从上世纪90年代诞生相关概念开始,网络安全保险至今也已经过了二十余年的发展。2016年第三季度,普华永道发布了一份题为《保险2020与超越:从网络弹性中获取红利》的报告,预测到2018年,全球网络安全保险市场将增至50亿美元,到2020年将增至75亿美元。
目前,从全球网络安全保险市场分布来看,北美,特别是美国是网络保险的最大市场。欧洲的网络安全保险市场可以说正处于快速发展前的酝酿阶段,虽然落后于美国数年,但随着近几年网络安全事故频现,促进欧洲网络安全保险快速发展的因素逐渐成熟。亚洲方面,和其他很多经济领域一样,网络安全保险市场的起点是最低的,但是需求日益增大。
通过上述三大洲网络安全保险市场发展情况的简单对比,可以看出,在当今全球信息技术发展与应用水平差距越来越小的趋势下,网络安全保险的发展却呈现出了巨大的差距。究竟是什么原因或者因素在影响和决定着网络安全保险市场的发展?
通过对三大洲相关方面情况的对比,我们就不难对这一问题给出答案。
一、针对网络安全的专项立法和配套制度,是网络安全保险快速发展的基础。
法律环境一直以来就对保险的产生和发展起着举足轻重的促进作用。
美国的网络安全保险市场之所以能在全球独占鳌头,据达信(Marsh)保险经纪公司网络安全产品负责人Bob Parisi介绍,“最大的原因就在于过去10年《违反安全通知法案》在美国各州的推行。”关于《网络违法行为安全报告》的强制规定,可促进美国公司购买相应保险产品,以便在遭受事故后进行索赔,并强制性上报相关情况。保险公司在得到这些报告后,就可以利用大数据进行专业分析,从而更加了解网络安全风险,建立更加科学的风险分析模式,制定更加合理的保险定价。这就形成了一个良性循环,保险公司有承保的积极性,保费的价格会越来越合理,被保险人也能够得到切实的保障和更加专业的风险防范建议。
欧洲与此类似的相关法律——《一般数据保护条例(GDPR)》中也强制要求公司发布违反安全通知,这一法律于2016年4月颁布,在两年过渡期后才正式实施。而在亚洲,这种以立法的形式确立的报告制度是明确滞后的,很多国家都尚未提上日程。仅从这一点上的差距,我们就不难理解为什么三大洲在网络安全保险市场发展上的巨大差距了。
二、保险行业提供专业服务的能力是网络安全保险快速发展的前提。
保险从本质上来讲是一种金融服务类商品。那么,这种商品能否满足客户的需求,吸引客户产生购买行为,很大程度上要取决于商品和服务的供应商——保险行业的专业服务能力。
在这方面,美国保险公司整体的专业服务能力在全球无疑是最强的。目前市场上网络安全保险的较为全面的保障范围包括:被保险人因网络安全事故、信息安全事件导致的自身损失(即第一方损失,包括营业中断、网络勒索及事故处理费用)及第三方赔偿责任(即第三方损失,如信息泄露)。在美国,仅提供专门网络攻击保险的保险公司就有将近50家。
当然,专业服务能力绝不仅仅局限于提供产品这一个环节,还包括建模分析、定价、风险预警、索赔管理等多个环节。在这些方面,以AIG、Chubb和ACE等行业巨头为首的美国保险公司在健全良好的法律与制度的土壤中正在对网络安全保险这棵幼苗精心栽培,呵护着它茁壮地成长。2016年9月,他们还与灾难风险建模公司和网络安全数据提供商开展了合作,正在创建尖端的网络安全风险模型。
在欧洲,劳合社作为网络安全保险领域的领导者,于2016年6月底发布了“劳合社网络攻击风险应对战略”,明确了劳合社针对网络安全保险在2017年底要实现的相关目标,如在恰当的承保和资本的支持下,鼓励网络攻击保险和再保险产品的不断创新;加深对网络攻击风险累积的全面理解,包括衡量匿名网络攻击的潜在损失;鼓励适当地对除外子条款的修订,可以考虑延伸现有战争和恐怖主义保险的除外责任;通过一些具体措施减少匿名网络攻击的潜在风险累积等。为实现这些目标,劳合社与各辛迪加、业内专家以及专业咨询公司对网络冲击风险必将开展多项研究。从目前劳合社针对网络安全保险所提供的数据泄密响应险、责任险、法律监管和处罚险、网络敲诈险、业务中断险、声誉损失险与第三方支付数据安全标准的评估和处罚险,这7个方面的解决方案就可以领略到他们在这方面强大的专业服务能力。其他像安联、慕尼黑再保险公司、瑞士再保险公司、苏黎世保险集团等主流保险服务提供商和Beazley、Hiscox等更专注的保险公司都在相关研究的基础上开发了专门的网络安全产品。
反观亚洲,本地的保险行业无论是在网络安全风险的研究还是在解决方案、保险产品的开发上,都缺少独创性,与欧美同行尚存在较大的差距。这也是亚洲各国的网络安全保险需求虽然非常旺盛,市场潜力巨大,但是实际保费规模不高的原因之一。
三、信息技术应用的高成熟度是网络安全保险快速发展的有力保障。
信息技术应用的成熟度包含了信息技术应用的方方面面,它与网络安全风险研究深度存在正相关的关系、与网络安全风险强度存在负相关的关系。成熟度越高,研究深度就越深,面对同样的网络安全威胁,风险的强度就越弱,风险也就相对可控。这样,保险行业在定价、承保、理赔和风险防控方面就会更加便利,更容易发挥出应有的作用,体现自己服务的价值。保险就是在不确定性中寻找确定性。面对同样不确定的风险,相对可控、稳定的外部环境更有利于促进保险的发展。
世界经济论坛自2001年开始发布的全球网络成熟度指数(NRI),因其数据来源的严谨性与计算方式的科学性,近几年已成为衡量一国信息技术应用成熟度的重要指标。
在最新发布的2016年《全球信息技术报告》中,对全球139个经济体的网络成熟度指数进行了评估和分析。前十名中,欧洲占据七席(芬兰第二、瑞典第三、挪威第四、荷兰第六、瑞士第七、英国第八、卢森堡第九);美国排名第五;亚洲仅占两席(新加坡第一、日本第十)。我国香港特别行政区排名第十二、台湾排名第十九,中国大陆排名第五十九。
这个排名情况与网络安全保险市场的发展情况有很强的关联性。从中我们可以看到,欧洲整体的网络成熟度相当高,因此虽然其网络安全保险市场的发达程度目前不如美国,但随着法律环境的完善,这方面的市场将会迎来快速发展,超过美国也是指日可待。而亚洲虽然有个别国家的网络成熟度很高,但发展极不平衡,整体成熟度不高,再考虑到法律环境和保险行业服务能力的因素,其网络安全保险市场的发展想要“赶欧超美”仍需时日。
我国2017年6月1日实施的《网络安全法》对国内网络空间法治建设来讲是重要的里程碑事件。它对我国整个信息系统建设和网络安全保险市场的发展都将产生深远的影响。目前,有关部门正在按照法律要求抓紧研究起草相关制度文件,包括关键信息基础设施保护办法、个人信息和重要数据出境安全评估办法、网络关键设备和网络安全专用产品目录等。
来源:中国保险报 2017-07-21
0
元