網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是當(dāng)今 “數(shù)智” 社會(huì)最大的風(fēng)險(xiǎn)之一，我國則是世界上遭受網(wǎng)絡(luò)攻擊最嚴(yán)重的國家，公民和企業(yè)所遭受的損失巨大。爆發(fā)式發(fā)展的人工智能使得網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)一步加劇。習(xí)近平總書記指出：“沒有網(wǎng)絡(luò)安全就沒有國家安全，就沒有經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行，廣大人民群眾利益也難以得到保障。” 如何維護(hù)網(wǎng)絡(luò)安全，有效救濟(jì)受害人，已成為事關(guān)全局的重大課題。本文圍繞對(duì)網(wǎng)絡(luò)攻擊所造成的損害可否通過保險(xiǎn)機(jī)制予以保障與補(bǔ)償進(jìn)行研究和探討。

　　一、老保單遇到新風(fēng)險(xiǎn)：沉默網(wǎng)絡(luò)風(fēng)險(xiǎn)的保障爭議

　　(一)傳統(tǒng)保險(xiǎn)面臨網(wǎng)絡(luò)風(fēng)險(xiǎn)保障挑戰(zhàn)

　　沉默網(wǎng)絡(luò)風(fēng)險(xiǎn)(silent cyber exposure)一般是指 “在財(cái)產(chǎn)一切險(xiǎn)和其他責(zé)任保險(xiǎn)中未明確排除的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)”。由于傳統(tǒng)保險(xiǎn) [如財(cái)產(chǎn)一切險(xiǎn)(all-risk policy)] 和責(zé)任險(xiǎn) [如商業(yè)綜合責(zé)任險(xiǎn)(CGL)] 并非是針對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的獨(dú)特性質(zhì)設(shè)計(jì)的，但大多數(shù)保單又未明確將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)排除，從而導(dǎo)致了所謂的沉默網(wǎng)絡(luò)風(fēng)險(xiǎn)問題。換言之，在傳統(tǒng)財(cái)產(chǎn)一切險(xiǎn)或責(zé)任保險(xiǎn)中未明確排除的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，是否仍在保障范圍之內(nèi)。

　　域外保險(xiǎn)監(jiān)管機(jī)構(gòu)高度關(guān)注沉默網(wǎng)絡(luò)風(fēng)險(xiǎn)問題并提出行業(yè)預(yù)警，擔(dān)心重蹈 “石棉賠付危機(jī)”(asbestos)的覆轍。英國保險(xiǎn)監(jiān)管機(jī)構(gòu)審慎監(jiān)管局(Prudential Regulation Authority, PRA)較早向保險(xiǎn)業(yè)提出沉默網(wǎng)絡(luò)風(fēng)險(xiǎn)的法律問題，警告系統(tǒng)性網(wǎng)絡(luò)風(fēng)險(xiǎn)將會(huì)對(duì)傳統(tǒng)保險(xiǎn)造成巨大沖擊，并要求保險(xiǎn)人與再保險(xiǎn)人制定沉默網(wǎng)絡(luò)風(fēng)險(xiǎn)處置的行動(dòng)計(jì)劃。德國聯(lián)邦金融監(jiān)管局亦就這一問題向保險(xiǎn)公司進(jìn)行調(diào)查詢問，包括哪些保險(xiǎn)合同涉及沉默風(fēng)險(xiǎn)問題，以及在公司自身償付能力的約束下如何有效處置等。歐洲保險(xiǎn)與職業(yè)養(yǎng)老金管理局(European Insurance and Occupational Pensions Authority)從網(wǎng)絡(luò)保險(xiǎn)發(fā)展的戰(zhàn)略層面提出對(duì)沉默風(fēng)險(xiǎn)問題的監(jiān)管疑慮。

　　作為有史以來最具有破壞性的網(wǎng)絡(luò)攻擊之一，2017 年爆發(fā)的 NotPetya 網(wǎng)絡(luò)攻擊以 Windows 服務(wù)器、臺(tái)式機(jī)和筆記本電腦為目標(biāo)，癱瘓甚至摧毀了數(shù)千家跨國公司的計(jì)算機(jī)系統(tǒng)，并通過對(duì)主文檔進(jìn)行加密要求受害人繳納比特幣贖金來恢復(fù)對(duì)主文檔的訪問，在全球范圍內(nèi)造成了高達(dá) 100 億美元的損失。NotPetya 網(wǎng)絡(luò)攻擊對(duì)保險(xiǎn)市場造成了巨大沖擊，并使沉默網(wǎng)絡(luò)風(fēng)險(xiǎn)問題成為現(xiàn)實(shí)的法律爭議。例如，制藥公司 Merck 與食品飲料公司 Mondelez 因 NotPetya 網(wǎng)絡(luò)攻擊導(dǎo)致了巨額財(cái)產(chǎn)損失、人身傷害和營業(yè)中斷損失，分別向財(cái)產(chǎn)一切險(xiǎn)保險(xiǎn)人提起索賠。然而，保險(xiǎn)人認(rèn)為該攻擊屬于俄羅斯向?yàn)蹩颂m發(fā)起的網(wǎng)絡(luò)戰(zhàn)，援用 “戰(zhàn)爭除外責(zé)任條款” 拒絕賠付。隨后 Merck 與 Mondelez 分別提起訴訟，認(rèn)為 NotPetya 網(wǎng)絡(luò)攻擊導(dǎo)致了財(cái)產(chǎn)損失、人身傷害或業(yè)務(wù)中斷，應(yīng)當(dāng)屬于財(cái)產(chǎn)保險(xiǎn)的保障范圍。由于被保險(xiǎn)人投保的是傳統(tǒng)的財(cái)產(chǎn)一切險(xiǎn)而非專門的網(wǎng)絡(luò)安全保險(xiǎn)(stand-alone cyber insurance)，因此，訴訟的主要爭議問題為，財(cái)產(chǎn)一切險(xiǎn)保單中未明確提及的沉默網(wǎng)絡(luò)風(fēng)險(xiǎn)(網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn))是否在其保障范圍之內(nèi)，而非適用戰(zhàn)爭除外責(zé)任條款。

　　(二)沉默網(wǎng)絡(luò)風(fēng)險(xiǎn)的保障爭議及分析

　　沉默網(wǎng)絡(luò)風(fēng)險(xiǎn)可謂傳統(tǒng)保險(xiǎn)的保障缺口，那么根據(jù)保險(xiǎn)法的理論與規(guī)范，其是否在保障范圍之內(nèi)?

　　第一，從理論上講，根據(jù)保險(xiǎn)合同解釋規(guī)則，當(dāng)保單條款含糊不清(ambiguity)時(shí)，即風(fēng)險(xiǎn)可能被包含也可能被排除在保單保障范圍時(shí)，則風(fēng)險(xiǎn)應(yīng)當(dāng)在保障范圍之內(nèi)。《中華人民共和國保險(xiǎn)法》(以下簡稱 “《保險(xiǎn)法》”)第 30 條規(guī)定了保險(xiǎn)格式條款不利解釋規(guī)則，即 “對(duì)合同條款有兩種以上解釋的，人民法院或者仲裁機(jī)構(gòu)應(yīng)當(dāng)作有利于被保險(xiǎn)人和受益人的解釋”。因此，對(duì)于沉默網(wǎng)絡(luò)風(fēng)險(xiǎn)，當(dāng)傳統(tǒng)保險(xiǎn)的保障范圍存在不確定性時(shí)，應(yīng)對(duì)包含或排除風(fēng)險(xiǎn)進(jìn)行解釋;除非保險(xiǎn)人將沉默網(wǎng)絡(luò)風(fēng)險(xiǎn)明確排除在外，否則應(yīng)當(dāng)承擔(dān)其所致?lián)p失。

　　在 Merck 案中，美國法院亦據(jù)此認(rèn)為，從保單條款字面含義上看，戰(zhàn)爭除外責(zé)任條款并沒有提及網(wǎng)絡(luò)事件、計(jì)算機(jī)、數(shù)據(jù)、編碼或軟件等內(nèi)容，也未明示或暗示將網(wǎng)絡(luò)事件或網(wǎng)絡(luò)攻擊排除在承保范圍之外。因此，財(cái)產(chǎn)一切險(xiǎn)中排除由 “戰(zhàn)爭”、“軍事” 或 “敵對(duì)” 行動(dòng)造成損失的戰(zhàn)爭行為除外責(zé)任條款，并不適用于 NotPetya 網(wǎng)絡(luò)攻擊，保險(xiǎn)公司應(yīng)當(dāng)賠付相關(guān)損失。與 Merck 案類似，Mondelez 案中的保險(xiǎn)人試圖援引戰(zhàn)爭除外責(zé)任條款作為拒賠依據(jù)，但由于保險(xiǎn)人并未修改傳統(tǒng)保單中沿用已久的條款，即未明確排除網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，亦未明確網(wǎng)絡(luò)攻擊屬于戰(zhàn)爭行為，最終不得不以和解結(jié)案。

　　第二，如果條款的表述不清晰、晦澀難懂，亦與保險(xiǎn)法理論中的透明度原則(principle of transparency)相抵觸。透明度原則有助于解決保險(xiǎn)合同當(dāng)事人之間的信息不對(duì)稱問題。它既要求投保人在訂立保險(xiǎn)合同時(shí)應(yīng)當(dāng)就保險(xiǎn)標(biāo)的等相關(guān)風(fēng)險(xiǎn)如實(shí)告知保險(xiǎn)人，也要求保險(xiǎn)人在訂立合同時(shí)向被保險(xiǎn)人清楚、正確地說明保單條款的信息。《保險(xiǎn)法》第 17 條第 1 款規(guī)定了保險(xiǎn)人對(duì)保險(xiǎn)格式條款的說明義務(wù)，即 “訂立保險(xiǎn)合同，采用保險(xiǎn)人提供的格式條款的，保險(xiǎn)人向投保人提供的投保單應(yīng)當(dāng)附格式條款，保險(xiǎn)人應(yīng)當(dāng)向投保人說明合同的內(nèi)容”。因此，保險(xiǎn)人如不承保沉默網(wǎng)絡(luò)風(fēng)險(xiǎn)，則有義務(wù)在合同簽訂前披露和說明保單中有關(guān)條款的信息，從而使投保人能夠在知情的情況下決定是否投保。

　　第三，合理期待規(guī)則(reasonable expectations)亦不支持保險(xiǎn)人拒絕保障沉默網(wǎng)絡(luò)風(fēng)險(xiǎn)。在 Merck 案中，法院認(rèn)為保險(xiǎn)人應(yīng)當(dāng)保障沉默網(wǎng)絡(luò)風(fēng)險(xiǎn)的理由之一，即保險(xiǎn)人拒絕賠付違反了合理期待規(guī)則：保險(xiǎn)人在與投保人在最初簽訂保險(xiǎn)合同時(shí)并沒有以合理預(yù)見到的方式限制保障范圍。英美保險(xiǎn)法中的 “合理期待規(guī)則” 與我國保險(xiǎn)法規(guī)定的保險(xiǎn)人明確說明義務(wù)有異曲同工之效。我國保險(xiǎn)法第 17 條第 2 款規(guī)定：“對(duì)保險(xiǎn)合同中免除保險(xiǎn)人責(zé)任的條款，保險(xiǎn)人在訂立合同時(shí)應(yīng)當(dāng)在投保單、保險(xiǎn)單或者其他保險(xiǎn)憑證上作出足以引起投保人注意的提示，并對(duì)該條款的內(nèi)容以書面或者口頭形式向投保人作出明確說明;未作提示或者明確說明的，該條款不產(chǎn)生效力。” 保險(xiǎn)人在簽訂保單之前對(duì)免除責(zé)任條款予以明確說明正是應(yīng)對(duì)合理期待規(guī)則的最佳方法。

　　(三)小結(jié)

　　理論與實(shí)踐的沖突表明傳統(tǒng)財(cái)產(chǎn)一切險(xiǎn)因應(yīng)網(wǎng)絡(luò)風(fēng)險(xiǎn)具有較大的不確定性。沉默網(wǎng)絡(luò)風(fēng)險(xiǎn)引發(fā)保險(xiǎn)保障糾紛，這些糾紛又反過來影響保險(xiǎn)人的承保決策(產(chǎn)品供給)和投保人的購買決策(保險(xiǎn)需求)。

　　對(duì)投保人而言，其網(wǎng)絡(luò)風(fēng)險(xiǎn)的安全保障需求并未消失。由于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的 “不可消除性”，即安全技術(shù)手段無法確保百分之百安全，因此網(wǎng)絡(luò)安全保險(xiǎn)乃是投保人分擔(dān)殘余風(fēng)險(xiǎn)的 “剛需”。對(duì)保險(xiǎn)人而言，其面臨著兩個(gè)相互沖突的目標(biāo)：一方面努力使自己擺脫對(duì)災(zāi)難性網(wǎng)絡(luò)攻擊的承保責(zé)任，傳統(tǒng)保險(xiǎn)或?qū)⒚鞔_排除部分或特定網(wǎng)絡(luò)風(fēng)險(xiǎn)保障;另一方面仍要維護(hù)投保人對(duì)保險(xiǎn)產(chǎn)品的信心，即大多數(shù)網(wǎng)絡(luò)風(fēng)險(xiǎn)仍在保障范圍之內(nèi)。因此，發(fā)展專門網(wǎng)絡(luò)安全保險(xiǎn)(stand-alone cyber insurance)則成為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)保障更專業(yè)、更可行的選擇。

　　二、專門網(wǎng)絡(luò)安全保險(xiǎn)的前置要件：網(wǎng)絡(luò)風(fēng)險(xiǎn)的特殊性與可保性

　　通過專門網(wǎng)絡(luò)安全保險(xiǎn)(stand-alone cyber insurance)承保網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，我們首先需要思考的問題是：為何傳統(tǒng)保險(xiǎn)要排除網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，網(wǎng)絡(luò)風(fēng)險(xiǎn)與其他風(fēng)險(xiǎn)相比有無特殊之處，其本身是否具有可保性(insurability)。對(duì)于風(fēng)險(xiǎn)性質(zhì)與可保性認(rèn)識(shí)的不同，不僅影響是否提供網(wǎng)絡(luò)安全風(fēng)險(xiǎn)保障，亦關(guān)乎風(fēng)險(xiǎn)定價(jià)，進(jìn)而影響保障范圍之大小。蓋因保險(xiǎn)責(zé)任需闡明 “網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可能導(dǎo)致何種網(wǎng)絡(luò)安全事件，最終引發(fā)何種損失類型”，其核心為確定 “可保網(wǎng)絡(luò)安全事件” 與 “可保損失類型”。

　　(一)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的特殊性

　　從抽象層面來看，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不是單一類型的風(fēng)險(xiǎn)，而是一個(gè)集合性概念。因此，有學(xué)者認(rèn)為，網(wǎng)絡(luò)風(fēng)險(xiǎn)是指 “大量的、不同來源的、通過網(wǎng)絡(luò)或信息技術(shù)影響個(gè)人、企業(yè)或社會(huì)有形的或無形的信息或財(cái)產(chǎn)的風(fēng)險(xiǎn)集合”。網(wǎng)絡(luò)風(fēng)險(xiǎn)類型豐富多樣，包括但不限于 “數(shù)據(jù)泄露、數(shù)據(jù)損毀、勒索軟件攻擊、拒絕服務(wù)攻擊、惡意軟件、病毒、網(wǎng)絡(luò)敲詐、人為錯(cuò)誤、編程錯(cuò)誤等多種網(wǎng)絡(luò)事件”。2022 年上海市保險(xiǎn)同業(yè)公會(huì)發(fā)布的《網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)規(guī)范(征求意見稿)》以概括加列舉的方式通過定義網(wǎng)絡(luò)安全事件來界定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，即 “由于風(fēng)險(xiǎn)對(duì)信息系統(tǒng)造成危害或?qū)ι鐣?huì)造成負(fù)面影響的事件，如計(jì)算機(jī)病毒、特洛伊木馬、拒絕服務(wù)攻擊、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽攻擊等事件”。需要指出的是，該定義僅限于外部攻擊導(dǎo)致的網(wǎng)絡(luò)安全事件，雖有考慮防范被保險(xiǎn)人的道德風(fēng)險(xiǎn)之虞，但未包括由被保險(xiǎn)人內(nèi)部人員、技術(shù)和管理等方面的疏忽而引發(fā)的網(wǎng)絡(luò)安全事件。事實(shí)上，被保險(xiǎn)人違反網(wǎng)絡(luò)安全法律法規(guī)相關(guān)義務(wù)如個(gè)人信息或數(shù)據(jù)保護(hù)而需承擔(dān)的責(zé)任，恰是網(wǎng)絡(luò)責(zé)任保險(xiǎn)承保的重要風(fēng)險(xiǎn)。

　　從技術(shù)層面來看，雖然并非所有的風(fēng)險(xiǎn)都是網(wǎng)絡(luò)風(fēng)險(xiǎn)，但是越來越多的風(fēng)險(xiǎn)類型都包含了網(wǎng)絡(luò)因素。一方面，摩爾定律(Moore's Law)揭示了計(jì)算機(jī)信息技術(shù)的不斷快速演進(jìn)。另一方面，受大數(shù)據(jù)、云計(jì)算、人工智能發(fā)展的影響，物聯(lián)網(wǎng)(Internet of Things)連接日益緊密但也模糊了虛擬世界與真實(shí)世界的界分。

　　因此，網(wǎng)絡(luò)風(fēng)險(xiǎn)之所以特殊，在于它幾乎與所有其他類型的風(fēng)險(xiǎn) —— 從侵權(quán)責(zé)任到刑事犯罪，再到財(cái)產(chǎn)和意外損失 —— 都有前所未有甚至難以預(yù)測的關(guān)聯(lián)，而這些復(fù)雜的關(guān)聯(lián)性極大地增加了保險(xiǎn)人通過傳統(tǒng)數(shù)據(jù)收集或建模工具進(jìn)行風(fēng)險(xiǎn)評(píng)估和分配的難度，從而對(duì)基于精算分析的風(fēng)險(xiǎn)定價(jià)提出了重大挑戰(zhàn)。

　　(二)系統(tǒng)性風(fēng)險(xiǎn)爭議

　　基于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的特殊性，在理論與實(shí)務(wù)中對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是否屬于系統(tǒng)性風(fēng)險(xiǎn)存在較大爭議。

　　第一，肯定性觀點(diǎn)認(rèn)為，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)當(dāng)然是系統(tǒng)性風(fēng)險(xiǎn)。該觀點(diǎn)多存在于實(shí)務(wù)界，保險(xiǎn)人多以此為由拒絕承保網(wǎng)絡(luò)風(fēng)險(xiǎn)。例如，英國勞合社(Lloyd's of London)提出，系統(tǒng)性風(fēng)險(xiǎn)暴露是網(wǎng)絡(luò)風(fēng)險(xiǎn)的主要特征，因?yàn)榫W(wǎng)絡(luò)攻擊者利用數(shù)字網(wǎng)絡(luò)和共享技術(shù)所形成的鏈接可以造成廣泛的破壞。首席執(zhí)行官亦認(rèn)為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是系統(tǒng)性的，因?yàn)闉?zāi)害可能在世界各地同時(shí)發(fā)生。瑞士再保險(xiǎn)全球領(lǐng)先的保險(xiǎn)經(jīng)紀(jì)公司達(dá)信(Marsh)報(bào)告稱，由于計(jì)算機(jī)系統(tǒng)具有顯著的同質(zhì)性、依賴性和脆弱性，單點(diǎn)故障即能造成連帶后果，因而其危害具有高度的相關(guān)性。

　　第二，否定性觀點(diǎn)認(rèn)為，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與傳統(tǒng)風(fēng)險(xiǎn)并沒有本質(zhì)的不同，不過是傳統(tǒng)風(fēng)險(xiǎn)在網(wǎng)絡(luò)空間的延伸，通過技術(shù)中立的解釋方法(techno-neutrality solution)將傳統(tǒng)財(cái)產(chǎn)險(xiǎn)或責(zé)任險(xiǎn)的承保范圍予以擴(kuò)大解釋，網(wǎng)絡(luò)安全相關(guān)的無形財(cái)產(chǎn)損失便可由傳統(tǒng)財(cái)產(chǎn)險(xiǎn)或責(zé)任險(xiǎn)承保。該觀點(diǎn)的問題在于可能導(dǎo)致保險(xiǎn)人低估風(fēng)險(xiǎn)，從而面臨沉默網(wǎng)絡(luò)風(fēng)險(xiǎn)帶來的巨大威脅或損失。遭受打擊的保險(xiǎn)人可能主動(dòng)退出市場，不再承保網(wǎng)絡(luò)風(fēng)險(xiǎn)。

　　第三，也是筆者所認(rèn)同的折中派觀點(diǎn)則認(rèn)為，對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的性質(zhì)認(rèn)定不能一概而論，其可分為系統(tǒng)性網(wǎng)絡(luò)風(fēng)險(xiǎn)和日常性網(wǎng)絡(luò)風(fēng)險(xiǎn)。系統(tǒng)性風(fēng)險(xiǎn)最突出的特征乃是風(fēng)險(xiǎn)因數(shù)字網(wǎng)絡(luò)而產(chǎn)生并引發(fā)巨災(zāi)累積損失。原因在于：(1)數(shù)字網(wǎng)絡(luò)由標(biāo)準(zhǔn)化或功能同質(zhì)、相互連接且相互依存的節(jié)點(diǎn)組成;(2)單點(diǎn)故障能夠?qū)φ麄€(gè)網(wǎng)絡(luò)節(jié)點(diǎn)造成連帶后果;(3)網(wǎng)絡(luò)危害無法或不能及時(shí)控制。比如病毒軟件在全球范圍內(nèi)迅速傳播，比其他巨災(zāi)風(fēng)險(xiǎn)如自然災(zāi)害、恐怖襲擊，甚至戰(zhàn)爭在地域上所受到的限制要少得多。因此，網(wǎng)絡(luò)安全事件的規(guī)模以及受影響的系統(tǒng)范圍成為系統(tǒng)性網(wǎng)絡(luò)風(fēng)險(xiǎn)和日常性網(wǎng)絡(luò)風(fēng)險(xiǎn)之間的主要區(qū)別。這也意味著不能輕易地將系統(tǒng)性網(wǎng)絡(luò)風(fēng)險(xiǎn)排除在保障范圍之外，否則亦將不得不刪改大量對(duì)投保人有吸引力或有價(jià)值的保障條款。

　　(三)可保性分析

　　在實(shí)踐中，一些保險(xiǎn)人以網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不具有可保性而拒絕承保，并認(rèn)為只有在政府的支持下才可實(shí)現(xiàn)網(wǎng)絡(luò)安全保險(xiǎn)的可保(insurability)、可及(availability)與可負(fù)擔(dān)(affordability)。對(duì)于網(wǎng)絡(luò)安全等新型風(fēng)險(xiǎn)，可保性可謂是學(xué)界爭論的經(jīng)典問題。保險(xiǎn)經(jīng)濟(jì)學(xué)家認(rèn)為可保風(fēng)險(xiǎn)須滿足兩個(gè)條件：一是風(fēng)險(xiǎn)能夠被識(shí)別，二是風(fēng)險(xiǎn)可定價(jià)。保險(xiǎn)法學(xué)家則提出可保風(fēng)險(xiǎn)三要件：風(fēng)險(xiǎn)能夠準(zhǔn)確評(píng)估、保費(fèi)合理和損失可控。通過梳理文獻(xiàn)與觀察網(wǎng)絡(luò)保險(xiǎn)實(shí)踐，筆者總結(jié)并提出判斷可保性的四項(xiàng)標(biāo)準(zhǔn)并將之適用于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

　　第一，風(fēng)險(xiǎn)的可預(yù)測性(精算標(biāo)準(zhǔn))。風(fēng)險(xiǎn)的可預(yù)測性要求保險(xiǎn)人能夠通過精算以識(shí)別、量化和估計(jì)風(fēng)險(xiǎn)發(fā)生的頻率和程度以及由此造成的損失。實(shí)際上，保險(xiǎn)原理并不復(fù)雜：被保險(xiǎn)人應(yīng)支付的保費(fèi)(包括保險(xiǎn)公司運(yùn)營成本等費(fèi)用)應(yīng)等于事故發(fā)生的概率(probability)乘以事故發(fā)生的潛在損失(potential damage)。因此，保險(xiǎn)人需要信息(通過統(tǒng)計(jì)數(shù)據(jù)或風(fēng)險(xiǎn)評(píng)估)來計(jì)算概率與潛在損失。與傳統(tǒng)風(fēng)險(xiǎn)(如火災(zāi))相比，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)具有更高的不可預(yù)測性。隨著網(wǎng)絡(luò)技術(shù)和數(shù)字經(jīng)濟(jì)的發(fā)展，網(wǎng)絡(luò)風(fēng)險(xiǎn)的概率與潛在損失不斷增加，甚至越來越難以量化與評(píng)估。然而，當(dāng)我們回顧保險(xiǎn)史，風(fēng)險(xiǎn)概率與潛在損失的大小，并未完全阻止保險(xiǎn)人承保新型風(fēng)險(xiǎn)。譬如，保險(xiǎn)人在衛(wèi)星發(fā)展早期即開發(fā)承保巨災(zāi)損失的新產(chǎn)品 —— 商業(yè)衛(wèi)星保險(xiǎn)。雖然在承保的初期，保險(xiǎn)人沒有或缺乏歷史數(shù)據(jù)來評(píng)估風(fēng)險(xiǎn)概率與損失強(qiáng)度，但保險(xiǎn)人可通過模型進(jìn)行風(fēng)險(xiǎn)評(píng)估，或提高風(fēng)險(xiǎn)溢價(jià)以應(yīng)對(duì)不確定性。隨著大數(shù)據(jù)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)將更容易識(shí)別與量化，從而降低不可預(yù)測的風(fēng)險(xiǎn)狀況。

　　第二，風(fēng)險(xiǎn)導(dǎo)致的潛在損失(償付能力標(biāo)準(zhǔn))。巨災(zāi)損失可能威脅保險(xiǎn)人的償付能力，因此需要考慮保險(xiǎn)人在不陷入破產(chǎn)境地時(shí)賠付潛在巨災(zāi)損失的能力。這一標(biāo)準(zhǔn)最大的挑戰(zhàn)在于，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)(即便僅部分風(fēng)險(xiǎn)類型，如網(wǎng)絡(luò)戰(zhàn))為系統(tǒng)性風(fēng)險(xiǎn)時(shí)，同時(shí)發(fā)生的巨災(zāi)損失可能超出保險(xiǎn)人的償付能力。面對(duì)償付能力的挑戰(zhàn)，一方面，保險(xiǎn)人已發(fā)展出多種提高償付能力的措施，例如傳統(tǒng)的共同保險(xiǎn)和再保險(xiǎn)。如果保險(xiǎn)人能夠籌集更多的資金 —— 如通過資本市場發(fā)行巨災(zāi)債券 —— 使其能夠進(jìn)行跨周期分散風(fēng)險(xiǎn)，那么系統(tǒng)性網(wǎng)絡(luò)安全風(fēng)險(xiǎn)仍是可保風(fēng)險(xiǎn)。另一方面，保險(xiǎn)人在承保時(shí)可采用 “追征式保險(xiǎn)”(assessment insurance)的方式，即使保險(xiǎn)儲(chǔ)備金耗盡，保險(xiǎn)人仍可在網(wǎng)絡(luò)風(fēng)險(xiǎn)損失發(fā)生后追收保費(fèi)。

　　第三，風(fēng)險(xiǎn)的隨機(jī)性(道德風(fēng)險(xiǎn)標(biāo)準(zhǔn))。風(fēng)險(xiǎn)的隨機(jī)性要求風(fēng)險(xiǎn)事件是偶然的，而非被保險(xiǎn)人故意制造或放任的風(fēng)險(xiǎn)。該標(biāo)準(zhǔn)涉及被保險(xiǎn)人的道德風(fēng)險(xiǎn)問題，即當(dāng)被保險(xiǎn)人購買網(wǎng)絡(luò)安全保險(xiǎn)后，由于保險(xiǎn)人將會(huì)承擔(dān)可能的風(fēng)險(xiǎn)損失，被保險(xiǎn)人怠于謹(jǐn)慎避險(xiǎn)，比如減少甚至停止對(duì)于自身安全系統(tǒng)的投資與維護(hù)，從而增加而非減少風(fēng)險(xiǎn)概率與損失程度。在網(wǎng)絡(luò)安全領(lǐng)域，防范道德風(fēng)險(xiǎn)面臨技術(shù)上的困難，因?yàn)閷?duì)于何種技術(shù)能夠有效預(yù)防(變化無窮的)網(wǎng)絡(luò)風(fēng)險(xiǎn)尚無共識(shí)。然而，保險(xiǎn)治理理論以及相關(guān)實(shí)踐表明保險(xiǎn)人擁有動(dòng)力以及技術(shù)措施實(shí)現(xiàn)對(duì)被保險(xiǎn)人道德風(fēng)險(xiǎn)的有效控制。保險(xiǎn)人可通過事前調(diào)節(jié)，幫助被保險(xiǎn)人以最小成本預(yù)防網(wǎng)絡(luò)安全風(fēng)險(xiǎn);更重要的是，保險(xiǎn)人可通過過程管理實(shí)現(xiàn)風(fēng)險(xiǎn)控制，如采購第三方網(wǎng)絡(luò)安全機(jī)構(gòu)的服務(wù)，以市場化手段引導(dǎo)并監(jiān)督投保人的行為，減少數(shù)據(jù)泄露等風(fēng)險(xiǎn)，從而建立起有效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的保障與治理機(jī)制。

　　第四，保險(xiǎn)人的意愿(供需關(guān)系標(biāo)準(zhǔn))。保險(xiǎn)人的意愿意味著網(wǎng)絡(luò)安全保險(xiǎn)市場存在均衡的供需關(guān)系，并可使其獲得利潤。從供給側(cè)來看，保險(xiǎn)人提供網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品面臨諸多挑戰(zhàn)，如系統(tǒng)性風(fēng)險(xiǎn)、關(guān)聯(lián)風(fēng)險(xiǎn)導(dǎo)致的巨災(zāi)損失，缺乏風(fēng)險(xiǎn)與損失數(shù)據(jù)，未經(jīng)檢驗(yàn)的保單及條款等;而且保險(xiǎn)人開發(fā)的一些專門網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品缺乏風(fēng)險(xiǎn)模型或風(fēng)險(xiǎn)數(shù)據(jù)的支撐，其脆弱且不穩(wěn)定。從需求端來看，投保人的需求不足一方面源于認(rèn)知偏見，認(rèn)為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不會(huì)發(fā)生在其身上;或由于認(rèn)知錯(cuò)誤，認(rèn)為傳統(tǒng)保險(xiǎn)亦保障網(wǎng)絡(luò)安全風(fēng)險(xiǎn);另一方面則由于保費(fèi)太高而難以承擔(dān)，充足的保費(fèi)收入能夠提高承保能力(capacity)，但保險(xiǎn)人為盈利收取超額保費(fèi)而非風(fēng)險(xiǎn)保費(fèi)(risk based premium)，導(dǎo)致與被保險(xiǎn)人的風(fēng)險(xiǎn)評(píng)估嚴(yán)重不符，亦影響供需均衡。

　　雖然供給與需求均面臨較大挑戰(zhàn)，但由于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的 “不可消除性”，以及日益強(qiáng)化的行政監(jiān)管與民事責(zé)任，網(wǎng)絡(luò)安全保險(xiǎn)(潛在)需求仍頗為可觀。從實(shí)踐來看，全球網(wǎng)絡(luò)保險(xiǎn)市場的迅速發(fā)展，亦顯示出了保險(xiǎn)人較強(qiáng)的承保意愿以及開拓新興市場的動(dòng)力。雖然我國的網(wǎng)絡(luò)安全保險(xiǎn)處于發(fā)展初期，但逐漸進(jìn)入風(fēng)口階段。目前已有 30 余家保險(xiǎn)公司備案了 77 款網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品，逐漸成為保險(xiǎn)行業(yè)發(fā)展的增長點(diǎn)，甚至具有開發(fā)一個(gè)千億級(jí)藍(lán)海市場的潛力。

　　總之，可保性并不是一個(gè)二元概念(即風(fēng)險(xiǎn)要么可保，要么不可保)，而是一個(gè)逐漸拓展的概念;特定風(fēng)險(xiǎn)的可保性界限并非一成不變，譬如像恐怖襲擊以及洪水、地震等自然災(zāi)害，現(xiàn)在已經(jīng)部分甚至完全由保險(xiǎn)人承保。盡管網(wǎng)絡(luò)風(fēng)險(xiǎn)具有獨(dú)特的性質(zhì)(尤其是系統(tǒng)性風(fēng)險(xiǎn))，但根據(jù)上述可保性判斷標(biāo)準(zhǔn)，即便有些標(biāo)準(zhǔn)的適用存在差距(比如滿足償付能力標(biāo)準(zhǔn)可能有賴于政府支持)，仍可得出網(wǎng)絡(luò)安全風(fēng)險(xiǎn)基本符合可保性要求的結(jié)論。

　　三、專門網(wǎng)絡(luò)安全保險(xiǎn)保障機(jī)制的構(gòu)建：現(xiàn)狀與發(fā)展

　　(一)我國專門網(wǎng)絡(luò)安全保險(xiǎn)的現(xiàn)狀與不足

　　我國網(wǎng)絡(luò)安全保險(xiǎn)市場仍處于起步階段，與發(fā)達(dá)國家相比仍存在較大差距：雖然 2022 年保費(fèi)比 2021 年翻了一番，達(dá)到 1.4 億元人民幣;但同期全球保費(fèi)已達(dá) 130 億美元。此外，與其他保險(xiǎn)相比，我國網(wǎng)絡(luò)安全保險(xiǎn)保障額度偏低，承保范圍有限，保單中的除外責(zé)任條款較多;并面臨較多潛在的法律糾紛，阻礙行業(yè)未來發(fā)展。原因不僅僅在于 “缺乏風(fēng)險(xiǎn)精算模型”“風(fēng)險(xiǎn)歷史數(shù)據(jù)不足” 等承保技術(shù)因素，亦在于網(wǎng)絡(luò)安全保險(xiǎn)的制度化不足，法律機(jī)制不完善。

　　從保險(xiǎn)法律規(guī)范來看，我國保險(xiǎn)法缺少對(duì)包括網(wǎng)絡(luò)安全保險(xiǎn)在內(nèi)的新興險(xiǎn)種的專門規(guī)范，譬如，對(duì)沉默網(wǎng)絡(luò)風(fēng)險(xiǎn)如何處置、對(duì)系統(tǒng)性風(fēng)險(xiǎn)如何協(xié)調(diào)等缺乏明確的法律依據(jù)。而且，類似《農(nóng)業(yè)保險(xiǎn)條例》的網(wǎng)絡(luò)安全保險(xiǎn)相關(guān)條例尚未出臺(tái)。從網(wǎng)絡(luò)安全法律規(guī)范來看，網(wǎng)絡(luò)安全保險(xiǎn)的承保范圍設(shè)置、損害結(jié)果認(rèn)定等問題與之密切相關(guān)，但網(wǎng)絡(luò)安全保險(xiǎn)尚未通過制度化方式成為網(wǎng)絡(luò)安全法律體系的一部分。2017 年以來，我國相繼頒布了網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法等法律，初步構(gòu)建了網(wǎng)絡(luò)安全法律體系。這些法律規(guī)范雖明確了網(wǎng)絡(luò)安全主體責(zé)任、數(shù)據(jù)安全保護(hù)義務(wù)等，為網(wǎng)絡(luò)安全保險(xiǎn)的發(fā)展奠定了法律基礎(chǔ)，但是尚未如環(huán)境污染責(zé)任險(xiǎn)規(guī)定專門網(wǎng)絡(luò)安全保險(xiǎn)條款或建立網(wǎng)絡(luò)安全保險(xiǎn)制度。

　　(二)專門網(wǎng)絡(luò)安全保險(xiǎn)保障的運(yùn)作與政策支持

　　作為人類發(fā)明的一種古老而又成熟的風(fēng)險(xiǎn)管理方式，保險(xiǎn)是最重要的風(fēng)險(xiǎn)保障機(jī)制之一。消費(fèi)者購買的網(wǎng)絡(luò)安全保險(xiǎn)不是保單本身，而是保單約定的風(fēng)險(xiǎn)保障。其原因在于保險(xiǎn)產(chǎn)品不同于一般商品，它是一種 “無形產(chǎn)品”，本質(zhì)上是 “對(duì)金錢的或有求償權(quán)”(contingent claims on money)，即當(dāng)發(fā)生保險(xiǎn)事故時(shí)，消費(fèi)者將以支付的保費(fèi)獲取相應(yīng)的金錢回報(bào)，而且保險(xiǎn)賠付的數(shù)額一般遠(yuǎn)高于保費(fèi)。根據(jù)經(jīng)濟(jì)學(xué)中的預(yù)期效用理論(expected utility theory)，在一個(gè)信息完全、交易成本為零的市場中，每個(gè)對(duì)風(fēng)險(xiǎn)厭惡的人都希望通過支付保費(fèi)將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)公司，從而獲得更好的保障，而對(duì)承保的不確定性風(fēng)險(xiǎn)予以損害賠償正是保險(xiǎn)的基本功能。

　　保險(xiǎn)不僅是一種以雙邊交易為基礎(chǔ)、以填補(bǔ)并保障個(gè)體因網(wǎng)絡(luò)風(fēng)險(xiǎn)所遭受損害為目標(biāo)的私法合同，具有經(jīng)濟(jì)補(bǔ)償上的 “補(bǔ)血” 功能;又是參與社會(huì)治理的(準(zhǔn))公法風(fēng)險(xiǎn)規(guī)制機(jī)制，具有網(wǎng)絡(luò)安全管理上的 “活血” 功能，在進(jìn)行風(fēng)險(xiǎn)減量管理與預(yù)防損失服務(wù)的基礎(chǔ)上反哺保障機(jī)制的運(yùn)行。

　　網(wǎng)絡(luò)安全保險(xiǎn)保障機(jī)制的有效運(yùn)作有賴于以下三方面的支撐：一是通過核保進(jìn)行風(fēng)險(xiǎn)評(píng)估，二是通過服務(wù)和理賠管理進(jìn)行風(fēng)險(xiǎn)控制，三是風(fēng)險(xiǎn)共擔(dān)。保險(xiǎn)人對(duì)大量同質(zhì)性風(fēng)險(xiǎn)進(jìn)行評(píng)估，投保人通過繳納保費(fèi)(一個(gè)小的固定成本)合并為群體(pooling)，保險(xiǎn)人在投保人之間分散風(fēng)險(xiǎn)，并向再保險(xiǎn)人或資本市場進(jìn)行風(fēng)險(xiǎn)再融資。保險(xiǎn)人根據(jù)大數(shù)法則(law of large numbers)得以應(yīng)對(duì)未來不確定但群體統(tǒng)計(jì)可預(yù)測的財(cái)務(wù)損失，從而能夠在發(fā)生網(wǎng)絡(luò)安全損害時(shí)對(duì)被保險(xiǎn)人進(jìn)行補(bǔ)償。

　　與政府救助相比，在競爭市場的條件下，保險(xiǎn)機(jī)制能更有效地解決風(fēng)險(xiǎn)保障的兩個(gè)難題 —— 信息不對(duì)稱和激勵(lì)機(jī)制缺失，從而具有高效率、低交易成本的優(yōu)勢(shì)。在國家政策層面，保險(xiǎn)機(jī)制亦得到肯認(rèn)。2023 年，工業(yè)和信息化部與國家金融監(jiān)督管理總局聯(lián)合印發(fā)了《關(guān)于促進(jìn)網(wǎng)絡(luò)安全保險(xiǎn)規(guī)范健康發(fā)展的意見》(工信部聯(lián)網(wǎng)安﹝2023﹞95 號(hào))。該意見作為我國網(wǎng)絡(luò)安全保險(xiǎn)領(lǐng)域的首份政策文件，明確提出探索構(gòu)建以網(wǎng)絡(luò)安全保險(xiǎn)為核心的全流程網(wǎng)絡(luò)安全風(fēng)險(xiǎn)保障機(jī)制。因此，以網(wǎng)絡(luò)安全保險(xiǎn)為代表的市場化、主動(dòng)風(fēng)險(xiǎn)管理方案成為網(wǎng)絡(luò)事故損失補(bǔ)償與風(fēng)險(xiǎn)治理的關(guān)鍵。

　　(三)網(wǎng)絡(luò)安全保險(xiǎn)的保障范圍與層級(jí)區(qū)分

　　1. 保險(xiǎn)標(biāo)的范圍的擴(kuò)充

　　“能否在保險(xiǎn)人可承受范圍內(nèi)向被保險(xiǎn)人提供更充分的保障，這首先涉及保險(xiǎn)標(biāo)的范圍的確定”。《保險(xiǎn)法》第 12 條對(duì)財(cái)產(chǎn)保險(xiǎn)進(jìn)行了界定，即 “以財(cái)產(chǎn)及其有關(guān)利益為保險(xiǎn)標(biāo)的的保險(xiǎn)”。所謂保險(xiǎn)標(biāo)的，一般是指 “保險(xiǎn)合同所承保的客體，可能為財(cái)產(chǎn)、貨物、人、賠償責(zé)任或活動(dòng)等。這些標(biāo)的的損失會(huì)帶來被保險(xiǎn)人財(cái)務(wù)上的損失，通過購買保險(xiǎn)將損失轉(zhuǎn)嫁給保險(xiǎn)公司，由保險(xiǎn)公司負(fù)賠償責(zé)任”。從抽象利益角度來看，網(wǎng)絡(luò)安全保險(xiǎn)承保的是被保險(xiǎn)人因 “網(wǎng)絡(luò)安全受損” 而遭受的經(jīng)濟(jì)損失。

　　網(wǎng)絡(luò)安全保險(xiǎn)既包括第一方損失險(xiǎn)(即網(wǎng)絡(luò)安全財(cái)產(chǎn)類保險(xiǎn))，即被保險(xiǎn)人因網(wǎng)絡(luò)安全事件造成的經(jīng)濟(jì)損失，包括 “直接物理損失、營業(yè)中斷損失、數(shù)據(jù)資產(chǎn)重置費(fèi)用、硬件改善成本、應(yīng)急處置費(fèi)用，以及因網(wǎng)絡(luò)安全事件導(dǎo)致的公關(guān)費(fèi)用、法律費(fèi)用等”;也包含第三方責(zé)任險(xiǎn)(即網(wǎng)絡(luò)安全責(zé)任類保險(xiǎn))，即網(wǎng)絡(luò)安全事件發(fā)生后被保險(xiǎn)人對(duì)第三方應(yīng)承擔(dān)的侵權(quán)損害賠償責(zé)任的保險(xiǎn)，包括 “數(shù)據(jù)泄露責(zé)任、網(wǎng)絡(luò)安全事件責(zé)任、媒體侵權(quán)責(zé)任、外包商相關(guān)責(zé)任、產(chǎn)品責(zé)任或技術(shù)服務(wù)職業(yè)責(zé)任等”。譬如，對(duì)提起訴訟的網(wǎng)絡(luò)安全事件如數(shù)據(jù)泄露的受害人，網(wǎng)絡(luò)安全責(zé)任險(xiǎn)可補(bǔ)償勝訴受害人所遭受的損失。相比傳統(tǒng)財(cái)產(chǎn)保險(xiǎn)，網(wǎng)絡(luò)安全保險(xiǎn)的保險(xiǎn)標(biāo)的不僅包括有形財(cái)產(chǎn)，也包括數(shù)據(jù)等無形財(cái)產(chǎn);對(duì)保險(xiǎn)標(biāo)的造成損害的來源不僅來自實(shí)體物質(zhì)環(huán)境，更多的是來自網(wǎng)絡(luò)空間;而對(duì)損失的賠付不僅包括外來網(wǎng)絡(luò)攻擊造成的第一方網(wǎng)絡(luò)安全受損，也包括因被保險(xiǎn)人過錯(cuò)而造成的第三方損失。這既為網(wǎng)絡(luò)安全保險(xiǎn)保障范圍的擴(kuò)張奠定基礎(chǔ)，也給保險(xiǎn)人承保網(wǎng)絡(luò)安全保險(xiǎn)帶來更大挑戰(zhàn)。

　　2. 數(shù)據(jù)泄露責(zé)任與網(wǎng)絡(luò)安全責(zé)任保險(xiǎn)的發(fā)展

　　從發(fā)展歷史來看，早期網(wǎng)絡(luò)保險(xiǎn)主要是第三方責(zé)任險(xiǎn)。早在 20 世紀(jì) 70 年代，網(wǎng)絡(luò)安全保險(xiǎn)從技術(shù)風(fēng)險(xiǎn) / 技術(shù)錯(cuò)誤與疏忽保險(xiǎn)(technical risks/technical errors and omissions (E&O))領(lǐng)域發(fā)展而來，投保人主要是金融機(jī)構(gòu)與藍(lán)籌股公司。1997 年 AIG 正式承保互聯(lián)網(wǎng)安全責(zé)任險(xiǎn)(internet security liability)，以專門網(wǎng)絡(luò)安全保險(xiǎn)(stand-alone cybersecurity insurance)的形式應(yīng)對(duì)千年蟲(Y2K problem)等問題，彌補(bǔ)傳統(tǒng)財(cái)產(chǎn)保險(xiǎn)和責(zé)任保險(xiǎn)保障范圍之不足。2003 年，美國加利福尼亞州率先頒布了《數(shù)據(jù)安全泄露通知法案》(Security Breach Information Act)，規(guī)定公司有義務(wù)向受影響的個(gè)人報(bào)告數(shù)據(jù)泄露事件。目前美國所有的州都已制定了數(shù)據(jù)泄露通知法案，要求企業(yè)或政府在消費(fèi)者或公民的個(gè)人信息被泄露時(shí)通知他們。受數(shù)據(jù)泄露通知法的影響，針對(duì)個(gè)人數(shù)據(jù)泄露事故的網(wǎng)絡(luò)安全責(zé)任保險(xiǎn)發(fā)展較快。一方面，通知義務(wù)使得企業(yè)擔(dān)心數(shù)據(jù)泄露事件給他們帶來損失，從而引發(fā)了企業(yè)對(duì)網(wǎng)絡(luò)責(zé)任產(chǎn)品(尤其是網(wǎng)絡(luò)責(zé)任保險(xiǎn))的需求;另一方面，保險(xiǎn)公司得以掌握更多的信息，有助于增加產(chǎn)品供給。

　　與此類似，2016 年歐盟通過《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation, GDPR)，將隱私、個(gè)人信息與網(wǎng)絡(luò)數(shù)據(jù)統(tǒng)歸于數(shù)據(jù)安全保護(hù)的框架之下，嚴(yán)格的法律責(zé)任以及高額的罰款增加了歐盟企業(yè)對(duì)網(wǎng)絡(luò)安全責(zé)任保險(xiǎn)的需求。

　　我國最早的網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品亦是承保網(wǎng)絡(luò)信息保護(hù)責(zé)任，即 2013 年蘇黎世財(cái)產(chǎn)保險(xiǎn)(中國)有限公司推出的網(wǎng)絡(luò)安全與隱私保護(hù)綜合保險(xiǎn)。自 2017 年以來，我國逐步建立了數(shù)據(jù)泄露通知制度，為增加網(wǎng)絡(luò)安全責(zé)任保險(xiǎn)的需求提供了法律基礎(chǔ)。但相關(guān)規(guī)定散見于我國網(wǎng)絡(luò)安全法(第 42 條)、民法典(第 1038 條)、數(shù)據(jù)安全法(第 29 條)、個(gè)人信息保護(hù)法(第 57 條)，仍有待進(jìn)一步完善制度構(gòu)造。

　　3. 網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全第一方保險(xiǎn)的崛起

　　隨著數(shù)字經(jīng)濟(jì)的發(fā)展與網(wǎng)絡(luò)技術(shù)的迭代，企業(yè)面臨一系列新的網(wǎng)絡(luò)風(fēng)險(xiǎn)，從勒索軟件攻擊到商業(yè)電子郵件欺詐(business email compromise, BEC)，乃至網(wǎng)絡(luò)戰(zhàn)，不一而足。企業(yè)也逐漸意識(shí)到傳統(tǒng)商業(yè)綜合責(zé)任險(xiǎn)的局限性，并要求對(duì)數(shù)據(jù)泄露以外的風(fēng)險(xiǎn)提供更多的保障。自 2015 年以來，保險(xiǎn)人提供越來越多的專門網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品，從網(wǎng)絡(luò)勒索保險(xiǎn)、因第三方供應(yīng)商停機(jī)導(dǎo)致的營業(yè)中斷保險(xiǎn)，甚至包括租用臨時(shí)設(shè)備和服務(wù)以抵御拒絕服務(wù)攻擊的保險(xiǎn)。

　　對(duì)外部攻擊造成網(wǎng)絡(luò)損失的投保人而言，第一方財(cái)產(chǎn)保險(xiǎn)可能比第三方責(zé)任保險(xiǎn)更具吸引力。從險(xiǎn)種的性質(zhì)上來看，“對(duì)于第一方財(cái)產(chǎn)保險(xiǎn)，除非造成損害的危險(xiǎn)來自外部，否則不承擔(dān)保險(xiǎn)責(zé)任;相反，對(duì)于第三方責(zé)任保險(xiǎn)，除非造成被保險(xiǎn)人應(yīng)承擔(dān)責(zé)任的損害來自內(nèi)部，否則不承擔(dān)保險(xiǎn)責(zé)任”。例如，在 Zurich v. Sony 案中，索尼公司因數(shù)據(jù)泄露事故造成第三人損失，而要求其商業(yè)綜合責(zé)任險(xiǎn)保險(xiǎn)人 Zurich 承擔(dān)訴訟抗辯義務(wù)(duty to defend)。法院認(rèn)為，數(shù)據(jù)泄露是外部黑客襲擊而非索尼公司疏忽大意造成的，因而保險(xiǎn)人對(duì)第三人提起的損害賠償不負(fù)有抗辯義務(wù)。隨著網(wǎng)絡(luò)系統(tǒng)與各種形式的實(shí)體財(cái)產(chǎn)相連接，網(wǎng)絡(luò)攻擊造成的損失越來越大。尤其是，第一方保險(xiǎn)保障范圍還包括已連續(xù)多年成為中國乃至全球面臨最大風(fēng)險(xiǎn)之一的營業(yè)中斷損失(business interruption)風(fēng)險(xiǎn)。承保因網(wǎng)絡(luò)安全事故而致被保險(xiǎn)人因停產(chǎn)、停業(yè)或經(jīng)營受影響而面臨的預(yù)期利潤損失及必要的費(fèi)用支出，極大地滿足了投保人的保障需求。

　　四、網(wǎng)絡(luò)安全保險(xiǎn)的除外責(zé)任：網(wǎng)絡(luò)戰(zhàn)及其因應(yīng)

　　網(wǎng)絡(luò)安全保險(xiǎn)保障機(jī)制面臨的最大挑戰(zhàn)之一乃是何種網(wǎng)絡(luò)攻擊構(gòu)成戰(zhàn)爭行為(war/“warlike action”)，從而對(duì)是否將其排除于保險(xiǎn)保障范圍作出判斷。這不僅對(duì)網(wǎng)絡(luò)安全保險(xiǎn)市場，甚至對(duì)國家網(wǎng)絡(luò)安全政策(比如是否將網(wǎng)絡(luò)安全保險(xiǎn)納入網(wǎng)絡(luò)威懾戰(zhàn)略)都有重要影響。雖然戰(zhàn)爭并非經(jīng)常發(fā)生，但國家發(fā)動(dòng)或影響的網(wǎng)絡(luò)攻擊已不罕見，事實(shí)上，網(wǎng)絡(luò)戰(zhàn)已成為數(shù)字世界的最大威脅，而我國則是高級(jí)持續(xù)性威脅攻擊的主要受害國。

　　(一)戰(zhàn)爭除外責(zé)任的構(gòu)成要件

　　網(wǎng)絡(luò)安全保險(xiǎn)戰(zhàn)爭除外責(zé)任的確立需回答兩個(gè)問題：第一，實(shí)施網(wǎng)絡(luò)攻擊的主體是否是國家或其代理人，即網(wǎng)絡(luò)攻擊可否歸因于(attributed to)國家或代理人;第二，網(wǎng)絡(luò)攻擊是否屬于戰(zhàn)爭行為。

　　第一，歸因是互聯(lián)網(wǎng)時(shí)代最大的挑戰(zhàn)之一，也是適用網(wǎng)絡(luò)安全保險(xiǎn)戰(zhàn)爭行為除外責(zé)任條款的關(guān)鍵。“確定行為可歸因于國家，實(shí)際上是確定責(zé)任主體的恰當(dāng)性。” 從國際法的規(guī)則來看，對(duì)網(wǎng)絡(luò)攻擊的歸因存在不確定性。一般規(guī)則是，“一國的機(jī)關(guān)或經(jīng)國內(nèi)法授權(quán)行使政府權(quán)力要素的個(gè)人或?qū)嶓w所從事的網(wǎng)絡(luò)行動(dòng)，可歸因于該國”，而個(gè)人或私人團(tuán)體的網(wǎng)絡(luò)活動(dòng)不應(yīng)歸因于國家。但是，當(dāng)有關(guān)行動(dòng)是按照政府指示或在其指揮、控制下采取的，且承認(rèn)并將該行為當(dāng)作其本身的行為，那么非國家行為體采取的網(wǎng)絡(luò)行動(dòng)仍可歸因于該國。在實(shí)踐中，適用歸因規(guī)則(rule of attribution)的核心挑戰(zhàn)在于證據(jù)。一方面，黑客有無數(shù)隱藏身份的工具和方法;另一方面，涉及網(wǎng)絡(luò)攻擊的機(jī)密信息舉證難，保險(xiǎn)人難以獲得政府情報(bào)機(jī)關(guān)所掌握的機(jī)密信息。此外，歸因還面臨著地緣政治的挑戰(zhàn)，因?yàn)閲壹扔泄_網(wǎng)絡(luò)攻擊歸因信息時(shí)相互競爭的動(dòng)機(jī)，也有在面臨不確定性時(shí)通過公布?xì)w因信息夸大技術(shù)實(shí)力的動(dòng)機(jī)。

　　第二，網(wǎng)絡(luò)攻擊是否構(gòu)成戰(zhàn)爭行為，涉及對(duì)戰(zhàn)爭行為的定義及解釋。武裝沖突法與國際人道法對(duì)戰(zhàn)爭行為的定義顯有區(qū)分：武裝沖突法聚焦于 “一國何時(shí)可合法地對(duì)他國使用武力(use of force)”，即 “宣布和發(fā)動(dòng)戰(zhàn)爭的權(quán)利 / 訴諸武力法”(jus ad bellum);而國際人道法則主要涉及戰(zhàn)爭期間 “規(guī)范戰(zhàn)斗人員行為” 的規(guī)則，即 “戰(zhàn)時(shí)正義 / 戰(zhàn)時(shí)法規(guī)”(jus in bello)。在國際法上，“使用武力”(use of force)與武裝攻擊(armed attack)的門檻并不相同。國際法院在 “尼加拉瓜案” 中將某些 “最嚴(yán)重” 行為認(rèn)定為武裝攻擊，而將其他 “不太嚴(yán)重” 行為認(rèn)定為使用武力。然而，并非每個(gè)國家都認(rèn)同這一觀點(diǎn)，比如美國法規(guī)定使用武力與武裝攻擊之間沒有重要界限。如何界定網(wǎng)絡(luò)攻擊，是否所有網(wǎng)絡(luò)襲擊都屬于敵對(duì)或戰(zhàn)爭行為，尚缺乏公認(rèn)的定義。

　　不過，不管網(wǎng)絡(luò)行為是屬于使用武力，還是屬于武裝攻擊，“規(guī)模與效果”(scale and effects)均是得以采用的有效判斷標(biāo)準(zhǔn)。因此，雖然對(duì)網(wǎng)絡(luò)行動(dòng)是否構(gòu)成戰(zhàn)爭行為的定義不同，相當(dāng)?shù)?“規(guī)模和效果” 可作為網(wǎng)絡(luò)攻擊能否觸發(fā)網(wǎng)絡(luò)安全保險(xiǎn)中的戰(zhàn)爭行為除外責(zé)任條款的衡量標(biāo)準(zhǔn)，即如果網(wǎng)絡(luò)行動(dòng)的規(guī)模和效果相當(dāng)于使用武力或武裝攻擊的非網(wǎng)絡(luò)行動(dòng)，則構(gòu)成敵對(duì)或戰(zhàn)爭行為。這一高標(biāo)準(zhǔn)意味著絕大多數(shù)網(wǎng)絡(luò)行動(dòng)不會(huì)達(dá)到使用武力的程度，遑論突破武裝攻擊的門檻。

　　(二)戰(zhàn)爭除外責(zé)任的司法判決及趨向

　　在司法實(shí)踐中，即便在美國法相對(duì)較低的門檻下，也存在對(duì)同一 “戰(zhàn)爭除外責(zé)任條款” 不同的解釋。Pan American World Airways v. Aetna 案是美國法院解釋戰(zhàn)爭行為除外責(zé)任條款的開創(chuàng)性判例。在該案中，泛美航空公司的飛機(jī)遭到一伙效力于某組織激進(jìn)分子的劫持并被摧毀。法院認(rèn)為，劫機(jī)行為旨在報(bào)復(fù)示威而非針對(duì)美國或以色列的戰(zhàn)爭行為，戰(zhàn)爭行為并不包括遠(yuǎn)離戰(zhàn)爭現(xiàn)場對(duì)非交戰(zhàn)方平民財(cái)產(chǎn)的損害;而且，劫機(jī)者是 “激進(jìn)政治集團(tuán)的代理人”，并不代表政府。因此，劫機(jī)行為不屬于保單 “戰(zhàn)爭除外責(zé)任條款” 的范圍，所以保險(xiǎn)人應(yīng)當(dāng)賠償。在該案中，法院對(duì)戰(zhàn)爭行為的定義進(jìn)行了狹義解釋。隨后在 Holiday Inns. v. Aetna 案中，法院認(rèn)定酒店損失是由內(nèi)亂暴力活動(dòng)造成的，雖然記者與政府官員總是將在黎巴嫩發(fā)生的事件稱之為 “內(nèi)戰(zhàn)” 或 “戰(zhàn)爭”，但這并非保單定義的 “戰(zhàn)爭”。可以看出，本案延續(xù)了 Pan American 案件對(duì) “戰(zhàn)爭行為” 的狹義解釋，明確拒絕媒體甚至政府官員對(duì)戰(zhàn)爭行為的寬泛界定。因此，在涉及傳統(tǒng)戰(zhàn)爭的案件中，法院普遍對(duì) “戰(zhàn)爭除外責(zé)任條款” 采取嚴(yán)格或狹義的解釋。

　　在 2017 年 NotPetya 網(wǎng)絡(luò)攻擊引發(fā)的 Mondelez v. Zurich 案與 Merck v. Ace American 案中，被保險(xiǎn)人依據(jù)保單條款要求保險(xiǎn)人賠付 “被保險(xiǎn)人在營業(yè)中斷期間因被保險(xiǎn)人的電子數(shù)據(jù)處理設(shè)備或媒體無法運(yùn)行而產(chǎn)生的直接費(fèi)用”。但保險(xiǎn)人以 NotPetya 網(wǎng)絡(luò)攻擊是 “敵對(duì)或戰(zhàn)爭行為”(hostile or warlike action)而拒絕賠付，即保險(xiǎn)人 “不賠付由政府 / 主權(quán)國家(法律上或事實(shí)上)或陸海空等軍隊(duì)或其代理人在和平或戰(zhàn)爭時(shí)期的敵對(duì)或戰(zhàn)爭行為，包括阻礙、打擊或抵御任何實(shí)際的或即將發(fā)生的或預(yù)期發(fā)生的攻擊行動(dòng)，而造成或產(chǎn)生的任何損失或損害”。與 Holiday Inns. 案一致，雖然媒體或政府官員聲稱 NotPetya 是俄羅斯政府發(fā)動(dòng)的網(wǎng)絡(luò)戰(zhàn)，但法院并未將 NotPetya 網(wǎng)絡(luò)攻擊視為保單定義的戰(zhàn)爭行為。

　　不管是涉及傳統(tǒng)暴力或恐怖行為的 Pan American 案與 Holiday Inns 案，還是涉及網(wǎng)絡(luò)攻擊的 Mondelez 案與 Merck 案，法院的裁決均支持被保險(xiǎn)人而非保險(xiǎn)人。雖然在 Mondelez 案與 Merck 案中，保險(xiǎn)人向投保人簽發(fā)的保單是財(cái)產(chǎn)一切險(xiǎn)保單，但專門網(wǎng)絡(luò)安全保險(xiǎn)同樣面臨 “戰(zhàn)爭除外責(zé)任條款” 引發(fā)的網(wǎng)絡(luò)戰(zhàn)爭問題。由于網(wǎng)絡(luò)破壞或攻擊的界限比實(shí)體更為模糊，將 NotPetya 網(wǎng)絡(luò)攻擊歸類為戰(zhàn)爭行為并不容易得到法院的支持。因此，如果保單條款中沒有明確排除某種風(fēng)險(xiǎn)的話，可以合理預(yù)測法院將傾向于對(duì) “網(wǎng)絡(luò)戰(zhàn)” 進(jìn)行嚴(yán)格、狹義的解釋。

　　(三)戰(zhàn)爭除外責(zé)任爭議的分析與應(yīng)對(duì)

　　對(duì)于保險(xiǎn)人而言，更新、改寫保單戰(zhàn)爭除外責(zé)任條款，使含義更清晰而無歧義，是發(fā)生重大法律爭議發(fā)生后的典型做法。例如，對(duì)于網(wǎng)絡(luò)戰(zhàn)而言，戰(zhàn)爭開始的時(shí)間并不容易認(rèn)定。保單條款曾需解釋戰(zhàn)爭行為是否一定發(fā)生在戰(zhàn)爭期間。對(duì)于傳統(tǒng)戰(zhàn)爭，1907 年海牙第三公約《關(guān)于戰(zhàn)爭開始的公約》規(guī)定開戰(zhàn)前需經(jīng)宣戰(zhàn)。因此，交戰(zhàn)一方或雙方宣戰(zhàn)，戰(zhàn)爭狀態(tài)才開始存在。在 Rosenau v. Idaho Mutual 案中，保險(xiǎn)人拒絕賠付因日軍襲擊珍珠港而死亡的士兵的壽險(xiǎn)賠償金。但法院認(rèn)為在日軍偷襲時(shí)美國政府并未正式對(duì)日宣戰(zhàn)，根據(jù)保單的戰(zhàn)爭除外責(zé)任條款的規(guī)定，“在戰(zhàn)爭時(shí)期從事軍事或海軍服務(wù)而遭受的死亡、傷殘或其他損失屬于免責(zé)范圍”，因此保險(xiǎn)人不能免除賠付義務(wù)。到了 Mondelez v. Zurich 案，保險(xiǎn)人已吸取了 Rosenau 案的教訓(xùn)，在財(cái)產(chǎn)一切險(xiǎn)保單戰(zhàn)爭行為除外責(zé)任條款中，將 “在和平或戰(zhàn)爭時(shí)期的敵對(duì)或戰(zhàn)爭行為” 均予以排除，并未將敵對(duì)或戰(zhàn)爭行為局限在戰(zhàn)爭期間。

　　然而，改寫網(wǎng)絡(luò)安全保險(xiǎn)的戰(zhàn)爭除外責(zé)任條款(例如將網(wǎng)絡(luò)攻擊明確為免責(zé)內(nèi)容)，對(duì)保險(xiǎn)人來說并非易事。保單條款措辭的變化(尤其是限制或排除承保范圍)反映了圍繞市場、技術(shù)甚至軍事戰(zhàn)略預(yù)期的變化。一方面，保險(xiǎn)人需要在保單條款中明確網(wǎng)絡(luò)攻擊與戰(zhàn)爭行為的關(guān)系，因?yàn)楝F(xiàn)有免責(zé)條款并未考慮或?yàn)檫m用網(wǎng)絡(luò)攻擊而制定;另一方面，網(wǎng)絡(luò)攻擊涉及的危險(xiǎn)范圍很廣，保險(xiǎn)人在試圖排除網(wǎng)絡(luò)戰(zhàn)威脅的同時(shí)，還要維護(hù)投保人的信心，保證大多數(shù)網(wǎng)絡(luò)威脅仍在保障范圍之內(nèi)。

　　比較可行的方式是在網(wǎng)絡(luò)安全保險(xiǎn)保單明確區(qū)分 “網(wǎng)絡(luò)戰(zhàn)爭除外責(zé)任條款” 與 “網(wǎng)絡(luò)恐怖主義事件保障條款”，即在保險(xiǎn)單中將 “網(wǎng)絡(luò)戰(zhàn)爭責(zé)任” 排除的同時(shí)，明確承保 “網(wǎng)絡(luò)恐怖主義事件”。將網(wǎng)絡(luò)恐怖主義事件納入網(wǎng)絡(luò)安全保險(xiǎn)保障范圍，是通過 “舉重以明輕” 的方式 —— 意味著凡是危害程度小于網(wǎng)絡(luò)恐怖主義事件的行為都將在保障范圍之內(nèi)，“弱化” 甚至消除投保人對(duì)網(wǎng)絡(luò)戰(zhàn)爭除外責(zé)任范圍不明的疑慮。

　　此外，由前述網(wǎng)絡(luò)戰(zhàn)爭除外責(zé)任的構(gòu)成要件可知，戰(zhàn)爭行為與恐怖主義行為最明確的區(qū)別在于行動(dòng)主體(政府 vs. 非政府)而非行為本身。換言之，亦可在保單中將 “戰(zhàn)爭行為” 進(jìn)行限縮規(guī)定，只保留政府主體(歸因要件)而不強(qiáng)調(diào)行為要件。

　　在實(shí)踐中，通過對(duì)市場上 56 份網(wǎng)絡(luò)安全保險(xiǎn)保單條款的分析，結(jié)果已呈現(xiàn)出弱化網(wǎng)絡(luò)戰(zhàn)爭除外責(zé)任，強(qiáng)化網(wǎng)絡(luò)恐怖主義事件責(zé)任的趨勢(shì)。雖然我國尚未建立政府支持的恐怖主義保險(xiǎn)機(jī)制，但美國在 2016 年已明確《恐怖主義風(fēng)險(xiǎn)保險(xiǎn)法案》(Terrorism Risk Insurance Act)適用于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，這意味著保險(xiǎn)人承擔(dān)的網(wǎng)絡(luò)恐怖主義風(fēng)險(xiǎn)將由政府與市場公私合作的方式分擔(dān)，從而為未來類似 NotPetya 網(wǎng)絡(luò)攻擊造成的巨大損失提供有效保障。

　　五、結(jié)語

　　網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是 21 世紀(jì)最大的風(fēng)險(xiǎn)之一。除了網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)戰(zhàn)爭，商業(yè)經(jīng)營領(lǐng)域的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也與日俱增。由于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的 “不可消除性”，因而網(wǎng)絡(luò)安全保險(xiǎn)成為轉(zhuǎn)移風(fēng)險(xiǎn)、補(bǔ)償損失的最優(yōu)選擇。然而，與既往險(xiǎn)種相比，網(wǎng)絡(luò)安全保險(xiǎn)面臨更多挑戰(zhàn)：第一，不同于提供單一風(fēng)險(xiǎn)保障的保險(xiǎn)(例如火險(xiǎn)、車險(xiǎn)、洪水保險(xiǎn)等)，網(wǎng)絡(luò)安全保險(xiǎn)為不同類型的風(fēng)險(xiǎn)提供保障，如數(shù)據(jù)泄露、網(wǎng)絡(luò)犯罪、勒索軟件等;第二，不同于專門的財(cái)產(chǎn)一切險(xiǎn)或商業(yè)綜合責(zé)任險(xiǎn)，網(wǎng)絡(luò)安全保險(xiǎn)為不同類型的損失提供保障，從第一方營業(yè)中斷損失、網(wǎng)絡(luò)勒索賠付，到第三方責(zé)任損失(例如因技術(shù)錯(cuò)誤與疏忽造成的損失)賠付;第三，網(wǎng)絡(luò)安全保險(xiǎn)為不同等級(jí)的損失提供保障，既包括日常網(wǎng)絡(luò)風(fēng)險(xiǎn)的常規(guī)損失，又包括系統(tǒng)性風(fēng)險(xiǎn)的巨災(zāi)損失。

　　構(gòu)建完善的保障機(jī)制，首先需要完善保單條款。目前，網(wǎng)絡(luò)安全保險(xiǎn)對(duì)重要條款缺乏共同統(tǒng)一的定義，如 “網(wǎng)絡(luò)戰(zhàn)爭行為”，遑論標(biāo)準(zhǔn)保單。這導(dǎo)致保單的保障內(nèi)容缺乏確定性。因此，本文建議在公私合作機(jī)制(public-private partnerships)的框架下，政府與保險(xiǎn)業(yè)合作推進(jìn)制定網(wǎng)絡(luò)安全保險(xiǎn)標(biāo)準(zhǔn)保單。第一，標(biāo)準(zhǔn)保單有利于對(duì)出具保單的保險(xiǎn)人進(jìn)行監(jiān)督，防止其濫用保單進(jìn)行欺詐。第二，借鑒國內(nèi)外多次經(jīng)過法院判決與解釋的保單條款，未來將減少不必要的爭議。第三，標(biāo)準(zhǔn)保單具有社會(huì)效益：公眾很快就會(huì)對(duì)該保險(xiǎn)合同的保障范圍和責(zé)任限制有一個(gè)明確的認(rèn)識(shí)。對(duì)于復(fù)雜的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，被保險(xiǎn)人很可能不會(huì)花費(fèi)時(shí)間和精力去研究不同保險(xiǎn)人提供的不同類型保單，標(biāo)準(zhǔn)保單有助于投保人理解和把握保險(xiǎn)人的保障范圍和責(zé)任限制，并對(duì)不同保單進(jìn)行有效比較。

　　構(gòu)建完善的保險(xiǎn)保障機(jī)制，還需解決保險(xiǎn)機(jī)制在補(bǔ)償網(wǎng)絡(luò)安全風(fēng)險(xiǎn)損失方面所面臨的償付能力挑戰(zhàn)：基于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可保性疑慮和系統(tǒng)性巨災(zāi)損失(尤其在網(wǎng)絡(luò)戰(zhàn)的陰影下)等原因，保險(xiǎn)人可能供給不足。因此，本文建議在公私合作機(jī)制的框架下，建立政府與保險(xiǎn)業(yè)多層級(jí)網(wǎng)絡(luò)風(fēng)險(xiǎn)分散機(jī)制，從而提供可負(fù)擔(dān)(affordable)的網(wǎng)絡(luò)安全保險(xiǎn)。在實(shí)踐中，新加坡已于 2018 年推出了首個(gè)由政府支持的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)承保共同體，以應(yīng)對(duì)巨災(zāi)網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。建立一個(gè)可行且可持續(xù)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)公私合作機(jī)制，應(yīng)當(dāng)堅(jiān)持兩個(gè)原則。第一，尊重保險(xiǎn)人的市場化經(jīng)營，包括但不限于風(fēng)險(xiǎn)定價(jià)規(guī)則、損失分擔(dān)規(guī)則(如免賠額，共付比例和承保限額等)、除外責(zé)任規(guī)則等激勵(lì)機(jī)制。第二，政府作為最后手段(last resort)，以最后貸款人或提供再保險(xiǎn)的形式介入。一方面，政府以再保險(xiǎn)的形式介入能夠避免對(duì)商業(yè)保險(xiǎn)運(yùn)營的不當(dāng)干預(yù)，從而確保保險(xiǎn)人能夠在網(wǎng)絡(luò)風(fēng)險(xiǎn)管理與保障方面發(fā)揮主導(dǎo)作用;另一方面，政府以強(qiáng)大的信貸能力，能夠穿越商業(yè)保險(xiǎn)的承保周期，避免保險(xiǎn)人喪失償付能力，為保險(xiǎn)人提供網(wǎng)絡(luò)保險(xiǎn)產(chǎn)品減少后顧之憂，從而促進(jìn)供給。

何啟豪,中國政法大學(xué)比較法學(xué)研究院,202403