王天凡

(北京航空航天大學(xué) 法學(xué)院，北京 100191)

一、“互聯(lián)網(wǎng)+”時(shí)代的信息安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)的發(fā)展對(duì)傳統(tǒng)產(chǎn)業(yè)構(gòu)成了巨大沖擊，從根本上改變了資源配置關(guān)系，使得市場(chǎng)、信息、成本、供需以至市場(chǎng)主體組織結(jié)構(gòu)與經(jīng)營(yíng)模式等都有了革命性的變革。自從互聯(lián)網(wǎng)進(jìn)入人類(lèi)生活以來(lái)，網(wǎng)絡(luò)信息安全攻防戰(zhàn)就相伴而生，網(wǎng)絡(luò)實(shí)名制更導(dǎo)致個(gè)人信息的風(fēng)險(xiǎn)激增[1-2]。盡管伴隨著技術(shù)的發(fā)展，“盾”的防御性能逐漸增強(qiáng)，“矛”的攻擊力也非常了得，但民眾反而看到越來(lái)越多信息泄露案件的發(fā)生，且泄露的規(guī)模、造成的后果也一次次刷新了人們的想象。在傳統(tǒng)行業(yè)經(jīng)歷“互聯(lián)網(wǎng)+”這一革命性變革的背景下，網(wǎng)絡(luò)信息安全問(wèn)題顯示出前所未有的重要性，國(guó)家安全、市場(chǎng)競(jìng)爭(zhēng)秩序及企業(yè)信息安全以至個(gè)人信息安全均在其列。

2012年，世界經(jīng)濟(jì)論壇全球風(fēng)險(xiǎn)報(bào)告將網(wǎng)絡(luò)風(fēng)險(xiǎn)列為企業(yè)所面對(duì)的全球五大風(fēng)險(xiǎn)之首。大規(guī)模的侵害如2005年美國(guó)的萬(wàn)事達(dá)卡事件*存儲(chǔ)電腦遭黑客入侵，4千萬(wàn)信用卡客戶信息泄露，被盜賬號(hào)信息甚至在互聯(lián)網(wǎng)上公開(kāi)出售。；2011年被稱(chēng)為中國(guó)互聯(lián)網(wǎng)史上最大規(guī)模信息泄露事件的CSDN數(shù)據(jù)庫(kù)被黑致使用戶資料泄露；2013年，如家、漢庭等酒店客戶信息泄露事件；2014年支付寶找回密碼功能系統(tǒng)漏洞事件；攜程網(wǎng)用戶支付信息泄露事件；微軟停止Windows XP技術(shù)支持及全球互聯(lián)網(wǎng)通行的安全協(xié)議OpenSSL嚴(yán)重漏洞事件；2016年，雅虎15億用戶信息泄露事件更是刷新了人類(lèi)大規(guī)模數(shù)據(jù)泄露的新記錄；2017年，12306官方網(wǎng)站安全漏洞事件；等等。另外，根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心的數(shù)據(jù)，2016年檢測(cè)到82 072個(gè)網(wǎng)站存在被植入后門(mén)的情況，其中2 361個(gè)為政府網(wǎng)站。僅2017年7月，我國(guó)境內(nèi)就有6 468個(gè)網(wǎng)站被篡改，而且總體看來(lái)，政府網(wǎng)站被篡改的數(shù)量成倍增長(zhǎng)[3]。

二、引入網(wǎng)絡(luò)信息安全責(zé)任保險(xiǎn)的客觀需求

(一)網(wǎng)絡(luò)信息安全損害賠償責(zé)任的規(guī)?；?/h3>

當(dāng)網(wǎng)絡(luò)信息安全事故發(fā)展到“網(wǎng)絡(luò)颶風(fēng)”(cyber-hurricane)等級(jí)時(shí)，其波及面廣、傳播速度快，會(huì)造成巨大的經(jīng)濟(jì)損失。與此同時(shí)，伴隨著人們權(quán)利意識(shí)的增強(qiáng)，如果消費(fèi)者自身利益因信息泄露受到較大損害，那么他們提起訴訟的幾率也會(huì)增加，且體現(xiàn)出一定的規(guī)模性和重復(fù)性特征。

比較典型的案件如2013年某兩家知名快捷酒店開(kāi)房信息泄露案件發(fā)生之后，受害者在上海起訴了其中一家酒店管理有限公司和該酒店所采用登記系統(tǒng)的網(wǎng)絡(luò)公司，請(qǐng)求法院判令二公司立即采取補(bǔ)救措施，確保其信息安全，立即停止侵害并消除影響(包括但不限于刪除網(wǎng)上涉及酒店入住信息的數(shù)據(jù)，防止隱私信息的進(jìn)一步公開(kāi)擴(kuò)散)；要求網(wǎng)絡(luò)公司刪除其個(gè)人電子信息，立即停止收集、保存或者使用其入住信息，承擔(dān)侵權(quán)責(zé)任、賠禮道歉，并賠償精神損失*其他同類(lèi)訴訟如：2014年4月甘肅考生報(bào)名后個(gè)人信息被泄露起訴省人社廳案(參見(jiàn)http://www.gs.chinanews.com/news/2014/04-14/231538.shtml)；2013年11月中國(guó)銀行上海分行泄露客戶信息，在南京遭起訴，銀行辯稱(chēng)其受到黑客攻擊(參見(jiàn)http://www.xici.net/d196389737.htm)。。法院經(jīng)審理認(rèn)為：“雖然所顯示的原告姓名、性別、身份證號(hào)、生日的信息內(nèi)容一致，但上述信息作為原告的基本信息，其使用頻率和范圍較廣，并不為被告(酒店)所單獨(dú)掌握，其擴(kuò)散渠道也并不具有單一性和唯一性，故亦難以僅憑上述部分信息的一致而判斷互聯(lián)網(wǎng)上流傳的原告信息即為被告系統(tǒng)中留存的原告信息”，即通過(guò)否認(rèn)證明損害的證據(jù)的相關(guān)性而回避了問(wèn)題。另一方面，“原告現(xiàn)也并無(wú)其他證據(jù)證明被告泄露了其入住酒店的信息，因此對(duì)于原告主張被告泄露其入住酒店信息的事實(shí)，本院不予采信”，將信息泄露的舉證責(zé)任分配在原告一方，因此該案原告最終敗訴*王某某訴漢庭星空(上海)酒店管理有限公司隱私權(quán)糾紛案，(2014)浦民一(民)初字第501號(hào)。該案之判決殊有可議，本文因論題所限不再展開(kāi)。。再如2014年2月，鄭××在某網(wǎng)站購(gòu)買(mǎi)某航空公司的機(jī)票后收到了一條航班取消的短信，鄭某撥打了短信中的咨詢電話，但對(duì)方向其索要賬號(hào)，后經(jīng)核實(shí)，該航班并未取消。因而鄭××向天津市東麗區(qū)法院起訴該航空公司和該網(wǎng)站。與前一案例相似，一審法院認(rèn)為：“原告訴稱(chēng)系二被告將其個(gè)人信息泄露，但并未能提供證據(jù)予以證明。且二被告并不是掌握原告?zhèn)€人信息的唯一介體，原告主張不具唯一性、排他性。原告收到陌生短信，案外人可能涉嫌詐騙犯罪，在公安機(jī)關(guān)立案?jìng)善埔郧?，本院不能確認(rèn)系二被告將原告的個(gè)人信息泄漏?！?參見(jiàn)鄭某訴天津航空有限責(zé)任公司等侵權(quán)糾紛案，天津市東麗區(qū)人民法院(2014)麗民初字第1720號(hào)民事判決。鑒于上述原因，法院并未支持原告的訴訟請(qǐng)求。且不論信息泄露的舉證責(zé)任是否應(yīng)當(dāng)由原告承擔(dān)，即使如此訴訟，原告由于舉證不能而敗訴，未來(lái)必將會(huì)出現(xiàn)第一個(gè)勝訴的案件，引發(fā)大規(guī)模訴訟只是早晚之事。國(guó)外此類(lèi)事件引發(fā)訴訟的情況屢見(jiàn)不鮮*如2006年的LG公司泄露求職者信息引發(fā)訴訟潮事件；2012年8月美國(guó)新罕布什爾州的杰夫·艾倫(Jeff Allan)向圣何塞的美國(guó)地方法院起訴雅虎，訴稱(chēng)松懈的安全措施使得黑客得以入侵雅虎的一個(gè)數(shù)據(jù)庫(kù)，竊取了45萬(wàn)個(gè)賬戶的密碼，希望構(gòu)成集體訴訟。。

根據(jù)中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)發(fā)布的《中國(guó)網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告(2015)》統(tǒng)計(jì)，僅2015年，網(wǎng)民因?yàn)閭€(gè)人信息泄露、垃圾信息、詐騙信息等現(xiàn)象，導(dǎo)致遭受的經(jīng)濟(jì)損失人均124元[4]，總體損失約805億元。到2016年，這一數(shù)據(jù)上漲為人均133元，總體經(jīng)濟(jì)損失約915億元[5]。對(duì)于數(shù)據(jù)信息系統(tǒng)開(kāi)發(fā)的企業(yè)或者利用信息存儲(chǔ)系統(tǒng)的企業(yè)而言，因?yàn)槠浣?jīng)營(yíng)活動(dòng)涉及數(shù)量龐大的用戶群體或消費(fèi)者，一旦信息安全責(zé)任案件發(fā)生，就可能引發(fā)大規(guī)模訴訟，承擔(dān)數(shù)額難以預(yù)估的賠償責(zé)任?？上驳氖?，我國(guó)對(duì)于個(gè)人信息和數(shù)據(jù)特別是網(wǎng)絡(luò)經(jīng)營(yíng)活動(dòng)中個(gè)人信息數(shù)據(jù)的保護(hù)越來(lái)越嚴(yán)，防范信息安全責(zé)任已經(jīng)成為系統(tǒng)開(kāi)發(fā)商及企業(yè)需要特別面對(duì)的問(wèn)題。

(二)與責(zé)任保險(xiǎn)制度對(duì)接的需要

在以往比較成熟的企業(yè)風(fēng)險(xiǎn)預(yù)防的智識(shí)寶庫(kù)之中，企業(yè)通過(guò)責(zé)任保險(xiǎn)的方式把從事正常經(jīng)營(yíng)活動(dòng)不得不面對(duì)的法律責(zé)任風(fēng)險(xiǎn)(主要是損害賠償)轉(zhuǎn)嫁給保險(xiǎn)企業(yè)，進(jìn)而通過(guò)保險(xiǎn)公司分散風(fēng)險(xiǎn)，是已被經(jīng)驗(yàn)所證明的極為有效的法律策略。西方國(guó)家為解決其社會(huì)普遍性問(wèn)題，逐漸形成了較為成熟的責(zé)任保險(xiǎn)機(jī)制及其法律規(guī)范體系。網(wǎng)絡(luò)信息安全民事責(zé)任亦可循此舊途。

我國(guó)《保險(xiǎn)法》第六十五條規(guī)定了責(zé)任保險(xiǎn)制度，其中第四款是指以被保險(xiǎn)人對(duì)第三者依法應(yīng)負(fù)的賠償責(zé)任為保險(xiǎn)標(biāo)的的保險(xiǎn)，即在被保險(xiǎn)人被判定對(duì)第三人負(fù)侵權(quán)責(zé)任時(shí)，由保險(xiǎn)公司給予補(bǔ)償[6]。責(zé)任保險(xiǎn)制度最初的出現(xiàn)正是由于在許多情況下，行為人即使盡到了足夠的注意義務(wù)，責(zé)任風(fēng)險(xiǎn)會(huì)依然存在。另一方面，責(zé)任的最終判斷者是法院，這就意味著行為人無(wú)論如何都還會(huì)面臨舉證及司法裁判的不確定性。各種責(zé)任保險(xiǎn)都是為了使被保險(xiǎn)人難以避免的風(fēng)險(xiǎn)得以分擔(dān)而設(shè)立，如會(huì)計(jì)師職業(yè)責(zé)任保險(xiǎn)、機(jī)動(dòng)車(chē)強(qiáng)制責(zé)任保險(xiǎn)等。責(zé)任保險(xiǎn)正是針對(duì)行為人即使是再謹(jǐn)慎也難以徹底避免的法律責(zé)任的風(fēng)險(xiǎn)，通過(guò)保險(xiǎn)人將所造成的損失進(jìn)行轉(zhuǎn)移，由全社會(huì)或特定的社會(huì)群體來(lái)分散損失金額的責(zé)任機(jī)制[7]。如果沒(méi)有責(zé)任保險(xiǎn)，那么許多行為人在遭遇大規(guī)模索賠時(shí)就可能會(huì)面臨破產(chǎn)，而投資者、創(chuàng)業(yè)者也會(huì)由于擔(dān)憂出現(xiàn)這種情形和畏懼高風(fēng)險(xiǎn)而不敢再進(jìn)入這些領(lǐng)域。但互聯(lián)網(wǎng)時(shí)代早已是不可逆的現(xiàn)實(shí)，在沒(méi)有責(zé)任保險(xiǎn)的情況下，越來(lái)越多的從業(yè)者為了分散自己的風(fēng)險(xiǎn)，只能采取“過(guò)度防御”的策略[8]。如摩根大通宣稱(chēng)自己每年在網(wǎng)絡(luò)安全上的開(kāi)支高達(dá)25億美元，但結(jié)果還是被入侵者們攻破并竊取信息*2014年6月開(kāi)始，黑客們利用摩根大通官網(wǎng)上的一個(gè)漏洞，用一些復(fù)雜的工具深入到其網(wǎng)絡(luò)基礎(chǔ)設(shè)施中，悄悄竊取了包括客戶賬戶資料在內(nèi)的大量情報(bào)，摩根大通直到近兩個(gè)月后才察覺(jué)。。面對(duì)黑客，即使是巨資投入也難以再讓人保持信心，而且這些過(guò)度的投入最終還是會(huì)轉(zhuǎn)嫁到客戶和不特定公眾身上。

美國(guó)系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì)SANS(SysAdmin, Audit, Network, Security)認(rèn)為，網(wǎng)絡(luò)信息安全服務(wù)和信息安全保險(xiǎn)的密切結(jié)合將是解決網(wǎng)絡(luò)信息安全問(wèn)題的必然趨勢(shì)[9]。怡安奔福公司(Aon Benfield)的一份市場(chǎng)調(diào)查報(bào)告也指出，網(wǎng)絡(luò)保險(xiǎn)需求一直在顯著上升，尤其在一些引人注目的案例發(fā)生之后會(huì)立刻上漲。在保費(fèi)激增的同時(shí)，網(wǎng)絡(luò)保險(xiǎn)責(zé)任范圍和產(chǎn)品的年度增長(zhǎng)正以30%～50%的速率上升[10]。據(jù)此，可以將信息安全保險(xiǎn)定義為：基于投保人與保險(xiǎn)人之間的信息安全責(zé)任保險(xiǎn)合同，由保險(xiǎn)人在特定的信息侵權(quán)賠償責(zé)任發(fā)生時(shí)，向受害人賠付一定金額的責(zé)任保險(xiǎn)制度。

三、信息安全責(zé)任保險(xiǎn)的比較法參照

信息安全責(zé)任保險(xiǎn)在境外各國(guó)保險(xiǎn)市場(chǎng)均已有較長(zhǎng)時(shí)間的實(shí)踐發(fā)展，不同國(guó)家的不同保險(xiǎn)公司對(duì)其也有著各種不同的設(shè)計(jì)和稱(chēng)呼，如網(wǎng)絡(luò)空間保險(xiǎn)(cyberspace insurance)、信息安全保險(xiǎn)(information security insurance)、網(wǎng)絡(luò)安全保險(xiǎn)(network security insurance)、電子風(fēng)險(xiǎn)保險(xiǎn)(e-risk insurance)等。

(一)美國(guó)

蘇黎世北美保險(xiǎn)公司(Zurich North America)早在1999年就在美國(guó)推出了“E-Risk保險(xiǎn)”(E-Risk Edge或E-Business Insurance)，專(zhuān)門(mén)針對(duì)由于感染病毒、非法入侵、網(wǎng)上攻擊(DOS)等導(dǎo)致業(yè)務(wù)陷入癱瘓并給企業(yè)帶來(lái)巨大經(jīng)濟(jì)損失的情形。該保險(xiǎn)的承保范圍包括：未經(jīng)授權(quán)而侵入數(shù)據(jù)或軟件，計(jì)算機(jī)病毒導(dǎo)致數(shù)據(jù)丟失或系統(tǒng)損傷，對(duì)系統(tǒng)的攻擊導(dǎo)致履行不能或無(wú)法進(jìn)行線上業(yè)務(wù)的操作，侮辱、誹謗、詆毀、侵犯他人著作權(quán)和公開(kāi)私人信息，盜竊金錢(qián)、有價(jià)證券、數(shù)據(jù)、軟件或計(jì)算機(jī)資源，電子商務(wù)敲詐勒索等[11]。目前，美國(guó)本土有30多家保險(xiǎn)公司提供網(wǎng)絡(luò)保險(xiǎn)產(chǎn)品服務(wù)。美國(guó)國(guó)際集團(tuán)(American International Group，AIG)保險(xiǎn)公司于2003年推出網(wǎng)絡(luò)保險(xiǎn)業(yè)務(wù)(CyberEdge)。在此之前，美國(guó)境內(nèi)也有保險(xiǎn)公司在被保險(xiǎn)人受到黑客攻擊時(shí)依據(jù)“商業(yè)損失”或“故意毀壞財(cái)產(chǎn)”條款給予一定賠償，但在保險(xiǎn)條款中都沒(méi)有具體明確包括有黑客攻擊。而且通常情況下這樣的保險(xiǎn)費(fèi)用都是10萬(wàn)美元起步，有時(shí)可高達(dá)300萬(wàn)美元。專(zhuān)門(mén)的網(wǎng)絡(luò)保險(xiǎn)業(yè)務(wù)剛剛推出的時(shí)候并不被看好，但就在2003年年中包括Yahoo、Amazon和eBay等大型網(wǎng)站相繼被黑客侵襲之后，互聯(lián)網(wǎng)保險(xiǎn)業(yè)務(wù)馬上受到重視，AIG當(dāng)月的保險(xiǎn)業(yè)務(wù)就增加了四到五倍[12]。AIG提供的保險(xiǎn)范圍包括：由于網(wǎng)路安全或數(shù)據(jù)的侵入而造成的第三人損失，侵入導(dǎo)致直接受害人花費(fèi)的費(fèi)用，由于網(wǎng)路安全或數(shù)據(jù)的侵入而造成的收入喪失和營(yíng)業(yè)費(fèi)用，以公開(kāi)數(shù)據(jù)或攻擊系統(tǒng)相威脅進(jìn)行敲詐勒索，網(wǎng)絡(luò)誹謗和侵犯版權(quán)、商標(biāo)權(quán)等[13]。

美國(guó)的網(wǎng)絡(luò)信息安全保險(xiǎn)在其國(guó)內(nèi)以至全球市場(chǎng)都占有優(yōu)勢(shì)地位，這與其國(guó)內(nèi)法和政策的促進(jìn)密不可分。自2002年開(kāi)始，美國(guó)各州逐漸通過(guò)了《違反安全通知法案》(Security breach notification laws)，目前已有48個(gè)州通過(guò)。該法案專(zhuān)門(mén)針對(duì)越來(lái)越多的含有個(gè)人可識(shí)別信息(personally identifiable information)的消費(fèi)者數(shù)據(jù)庫(kù)的數(shù)據(jù)泄露，要求任何實(shí)體在發(fā)生數(shù)據(jù)泄露時(shí)應(yīng)及時(shí)通知其客戶和其他相關(guān)方，并且采取措施以彌補(bǔ)由于數(shù)據(jù)泄露而導(dǎo)致的損害。且各州均對(duì)違反該義務(wù)規(guī)定了不同數(shù)額的罰金[14]。2013年2月，美國(guó)時(shí)任總統(tǒng)奧巴馬在國(guó)會(huì)未能通過(guò)《網(wǎng)絡(luò)情報(bào)共享和保護(hù)法案》(Cyber Intelligence Sharing and Protection Act,CISPA)*該法案后于2012年4月在眾議院獲得通過(guò)，而另一類(lèi)似法案——網(wǎng)絡(luò)信息共享法案Cybersecurity Information Sharing Act (CISA)，則于2014年7月進(jìn)入?yún)⒆h院。之后，簽署了一項(xiàng)呼吁私營(yíng)公司為政府在一些國(guó)家“網(wǎng)絡(luò)威脅”情況下分享信息的命令，并于同年8月對(duì)外公布了該項(xiàng)命令中將要實(shí)行的一些激勵(lì)措施。其中，對(duì)美國(guó)多個(gè)機(jī)構(gòu)指定的首要措施則是建立一個(gè)具備一定競(jìng)爭(zhēng)力的“網(wǎng)絡(luò)保險(xiǎn)市場(chǎng)”，讓私營(yíng)公司愿意加入到“減少網(wǎng)絡(luò)威脅行動(dòng)”中*此次激勵(lì)措施將涉及到的內(nèi)容有聯(lián)邦補(bǔ)助金、加快從私營(yíng)公司獲取技術(shù)協(xié)助、限制責(zé)任范圍以及公眾對(duì)將參與其中公司的知情權(quán)等。(參見(jiàn)http://rt.com/trends/cispa-bill-internet-freedom/)。2015年4月，奧巴馬又簽署新的執(zhí)行命令，授權(quán)總統(tǒng)可以針對(duì)網(wǎng)絡(luò)攻擊發(fā)出緊急命令，對(duì)在美國(guó)境外的黑客，可凍結(jié)其銀行賬戶。同年12月，美國(guó)國(guó)會(huì)通過(guò)了《網(wǎng)絡(luò)安全信息共享法案》，目的在于黑客攻擊的情況下促成情報(bào)交換更為即時(shí)快速，以加強(qiáng)網(wǎng)絡(luò)防護(hù)。正是由于這些法案中的強(qiáng)制性規(guī)定，促使美國(guó)許多公司面臨越來(lái)越嚴(yán)格的信息安全保障義務(wù)和與此相應(yīng)的更大的責(zé)任風(fēng)險(xiǎn)，因而越來(lái)越多的公司購(gòu)買(mǎi)了信息安全保險(xiǎn)，以便在發(fā)生損害賠償責(zé)任時(shí)轉(zhuǎn)移風(fēng)險(xiǎn)，并強(qiáng)制性上報(bào)相關(guān)情況。此外，保險(xiǎn)公司在得到這些報(bào)告后，可以利用大數(shù)據(jù)進(jìn)行專(zhuān)業(yè)分析，從而了解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)級(jí)別，制定更加合理的保險(xiǎn)定價(jià)，使保費(fèi)的價(jià)格越來(lái)越合理[15]。

(二)歐盟

英國(guó)目前有大約15家保險(xiǎn)公司專(zhuān)門(mén)提供網(wǎng)絡(luò)信息安全的保險(xiǎn)險(xiǎn)種。1999年，英國(guó)倫敦勞埃德(Lloyd)保險(xiǎn)公司為康特派恩(Counterpane)計(jì)算機(jī)安保公司提供保額一億美元的“黑客保險(xiǎn)”(Hacker insurance)，專(zhuān)門(mén)針對(duì)由黑客攻擊而導(dǎo)致的公司及其客戶的損失[16]。康特派恩公司并因此宣布，其將成為第一家保證在黑客侵入其防衛(wèi)系統(tǒng)并竊取用戶的資料時(shí)，向用戶提供直接賠償?shù)幕ヂ?lián)網(wǎng)安保服務(wù)提供商。這一保險(xiǎn)不針對(duì)家庭用戶，而是諸如Yahoo等互聯(lián)網(wǎng)服務(wù)提供商。這一措施將與事先監(jiān)控共同構(gòu)成避免黑客威脅的手段。在保費(fèi)方面，一年2萬(wàn)美元可獲得100萬(wàn)美元的保險(xiǎn)金額，7.5萬(wàn)美元可獲得1 000萬(wàn)美元的保險(xiǎn)金額，至于附加險(xiǎn)高達(dá)1億美元的保險(xiǎn)金額所需的保險(xiǎn)費(fèi)價(jià)格，則需要與勞埃德保險(xiǎn)公司協(xié)商。盡管有分析人士指出，未來(lái)十年內(nèi)，伴隨著電子商務(wù)的增長(zhǎng)，黑客保險(xiǎn)市場(chǎng)每年的保費(fèi)預(yù)期將達(dá)到十億美元以上，但保險(xiǎn)公司望而卻步，主要原因是現(xiàn)有技術(shù)和方法難以估量這一保險(xiǎn)所面對(duì)的風(fēng)險(xiǎn)[17]。

德國(guó)網(wǎng)絡(luò)保險(xiǎn)市場(chǎng)近年來(lái)發(fā)展迅猛，2013年有三大保險(xiǎn)公司提供了新的網(wǎng)絡(luò)保險(xiǎn)條款，2014年又有新的“供應(yīng)商”加入網(wǎng)絡(luò)保險(xiǎn)產(chǎn)品行列[18]。在整個(gè)德國(guó)市場(chǎng)上，現(xiàn)在僅有12家保險(xiǎn)公司專(zhuān)門(mén)提供網(wǎng)絡(luò)信息安全保險(xiǎn)，相對(duì)于網(wǎng)絡(luò)信息和電子商務(wù)的發(fā)展而言，顯得明顯不足[19]。同時(shí)，德國(guó)網(wǎng)絡(luò)保險(xiǎn)市場(chǎng)至今依然表現(xiàn)出由英美大型工業(yè)保險(xiǎn)公司所占據(jù)的特點(diǎn)[20]。德國(guó)本土的保險(xiǎn)公司中，安聯(lián)保險(xiǎn)公司(Allianz Global Corporate & Speciality, AGCS)于2013年7月推出了名為“網(wǎng)絡(luò)保護(hù)”的保險(xiǎn)(Cyber Protect)；緊接著，瑞士蘇黎世保險(xiǎn)公司便迅速推出了“網(wǎng)絡(luò)與數(shù)據(jù)保護(hù)”保險(xiǎn)(Cyber & Data Protection)；HDI-格林工業(yè)保險(xiǎn)股份公司(HDI-Gerling Industrie Versicherung AG,HDI)也緊隨其后出臺(tái)了“網(wǎng)絡(luò)+”(Cyber+)保險(xiǎn)[21]。

歐盟出臺(tái)的信息安全立法《歐洲數(shù)據(jù)保護(hù)規(guī)定》(Europe’s General Data Protection Regulation，GDPR)規(guī)定了在個(gè)人數(shù)據(jù)泄露情形下向相關(guān)數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)的通知義務(wù)，要求“不得無(wú)故拖延，并且在可行的情況下，在知悉數(shù)據(jù)泄露之后72小時(shí)之內(nèi)作出”；當(dāng)個(gè)人數(shù)據(jù)泄露可能導(dǎo)致自然人的權(quán)利和自由面臨高度風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即通知數(shù)據(jù)當(dāng)事人；如果該主體認(rèn)為不存在這樣的風(fēng)險(xiǎn)，監(jiān)管機(jī)構(gòu)認(rèn)為存在，則有權(quán)要求該主體履行通知義務(wù)。GDPR同時(shí)規(guī)定了罰金規(guī)則：怠于履行通知義務(wù)的主體可能遭受最高1 000萬(wàn)歐元或該主體上一財(cái)年全球年度營(yíng)業(yè)收入的2%(兩者取數(shù)額較高的)的行政罰款*GDPR第33條、第34條及第83條的相關(guān)規(guī)定。(參見(jiàn)http://data.consilium.europa.eu/doc/document/ST-5419-2016-INIT/en/pdf)。遺憾的是，歐盟的這一數(shù)據(jù)保護(hù)規(guī)定要到2018年5月才正式施行，因而其對(duì)于數(shù)據(jù)安全保險(xiǎn)的促進(jìn)作用仍處在“潛伏期”。

(三)印度

在印度，各保險(xiǎn)公司正積極開(kāi)拓網(wǎng)絡(luò)信息責(zé)任保險(xiǎn)市場(chǎng)。巴賈杰安聯(lián)一般保險(xiǎn)公司的做法是把網(wǎng)絡(luò)責(zé)任險(xiǎn)作為其專(zhuān)業(yè)責(zé)任保險(xiǎn)的附加條款，將涉及到由計(jì)算機(jī)病毒、誤傳、誹謗、違反保密協(xié)議、侵犯知識(shí)產(chǎn)權(quán)等相關(guān)風(fēng)險(xiǎn)所引發(fā)的第三方索賠納入其中。印度工業(yè)信貸倫巴德一般保險(xiǎn)公司將網(wǎng)絡(luò)責(zé)任險(xiǎn)作為錯(cuò)誤和遺漏保險(xiǎn)的附加條款投保，同時(shí)也作為獨(dú)立的網(wǎng)絡(luò)責(zé)任保險(xiǎn)投保。目前，該公司已正式接受IT業(yè)的咨詢。印度各保險(xiǎn)公司均十分看好網(wǎng)絡(luò)責(zé)任險(xiǎn)的發(fā)展，認(rèn)為“銀行業(yè)、金融服務(wù)和保險(xiǎn)業(yè)、醫(yī)院、旅游公司、教育機(jī)構(gòu)，以及零售業(yè)巨頭等其他行業(yè)開(kāi)始感覺(jué)到對(duì)這種保險(xiǎn)的需求只是時(shí)間問(wèn)題”[22]。網(wǎng)絡(luò)信息責(zé)任保險(xiǎn)的保費(fèi)通常位于每投保100萬(wàn)美元收取5 000美元到1.5萬(wàn)美元之間，高出其他保險(xiǎn)10%～20%的費(fèi)用。但各家保險(xiǎn)公司都認(rèn)為考慮到所涉及的風(fēng)險(xiǎn)，這樣的定價(jià)非常合理。但就保險(xiǎn)范圍而言，又將未經(jīng)許可發(fā)送電子郵件、搭線、竊聽(tīng)、欺詐等行為，以及未能維持符合要求的計(jì)算機(jī)安全等行為排除在外。比較有特色的是，塔塔美國(guó)國(guó)際集團(tuán)一般保險(xiǎn)公司推出的責(zé)任保險(xiǎn)規(guī)定：如果主管或高級(jí)職員受到忽視網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的指控，而這種疏忽又造成了一定損失的，那么針對(duì)主管或高級(jí)職員的索賠將被列入主管和高級(jí)職員保險(xiǎn)單的覆蓋范圍內(nèi)[23]。

(四)我國(guó)信息安全責(zé)任保險(xiǎn)的發(fā)展現(xiàn)狀

2013年底，蘇黎世保險(xiǎn)公司開(kāi)始在中國(guó)推出安全與信息保護(hù)險(xiǎn)[24]。蘇黎世保險(xiǎn)集團(tuán)推出的此項(xiàng)保險(xiǎn)是針對(duì)企業(yè)用戶研發(fā)的產(chǎn)品，承保標(biāo)的主要是企業(yè)內(nèi)部存有的機(jī)密商業(yè)信息、客戶信息和雇員個(gè)人信息等。如果公司的計(jì)算機(jī)安全系統(tǒng)遭到惡意攻擊，導(dǎo)致企業(yè)保管的客戶信息或公司內(nèi)部信息泄露造成的財(cái)產(chǎn)損失，均可獲得賠付。此外，該保險(xiǎn)公司對(duì)于投保企業(yè)的董事、高管或員工在工作期間，因過(guò)失丟失或意外泄露客戶和企業(yè)的信息所造成的損失或責(zé)任也可獲賠。如公司職員出差期間將存有客戶資料的筆記本遺落在飛機(jī)或者出租車(chē)上，也可通過(guò)保險(xiǎn)公司申請(qǐng)賠付[25]。此類(lèi)保險(xiǎn)還涵括由于網(wǎng)絡(luò)受到攻擊而導(dǎo)致的營(yíng)業(yè)損失和系統(tǒng)恢復(fù)費(fèi)用。如某淘寶網(wǎng)店因?yàn)楹诳凸魧?dǎo)致其網(wǎng)站無(wú)法登陸，銷(xiāo)售無(wú)法進(jìn)行，那么其在營(yíng)業(yè)中斷期間遭受的損失以及恢復(fù)系統(tǒng)的費(fèi)用都可以得到保險(xiǎn)賠償。但是，這款保險(xiǎn)的保費(fèi)價(jià)位相對(duì)較高，保險(xiǎn)公司會(huì)根據(jù)賠償限額的高低和風(fēng)險(xiǎn)因素進(jìn)行考量，年度保費(fèi)從幾萬(wàn)元到上百萬(wàn)元人民幣。另外，投保前蘇黎世保險(xiǎn)公司還會(huì)考量投保人的年?duì)I業(yè)收入、所保管的信息類(lèi)別和數(shù)量、信息安全防護(hù)等級(jí)、內(nèi)控制度、司法管轄范圍以及過(guò)往損失記錄等[25]。

2014年6月，最高人民法院發(fā)布《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問(wèn)題的規(guī)定》，其中第十二條規(guī)定網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)服務(wù)提供者利用網(wǎng)絡(luò)公開(kāi)自然人個(gè)人隱私和其他個(gè)人信息，如基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動(dòng)等，造成他人損害的，可以構(gòu)成侵權(quán)責(zé)任。且這兩類(lèi)主體若以違反社會(huì)公共利益、社會(huì)公德的方式公開(kāi)某些已合法公開(kāi)或合法獲取的個(gè)人信息，或者公開(kāi)該信息侵害權(quán)利人值得保護(hù)的重大利益，也可能構(gòu)成侵權(quán)責(zé)任。2016年頒布的《網(wǎng)絡(luò)安全法》第二十二條規(guī)定，網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門(mén)報(bào)告。并在第二十五條針對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)也規(guī)定了要采取補(bǔ)救措施和報(bào)告義務(wù)。值得注意的是，《網(wǎng)絡(luò)安全法》在“法律責(zé)任”一章專(zhuān)門(mén)針對(duì)違反上述兩條的情形規(guī)定了對(duì)單位和負(fù)責(zé)人的罰款數(shù)額。以上規(guī)則的出臺(tái)對(duì)國(guó)內(nèi)相關(guān)信息主體的信息安全義務(wù)及報(bào)告義務(wù)做出了強(qiáng)制性規(guī)定，一定程度上促進(jìn)了國(guó)內(nèi)企業(yè)及相關(guān)主體對(duì)相關(guān)風(fēng)險(xiǎn)的認(rèn)識(shí)，部分企業(yè)開(kāi)始意識(shí)到風(fēng)險(xiǎn)分散的必要性。

2016年初，我國(guó)的保險(xiǎn)公司推出了數(shù)據(jù)安全險(xiǎn)，專(zhuān)門(mén)針對(duì)黑客盜取云計(jì)算數(shù)據(jù)進(jìn)行保險(xiǎn)。一旦發(fā)生因黑客入侵引發(fā)的數(shù)據(jù)泄露事件，保險(xiǎn)公司將提供最高100萬(wàn)元的現(xiàn)金賠償。賠償標(biāo)準(zhǔn)基于用戶的投保費(fèi)用和實(shí)際損失進(jìn)行界定，主要保障的是用戶云服務(wù)器上存儲(chǔ)的數(shù)據(jù)。因黑客攻擊導(dǎo)致數(shù)據(jù)公開(kāi)給企業(yè)造成的直接經(jīng)濟(jì)損失，因黑客攻擊導(dǎo)致數(shù)據(jù)在第三方網(wǎng)站、論壇、媒體公布給企業(yè)造成的品牌損失，因黑客攻擊導(dǎo)致企業(yè)數(shù)據(jù)泄露，被最終用戶索賠的損失等都在理賠范圍內(nèi)。盡管分析家們都預(yù)測(cè)在信息安全保險(xiǎn)這個(gè)領(lǐng)域可獲保費(fèi)利益十分巨大，甚至有專(zhuān)家表示這一責(zé)任險(xiǎn)在不久的將來(lái)會(huì)超過(guò)董事責(zé)任險(xiǎn)而成為各保險(xiǎn)公司責(zé)任險(xiǎn)中最大的保費(fèi)收入來(lái)源[24]，但保險(xiǎn)公司對(duì)于該項(xiàng)保險(xiǎn)依然持相對(duì)保守的態(tài)度，究其原因是保險(xiǎn)法學(xué)界普遍對(duì)于信息安全風(fēng)險(xiǎn)的可保性問(wèn)題，風(fēng)險(xiǎn)的估算、損害的計(jì)算等問(wèn)題尚未展開(kāi)討論，業(yè)界亦欠缺先前經(jīng)驗(yàn)可供參考。

四、信息安全責(zé)任保險(xiǎn)制度構(gòu)建難點(diǎn)

(一)網(wǎng)絡(luò)信息風(fēng)險(xiǎn)的可保性問(wèn)題

在可保風(fēng)險(xiǎn)的認(rèn)定標(biāo)準(zhǔn)問(wèn)題上，加拿大保險(xiǎn)局(The Insurance Bureau of Canada,IBC)認(rèn)為必須滿足三個(gè)條件[26]：第一，相對(duì)較大數(shù)量的人面臨風(fēng)險(xiǎn)，第二，任一小部分面臨風(fēng)險(xiǎn)的人在不特定任何時(shí)間可能蒙受損失，第三，損失是隨機(jī)發(fā)生的。對(duì)于第一個(gè)條件，隨著現(xiàn)今網(wǎng)絡(luò)服務(wù)的普及，商事、消費(fèi)者乃至公共服務(wù)領(lǐng)域均已深度覆蓋，信息安全風(fēng)險(xiǎn)的廣泛性早已在各國(guó)信息泄露事件中得到充分揭示。而依據(jù)第二個(gè)條件的定義，則諸多網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)，包括千年蟲(chóng)事件[27]在內(nèi)，是否能被納入可保風(fēng)險(xiǎn)的范圍值得懷疑。網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)的特殊性在于，雖然可能會(huì)面臨損失的網(wǎng)絡(luò)服務(wù)提供商數(shù)量很大，但受損害的第三人的數(shù)量可能會(huì)更大，而不像傳統(tǒng)的責(zé)任險(xiǎn)那樣，第三人損害相對(duì)來(lái)說(shuō)范圍可以確定。如如家、漢庭案件中，網(wǎng)絡(luò)技術(shù)的提供者因其系統(tǒng)存在漏洞，直接導(dǎo)致所有客戶均成為受害人，而泄露的信息又是所有客戶網(wǎng)站消費(fèi)者的信息，這其中的損害是疊加的。也就是說(shuō)，網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)一旦發(fā)生，從損害擴(kuò)展速度和波及范圍上而言，可能超過(guò)傳統(tǒng)意義上幾乎任何類(lèi)型的保險(xiǎn)風(fēng)險(xiǎn)。由于網(wǎng)絡(luò)產(chǎn)品提供者的數(shù)量足夠多，且不同提供者的產(chǎn)品和服務(wù)之間相互獨(dú)立，故保險(xiǎn)公司完全可能通過(guò)大數(shù)法則來(lái)實(shí)現(xiàn)風(fēng)險(xiǎn)的分散。對(duì)于第三個(gè)條件，雖然多數(shù)風(fēng)險(xiǎn)都是由于人為原因，即黑客利用存在的漏洞而竊取信息和數(shù)據(jù)，但客觀上風(fēng)險(xiǎn)的發(fā)生依然是隨機(jī)性的，在同一時(shí)間，通常只有部分特定漏洞誘發(fā)的風(fēng)險(xiǎn)會(huì)有損失，因此保險(xiǎn)人可以實(shí)現(xiàn)風(fēng)險(xiǎn)的分散。從現(xiàn)有歐美保險(xiǎn)市場(chǎng)上信息安全責(zé)任險(xiǎn)的發(fā)達(dá)也可推知，信息安全風(fēng)險(xiǎn)并非不具有可保性。

(二)信息安全責(zé)任的風(fēng)險(xiǎn)估算

除了上述可保性的三個(gè)要件之外，作為可保風(fēng)險(xiǎn)，還必須具有可評(píng)估性。對(duì)于信息安全風(fēng)險(xiǎn)如何計(jì)算這一難點(diǎn)問(wèn)題，其實(shí)可以將網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)與現(xiàn)有責(zé)任保險(xiǎn)中的風(fēng)險(xiǎn)類(lèi)型相比較。比如，許多討論者會(huì)將網(wǎng)絡(luò)信息安全保險(xiǎn)的風(fēng)險(xiǎn)與機(jī)動(dòng)車(chē)保險(xiǎn)中的風(fēng)險(xiǎn)相類(lèi)比，認(rèn)為二者具有類(lèi)似性，保險(xiǎn)公司的分析師卻指出了兩者的不同：在機(jī)動(dòng)車(chē)保險(xiǎn)領(lǐng)域，保險(xiǎn)公司有足夠大的市場(chǎng)足以分散風(fēng)險(xiǎn)，相對(duì)于眾多的被保險(xiǎn)人而言，只有少數(shù)的隨機(jī)保險(xiǎn)事件發(fā)生，而在網(wǎng)絡(luò)風(fēng)險(xiǎn)領(lǐng)域，風(fēng)險(xiǎn)和保險(xiǎn)需求并不匹配；另外，機(jī)動(dòng)車(chē)責(zé)任險(xiǎn)領(lǐng)域已有相對(duì)可靠的實(shí)際數(shù)據(jù)可供計(jì)算可能的潛在損失，而網(wǎng)絡(luò)信息安全事件尚須數(shù)年的歷史數(shù)據(jù)作為支撐，才能估算出潛在損失，并以此進(jìn)行更為具體的保險(xiǎn)安排。保險(xiǎn)公司的一些分析師也認(rèn)為，網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)可能更類(lèi)似于巨災(zāi)保險(xiǎn)所面臨的風(fēng)險(xiǎn)，因?yàn)檫@兩種風(fēng)險(xiǎn)都是極有可能在其發(fā)生時(shí)連帶諸多行業(yè)同時(shí)遭受損失或損害[26]。德累斯頓工業(yè)大學(xué)計(jì)算機(jī)科學(xué)系系統(tǒng)結(jié)構(gòu)研究所Rainer B?hme教授在一份報(bào)告中指出，雖然在許多保險(xiǎn)產(chǎn)品的供給一方看來(lái)，由于缺乏信息安全事件的足夠數(shù)據(jù)，使得這似乎更像是一種藝術(shù)而不是科學(xué)，但無(wú)論從風(fēng)險(xiǎn)的來(lái)源還是風(fēng)險(xiǎn)的產(chǎn)生來(lái)看，都不能把信息安全事件的風(fēng)險(xiǎn)與過(guò)往的傳統(tǒng)保險(xiǎn)風(fēng)險(xiǎn)相等同，因?yàn)楝F(xiàn)今電腦聯(lián)網(wǎng)的現(xiàn)狀將會(huì)造成不必要的關(guān)聯(lián)索賠。正因?yàn)楦鞅ｋU(xiǎn)公司在可能面臨的網(wǎng)絡(luò)信息安全保險(xiǎn)事故的風(fēng)險(xiǎn)問(wèn)題上，沒(méi)有更多的數(shù)據(jù)和更好的方法進(jìn)行計(jì)算，所以我國(guó)的保險(xiǎn)公司在這個(gè)市場(chǎng)上普遍還沒(méi)有明確的行動(dòng)，德國(guó)等國(guó)家的保險(xiǎn)公司對(duì)此也相對(duì)保守緩慢。

對(duì)于這一問(wèn)題，除了市場(chǎng)經(jīng)驗(yàn)與數(shù)據(jù)的積累外，各國(guó)在信息安全方面的立法與司法情況也具有至關(guān)重要的借鑒作用。在英美等這一險(xiǎn)種較發(fā)達(dá)的國(guó)家的市場(chǎng)上，雖然最初保險(xiǎn)公司在設(shè)計(jì)此類(lèi)保險(xiǎn)時(shí)，費(fèi)用相較于其他保險(xiǎn)要高出不少，但伴隨著依據(jù)法律規(guī)定各信息的管理實(shí)體及服務(wù)提供者在發(fā)生信息泄露時(shí)的通知和報(bào)告義務(wù)的履行，保險(xiǎn)人獲得了大量較為準(zhǔn)確的第一手信息，能夠做到越來(lái)越準(zhǔn)確地對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估；相應(yīng)的，對(duì)于不同的被保險(xiǎn)人也可以更為妥當(dāng)?shù)卮_定其保險(xiǎn)費(fèi)率。也就是說(shuō)，信息安全責(zé)任的風(fēng)險(xiǎn)估算對(duì)于保險(xiǎn)人而言，在數(shù)據(jù)日漸充分的條件下，是可以逐漸成熟化解決的問(wèn)題。

(三)網(wǎng)絡(luò)信息安全責(zé)任的損害認(rèn)定

網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)中重要的一環(huán)是系統(tǒng)侵入和信息泄露后所造成的損害認(rèn)定。在此所考慮的問(wèn)題并非單純涉及受害人的舉證，還有因果關(guān)系的認(rèn)定，網(wǎng)絡(luò)環(huán)境無(wú)形、交錯(cuò)、難以捕捉、專(zhuān)業(yè)性等特點(diǎn)，使傳統(tǒng)侵權(quán)法中本已錯(cuò)綜復(fù)雜的因果關(guān)系理論變得更為復(fù)雜和困難。在損害程度認(rèn)定方面，比如AIG等公司的保險(xiǎn)條款中就明確了因網(wǎng)絡(luò)安全或數(shù)據(jù)侵入而造成的收入喪失和額外的營(yíng)業(yè)費(fèi)用。另外，許多此類(lèi)保險(xiǎn)不僅包含對(duì)以公開(kāi)數(shù)據(jù)或攻擊系統(tǒng)相威脅進(jìn)行敲詐勒索而賠償?shù)?，而且包括網(wǎng)絡(luò)誹謗和侵犯版權(quán)、商標(biāo)權(quán)等相關(guān)損害和責(zé)任。此類(lèi)損害都是直接致害，一般而言屬于典型的保險(xiǎn)范圍。但是也有比較寬泛的對(duì)信息安全的保護(hù)，比如蘇黎世保險(xiǎn)公司在世界各地推出的保險(xiǎn)中，大多涵蓋對(duì)于投保企業(yè)的董事、高管或員工在工作期間，因過(guò)失丟失或意外泄露客戶、企業(yè)信息所造成的損失或責(zé)任。更復(fù)雜的問(wèn)題是，如果是基于首次的信息受侵害而公開(kāi)事件造成的二次損害或如前文所述屬于疊加、次生或受牽連而發(fā)生的損害，又該如何判斷呢？這些在保險(xiǎn)中是否應(yīng)該涵蓋，保險(xiǎn)人在設(shè)計(jì)保險(xiǎn)范圍時(shí)也必須考慮。更為特殊的是，是否造成實(shí)際的經(jīng)濟(jì)損失，如果只是騷擾電話、廣告推銷(xiāo)等情形，是否構(gòu)成對(duì)生活安寧的侵?jǐn)_，在不同國(guó)家不同的立法背景和司法環(huán)境下可能都會(huì)有不同的認(rèn)定。若此類(lèi)精神損害能夠得到認(rèn)可，保險(xiǎn)金額的確定也必然會(huì)受到相應(yīng)的影響。對(duì)我國(guó)境內(nèi)的保險(xiǎn)公司而言，最高人民法院在2014年10月出臺(tái)的《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問(wèn)題的規(guī)定》，無(wú)疑是對(duì)風(fēng)險(xiǎn)和損失進(jìn)行估算的重要依據(jù)。

(四)強(qiáng)制責(zé)任保險(xiǎn)的必要性

強(qiáng)制責(zé)任保險(xiǎn)是伴隨著現(xiàn)代社會(huì)危險(xiǎn)責(zé)任的產(chǎn)生和擴(kuò)大而發(fā)展起來(lái)的。強(qiáng)制責(zé)任保險(xiǎn)從某種意義上而言是國(guó)家對(duì)個(gè)人意愿的干預(yù)，所以強(qiáng)制保險(xiǎn)的范圍受到嚴(yán)格限制：必須由法律、行政法規(guī)明確規(guī)定。然而，從最為基本的層面來(lái)看，網(wǎng)絡(luò)信息安全在一定程度上是關(guān)涉公共利益的。首先，迄今為止任何一個(gè)網(wǎng)絡(luò)信息安全事件的發(fā)生，受損害者都是一定范圍甚至是很大范圍內(nèi)的不特定人群。其次，從侵害的權(quán)益而言，無(wú)論將信息安全解釋為一個(gè)獨(dú)立的權(quán)利，還是借用隱私權(quán)的概念，或者引入生活安寧權(quán)等，不可否認(rèn)的是，這一權(quán)益伴隨著現(xiàn)代社會(huì)科技的發(fā)展將逐漸顯現(xiàn)出其對(duì)于個(gè)人生活、財(cái)產(chǎn)安全、精神安寧的高度重要性。此類(lèi)網(wǎng)絡(luò)信息的侵害，當(dāng)屬對(duì)公共利益的侵害無(wú)疑。

更為重要的是，受攻擊的主體不僅包括企業(yè)、公司，還有醫(yī)院、國(guó)家機(jī)關(guān)等一切數(shù)據(jù)信息的保有者，而后者通常所保有的信息都直接涉及個(gè)人隱私，這些信息都是基于網(wǎng)絡(luò)而存儲(chǔ)，再加上各機(jī)關(guān)、機(jī)構(gòu)之間進(jìn)行信息共享，并且基于互聯(lián)網(wǎng)給公眾提供更多信息化服務(wù)的現(xiàn)實(shí)趨勢(shì)，必將使得這些信息更多地暴露于網(wǎng)絡(luò)風(fēng)險(xiǎn)之下。再加上這些主體的清償能力在大規(guī)模的侵害面前是十分有限的，甚至對(duì)大量機(jī)構(gòu)而言可能還會(huì)引發(fā)國(guó)家賠償。這一方面對(duì)于受損害第三人的權(quán)利增加了獲賠難度，另一方面對(duì)國(guó)家機(jī)關(guān)而言，也是不能承受之重。因此，在關(guān)系公眾重要隱私信息領(lǐng)域，將網(wǎng)絡(luò)信息安全保險(xiǎn)設(shè)定為強(qiáng)制責(zé)任保險(xiǎn)非常必要。當(dāng)然，從立法政策層面看，無(wú)論在哪個(gè)程度上推行網(wǎng)絡(luò)信息安全的強(qiáng)制保險(xiǎn)，都將會(huì)對(duì)整個(gè)行業(yè)以至市場(chǎng)結(jié)構(gòu)造成影響，這必然成為天平的另一方[28]。

五、結(jié)論：信息安全責(zé)任保險(xiǎn)構(gòu)建已逢其時(shí)

互聯(lián)網(wǎng)至今已深度融入社會(huì)生活，網(wǎng)絡(luò)信息安全事件近年來(lái)在國(guó)內(nèi)外呈爆發(fā)之勢(shì)，且發(fā)生范圍逐漸從商業(yè)領(lǐng)域擴(kuò)展到消費(fèi)者乃至公共服務(wù)領(lǐng)域。雖然大規(guī)模的網(wǎng)絡(luò)信息安全事件訴訟索賠在我國(guó)尚不多見(jiàn)，但未來(lái)已可預(yù)見(jiàn)，為此，有必要建立信息安全責(zé)任保險(xiǎn)制度。信息安全責(zé)任保險(xiǎn)在境外各國(guó)保險(xiǎn)市場(chǎng)均已有較長(zhǎng)時(shí)間的實(shí)踐發(fā)展，如美國(guó)、英國(guó)、瑞士、德國(guó)甚至印度的保險(xiǎn)公司，都有豐富的實(shí)踐經(jīng)驗(yàn)。而我國(guó)的保險(xiǎn)公司對(duì)網(wǎng)絡(luò)信息保險(xiǎn)依舊持謹(jǐn)慎保守的態(tài)度，對(duì)于信息安全風(fēng)險(xiǎn)可保性問(wèn)題，風(fēng)險(xiǎn)的估算、損害的認(rèn)定等問(wèn)題尚存疑慮。對(duì)此，通過(guò)上述討論可知，信息安全風(fēng)險(xiǎn)是完全符合可保性要件的風(fēng)險(xiǎn)；大量的國(guó)外保險(xiǎn)實(shí)踐表明，信息安全風(fēng)險(xiǎn)是可以進(jìn)行估算的，且伴隨著保險(xiǎn)人對(duì)風(fēng)險(xiǎn)事件數(shù)據(jù)的掌握和充分的保險(xiǎn)市場(chǎng)的競(jìng)爭(zhēng)，這種評(píng)估在未來(lái)將會(huì)日益成熟，相應(yīng)的保險(xiǎn)費(fèi)率的確定也會(huì)更加妥當(dāng)；在信息安全責(zé)任的損害認(rèn)定問(wèn)題上，需要依賴更多的司法裁判來(lái)確定。另外，在關(guān)系公眾重要隱私信息的領(lǐng)域，將網(wǎng)絡(luò)信息安全保險(xiǎn)設(shè)定為強(qiáng)制責(zé)任保險(xiǎn)有其必要性。我國(guó)未來(lái)對(duì)于個(gè)人數(shù)據(jù)信息的保護(hù)機(jī)制必將更加完善，而保險(xiǎn)作為社會(huì)風(fēng)險(xiǎn)分散的重要工具，對(duì)于網(wǎng)絡(luò)時(shí)代的信息安全與社會(huì)治理、維護(hù)個(gè)人權(quán)利與安寧、推動(dòng)“互聯(lián)網(wǎng)+”背景下行業(yè)與市場(chǎng)的規(guī)范與穩(wěn)定發(fā)展都必將發(fā)揮其有益功能。

參考文獻(xiàn)：

[1] 朱靖琰，王超.網(wǎng)絡(luò)實(shí)名制的是與非——基于建構(gòu)網(wǎng)絡(luò)公共領(lǐng)域的視角[J].重慶郵電大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)，2014(1)：50-54.

[2] 華劼.移動(dòng)互聯(lián)網(wǎng)時(shí)代個(gè)人信息隱私保護(hù)[J].重慶郵電大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)，2017(5):40-47.

[3] 2017年中國(guó)網(wǎng)頁(yè)篡改現(xiàn)狀及被攻擊網(wǎng)站數(shù)量統(tǒng)計(jì)[EB/OL].(2017- 08- 08)[2017-12-31].http://www.chyxx.com/industry/201708/548322.html.

[4] 中國(guó)網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告(2015)[R/OL].(2015- 07-22)[2017-11-25].http://www.scio.gov.cn/zhzc/8/5/Document/1441916/1441916.htm.

[5] 中國(guó)互聯(lián)網(wǎng)協(xié)會(huì).中國(guó)網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告2016[R/OL].(2016- 06-22)[2017-11-25].http://www.isc.org.cn/zxzx/xhdt/listinfo-33759.html.

[6] 周學(xué)峰.侵權(quán)訴訟與責(zé)任保險(xiǎn)的糾結(jié)[J].清華法學(xué)，2012(2)：83-101.

[7] 張梓太,張乾紅.我國(guó)環(huán)境侵權(quán)責(zé)任保險(xiǎn)制度之構(gòu)建[J].法學(xué)研究，2006(3)：84-97.

[8] 周學(xué)峰.論責(zé)任保險(xiǎn)的社會(huì)價(jià)值及其對(duì)侵權(quán)法功能的影響[J].甘肅政法學(xué)院學(xué)報(bào)，2007(5)：108-112.

[9] 王新雷.網(wǎng)絡(luò)安全保險(xiǎn)法律政策的路線圖[J].政法學(xué)刊，2011(2)：15-21.

[10] Aon Benfield. Reinsurance Market Outlook[EB/OL].(2016- 09-11)[2017-11-25].http://thoughtleadership.aonbenfield.com/documents/20160911-ab-analytics-rmo.pdf.

[11] E-Business Insurance from Zurich North America[EB/OL].[2017-10-23].https://secure.zurichna.com/erisk_edge.htm.

[12] AIG eBusiness Risk Solutions Expands Coverage Against Cyber Security Threats[EB/OL].(2003- 05- 06)[2017-11-28].http://www.businesswire.com/news/home/20030506005705/en/AIG-eBusiness-Risk-Solutions-Expands-Coverage-Cyber#.VFvEaNFxn3g.

[13] CyberEdge Insurance Coverage[EB/OL].[2017-11-20].http://www.aig.com/CyberEdge_3171_417963.html.

[14] Baker Hostetler. State Data Breach Law Summary[EB/OL].(2017-11-29)[2017-12- 08].https://www.bakerlaw.com/files/Uploads/Documents/Data%20Breach%20documents/State_Data_Breach_Statute_Form.pdf.

[15] 董峰，李路斌.我國(guó)發(fā)展網(wǎng)絡(luò)安全保險(xiǎn)任重道遠(yuǎn)[N].中國(guó)保險(xiǎn)報(bào)，2017- 07-21.

[16] Associated Press.Lloyd’s to Back Hacker Insurance [N].Los Angeles Times,2000- 07-10.

[17] Lloy’s of London offers Internet hacker insurance[N].The Florida Times Union,2000- 07-11.

[18] ALLERDISSEN H J. Lage und Entwicklung der deutschen Versicherungswirtschaft aus der Sicht des DVS Deutschen Versicherungs-Schutzverbandes e.V.Rede anl?sslich der ordentlichen Mitgliederversammlung am 9.5.2014[EB/OL].(2014- 05- 09)[2017-11-27].http://www.dvs-schutzverband.de/aktuelles-2014-PM-Lage-und-Entwicklung-Artikel-de.php.

[19] UMAR C.Der Cyber-Versicherungsmarkt in Deutschland[M].Wiesbaden：Springer Gabler,2014:1-2.

[20] Gesamtverband der Deutschen Versicherungswirtschaft e.V.2014.Die Positionen der deutschen Versicherer 2014[EB/OL].[2017-10-17].http://www.gdv.de/wp-content/uploads/2014/04/GDV-Politische-Positionen_2014_nn.pdf.

[21] BEHRENDS J. Cyber-Versicherungen haben eine groβe Zukunft. Versicherungswirtschaft 02/2013,68.Jahrgang,15.1.2013,24-25[EB/OL].(2013- 01-15)[2017-10-17].http://www.aon.com/germany/risk-services/cyber_risiken/versicherungswirt-sch-aft_02_2013.pdf.

[22] 印保險(xiǎn)公司開(kāi)拓網(wǎng)絡(luò)責(zé)任險(xiǎn)市場(chǎng)[EB/OL].(2013- 07- 01)[2017-10-20].http://www.secdoctor.com/html/hwlf/24274.html.

[23] 劉志敏.網(wǎng)絡(luò)責(zé)任險(xiǎn)漸成印度新寵[N].中國(guó)保險(xiǎn)報(bào)，2013- 07- 01.

[24] 冷翠華.信息泄露第一案若勝訴將引訴訟潮 責(zé)任險(xiǎn)潛力或爆發(fā)[N].證券日?qǐng)?bào),2014- 01-23.

[25] 蘇長(zhǎng)春.外資險(xiǎn)企國(guó)內(nèi)首推安全隱私保護(hù)險(xiǎn)[N].北京商報(bào)，2013-11-14.

[26] PAUL K, MELISSA M, ROBERT S. Cyber-Incident Risk in Canada and the Role of Insurance[R].Toronto:Institute for Catastrophic Loss Reduction,2004:3-8.

[27] ROSENBERG J. The Y2K Problem: A Computer Glitch That Scared the World[EB/OL].(2017- 08-29)[2017-10-20].http://history1900s.about.com/od/1990s/qt/Y2K.htm.

[28] 李媛.共識(shí)與爭(zhēng)議：個(gè)人信息保護(hù)的價(jià)值目標(biāo)[J].重慶郵電大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)，2016(3)：59-64.