网络风险及其保险的主要问题

  目前网络保险市场的发展仍处于初级阶段。对网络风险的保险给保险业带来了机会，但它也对网络保险的可承保性造成了一些挑战。这一些因素包括对大数法则的挑战、数据可用性和建模方法的高度不确定性以及持续的技术变化等。无论如何，网络风险保险市场的成功培育是社会逐步发展的重要目标。

  使用信息和通信技术（ICT）带来的数据可用性或完整性的风险，以及运营技术（OT）导致业务中断、关键基础设施崩溃从而造成的财产损失等，统称为网络风险。网络风险的发生包括自然的原因和人为的原因，人为的问题大多指网络犯罪、网络战争和网络。

  网络风险可以从两个方面影响保险公司。首先，由于保险公司严重依赖其IT基础设施，它极易受网络风险的影响。这种风险被作为操作风险列示于保险业监管框架内。其次，设计网络风险产品似乎是一个着迷的商业机会。从保险的角度来看，IT网络风险和运营技术（OT）网络风险之间的区别非常重要。

  虽然这两种威胁都来自互联网空间，但它们对不同的资产产生负面影响。一方面，IT网络风险造成数据和系统完整性的潜在损失。这些资产只能由专用的网络保险解决。另一方面，OT风险是指基础流程、关键基础设施和供应链受一定的影响的情况。根据保单条款，一般保单可能涵盖OT的风险，但通常不包括IT网络风险。

  网络风险成本的主要部分是间接损失（如信任损失）和国防成本（如防病毒软件），而不是直接损失。根据Anderson et al.（2013）的研究，网络犯罪分子的收入大致等于直接成本。直接成本可能仅仅是财富的（非法）再分配，间接和国防成本可能意味着低效率和社会的福利损失。另一个问题是信息和通信技术（ICT）带来的总体效率增加（降低交易成本，规模经济）是否超过网络风险造成的成本。通常，每个新技术（例如云计算）在潜在地提高效率的同时将以更高的脆弱性为代价。

  从微观角度来看，网络风险可能对公司产生难以处理的后果。研究表明，网络风险事件会对公司股票在市场上买卖的金额产生负面影响。对个人而言，个人数据泄露会导致潜在的经济损失。使用复杂的数据分析技术，罪犯可以重建个人的身份。同时通过社交并媒体并结合公开的数据，会导致隐私持续被侵蚀。

  由于动态持续的风险监测是网络风险管理中的一个很重要的措施，因此，风险管理的策略必须不断调整。在这种情况下，彻底的沟通和信息共享对网络风险非常有益。我们大家可以得出以下关于网络风险管理的应对之策：

  ◆ 有效的危机管理：针对特定风险的情况下，明确规定必需的经营计划和责任。

  ◆ 与员工对话的风险：网络风险不只是一个专门的部门任务，而是一个跨公司的风险对话。

  ◆ 与客户和供应商关于风险的对话：网络风险也需要与客户和供应商建立长期对话。

  ◆ 持续监测：由于技术发展迅速，风险管理过程要一直调整，因为总会出现新的威胁来源，有效的监测和核查势在必行。

  互联网的全球性崩溃是不太可能的，但是已发生过区域性的故障；鉴于全球化背景，对公司和个人的潜在损失是巨大的。虽然现在许多国家已经制定了保护关键基础设施的国家战略，但在全球互联网失灵的情况下没有真正可行的计划。因此，公司和国家应在其更深入的应急规划中讨论这种情况。

  目前商业保险主要是针对有形资产及责任险。合同条款通常不包括网络风险的保护。在网络风险方面目前出现了一个专门的市场，但市场覆盖面很小。据统计，当前网络保险的年度毛保费在美国为27.5亿美元，每年平均增长26%~50％。瑞士再保险公司预计2023年全球网络保险费用将增加到59亿美元。网络保险的市场目前很小，但预计会大幅度的增加，目前的现状是美国市场比欧洲市场更发达。

  网络保险的可承保性方面，第一个问题是，网络风险没有给出损失的独立性和可预测性；因此，风险聚集可能不准确。网络保险的第二个重要问题是信息不对称。经历过严重网络攻击的公司更有可能购买保险，因此导致逆向选择。发展保险市场的第三个根本问题是覆盖范围。保单涵盖的损失有限，并列明几个除外责任。因此，潜在的极端情景不能被完全涵盖在现有的保单中。

  现今，网络保险市场处于早期阶段，随市场的发展，风险池将变得更大，并且将有更多的数据可用。这将增加保险能力，促进竞争，并推动价格下降。此外，将引致更统一的术语和产品的标准化。建立定义、统一风险评估标准也很重要，所有这些措施都将有利于减少网络风险的问题。

  网络风险管理的问题之一是缺乏标准。保险业应与其他利益相关者一起，通过全球合作，收集和传播这些信息。

  其次是不断跟踪技术发展。鉴于新技术可能加速网络风险，如云计算及其如何保护的问题。外包数据的完整性和保密性可能受到高度质疑。

  最后，随着物联网的发展，如何防止自主系统被攻击，如智能电网。物联网也将增加操作技术（OT）的脆弱性。

  保险业应与其他利益相关者合作，提高网络风险意识，引导客户怎么样应对。可以定义客户要遵守的风险管理实践，以便购买网络保险，还可以为客户提供帮他们防范网络风险的工具。

  由于网络犯罪造成的网络风险损失，政府能够最终靠实施更严厉的惩罚和增加执法资源来减少网络风险威胁。在某一些程度上，法律制度最薄弱、网络犯罪率最高的国家决定了全球的网络威胁水平，因此迫切地需要国际合作。政府还需要为网络战争行为准备好。政府机构能支持建立网络风险数据库收集所报告的软件漏洞，鼓励保险行业在有限时间内或在网络风险的某些方面（如极端情况）设立保险库。此外，国家能够最终靠发布针对特定风险的网络债券来激励长期资金市场解决方案的引入。

  关于未来研究，由于现有风险和保险领域的研究主要侧重于可承保性的供给方，需求方尚需更多的研究。从宏观角度看，需要更多衡量和管理累积风险的方案。学术界应该成为预防网络风险和促进网络保险的推动力量。

  赵立平，北京保险研究院常务副院长，法学博士，高级研究员，博士后导师；赵强，北京保险研究院博士后，经济学博士，高级经济师。