时间:
网络安全风险是当今 “数智” 社会最大的风险之一,我国则是世界上遭受网络攻击最严重的国家,公民和企业所遭受的损失巨大。爆发式发展的人工智能使得网络安全风险进一步加剧。习近平总书记指出:“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。” 如何维护网络安全,有效救济受害人,已成为事关全局的重大课题。本文围绕对网络攻击所造成的损害可否通过保险机制予以保障与补偿进行研究和探讨。
一、老保单遇到新风险:沉默网络风险的保障争议
(一)传统保险面临网络风险保障挑战
沉默网络风险(silent cyber exposure)一般是指 “在财产一切险和其他责任保险中未明确排除的网络安全风险”。由于传统保险 [如财产一切险(all-risk policy)] 和责任险 [如商业综合责任险(CGL)] 并非是针对网络安全风险的独特性质设计的,但大多数保单又未明确将网络安全风险排除,从而导致了所谓的沉默网络风险问题。换言之,在传统财产一切险或责任保险中未明确排除的网络安全风险,是否仍在保障范围之内。
域外保险监管机构高度关注沉默网络风险问题并提出行业预警,担心重蹈 “石棉赔付危机”(asbestos)的覆辙。英国保险监管机构审慎监管局(Prudential Regulation Authority, PRA)较早向保险业提出沉默网络风险的法律问题,警告系统性网络风险将会对传统保险造成巨大冲击,并要求保险人与再保险人制定沉默网络风险处置的行动计划。德国联邦金融监管局亦就这一问题向保险公司进行调查询问,包括哪些保险合同涉及沉默风险问题,以及在公司自身偿付能力的约束下如何有效处置等。欧洲保险与职业养老金管理局(European Insurance and Occupational Pensions Authority)从网络保险发展的战略层面提出对沉默风险问题的监管疑虑。
作为有史以来最具有破坏性的网络攻击之一,2017 年爆发的 NotPetya 网络攻击以 Windows 服务器、台式机和笔记本电脑为目标,瘫痪甚至摧毁了数千家跨国公司的计算机系统,并通过对主文档进行加密要求受害人缴纳比特币赎金来恢复对主文档的访问,在全球范围内造成了高达 100 亿美元的损失。NotPetya 网络攻击对保险市场造成了巨大冲击,并使沉默网络风险问题成为现实的法律争议。例如,制药公司 Merck 与食品饮料公司 Mondelez 因 NotPetya 网络攻击导致了巨额财产损失、人身伤害和营业中断损失,分别向财产一切险保险人提起索赔。然而,保险人认为该攻击属于俄罗斯向乌克兰发起的网络战,援用 “战争除外责任条款” 拒绝赔付。随后 Merck 与 Mondelez 分别提起诉讼,认为 NotPetya 网络攻击导致了财产损失、人身伤害或业务中断,应当属于财产保险的保障范围。由于被保险人投保的是传统的财产一切险而非专门的网络安全保险(stand-alone cyber insurance),因此,诉讼的主要争议问题为,财产一切险保单中未明确提及的沉默网络风险(网络攻击风险)是否在其保障范围之内,而非适用战争除外责任条款。
(二)沉默网络风险的保障争议及分析
沉默网络风险可谓传统保险的保障缺口,那么根据保险法的理论与规范,其是否在保障范围之内?
第一,从理论上讲,根据保险合同解释规则,当保单条款含糊不清(ambiguity)时,即风险可能被包含也可能被排除在保单保障范围时,则风险应当在保障范围之内。《中华人民共和国保险法》(以下简称 “《保险法》”)第 30 条规定了保险格式条款不利解释规则,即 “对合同条款有两种以上解释的,人民法院或者仲裁机构应当作有利于被保险人和受益人的解释”。因此,对于沉默网络风险,当传统保险的保障范围存在不确定性时,应对包含或排除风险进行解释;除非保险人将沉默网络风险明确排除在外,否则应当承担其所致损失。
在 Merck 案中,美国法院亦据此认为,从保单条款字面含义上看,战争除外责任条款并没有提及网络事件、计算机、数据、编码或软件等内容,也未明示或暗示将网络事件或网络攻击排除在承保范围之外。因此,财产一切险中排除由 “战争”、“军事” 或 “敌对” 行动造成损失的战争行为除外责任条款,并不适用于 NotPetya 网络攻击,保险公司应当赔付相关损失。与 Merck 案类似,Mondelez 案中的保险人试图援引战争除外责任条款作为拒赔依据,但由于保险人并未修改传统保单中沿用已久的条款,即未明确排除网络攻击风险,亦未明确网络攻击属于战争行为,最终不得不以和解结案。
第二,如果条款的表述不清晰、晦涩难懂,亦与保险法理论中的透明度原则(principle of transparency)相抵触。透明度原则有助于解决保险合同当事人之间的信息不对称问题。它既要求投保人在订立保险合同时应当就保险标的等相关风险如实告知保险人,也要求保险人在订立合同时向被保险人清楚、正确地说明保单条款的信息。《保险法》第 17 条第 1 款规定了保险人对保险格式条款的说明义务,即 “订立保险合同,采用保险人提供的格式条款的,保险人向投保人提供的投保单应当附格式条款,保险人应当向投保人说明合同的内容”。因此,保险人如不承保沉默网络风险,则有义务在合同签订前披露和说明保单中有关条款的信息,从而使投保人能够在知情的情况下决定是否投保。
第三,合理期待规则(reasonable expectations)亦不支持保险人拒绝保障沉默网络风险。在 Merck 案中,法院认为保险人应当保障沉默网络风险的理由之一,即保险人拒绝赔付违反了合理期待规则:保险人在与投保人在最初签订保险合同时并没有以合理预见到的方式限制保障范围。英美保险法中的 “合理期待规则” 与我国保险法规定的保险人明确说明义务有异曲同工之效。我国保险法第 17 条第 2 款规定:“对保险合同中免除保险人责任的条款,保险人在订立合同时应当在投保单、保险单或者其他保险凭证上作出足以引起投保人注意的提示,并对该条款的内容以书面或者口头形式向投保人作出明确说明;未作提示或者明确说明的,该条款不产生效力。” 保险人在签订保单之前对免除责任条款予以明确说明正是应对合理期待规则的最佳方法。
(三)小结
理论与实践的冲突表明传统财产一切险因应网络风险具有较大的不确定性。沉默网络风险引发保险保障纠纷,这些纠纷又反过来影响保险人的承保决策(产品供给)和投保人的购买决策(保险需求)。
对投保人而言,其网络风险的安全保障需求并未消失。由于网络安全风险的 “不可消除性”,即安全技术手段无法确保百分之百安全,因此网络安全保险乃是投保人分担残余风险的 “刚需”。对保险人而言,其面临着两个相互冲突的目标:一方面努力使自己摆脱对灾难性网络攻击的承保责任,传统保险或将明确排除部分或特定网络风险保障;另一方面仍要维护投保人对保险产品的信心,即大多数网络风险仍在保障范围之内。因此,发展专门网络安全保险(stand-alone cyber insurance)则成为网络安全风险保障更专业、更可行的选择。
二、专门网络安全保险的前置要件:网络风险的特殊性与可保性
通过专门网络安全保险(stand-alone cyber insurance)承保网络安全风险,我们首先需要思考的问题是:为何传统保险要排除网络安全风险,网络风险与其他风险相比有无特殊之处,其本身是否具有可保性(insurability)。对于风险性质与可保性认识的不同,不仅影响是否提供网络安全风险保障,亦关乎风险定价,进而影响保障范围之大小。盖因保险责任需阐明 “网络安全风险可能导致何种网络安全事件,最终引发何种损失类型”,其核心为确定 “可保网络安全事件” 与 “可保损失类型”。
(一)网络安全风险的特殊性
从抽象层面来看,网络安全风险不是单一类型的风险,而是一个集合性概念。因此,有学者认为,网络风险是指 “大量的、不同来源的、通过网络或信息技术影响个人、企业或社会有形的或无形的信息或财产的风险集合”。网络风险类型丰富多样,包括但不限于 “数据泄露、数据损毁、勒索软件攻击、拒绝服务攻击、恶意软件、病毒、网络敲诈、人为错误、编程错误等多种网络事件”。2022 年上海市保险同业公会发布的《网络安全保险服务规范(征求意见稿)》以概括加列举的方式通过定义网络安全事件来界定网络安全风险,即 “由于风险对信息系统造成危害或对社会造成负面影响的事件,如计算机病毒、特洛伊木马、拒绝服务攻击、漏洞攻击事件、网络扫描窃听攻击等事件”。需要指出的是,该定义仅限于外部攻击导致的网络安全事件,虽有考虑防范被保险人的道德风险之虞,但未包括由被保险人内部人员、技术和管理等方面的疏忽而引发的网络安全事件。事实上,被保险人违反网络安全法律法规相关义务如个人信息或数据保护而需承担的责任,恰是网络责任保险承保的重要风险。
从技术层面来看,虽然并非所有的风险都是网络风险,但是越来越多的风险类型都包含了网络因素。一方面,摩尔定律(Moore's Law)揭示了计算机信息技术的不断快速演进。另一方面,受大数据、云计算、人工智能发展的影响,物联网(Internet of Things)连接日益紧密但也模糊了虚拟世界与真实世界的界分。
因此,网络风险之所以特殊,在于它几乎与所有其他类型的风险 —— 从侵权责任到刑事犯罪,再到财产和意外损失 —— 都有前所未有甚至难以预测的关联,而这些复杂的关联性极大地增加了保险人通过传统数据收集或建模工具进行风险评估和分配的难度,从而对基于精算分析的风险定价提出了重大挑战。
(二)系统性风险争议
基于网络安全风险的特殊性,在理论与实务中对网络安全风险是否属于系统性风险存在较大争议。
第一,肯定性观点认为,网络安全风险当然是系统性风险。该观点多存在于实务界,保险人多以此为由拒绝承保网络风险。例如,英国劳合社(Lloyd's of London)提出,系统性风险暴露是网络风险的主要特征,因为网络攻击者利用数字网络和共享技术所形成的链接可以造成广泛的破坏。首席执行官亦认为网络安全风险是系统性的,因为灾害可能在世界各地同时发生。瑞士再保险全球领先的保险经纪公司达信(Marsh)报告称,由于计算机系统具有显著的同质性、依赖性和脆弱性,单点故障即能造成连带后果,因而其危害具有高度的相关性。
第二,否定性观点认为,网络安全风险与传统风险并没有本质的不同,不过是传统风险在网络空间的延伸,通过技术中立的解释方法(techno-neutrality solution)将传统财产险或责任险的承保范围予以扩大解释,网络安全相关的无形财产损失便可由传统财产险或责任险承保。该观点的问题在于可能导致保险人低估风险,从而面临沉默网络风险带来的巨大威胁或损失。遭受打击的保险人可能主动退出市场,不再承保网络风险。
第三,也是笔者所认同的折中派观点则认为,对网络风险的性质认定不能一概而论,其可分为系统性网络风险和日常性网络风险。系统性风险最突出的特征乃是风险因数字网络而产生并引发巨灾累积损失。原因在于:(1)数字网络由标准化或功能同质、相互连接且相互依存的节点组成;(2)单点故障能够对整个网络节点造成连带后果;(3)网络危害无法或不能及时控制。比如病毒软件在全球范围内迅速传播,比其他巨灾风险如自然灾害、恐怖袭击,甚至战争在地域上所受到的限制要少得多。因此,网络安全事件的规模以及受影响的系统范围成为系统性网络风险和日常性网络风险之间的主要区别。这也意味着不能轻易地将系统性网络风险排除在保障范围之外,否则亦将不得不删改大量对投保人有吸引力或有价值的保障条款。
(三)可保性分析
在实践中,一些保险人以网络安全风险不具有可保性而拒绝承保,并认为只有在政府的支持下才可实现网络安全保险的可保(insurability)、可及(availability)与可负担(affordability)。对于网络安全等新型风险,可保性可谓是学界争论的经典问题。保险经济学家认为可保风险须满足两个条件:一是风险能够被识别,二是风险可定价。保险法学家则提出可保风险三要件:风险能够准确评估、保费合理和损失可控。通过梳理文献与观察网络保险实践,笔者总结并提出判断可保性的四项标准并将之适用于网络安全风险。
第一,风险的可预测性(精算标准)。风险的可预测性要求保险人能够通过精算以识别、量化和估计风险发生的频率和程度以及由此造成的损失。实际上,保险原理并不复杂:被保险人应支付的保费(包括保险公司运营成本等费用)应等于事故发生的概率(probability)乘以事故发生的潜在损失(potential damage)。因此,保险人需要信息(通过统计数据或风险评估)来计算概率与潜在损失。与传统风险(如火灾)相比,网络安全风险具有更高的不可预测性。随着网络技术和数字经济的发展,网络风险的概率与潜在损失不断增加,甚至越来越难以量化与评估。然而,当我们回顾保险史,风险概率与潜在损失的大小,并未完全阻止保险人承保新型风险。譬如,保险人在卫星发展早期即开发承保巨灾损失的新产品 —— 商业卫星保险。虽然在承保的初期,保险人没有或缺乏历史数据来评估风险概率与损失强度,但保险人可通过模型进行风险评估,或提高风险溢价以应对不确定性。随着大数据技术的发展,网络安全风险将更容易识别与量化,从而降低不可预测的风险状况。
第二,风险导致的潜在损失(偿付能力标准)。巨灾损失可能威胁保险人的偿付能力,因此需要考虑保险人在不陷入破产境地时赔付潜在巨灾损失的能力。这一标准最大的挑战在于,网络安全风险(即便仅部分风险类型,如网络战)为系统性风险时,同时发生的巨灾损失可能超出保险人的偿付能力。面对偿付能力的挑战,一方面,保险人已发展出多种提高偿付能力的措施,例如传统的共同保险和再保险。如果保险人能够筹集更多的资金 —— 如通过资本市场发行巨灾债券 —— 使其能够进行跨周期分散风险,那么系统性网络安全风险仍是可保风险。另一方面,保险人在承保时可采用 “追征式保险”(assessment insurance)的方式,即使保险储备金耗尽,保险人仍可在网络风险损失发生后追收保费。
第三,风险的随机性(道德风险标准)。风险的随机性要求风险事件是偶然的,而非被保险人故意制造或放任的风险。该标准涉及被保险人的道德风险问题,即当被保险人购买网络安全保险后,由于保险人将会承担可能的风险损失,被保险人怠于谨慎避险,比如减少甚至停止对于自身安全系统的投资与维护,从而增加而非减少风险概率与损失程度。在网络安全领域,防范道德风险面临技术上的困难,因为对于何种技术能够有效预防(变化无穷的)网络风险尚无共识。然而,保险治理理论以及相关实践表明保险人拥有动力以及技术措施实现对被保险人道德风险的有效控制。保险人可通过事前调节,帮助被保险人以最小成本预防网络安全风险;更重要的是,保险人可通过过程管理实现风险控制,如采购第三方网络安全机构的服务,以市场化手段引导并监督投保人的行为,减少数据泄露等风险,从而建立起有效的网络安全风险的保障与治理机制。
第四,保险人的意愿(供需关系标准)。保险人的意愿意味着网络安全保险市场存在均衡的供需关系,并可使其获得利润。从供给侧来看,保险人提供网络安全保险产品面临诸多挑战,如系统性风险、关联风险导致的巨灾损失,缺乏风险与损失数据,未经检验的保单及条款等;而且保险人开发的一些专门网络安全保险产品缺乏风险模型或风险数据的支撑,其脆弱且不稳定。从需求端来看,投保人的需求不足一方面源于认知偏见,认为网络安全风险不会发生在其身上;或由于认知错误,认为传统保险亦保障网络安全风险;另一方面则由于保费太高而难以承担,充足的保费收入能够提高承保能力(capacity),但保险人为盈利收取超额保费而非风险保费(risk based premium),导致与被保险人的风险评估严重不符,亦影响供需均衡。
虽然供给与需求均面临较大挑战,但由于网络安全风险的 “不可消除性”,以及日益强化的行政监管与民事责任,网络安全保险(潜在)需求仍颇为可观。从实践来看,全球网络保险市场的迅速发展,亦显示出了保险人较强的承保意愿以及开拓新兴市场的动力。虽然我国的网络安全保险处于发展初期,但逐渐进入风口阶段。目前已有 30 余家保险公司备案了 77 款网络安全保险产品,逐渐成为保险行业发展的增长点,甚至具有开发一个千亿级蓝海市场的潜力。
总之,可保性并不是一个二元概念(即风险要么可保,要么不可保),而是一个逐渐拓展的概念;特定风险的可保性界限并非一成不变,譬如像恐怖袭击以及洪水、地震等自然灾害,现在已经部分甚至完全由保险人承保。尽管网络风险具有独特的性质(尤其是系统性风险),但根据上述可保性判断标准,即便有些标准的适用存在差距(比如满足偿付能力标准可能有赖于政府支持),仍可得出网络安全风险基本符合可保性要求的结论。
三、专门网络安全保险保障机制的构建:现状与发展
(一)我国专门网络安全保险的现状与不足
我国网络安全保险市场仍处于起步阶段,与发达国家相比仍存在较大差距:虽然 2022 年保费比 2021 年翻了一番,达到 1.4 亿元人民币;但同期全球保费已达 130 亿美元。此外,与其他保险相比,我国网络安全保险保障额度偏低,承保范围有限,保单中的除外责任条款较多;并面临较多潜在的法律纠纷,阻碍行业未来发展。原因不仅仅在于 “缺乏风险精算模型”“风险历史数据不足” 等承保技术因素,亦在于网络安全保险的制度化不足,法律机制不完善。
从保险法律规范来看,我国保险法缺少对包括网络安全保险在内的新兴险种的专门规范,譬如,对沉默网络风险如何处置、对系统性风险如何协调等缺乏明确的法律依据。而且,类似《农业保险条例》的网络安全保险相关条例尚未出台。从网络安全法律规范来看,网络安全保险的承保范围设置、损害结果认定等问题与之密切相关,但网络安全保险尚未通过制度化方式成为网络安全法律体系的一部分。2017 年以来,我国相继颁布了网络安全法、数据安全法、个人信息保护法等法律,初步构建了网络安全法律体系。这些法律规范虽明确了网络安全主体责任、数据安全保护义务等,为网络安全保险的发展奠定了法律基础,但是尚未如环境污染责任险规定专门网络安全保险条款或建立网络安全保险制度。
(二)专门网络安全保险保障的运作与政策支持
作为人类发明的一种古老而又成熟的风险管理方式,保险是最重要的风险保障机制之一。消费者购买的网络安全保险不是保单本身,而是保单约定的风险保障。其原因在于保险产品不同于一般商品,它是一种 “无形产品”,本质上是 “对金钱的或有求偿权”(contingent claims on money),即当发生保险事故时,消费者将以支付的保费获取相应的金钱回报,而且保险赔付的数额一般远高于保费。根据经济学中的预期效用理论(expected utility theory),在一个信息完全、交易成本为零的市场中,每个对风险厌恶的人都希望通过支付保费将风险转移给保险公司,从而获得更好的保障,而对承保的不确定性风险予以损害赔偿正是保险的基本功能。
保险不仅是一种以双边交易为基础、以填补并保障个体因网络风险所遭受损害为目标的私法合同,具有经济补偿上的 “补血” 功能;又是参与社会治理的(准)公法风险规制机制,具有网络安全管理上的 “活血” 功能,在进行风险减量管理与预防损失服务的基础上反哺保障机制的运行。
网络安全保险保障机制的有效运作有赖于以下三方面的支撑:一是通过核保进行风险评估,二是通过服务和理赔管理进行风险控制,三是风险共担。保险人对大量同质性风险进行评估,投保人通过缴纳保费(一个小的固定成本)合并为群体(pooling),保险人在投保人之间分散风险,并向再保险人或资本市场进行风险再融资。保险人根据大数法则(law of large numbers)得以应对未来不确定但群体统计可预测的财务损失,从而能够在发生网络安全损害时对被保险人进行补偿。
与政府救助相比,在竞争市场的条件下,保险机制能更有效地解决风险保障的两个难题 —— 信息不对称和激励机制缺失,从而具有高效率、低交易成本的优势。在国家政策层面,保险机制亦得到肯认。2023 年,工业和信息化部与国家金融监督管理总局联合印发了《关于促进网络安全保险规范健康发展的意见》(工信部联网安﹝2023﹞95 号)。该意见作为我国网络安全保险领域的首份政策文件,明确提出探索构建以网络安全保险为核心的全流程网络安全风险保障机制。因此,以网络安全保险为代表的市场化、主动风险管理方案成为网络事故损失补偿与风险治理的关键。
(三)网络安全保险的保障范围与层级区分
1. 保险标的范围的扩充
“能否在保险人可承受范围内向被保险人提供更充分的保障,这首先涉及保险标的范围的确定”。《保险法》第 12 条对财产保险进行了界定,即 “以财产及其有关利益为保险标的的保险”。所谓保险标的,一般是指 “保险合同所承保的客体,可能为财产、货物、人、赔偿责任或活动等。这些标的的损失会带来被保险人财务上的损失,通过购买保险将损失转嫁给保险公司,由保险公司负赔偿责任”。从抽象利益角度来看,网络安全保险承保的是被保险人因 “网络安全受损” 而遭受的经济损失。
网络安全保险既包括第一方损失险(即网络安全财产类保险),即被保险人因网络安全事件造成的经济损失,包括 “直接物理损失、营业中断损失、数据资产重置费用、硬件改善成本、应急处置费用,以及因网络安全事件导致的公关费用、法律费用等”;也包含第三方责任险(即网络安全责任类保险),即网络安全事件发生后被保险人对第三方应承担的侵权损害赔偿责任的保险,包括 “数据泄露责任、网络安全事件责任、媒体侵权责任、外包商相关责任、产品责任或技术服务职业责任等”。譬如,对提起诉讼的网络安全事件如数据泄露的受害人,网络安全责任险可补偿胜诉受害人所遭受的损失。相比传统财产保险,网络安全保险的保险标的不仅包括有形财产,也包括数据等无形财产;对保险标的造成损害的来源不仅来自实体物质环境,更多的是来自网络空间;而对损失的赔付不仅包括外来网络攻击造成的第一方网络安全受损,也包括因被保险人过错而造成的第三方损失。这既为网络安全保险保障范围的扩张奠定基础,也给保险人承保网络安全保险带来更大挑战。
2. 数据泄露责任与网络安全责任保险的发展
从发展历史来看,早期网络保险主要是第三方责任险。早在 20 世纪 70 年代,网络安全保险从技术风险 / 技术错误与疏忽保险(technical risks/technical errors and omissions (E&O))领域发展而来,投保人主要是金融机构与蓝筹股公司。1997 年 AIG 正式承保互联网安全责任险(internet security liability),以专门网络安全保险(stand-alone cybersecurity insurance)的形式应对千年虫(Y2K problem)等问题,弥补传统财产保险和责任保险保障范围之不足。2003 年,美国加利福尼亚州率先颁布了《数据安全泄露通知法案》(Security Breach Information Act),规定公司有义务向受影响的个人报告数据泄露事件。目前美国所有的州都已制定了数据泄露通知法案,要求企业或政府在消费者或公民的个人信息被泄露时通知他们。受数据泄露通知法的影响,针对个人数据泄露事故的网络安全责任保险发展较快。一方面,通知义务使得企业担心数据泄露事件给他们带来损失,从而引发了企业对网络责任产品(尤其是网络责任保险)的需求;另一方面,保险公司得以掌握更多的信息,有助于增加产品供给。
与此类似,2016 年欧盟通过《通用数据保护条例》(General Data Protection Regulation, GDPR),将隐私、个人信息与网络数据统归于数据安全保护的框架之下,严格的法律责任以及高额的罚款增加了欧盟企业对网络安全责任保险的需求。
我国最早的网络安全保险产品亦是承保网络信息保护责任,即 2013 年苏黎世财产保险(中国)有限公司推出的网络安全与隐私保护综合保险。自 2017 年以来,我国逐步建立了数据泄露通知制度,为增加网络安全责任保险的需求提供了法律基础。但相关规定散见于我国网络安全法(第 42 条)、民法典(第 1038 条)、数据安全法(第 29 条)、个人信息保护法(第 57 条),仍有待进一步完善制度构造。
3. 网络攻击与网络安全第一方保险的崛起
随着数字经济的发展与网络技术的迭代,企业面临一系列新的网络风险,从勒索软件攻击到商业电子邮件欺诈(business email compromise, BEC),乃至网络战,不一而足。企业也逐渐意识到传统商业综合责任险的局限性,并要求对数据泄露以外的风险提供更多的保障。自 2015 年以来,保险人提供越来越多的专门网络安全保险产品,从网络勒索保险、因第三方供应商停机导致的营业中断保险,甚至包括租用临时设备和服务以抵御拒绝服务攻击的保险。
对外部攻击造成网络损失的投保人而言,第一方财产保险可能比第三方责任保险更具吸引力。从险种的性质上来看,“对于第一方财产保险,除非造成损害的危险来自外部,否则不承担保险责任;相反,对于第三方责任保险,除非造成被保险人应承担责任的损害来自内部,否则不承担保险责任”。例如,在 Zurich v. Sony 案中,索尼公司因数据泄露事故造成第三人损失,而要求其商业综合责任险保险人 Zurich 承担诉讼抗辩义务(duty to defend)。法院认为,数据泄露是外部黑客袭击而非索尼公司疏忽大意造成的,因而保险人对第三人提起的损害赔偿不负有抗辩义务。随着网络系统与各种形式的实体财产相连接,网络攻击造成的损失越来越大。尤其是,第一方保险保障范围还包括已连续多年成为中国乃至全球面临最大风险之一的营业中断损失(business interruption)风险。承保因网络安全事故而致被保险人因停产、停业或经营受影响而面临的预期利润损失及必要的费用支出,极大地满足了投保人的保障需求。
四、网络安全保险的除外责任:网络战及其因应
网络安全保险保障机制面临的最大挑战之一乃是何种网络攻击构成战争行为(war/“warlike action”),从而对是否将其排除于保险保障范围作出判断。这不仅对网络安全保险市场,甚至对国家网络安全政策(比如是否将网络安全保险纳入网络威慑战略)都有重要影响。虽然战争并非经常发生,但国家发动或影响的网络攻击已不罕见,事实上,网络战已成为数字世界的最大威胁,而我国则是高级持续性威胁攻击的主要受害国。
(一)战争除外责任的构成要件
网络安全保险战争除外责任的确立需回答两个问题:第一,实施网络攻击的主体是否是国家或其代理人,即网络攻击可否归因于(attributed to)国家或代理人;第二,网络攻击是否属于战争行为。
第一,归因是互联网时代最大的挑战之一,也是适用网络安全保险战争行为除外责任条款的关键。“确定行为可归因于国家,实际上是确定责任主体的恰当性。” 从国际法的规则来看,对网络攻击的归因存在不确定性。一般规则是,“一国的机关或经国内法授权行使政府权力要素的个人或实体所从事的网络行动,可归因于该国”,而个人或私人团体的网络活动不应归因于国家。但是,当有关行动是按照政府指示或在其指挥、控制下采取的,且承认并将该行为当作其本身的行为,那么非国家行为体采取的网络行动仍可归因于该国。在实践中,适用归因规则(rule of attribution)的核心挑战在于证据。一方面,黑客有无数隐藏身份的工具和方法;另一方面,涉及网络攻击的机密信息举证难,保险人难以获得政府情报机关所掌握的机密信息。此外,归因还面临着地缘政治的挑战,因为国家既有公开网络攻击归因信息时相互竞争的动机,也有在面临不确定性时通过公布归因信息夸大技术实力的动机。
第二,网络攻击是否构成战争行为,涉及对战争行为的定义及解释。武装冲突法与国际人道法对战争行为的定义显有区分:武装冲突法聚焦于 “一国何时可合法地对他国使用武力(use of force)”,即 “宣布和发动战争的权利 / 诉诸武力法”(jus ad bellum);而国际人道法则主要涉及战争期间 “规范战斗人员行为” 的规则,即 “战时正义 / 战时法规”(jus in bello)。在国际法上,“使用武力”(use of force)与武装攻击(armed attack)的门槛并不相同。国际法院在 “尼加拉瓜案” 中将某些 “最严重” 行为认定为武装攻击,而将其他 “不太严重” 行为认定为使用武力。然而,并非每个国家都认同这一观点,比如美国法规定使用武力与武装攻击之间没有重要界限。如何界定网络攻击,是否所有网络袭击都属于敌对或战争行为,尚缺乏公认的定义。
不过,不管网络行为是属于使用武力,还是属于武装攻击,“规模与效果”(scale and effects)均是得以采用的有效判断标准。因此,虽然对网络行动是否构成战争行为的定义不同,相当的 “规模和效果” 可作为网络攻击能否触发网络安全保险中的战争行为除外责任条款的衡量标准,即如果网络行动的规模和效果相当于使用武力或武装攻击的非网络行动,则构成敌对或战争行为。这一高标准意味着绝大多数网络行动不会达到使用武力的程度,遑论突破武装攻击的门槛。
(二)战争除外责任的司法判决及趋向
在司法实践中,即便在美国法相对较低的门槛下,也存在对同一 “战争除外责任条款” 不同的解释。Pan American World Airways v. Aetna 案是美国法院解释战争行为除外责任条款的开创性判例。在该案中,泛美航空公司的飞机遭到一伙效力于某组织激进分子的劫持并被摧毁。法院认为,劫机行为旨在报复示威而非针对美国或以色列的战争行为,战争行为并不包括远离战争现场对非交战方平民财产的损害;而且,劫机者是 “激进政治集团的代理人”,并不代表政府。因此,劫机行为不属于保单 “战争除外责任条款” 的范围,所以保险人应当赔偿。在该案中,法院对战争行为的定义进行了狭义解释。随后在 Holiday Inns. v. Aetna 案中,法院认定酒店损失是由内乱暴力活动造成的,虽然记者与政府官员总是将在黎巴嫩发生的事件称之为 “内战” 或 “战争”,但这并非保单定义的 “战争”。可以看出,本案延续了 Pan American 案件对 “战争行为” 的狭义解释,明确拒绝媒体甚至政府官员对战争行为的宽泛界定。因此,在涉及传统战争的案件中,法院普遍对 “战争除外责任条款” 采取严格或狭义的解释。
在 2017 年 NotPetya 网络攻击引发的 Mondelez v. Zurich 案与 Merck v. Ace American 案中,被保险人依据保单条款要求保险人赔付 “被保险人在营业中断期间因被保险人的电子数据处理设备或媒体无法运行而产生的直接费用”。但保险人以 NotPetya 网络攻击是 “敌对或战争行为”(hostile or warlike action)而拒绝赔付,即保险人 “不赔付由政府 / 主权国家(法律上或事实上)或陆海空等军队或其代理人在和平或战争时期的敌对或战争行为,包括阻碍、打击或抵御任何实际的或即将发生的或预期发生的攻击行动,而造成或产生的任何损失或损害”。与 Holiday Inns. 案一致,虽然媒体或政府官员声称 NotPetya 是俄罗斯政府发动的网络战,但法院并未将 NotPetya 网络攻击视为保单定义的战争行为。
不管是涉及传统暴力或恐怖行为的 Pan American 案与 Holiday Inns 案,还是涉及网络攻击的 Mondelez 案与 Merck 案,法院的裁决均支持被保险人而非保险人。虽然在 Mondelez 案与 Merck 案中,保险人向投保人签发的保单是财产一切险保单,但专门网络安全保险同样面临 “战争除外责任条款” 引发的网络战争问题。由于网络破坏或攻击的界限比实体更为模糊,将 NotPetya 网络攻击归类为战争行为并不容易得到法院的支持。因此,如果保单条款中没有明确排除某种风险的话,可以合理预测法院将倾向于对 “网络战” 进行严格、狭义的解释。
(三)战争除外责任争议的分析与应对
对于保险人而言,更新、改写保单战争除外责任条款,使含义更清晰而无歧义,是发生重大法律争议发生后的典型做法。例如,对于网络战而言,战争开始的时间并不容易认定。保单条款曾需解释战争行为是否一定发生在战争期间。对于传统战争,1907 年海牙第三公约《关于战争开始的公约》规定开战前需经宣战。因此,交战一方或双方宣战,战争状态才开始存在。在 Rosenau v. Idaho Mutual 案中,保险人拒绝赔付因日军袭击珍珠港而死亡的士兵的寿险赔偿金。但法院认为在日军偷袭时美国政府并未正式对日宣战,根据保单的战争除外责任条款的规定,“在战争时期从事军事或海军服务而遭受的死亡、伤残或其他损失属于免责范围”,因此保险人不能免除赔付义务。到了 Mondelez v. Zurich 案,保险人已吸取了 Rosenau 案的教训,在财产一切险保单战争行为除外责任条款中,将 “在和平或战争时期的敌对或战争行为” 均予以排除,并未将敌对或战争行为局限在战争期间。
然而,改写网络安全保险的战争除外责任条款(例如将网络攻击明确为免责内容),对保险人来说并非易事。保单条款措辞的变化(尤其是限制或排除承保范围)反映了围绕市场、技术甚至军事战略预期的变化。一方面,保险人需要在保单条款中明确网络攻击与战争行为的关系,因为现有免责条款并未考虑或为适用网络攻击而制定;另一方面,网络攻击涉及的危险范围很广,保险人在试图排除网络战威胁的同时,还要维护投保人的信心,保证大多数网络威胁仍在保障范围之内。
比较可行的方式是在网络安全保险保单明确区分 “网络战争除外责任条款” 与 “网络恐怖主义事件保障条款”,即在保险单中将 “网络战争责任” 排除的同时,明确承保 “网络恐怖主义事件”。将网络恐怖主义事件纳入网络安全保险保障范围,是通过 “举重以明轻” 的方式 —— 意味着凡是危害程度小于网络恐怖主义事件的行为都将在保障范围之内,“弱化” 甚至消除投保人对网络战争除外责任范围不明的疑虑。
此外,由前述网络战争除外责任的构成要件可知,战争行为与恐怖主义行为最明确的区别在于行动主体(政府 vs. 非政府)而非行为本身。换言之,亦可在保单中将 “战争行为” 进行限缩规定,只保留政府主体(归因要件)而不强调行为要件。
在实践中,通过对市场上 56 份网络安全保险保单条款的分析,结果已呈现出弱化网络战争除外责任,强化网络恐怖主义事件责任的趋势。虽然我国尚未建立政府支持的恐怖主义保险机制,但美国在 2016 年已明确《恐怖主义风险保险法案》(Terrorism Risk Insurance Act)适用于网络安全风险,这意味着保险人承担的网络恐怖主义风险将由政府与市场公私合作的方式分担,从而为未来类似 NotPetya 网络攻击造成的巨大损失提供有效保障。
五、结语
网络安全风险是 21 世纪最大的风险之一。除了网络攻击、网络战争,商业经营领域的网络安全风险也与日俱增。由于网络安全风险的 “不可消除性”,因而网络安全保险成为转移风险、补偿损失的最优选择。然而,与既往险种相比,网络安全保险面临更多挑战:第一,不同于提供单一风险保障的保险(例如火险、车险、洪水保险等),网络安全保险为不同类型的风险提供保障,如数据泄露、网络犯罪、勒索软件等;第二,不同于专门的财产一切险或商业综合责任险,网络安全保险为不同类型的损失提供保障,从第一方营业中断损失、网络勒索赔付,到第三方责任损失(例如因技术错误与疏忽造成的损失)赔付;第三,网络安全保险为不同等级的损失提供保障,既包括日常网络风险的常规损失,又包括系统性风险的巨灾损失。
构建完善的保障机制,首先需要完善保单条款。目前,网络安全保险对重要条款缺乏共同统一的定义,如 “网络战争行为”,遑论标准保单。这导致保单的保障内容缺乏确定性。因此,本文建议在公私合作机制(public-private partnerships)的框架下,政府与保险业合作推进制定网络安全保险标准保单。第一,标准保单有利于对出具保单的保险人进行监督,防止其滥用保单进行欺诈。第二,借鉴国内外多次经过法院判决与解释的保单条款,未来将减少不必要的争议。第三,标准保单具有社会效益:公众很快就会对该保险合同的保障范围和责任限制有一个明确的认识。对于复杂的网络安全风险,被保险人很可能不会花费时间和精力去研究不同保险人提供的不同类型保单,标准保单有助于投保人理解和把握保险人的保障范围和责任限制,并对不同保单进行有效比较。
构建完善的保险保障机制,还需解决保险机制在补偿网络安全风险损失方面所面临的偿付能力挑战:基于网络安全风险可保性疑虑和系统性巨灾损失(尤其在网络战的阴影下)等原因,保险人可能供给不足。因此,本文建议在公私合作机制的框架下,建立政府与保险业多层级网络风险分散机制,从而提供可负担(affordable)的网络安全保险。在实践中,新加坡已于 2018 年推出了首个由政府支持的网络安全风险承保共同体,以应对巨灾网络攻击风险。建立一个可行且可持续的网络安全风险公私合作机制,应当坚持两个原则。第一,尊重保险人的市场化经营,包括但不限于风险定价规则、损失分担规则(如免赔额,共付比例和承保限额等)、除外责任规则等激励机制。第二,政府作为最后手段(last resort),以最后贷款人或提供再保险的形式介入。一方面,政府以再保险的形式介入能够避免对商业保险运营的不当干预,从而确保保险人能够在网络风险管理与保障方面发挥主导作用;另一方面,政府以强大的信贷能力,能够穿越商业保险的承保周期,避免保险人丧失偿付能力,为保险人提供网络保险产品减少后顾之忧,从而促进供给。
何启豪,中国政法大学比较法学研究院,202403