给网络责任和数据泄露买保险有用吗？

独立保险机构McClone的战略风险顾问Zachary Kaiser表示，网络责任被定义为一个组织对其他组织或个人造成损害的可能性。这里的网络责任重点指的是安全责任，例如将恶意软件转移到另一方；以及隐私责任，例如意外泄露客户的个人身份信息。

Risk Strategies网络团队负责人Allen Blount表示，网络责任保险提供的保险范围有助于保护组织免受因应对数据安全事件和从中恢复而产生的直接费用以及任何相关的法律成本和责任。

例如，一家公司的计算机系统遭到黑客的网络攻击，导致敏感客户信息被泄露或窃取。Wilson Elser LLP合伙人兼国家网络安全和数据隐私实践团队联合主席Anjali Das表示，这些客户可能会导致该公司被诉讼或集体诉讼，因为该公司未能充分保护他们的敏感个人信息，并使他们面临未来伤害的风险，包括欺诈和身份盗窃。而网络责任保险通常为此类第三方索赔和诉讼的辩护提供保险，包括潜在的损害、判决以及和解等等。

此外，网络责任保险也能提供第一方保险，Baker，Donelson，Bearman，Caldwell&Berkowitz PC的股东、该公司数据事件响应团队负责人Layna Cook Rush表示，网络责任保险旨在为网络攻击提供全面保护，通常涵盖广泛的网络事件，如勒索软件攻击、数据盗窃和勒索以及网络钓鱼电子邮件诈骗。它应该同时涵盖第一方和第三方保险。第一方保险涵盖公司在应对事件时产生的财务损失，包括事件调查、受影响系统的补救、任何必要的通知以及信用监控服务的成本。

凯捷副总裁兼全球保险业领袖Kiran Boosam认为，网络责任保险通常是一项全面的保单，涵盖购买保单的组织和其他受影响方（如个人或企业）的损失或损害。

全面的网络责任保险通常涵盖金钱损失，如收入和利润损失、通知受影响客户、恢复受损数据以及修复受损设备和计算机的额外费用。Boosam表示，除此之外它还涵盖了一个组织的法律费用，如律师费、为弥补其他受影响方的损失而进行的货币结算，以及监管罚款等任何惩罚性赔偿。例如，恶意软件攻击发生在一家银行，暴露了专有数据及其客户的个人身份信息（PII）数据，摧毁了该银行的网站。这时，全面的网络责任保险不仅将保护银行及其客户的财务利益免受PII数据泄露的影响，还将涵盖因银行在线业务中断而产生的财务损失和相关成本。

Rush表示，数据泄露保险是网络责任保险的一个子集，只保护与网络事件相关的部分损失。数据泄露保险只提供第一方保险，不提供第三方保险。例如，受影响的个人或第三方对公司的诉讼，或州或联邦政府机构的监管行动等等不包括在数据泄露保险中。网络责任保险通常比数据泄露保险更全面，因为它涵盖了第一方和第三方责任。”

Das表示，数据泄露保险是指遭受网络安全事件或网络攻击的被保险公司所遭受的第一方损失。他认为，此类第一方损失可能包括业务中断损失、法律费用、聘请网络安全公司对事件的性质和范围进行取证调查的费用，以及如果事件导致受影响个人的个人信息泄露，则通知受影响个人所产生的费用。此外，数据泄露保险单可能还包括其他第一方损失，例如公共关系费用，向网络罪犯支付赎金或勒索款等等。

Corvus保险公司负责索赔的副总裁Jaime Palumbo表示，数据泄露保险不是一种特定的保险形式，而是一种综合保单的子集。在她看来，数据泄露或事件通常是指未经授权访问或从投保人处获取员工、客户、客户等的敏感或个人信息。在保险范围内，网络保单可以以各种方式为此类事件提供第一方和第三方保险。

数据泄露保险通常为违规响应费用提供保险，这些费用是聘请违规或隐私顾问或数字取证供应商对受影响的系统进行审查的相关费用。此外，Palumbo表示，如果投保人因网络事件经历了一段时间的停机或系统中断，可能会有业务收入损失。在责任部分，如果投保人收到数据在违约中受到影响的个人提起的诉讼，那么这也应该处于保险范围内。

Palumbo表示，对于那些有兴趣购买网络保险的组织来说，网络产品通常具有一系列第一方和第三方保险的标准，以确保投保人免受自身损失以及可能造成的他人网络损失。但是，组织在评估覆盖范围时仍应保持警惕，以确保涵盖各自行业类别的所有风险途径。组织应该先了解自身存储、维护和收集的数据，才能清楚潜在数据泄露的影响和后果。了解所维护记录的数量和敏感性质可以转化为弥补损失所需的覆盖范围。

EisnerAmper外包IT服务合伙人Rahul Mahna提醒组织阅读细则，以确定对第一方和第三方保险的限制。Mahna表示，网络责任和数据泄露保险不能取代强有力的网络安全政策，它们是相辅相成的。任何将安全押在更便宜的事后解决方案（如保险）上的公司，而不是必要的人员、培训、技术和流程，都是在玩一场危险、冒险的游戏。

总部位于伦敦的RC Hodson保险服务公司创始人Richard Hodson表示，英国和澳大利亚的情况略有不同。在英国，如果一个组织的数据或系统被泄露、损坏、丢失或被盗，其购买的“网络保险”涵盖第一方和第三方费用。在英国，网络保险分为两部分：与第三方保险相同的网络责任保险和第一方保险。网络保险有助于保护企业免受数据泄露、安全故障、非法威胁或网络攻击的财务影响。

Hodson表示，英国不使用‘网络责任保险’和‘数据泄露保险’这两个术语，因为购买购买网络保险政策的组织是为了涵盖他们自己的损失，包括调查费用，以及聘请专家来确定在发生违规行为时发生了什么，以及第三方遭受的损失及任何罚款。澳大利亚与英国一样，网络保险就是统称。

英国国家网络安全中心提供了一些适用于美国和英国公司的建议。该组织表示，网络保险不会立即解决所有网络安全问题，也不会防止网络入侵/攻击。正如拥有家庭保险的房主应该有足够的安全措施一样，组织也必须继续采取措施保护他们关心的东西。

在中国网络安全市场中，保险也占据一席之位。今年4月，奇安信集团携手太保财险、国寿财险、人保财险、中意财险四大保险公司，及保险科技公司源堡科技在京共同发布“零事故”网络安全保障险。在会上，奇安信集团董事长齐向东表示，2022年我国网络安全保险保费规模约为1.4亿元，较2021年有近一倍的增长。但相比全球网络安全保险超过100亿美元的市场规模还有很大发展空间。

此外，各地方政府也有目标不同的“网安保”产品。7月3日，全国首个国家级保险创新试验区浙江省宁波市正式发布“网安保”保险产品，旨在为提升中小微企业网络安全防护能力，推进网络安全社会化服务体系建设，其产品率先在国内面向中小微企业提供网络安全保险及理赔服务。

中国科学院院士尹浩表示，我国网络安全产业面临良好的发展态势。数字化衍生出安全新形势、新需求，驱动安全界限不断向网络物理融合空间拓展，推动安全需求迭代升级。网络安全产品向定制化、轻量化、场景化方向快速发展。网络安全保险有望成为网络安全社会化服务体系的重要组成部分，为行业企业数字化转型筑牢安全屏障。

一方面，我国网络安全保险行业正处于发展前期，与美国等网络安全产业较发达的国家相比，仍有较大差距。以数据来做对比，2021年美国网络安全保险保费规模超过65亿美元，中国则不足1亿元人民币。另一方面，随着发展环境的持续改善和优化，我国网络安全保险步入快速发展新阶段。数据显示，2022年全年网络安全保险保费规模达1.4亿，较前一年翻一番。另据中国信息通信研究院预计，到2025年，中国网络安全保险市场规模将达到5亿元人民币左右。

知乎安全专家Andy表示，网络安全保险是一种一般来说企业购买的保险，保障由于电脑或网络为基础发生的事件（网络攻击，黑客，信息盗用等）导致的给被保险企业造成的损失（第一方损失）和给其他人，企业或政府等造成的损失的赔偿责任（第三方责任损失）。

虽然个人很可能是这类事件的受害者（个人信息丢失，个人隐私暴露），但是风险出现的可能性和对于风险的管理和损失的控制取决于提供服务或存储数据，维护网络的公司，个人很难成为被保险人。比如银行信用卡客户和网游的用户，他们有很大的保护个人信息的需求，并且信息被盗等事故会对个人造成很大损失。但是他们的损失一般会通过银行和网游公司购买的网络安全保险保障。或者在个人购买的个人意外保险中以很小限额的方式保障。

中国石油大学的高丽娟表示，网络保险拥有着极其乐观的目标市场，在未来网络保险的销售量将迅速增长，那么对于保险行业管控也将从实体保险、传统保险业务向网络保险业务方向蔓延，现今我国对于保险行业的基本大法是《保险法》，随着网络保险业务规模的扩大，保险法将更多对网络保险的准入标准、业务合同、业务流程、理赔周期等作出更为详细的规定，从而提高网络保险的规范性，降低网络保险违约、欺诈等事件发生的概率。

在技术变革和黑灰产猖獗的背景下，网络保险应运而生。然而，就像许多组织对于网络安全认知不足一样，对于网络保险，不少组织也有很多误解。网络保险只是作为降低组织遭受网络事件后的损失的一项措施，而非保障组织网络安全的核心。组织若想实现网络安全，需要在技术、资金、意识、观念等多个方面的运营和加强，才能最大程度免受网络攻击的袭扰。