数字经济时代网络安全保险科技的创新发展

“保险帮助企业安全地转移残余风险，安全又为网络安全保险的承保能力和风险控制能力提供有效的科技支撑。”秦峰通过介绍企业的网络安全责任、我国企业内生网络安全治理困惑、网络安全保险的发展现状与展望以及众安科技推出的“保险+安全+科技”模式，描绘了目前我国网络安全保险的探索与创新画卷。

秦峰：众安科技网络安全创新事业部、众至网络安全实验室负责人

相关数据显示，在2015年至2025这十年间，网络攻击引发的全球潜在经济损失可能高达2940亿美元。APT攻击、DDos攻击、勒索病毒攻击和脚本攻击等网络攻击手段屡见不鲜。为了防范日趋猖獗的网络安全攻击，网络安全保险应运而生。

与此同时，数字经济时代下，我国《网络安全法》《数据安全法》《个人信息保护法》等法规及其他支撑监管要求的相继出台。我国的网络安全监管也形成了由网信部门、工信部门、市场监督部门和公安部门等多头协同的监管格局，远程检查、现场突击、自查自审等监管形式多样，且伴有针对重点行业组织的经常性专项行动。由此，企业需要面临不同部门、行业、多级机构的多头执法，如何保障企业网络及数据安全合规，成为企业面临的重要课题。再者，伴随着政府和社会的全面宣传，大众的网络安全与隐私保护意识也逐渐觉醒，网络安全保险需求进一步提升。

01企业内生网络安全治理困惑

秦峰指出，企业内生的网络安全治理面临以下四点困惑。

一是监管下沉，但企业的网络安全建设成本并不普惠，需要投入大量资金，付出成本高。

二是安全合规建设涉及方方面面，技术复杂周期长。

三是安全运维需要持续投入，但人员紧缺，人力成本高昂。

四是企业业务变化快，传统安全架构网络网络难以适配业务变化。

错综复杂的安全环境及残余与未知的风险，促使通过安全设施“缓解风险”的措施与网络安全保险“转移风险”的模式已成为最高效的安全投资。

其中大企业和小企业的情况略有差别。大企业的安全投资较多，拥有较强的防护建设能力，但是由于网络安全风险的未知性，目前还没有切实可行的方法解决残余风险。而小企业在同样的法律监管和合规经营要求下，缺乏充足的精力、能力、资金、人员投入到安全建设中。另一方面，在网络安全的经济模型中，当投资到达一定程度而残余风险并不会趋于为零时，安全投入与风险损失的投资收益比就会逐步下降。在此基础上，安全和保险的结合，成为企业当前可选择的相对高效的安全投资，将起到转移残余风险的作用。

但是也应当认识到，保险的功能是转移残余风险，而不能完全规避全面风险，因此企业仍需要在采用安全保险之外做好安全防护建设。

02网络安全保险的发展情况

从全球市场发展上来说，美国是目前最大的网络安全保险市场；欧盟地区则随着GDPR的发展，网络安全保险的规模也在迅速扩大。目前大部分国家都开始在全球部署网络安全保险，将其作为企业经营风险管理框架的配置措施。

2010年后，网络安全保险的行业规模开始大幅度提升。2012年，全球网络安全保险规模达到5亿美元，其中美国占据主要市场份额——美国企业投保网络安全保险比例高达70%。

亚洲等其他市场的网络安全保险行业起步较晚，发展正处于新兴阶段。以我国为例，2021年我国网络安全保险的保费市值约为七千万人民币，在网络安全保险新业态的发展上还处在初期探索阶段，与国际相比还有较大的发展空间。整个中国市场在网络安全保险领域用到频率较高的词是“探索”侧面反映了这一特点。不过上海作为国际金融创新中心、我国的金融高地，在全国的步调相对比较靠前，已经由市级委办局组成了专项专班，各个产业的同仁们也都积极投入到了相关的产品创新和服务设计中。

2019年9月，工信部发布的《关于促进网络安全产业发展的指导意见》（征求意见稿）中提出要“探索开展网络安全保险服务”。

2021年7月，工信部发布的《网络安全产业高质量发展三年行动计划（2021-2023年）（征求意见稿）》提出：1）加强安全企业技术产品的云化能力，推动云化安全产品应用，鼓励综合实力强的安全企业发展弹性、灵活的云模式网络安全服务。2）“网络安全产业资本赋能工程”专栏：探索开展网络安全保险，面向电信和互联网、工业互联网、车联网等领域，开展网络安全保险服务试点。

2021年9月，上海市经信委和银保监局指导下成立网络安全保险专班，众安保险作为保险侧成员单位、众安科技作为技术侧成员单位，分别参与相关保险产品设计、科技服务设计及标准起草等工作。

2021年12月，《上海市建设网络安全产业创新高地行动计划（2021-2023年）》提及：

1）推进安全服务化布局，倡导“安全即服务”理念，鼓励企业设立安全运营服务中心，由提供产品向提供服务和解决方案转变。引导党政部门和重点企事业单位提升网络安全服务采购比例。

2）培育面向网络安全领域的商业保险技术、产品、管理和服务创新能力，构建覆盖多层面的保险服务机制，培育事前预防、事中防护、事后补偿的全周期网络安全保险服务保障模式。

我国的网络安全产业目前还处于初级发展、探索阶段，也存在相应的发展瓶颈，具体可以从以下三方面进行分析。

首先，在用户需求侧，网络安全保险的投保动力不足，存在对网络安全风险管理的重视程度不够、对信息泄露的维权意识不高、对网络安全保险的认识不足和对网络安全保险的投保意愿不强等问题。

其次，在服务供给侧，安全服务尚未契合保险流程，存在风险评估结果难以直接服务于核保分析等流程、风险监测指标尚未与保障范围内的网络安全风险高度关联、溯源取证服务与保险理赔目标不一致等问题。针对这一问题，众安科技也在积极开展关于保险科技企业的供给侧改革。

再次，多主体协同风险管控能力相对有限，存在缺失历史数据从而风险预判能力受限、传统精算模型难以有效反映和量化未知风险、部分高风险因素未被纳入承保范围等问题。特别是网络安全全链条数据、网络风险对企业造成的经济损失等数据的披露有限，限制了我国网络安全保险产业的发展。

03国内网络安全保险产业发展现状及展望

我国网络安全保险的服务模式正在逐渐形成。通过保险公司与网络安全专业技术机构开展合作，国内网络安全保险机构将保险机制与网络安全专业技术服务进行融合，使网络安全保险的产品业务得到基本完善。

同时，国内网络安全的重点行业需求增加。随着网络安全保险的落地案例逐渐增多，一些重点行业的需求明显提高。例如易遭受网络攻击的金融、制造业企业，关键信息基础设施运营单位，外资、合资或具备海外业务的中资企业，为了规避网络攻击造成的巨大经济损失风险，都将有越来越强烈的网络安全保险购买意愿。

需要注意的是，在网络安全保险领域，除了企业端与服务端产生合作，还应该要有第三方保险科技机构，将安全企业的安全服务能力同保险公司的金融服务能力进行有机的整合，形成网络安全保险生态链中关键的一环。具体而言，保险科技公司针对场景化网络安全风险，协助保险公司构建承保前、承保中、出险后的全流程业务体系，同时，采取数据清洗整合优势，帮助保险公司优化风险定价模型，实现差异化的定价策略。

随着企业对网络安全的日趋重视，众安网络安全保险也面向不同行业、场景的差异化网络安全风险管理需求，推出了全方位的网络安全保险产品矩阵，服务各体量类型客户的投保需求。同时，以其秉持的“安全+保险+科技”的创新模式，为企业提供基于保险的主动安全合规、主动风险管理、主动安全运营等一站式、普惠式服务，助力企业在数字经济时代提升数字化资产安全防护水平和风险对抗能力。