保险业服务网络信息安全保障体系研究

随着互联网技术的普遍运用，政府、企业和个人与网络建立了日益密不可分的联系，我国成为世界网民数量第一的网络大国。当网络为国家经济社会发展和人民群众的生产生活提供诸多便利的同时，网络恐怖活动、企业数据泄露、个人隐私被盗等网络风险事故频繁发生，亟待建立健全完善的网络信息安全保障体系。

网络信息安全是习近平总书记提出的总体国家安全观的重要组成部分。近年来，党和国家高度重视网络信息安全保障工作，先后成立中共中央网络安全和信息化领导小组，审议通过《网络安全法》，发布《国家网络空间安全战略》，出台《关于促进移动互联网健康有序发展的意见》，为我国从网络大国向网络强国迈进打下了坚实的组织和制度保障。同时应当指出的是，当前我国初步搭建了网络信息安全保障体系的总体架构，但对于网络信息安全风险和网络信息安全事故损失的补偿还研究的较少。保险作为风险管理的传统有效手段，有助于全方位识别网络信息安全，为经济社会和人民群众提供损失补偿，从以保险业为防范风险的又一道屏障，立足防范风险的大前提来统筹网信事业。为此，分析网络安全风险影响，提出保险业在网络信息安全保障体系中的特定作用及其实现路径，是助力网络安全为人民的不可或缺手段。

一、网络信息安全风险不可忽视

（一）网络信息安全影响国家安全

“没有网络安全就没有国家安全，没有信息化就没有现代化。”《国家网络空间安全战略》中也指出，当前我国网络安全形势日益严峻，国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益面临严峻风险与挑战，表现为网络渗透危害政治安全；网络攻击威胁经济安全；网络有害信息侵蚀文化安全；网络恐怖和违法犯罪破坏社会安全。

当前，中国的网民数量和网络规模世界第一。防范、制止和依法惩治利用网络进行叛国、分裂国家、煽动叛乱、颠覆或者煽动颠覆人民民主专政政权的行为，防范、制止和依法惩治利用网络进行窃取、泄露国家秘密等危害国家安全的行为，防范、制止和依法惩治境外势力利用网络进行渗透、破坏、颠覆、分裂活动，不仅是维护国家安全的需要，同时对于维护全球网络安全乃至世界和平都具有重大意义。

（二）网络信息安全影响生产经营

据《中国互联网站发展状况及其安全报告（2016）》统计，中国网站安全仍面临更加复杂严峻的安全态势。网站作为互联网的主要入口，面临着以瘫痪目标业务系统、窃取用户有价值信息、控制大规模服务器（或设备）资源等为主要目的攻击威胁。据CNCERT监测发现，2015年网页仿冒、拒绝服务攻击等已经形成成熟地下产业链的威胁仍然呈现增长趋势，针对中国网站的仿冒页面（URL链接）191699个，较2014年增长85.7%，涉及IP地址20488个，较2014年增长199.4%。网页篡改、网站后门等攻击事件层出不穷，党政机关、科研机构、重要行业单位网站依然是黑客组织攻击特别是APT攻击的重点目标。网站数据泄露风险则成为网站运营管理方需要直面的突出问题，同时也直接成为用户能具体感知的安全事件。

近年来发生的一系列热点网络事件表明，入侵客户账户、破坏公司网络、恶意敲诈勒索等网络信息风险事故时有发生。因网络攻击带来的营业中断，成为企业经营风险的最高关注点。

（三）网络信息安全影响人民生活

据第39次《中国互联网络发展状况统计报告》调查，截至2016年12月，当前网民中认为上网环境“不太安全”和“很不安全”的用户占比为20.3%，认为上网环境“一般”的用户占比40.80%，只有10.3%的用户感觉“非常安全”（图1）。

同时，统计数据显示，2016年遭遇过网络安全事件的用户占比达到整体网民的70.5%，其中网上诈骗是网民遇到的首要网络安全问题，39.1%的网民曾遇到过这类网络安全事件。由此可见，网络安全事件仍然对大部分网民构成影响（图2）。

二、保险业在网络信息安全保障体系中的特定作用

《国务院关于加快发展现代保险服务业的若干意见》（国发〔2014〕29号）指出，保险是现代经济的重要产业和风险管理的基本手段，是社会文明水平、经济发达程度、社会治理能力的重要标志。随着网络信息安全风险逐渐成为一种社会化的风险，保险业逐步通过网络信息安全风险管理和网络信息安全事故损失补偿，在网络信息安全保障体系中发挥重要作用。

（一）网络信息安全保险的总体状况

据达信保险经纪统计，首批网络风险保险产品出现于20世纪90年代中期。但直至美国修改立法要求将非法披露个人信息纳入承保范围后，该产品才开始盛行起来。安联全球企业及特殊风险发布的网络安全研究报告显示，目前全球网络保险年均保费规模约20亿美元。

2013年以来，苏黎世财险保险（中国）有限公司、安联财险、美亚保险等公司在我国率先推出网络安全保险。由表1所示，保险公司从网络信息安全事故带来的损失及危机管理出发，涵盖企业和客户双方的损失和风险管理，对我国网络安全保险的发展进行了初步探索。

（二）保险业在网络信息安全保障体系能够发挥风险管理作用

保险业作为社会治理体系的重要组成部分，在网络信息安全保障体系中能够发挥风险管理作用。首先，在客户层面，据保监会统计，目前13.7亿中国人登记在册的保单大概有14亿张，平均下来大概每一个中国人都有一张保单。保险公司丰富的数据和客户资源为发挥网络信息安全风险管理提供了前提；其次，在技术层面，保险业是“互联网+”行业。截至目前全国有四家互联网保险公司。保险业与传统互联网企业通过股权收购等方式紧密合作。保险业也是大数据、云计算、区块链等技术的先行探索者。保险公司一流的互联网管理实践为发挥网络信息安全风险管理提供了技术；再次，在经验层面，长期以来，保险公司广泛参与基本医保经办、基本养老保险金的发放等社会保险的市场化运作工作，积累了丰富的社会治理经验，为发挥网络信息安全风险管理提供了参照。

（三）保险业在网络信息安全保障体系能够发挥经济补偿功能

从发展趋势看，近年来，我国保险业保持快速发展态势，全国保费收入从2011年的1.4万亿元增长到2016年的3.1万亿元，年均增长16.8%。保险业总资产从2011年的6万亿元增长到2016年的15.1万亿元，年均增长20%。从代表性公司看，中国平安、中国人寿、中国人保、太平洋保险、新华人寿和友邦保险等6家中国保险公司入围2016年财富世界500强。从国际化看，截至2016年底，共有来自16个国家和地区的境外保险公司在我国设立了56家外资保险机构，12家中资保险公司在境外设立了38家保险类营业机构。安联全球企业及特殊风险发布的网络安全研究报告显示，中国每年预计会遭受600亿美元的网络损失。总体来看，保险行业快速发展的态势、一批世界一流保险公司和深入的国际化水平，奠定了保险业在网络信息安全保障体系中发挥经济补偿功能的坚实基础。

（四）保险业投资网络安全建设，为网络安全建设增加助推功能

保险的职能分为基本职能和派生职能，其基本职能的经济补偿和保险金给付，派生职能为防灾防损和投融资，保险服务于网络安全的风险管理职能主要体现在经济补偿和防灾防损，经济补偿体现在发生网络安全事故时，保险人所赔偿的保险金正好填补被保险人因保险事故所造成的保险金额范围内的损失；防灾防损则是保险人为减少保险事故而采取的措施，如指导防灾防损，或承保采用费优措施，这两方面都是风险管理功能的体现。保险的另一个派生职能是投融资，这是为了保险业保值增值的需要，也是为了保险业风险管理功能实现的需要要，我国《保险法》对保险投资作了明确规定，《保险资金运用管理办法》则对其投资方式和比例进一步细化，保险资金运用有多种方式，投资于网络安全建设，则为网络安全建设增加资金来源，既增强其网络安全的经济后盾，也为保险业提高投资盈利能力。

三、实现保险业服务网络信息安全的路径

与国际上保险业在网络信息安全保障体系发挥的作用以及我国网络安全保障体系建立健全的短板来看，目前我国保险业在网络安全保险方面参与的公司还不够多，开发的产品还不够广，提供的保额还不够足。总体来看，我国保险业参与网络信息安全保障体系目前仍处于初步探索阶段。网络信息安全是国家重要的安全战略，对保险业而言，深度开发网络安全保险，服务网络信息安全保障体系，既是保险业发展的重要机遇，又是保险业的重大机遇，同时还是保险业深入推进供给侧结构性改革的重要方向。保险业必须从全局和长远的高度，整合国内外资源，服务网络信息安全保障体系建设工作。

（一）保险业服务网络信息安全的总体思路

保险业应全面贯彻习近平总书记关于网络安全和信息化的重要论述，加强组织领导和工作保障，紧密联系中共中央网络安全和信息化领导小组办公室、国家互联网信息办公室，以网络信息安全风险管理和经济补偿为服务方向，系统总结国外网络安全保险的发展经验，认真梳理国内外网络信息安全风险，大力开发网络安全保险产品，提供网络信息风险管理服务，从服务机构和个人出发，逐步建立健全网络信息安全保险保障体系，使保险业成为国家网络安全战略的重要组成部分。

（二）保险业服务网络信息安全的具体路径

第一，加强保险业信息基础设施建设。金融行业是《国家网络空间安全战略》确定的关键信息基础设施行业。国家关键信息基础设施一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益。保险业作为金融行业的重要组成部分，亦属于国家关键信息基础设施行业。保险业服务国家网络信息安全保障体系建设，首先应采取一切必要措施保护保险行业内部关键信息基础设施及其重要数据不受攻击破坏。保险业应加强信息系统风险监测和外部渗透性测试工作力度，进一步提升保险机构网络与信息安全风险防范能力。同时，在综合金融经营的背景下，保险业应出台客户数据使用范围与保密的管理办法，防止客户信息不当扩散。

第二，开展网络信息安全风险与保险的课题研究。组织行业精干力量，搭建产政学研平台，共同开展网络信息安全风险与保险的课题研究。广泛开展网络安全保险国际研讨会、专项课题等多种方式的研究，调动国内外保险公司资源，系统总结国外网络信息安全风险的保险解决方案。紧密联系互联网经营平台，充分借鉴网络信息安全管理技术。在深入研究的基础上，组建网络信息安全保险共同体。

第三，完善网络信息安全保险的政策体系。《网络安全法》为我国网络信息安全保障搭建了基本法律框架，但目前网络安全风险保障的法律体系还有待进一步细化，网络信息安全保险的政策体系基本空白。建议国家司法机关进一步细化网络信息安全事故的法律责任，加大对事故责任人尤其是经营企业的赔偿力度，建议保监会研究出台网络安全保险的行业指导性意见，引导和鼓励保险公司积极开展网络安全保险。建议中国保险行业协会出台网络安全保险的示范条款，支持和鼓励保险公司在示范条款的基础上创新网络安全保险。

第四，研发网络安全的保险产品体系，这些产品既包括从属于财产损失保险的企业财产保险、运输保险、利润损失保险，也包括从属于责任保险的产品责任保险、职业责任保险、公众责任保险和雇主责任保险，还包括从属于信用保证保险的产品保证保险、雇员忠诚保险，尤其是职业责任保险、产品责任保险以及雇员忠诚保险和产品保证保险，将对网络安全保险起到十分重要的经济保障作用，当然，为网络安全工作员工的人身保险也是这个保险体系的一部分，从而构成了网络安全保险产品体系，为网络安全提供十分有效的风险管理。

第五，研究对网络安全精准有效的保险投资。保险是社会发展的稳定器、经济增长的助推器。承保和投资是保险的两个重要的车轮子，现代保险业往往是承保亏损、投资盈利，通过投资盈利来弥补承保亏损来达到综合盈利，同时投资盈利是手段，承保是目的，达到投资盈利是为了做好承保服务，承保工作做好了，也能赢得更多客户，又为投资盈利创造条件，达到良性循环。保险投资于网络安全建设也可是保险投资的一个方面，在保险投资中同样要坚持安全性、流动性和盈利性，达到双赢，既为网络安全建设增加了资金来源，也能达到保险投资盈利的要求，达到合作共赢、长期发展。

（作者：北京工商大学保险研究中心主任教授博导 王绪瑾；北京工商大学风险管理与保险学系副主任经济学博士后 宋占军）

（来源：中国信息安全）