全球网络安全保险市场经过二十余年发展,形成了较为成熟的上下游生态系统。
我国数字经济规模不断提高,持续为国民经济增长保驾护航。根据中国信息通信研究院《中国数字经济发展研究报告(2023 年)》,2022 年我国数字经济发展取得新突破,数字经济规模首次突破50万亿元,达到 50.2 万亿元,同比名义增长10.3%,高于同期GDP名义增速近 5 个百分点,占 GDP 比重达到41.5%,数字经济在国民经济中的地位更加稳固、重要支柱地位更加凸显。
数字经济的高速增长加大了网络安全风险带来的挑战,企业日益暴露在复杂多变的网络威胁之下。黑客攻击、数据泄露、病毒感染、网络欺诈等威胁可能直接导致企业遭受财务损失、信誉损害乃至业务中断。网络安全需求的激增,对企业网络安全防护能力提出了更高要求和更大挑战。根据 IDC《中国网络安全市场规模预测2022-2027》数据显示,2022 年中国网络安全市场规模为123.5 亿元,2027 年将增长至 233.2 亿元,期间年复合增长率高达13.5%。网络安全保险作为跨行业融合的创新险种,日益成为转移和防范网络安全风险的重要工具,在推进网络安全服务体系建设中发挥着重要作用。网络安全保险聚合产业各方力量,由保险公司发挥主导作用,借助网络安全企业、第三方机构的风险管理、数据分析等技术能力,为企业提供威胁检测、动态防御、应急响应等服务,通过损失补偿为企业缓解和转移网络攻击、数据泄露、系统故障等网络安全事件带来的网络安全风险,帮助企业构建更加完善的风险防御体系,全面提升企业网络安全风险应对能力。
1.全球网络安全保险市场经过二十余年发展,形成了较为成熟的上下游生态系统 一是 20 世纪 50 年代至 80 年代的发展初期阶段。此阶段网络安全风险主要集中于物理风险,网络覆盖范围有限且结构相对简单,面临的风险程度相对较低。1977 年美国保险集团(AIG)推出了历史上首份网络安全险——黑客保险(Hacker insurance),对于网络安全保险产业发展具有里程碑意义。随后,部分保险公司和IT公司也相继推出类似的保险解决方案。发展初期阶段的网络安全保险产品形态较为单一,通常以承保投保人自身的第一方损失为主,发展痛点主要包括投保企业获客渠道受限、风险分散能力有限、量化能力薄弱、公允性不足、客户网络安全风险意识淡薄和法律法规缺失等问题。
二是 20 世纪 90 年代后的初步探索阶段。此阶段全球网络安全保险的保障范围不断完善,保险方案日益丰富,保费规模快速增长,构建了政府主导、产学研协同发展的路径,有效推动了网络安全保险落地发展。监管机构高度重视网络安全保险,优化保险发展环境,开展网络安全保险发展相关研究,明确推进网络安全保险的关键领域,如网络事件信息共享、网络事件分析、企业风险管理等。同时,监管机构强化网络安全相关规范和监管,明确网络安全事故相关责任界定,为网络安全建设、网络安全主体责任落实提供指导。三是 21 世纪后的快速增长阶段。2016 至2020 年,网络安全保险在美国、欧洲等地区的主要用户集中在电信、互联网、教育、医疗健康等行业。在网络安全保险服务方面,形成了包括独立保单和综合保险单等多种形式,以适应不同企业的需求。此阶段第三方风险管理服务机构积极参与网络安全保险市场,帮助保险公司解决核保定价问题,推动网络安全保险保费快速增长,网络安全保险行业得到了快速发展。
四是近年来的持续发展阶段。随着应用程序、设备、网络和用户遭受网络攻击的风险不断增加,企业对于网络安全保险的需求不断增加,网络安全保险持续发展,成为财产保险市场中增长迅速的板块之一。根据 Emergen Research 的数据显示,2022 年全球网络安全保险市场规模为 121.0 亿美元,预计在预测期内年复合增长率将达到 22.4%。据慕尼黑再保险预测,2027 年,全球网络安全保险市场规模将增长至 290 亿美元左右。
2.我国网络安全保险产业发展不断完善,生态协同加速落地推广 一是 21 世纪初的萌芽阶段。此阶段我国网络安全保险开始初步尝试,2013 年 11 月,苏黎世财产保险(中国)有限公司推出国内第一款网络安全保险产品——安全与隐私保护综合保险。早期网络安全保险发展主要是受欧美市场的影响,市场对网络安全保险的认知有一定局限性,产品和服务尚不成熟,投保企业数量较少,整体市场渗透率低。 二是 2015 年后的探索发展阶段。第一,网络安全保险的相关政策指导网络安全保险产业规范健康发展。随着国家对网络安全的重视程度提升,先后出台了《网络安全法》《数据安全法》《个人信息保护法》和《关键信息基础设施安全保护条例》等法律法规,企业逐步认识到网络安全的重要性。2023 年7 月首份网络安全保险领域的政策文件《关于促进网络安全保险规范健康发展的意见》发布,为网络安全保险市场规范健康发展提供了明确指导。2023 年12月工业和信息化部印发《关于组织开展网络安全保险服务试点工作的通知》,组织开展网络安全保险服务试点工作,探索适合市场的保险产品,行业逐步迎来规范化、系统化发展的新阶段。第二,网络安全保险迎来新的发展机遇,随着数字化转型的深入,网络安全威胁日益复杂,网络安全保险市场认知度逐步得到提升。政策法规的不断完善也为网络安全保险提供了更多支持,网络安全保险产品开始多样化,不仅服务于大型企业,也开始向中小企业拓展,覆盖范围和保险责任也在逐步扩大。同时随着云计算、物联网等新技术的应用,也为网络安全保险带来了新的发展机遇。
三是近年来的稳步发展阶段。随着国内政策支持力度的加强和市场需求的增加,网络安全保险发展趋势呈积极增长态势。公开数据显示,2022 年网络安全保险保费规模达1.4 亿,相较于2021年保费规模翻倍。根据《网络安全保险产业发展调研》不完全统计,2023年网络安全保险规模超过 2 亿。此外,根据数据显示,一方面,2024年度与 2023 年度相比,超半数保险公司网络安全保险保费显著增长或略有增长;另一方面,根据历史出险事件统计,网络安全保险产品出险概率不高,产业需求仍待释放。
1.国家层面 政策支持力度不断加强,通过多种政策助力网络安全保险产业加速发展。 一是《关于促进网络安全产业发展的指导意见(征求意见稿)》。2019 年工业和信息化部会同有关部门起草了《关于促进网络安全产业发展的指导意见(征求意见稿)》,该指导意见中明确指出积极创新网络安全服务模式,探索开展网络安全保险服务。二是《关于促进网络安全保险规范健康发展的意见》。2023年7 月,工业和信息化部与国家金融监督管理总局联合印发《关于促进网络安全保险规范健康发展的意见》。其作为网络安全保险领域首份政策文件,旨在推动我国网络安全保险领域的规范化和健康发展,标志着网络安全保险的政策引导正式落地。该文件提出了五大方面共十条具体意见,主要包括以下几个方面。第一是建立健全网络安全保险政策标准体系,支持网络安全产业和保险业加强合作,建立覆盖网络安全保险服务全生命周期的标准体系,统一行业术语规范,明确核保、承保等关键环节。第二是加强网络安全保险产品服务创新,鼓励保险机构面向不同行业场景的差异化网络安全风险管理需求,开发多元化的保险产品和服务模式。第三是强化网络安全技术赋能保险发展,鼓励网络安全企业和专业测评机构充分发挥其技术优势,开展网络安全保险全生命周期风险监测,覆盖事前、事中、事后等重要环节。第四是促进网络安全产业需求释放,通过政策宣贯和咨询培训,营造良好的政策环境,提升行业认知和完善行业规范。第五是培育网络安全保险新业态,推动“保险+安全服务”的业务模式,逐步建立跨行业数据共享分析机制,促进网络安全保险的高质量发展。
三是《关于组织开展网络安全保险服务试点工作的通知》。2023年 12 月,工业和信息化部印发《关于组织开展网络安全保险服务试点工作的通知》,组织开展网络安全保险服务试点。第一是促进企业提升网络安全风险应对能力,推动企业提升对网络安全保险的认知,积极利用网络安全保险防范网络安全风险,完善网络安全风险管理体系,提升网络安全意识和能力。第二是建立健全网络安全保险流程机制,建立网络安全保险标准规范,针对核保、承保、理赔等重点环节完善流程标准和要求,促进网络安全保险规范健康发展。第三是加快网络安全服务新业态发展,积累网络安全保险实践经验,创新一批网络安全保险产品,培育一批优质网络安全保险机构,形成一批可复制可推广的网络安全保险解决方案,促进网络安全产业高质量发展。 四是《网络安全保险典型服务方案目录》。2024 年3 月,工业和信息化部公示了《网络安全保险典型服务方案目录》。共49个网络安全保险典型服务方案入围公示(详见附录1),其中企业类方案 36 个,产品服务类方案 13 个。
2.地方层面 多个省市积极贯彻落实国家战略部署,组织开展网络安全保险相关工作,激发地方网络安全保险市场需求。北京市制定《北京市关于促进网络安全保险规范健康发展的实施方案》;上海市组织开展“卫生健康行业网络安全保险服务试点工作”;宁波市推进首个面向中小微企业的“网安保”;天津市、广东省、福建省、河南省、湖北省、湖南省、海南省、四川省、贵州省、浙江省、山东省、河北省、辽宁省等多个省市组织开展网络安全保险服务试点工作。
3.地方省市落地实践 地方省市可通过多种措施,积极推动网络安全保险的发展。具体包括政策支持、试点示范、专项资金、产业对接、科研支持和宣传教育等,共同推动网络安全保险市场的持续发展,提高企业和公众的认识和接受度,切实增强产业网络安全能力。一是推出网络安全保险相关支持措施,激发市场需求。以产业创新、需求释放、宣传推广为切入点,充分发挥网络安全保险对产业的整体撬动作用,强化网络安全产业创新供给能力,提升企业风险应对水平,推进网络安全产业高质量发展。例如,北京市立足数字经济新赛道发展现状及安全需求,制定《北京市关于促进网络安全保险规范健康发展的实施方案》,激发北京市网络安全保险市场活力,助力网络安全产业高质量发展。
二是推动网络安全保险的创新进程和逐步落地。一方面,聚焦重点行业及重点领域,加强网络安全保险产品服务创新及网络安全技术赋能。另一方面,释放重点领域用户企业安全需求,聚焦产业特色开展试点,以网络安全保险推动网络安全产业高质量发展。例如,北京市推动政产学研用积极落地网络安全保险,形成标杆示范作用,带动网络安全保险在更多行业和场景下落地应用,加强优秀实践经验总结推广;推动北京企业通过大会、论坛等平台,加强对网络安全保险产品及应用的宣传推广,带动更多行业企业提高对网络安全保险的意识。
网络安全保险作为一种特殊类型的保险产品,其主要角色与其他保险产品相似,主要包括投保人、被保险人、保险人(也称为承保人)和服务方。网络安全保险生态系统中每个角色的职责相互关联,共同构建了一个从风险识别、风险转移、事件响应到损失补偿的完整链条,从而为企业提供全面的网络安全风险保障。
(1)投保人即保险人签订保险合同,并按照保险合同负有支付保险费义务的法人主体。投保人通常是企业或组织的代表,当其为自己投保时,投保人即被保险人;投保人为其他法人主体投保时,投保人代被保险人缴纳保费,投保人和被保险人是不同法人主体。(2)被保险人是在保险合同中受到保护的法人主体,享有保险单规定的保障权益。在大多数情况下,网络安全保险的被保险人与投保人为同一法人主体,即购买保险的企业或组织。当发生保险合同中约定的网络安全事件时,被保险人有权向保险公司请求赔偿。
(3)保险人即与被保险人共同分担网络安全风险,并承担赔偿或者给付保险金责任的保险公司。保险人负责保险产品开发设计、保险条款注册以及核心系统开发,并根据客户的网络安全能力和实际需要根据对保险服务方设计的保险方案进行确认。保险人基于科技服务方提供的保前风险评估结果给出核保意见,并决定是否承保。保险人应在决定承保后向投保客户签发正式保单,并在出险后协同科技服务方对网络安全事件进行取证勘察,根据安全事件鉴定结果及保险条款对投保客户进行理赔赔付。此外,保险公司可选择再保险公司为其承保出单的网络安全保险业务提供再保险承保能力支持。
(4)服务方是在网络安全保险过程中提供各类服务的第三方机构和技术服务商,为网络安全保险业务提供保前投保咨询、保险方案设计、保前风险评估、安全检测、事件鉴定、损失评估、勘察及理赔、法律咨询及场景化运营等专业服务。服务方可以受保险人委托或受被保险人委托开展上述专业服务。保险经纪公司等保险服务方可根据客户需要及现有的保险产品设计保险方案,包括保险保障责任、保险要素以及网络安全服务组合等内容。网络安全企业及相关科技服务公司作为科技服务方,为承保前、中、后各个环节提供配套的技术服务,其中网络安全企业可基于保险方案内容提供配套的安全服务,如防勒索病毒攻击、DDOS 防护、持续网站监测服务以及应急响应服务等。第三方检验检测机构作为独立第三方为被保险人提供网络安全风险评估、事后损失评估等服务,确保评估的客观性和公正性。
网络安全保险通过整合行业参与方服务资源,形成更完善的网络安全保险生态体系。参与主体通过合作拓展网络安全保险应用场景,针对差异化网络安全风险管理需求,充分利用自身的资源和技术能力,提供全链路的网络安全保险技术支撑,增强网络安全保险服务能力,促进了网络安全保险市场的成熟与创新。随着网络安全威胁的日益复杂化,生态系统还在不断进化,从而适应新的挑战和需求。
