虚拟世界的威力越来越大。

在数字化社会，因营业中断、数据泄露、勒索病毒等恶意网络攻击给企业带来的经济损失，已远高于设备、厂房、文档等实体物质给企业带来的财产损失。即便经济损失尚可计算、可承受，但客户信任度的丧失、企业形象的负面效应等无形资产的损害却难以估量。

回看近代商业发展史，商誉风险最终影响的一定是业务的连续性与财务稳定性，严重者可能危及企业生死。

现实是，法律规范再健全也不可能完全阻止网络安全犯罪的发生，企业更无法单纯通过人力、流程及技术来确保其网络安全无虞。

从全球来看，最佳的解决方式当然是保险。

网络安全保险能做的，就是在未知风险的条件下，为投保客户提供从风险评估到风险预防管理、到风险事件管理的承保前、承保中、出险后的全方位安全保障。该类保险主要覆盖六项基本责任，分别为网络勒索、数据泄露责任、营业中断、安全责任、媒体侵权责任和应急响应费用。

但网络安全保险在我国却尚属“另类”产品。

从供给端看，因保险公司自身也承受了较大的不确定性风险，开展此类保险的公司并不多，普遍欠缺积极性。

从消费端看，实际发生经济损失的事件仍然属于小概率事件，大多企业都对自有IT部门充分信任。即使决定投保，还要担心保险公司拒赔，因为现有产品中，除外责任很多。

但这却不是最重要的困惑，于企业而言，想要获得保险赔付，必须披露网络安全事件的损失，公开披露“几百万条客户信息泄露”这类的信息，对于企业的伤害显然是致命的。

某些时候，强制可能才是解决问题的关键。

他山之石是，美国修改立法，要求将非法披露个人信息纳入承保范围，此后的数据是，2021年全球网络安全保险市场预计将激增21％，市场规模达到95亿美元。而在2015年，其全球规模仅为10亿美元。原因就在于，在全球网络安全保险市场中，美国占比居首，其承保规模变化直接影响全球市场保费收入。

可喜的是中国个人信息保护法已在推动中。

4月26日，《中华人民共和国个人信息保护法（草案）》（下称《草案》）提请第十三届全国人大常委会二审。从《草案》内容看，立法拟由国家网信部门统筹协调个人信息保护工作，并推动构建多维度的法律责任体系，力求加大个人信息保护力度。

《草案》进一步优化公益诉讼的架构设置，明确了法律后果特别是民事法律责任，有关机关和组织依照该法规定提起诉讼的，可根据侵害众多个人信息的过错程度和影响后果等因素，提出三至十倍的惩罚性赔偿等诉讼请求。

鉴于数据泄露的数量和损失难以精确计算，因此网络安全保险公司常常面临的问题是：“企业能够从投保中得到的多少赔偿？”在完善了法律环境后，保险公司在产品开发时，至少关于侵害个人信息的赔偿责任有了可参照的依据。

法律逐步完善的同时，经营该险种的保险主体也在扩张。

车险综改之下，财险市场正迎来前所未有的变局。非车险逐步发展，而位居非车险第二之位的责任险增长更是势头强劲。就网络安全保险而言，除瑞再、苏黎世、安达等外资险企外。近年来，人保、平安、太保等中资公司亦在陆续探索这一领域，而更多财险公司的参与，则可为行业提供丰富的经验和数据。

当然，在保险科技快速迭代的当下，术业一定有专攻。如北京源堡科技近年来已联合业内主流直保公司和再保公司，将网络安全威胁模型与保险定价模型、承保范围相结合，以探索提升保险机构网络安全保险的定价、核保与风险管理能力。

网络安全风险越来越显性化，日渐成为不可忽视的“强风险”。国内企业不仅要健全自身网络安全防御体系，有预见地全面监控风险敞口，更需借助保险工具，强化对网络攻击的韧性，更安全地赋能数字中国。

< END >