文 | 東南大學(xué)法學(xué)院 戴曉軍

《中華人民共和國個(gè)人信息保護(hù)法》規(guī)定，違法處理個(gè)人信息或者未履行個(gè)人信息保護(hù)義務(wù)，拒不改正的，將處100萬元以下罰款；情節(jié)嚴(yán)重的，將處5000萬元以下或者上一年度營業(yè)額5%以下罰款。對違法處理個(gè)人信息的嚴(yán)厲處罰乃國際通例。比如，社交媒體Meta（原名Facebook）曾因泄露超5億用戶數(shù)據(jù)而被愛爾蘭數(shù)據(jù)保護(hù)委員會(huì)罰款近10億歐元，同樣因泄露用戶信息而被韓國個(gè)人信息保護(hù)委員會(huì)罰款67億韓元。由于違法處理個(gè)人信息的行政罰款金額巨大，處理者很可能因一次違法處理而直接破產(chǎn)，這促使金融市場推出一種網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品，用以緩解企業(yè)在個(gè)人信息保護(hù)義務(wù)上的壓力。這種保險(xiǎn)產(chǎn)品為處理者提供專業(yè)的風(fēng)險(xiǎn)評估、監(jiān)測預(yù)警與風(fēng)險(xiǎn)發(fā)生后的理賠等服務(wù)，注重預(yù)防個(gè)人信息違法處理，規(guī)避企業(yè)運(yùn)營風(fēng)險(xiǎn)。

網(wǎng)絡(luò)安全保險(xiǎn)的快速發(fā)展與政策趨向

2023年，中國工業(yè)信息安全發(fā)展研究中心信息政策所組織發(fā)布的《網(wǎng)絡(luò)安全保險(xiǎn)研究報(bào)告》指出，網(wǎng)絡(luò)安全保險(xiǎn)是全球財(cái)產(chǎn)保險(xiǎn)市場中發(fā)展速度最快的細(xì)分領(lǐng)域之一，全球網(wǎng)絡(luò)安全保險(xiǎn)保費(fèi)規(guī)模正在大幅增長。據(jù)《2022年全球網(wǎng)絡(luò)安全保險(xiǎn)市場報(bào)告》，2021年全球網(wǎng)絡(luò)安全保險(xiǎn)市場規(guī)模為92.9億美元，2022年為121億美元。據(jù)慕尼黑再保險(xiǎn)（Munich Re）估算，2024年全球網(wǎng)絡(luò)安全保險(xiǎn)的市場規(guī)模達(dá)153億美元，而此規(guī)模在2030年前年均增速將超10%。

近年來，我國網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)取得穩(wěn)步發(fā)展?！毒W(wǎng)絡(luò)安全保險(xiǎn)研究報(bào)告》顯示，2022年我國網(wǎng)絡(luò)安全保險(xiǎn)保費(fèi)規(guī)模達(dá)1.4億元，是2021年保費(fèi)規(guī)模的兩倍。《經(jīng)濟(jì)日報(bào)》刊文指出，截至2024年底，我國已有53家保險(xiǎn)公司備案了341款網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品，其核心業(yè)務(wù)就是為用戶提供個(gè)人信息安全保障。如《中國銀行保險(xiǎn)報(bào)》報(bào)道，2016年中國人民保險(xiǎn)公司與韓國三星火災(zāi)海上保險(xiǎn)公司合作開發(fā)的“個(gè)人信息泄露責(zé)任保險(xiǎn)”產(chǎn)品，針對企業(yè)因黑客攻擊或員工故意行為等而導(dǎo)致的個(gè)人信息泄露及客戶提起索賠等情況提供保障；2022年《經(jīng)濟(jì)日報(bào)》報(bào)道，眾安在線財(cái)產(chǎn)保險(xiǎn)股份有限公司發(fā)布了首款全覆蓋式網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品，其保障范圍主要有網(wǎng)絡(luò)安全事故發(fā)生后企業(yè)需承擔(dān)的事故響應(yīng)費(fèi)用、營業(yè)收入損失、網(wǎng)絡(luò)勒索威脅和修復(fù)費(fèi)用等經(jīng)濟(jì)損失，也對第三方責(zé)任進(jìn)行賠償，包括數(shù)據(jù)保密責(zé)任、數(shù)據(jù)安全責(zé)任和法律費(fèi)用。目前，已有不少互聯(lián)網(wǎng)企業(yè)購買此類保險(xiǎn)產(chǎn)品，保險(xiǎn)公司根據(jù)企業(yè)自身特點(diǎn)提供相應(yīng)的網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)。

2023年7月2日，工業(yè)和信息化部與國家金融監(jiān)督管理總局聯(lián)合發(fā)布《關(guān)于促進(jìn)網(wǎng)絡(luò)安全保險(xiǎn)規(guī)范健康發(fā)展的意見》，規(guī)范網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)開展。該意見要求建立健全網(wǎng)絡(luò)安全保險(xiǎn)政策標(biāo)準(zhǔn)體系，加強(qiáng)網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品服務(wù)創(chuàng)新，強(qiáng)化網(wǎng)絡(luò)安全技術(shù)賦能保險(xiǎn)發(fā)展，促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)需求釋放，培育網(wǎng)絡(luò)安全保險(xiǎn)發(fā)展生態(tài)。同年12月21日，工業(yè)和信息化部辦公廳發(fā)布《關(guān)于組織開展網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)試點(diǎn)工作的通知》明確提出，加快推進(jìn)網(wǎng)絡(luò)安全保險(xiǎn)新模式落地應(yīng)用，組織開展網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)試點(diǎn)工作。該通知面向電信和互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等重點(diǎn)行業(yè)的企業(yè)類保險(xiǎn)和網(wǎng)絡(luò)安全產(chǎn)品、信息技術(shù)產(chǎn)品，以及網(wǎng)絡(luò)安全服務(wù)類保險(xiǎn)展開試點(diǎn)工作，以企業(yè)法人為被保險(xiǎn)方或以產(chǎn)品服務(wù)的購買方為保障對象。為了推進(jìn)試點(diǎn)工作，2024年4月9日，工業(yè)和信息化部辦公廳公布網(wǎng)絡(luò)安全保險(xiǎn)典型服務(wù)方案目錄，評選出49種相對成熟、可行的保險(xiǎn)方案作為開展試點(diǎn)工作的參考依據(jù)。工業(yè)和信息化部公布的數(shù)據(jù)顯示，截至2025年上半年，試點(diǎn)期間的總保費(fèi)規(guī)模已超1.5億元，總保額約115億元。

個(gè)人信息保護(hù)法對網(wǎng)絡(luò)安全保險(xiǎn)的規(guī)范

盡管我國網(wǎng)絡(luò)安全保險(xiǎn)已初具規(guī)模，但對比同期1.6萬億元之多的財(cái)產(chǎn)保險(xiǎn)保費(fèi)規(guī)模，前者尚不足后者的萬分之一。在個(gè)人信息保護(hù)受到高度重視、國家政策提供大力支持的背景下，網(wǎng)絡(luò)安全保險(xiǎn)具有極大的發(fā)展?jié)摿Α５?，囿于定價(jià)標(biāo)準(zhǔn)不清、風(fēng)險(xiǎn)評估體系不完善、法律法規(guī)不健全等因素，網(wǎng)絡(luò)安全保險(xiǎn)市場的發(fā)展有待進(jìn)一步規(guī)范。

作為一種商業(yè)行為，網(wǎng)絡(luò)安全保險(xiǎn)的核心功能在于為被保險(xiǎn)人轉(zhuǎn)移風(fēng)險(xiǎn)、補(bǔ)償損失。在個(gè)人信息處理活動(dòng)中，企業(yè)更在乎如何保證處理行為合法，降低違法處理的風(fēng)險(xiǎn)，故網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品應(yīng)當(dāng)根據(jù)個(gè)人信息保護(hù)法對處理者設(shè)置的法定義務(wù)進(jìn)行承保，對處理者因違法處理所承擔(dān)的責(zé)任依法進(jìn)行理賠。

其一，保險(xiǎn)公司應(yīng)根據(jù)其應(yīng)對網(wǎng)絡(luò)風(fēng)險(xiǎn)的經(jīng)驗(yàn)，合理評估處理者參保時(shí)的個(gè)人信息違法處理風(fēng)險(xiǎn)，包括考察處理者的資質(zhì)、處理的信息類型和規(guī)模、信息技術(shù)掌握的專業(yè)程度，以及已采取的安全保障措施等，由此決定是否達(dá)成保險(xiǎn)合同及確定參保費(fèi)用。其二，保險(xiǎn)公司應(yīng)根據(jù)個(gè)人信息保護(hù)法第五十一條中處理者的安全保障義務(wù)，為處理者設(shè)立或補(bǔ)充相應(yīng)的技術(shù)設(shè)施、管理制度以及教育培訓(xùn)等，也可以根據(jù)個(gè)人信息保護(hù)法第五十二條之規(guī)定，為處理者介紹和提供相關(guān)專業(yè)人才以指定個(gè)人信息保護(hù)負(fù)責(zé)人。其三，保險(xiǎn)公司應(yīng)根據(jù)個(gè)人信息保護(hù)法第五十四條至第五十六條的規(guī)定，以其專業(yè)的信息技術(shù)與安全技術(shù)及法律和監(jiān)管服務(wù)，為處理者開展定期的合規(guī)審計(jì)與處理前的影響評估。在委托處理活動(dòng)中，保險(xiǎn)公司應(yīng)在事前充分審核委托處理范圍、受托人資質(zhì)等內(nèi)容。保險(xiǎn)公司應(yīng)當(dāng)向被保險(xiǎn)人負(fù)責(zé)，按照約定向被保險(xiǎn)人提供或向社會(huì)公開信息安全審計(jì)和評估報(bào)告。同時(shí)，保險(xiǎn)公司應(yīng)根據(jù)個(gè)人信息保護(hù)法第五十七條的規(guī)定，在發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的情況時(shí)，受處理者委托，由網(wǎng)絡(luò)應(yīng)急響應(yīng)專家團(tuán)隊(duì)形成應(yīng)急預(yù)案，立即采取補(bǔ)救措施，并履行通知義務(wù)，通過電話、網(wǎng)站或移動(dòng)應(yīng)用程序報(bào)告事件。其四，保險(xiǎn)公司應(yīng)根據(jù)個(gè)人信息保護(hù)法第六十六條的規(guī)定，在發(fā)生違法處理之后，按照保險(xiǎn)合同的約定進(jìn)行理賠。理賠的事項(xiàng)應(yīng)當(dāng)包括信息主體的直接損失、處理者為應(yīng)對信息安全事件而支出的技術(shù)和法律成本、營業(yè)收入損失及行政罰款等。若網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)涵蓋行政罰款，有利于保險(xiǎn)公司通過專業(yè)監(jiān)督助力個(gè)人信息處理者更好地履行個(gè)人信息保護(hù)義務(wù)，也有利于發(fā)揮市場力量，減輕企業(yè)負(fù)擔(dān)，促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展。

多舉措推進(jìn)網(wǎng)絡(luò)安全保險(xiǎn)市場健康發(fā)展

我國網(wǎng)絡(luò)安全保險(xiǎn)市場有著巨大潛力，有待保險(xiǎn)行業(yè)共同探索開發(fā)，更需要有關(guān)部門為其發(fā)展保駕護(hù)航。依據(jù)我國個(gè)人信息保護(hù)法第十一條的規(guī)定，國家有義務(wù)建立健全個(gè)人信息保護(hù)制度，預(yù)防和懲治侵害個(gè)人信息權(quán)益的行為，推動(dòng)形成政府、企業(yè)等共同參與個(gè)人信息保護(hù)的良好環(huán)境。網(wǎng)絡(luò)安全保險(xiǎn)作為平衡市場機(jī)制與個(gè)人信息保護(hù)的特殊險(xiǎn)種，其風(fēng)險(xiǎn)的社會(huì)性和復(fù)雜性決定了公權(quán)力介入的必要。國家有關(guān)部門可通過行政指導(dǎo)和行政規(guī)制為網(wǎng)絡(luò)安全保險(xiǎn)的發(fā)展提供多方面保障。

其一，建立國家安全風(fēng)險(xiǎn)評估體系。當(dāng)前，保險(xiǎn)行業(yè)對網(wǎng)絡(luò)安全缺乏統(tǒng)一的風(fēng)險(xiǎn)量化模型。由于沒有形成統(tǒng)一的技術(shù)標(biāo)準(zhǔn)，保險(xiǎn)公司難以對勒索軟件、供應(yīng)鏈攻擊等新型風(fēng)險(xiǎn)進(jìn)行精準(zhǔn)評估。對此，國家網(wǎng)信部門可組織、牽頭整合國家信息安全漏洞庫、“黑產(chǎn)數(shù)據(jù)”等，構(gòu)建精算公共數(shù)據(jù)庫，逐步形成統(tǒng)一適用的數(shù)據(jù)安全標(biāo)準(zhǔn)體系。

其二，引導(dǎo)構(gòu)建差異化費(fèi)率機(jī)制。為防止出現(xiàn)高風(fēng)險(xiǎn)企業(yè)集中投保、低風(fēng)險(xiǎn)企業(yè)退出的惡性循環(huán)，有必要在行業(yè)內(nèi)形成強(qiáng)制分級投保的差異化定價(jià)機(jī)制。一方面，相關(guān)部門可發(fā)布強(qiáng)制投保目錄，要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者、超百萬用戶平臺等投保。另一方面，參考等保評級動(dòng)態(tài)定價(jià)機(jī)制，保險(xiǎn)公司根據(jù)定期風(fēng)險(xiǎn)等級評估報(bào)告調(diào)整保價(jià)。

其三，形成全行業(yè)風(fēng)險(xiǎn)共擔(dān)機(jī)制。政府相關(guān)部門應(yīng)積極出臺稅收抵免政策，支持企業(yè)保費(fèi)支出抵免所得稅，降低中小企業(yè)合規(guī)成本。同時(shí)，大力推行“保險(xiǎn)+安全服務(wù)”模式，強(qiáng)制要求保險(xiǎn)公司將一定比率的保費(fèi)用于企業(yè)安全能力建設(shè)，如通過滲透測試、應(yīng)急演練等不斷提升企業(yè)網(wǎng)絡(luò)安全水平。此外，還可設(shè)立風(fēng)險(xiǎn)共擔(dān)基金池?？煽紤]提取保費(fèi)總額的5%—10%注入國家網(wǎng)絡(luò)安全基金，以應(yīng)對超大規(guī)模數(shù)據(jù)泄露事件的償付缺口，增強(qiáng)網(wǎng)絡(luò)安全保險(xiǎn)市場韌性。

數(shù)字經(jīng)濟(jì)快速發(fā)展的同時(shí)也引發(fā)了個(gè)人信息保護(hù)的合規(guī)風(fēng)險(xiǎn)，網(wǎng)絡(luò)安全保險(xiǎn)也因此駛?cè)肓税l(fā)展快車道。通過安全風(fēng)險(xiǎn)評估體系、差異化費(fèi)率機(jī)制及風(fēng)險(xiǎn)共擔(dān)機(jī)制凝聚多方合力，可持續(xù)為網(wǎng)絡(luò)安全保險(xiǎn)的規(guī)范健康發(fā)展提供堅(jiān)實(shí)保障，真正使其成為數(shù)字經(jīng)濟(jì)繁榮的“安全基座”。【本文為國家社科基金重點(diǎn)項(xiàng)目“完善黨和國家監(jiān)督體系研究”（項(xiàng)目編號：21AZD088）的階段性研究成果?！?/span>

（來源：民主與法制時(shí)報(bào)）