文 | 東南大學法學院 戴曉軍

《中華人民共和國個人信息保護法》規(guī)定，違法處理個人信息或者未履行個人信息保護義務，拒不改正的，將處100萬元以下罰款；情節(jié)嚴重的，將處5000萬元以下或者上一年度營業(yè)額5%以下罰款。對違法處理個人信息的嚴厲處罰乃國際通例。比如，社交媒體Meta（原名Facebook）曾因泄露超5億用戶數(shù)據(jù)而被愛爾蘭數(shù)據(jù)保護委員會罰款近10億歐元，同樣因泄露用戶信息而被韓國個人信息保護委員會罰款67億韓元。由于違法處理個人信息的行政罰款金額巨大，處理者很可能因一次違法處理而直接破產(chǎn)，這促使金融市場推出一種網(wǎng)絡(luò)安全保險產(chǎn)品，用以緩解企業(yè)在個人信息保護義務上的壓力。這種保險產(chǎn)品為處理者提供專業(yè)的風險評估、監(jiān)測預警與風險發(fā)生后的理賠等服務，注重預防個人信息違法處理，規(guī)避企業(yè)運營風險。

網(wǎng)絡(luò)安全保險的快速發(fā)展與政策趨向

2023年，中國工業(yè)信息安全發(fā)展研究中心信息政策所組織發(fā)布的《網(wǎng)絡(luò)安全保險研究報告》指出，網(wǎng)絡(luò)安全保險是全球財產(chǎn)保險市場中發(fā)展速度最快的細分領(lǐng)域之一，全球網(wǎng)絡(luò)安全保險保費規(guī)模正在大幅增長。據(jù)《2022年全球網(wǎng)絡(luò)安全保險市場報告》，2021年全球網(wǎng)絡(luò)安全保險市場規(guī)模為92.9億美元，2022年為121億美元。據(jù)慕尼黑再保險（Munich Re）估算，2024年全球網(wǎng)絡(luò)安全保險的市場規(guī)模達153億美元，而此規(guī)模在2030年前年均增速將超10%。

近年來，我國網(wǎng)絡(luò)安全保險業(yè)務取得穩(wěn)步發(fā)展。《網(wǎng)絡(luò)安全保險研究報告》顯示，2022年我國網(wǎng)絡(luò)安全保險保費規(guī)模達1.4億元，是2021年保費規(guī)模的兩倍?！督?jīng)濟日報》刊文指出，截至2024年底，我國已有53家保險公司備案了341款網(wǎng)絡(luò)安全保險產(chǎn)品，其核心業(yè)務就是為用戶提供個人信息安全保障。如《中國銀行保險報》報道，2016年中國人民保險公司與韓國三星火災海上保險公司合作開發(fā)的“個人信息泄露責任保險”產(chǎn)品，針對企業(yè)因黑客攻擊或員工故意行為等而導致的個人信息泄露及客戶提起索賠等情況提供保障；2022年《經(jīng)濟日報》報道，眾安在線財產(chǎn)保險股份有限公司發(fā)布了首款全覆蓋式網(wǎng)絡(luò)安全保險產(chǎn)品，其保障范圍主要有網(wǎng)絡(luò)安全事故發(fā)生后企業(yè)需承擔的事故響應費用、營業(yè)收入損失、網(wǎng)絡(luò)勒索威脅和修復費用等經(jīng)濟損失，也對第三方責任進行賠償，包括數(shù)據(jù)保密責任、數(shù)據(jù)安全責任和法律費用。目前，已有不少互聯(lián)網(wǎng)企業(yè)購買此類保險產(chǎn)品，保險公司根據(jù)企業(yè)自身特點提供相應的網(wǎng)絡(luò)安全保險服務。

2023年7月2日，工業(yè)和信息化部與國家金融監(jiān)督管理總局聯(lián)合發(fā)布《關(guān)于促進網(wǎng)絡(luò)安全保險規(guī)范健康發(fā)展的意見》，規(guī)范網(wǎng)絡(luò)安全保險業(yè)務開展。該意見要求建立健全網(wǎng)絡(luò)安全保險政策標準體系，加強網(wǎng)絡(luò)安全保險產(chǎn)品服務創(chuàng)新，強化網(wǎng)絡(luò)安全技術(shù)賦能保險發(fā)展，促進網(wǎng)絡(luò)安全產(chǎn)業(yè)需求釋放，培育網(wǎng)絡(luò)安全保險發(fā)展生態(tài)。同年12月21日，工業(yè)和信息化部辦公廳發(fā)布《關(guān)于組織開展網(wǎng)絡(luò)安全保險服務試點工作的通知》明確提出，加快推進網(wǎng)絡(luò)安全保險新模式落地應用，組織開展網(wǎng)絡(luò)安全保險服務試點工作。該通知面向電信和互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等重點行業(yè)的企業(yè)類保險和網(wǎng)絡(luò)安全產(chǎn)品、信息技術(shù)產(chǎn)品，以及網(wǎng)絡(luò)安全服務類保險展開試點工作，以企業(yè)法人為被保險方或以產(chǎn)品服務的購買方為保障對象。為了推進試點工作，2024年4月9日，工業(yè)和信息化部辦公廳公布網(wǎng)絡(luò)安全保險典型服務方案目錄，評選出49種相對成熟、可行的保險方案作為開展試點工作的參考依據(jù)。工業(yè)和信息化部公布的數(shù)據(jù)顯示，截至2025年上半年，試點期間的總保費規(guī)模已超1.5億元，總保額約115億元。

個人信息保護法對網(wǎng)絡(luò)安全保險的規(guī)范

盡管我國網(wǎng)絡(luò)安全保險已初具規(guī)模，但對比同期1.6萬億元之多的財產(chǎn)保險保費規(guī)模，前者尚不足后者的萬分之一。在個人信息保護受到高度重視、國家政策提供大力支持的背景下，網(wǎng)絡(luò)安全保險具有極大的發(fā)展?jié)摿?。但是，囿于定價標準不清、風險評估體系不完善、法律法規(guī)不健全等因素，網(wǎng)絡(luò)安全保險市場的發(fā)展有待進一步規(guī)范。

作為一種商業(yè)行為，網(wǎng)絡(luò)安全保險的核心功能在于為被保險人轉(zhuǎn)移風險、補償損失。在個人信息處理活動中，企業(yè)更在乎如何保證處理行為合法，降低違法處理的風險，故網(wǎng)絡(luò)安全保險產(chǎn)品應當根據(jù)個人信息保護法對處理者設(shè)置的法定義務進行承保，對處理者因違法處理所承擔的責任依法進行理賠。

其一，保險公司應根據(jù)其應對網(wǎng)絡(luò)風險的經(jīng)驗，合理評估處理者參保時的個人信息違法處理風險，包括考察處理者的資質(zhì)、處理的信息類型和規(guī)模、信息技術(shù)掌握的專業(yè)程度，以及已采取的安全保障措施等，由此決定是否達成保險合同及確定參保費用。其二，保險公司應根據(jù)個人信息保護法第五十一條中處理者的安全保障義務，為處理者設(shè)立或補充相應的技術(shù)設(shè)施、管理制度以及教育培訓等，也可以根據(jù)個人信息保護法第五十二條之規(guī)定，為處理者介紹和提供相關(guān)專業(yè)人才以指定個人信息保護負責人。其三，保險公司應根據(jù)個人信息保護法第五十四條至第五十六條的規(guī)定，以其專業(yè)的信息技術(shù)與安全技術(shù)及法律和監(jiān)管服務，為處理者開展定期的合規(guī)審計與處理前的影響評估。在委托處理活動中，保險公司應在事前充分審核委托處理范圍、受托人資質(zhì)等內(nèi)容。保險公司應當向被保險人負責，按照約定向被保險人提供或向社會公開信息安全審計和評估報告。同時，保險公司應根據(jù)個人信息保護法第五十七條的規(guī)定，在發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的情況時，受處理者委托，由網(wǎng)絡(luò)應急響應專家團隊形成應急預案，立即采取補救措施，并履行通知義務，通過電話、網(wǎng)站或移動應用程序報告事件。其四，保險公司應根據(jù)個人信息保護法第六十六條的規(guī)定，在發(fā)生違法處理之后，按照保險合同的約定進行理賠。理賠的事項應當包括信息主體的直接損失、處理者為應對信息安全事件而支出的技術(shù)和法律成本、營業(yè)收入損失及行政罰款等。若網(wǎng)絡(luò)安全保險業(yè)務涵蓋行政罰款，有利于保險公司通過專業(yè)監(jiān)督助力個人信息處理者更好地履行個人信息保護義務，也有利于發(fā)揮市場力量，減輕企業(yè)負擔，促進數(shù)字經(jīng)濟發(fā)展。

多舉措推進網(wǎng)絡(luò)安全保險市場健康發(fā)展

我國網(wǎng)絡(luò)安全保險市場有著巨大潛力，有待保險行業(yè)共同探索開發(fā)，更需要有關(guān)部門為其發(fā)展保駕護航。依據(jù)我國個人信息保護法第十一條的規(guī)定，國家有義務建立健全個人信息保護制度，預防和懲治侵害個人信息權(quán)益的行為，推動形成政府、企業(yè)等共同參與個人信息保護的良好環(huán)境。網(wǎng)絡(luò)安全保險作為平衡市場機制與個人信息保護的特殊險種，其風險的社會性和復雜性決定了公權(quán)力介入的必要。國家有關(guān)部門可通過行政指導和行政規(guī)制為網(wǎng)絡(luò)安全保險的發(fā)展提供多方面保障。

其一，建立國家安全風險評估體系。當前，保險行業(yè)對網(wǎng)絡(luò)安全缺乏統(tǒng)一的風險量化模型。由于沒有形成統(tǒng)一的技術(shù)標準，保險公司難以對勒索軟件、供應鏈攻擊等新型風險進行精準評估。對此，國家網(wǎng)信部門可組織、牽頭整合國家信息安全漏洞庫、“黑產(chǎn)數(shù)據(jù)”等，構(gòu)建精算公共數(shù)據(jù)庫，逐步形成統(tǒng)一適用的數(shù)據(jù)安全標準體系。

其二，引導構(gòu)建差異化費率機制。為防止出現(xiàn)高風險企業(yè)集中投保、低風險企業(yè)退出的惡性循環(huán)，有必要在行業(yè)內(nèi)形成強制分級投保的差異化定價機制。一方面，相關(guān)部門可發(fā)布強制投保目錄，要求關(guān)鍵信息基礎(chǔ)設(shè)施運營者、超百萬用戶平臺等投保。另一方面，參考等保評級動態(tài)定價機制，保險公司根據(jù)定期風險等級評估報告調(diào)整保價。

其三，形成全行業(yè)風險共擔機制。政府相關(guān)部門應積極出臺稅收抵免政策，支持企業(yè)保費支出抵免所得稅，降低中小企業(yè)合規(guī)成本。同時，大力推行“保險+安全服務”模式，強制要求保險公司將一定比率的保費用于企業(yè)安全能力建設(shè)，如通過滲透測試、應急演練等不斷提升企業(yè)網(wǎng)絡(luò)安全水平。此外，還可設(shè)立風險共擔基金池?？煽紤]提取保費總額的5%—10%注入國家網(wǎng)絡(luò)安全基金，以應對超大規(guī)模數(shù)據(jù)泄露事件的償付缺口，增強網(wǎng)絡(luò)安全保險市場韌性。

數(shù)字經(jīng)濟快速發(fā)展的同時也引發(fā)了個人信息保護的合規(guī)風險，網(wǎng)絡(luò)安全保險也因此駛?cè)肓税l(fā)展快車道。通過安全風險評估體系、差異化費率機制及風險共擔機制凝聚多方合力，可持續(xù)為網(wǎng)絡(luò)安全保險的規(guī)范健康發(fā)展提供堅實保障，真正使其成為數(shù)字經(jīng)濟繁榮的“安全基座”。【本文為國家社科基金重點項目“完善黨和國家監(jiān)督體系研究”（項目編號：21AZD088）的階段性研究成果。】

（來源：民主與法制時報）