朱孟林

大連海事大學(xué) 遼寧 大連 116085

1 海上網(wǎng)絡(luò)風(fēng)險的概述

目前國際上對海上網(wǎng)絡(luò)風(fēng)險沒有一個統(tǒng)一明確的定義，各個組織對海上網(wǎng)絡(luò)風(fēng)險的定義也不盡相同，比如在 IMO 的《海上網(wǎng)絡(luò)風(fēng)險管理指南》（GUIDELINES ON MARITIME CYBER RISK MANAGEMENT）中對海上網(wǎng)絡(luò)風(fēng)險的定義是對技術(shù)資產(chǎn)受到潛在環(huán)境或事件威脅的程度的衡量，這些潛在環(huán)境或事件可能導(dǎo)致信息或系統(tǒng)被破壞、丟失或危害，從而導(dǎo)致與航運相關(guān)的操作、安全或安全故障。一般來說，海上網(wǎng)絡(luò)風(fēng)險是船舶的網(wǎng)絡(luò)和系統(tǒng)安全受到影響，而船舶的網(wǎng)絡(luò)安全分為“cyber security”和“cyber safety”,前者是保護(hù)船舶的 TI、OT、信息和數(shù)據(jù)免受未經(jīng)訪問、操作和破壞，后者是保護(hù)安全性的關(guān)鍵數(shù)據(jù)和 OT 完整性和可用性的受到損失。所以本人認(rèn)為海上網(wǎng)絡(luò)風(fēng)險是指船舶的系統(tǒng)和信息數(shù)據(jù)的完整性和可用性被破壞而造成的風(fēng)險。

2 設(shè)立海上網(wǎng)絡(luò)風(fēng)險的必要性

2.1 海上網(wǎng)絡(luò)風(fēng)險的現(xiàn)狀

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，航運業(yè)與網(wǎng)絡(luò)技術(shù)緊密相連，海上運輸也越來越智能化、數(shù)字化，然而，對數(shù)字技術(shù)的依賴增加可能導(dǎo)致海運業(yè)部門的潛在脆弱性和風(fēng)險增加，尤其涉及物流和運輸系統(tǒng)。在這些系統(tǒng)中，信息往往在各種不同的主體之間共享，對這些系統(tǒng)的任何部分的攻擊都可能而且已經(jīng)導(dǎo)致災(zāi)難性后果。比如 2011年8月，伊朗伊斯蘭共和國航運公司(以下簡稱 IRISL)遭受了激烈的網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊破壞了所有與費率、裝貨、貨號、日期和地點有關(guān)的數(shù)據(jù)，并消除了公司和內(nèi)部通信網(wǎng)絡(luò)。所有這些都造成了這樣一種情況，即集裝箱在沒有任何控制或意識的情況下被運走。由于操作系統(tǒng)中斷，一些貨物被送到錯誤的目的地，造成嚴(yán)重的財務(wù)損失。甚至，更令人擔(dān)憂的是，由于網(wǎng)絡(luò)攻擊，大量貨物丟失得無影無蹤。

目前在海上保險市場，對這種類型的風(fēng)險還沒有很好的規(guī)避措施，存在空白。一是海上網(wǎng)絡(luò)風(fēng)險確實是才出現(xiàn)的新型風(fēng)險，以前發(fā)生的頻率很少，投保這種風(fēng)險的需求很少，海上保險市場對它的承保公司也少之又少。二是因為是新型風(fēng)險，大家對它的了解和研究不夠深刻和成熟，存在準(zhǔn)確評估和量化風(fēng)險以及缺乏信息共享等困難，保險公司不敢去做“第一人”，去承擔(dān)承保該類風(fēng)險之后的風(fēng)險。

2.2 海事網(wǎng)絡(luò)攻擊與海盜行為

在上文提到的案例中我們其實可以看到海事網(wǎng)絡(luò)攻擊風(fēng)險目前是海上網(wǎng)絡(luò)風(fēng)險中最常見的風(fēng)險，其實海上網(wǎng)絡(luò)攻擊與海盜行為非常相似，都是外來的惡意行為對船舶以及船上貨物的攻擊，甚至隨著目前技術(shù)的發(fā)展，有些海盜會利用網(wǎng)絡(luò)漏洞或 GPS 操縱船舶然后實施劫持，使得海事網(wǎng)絡(luò)攻擊行為與海盜行為幾乎重合，其實就是海盜將傳統(tǒng)的用暴力劫持船舶的手段變成了網(wǎng)絡(luò)技術(shù)手段。比如有人通過網(wǎng)絡(luò)技術(shù)破壞了船舶系統(tǒng)以及信息數(shù)據(jù)，使得船舶不能正常航運，要求船方支付贖金才將系統(tǒng)和數(shù)據(jù)恢復(fù)。在這個案例中，行為人的網(wǎng)絡(luò)攻擊行為就不同于海盜行為了，他雖然也是要求支付贖金，但是并沒有實際劫持控制住船舶。因此單單將海事網(wǎng)絡(luò)攻擊行為和海盜行為相提并論是不可取的，用承保海盜的方式去解決海上網(wǎng)絡(luò)風(fēng)險也是不全面的。

2.3 網(wǎng)絡(luò)風(fēng)險除外條款

對海上網(wǎng)絡(luò)風(fēng)險，在水險中通常使用 CL380 除外條款，該條款是指將一切出于惡意，使用計算機(jī)系統(tǒng)（含計算機(jī)軟件系統(tǒng)、惡意代碼、病毒等）產(chǎn)生的直接或間接物質(zhì)損失及費用除外。首先根據(jù)條款內(nèi)容，該條款的適用要求主觀動機(jī)是“惡意”的，而且是使用計算機(jī)造成損失，即網(wǎng)絡(luò)攻擊是造成傷害的手段，所以保險公司若想拒賠，則需要證明以上兩個條件，這在實踐中是十分困難的。2014 年攻擊者使用魚叉式釣魚郵件獲得鋼廠辦公網(wǎng)絡(luò)的訪問權(quán)，然后設(shè)法進(jìn)入鋼廠的生產(chǎn)網(wǎng)絡(luò)。攻擊者的行為導(dǎo)致工控系統(tǒng)的控制組件和整個生產(chǎn)線停止運轉(zhuǎn)，煉鋼爐由于非正常關(guān)閉而損壞。在保險理賠中，保險公司認(rèn)定該損失為物質(zhì)損失，但并未提及對該事件網(wǎng)絡(luò)攻擊的根本原因分析。專家分析認(rèn)為，即使保單中引入了 CL380 除外條款，保險人恐怕也很難應(yīng)用除外條款。并且海上網(wǎng)絡(luò)風(fēng)險的發(fā)生并不是都是出于“惡意”的動機(jī)和目的，所以該排除條款也不能將海上網(wǎng)絡(luò)風(fēng)險完全排除，那么對于其他沒有被網(wǎng)絡(luò)風(fēng)險除外條款排除的網(wǎng)絡(luò)風(fēng)險，又沒有海上保險對他們進(jìn)行承保，這些風(fēng)險怎么解決？

針對目前海上網(wǎng)絡(luò)風(fēng)險的現(xiàn)狀和問題，本人認(rèn)為設(shè)立單獨的海上網(wǎng)絡(luò)安全保險制度去解決目前海上網(wǎng)絡(luò)風(fēng)險存在的問題是必要的。首先目前海上網(wǎng)絡(luò)風(fēng)險的事件頻發(fā)，盡管網(wǎng)絡(luò)風(fēng)險保險市場仍許多困難，但目前網(wǎng)絡(luò)風(fēng)險保險市場的規(guī)模、復(fù)雜性和重要性都在不斷增長，越來越有能力滿足各種組織的減輕風(fēng)險需求[1]。目前海上網(wǎng)絡(luò)市場對海上網(wǎng)絡(luò)風(fēng)險的態(tài)度還是在水險中排除，并且該排除條款產(chǎn)生的效果并不好，使得對一些海上網(wǎng)絡(luò)風(fēng)險產(chǎn)生的損失能不能得到承保模糊不清，在實踐中產(chǎn)生爭議并且當(dāng)事人的利益也不能得到保障，可以通過設(shè)立海上網(wǎng)絡(luò)保險去彌補這一漏洞。

3 建立海上網(wǎng)絡(luò)保險制度的可行性

3.1 借鑒網(wǎng)絡(luò)安全保險

1998年網(wǎng)絡(luò)安全保險業(yè)務(wù)開始在歐美興起并快速發(fā)展，現(xiàn)在綜合網(wǎng)絡(luò)安全保險的內(nèi)容和借鑒美國國土安全部的經(jīng)驗，將網(wǎng)絡(luò)安全保險定義為“一項承保網(wǎng)絡(luò)系統(tǒng)及其運行風(fēng)險的保險產(chǎn)品”，涵蓋數(shù)據(jù)事故、網(wǎng)絡(luò)破壞和網(wǎng)絡(luò)欺詐等風(fēng)險。在中國網(wǎng)絡(luò)安全保險多以傳統(tǒng)責(zé)任險的形式存在，網(wǎng)絡(luò)安全法的實施為網(wǎng)絡(luò)安全保險在中國發(fā)展開創(chuàng)了新時代。大型的信息技術(shù)依賴性強的公司已經(jīng)開始將網(wǎng)絡(luò)安全保險融入營銷策略和風(fēng)險管理方式之中[2]。網(wǎng)絡(luò)安全保險不管在國外還是我國都已經(jīng)發(fā)展一段時間，網(wǎng)絡(luò)安全保險對企業(yè)、個人網(wǎng)絡(luò)安全風(fēng)險的規(guī)避有很大的貢獻(xiàn)，獨立的網(wǎng)絡(luò)安全保險的設(shè)立和其自身的發(fā)展歷程證明我們海上網(wǎng)絡(luò)安全保險制度的設(shè)立也是可行的，并且比起還未發(fā)展起來的海上網(wǎng)絡(luò)保險來說網(wǎng)絡(luò)安全保險已經(jīng)比較成熟和有經(jīng)驗，海上網(wǎng)絡(luò)安全保險制度的設(shè)立可以向網(wǎng)絡(luò)安全保險借鑒和學(xué)習(xí)。比如目前網(wǎng)絡(luò)安全保險產(chǎn)品的提供方式主要包括兩種，一是通過擴(kuò)展責(zé)任（extensions）或批單（endorsement）等形式在現(xiàn)有保單責(zé)任中增加網(wǎng)絡(luò)風(fēng)險相關(guān)的責(zé)任，即復(fù)合責(zé)任保單（Packaged policy）；二是保險公司提供針對網(wǎng)絡(luò)風(fēng)險的獨立保單（stand—alone policy）[3]。海上網(wǎng)絡(luò)安全保險制度也可以考慮建立什么樣的投保方式。還有保險內(nèi)容方面，網(wǎng)絡(luò)安全保險最早主要是黑客攻擊險，后來隨著網(wǎng)絡(luò)保險的不斷發(fā)展出現(xiàn)了包含第三方損失責(zé)任的保險單，現(xiàn)在網(wǎng)絡(luò)安全保險根據(jù)承保責(zé)任主要分為針對企業(yè)的網(wǎng)絡(luò)安全（責(zé)任）保險和針對個人的信息失竊。

海上網(wǎng)絡(luò)安全保險也可以針對船舶、貨物、人員以及責(zé)任的體系構(gòu)建保險內(nèi)容。那為什么不直接由普通網(wǎng)絡(luò)安全保險來承保海上網(wǎng)絡(luò)風(fēng)險呢？首先普通網(wǎng)絡(luò)保險主要是針對企業(yè)網(wǎng)絡(luò)安全和個人信息安全進(jìn)行保險，是企業(yè)或者公司為自己的網(wǎng)絡(luò)安全和個人為了自己的信息安全去投保，而在航運業(yè)中針對海上網(wǎng)絡(luò)風(fēng)險，除了有船公司這樣的投保主體，還有物的買方或賣方或者承租人這樣的投保主體，針對船舶、貨物或者責(zé)任進(jìn)行保險，而正如上文所說網(wǎng)絡(luò)安全保險存在所提供的風(fēng)險分散作用也有限，網(wǎng)絡(luò)保險產(chǎn)品尚未實現(xiàn)標(biāo)準(zhǔn)化，海上網(wǎng)絡(luò)風(fēng)險中的投保主體和標(biāo)的都比比普通網(wǎng)絡(luò)保險范圍要廣，網(wǎng)絡(luò)安全保險也不能完全去解決海上網(wǎng)絡(luò)風(fēng)險的問題。最重要的是，普通網(wǎng)絡(luò)安全風(fēng)險和海上網(wǎng)絡(luò)風(fēng)險有很多的不同，因為海上網(wǎng)絡(luò)風(fēng)險有其海上風(fēng)險的獨特性，投保人和承包人的權(quán)利義務(wù)要求以及保險內(nèi)容等方面網(wǎng)絡(luò)安全保險制度和海上網(wǎng)絡(luò)安全保險也應(yīng)大有不同，所以需要單獨建立海上網(wǎng)絡(luò)安全保險制度去解決海上網(wǎng)絡(luò)風(fēng)險問題，而普通網(wǎng)絡(luò)安全保險的設(shè)立和發(fā)展也為我們海上網(wǎng)絡(luò)安全保險提供了經(jīng)驗和信心。

3.2 船舶互保協(xié)會對網(wǎng)絡(luò)風(fēng)險的態(tài)度

在水險中把網(wǎng)絡(luò)風(fēng)險明確排除在保險條款外之后，目前實踐中的做法是有部分船舶互保協(xié)會的保賠保險承保海上網(wǎng)絡(luò)風(fēng)險，這一點也說明海上網(wǎng)絡(luò)風(fēng)險已經(jīng)引起了航運界的關(guān)注，船舶互保協(xié)會對海上網(wǎng)絡(luò)風(fēng)險能得到承保是肯定的態(tài)度。比如北英保賠協(xié)會也承保網(wǎng)絡(luò)風(fēng)險，西英保賠協(xié)會的標(biāo)準(zhǔn)保賠條款中沒有排除網(wǎng)絡(luò)風(fēng)險，因此會承保由網(wǎng)絡(luò)風(fēng)險引起的 P&I 風(fēng)險（屬于戰(zhàn)爭險的除外），但由于該風(fēng)險是沉默條款，在實踐中可能就是否承保引起爭議。船舶互保協(xié)會對海上網(wǎng)絡(luò)風(fēng)險的承保不僅說明規(guī)避海上網(wǎng)絡(luò)風(fēng)險對我們來說是不可回避的問題，也說明雖然面臨這樣問題時間還不久，保險領(lǐng)域方面還不成熟，但是以后通過一系列管理規(guī)則和風(fēng)險分析機(jī)制的完善，我們不用再去排除該類風(fēng)險承保，并且該類風(fēng)險可以得到很好的規(guī)避。

4 結(jié)束語

雖然海上網(wǎng)絡(luò)安全風(fēng)險事件頻發(fā)，但是網(wǎng)絡(luò)技術(shù)在航運業(yè)的運用不過也才二三十年，不僅在技術(shù)和管理制度方面還不成熟，在保險領(lǐng)域，對海上網(wǎng)絡(luò)風(fēng)險的保險制度和規(guī)范也是缺失的。因此作者認(rèn)為在網(wǎng)絡(luò)技術(shù)與航運業(yè)相互發(fā)展的情況下，網(wǎng)絡(luò)風(fēng)險對航運業(yè)影響越來越大，應(yīng)該完善海上保險對網(wǎng)絡(luò)風(fēng)險的承保，構(gòu)建海上網(wǎng)絡(luò)保險制度，以便維護(hù)各方當(dāng)事人的利益。