文 | 万波

近年来，随着数字化转型加速，网络攻击事件频发，企业面临的数据泄露、勒索软件、供应链攻击等风险日益严峻。据央行南京分行科技处课题组《网络安全保险发展的实践与建议》据Research And Markets发布的《2022年全球网络安全保险市场报告》，2021年网络安全保险市场规模为92.9亿美元，2022年约为119亿美元，预计到2027年将达到292亿美元，年复合年增长率19.47%，体现出巨大的市场需求和发展空间。

我国网络安全保险产业起步较晚，存在企业投保需求受众还需进一步激活、保险公司风险把控能力还需提升、网络安防技术尚待与保险评估定损流程相匹配等问题。不过《2022网络安全保险科技白皮书》认为，我国网络安全保险产业已迎来发展机遇期。根据中国工业信息安全发展研究中心基于头部财产保险公司网络安全保险保费数据以及行业集中率测算，2021年我国网络安全险保费规模达到7080万元，最高保额超4亿元，较上一年增长3.2倍以上。

另据《保观》披露的信息，国内2022年和2023年的保费规模分别达到1.4元、3亿元，相较于其他财险，网络安全保险则成为了国内财险市场中增长最快的板块之一。

1、国际发展：从“黑客保险”到综合风险管理

2、中国发展：从探索到政策驱动

据国家金管局“财产险公司备案产品目录”查询显示，截至2023年3月，我国共有29家保险机构备案了约203款网络安全保险产品。其中，苏黎世财险(中国)、中国太平洋财险、中华联合财险分别以38款、21款、19款备案产品位列前三。在互联网保险公司中，众安在线备案产品4款，泰康在线备案产品1款。到了2025年6月，这是数据逐步上升，已经有320款网络安全保险产品在国家金管局“财产险公司备案产品目录”可查询了。

除了保险公司，网络安全企业也是网络安全保险生态“必备”的一员。以奇安信为例，它是国内最早布局和开拓网络安全保险服务的网络安全企业，早在2017年就开始战略布局这一新兴领域。2018年，奇安信和中国人保、苏黎世财险签订协议，为后者提供保前评估、保前加固、保中监测、协助定损、电子调查取证及溯源等多项服务。2019年之后，奇安信加大在网络安全险的投入与推广，并单独成立保险行业团队，陆续与平安产险、太平洋产险、中国人寿财险、中意财险等联合开发保险产品。

2024年4月，工业和信息化部公示了《网络安全保险典型服务方案目录》，在业内引起了广泛的关注，同时也一定程度上反映出了网络安全保险当下的发展趋势，本次共有49个方案入选，企业类方案36个、产品服务类方案13个。其中涉及到了13家保险公司、33家科技公司、2家研究院、以及1所大学。同时方案内容覆盖了金融、医疗、能源、互联网、电信、物联网等多个重点行业和新兴领域。

1、明确网络安全保险的定义和标的

《指南》明确：网络安全保险是因发生网络安全事件所造成的经济损失以及需承担的法定赔偿责任的一种财产保险。

《指南》特别指出，该保险属于广义的财产保险范畴，数字资产等无形资产可作为该险种的保险标的。

2、明确网络安全保险的保障范围

《指南》明确，该保险的保障范围包括第一方损失（如数据恢复、营业中断导致的损失），也包括第三方责任（如用户索赔、监管罚款导致的损失）。

3、明确网络安全保险应用的主要角色

《指南》明确了网络安全保险应用的4类主要角色（如下图），其中律师作为提供法律服务方，《指南》也做了专门涉及：

4、规范风险评估与动态管理

《指南》要求投保前，企业需进行安全评估，保险公司可要求整改后再承保。保险期间，企业需持续履行安全义务，保险公司可提供监测服务。

5、优化理赔流程

《指南》明确出险后应急响应、事件评估、理赔的流程。要求保险人在理赔中宜提供相关服务，如应急响应支持、法律支持或公共关系管理等，协助被保险人开展应急响应工作，降低事件影响。保险人宜自行或委托服务方开展保险理赔中的相关工作由独立第三方机构进行，确保公正性。

6、详细列举了常见的除外责任

《指南》指出，网络安全保险并不能覆盖所有风险情况，常见除外责任包括但不限于以下内容：

从国内外经验来看，网络安全保险作为一种新兴的险种，近年来在快速发展的同时，也频繁引发司法纠纷。究其原因，主要涉及法律条款模糊、风险评估困难、责任认定复杂、道德风险突出等多个方面。

1、保险合同条款模糊，免责条款界定不清

如上所述，网络安全保险常包含“网络战争”、“恐怖主义”、“重大不当行为”等免责条款，但这些概念在数字空间缺乏明确法律定义。

例如：2017年6月，NotPetya网络攻击迅速席卷全球，在欧洲、亚洲和美洲造成数十亿美元损失。数月后白宫发表声明称，这是"史上破坏性最强、损失最惨重的网络攻击"。美国政府明确指控俄罗斯发动此次攻击，称其是"克里姆林宫持续破坏乌克兰稳定行动的一部分"。虽然乌克兰被认为是主要攻击目标，但包括默克公司（Merck & Co., Inc.）在内的多家美国企业仍遭受重大损失，共有4万多台设备感染，包括3万台电脑和7500台服务器，生产中断导致HPV疫苗Gardasil 9供应短缺，被迫向美国国家储备借药180万剂。

默克公司依据多份"全风险"财产保险单提出超过14亿美元的索赔申请，损失包括数据恢复、业务中断及第三方服务费用。但保险公司安达公司（ACE American Ins.）等以战争除外条款为由拒绝赔付，该条款规定"任何政府或主权国家采取的敌对或战争行为（hostile or warlike action by any government or sovereign power）造成的损失不予赔偿。

2023年5月1日，新泽西州高等法院上诉庭（the Superior Court of New Jersey Appellate Division）驳回了保险公司关于战争除外条款适用于NotPetya网络攻击的主张。法院认为保险除外条款应作狭义解释，判定"敌对或战争行为"必须包含政府或主权国家采取的"军事行动"，而不仅仅是"恶意或伤害意图"（hostile or warlike action  needed to involve more than ill will or a desire to harm by a government or sovereign power and, at a minimum, needed to involve military action.）。判决书指出，类似措辞的除外条款在司法实践中通常被理解为"必须明确关联战争行为或至少具有军事行动性质"。上诉法院强调："本案除外条款的上下文、历史沿革及类似条款的司法解释均表明，该条款不适用于排除默克公司的损失赔偿"（the context and history of this and similarly worded exclusions and the manner in which similar exclusions have been interpreted by courts all compel the conclusion that the exclusion was inapplicable to bar coverage for Merck’s losses.）^[1]

同样，在国内某法院审理的杨某与保险公司电信诈骗保险案中，保险公司以《电信诈骗个人账户资金损失保险条款》第五条和释义条款将“电信诈骗”情形限定为“对外转账、汇款、支付导致其个人账户内资金损失”情形，本案属于“受害人被骗取密码”导致的损失不属上述“电信诈骗损失保险理赔”范围而拒赔。一审、二审法院最终以保险公司未采用加粗加黑字体或者其他明显标志等足以引起投保人注意的方式对免责事项进行提示，故上述条款对王某不发生效力，对“电信诈骗情形”应按通常理解予以解释为由，判决由某保险公司向王某赔付保险金10万元。

2、责任认定复杂，多方因素交织

网络与数据攻击往往涉及跨国黑客组织、供应链攻击等，难以确定责任主体，保险公司可能以“第三方责任”拒赔。

此外，若企业未及时修复已知漏洞或未采取基本防护措施，保险公司可能拒赔，但“基本防护”标准模糊，易生纠纷。

如企业因管理失职导致重大网络安全事件，高管可能面临个人责任，进一步加剧法律争议。

3、道德风险与欺诈问题突出

网络与数据安全防护差的企业更倾向投保，但保险公司难以及时识别，承保后赔付率上升，存在逆向选择的风险。

此外，个别企业可能伪造网络攻击事件骗保，如故意不修复漏洞或自导自演数据泄露，而保险公司调查成本高，道德风险较难防范。

虽然，网络安全保险的纠纷高发，本质上是由于该险种仍处于发展初期，法律、技术与市场机制尚未成熟。

作为我国网络安全保险领域的第一份国家标准，《指南》的出台标志着我国网络安全保险进入规范化的发展阶段。为保险公司、企业、第三方服务机构提供相对统一的操作框架，有助于通过风险评估、动态监测等机制，提升行业成熟度，也为未来保险纠纷提供裁判依据，减少法律不确定性。