防范風險的大前提來統籌網信事業。為此，分析網絡安全風險影響，提出保險業在網絡信息安全保障體系中的特定作用及其實現路徑，是助力網絡安全為人民的不可或缺手段。

一、網絡信息安全風險不可忽視

（一）網絡信息安全影響國家安全

“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。”《國家網絡空間安全戰略》中也指出，當前我國網絡安全形勢日益嚴峻，國家政治、經濟、文化、社會、國防安全及公民在網絡空間的合法權益面臨嚴峻風險與挑戰，表現為網絡滲透危害政治安全﹔網絡攻擊威脅經濟安全﹔網絡有害信息侵蝕文化安全﹔網絡恐怖和違法犯罪破壞社會安全。

當前，中國的網民數量和網絡規模世界第一。防范、制止和依法懲治利用網絡進行叛國、分裂國家、煽動叛亂、顛覆或者煽動顛覆人民民主專政政權的行為，防范、制止和依法懲治利用網絡進行竊取、泄露國家秘密等危害國家安全的行為，防范、制止和依法懲治境外勢力利用網絡進行滲透、破壞、顛覆、分裂活動，不僅是維護國家安全的需要，同時對於維護全球網絡安全乃至世界和平都具有重大意義。

（二）網絡信息安全影響生產經營

據《中國互聯網站發展狀況及其安全報告（2016）》統計，中國網站安全仍面臨更加復雜嚴峻的安全態勢。網站作為互聯網的主要入口，面臨著以癱瘓目標業務系統、竊取用戶有價值信息、控制大規模服務器（或設備）資源等為主要目的攻擊威脅。據CNCERT監測發現，2015年網頁仿冒、拒絕服務攻擊等已經形成成熟地下產業鏈的威脅仍然呈現增長趨勢，針對中國網站的仿冒頁面（URL鏈接）191699個，較2014年增長85.7%，涉及IP地址20488個，較2014年增長199.4%。網頁篡改、網站后門等攻擊事件層出不窮，黨政機關、科研機構、重要行業單位網站依然是黑客組織攻擊特別是APT攻擊的重點目標。網站數據泄露風險則成為網站運營管理方需要直面的突出問題，同時也直接成為用戶能具體感知的安全事件。

近年來發生的一系列熱點網絡事件表明，入侵客戶賬戶、破壞公司網絡、惡意敲詐勒索等網絡信息風險事故時有發生。因網絡攻擊帶來的營業中斷，成為企業經營風險的最高關注點。

（三）網絡信息安全影響人民生活

據第39次《中國互聯網絡發展狀況統計報告》調查，截至2016年12月，當前網民中認為上網環境“不太安全”和“很不安全”的用戶佔比為20.3%，認為上網環境“一般”的用戶佔比40.80%，隻有10.3%的用戶感覺“非常安全”（圖1）。

同時，統計數據顯示，2016年遭遇過網絡安全事件的用戶佔比達到整體網民的70.5%，其中網上詐騙是網民遇到的首要網絡安全問題，39.1%的網民曾遇到過這類網絡安全事件。由此可見，網絡安全事件仍然對大部分網民構成影響（圖2）。

二、保險業在網絡信息安全保障體系中的特定作用

《國務院關於加快發展現代保險服務業的若干意見》（國發〔2014〕29號）指出，保險是現代經濟的重要產業和風險管理的基本手段，是社會文明水平、經濟發達程度、社會治理能力的重要標志。隨著網絡信息安全風險逐漸成為一種社會化的風險，保險業逐步通過網絡信息安全風險管理和網絡信息安全事故損失補償，在網絡信息安全保障體系中發揮重要作用。

（一）網絡信息安全保險的總體狀況

據達信保險經紀統計，首批網絡風險保險產品出現於20世紀90年代中期。但直至美國修改立法要求將非法披露個人信息納入承保范圍后，該產品才開始盛行起來。安聯全球企業及特殊風險發布的網絡安全研究報告顯示，目前全球網絡保險年均保費規模約20億美元。

2013年以來，蘇黎世財險保險（中國）有限公司、安聯財險、美亞保險等公司在我國率先推出網絡安全保險。由表1所示，保險公司從網絡信息安全事故帶來的損失及危機管理出發，涵蓋企業和客戶雙方的損失和風險管理，對我國網絡安全保險的發展進行了初步探索。

（二）保險業在網絡信息安全保障體系能夠發揮風險管理作用

保險業作為社會治理體系的重要組成部分，在網絡信息安全保障體系中能夠發揮風險管理作用。首先，在客戶層面，據保監會統計，目前13.7億中國人登記在冊的保單大概有14億張，平均下來大概每一個中國人都有一張保單。保險公司豐富的數據和客戶資源為發揮網絡信息安全風險管理提供了前提﹔其次，在技術層面，保險業是“互聯網+”行業。截至目前全國有四家互聯網保險公司。保險業與傳統互聯網企業通過股權收購等方式緊密合作。保險業也是大數據、雲計算、區塊鏈等技術的先行探索者。保險公司一流的互聯網管理實踐為發揮網絡信息安全風險管理提供了技術﹔再次，在經驗層面，長期以來，保險公司廣泛參與基本醫保經辦、基本養老保險金的發放等社會保險的市場化運作工作，積累了豐富的社會治理經驗，為發揮網絡信息安全風險管理提供了參照。

（三）保險業在網絡信息安全保障體系能夠發揮經濟補償功能

從發展趨勢看，近年來，我國保險業保持快速發展態勢，全國保費收入從2011年的1.4萬億元增長到2016年的3.1萬億元，年均增長16.8%。保險業總資產從2011年的6萬億元增長到2016年的15.1萬億元，年均增長20%。從代表性公司看，中國平安、中國人壽、中國人保、太平洋保險、新華人壽和友邦保險等6家中國保險公司入圍2016年財富世界500強。從國際化看，截至2016年底，共有來自16個國家和地區的境外保險公司在我國設立了56家外資保險機構，12家中資保險公司在境外設立了38家保險類營業機構。安聯全球企業及特殊風險發布的網絡安全研究報告顯示，中國每年預計會遭受600億美元的網絡損失。總體來看，保險行業快速發展的態勢、一批世界一流保險公司和深入的國際化水平，奠定了保險業在網絡信息安全保障體系中發揮經濟補償功能的堅實基礎。

（四）保險業投資網絡安全建設，為網絡安全建設增加助推功能

保險的職能分為基本職能和派生職能，其基本職能的經濟補償和保險金給付，派生職能為防災防損和投融資，保險服務於網絡安全的風險管理職能主要體現在經濟補償和防災防損，經濟補償體現在發生網絡安全事故時，保險人所賠償的保險金正好填補被保險人因保險事故所造成的保險金額范圍內的損失﹔防災防損則是保險人為減少保險事故而採取的措施，如指導防災防損，或承保採用費優措施，這兩方面都是風險管理功能的體現。保險的另一個派生職能是投融資，這是為了保險業保值增值的需要，也是為了保險業風險管理功能實現的需要要，我國《保險法》對保險投資作了明確規定，《保險資金運用管理辦法》則對其投資方式和比例進一步細化，保險資金運用有多種方式，投資於網絡安全建設，則為網絡安全建設增加資金來源，既增強其網絡安全的經濟后盾，也為保險業提高投資盈利能力。

三、實現保險業服務網絡信息安全的路徑

與國際上保險業在網絡信息安全保障體系發揮的作用以及我國網絡安全保障體系建立健全的短板來看，目前我國保險業在網絡安全保險方面參與的公司還不夠多，開發的產品還不夠廣，提供的保額還不夠足。總體來看，我國保險業參與網絡信息安全保障體系目前仍處於初步探索階段。網絡信息安全是國家重要的安全戰略，對保險業而言，深度開發網絡安全保險，服務網絡信息安全保障體系，既是保險業發展的重要機遇，又是保險業的重大機遇，同時還是保險業深入推進供給側結構性改革的重要方向。保險業必須從全局和長遠的高度，整合國內外資源，服務網絡信息安全保障體系建設工作。

（一）保險業服務網絡信息安全的總體思路

保險業應全面貫徹習近平總書記關於網絡安全和信息化的重要論述，加強組織領導和工作保障，緊密聯系中共中央網絡安全和信息化領導小組辦公室、國家互聯網信息辦公室，以網絡信息安全風險管理和經濟補償為服務方向，系統總結國外網絡安全保險的發展經驗，認真梳理國內外網絡信息安全風險，大力開發網絡安全保險產品，提供網絡信息風險管理服務，從服務機構和個人出發，逐步建立健全網絡信息安全保險保障體系，使保險業成為國家網絡安全戰略的重要組成部分。

（二）保險業服務網絡信息安全的具體路徑

第一，加強保險業信息基礎設施建設。金融行業是《國家網絡空間安全戰略》確定的關鍵信息基礎設施行業。國家關鍵信息基礎設施一旦數據泄露、遭到破壞或者喪失功能可能嚴重危害國家安全、公共利益。保險業作為金融行業的重要組成部分，亦屬於國家關鍵信息基礎設施行業。保險業服務國家網絡信息安全保障體系建設，首先應採取一切必要措施保護保險行業內部關鍵信息基礎設施及其重要數據不受攻擊破壞。保險業應加強信息系統風險監測和外部滲透性測試工作力度，進一步提升保險機構網絡與信息安全風險防范能力。同時，在綜合金融經營的背景下，保險業應出台客戶數據使用范圍與保密的管理辦法，防止客戶信息不當擴散。

第二，開展網絡信息安全風險與保險的課題研究。組織行業精干力量，搭建產政學研平台，共同開展網絡信息安全風險與保險的課題研究。廣泛開展網絡安全保險國際研討會、專項課題等多種方式的研究，調動國內外保險公司資源，系統總結國外網絡信息安全風險的保險解決方案。緊密聯系互聯網經營平台，充分借鑒網絡信息安全管理技術。在深入研究的基礎上，組建網絡信息安全保險共同體。

第三，完善網絡信息安全保險的政策體系。《網絡安全法》為我國網絡信息安全保障搭建了基本法律框架，但目前網絡安全風險保障的法律體系還有待進一步細化，網絡信息安全保險的政策體系基本空白。建議國家司法機關進一步細化網絡信息安全事故的法律責任，加大對事故責任人尤其是經營企業的賠償力度，建議保監會研究出台網絡安全保險的行業指導性意見，引導和鼓勵保險公司積極開展網絡安全保險。建議中國保險行業協會出台網絡安全保險的示范條款，支持和鼓勵保險公司在示范條款的基礎上創新網絡安全保險。

第四，研發網絡安全的保險產品體系，這些產品既包括從屬於財產損失保險的企業財產保險、運輸保險、利潤損失保險，也包括從屬於責任保險的產品責任保險、職業責任保險、公眾責任保險和雇主責任保險，還包括從屬於信用保証保險的產品保証保險、雇員忠誠保險，尤其是職業責任保險、產品責任保險以及雇員忠誠保險和產品保証保險，將對網絡安全保險起到十分重要的經濟保障作用，當然，為網絡安全工作員工的人身保險也是這個保險體系的一部分，從而構成了網絡安全保險產品體系，為網絡安全提供十分有效的風險管理。

第五，研究對網絡安全精准有效的保險投資。保險是社會發展的穩定器、經濟增長的助推器。承保和投資是保險的兩個重要的車輪子，現代保險業往往是承保虧損、投資盈利，通過投資盈利來彌補承保虧損來達到綜合盈利，同時投資盈利是手段，承保是目的，達到投資盈利是為了做好承保服務，承保工作做好了，也能贏得更多客戶，又為投資盈利創造條件，達到良性循環。保險投資於網絡安全建設也可是保險投資的一個方面，在保險投資中同樣要堅持安全性、流動性和盈利性，達到雙贏，既為網絡安全建設增加了資金來源，也能達到保險投資盈利的要求，達到合作共贏、長期發展。

（作者：北京工商大學保險研究中心主任教授博導 王緒瑾﹔北京工商大學風險管理與保險學系副主任經濟學博士后 宋佔軍）

（來源：中國信息安全）