信息安全責(zé)任保險制度比較研究

王天凡

摘要：伴隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)信息安全事件頻發(fā)，且損害范圍廣泛、后果嚴(yán)重。我國已有多起網(wǎng)絡(luò)信息安全賠償訴訟，責(zé)任保險制度可能是應(yīng)對該風(fēng)險的重要選擇。信息安全責(zé)任保險在境外各國保險市場均已有較成熟的實(shí)踐，如美國、英國、德國和印度等，而在我國尚付闕如。網(wǎng)絡(luò)信息風(fēng)險符合可保風(fēng)險的要求，信息安全風(fēng)險可以估算，且隨著實(shí)踐數(shù)據(jù)的積累會日益成熟，而損害范圍和保險范圍的確定應(yīng)當(dāng)結(jié)合我國立法和司法實(shí)踐的判斷。另外，對于關(guān)涉公眾重要隱私信息領(lǐng)域，應(yīng)當(dāng)設(shè)置強(qiáng)制責(zé)任險。信息安全責(zé)任保險的構(gòu)建已逢其時。

關(guān)鍵詞：“互聯(lián)網(wǎng)+”；網(wǎng)絡(luò)信息安全；責(zé)任保險

中圖分類號：D913文獻(xiàn)標(biāo)識碼：A文章編號：1673-8268（2018）03-0060-09

一、“互聯(lián)網(wǎng)+”時代的信息安全風(fēng)險

網(wǎng)絡(luò)的發(fā)展對傳統(tǒng)產(chǎn)業(yè)構(gòu)成了巨大沖擊，從根本上改變了資源配置關(guān)系，使得市場、信息、成本、供需以至市場主體組織結(jié)構(gòu)與經(jīng)營模式等都有了革命性的變革。自從互聯(lián)網(wǎng)進(jìn)入人類生活以來，網(wǎng)絡(luò)信息安全攻防戰(zhàn)就相伴而生，網(wǎng)絡(luò)實(shí)名制更導(dǎo)致個人信息的風(fēng)險激增[1-2]。盡管伴隨著技術(shù)的發(fā)展，“盾”的防御性能逐漸增強(qiáng)，“矛”的攻擊力也非常了得，但民眾反而看到越來越多信息泄露案件的發(fā)生，且泄露的規(guī)模、造成的后果也一次次刷新了人們的想象。在傳統(tǒng)行業(yè)經(jīng)歷“互聯(lián)網(wǎng)+”這一革命性變革的背景下，網(wǎng)絡(luò)信息安全問題顯示出前所未有的重要性，國家安全、市場競爭秩序及企業(yè)信息安全以至個人信息安全均在其列。

2012年，世界經(jīng)濟(jì)論壇全球風(fēng)險報告將網(wǎng)絡(luò)風(fēng)險列為企業(yè)所面對的全球五大風(fēng)險之首。大規(guī)模的侵害如2005年美國的萬事達(dá)卡事件存儲電腦遭黑客入侵，4千萬信用卡客戶信息泄露，被盜賬號信息甚至在互聯(lián)網(wǎng)上公開出售。；2011年被稱為中國互聯(lián)網(wǎng)史上最大規(guī)模信息泄露事件的CSDN數(shù)據(jù)庫被黑致使用戶資料泄露；2013年，如家、漢庭等酒店客戶信息泄露事件；2014年支付寶找回密碼功能系統(tǒng)漏洞事件；攜程網(wǎng)用戶支付信息泄露事件；微軟停止Windows XP技術(shù)支持及全球互聯(lián)網(wǎng)通行的安全協(xié)議OpenSSL嚴(yán)重漏洞事件；2016年，雅虎15億用戶信息泄露事件更是刷新了人類大規(guī)模數(shù)據(jù)泄露的新記錄；2017年，12306官方網(wǎng)站安全漏洞事件；等等。另外，根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心的數(shù)據(jù)，2016年檢測到82 072個網(wǎng)站存在被植入后門的情況，其中2 361個為政府網(wǎng)站。僅2017年7月，我國境內(nèi)就有6 468個網(wǎng)站被篡改，而且總體看來，政府網(wǎng)站被篡改的數(shù)量成倍增長[3]。二、引入網(wǎng)絡(luò)信息安全責(zé)任保險的客觀需求（一）網(wǎng)絡(luò)信息安全損害賠償責(zé)任的規(guī)模化

當(dāng)網(wǎng)絡(luò)信息安全事故發(fā)展到“網(wǎng)絡(luò)颶風(fēng)”（cyber-hurricane）等級時，其波及面廣、傳播速度快，會造成巨大的經(jīng)濟(jì)損失。與此同時，伴隨著人們權(quán)利意識的增強(qiáng)，如果消費(fèi)者自身利益因信息泄露受到較大損害，那么他們提起訴訟的幾率也會增加，且體現(xiàn)出一定的規(guī)模性和重復(fù)性特征。

比較典型的案件如2013年某兩家知名快捷酒店開房信息泄露案件發(fā)生之后，受害者在上海起訴了其中一家酒店管理有限公司和該酒店所采用登記系統(tǒng)的網(wǎng)絡(luò)公司，請求法院判令二公司立即采取補(bǔ)救措施，確保其信息安全，立即停止侵害并消除影響（包括但不限于刪除網(wǎng)上涉及酒店入住信息的數(shù)據(jù)，防止隱私信息的進(jìn)一步公開擴(kuò)散）；要求網(wǎng)絡(luò)公司刪除其個人電子信息，立即停止收集、保存或者使用其入住信息，承擔(dān)侵權(quán)責(zé)任、賠禮道歉，并賠償精神損失其他同類訴訟如：2014年4月甘肅考生報名后個人信息被泄露起訴省人社廳案（參見http：//www.gs.chinanews.com/news/2014/04-14/231538.shtml）；2013年11月中國銀行上海分行泄露客戶信息，在南京遭起訴，銀行辯稱其受到黑客攻擊（參見http：//www.xici.net/d196389737.htm）。。法院經(jīng)審理認(rèn)為：“雖然所顯示的原告姓名、性別、身份證號、生日的信息內(nèi)容一致，但上述信息作為原告的基本信息，其使用頻率和范圍較廣，并不為被告（酒店）所單獨(dú)掌握，其擴(kuò)散渠道也并不具有單一性和唯一性，故亦難以僅憑上述部分信息的一致而判斷互聯(lián)網(wǎng)上流傳的原告信息即為被告系統(tǒng)中留存的原告信息”，即通過否認(rèn)證明損害的證據(jù)的相關(guān)性而回避了問題。另一方面，“原告現(xiàn)也并無其他證據(jù)證明被告泄露了其入住酒店的信息，因此對于原告主張被告泄露其入住酒店信息的事實(shí)，本院不予采信”，將信息泄露的舉證責(zé)任分配在原告一方，因此該案原告最終敗訴王某某訴漢庭星空（上海）酒店管理有限公司隱私權(quán)糾紛案，（2014）浦民一（民）初字第501號。該案之判決殊有可議，本文因論題所限不再展開。。再如2014年2月，鄭在某網(wǎng)站購買某航空公司的機(jī)票后收到了一條航班取消的短信，鄭某撥打了短信中的咨詢電話，但對方向其索要賬號，后經(jīng)核實(shí)，該航班并未取消。因而鄭向天津市東麗區(qū)法院起訴該航空公司和該網(wǎng)站。與前一案例相似，一審法院認(rèn)為：“原告訴稱系二被告將其個人信息泄露，但并未能提供證據(jù)予以證明。且二被告并不是掌握原告?zhèn)€人信息的唯一介體，原告主張不具唯一性、排他性。原告收到陌生短信，案外人可能涉嫌詐騙犯罪，在公安機(jī)關(guān)立案偵破以前，本院不能確認(rèn)系二被告將原告的個人信息泄漏?！眳⒁娻嵞吃V天津航空有限責(zé)任公司等侵權(quán)糾紛案，天津市東麗區(qū)人民法院（2014）麗民初字第1720號民事判決。鑒于上述原因，法院并未支持原告的訴訟請求。且不論信息泄露的舉證責(zé)任是否應(yīng)當(dāng)由原告承擔(dān)，即使如此訴訟，原告由于舉證不能而敗訴，未來必將會出現(xiàn)第一個勝訴的案件，引發(fā)大規(guī)模訴訟只是早晚之事。國外此類事件引發(fā)訴訟的情況屢見不鮮如2006年的LG公司泄露求職者信息引發(fā)訴訟潮事件；2012年8月美國新罕布什爾州的杰夫·艾倫（Jeff Allan）向圣何塞的美國地方法院起訴雅虎，訴稱松懈的安全措施使得黑客得以入侵雅虎的一個數(shù)據(jù)庫，竊取了45萬個賬戶的密碼，希望構(gòu)成集體訴訟。。

根據(jù)中國互聯(lián)網(wǎng)協(xié)會發(fā)布的《中國網(wǎng)民權(quán)益保護(hù)調(diào)查報告（2015）》統(tǒng)計，僅2015年，網(wǎng)民因?yàn)閭€人信息泄露、垃圾信息、詐騙信息等現(xiàn)象，導(dǎo)致遭受的經(jīng)濟(jì)損失人均124元[4]，總體損失約805億元。到2016年，這一數(shù)據(jù)上漲為人均133元，總體經(jīng)濟(jì)損失約915億元[5]。對于數(shù)據(jù)信息系統(tǒng)開發(fā)的企業(yè)或者利用信息存儲系統(tǒng)的企業(yè)而言，因?yàn)槠浣?jīng)營活動涉及數(shù)量龐大的用戶群體或消費(fèi)者，一旦信息安全責(zé)任案件發(fā)生，就可能引發(fā)大規(guī)模訴訟，承擔(dān)數(shù)額難以預(yù)估的賠償責(zé)任。可喜的是，我國對于個人信息和數(shù)據(jù)特別是網(wǎng)絡(luò)經(jīng)營活動中個人信息數(shù)據(jù)的保護(hù)越來越嚴(yán)，防范信息安全責(zé)任已經(jīng)成為系統(tǒng)開發(fā)商及企業(yè)需要特別面對的問題。

（二）與責(zé)任保險制度對接的需要

在以往比較成熟的企業(yè)風(fēng)險預(yù)防的智識寶庫之中，企業(yè)通過責(zé)任保險的方式把從事正常經(jīng)營活動不得不面對的法律責(zé)任風(fēng)險（主要是損害賠償）轉(zhuǎn)嫁給保險企業(yè)，進(jìn)而通過保險公司分散風(fēng)險，是已被經(jīng)驗(yàn)所證明的極為有效的法律策略。西方國家為解決其社會普遍性問題，逐漸形成了較為成熟的責(zé)任保險機(jī)制及其法律規(guī)范體系。網(wǎng)絡(luò)信息安全民事責(zé)任亦可循此舊途。

我國《保險法》第六十五條規(guī)定了責(zé)任保險制度，其中第四款是指以被保險人對第三者依法應(yīng)負(fù)的賠償責(zé)任為保險標(biāo)的的保險，即在被保險人被判定對第三人負(fù)侵權(quán)責(zé)任時，由保險公司給予補(bǔ)償[6]。責(zé)任保險制度最初的出現(xiàn)正是由于在許多情況下，行為人即使盡到了足夠的注意義務(wù)，責(zé)任風(fēng)險會依然存在。另一方面，責(zé)任的最終判斷者是法院，這就意味著行為人無論如何都還會面臨舉證及司法裁判的不確定性。各種責(zé)任保險都是為了使被保險人難以避免的風(fēng)險得以分擔(dān)而設(shè)立，如會計師職業(yè)責(zé)任保險、機(jī)動車強(qiáng)制責(zé)任保險等。責(zé)任保險正是針對行為人即使是再謹(jǐn)慎也難以徹底避免的法律責(zé)任的風(fēng)險，通過保險人將所造成的損失進(jìn)行轉(zhuǎn)移，由全社會或特定的社會群體來分散損失金額的責(zé)任機(jī)制[7]。如果沒有責(zé)任保險，那么許多行為人在遭遇大規(guī)模索賠時就可能會面臨破產(chǎn)，而投資者、創(chuàng)業(yè)者也會由于擔(dān)憂出現(xiàn)這種情形和畏懼高風(fēng)險而不敢再進(jìn)入這些領(lǐng)域。但互聯(lián)網(wǎng)時代早已是不可逆的現(xiàn)實(shí)，在沒有責(zé)任保險的情況下，越來越多的從業(yè)者為了分散自己的風(fēng)險，只能采取“過度防御”的策略[8]。如摩根大通宣稱自己每年在網(wǎng)絡(luò)安全上的開支高達(dá)25億美元，但結(jié)果還是被入侵者們攻破并竊取信息2014年6月開始，黑客們利用摩根大通官網(wǎng)上的一個漏洞，用一些復(fù)雜的工具深入到其網(wǎng)絡(luò)基礎(chǔ)設(shè)施中，悄悄竊取了包括客戶賬戶資料在內(nèi)的大量情報，摩根大通直到近兩個月后才察覺。。面對黑客，即使是巨資投入也難以再讓人保持信心，而且這些過度的投入最終還是會轉(zhuǎn)嫁到客戶和不特定公眾身上。

美國系統(tǒng)網(wǎng)絡(luò)安全協(xié)會SANS（SysAdmin， Audit， Network， Security）認(rèn)為，網(wǎng)絡(luò)信息安全服務(wù)和信息安全保險的密切結(jié)合將是解決網(wǎng)絡(luò)信息安全問題的必然趨勢[9]。怡安奔福公司（Aon Benfield）的一份市場調(diào)查報告也指出，網(wǎng)絡(luò)保險需求一直在顯著上升，尤其在一些引人注目的案例發(fā)生之后會立刻上漲。在保費(fèi)激增的同時，網(wǎng)絡(luò)保險責(zé)任范圍和產(chǎn)品的年度增長正以30%～50%的速率上升[10]。據(jù)此，可以將信息安全保險定義為：基于投保人與保險人之間的信息安全責(zé)任保險合同，由保險人在特定的信息侵權(quán)賠償責(zé)任發(fā)生時，向受害人賠付一定金額的責(zé)任保險制度。

三、信息安全責(zé)任保險的比較法參照

信息安全責(zé)任保險在境外各國保險市場均已有較長時間的實(shí)踐發(fā)展，不同國家的不同保險公司對其也有著各種不同的設(shè)計和稱呼，如網(wǎng)絡(luò)空間保險（cyberspace insurance）、信息安全保險（information security insurance）、網(wǎng)絡(luò)安全保險（network security insurance）、電子風(fēng)險保險（e-risk insurance）等。

（一）美國

蘇黎世北美保險公司（Zurich North America）早在1999年就在美國推出了“E-Risk保險”（E-Risk Edge或E-Business Insurance），專門針對由于感染病毒、非法入侵、網(wǎng)上攻擊（DOS）等導(dǎo)致業(yè)務(wù)陷入癱瘓并給企業(yè)帶來巨大經(jīng)濟(jì)損失的情形。該保險的承保范圍包括：未經(jīng)授權(quán)而侵入數(shù)據(jù)或軟件，計算機(jī)病毒導(dǎo)致數(shù)據(jù)丟失或系統(tǒng)損傷，對系統(tǒng)的攻擊導(dǎo)致履行不能或無法進(jìn)行線上業(yè)務(wù)的操作，侮辱、誹謗、詆毀、侵犯他人著作權(quán)和公開私人信息，盜竊金錢、有價證券、數(shù)據(jù)、軟件或計算機(jī)資源，電子商務(wù)敲詐勒索等[11]。目前，美國本土有30多家保險公司提供網(wǎng)絡(luò)保險產(chǎn)品服務(wù)。美國國際集團(tuán)（American International Group，AIG）保險公司于2003年推出網(wǎng)絡(luò)保險業(yè)務(wù)（CyberEdge）。在此之前，美國境內(nèi)也有保險公司在被保險人受到黑客攻擊時依據(jù)“商業(yè)損失”或“故意毀壞財產(chǎn)”條款給予一定賠償，但在保險條款中都沒有具體明確包括有黑客攻擊。而且通常情況下這樣的保險費(fèi)用都是10萬美元起步，有時可高達(dá)300萬美元。專門的網(wǎng)絡(luò)保險業(yè)務(wù)剛剛推出的時候并不被看好，但就在2003年年中包括Yahoo、Amazon和eBay等大型網(wǎng)站相繼被黑客侵襲之后，互聯(lián)網(wǎng)保險業(yè)務(wù)馬上受到重視，AIG當(dāng)月的保險業(yè)務(wù)就增加了四到五倍[12]。AIG提供的保險范圍包括：由于網(wǎng)路安全或數(shù)據(jù)的侵入而造成的第三人損失，侵入導(dǎo)致直接受害人花費(fèi)的費(fèi)用，由于網(wǎng)路安全或數(shù)據(jù)的侵入而造成的收入喪失和營業(yè)費(fèi)用，以公開數(shù)據(jù)或攻擊系統(tǒng)相威脅進(jìn)行敲詐勒索，網(wǎng)絡(luò)誹謗和侵犯版權(quán)、商標(biāo)權(quán)等[13]。

美國的網(wǎng)絡(luò)信息安全保險在其國內(nèi)以至全球市場都占有優(yōu)勢地位，這與其國內(nèi)法和政策的促進(jìn)密不可分。自2002年開始，美國各州逐漸通過了《違反安全通知法案》（Security breach notification laws），目前已有48個州通過。該法案專門針對越來越多的含有個人可識別信息（personally identifiable information）的消費(fèi)者數(shù)據(jù)庫的數(shù)據(jù)泄露，要求任何實(shí)體在發(fā)生數(shù)據(jù)泄露時應(yīng)及時通知其客戶和其他相關(guān)方，并且采取措施以彌補(bǔ)由于數(shù)據(jù)泄露而導(dǎo)致的損害。且各州均對違反該義務(wù)規(guī)定了不同數(shù)額的罰金[14]。2013年2月，美國時任總統(tǒng)奧巴馬在國會未能通過《網(wǎng)絡(luò)情報共享和保護(hù)法案》（Cyber Intelligence Sharing and Protection Act，CISPA）該法案后于2012年4月在眾議院獲得通過，而另一類似法案——網(wǎng)絡(luò)信息共享法案Cybersecurity Information Sharing Act （CISA），則于2014年7月進(jìn)入?yún)⒆h院。之后，簽署了一項(xiàng)呼吁私營公司為政府在一些國家“網(wǎng)絡(luò)威脅”情況下分享信息的命令，并于同年8月對外公布了該項(xiàng)命令中將要實(shí)行的一些激勵措施。其中，對美國多個機(jī)構(gòu)指定的首要措施則是建立一個具備一定競爭力的“網(wǎng)絡(luò)保險市場”，讓私營公司愿意加入到“減少網(wǎng)絡(luò)威脅行動”中此次激勵措施將涉及到的內(nèi)容有聯(lián)邦補(bǔ)助金、加快從私營公司獲取技術(shù)協(xié)助、限制責(zé)任范圍以及公眾對將參與其中公司的知情權(quán)等。（參見http：//rt.com/trends/cispa-bill-internet-freedom/）。2015年4月，奧巴馬又簽署新的執(zhí)行命令，授權(quán)總統(tǒng)可以針對網(wǎng)絡(luò)攻擊發(fā)出緊急命令，對在美國境外的黑客，可凍結(jié)其銀行賬戶。同年12月，美國國會通過了《網(wǎng)絡(luò)安全信息共享法案》，目的在于黑客攻擊的情況下促成情報交換更為即時快速，以加強(qiáng)網(wǎng)絡(luò)防護(hù)。正是由于這些法案中的強(qiáng)制性規(guī)定，促使美國許多公司面臨越來越嚴(yán)格的信息安全保障義務(wù)和與此相應(yīng)的更大的責(zé)任風(fēng)險，因而越來越多的公司購買了信息安全保險，以便在發(fā)生損害賠償責(zé)任時轉(zhuǎn)移風(fēng)險，并強(qiáng)制性上報相關(guān)情況。此外，保險公司在得到這些報告后，可以利用大數(shù)據(jù)進(jìn)行專業(yè)分析，從而了解網(wǎng)絡(luò)安全風(fēng)險級別，制定更加合理的保險定價，使保費(fèi)的價格越來越合理[15]。

（二）歐盟

英國目前有大約15家保險公司專門提供網(wǎng)絡(luò)信息安全的保險險種。1999年，英國倫敦勞埃德（Lloyd）保險公司為康特派恩（Counterpane）計算機(jī)安保公司提供保額一億美元的“黑客保險”（Hacker insurance），專門針對由黑客攻擊而導(dǎo)致的公司及其客戶的損失[16]?？堤嘏啥鞴静⒁虼诵?，其將成為第一家保證在黑客侵入其防衛(wèi)系統(tǒng)并竊取用戶的資料時，向用戶提供直接賠償?shù)幕ヂ?lián)網(wǎng)安保服務(wù)提供商。這一保險不針對家庭用戶，而是諸如Yahoo等互聯(lián)網(wǎng)服務(wù)提供商。這一措施將與事先監(jiān)控共同構(gòu)成避免黑客威脅的手段。在保費(fèi)方面，一年2萬美元可獲得100萬美元的保險金額，7.5萬美元可獲得1 000萬美元的保險金額，至于附加險高達(dá)1億美元的保險金額所需的保險費(fèi)價格，則需要與勞埃德保險公司協(xié)商。盡管有分析人士指出，未來十年內(nèi)，伴隨著電子商務(wù)的增長，黑客保險市場每年的保費(fèi)預(yù)期將達(dá)到十億美元以上，但保險公司望而卻步，主要原因是現(xiàn)有技術(shù)和方法難以估量這一保險所面對的風(fēng)險[17]。

德國網(wǎng)絡(luò)保險市場近年來發(fā)展迅猛，2013年有三大保險公司提供了新的網(wǎng)絡(luò)保險條款，2014年又有新的“供應(yīng)商”加入網(wǎng)絡(luò)保險產(chǎn)品行列[18]。在整個德國市場上，現(xiàn)在僅有12家保險公司專門提供網(wǎng)絡(luò)信息安全保險，相對于網(wǎng)絡(luò)信息和電子商務(wù)的發(fā)展而言，顯得明顯不足[19]。同時，德國網(wǎng)絡(luò)保險市場至今依然表現(xiàn)出由英美大型工業(yè)保險公司所占據(jù)的特點(diǎn)[20]。德國本土的保險公司中，安聯(lián)保險公司（Allianz Global Corporate & Speciality， AGCS）于2013年7月推出了名為“網(wǎng)絡(luò)保護(hù)”的保險（Cyber Protect）；緊接著，瑞士蘇黎世保險公司便迅速推出了“網(wǎng)絡(luò)與數(shù)據(jù)保護(hù)”保險（Cyber & Data Protection）；HDI-格林工業(yè)保險股份公司（HDI-Gerling Industrie Versicherung AG，HDI）也緊隨其后出臺了“網(wǎng)絡(luò)+”（Cyber+）保險[21] 。

歐盟出臺的信息安全立法《歐洲數(shù)據(jù)保護(hù)規(guī)定》（Europes General Data Protection Regulation，GDPR）規(guī)定了在個人數(shù)據(jù)泄露情形下向相關(guān)數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)的通知義務(wù)，要求“不得無故拖延，并且在可行的情況下，在知悉數(shù)據(jù)泄露之后72小時之內(nèi)作出”；當(dāng)個人數(shù)據(jù)泄露可能導(dǎo)致自然人的權(quán)利和自由面臨高度風(fēng)險時，應(yīng)當(dāng)立即通知數(shù)據(jù)當(dāng)事人；如果該主體認(rèn)為不存在這樣的風(fēng)險，監(jiān)管機(jī)構(gòu)認(rèn)為存在，則有權(quán)要求該主體履行通知義務(wù)。GDPR同時規(guī)定了罰金規(guī)則：怠于履行通知義務(wù)的主體可能遭受最高1 000萬歐元或該主體上一財年全球年度營業(yè)收入的2%（兩者取數(shù)額較高的）的行政罰款GDPR第33條、第34條及第83條的相關(guān)規(guī)定。（參見http：//data.consilium.europa.eu/doc/document/ST-5419-2016-INIT/en/pdf）。遺憾的是，歐盟的這一數(shù)據(jù)保護(hù)規(guī)定要到2018年5月才正式施行，因而其對于數(shù)據(jù)安全保險的促進(jìn)作用仍處在“潛伏期”。

（三）印度

在印度，各保險公司正積極開拓網(wǎng)絡(luò)信息責(zé)任保險市場。巴賈杰安聯(lián)一般保險公司的做法是把網(wǎng)絡(luò)責(zé)任險作為其專業(yè)責(zé)任保險的附加條款，將涉及到由計算機(jī)病毒、誤傳、誹謗、違反保密協(xié)議、侵犯知識產(chǎn)權(quán)等相關(guān)風(fēng)險所引發(fā)的第三方索賠納入其中。印度工業(yè)信貸倫巴德一般保險公司將網(wǎng)絡(luò)責(zé)任險作為錯誤和遺漏保險的附加條款投保，同時也作為獨(dú)立的網(wǎng)絡(luò)責(zé)任保險投保。目前，該公司已正式接受IT業(yè)的咨詢。印度各保險公司均十分看好網(wǎng)絡(luò)責(zé)任險的發(fā)展，認(rèn)為“銀行業(yè)、金融服務(wù)和保險業(yè)、醫(yī)院、旅游公司、教育機(jī)構(gòu)，以及零售業(yè)巨頭等其他行業(yè)開始感覺到對這種保險的需求只是時間問題”[22]。網(wǎng)絡(luò)信息責(zé)任保險的保費(fèi)通常位于每投保100萬美元收取5 000美元到1.5萬美元之間，高出其他保險10%～20%的費(fèi)用。但各家保險公司都認(rèn)為考慮到所涉及的風(fēng)險，這樣的定價非常合理。但就保險范圍而言，又將未經(jīng)許可發(fā)送電子郵件、搭線、竊聽、欺詐等行為，以及未能維持符合要求的計算機(jī)安全等行為排除在外。比較有特色的是，塔塔美國國際集團(tuán)一般保險公司推出的責(zé)任保險規(guī)定：如果主管或高級職員受到忽視網(wǎng)絡(luò)安全風(fēng)險的指控，而這種疏忽又造成了一定損失的，那么針對主管或高級職員的索賠將被列入主管和高級職員保險單的覆蓋范圍內(nèi)[23]。

（四）我國信息安全責(zé)任保險的發(fā)展現(xiàn)狀

2013年底，蘇黎世保險公司開始在中國推出安全與信息保護(hù)險[24]。蘇黎世保險集團(tuán)推出的此項(xiàng)保險是針對企業(yè)用戶研發(fā)的產(chǎn)品，承保標(biāo)的主要是企業(yè)內(nèi)部存有的機(jī)密商業(yè)信息、客戶信息和雇員個人信息等。如果公司的計算機(jī)安全系統(tǒng)遭到惡意攻擊，導(dǎo)致企業(yè)保管的客戶信息或公司內(nèi)部信息泄露造成的財產(chǎn)損失，均可獲得賠付。此外，該保險公司對于投保企業(yè)的董事、高管或員工在工作期間，因過失丟失或意外泄露客戶和企業(yè)的信息所造成的損失或責(zé)任也可獲賠。如公司職員出差期間將存有客戶資料的筆記本遺落在飛機(jī)或者出租車上，也可通過保險公司申請賠付[25]。此類保險還涵括由于網(wǎng)絡(luò)受到攻擊而導(dǎo)致的營業(yè)損失和系統(tǒng)恢復(fù)費(fèi)用。如某淘寶網(wǎng)店因?yàn)楹诳凸魧?dǎo)致其網(wǎng)站無法登陸，銷售無法進(jìn)行，那么其在營業(yè)中斷期間遭受的損失以及恢復(fù)系統(tǒng)的費(fèi)用都可以得到保險賠償。但是，這款保險的保費(fèi)價位相對較高，保險公司會根據(jù)賠償限額的高低和風(fēng)險因素進(jìn)行考量，年度保費(fèi)從幾萬元到上百萬元人民幣。另外，投保前蘇黎世保險公司還會考量投保人的年?duì)I業(yè)收入、所保管的信息類別和數(shù)量、信息安全防護(hù)等級、內(nèi)控制度、司法管轄范圍以及過往損失記錄等[25]。

2014年6月，最高人民法院發(fā)布《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》，其中第十二條規(guī)定網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)服務(wù)提供者利用網(wǎng)絡(luò)公開自然人個人隱私和其他個人信息，如基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等，造成他人損害的，可以構(gòu)成侵權(quán)責(zé)任。且這兩類主體若以違反社會公共利益、社會公德的方式公開某些已合法公開或合法獲取的個人信息，或者公開該信息侵害權(quán)利人值得保護(hù)的重大利益，也可能構(gòu)成侵權(quán)責(zé)任。2016年頒布的《網(wǎng)絡(luò)安全法》第二十二條規(guī)定，網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險時，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。并在第二十五條針對網(wǎng)絡(luò)運(yùn)營者在發(fā)生危害網(wǎng)絡(luò)安全的事件時也規(guī)定了要采取補(bǔ)救措施和報告義務(wù)。值得注意的是，《網(wǎng)絡(luò)安全法》在“法律責(zé)任”一章專門針對違反上述兩條的情形規(guī)定了對單位和負(fù)責(zé)人的罰款數(shù)額。以上規(guī)則的出臺對國內(nèi)相關(guān)信息主體的信息安全義務(wù)及報告義務(wù)做出了強(qiáng)制性規(guī)定，一定程度上促進(jìn)了國內(nèi)企業(yè)及相關(guān)主體對相關(guān)風(fēng)險的認(rèn)識，部分企業(yè)開始意識到風(fēng)險分散的必要性。

2016年初，我國的保險公司推出了數(shù)據(jù)安全險，專門針對黑客盜取云計算數(shù)據(jù)進(jìn)行保險。一旦發(fā)生因黑客入侵引發(fā)的數(shù)據(jù)泄露事件，保險公司將提供最高100萬元的現(xiàn)金賠償。賠償標(biāo)準(zhǔn)基于用戶的投保費(fèi)用和實(shí)際損失進(jìn)行界定，主要保障的是用戶云服務(wù)器上存儲的數(shù)據(jù)。因黑客攻擊導(dǎo)致數(shù)據(jù)公開給企業(yè)造成的直接經(jīng)濟(jì)損失，因黑客攻擊導(dǎo)致數(shù)據(jù)在第三方網(wǎng)站、論壇、媒體公布給企業(yè)造成的品牌損失，因黑客攻擊導(dǎo)致企業(yè)數(shù)據(jù)泄露，被最終用戶索賠的損失等都在理賠范圍內(nèi)。盡管分析家們都預(yù)測在信息安全保險這個領(lǐng)域可獲保費(fèi)利益十分巨大，甚至有專家表示這一責(zé)任險在不久的將來會超過董事責(zé)任險而成為各保險公司責(zé)任險中最大的保費(fèi)收入來源[24]，但保險公司對于該項(xiàng)保險依然持相對保守的態(tài)度，究其原因是保險法學(xué)界普遍對于信息安全風(fēng)險的可保性問題，風(fēng)險的估算、損害的計算等問題尚未展開討論，業(yè)界亦欠缺先前經(jīng)驗(yàn)可供參考。

四、信息安全責(zé)任保險制度構(gòu)建難點(diǎn)

（一）網(wǎng)絡(luò)信息風(fēng)險的可保性問題

在可保風(fēng)險的認(rèn)定標(biāo)準(zhǔn)問題上，加拿大保險局（The Insurance Bureau of Canada，IBC）認(rèn)為必須滿足三個條件[26]：第一，相對較大數(shù)量的人面臨風(fēng)險，第二，任一小部分面臨風(fēng)險的人在不特定任何時間可能蒙受損失，第三，損失是隨機(jī)發(fā)生的。對于第一個條件，隨著現(xiàn)今網(wǎng)絡(luò)服務(wù)的普及，商事、消費(fèi)者乃至公共服務(wù)領(lǐng)域均已深度覆蓋，信息安全風(fēng)險的廣泛性早已在各國信息泄露事件中得到充分揭示。而依據(jù)第二個條件的定義，則諸多網(wǎng)絡(luò)信息安全風(fēng)險，包括千年蟲事件[27]在內(nèi)，是否能被納入可保風(fēng)險的范圍值得懷疑。網(wǎng)絡(luò)信息安全風(fēng)險的特殊性在于，雖然可能會面臨損失的網(wǎng)絡(luò)服務(wù)提供商數(shù)量很大，但受損害的第三人的數(shù)量可能會更大，而不像傳統(tǒng)的責(zé)任險那樣，第三人損害相對來說范圍可以確定。如如家、漢庭案件中，網(wǎng)絡(luò)技術(shù)的提供者因其系統(tǒng)存在漏洞，直接導(dǎo)致所有客戶均成為受害人，而泄露的信息又是所有客戶網(wǎng)站消費(fèi)者的信息，這其中的損害是疊加的。也就是說，網(wǎng)絡(luò)信息安全風(fēng)險一旦發(fā)生，從損害擴(kuò)展速度和波及范圍上而言，可能超過傳統(tǒng)意義上幾乎任何類型的保險風(fēng)險。由于網(wǎng)絡(luò)產(chǎn)品提供者的數(shù)量足夠多，且不同提供者的產(chǎn)品和服務(wù)之間相互獨(dú)立，故保險公司完全可能通過大數(shù)法則來實(shí)現(xiàn)風(fēng)險的分散。對于第三個條件，雖然多數(shù)風(fēng)險都是由于人為原因，即黑客利用存在的漏洞而竊取信息和數(shù)據(jù)，但客觀上風(fēng)險的發(fā)生依然是隨機(jī)性的，在同一時間，通常只有部分特定漏洞誘發(fā)的風(fēng)險會有損失，因此保險人可以實(shí)現(xiàn)風(fēng)險的分散。從現(xiàn)有歐美保險市場上信息安全責(zé)任險的發(fā)達(dá)也可推知，信息安全風(fēng)險并非不具有可保性。

（二）信息安全責(zé)任的風(fēng)險估算

除了上述可保性的三個要件之外，作為可保風(fēng)險，還必須具有可評估性。對于信息安全風(fēng)險如何計算這一難點(diǎn)問題，其實(shí)可以將網(wǎng)絡(luò)信息安全的風(fēng)險與現(xiàn)有責(zé)任保險中的風(fēng)險類型相比較。比如，許多討論者會將網(wǎng)絡(luò)信息安全保險的風(fēng)險與機(jī)動車保險中的風(fēng)險相類比，認(rèn)為二者具有類似性，保險公司的分析師卻指出了兩者的不同：在機(jī)動車保險領(lǐng)域，保險公司有足夠大的市場足以分散風(fēng)險，相對于眾多的被保險人而言，只有少數(shù)的隨機(jī)保險事件發(fā)生，而在網(wǎng)絡(luò)風(fēng)險領(lǐng)域，風(fēng)險和保險需求并不匹配；另外，機(jī)動車責(zé)任險領(lǐng)域已有相對可靠的實(shí)際數(shù)據(jù)可供計算可能的潛在損失，而網(wǎng)絡(luò)信息安全事件尚須數(shù)年的歷史數(shù)據(jù)作為支撐，才能估算出潛在損失，并以此進(jìn)行更為具體的保險安排。保險公司的一些分析師也認(rèn)為，網(wǎng)絡(luò)信息安全風(fēng)險可能更類似于巨災(zāi)保險所面臨的風(fēng)險，因?yàn)檫@兩種風(fēng)險都是極有可能在其發(fā)生時連帶諸多行業(yè)同時遭受損失或損害[26]。德累斯頓工業(yè)大學(xué)計算機(jī)科學(xué)系系統(tǒng)結(jié)構(gòu)研究所Rainer Bhme教授在一份報告中指出，雖然在許多保險產(chǎn)品的供給一方看來，由于缺乏信息安全事件的足夠數(shù)據(jù)，使得這似乎更像是一種藝術(shù)而不是科學(xué)，但無論從風(fēng)險的來源還是風(fēng)險的產(chǎn)生來看，都不能把信息安全事件的風(fēng)險與過往的傳統(tǒng)保險風(fēng)險相等同，因?yàn)楝F(xiàn)今電腦聯(lián)網(wǎng)的現(xiàn)狀將會造成不必要的關(guān)聯(lián)索賠。正因?yàn)楦鞅ｋU公司在可能面臨的網(wǎng)絡(luò)信息安全保險事故的風(fēng)險問題上，沒有更多的數(shù)據(jù)和更好的方法進(jìn)行計算，所以我國的保險公司在這個市場上普遍還沒有明確的行動，德國等國家的保險公司對此也相對保守緩慢。

對于這一問題，除了市場經(jīng)驗(yàn)與數(shù)據(jù)的積累外，各國在信息安全方面的立法與司法情況也具有至關(guān)重要的借鑒作用。在英美等這一險種較發(fā)達(dá)的國家的市場上，雖然最初保險公司在設(shè)計此類保險時，費(fèi)用相較于其他保險要高出不少，但伴隨著依據(jù)法律規(guī)定各信息的管理實(shí)體及服務(wù)提供者在發(fā)生信息泄露時的通知和報告義務(wù)的履行，保險人獲得了大量較為準(zhǔn)確的第一手信息，能夠做到越來越準(zhǔn)確地對風(fēng)險進(jìn)行評估；相應(yīng)的，對于不同的被保險人也可以更為妥當(dāng)?shù)卮_定其保險費(fèi)率。也就是說，信息安全責(zé)任的風(fēng)險估算對于保險人而言，在數(shù)據(jù)日漸充分的條件下，是可以逐漸成熟化解決的問題。

（三）網(wǎng)絡(luò)信息安全責(zé)任的損害認(rèn)定

網(wǎng)絡(luò)信息安全風(fēng)險中重要的一環(huán)是系統(tǒng)侵入和信息泄露后所造成的損害認(rèn)定。在此所考慮的問題并非單純涉及受害人的舉證，還有因果關(guān)系的認(rèn)定，網(wǎng)絡(luò)環(huán)境無形、交錯、難以捕捉、專業(yè)性等特點(diǎn)，使傳統(tǒng)侵權(quán)法中本已錯綜復(fù)雜的因果關(guān)系理論變得更為復(fù)雜和困難。在損害程度認(rèn)定方面，比如AIG等公司的保險條款中就明確了因網(wǎng)絡(luò)安全或數(shù)據(jù)侵入而造成的收入喪失和額外的營業(yè)費(fèi)用。另外，許多此類保險不僅包含對以公開數(shù)據(jù)或攻擊系統(tǒng)相威脅進(jìn)行敲詐勒索而賠償?shù)?，而且包括網(wǎng)絡(luò)誹謗和侵犯版權(quán)、商標(biāo)權(quán)等相關(guān)損害和責(zé)任。此類損害都是直接致害，一般而言屬于典型的保險范圍。但是也有比較寬泛的對信息安全的保護(hù)，比如蘇黎世保險公司在世界各地推出的保險中，大多涵蓋對于投保企業(yè)的董事、高管或員工在工作期間，因過失丟失或意外泄露客戶、企業(yè)信息所造成的損失或責(zé)任。更復(fù)雜的問題是，如果是基于首次的信息受侵害而公開事件造成的二次損害或如前文所述屬于疊加、次生或受牽連而發(fā)生的損害，又該如何判斷呢？這些在保險中是否應(yīng)該涵蓋，保險人在設(shè)計保險范圍時也必須考慮。更為特殊的是，是否造成實(shí)際的經(jīng)濟(jì)損失，如果只是騷擾電話、廣告推銷等情形，是否構(gòu)成對生活安寧的侵?jǐn)_，在不同國家不同的立法背景和司法環(huán)境下可能都會有不同的認(rèn)定。若此類精神損害能夠得到認(rèn)可，保險金額的確定也必然會受到相應(yīng)的影響。對我國境內(nèi)的保險公司而言，最高人民法院在2014年10月出臺的《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》，無疑是對風(fēng)險和損失進(jìn)行估算的重要依據(jù)。

（四）強(qiáng)制責(zé)任保險的必要性

強(qiáng)制責(zé)任保險是伴隨著現(xiàn)代社會危險責(zé)任的產(chǎn)生和擴(kuò)大而發(fā)展起來的。強(qiáng)制責(zé)任保險從某種意義上而言是國家對個人意愿的干預(yù)，所以強(qiáng)制保險的范圍受到嚴(yán)格限制：必須由法律、行政法規(guī)明確規(guī)定。然而，從最為基本的層面來看，網(wǎng)絡(luò)信息安全在一定程度上是關(guān)涉公共利益的。首先，迄今為止任何一個網(wǎng)絡(luò)信息安全事件的發(fā)生，受損害者都是一定范圍甚至是很大范圍內(nèi)的不特定人群。其次，從侵害的權(quán)益而言，無論將信息安全解釋為一個獨(dú)立的權(quán)利，還是借用隱私權(quán)的概念，或者引入生活安寧權(quán)等，不可否認(rèn)的是，這一權(quán)益伴隨著現(xiàn)代社會科技的發(fā)展將逐漸顯現(xiàn)出其對于個人生活、財產(chǎn)安全、精神安寧的高度重要性。此類網(wǎng)絡(luò)信息的侵害，當(dāng)屬對公共利益的侵害無疑。

更為重要的是，受攻擊的主體不僅包括企業(yè)、公司，還有醫(yī)院、國家機(jī)關(guān)等一切數(shù)據(jù)信息的保有者，而后者通常所保有的信息都直接涉及個人隱私，這些信息都是基于網(wǎng)絡(luò)而存儲，再加上各機(jī)關(guān)、機(jī)構(gòu)之間進(jìn)行信息共享，并且基于互聯(lián)網(wǎng)給公眾提供更多信息化服務(wù)的現(xiàn)實(shí)趨勢，必將使得這些信息更多地暴露于網(wǎng)絡(luò)風(fēng)險之下。再加上這些主體的清償能力在大規(guī)模的侵害面前是十分有限的，甚至對大量機(jī)構(gòu)而言可能還會引發(fā)國家賠償。這一方面對于受損害第三人的權(quán)利增加了獲賠難度，另一方面對國家機(jī)關(guān)而言，也是不能承受之重。因此，在關(guān)系公眾重要隱私信息領(lǐng)域，將網(wǎng)絡(luò)信息安全保險設(shè)定為強(qiáng)制責(zé)任保險非常必要。當(dāng)然，從立法政策層面看，無論在哪個程度上推行網(wǎng)絡(luò)信息安全的強(qiáng)制保險，都將會對整個行業(yè)以至市場結(jié)構(gòu)造成影響，這必然成為天平的另一方[28]。五、結(jié)論：信息安全責(zé)任保險構(gòu)建已逢其時互聯(lián)網(wǎng)至今已深度融入社會生活，網(wǎng)絡(luò)信息安全事件近年來在國內(nèi)外呈爆發(fā)之勢，且發(fā)生范圍逐漸從商業(yè)領(lǐng)域擴(kuò)展到消費(fèi)者乃至公共服務(wù)領(lǐng)域。雖然大規(guī)模的網(wǎng)絡(luò)信息安全事件訴訟索賠在我國尚不多見，但未來已可預(yù)見，為此，有必要建立信息安全責(zé)任保險制度。信息安全責(zé)任保險在境外各國保險市場均已有較長時間的實(shí)踐發(fā)展，如美國、英國、瑞士、德國甚至印度的保險公司，都有豐富的實(shí)踐經(jīng)驗(yàn)。而我國的保險公司對網(wǎng)絡(luò)信息保險依舊持謹(jǐn)慎保守的態(tài)度，對于信息安全風(fēng)險可保性問題，風(fēng)險的估算、損害的認(rèn)定等問題尚存疑慮。對此，通過上述討論可知，信息安全風(fēng)險是完全符合可保性要件的風(fēng)險；大量的國外保險實(shí)踐表明，信息安全風(fēng)險是可以進(jìn)行估算的，且伴隨著保險人對風(fēng)險事件數(shù)據(jù)的掌握和充分的保險市場的競爭，這種評估在未來將會日益成熟，相應(yīng)的保險費(fèi)率的確定也會更加妥當(dāng)；在信息安全責(zé)任的損害認(rèn)定問題上，需要依賴更多的司法裁判來確定。另外，在關(guān)系公眾重要隱私信息的領(lǐng)域，將網(wǎng)絡(luò)信息安全保險設(shè)定為強(qiáng)制責(zé)任保險有其必要性。我國未來對于個人數(shù)據(jù)信息的保護(hù)機(jī)制必將更加完善，而保險作為社會風(fēng)險分散的重要工具，對于網(wǎng)絡(luò)時代的信息安全與社會治理、維護(hù)個人權(quán)利與安寧、推動“互聯(lián)網(wǎng)+”背景下行業(yè)與市場的規(guī)范與穩(wěn)定發(fā)展都必將發(fā)揮其有益功能。

參考文獻(xiàn)：

[1]朱靖琰，王超.網(wǎng)絡(luò)實(shí)名制的是與非——基于建構(gòu)網(wǎng)絡(luò)公共領(lǐng)域的視角[J].重慶郵電大學(xué)學(xué)報（社會科學(xué)版），2014（1）：50-54.

[2]華劼.移動互聯(lián)網(wǎng)時代個人信息隱私保護(hù)[J].重慶郵電大學(xué)學(xué)報（社會科學(xué)版），2017（5）：40-47.

[3]2017年中國網(wǎng)頁篡改現(xiàn)狀及被攻擊網(wǎng)站數(shù)量統(tǒng)計[EB/OL].（2017-08-08）[2017-12-31].http：//www.chyxx.com/industry/201708/548322.html.

[4]中國網(wǎng)民權(quán)益保護(hù)調(diào)查報告（2015）[R/OL].（2015-07-22）[2017-11-25].http：//www.scio.gov.cn/zhzc/8/5/Document/1441916/1441916.htm.

[5]中國互聯(lián)網(wǎng)協(xié)會.中國網(wǎng)民權(quán)益保護(hù)調(diào)查報告2016[R/OL].（2016-06-22）[2017-11-25].http：//www.isc.org.cn/zxzx/xhdt/listinfo-33759.html.

[6]周學(xué)峰.侵權(quán)訴訟與責(zé)任保險的糾結(jié)[J].清華法學(xué)，2012（2）：83-101.

[7]張梓太，張乾紅.我國環(huán)境侵權(quán)責(zé)任保險制度之構(gòu)建[J].法學(xué)研究，2006（3）：84-97.

[8]周學(xué)峰.論責(zé)任保險的社會價值及其對侵權(quán)法功能的影響[J].甘肅政法學(xué)院學(xué)報，2007（5）：108-112.

[9]王新雷.網(wǎng)絡(luò)安全保險法律政策的路線圖[J].政法學(xué)刊，2011（2）：15-21.

[10]Aon Benfield. Reinsurance Market Outlook[EB/OL].（2016-09-11）[2017-11-25].http：//thoughtleadership.aonbenfield.com/documents/20160911-ab-analytics-rmo.pdf.

[11]E-Business Insurance from Zurich North America[EB/OL].[2017-10-23].https：//secure.zurichna.com/erisk_edge.htm.

[12]AIG eBusiness Risk Solutions Expands Coverage Against Cyber Security Threats[EB/OL].（2003-05-06）[2017-11-28].http：//www.businesswire.com/news/home/20030506005705/en/AIG-eBusiness-Risk-Solutions-Expands-Coverage-Cyber#.VFvEaNFxn3g.

[13]CyberEdge Insurance Coverage[EB/OL].[2017-11-20].http：//www.aig.com/CyberEdge_3171_417963.html.

[14]Baker Hostetler. State Data Breach Law Summary[EB/OL].（2017-11-29）[2017-12-08].https：//www.bakerlaw.com/files/Uploads/Documents/Data%20Breach%20documents/State_Data_Breach_Statute_Form.pdf.

[15]董峰，李路斌.我國發(fā)展網(wǎng)絡(luò)安全保險任重道遠(yuǎn)[N].中國保險報，2017-07-21.

[16]Associated Press.Lloyds to Back Hacker Insurance [N].Los Angeles Times，2000-07-10.

[17]Lloys of London offers Internet hacker insurance[N].The Florida Times Union，2000-07-11.

[18]ALLERDISSEN H J. Lage und Entwicklung der deutschen Versicherungswirtschaft aus der Sicht des DVS Deutschen Versicherungs-Schutzverbandes e.V.Rede anl？sslich der ordentlichen Mitgliederversammlung am 9.5.2014[EB/OL].（2014-05-09）[2017-11-27].http：//www.dvs-schutzverband.de/aktuelles-2014-PM-Lage-und-Entwicklung-Artikel-de.php.

[19]UMAR C.Der Cyber-Versicherungsmarkt in Deutschland[M].Wiesbaden：Springer Gabler，2014：1-2.

[20]Gesamtverband der Deutschen Versicherungswirtschaft e.V.2014.Die Positionen der deutschen Versicherer 2014[EB/OL].[2017-10-17].http：//www.gdv.de/wp-content/uploads/2014/04/GDV-Politische-Positionen_2014_nn.pdf.

[21]BEHRENDS J. Cyber-Versicherungen haben eine groβe Zukunft. Versicherungswirtschaft 02/2013，68.Jahrgang，15.1.2013，24-25[EB/OL].（2013-01-15）[2017-10-17].http：//www.aon.com/germany/risk-services/cyber_risiken/versicherungswirt-sch-aft_02_2013.pdf.

[22]印保險公司開拓網(wǎng)絡(luò)責(zé)任險市場[EB/OL].（2013-07-01）[2017-10-20].http：//www.secdoctor.com/html/hwlf/24274.html.

[23]劉志敏.網(wǎng)絡(luò)責(zé)任險漸成印度新寵[N].中國保險報，2013-07-01.

[24]冷翠華.信息泄露第一案若勝訴將引訴訟潮 責(zé)任險潛力或爆發(fā)[N].證券日報，2014-01-23.

[25]蘇長春.外資險企國內(nèi)首推安全隱私保護(hù)險[N].北京商報，2013-11-14.

[26]PAUL K， MELISSA M， ROBERT S. Cyber-Incident Risk in Canada and the Role of Insurance[R].Toronto：Institute for Catastrophic Loss Reduction，2004：3-8.

[27]ROSENBERG J. The Y2K Problem： A Computer Glitch That Scared the World[EB/OL].（2017-08-29）[2017-10-20].http：//history1900s.about.com/od/1990s/qt/Y2K.htm.

[28]李媛.共識與爭議：個人信息保護(hù)的價值目標(biāo)[J].重慶郵電大學(xué)學(xué)報（社會科學(xué)版），2016（3）：59-64.

Abstract：“Internet-based” information security issues surging with extensive damage and serious consequences with the development of Internet. Lots of network information security incidents litigation claims already been seen in China and large-scale litigation claims are foreseeable in the future， which would be a huge blow to the Internet-related companies and the industry. To tackle such risk， the network information security liability insurance is a crucial option. Information security liability insurance has been developing for a long time with mature and feasible practice in the insurance market of many countries， such as the United Kingdom， Switzerland， the United States， Germany and India， while absent in China. Network information security risk is insurable； it can be estimated， and the estimation will develop well as practice cases accumulated. While identification of the consequence of damage and insurance scope should comply with legislation and jurisdiction. For the fields concerning information of public privacy， mandatory liability insurance should be set up. Its the right time to build up the system of network information security liability insurance.

Keywords：“Internet +”； network information security； liability insurance

（編輯：李春英）