信息安全责任保险制度比较研究
王天凡
摘要:伴随着互联网的发展,网络信息安全事件频发,且损害范围广泛、后果严重。我国已有多起网络信息安全赔偿诉讼,责任保险制度可能是应对该风险的重要选择。信息安全责任保险在境外各国保险市场均已有较成熟的实践,如美国、英国、德国和印度等,而在我国尚付阙如。网络信息风险符合可保风险的要求,信息安全风险可以估算,且随着实践数据的积累会日益成熟,而损害范围和保险范围的确定应当结合我国立法和司法实践的判断。另外,对于关涉公众重要隐私信息领域,应当设置强制责任险。信息安全责任保险的构建已逢其时。
关键词:“互联网+”;网络信息安全;责任保险
中图分类号:D913文献标识码:A文章编号:1673-8268(2018)03-0060-09
一、“互联网+”时代的信息安全风险
网络的发展对传统产业构成了巨大冲击,从根本上改变了资源配置关系,使得市场、信息、成本、供需以至市场主体组织结构与经营模式等都有了革命性的变革。自从互联网进入人类生活以来,网络信息安全攻防战就相伴而生,网络实名制更导致个人信息的风险激增[1-2]。尽管伴随着技术的发展,“盾”的防御性能逐渐增强,“矛”的攻击力也非常了得,但民众反而看到越来越多信息泄露案件的发生,且泄露的规模、造成的后果也一次次刷新了人们的想象。在传统行业经历“互联网+”这一革命性变革的背景下,网络信息安全问题显示出前所未有的重要性,国家安全、市场竞争秩序及企业信息安全以至个人信息安全均在其列。
2012年,世界经济论坛全球风险报告将网络风险列为企业所面对的全球五大风险之首。大规模的侵害如2005年美国的万事达卡事件存储电脑遭黑客入侵,4千万信用卡客户信息泄露,被盗账号信息甚至在互联网上公开出售。;2011年被称为中国互联网史上最大规模信息泄露事件的CSDN数据库被黑致使用户资料泄露;2013年,如家、汉庭等酒店客户信息泄露事件;2014年支付宝找回密码功能系统漏洞事件;携程网用户支付信息泄露事件;微软停止Windows XP技术支持及全球互联网通行的安全协议OpenSSL严重漏洞事件;2016年,雅虎15亿用户信息泄露事件更是刷新了人类大规模数据泄露的新记录;2017年,12306官方网站安全漏洞事件;等等。另外,根据国家互联网应急中心的数据,2016年检测到82 072个网站存在被植入后门的情况,其中2 361个为政府网站。仅2017年7月,我国境内就有6 468个网站被篡改,而且总体看来,政府网站被篡改的数量成倍增长[3]。二、引入网络信息安全责任保险的客观需求(一)网络信息安全损害赔偿责任的规模化
当网络信息安全事故发展到“网络飓风”(cyber-hurricane)等级时,其波及面广、传播速度快,会造成巨大的经济损失。与此同时,伴随着人们权利意识的增强,如果消费者自身利益因信息泄露受到较大损害,那么他们提起诉讼的几率也会增加,且体现出一定的规模性和重复性特征。
比较典型的案件如2013年某两家知名快捷酒店开房信息泄露案件发生之后,受害者在上海起诉了其中一家酒店管理有限公司和该酒店所采用登记系统的网络公司,请求法院判令二公司立即采取补救措施,确保其信息安全,立即停止侵害并消除影响(包括但不限于删除网上涉及酒店入住信息的数据,防止隐私信息的进一步公开扩散);要求网络公司删除其个人电子信息,立即停止收集、保存或者使用其入住信息,承担侵权责任、赔礼道歉,并赔偿精神损失其他同类诉讼如:2014年4月甘肃考生报名后个人信息被泄露起诉省人社厅案(参见http://www.gs.chinanews.com/news/2014/04-14/231538.shtml);2013年11月中国银行上海分行泄露客户信息,在南京遭起诉,银行辩称其受到黑客攻击(参见http://www.xici.net/d196389737.htm)。。法院经审理认为:“虽然所显示的原告姓名、性别、身份证号、生日的信息内容一致,但上述信息作为原告的基本信息,其使用频率和范围较广,并不为被告(酒店)所单独掌握,其扩散渠道也并不具有单一性和唯一性,故亦难以仅凭上述部分信息的一致而判断互联网上流传的原告信息即为被告系统中留存的原告信息”,即通过否认证明损害的证据的相关性而回避了问题。另一方面,“原告现也并无其他证据证明被告泄露了其入住酒店的信息,因此对于原告主张被告泄露其入住酒店信息的事实,本院不予采信”,将信息泄露的举证责任分配在原告一方,因此该案原告最终败诉王某某诉汉庭星空(上海)酒店管理有限公司隐私权纠纷案,(2014)浦民一(民)初字第501号。该案之判决殊有可议,本文因论题所限不再展开。。再如2014年2月,郑在某网站购买某航空公司的机票后收到了一条航班取消的短信,郑某拨打了短信中的咨询电话,但对方向其索要账号,后经核实,该航班并未取消。因而郑向天津市东丽区法院起诉该航空公司和该网站。与前一案例相似,一审法院认为:“原告诉称系二被告将其个人信息泄露,但并未能提供证据予以证明。且二被告并不是掌握原告个人信息的唯一介体,原告主张不具唯一性、排他性。原告收到陌生短信,案外人可能涉嫌诈骗犯罪,在公安机关立案侦破以前,本院不能确认系二被告将原告的个人信息泄漏。”参见郑某诉天津航空有限责任公司等侵权纠纷案,天津市东丽区人民法院(2014)丽民初字第1720号民事判决。鉴于上述原因,法院并未支持原告的诉讼请求。且不論信息泄露的举证责任是否应当由原告承担,即使如此诉讼,原告由于举证不能而败诉,未来必将会出现第一个胜诉的案件,引发大规模诉讼只是早晚之事。国外此类事件引发诉讼的情况屡见不鲜如2006年的LG公司泄露求职者信息引发诉讼潮事件;2012年8月美国新罕布什尔州的杰夫·艾伦(Jeff Allan)向圣何塞的美国地方法院起诉雅虎,诉称松懈的安全措施使得黑客得以入侵雅虎的一个数据库,窃取了45万个账户的密码,希望构成集体诉讼。。
根据中国互联网协会发布的《中国网民权益保护调查报告(2015)》统计,仅2015年,网民因为个人信息泄露、垃圾信息、诈骗信息等现象,导致遭受的经济损失人均124元[4],总体损失约805亿元。到2016年,这一数据上涨为人均133元,总体经济损失约915亿元[5]。对于数据信息系统开发的企业或者利用信息存储系统的企业而言,因为其经营活动涉及数量庞大的用户群体或消费者,一旦信息安全责任案件发生,就可能引发大规模诉讼,承担数额难以预估的赔偿责任。可喜的是,我国对于个人信息和数据特别是网络经营活动中个人信息数据的保护越来越严,防范信息安全责任已经成为系统开发商及企业需要特别面对的问题。
(二)与责任保险制度对接的需要
在以往比较成熟的企业风险预防的智识宝库之中,企业通过责任保险的方式把从事正常经营活动不得不面对的法律责任风险(主要是损害赔偿)转嫁给保险企业,进而通过保险公司分散风险,是已被经验所证明的极为有效的法律策略。西方国家为解决其社会普遍性问题,逐渐形成了较为成熟的责任保险机制及其法律规范体系。网络信息安全民事责任亦可循此旧途。
我国《保险法》第六十五条规定了责任保险制度,其中第四款是指以被保险人对第三者依法应负的赔偿责任为保险标的的保险,即在被保险人被判定对第三人负侵权责任时,由保险公司给予补偿[6]。责任保险制度最初的出现正是由于在许多情况下,行为人即使尽到了足够的注意义务,责任风险会依然存在。另一方面,责任的最终判断者是法院,这就意味着行为人无论如何都还会面临举证及司法裁判的不确定性。各种责任保险都是为了使被保险人难以避免的风险得以分担而设立,如会计师职业责任保险、机动车强制责任保险等。责任保险正是针对行为人即使是再谨慎也难以彻底避免的法律责任的风险,通过保险人将所造成的损失进行转移,由全社会或特定的社会群体来分散损失金额的责任机制[7]。如果没有责任保险,那么许多行为人在遭遇大规模索赔时就可能会面临破产,而投资者、创业者也会由于担忧出现这种情形和畏惧高风险而不敢再进入这些领域。但互联网时代早已是不可逆的现实,在没有责任保险的情况下,越来越多的从业者为了分散自己的风险,只能采取“过度防御”的策略[8]。如摩根大通宣称自己每年在网络安全上的开支高达25亿美元,但结果还是被入侵者们攻破并窃取信息2014年6月开始,黑客们利用摩根大通官网上的一个漏洞,用一些复杂的工具深入到其网络基础设施中,悄悄窃取了包括客户账户资料在内的大量情报,摩根大通直到近两个月后才察觉。。面对黑客,即使是巨资投入也难以再让人保持信心,而且这些过度的投入最终还是会转嫁到客户和不特定公众身上。
美国系统网络安全协会SANS(SysAdmin, Audit, Network, Security)认为,网络信息安全服务和信息安全保险的密切结合将是解决网络信息安全问题的必然趋势[9]。怡安奔福公司(Aon Benfield)的一份市场调查报告也指出,网络保险需求一直在显著上升,尤其在一些引人注目的案例发生之后会立刻上涨。在保费激增的同时,网络保险责任范围和产品的年度增长正以30%~50%的速率上升[10]。据此,可以将信息安全保险定义为:基于投保人与保险人之间的信息安全责任保险合同,由保险人在特定的信息侵权赔偿责任发生时,向受害人赔付一定金额的责任保险制度。
三、信息安全责任保险的比较法参照
信息安全责任保险在境外各国保险市场均已有较长时间的实践发展,不同国家的不同保险公司对其也有着各种不同的设计和称呼,如网络空间保险(cyberspace insurance)、信息安全保险(information security insurance)、网络安全保险(network security insurance)、电子风险保险(e-risk insurance)等。
(一)美国
苏黎世北美保险公司(Zurich North America)早在1999年就在美国推出了“E-Risk保险”(E-Risk Edge或E-Business Insurance),专门针对由于感染病毒、非法入侵、网上攻击(DOS)等导致业务陷入瘫痪并给企业带来巨大经济损失的情形。该保险的承保范围包括:未经授权而侵入数据或软件,计算机病毒导致数据丢失或系统损伤,对系统的攻击导致履行不能或无法进行线上业务的操作,侮辱、诽谤、诋毁、侵犯他人著作权和公开私人信息,盗窃金钱、有价证券、数据、软件或计算机资源,电子商务敲诈勒索等[11]。目前,美国本土有30多家保险公司提供网络保险产品服务。美国国际集团(American International Group,AIG)保险公司于2003年推出网络保险业务(CyberEdge)。在此之前,美国境内也有保险公司在被保险人受到黑客攻击时依据“商业损失”或“故意毁坏财产”条款给予一定赔偿,但在保险条款中都没有具体明确包括有黑客攻击。而且通常情况下这样的保险费用都是10万美元起步,有时可高达300万美元。专门的网络保险业务刚刚推出的时候并不被看好,但就在2003年年中包括Yahoo、Amazon和eBay等大型网站相继被黑客侵袭之后,互联网保险业务马上受到重视,AIG当月的保险业务就增加了四到五倍[12]。AIG提供的保险范围包括:由于网路安全或数据的侵入而造成的第三人损失,侵入导致直接受害人花费的费用,由于网路安全或数据的侵入而造成的收入丧失和营业费用,以公开数据或攻击系统相威胁进行敲诈勒索,网络诽谤和侵犯版权、商标权等[13]。
美国的网络信息安全保险在其国内以至全球市场都占有优势地位,这与其国内法和政策的促进密不可分。自2002年开始,美国各州逐渐通过了《违反安全通知法案》(Security breach notification laws),目前已有48个州通过。该法案专门针对越来越多的含有个人可识别信息(personally identifiable information)的消费者数据库的数据泄露,要求任何实体在发生数据泄露时应及时通知其客户和其他相关方,并且采取措施以弥补由于数据泄露而导致的损害。且各州均对违反该义务规定了不同数额的罚金[14]。2013年2月,美国时任总统奥巴马在国会未能通过《网络情报共享和保护法案》(Cyber Intelligence Sharing and Protection Act,CISPA)该法案后于2012年4月在众议院获得通过,而另一类似法案——网络信息共享法案Cybersecurity Information Sharing Act (CISA),则于2014年7月进入参议院。之后,签署了一项呼吁私营公司为政府在一些国家“网络威胁”情况下分享信息的命令,并于同年8月对外公布了该项命令中将要实行的一些激励措施。其中,对美国多个机构指定的首要措施则是建立一个具备一定竞争力的“网络保险市场”,让私营公司愿意加入到“减少网络威胁行动”中此次激励措施将涉及到的内容有联邦补助金、加快从私营公司获取技术协助、限制责任范围以及公众对将参与其中公司的知情权等。(参见http://rt.com/trends/cispa-bill-internet-freedom/)。2015年4月,奧巴马又签署新的执行命令,授权总统可以针对网络攻击发出紧急命令,对在美国境外的黑客,可冻结其银行账户。同年12月,美国国会通过了《网络安全信息共享法案》,目的在于黑客攻击的情况下促成情报交换更为即时快速,以加强网络防护。正是由于这些法案中的强制性规定,促使美国许多公司面临越来越严格的信息安全保障义务和与此相应的更大的责任风险,因而越来越多的公司购买了信息安全保险,以便在发生损害赔偿责任时转移风险,并强制性上报相关情况。此外,保险公司在得到这些报告后,可以利用大数据进行专业分析,从而了解网络安全风险级别,制定更加合理的保险定价,使保费的价格越来越合理[15]。
(二)欧盟
英国目前有大约15家保险公司专门提供网络信息安全的保险险种。1999年,英国伦敦劳埃德(Lloyd)保险公司为康特派恩(Counterpane)计算机安保公司提供保额一亿美元的“黑客保险”(Hacker insurance),专门针对由黑客攻击而导致的公司及其客户的损失[16]。康特派恩公司并因此宣布,其将成为第一家保证在黑客侵入其防卫系统并窃取用户的资料时,向用户提供直接赔偿的互联网安保服务提供商。这一保险不针对家庭用户,而是诸如Yahoo等互联网服务提供商。这一措施将与事先监控共同构成避免黑客威胁的手段。在保费方面,一年2万美元可获得100万美元的保险金额,7.5万美元可获得1 000万美元的保险金额,至于附加险高达1亿美元的保险金额所需的保险费价格,则需要与劳埃德保险公司协商。尽管有分析人士指出,未来十年内,伴随着电子商务的增长,黑客保险市场每年的保费预期将达到十亿美元以上,但保险公司望而却步,主要原因是现有技术和方法难以估量这一保险所面对的风险[17]。
德国网络保险市场近年来发展迅猛,2013年有三大保险公司提供了新的网络保险条款,2014年又有新的“供应商”加入网络保险产品行列[18]。在整个德国市场上,现在仅有12家保险公司专门提供网络信息安全保险,相对于网络信息和电子商务的发展而言,显得明显不足[19]。同时,德国网络保险市场至今依然表现出由英美大型工业保险公司所占据的特点[20]。德国本土的保险公司中,安联保险公司(Allianz Global Corporate & Speciality, AGCS)于2013年7月推出了名为“网络保护”的保险(Cyber Protect);紧接着,瑞士苏黎世保险公司便迅速推出了“网络与数据保护”保险(Cyber & Data Protection);HDI-格林工業保险股份公司(HDI-Gerling Industrie Versicherung AG,HDI)也紧随其后出台了“网络+”(Cyber+)保险[21] 。
欧盟出台的信息安全立法《欧洲数据保护规定》(Europes General Data Protection Regulation,GDPR)规定了在个人数据泄露情形下向相关数据保护监管机构的通知义务,要求“不得无故拖延,并且在可行的情况下,在知悉数据泄露之后72小时之内作出”;当个人数据泄露可能导致自然人的权利和自由面临高度风险时,应当立即通知数据当事人;如果该主体认为不存在这样的风险,监管机构认为存在,则有权要求该主体履行通知义务。GDPR同时规定了罚金规则:怠于履行通知义务的主体可能遭受最高1 000万欧元或该主体上一财年全球年度营业收入的2%(两者取数额较高的)的行政罚款GDPR第33条、第34条及第83条的相关规定。(参见http://data.consilium.europa.eu/doc/document/ST-5419-2016-INIT/en/pdf)。遗憾的是,欧盟的这一数据保护规定要到2018年5月才正式施行,因而其对于数据安全保险的促进作用仍处在“潜伏期”。
(三)印度
在印度,各保险公司正积极开拓网络信息责任保险市场。巴贾杰安联一般保险公司的做法是把网络责任险作为其专业责任保险的附加条款,将涉及到由计算机病毒、误传、诽谤、违反保密协议、侵犯知识产权等相关风险所引发的第三方索赔纳入其中。印度工业信贷伦巴德一般保险公司将网络责任险作为错误和遗漏保险的附加条款投保,同时也作为独立的网络责任保险投保。目前,该公司已正式接受IT业的咨询。印度各保险公司均十分看好网络责任险的发展,认为“银行业、金融服务和保险业、医院、旅游公司、教育机构,以及零售业巨头等其他行业开始感觉到对这种保险的需求只是时间问题”[22]。网络信息责任保险的保费通常位于每投保100万美元收取5 000美元到1.5万美元之间,高出其他保险10%~20%的费用。但各家保险公司都认为考虑到所涉及的风险,这样的定价非常合理。但就保险范围而言,又将未经许可发送电子邮件、搭线、窃听、欺诈等行为,以及未能维持符合要求的计算机安全等行为排除在外。比较有特色的是,塔塔美国国际集团一般保险公司推出的责任保险规定:如果主管或高级职员受到忽视网络安全风险的指控,而这种疏忽又造成了一定损失的,那么针对主管或高级职员的索赔将被列入主管和高级职员保险单的覆盖范围内[23]。
(四)我国信息安全责任保险的发展现状
2013年底,苏黎世保险公司开始在中国推出安全与信息保护险[24]。苏黎世保险集团推出的此项保险是针对企业用户研发的产品,承保标的主要是企业内部存有的机密商业信息、客户信息和雇员个人信息等。如果公司的计算机安全系统遭到恶意攻击,导致企业保管的客户信息或公司内部信息泄露造成的财产损失,均可获得赔付。此外,该保险公司对于投保企业的董事、高管或员工在工作期间,因过失丢失或意外泄露客户和企业的信息所造成的损失或责任也可获赔。如公司职员出差期间将存有客户资料的笔记本遗落在飞机或者出租车上,也可通过保险公司申请赔付[25]。此类保险还涵括由于网络受到攻击而导致的营业损失和系统恢复费用。如某淘宝网店因为黑客攻击导致其网站无法登陆,销售无法进行,那么其在营业中断期间遭受的损失以及恢复系统的费用都可以得到保险赔偿。但是,这款保险的保费价位相对较高,保险公司会根据赔偿限额的高低和风险因素进行考量,年度保费从几万元到上百万元人民币。另外,投保前苏黎世保险公司还会考量投保人的年营业收入、所保管的信息类别和数量、信息安全防护等级、内控制度、司法管辖范围以及过往损失记录等[25]。
2014年6月,最高人民法院发布《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,其中第十二条规定网络用户或者网络服务提供者利用网络公开自然人个人隐私和其他个人信息,如基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等,造成他人损害的,可以构成侵权责任。且这两类主体若以违反社会公共利益、社会公德的方式公开某些已合法公开或合法获取的个人信息,或者公开该信息侵害权利人值得保护的重大利益,也可能构成侵权责任。2016年颁布的《网络安全法》第二十二条规定,网络产品、服务的提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。并在第二十五条针对网络运营者在发生危害网络安全的事件时也规定了要采取补救措施和报告义务。值得注意的是,《网络安全法》在“法律责任”一章专门针对违反上述两条的情形规定了对单位和负责人的罚款数额。以上规则的出台对国内相关信息主体的信息安全义务及报告义务做出了强制性规定,一定程度上促进了国内企业及相关主体对相关风险的认识,部分企业开始意识到风险分散的必要性。
2016年初,我国的保险公司推出了数据安全险,专门针对黑客盗取云计算数据进行保险。一旦发生因黑客入侵引发的数据泄露事件,保险公司将提供最高100万元的现金赔偿。赔偿标准基于用户的投保费用和实际损失进行界定,主要保障的是用户云服务器上存储的数据。因黑客攻击导致数据公开给企业造成的直接经济损失,因黑客攻击导致数据在第三方网站、论坛、媒体公布给企业造成的品牌损失,因黑客攻击导致企业数据泄露,被最终用户索赔的损失等都在理赔范围内。尽管分析家们都预测在信息安全保险这个领域可获保费利益十分巨大,甚至有专家表示这一责任险在不久的将来会超过董事责任险而成为各保险公司责任险中最大的保费收入来源[24],但保险公司对于该项保险依然持相对保守的态度,究其原因是保险法学界普遍对于信息安全风险的可保性问题,风险的估算、损害的计算等问题尚未展开讨论,业界亦欠缺先前经验可供参考。
四、信息安全责任保险制度构建难点
(一)网络信息风险的可保性问题
在可保风险的认定标准问题上,加拿大保险局(The Insurance Bureau of Canada,IBC)认为必须满足三个条件[26]:第一,相对较大数量的人面临风险,第二,任一小部分面临风险的人在不特定任何时间可能蒙受损失,第三,损失是随机发生的。对于第一个条件,随着现今网络服务的普及,商事、消费者乃至公共服务领域均已深度覆盖,信息安全风险的广泛性早已在各国信息泄露事件中得到充分揭示。而依据第二个条件的定义,则诸多网络信息安全风险,包括千年虫事件[27]在内,是否能被纳入可保风险的范围值得怀疑。网络信息安全风险的特殊性在于,虽然可能会面临损失的网络服务提供商数量很大,但受损害的第三人的数量可能會更大,而不像传统的责任险那样,第三人损害相对来说范围可以确定。如如家、汉庭案件中,网络技术的提供者因其系统存在漏洞,直接导致所有客户均成为受害人,而泄露的信息又是所有客户网站消费者的信息,这其中的损害是叠加的。也就是说,网络信息安全风险一旦发生,从损害扩展速度和波及范围上而言,可能超过传统意义上几乎任何类型的保险风险。由于网络产品提供者的数量足够多,且不同提供者的产品和服务之间相互独立,故保险公司完全可能通过大数法则来实现风险的分散。对于第三个条件,虽然多数风险都是由于人为原因,即黑客利用存在的漏洞而窃取信息和数据,但客观上风险的发生依然是随机性的,在同一时间,通常只有部分特定漏洞诱发的风险会有损失,因此保险人可以实现风险的分散。从现有欧美保险市场上信息安全责任险的发达也可推知,信息安全风险并非不具有可保性。
(二)信息安全责任的风险估算
除了上述可保性的三个要件之外,作为可保风险,还必须具有可评估性。对于信息安全风险如何计算这一难点问题,其实可以将网络信息安全的风险与现有责任保险中的风险类型相比较。比如,许多讨论者会将网络信息安全保险的风险与机动车保险中的风险相类比,认为二者具有类似性,保险公司的分析师却指出了两者的不同:在机动车保险领域,保险公司有足够大的市场足以分散风险,相对于众多的被保险人而言,只有少数的随机保险事件发生,而在网络风险领域,风险和保险需求并不匹配;另外,机动车责任险领域已有相对可靠的实际数据可供计算可能的潜在损失,而网络信息安全事件尚须数年的历史数据作为支撑,才能估算出潜在损失,并以此进行更为具体的保险安排。保险公司的一些分析师也认为,网络信息安全风险可能更类似于巨灾保险所面临的风险,因为这两种风险都是极有可能在其发生时连带诸多行业同时遭受损失或损害[26]。德累斯顿工业大学计算机科学系系统结构研究所Rainer Bhme教授在一份报告中指出,虽然在许多保险产品的供给一方看来,由于缺乏信息安全事件的足够数据,使得这似乎更像是一种艺术而不是科学,但无论从风险的来源还是风险的产生来看,都不能把信息安全事件的风险与过往的传统保险风险相等同,因为现今电脑联网的现状将会造成不必要的关联索赔。正因为各保险公司在可能面临的网络信息安全保险事故的风险问题上,没有更多的数据和更好的方法进行计算,所以我国的保险公司在这个市场上普遍还没有明确的行动,德国等国家的保险公司对此也相对保守缓慢。
对于这一问题,除了市场经验与数据的积累外,各国在信息安全方面的立法与司法情况也具有至关重要的借鉴作用。在英美等这一险种较发达的国家的市场上,虽然最初保险公司在设计此类保险时,费用相较于其他保险要高出不少,但伴随着依据法律规定各信息的管理实体及服务提供者在发生信息泄露时的通知和报告义务的履行,保险人获得了大量较为准确的第一手信息,能够做到越来越准确地对风险进行评估;相应的,对于不同的被保险人也可以更为妥当地确定其保险费率。也就是说,信息安全责任的风险估算对于保险人而言,在数据日渐充分的条件下,是可以逐渐成熟化解决的问题。
(三)网络信息安全责任的损害认定
网络信息安全风险中重要的一环是系统侵入和信息泄露后所造成的损害认定。在此所考虑的问题并非单纯涉及受害人的举证,还有因果关系的认定,网络环境无形、交错、难以捕捉、专业性等特点,使传统侵权法中本已错综复杂的因果关系理论变得更为复杂和困难。在损害程度认定方面,比如AIG等公司的保险条款中就明确了因网络安全或数据侵入而造成的收入丧失和额外的营业费用。另外,许多此类保险不仅包含对以公开数据或攻击系统相威胁进行敲诈勒索而赔偿的,而且包括网络诽谤和侵犯版权、商标权等相关损害和责任。此类损害都是直接致害,一般而言属于典型的保险范围。但是也有比较宽泛的对信息安全的保护,比如苏黎世保险公司在世界各地推出的保险中,大多涵盖对于投保企业的董事、高管或员工在工作期间,因过失丢失或意外泄露客户、企业信息所造成的损失或责任。更复杂的问题是,如果是基于首次的信息受侵害而公开事件造成的二次损害或如前文所述属于叠加、次生或受牵连而发生的损害,又该如何判断呢?这些在保险中是否应该涵盖,保险人在设计保险范围时也必须考虑。更为特殊的是,是否造成实际的经济损失,如果只是骚扰电话、广告推销等情形,是否构成对生活安宁的侵扰,在不同国家不同的立法背景和司法环境下可能都会有不同的认定。若此类精神损害能够得到认可,保险金额的确定也必然会受到相应的影响。对我国境内的保险公司而言,最高人民法院在2014年10月出台的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,无疑是对风险和损失进行估算的重要依据。
(四)强制责任保险的必要性
强制责任保险是伴随着现代社会危险责任的产生和扩大而发展起来的。强制责任保险从某种意义上而言是国家对个人意愿的干预,所以强制保险的范围受到严格限制:必须由法律、行政法规明确规定。然而,从最为基本的层面来看,网络信息安全在一定程度上是关涉公共利益的。首先,迄今为止任何一个网络信息安全事件的发生,受损害者都是一定范围甚至是很大范围内的不特定人群。其次,从侵害的权益而言,无论将信息安全解释为一个独立的权利,还是借用隐私权的概念,或者引入生活安宁权等,不可否认的是,这一权益伴随着现代社会科技的发展将逐漸显现出其对于个人生活、财产安全、精神安宁的高度重要性。此类网络信息的侵害,当属对公共利益的侵害无疑。
更为重要的是,受攻击的主体不仅包括企业、公司,还有医院、国家机关等一切数据信息的保有者,而后者通常所保有的信息都直接涉及个人隐私,这些信息都是基于网络而存储,再加上各机关、机构之间进行信息共享,并且基于互联网给公众提供更多信息化服务的现实趋势,必将使得这些信息更多地暴露于网络风险之下。再加上这些主体的清偿能力在大规模的侵害面前是十分有限的,甚至对大量机构而言可能还会引发国家赔偿。这一方面对于受损害第三人的权利增加了获赔难度,另一方面对国家机关而言,也是不能承受之重。因此,在关系公众重要隐私信息领域,将网络信息安全保险设定为强制责任保险非常必要。当然,从立法政策层面看,无论在哪个程度上推行网络信息安全的强制保险,都将会对整个行业以至市场结构造成影响,这必然成为天平的另一方[28]。五、结论:信息安全责任保险构建已逢其时互联网至今已深度融入社会生活,网络信息安全事件近年来在国内外呈爆发之势,且发生范围逐渐从商业领域扩展到消费者乃至公共服务领域。虽然大规模的网络信息安全事件诉讼索赔在我国尚不多见,但未来已可预见,为此,有必要建立信息安全责任保险制度。信息安全责任保险在境外各国保险市场均已有较长时间的实践发展,如美国、英国、瑞士、德国甚至印度的保险公司,都有丰富的实践经验。而我国的保险公司对网络信息保险依旧持谨慎保守的态度,对于信息安全风险可保性问题,风险的估算、损害的认定等问题尚存疑虑。对此,通过上述讨论可知,信息安全风险是完全符合可保性要件的风险;大量的国外保险实践表明,信息安全风险是可以进行估算的,且伴随着保险人对风险事件数据的掌握和充分的保险市场的竞争,这种评估在未来将会日益成熟,相应的保险费率的确定也会更加妥当;在信息安全责任的损害认定问题上,需要依赖更多的司法裁判来确定。另外,在关系公众重要隐私信息的领域,将网络信息安全保险设定为强制责任保险有其必要性。我国未来对于个人数据信息的保护机制必将更加完善,而保险作为社会风险分散的重要工具,对于网络时代的信息安全与社会治理、维护个人权利与安宁、推动“互联网+”背景下行业与市场的规范与稳定发展都必将发挥其有益功能。
参考文献:
[1]朱靖琰,王超.网络实名制的是与非——基于建构网络公共领域的视角[J].重庆邮电大学学报(社会科学版),2014(1):50-54.
[2]华劼.移动互联网时代个人信息隐私保护[J].重庆邮电大学学报(社会科学版),2017(5):40-47.
[3]2017年中国网页篡改现状及被攻击网站数量统计[EB/OL].(2017-08-08)[2017-12-31].http://www.chyxx.com/industry/201708/548322.html.
[4]中国网民权益保护调查报告(2015)[R/OL].(2015-07-22)[2017-11-25].http://www.scio.gov.cn/zhzc/8/5/Document/1441916/1441916.htm.
[5]中国互联网协会.中国网民权益保护调查报告2016[R/OL].(2016-06-22)[2017-11-25].http://www.isc.org.cn/zxzx/xhdt/listinfo-33759.html.
[6]周学峰.侵权诉讼与责任保险的纠结[J].清华法学,2012(2):83-101.
[7]张梓太,张乾红.我国环境侵权责任保险制度之构建[J].法学研究,2006(3):84-97.
[8]周学峰.论责任保险的社会价值及其对侵权法功能的影响[J].甘肃政法学院学报,2007(5):108-112.
[9]王新雷.网络安全保险法律政策的路线图[J].政法学刊,2011(2):15-21.
[10]Aon Benfield. Reinsurance Market Outlook[EB/OL].(2016-09-11)[2017-11-25].http://thoughtleadership.aonbenfield.com/documents/20160911-ab-analytics-rmo.pdf.
[11]E-Business Insurance from Zurich North America[EB/OL].[2017-10-23].https://secure.zurichna.com/erisk_edge.htm.
[12]AIG eBusiness Risk Solutions Expands Coverage Against Cyber Security Threats[EB/OL].(2003-05-06)[2017-11-28].http://www.businesswire.com/news/home/20030506005705/en/AIG-eBusiness-Risk-Solutions-Expands-Coverage-Cyber#.VFvEaNFxn3g.
[13]CyberEdge Insurance Coverage[EB/OL].[2017-11-20].http://www.aig.com/CyberEdge_3171_417963.html.
[14]Baker Hostetler. State Data Breach Law Summary[EB/OL].(2017-11-29)[2017-12-08].https://www.bakerlaw.com/files/Uploads/Documents/Data%20Breach%20documents/State_Data_Breach_Statute_Form.pdf.
[15]董峰,李路斌.我国发展网络安全保险任重道远[N].中国保险报,2017-07-21.
[16]Associated Press.Lloyds to Back Hacker Insurance [N].Los Angeles Times,2000-07-10.
[17]Lloys of London offers Internet hacker insurance[N].The Florida Times Union,2000-07-11.
[18]ALLERDISSEN H J. Lage und Entwicklung der deutschen Versicherungswirtschaft aus der Sicht des DVS Deutschen Versicherungs-Schutzverbandes e.V.Rede anl?sslich der ordentlichen Mitgliederversammlung am 9.5.2014[EB/OL].(2014-05-09)[2017-11-27].http://www.dvs-schutzverband.de/aktuelles-2014-PM-Lage-und-Entwicklung-Artikel-de.php.
[19]UMAR C.Der Cyber-Versicherungsmarkt in Deutschland[M].Wiesbaden:Springer Gabler,2014:1-2.
[20]Gesamtverband der Deutschen Versicherungswirtschaft e.V.2014.Die Positionen der deutschen Versicherer 2014[EB/OL].[2017-10-17].http://www.gdv.de/wp-content/uploads/2014/04/GDV-Politische-Positionen_2014_nn.pdf.
[21]BEHRENDS J. Cyber-Versicherungen haben eine groβe Zukunft. Versicherungswirtschaft 02/2013,68.Jahrgang,15.1.2013,24-25[EB/OL].(2013-01-15)[2017-10-17].http://www.aon.com/germany/risk-services/cyber_risiken/versicherungswirt-sch-aft_02_2013.pdf.
[22]印保險公司开拓网络责任险市场[EB/OL].(2013-07-01)[2017-10-20].http://www.secdoctor.com/html/hwlf/24274.html.
[23]刘志敏.网络责任险渐成印度新宠[N].中国保险报,2013-07-01.
[24]冷翠华.信息泄露第一案若胜诉将引诉讼潮 责任险潜力或爆发[N].证券日报,2014-01-23.
[25]苏长春.外资险企国内首推安全隐私保护险[N].北京商报,2013-11-14.
[26]PAUL K, MELISSA M, ROBERT S. Cyber-Incident Risk in Canada and the Role of Insurance[R].Toronto:Institute for Catastrophic Loss Reduction,2004:3-8.
[27]ROSENBERG J. The Y2K Problem: A Computer Glitch That Scared the World[EB/OL].(2017-08-29)[2017-10-20].http://history1900s.about.com/od/1990s/qt/Y2K.htm.
[28]李媛.共识与争议:个人信息保护的价值目标[J].重庆邮电大学学报(社会科学版),2016(3):59-64.
Abstract:“Internet-based” information security issues surging with extensive damage and serious consequences with the development of Internet. Lots of network information security incidents litigation claims already been seen in China and large-scale litigation claims are foreseeable in the future, which would be a huge blow to the Internet-related companies and the industry. To tackle such risk, the network information security liability insurance is a crucial option. Information security liability insurance has been developing for a long time with mature and feasible practice in the insurance market of many countries, such as the United Kingdom, Switzerland, the United States, Germany and India, while absent in China. Network information security risk is insurable; it can be estimated, and the estimation will develop well as practice cases accumulated. While identification of the consequence of damage and insurance scope should comply with legislation and jurisdiction. For the fields concerning information of public privacy, mandatory liability insurance should be set up. Its the right time to build up the system of network information security liability insurance.
Keywords:“Internet +”; network information security; liability insurance
(编辑:李春英)
摘要:伴随着互联网的发展,网络信息安全事件频发,且损害范围广泛、后果严重。我国已有多起网络信息安全赔偿诉讼,责任保险制度可能是应对该风险的重要选择。信息安全责任保险在境外各国保险市场均已有较成熟的实践,如美国、英国、德国和印度等,而在我国尚付阙如。网络信息风险符合可保风险的要求,信息安全风险可以估算,且随着实践数据的积累会日益成熟,而损害范围和保险范围的确定应当结合我国立法和司法实践的判断。另外,对于关涉公众重要隐私信息领域,应当设置强制责任险。信息安全责任保险的构建已逢其时。
关键词:“互联网+”;网络信息安全;责任保险
中图分类号:D913文献标识码:A文章编号:1673-8268(2018)03-0060-09
一、“互联网+”时代的信息安全风险
网络的发展对传统产业构成了巨大冲击,从根本上改变了资源配置关系,使得市场、信息、成本、供需以至市场主体组织结构与经营模式等都有了革命性的变革。自从互联网进入人类生活以来,网络信息安全攻防战就相伴而生,网络实名制更导致个人信息的风险激增[1-2]。尽管伴随着技术的发展,“盾”的防御性能逐渐增强,“矛”的攻击力也非常了得,但民众反而看到越来越多信息泄露案件的发生,且泄露的规模、造成的后果也一次次刷新了人们的想象。在传统行业经历“互联网+”这一革命性变革的背景下,网络信息安全问题显示出前所未有的重要性,国家安全、市场竞争秩序及企业信息安全以至个人信息安全均在其列。
2012年,世界经济论坛全球风险报告将网络风险列为企业所面对的全球五大风险之首。大规模的侵害如2005年美国的万事达卡事件存储电脑遭黑客入侵,4千万信用卡客户信息泄露,被盗账号信息甚至在互联网上公开出售。;2011年被称为中国互联网史上最大规模信息泄露事件的CSDN数据库被黑致使用户资料泄露;2013年,如家、汉庭等酒店客户信息泄露事件;2014年支付宝找回密码功能系统漏洞事件;携程网用户支付信息泄露事件;微软停止Windows XP技术支持及全球互联网通行的安全协议OpenSSL严重漏洞事件;2016年,雅虎15亿用户信息泄露事件更是刷新了人类大规模数据泄露的新记录;2017年,12306官方网站安全漏洞事件;等等。另外,根据国家互联网应急中心的数据,2016年检测到82 072个网站存在被植入后门的情况,其中2 361个为政府网站。仅2017年7月,我国境内就有6 468个网站被篡改,而且总体看来,政府网站被篡改的数量成倍增长[3]。二、引入网络信息安全责任保险的客观需求(一)网络信息安全损害赔偿责任的规模化
当网络信息安全事故发展到“网络飓风”(cyber-hurricane)等级时,其波及面广、传播速度快,会造成巨大的经济损失。与此同时,伴随着人们权利意识的增强,如果消费者自身利益因信息泄露受到较大损害,那么他们提起诉讼的几率也会增加,且体现出一定的规模性和重复性特征。
比较典型的案件如2013年某两家知名快捷酒店开房信息泄露案件发生之后,受害者在上海起诉了其中一家酒店管理有限公司和该酒店所采用登记系统的网络公司,请求法院判令二公司立即采取补救措施,确保其信息安全,立即停止侵害并消除影响(包括但不限于删除网上涉及酒店入住信息的数据,防止隐私信息的进一步公开扩散);要求网络公司删除其个人电子信息,立即停止收集、保存或者使用其入住信息,承担侵权责任、赔礼道歉,并赔偿精神损失其他同类诉讼如:2014年4月甘肃考生报名后个人信息被泄露起诉省人社厅案(参见http://www.gs.chinanews.com/news/2014/04-14/231538.shtml);2013年11月中国银行上海分行泄露客户信息,在南京遭起诉,银行辩称其受到黑客攻击(参见http://www.xici.net/d196389737.htm)。。法院经审理认为:“虽然所显示的原告姓名、性别、身份证号、生日的信息内容一致,但上述信息作为原告的基本信息,其使用频率和范围较广,并不为被告(酒店)所单独掌握,其扩散渠道也并不具有单一性和唯一性,故亦难以仅凭上述部分信息的一致而判断互联网上流传的原告信息即为被告系统中留存的原告信息”,即通过否认证明损害的证据的相关性而回避了问题。另一方面,“原告现也并无其他证据证明被告泄露了其入住酒店的信息,因此对于原告主张被告泄露其入住酒店信息的事实,本院不予采信”,将信息泄露的举证责任分配在原告一方,因此该案原告最终败诉王某某诉汉庭星空(上海)酒店管理有限公司隐私权纠纷案,(2014)浦民一(民)初字第501号。该案之判决殊有可议,本文因论题所限不再展开。。再如2014年2月,郑在某网站购买某航空公司的机票后收到了一条航班取消的短信,郑某拨打了短信中的咨询电话,但对方向其索要账号,后经核实,该航班并未取消。因而郑向天津市东丽区法院起诉该航空公司和该网站。与前一案例相似,一审法院认为:“原告诉称系二被告将其个人信息泄露,但并未能提供证据予以证明。且二被告并不是掌握原告个人信息的唯一介体,原告主张不具唯一性、排他性。原告收到陌生短信,案外人可能涉嫌诈骗犯罪,在公安机关立案侦破以前,本院不能确认系二被告将原告的个人信息泄漏。”参见郑某诉天津航空有限责任公司等侵权纠纷案,天津市东丽区人民法院(2014)丽民初字第1720号民事判决。鉴于上述原因,法院并未支持原告的诉讼请求。且不論信息泄露的举证责任是否应当由原告承担,即使如此诉讼,原告由于举证不能而败诉,未来必将会出现第一个胜诉的案件,引发大规模诉讼只是早晚之事。国外此类事件引发诉讼的情况屡见不鲜如2006年的LG公司泄露求职者信息引发诉讼潮事件;2012年8月美国新罕布什尔州的杰夫·艾伦(Jeff Allan)向圣何塞的美国地方法院起诉雅虎,诉称松懈的安全措施使得黑客得以入侵雅虎的一个数据库,窃取了45万个账户的密码,希望构成集体诉讼。。
根据中国互联网协会发布的《中国网民权益保护调查报告(2015)》统计,仅2015年,网民因为个人信息泄露、垃圾信息、诈骗信息等现象,导致遭受的经济损失人均124元[4],总体损失约805亿元。到2016年,这一数据上涨为人均133元,总体经济损失约915亿元[5]。对于数据信息系统开发的企业或者利用信息存储系统的企业而言,因为其经营活动涉及数量庞大的用户群体或消费者,一旦信息安全责任案件发生,就可能引发大规模诉讼,承担数额难以预估的赔偿责任。可喜的是,我国对于个人信息和数据特别是网络经营活动中个人信息数据的保护越来越严,防范信息安全责任已经成为系统开发商及企业需要特别面对的问题。
(二)与责任保险制度对接的需要
在以往比较成熟的企业风险预防的智识宝库之中,企业通过责任保险的方式把从事正常经营活动不得不面对的法律责任风险(主要是损害赔偿)转嫁给保险企业,进而通过保险公司分散风险,是已被经验所证明的极为有效的法律策略。西方国家为解决其社会普遍性问题,逐渐形成了较为成熟的责任保险机制及其法律规范体系。网络信息安全民事责任亦可循此旧途。
我国《保险法》第六十五条规定了责任保险制度,其中第四款是指以被保险人对第三者依法应负的赔偿责任为保险标的的保险,即在被保险人被判定对第三人负侵权责任时,由保险公司给予补偿[6]。责任保险制度最初的出现正是由于在许多情况下,行为人即使尽到了足够的注意义务,责任风险会依然存在。另一方面,责任的最终判断者是法院,这就意味着行为人无论如何都还会面临举证及司法裁判的不确定性。各种责任保险都是为了使被保险人难以避免的风险得以分担而设立,如会计师职业责任保险、机动车强制责任保险等。责任保险正是针对行为人即使是再谨慎也难以彻底避免的法律责任的风险,通过保险人将所造成的损失进行转移,由全社会或特定的社会群体来分散损失金额的责任机制[7]。如果没有责任保险,那么许多行为人在遭遇大规模索赔时就可能会面临破产,而投资者、创业者也会由于担忧出现这种情形和畏惧高风险而不敢再进入这些领域。但互联网时代早已是不可逆的现实,在没有责任保险的情况下,越来越多的从业者为了分散自己的风险,只能采取“过度防御”的策略[8]。如摩根大通宣称自己每年在网络安全上的开支高达25亿美元,但结果还是被入侵者们攻破并窃取信息2014年6月开始,黑客们利用摩根大通官网上的一个漏洞,用一些复杂的工具深入到其网络基础设施中,悄悄窃取了包括客户账户资料在内的大量情报,摩根大通直到近两个月后才察觉。。面对黑客,即使是巨资投入也难以再让人保持信心,而且这些过度的投入最终还是会转嫁到客户和不特定公众身上。
美国系统网络安全协会SANS(SysAdmin, Audit, Network, Security)认为,网络信息安全服务和信息安全保险的密切结合将是解决网络信息安全问题的必然趋势[9]。怡安奔福公司(Aon Benfield)的一份市场调查报告也指出,网络保险需求一直在显著上升,尤其在一些引人注目的案例发生之后会立刻上涨。在保费激增的同时,网络保险责任范围和产品的年度增长正以30%~50%的速率上升[10]。据此,可以将信息安全保险定义为:基于投保人与保险人之间的信息安全责任保险合同,由保险人在特定的信息侵权赔偿责任发生时,向受害人赔付一定金额的责任保险制度。
三、信息安全责任保险的比较法参照
信息安全责任保险在境外各国保险市场均已有较长时间的实践发展,不同国家的不同保险公司对其也有着各种不同的设计和称呼,如网络空间保险(cyberspace insurance)、信息安全保险(information security insurance)、网络安全保险(network security insurance)、电子风险保险(e-risk insurance)等。
(一)美国
苏黎世北美保险公司(Zurich North America)早在1999年就在美国推出了“E-Risk保险”(E-Risk Edge或E-Business Insurance),专门针对由于感染病毒、非法入侵、网上攻击(DOS)等导致业务陷入瘫痪并给企业带来巨大经济损失的情形。该保险的承保范围包括:未经授权而侵入数据或软件,计算机病毒导致数据丢失或系统损伤,对系统的攻击导致履行不能或无法进行线上业务的操作,侮辱、诽谤、诋毁、侵犯他人著作权和公开私人信息,盗窃金钱、有价证券、数据、软件或计算机资源,电子商务敲诈勒索等[11]。目前,美国本土有30多家保险公司提供网络保险产品服务。美国国际集团(American International Group,AIG)保险公司于2003年推出网络保险业务(CyberEdge)。在此之前,美国境内也有保险公司在被保险人受到黑客攻击时依据“商业损失”或“故意毁坏财产”条款给予一定赔偿,但在保险条款中都没有具体明确包括有黑客攻击。而且通常情况下这样的保险费用都是10万美元起步,有时可高达300万美元。专门的网络保险业务刚刚推出的时候并不被看好,但就在2003年年中包括Yahoo、Amazon和eBay等大型网站相继被黑客侵袭之后,互联网保险业务马上受到重视,AIG当月的保险业务就增加了四到五倍[12]。AIG提供的保险范围包括:由于网路安全或数据的侵入而造成的第三人损失,侵入导致直接受害人花费的费用,由于网路安全或数据的侵入而造成的收入丧失和营业费用,以公开数据或攻击系统相威胁进行敲诈勒索,网络诽谤和侵犯版权、商标权等[13]。
美国的网络信息安全保险在其国内以至全球市场都占有优势地位,这与其国内法和政策的促进密不可分。自2002年开始,美国各州逐渐通过了《违反安全通知法案》(Security breach notification laws),目前已有48个州通过。该法案专门针对越来越多的含有个人可识别信息(personally identifiable information)的消费者数据库的数据泄露,要求任何实体在发生数据泄露时应及时通知其客户和其他相关方,并且采取措施以弥补由于数据泄露而导致的损害。且各州均对违反该义务规定了不同数额的罚金[14]。2013年2月,美国时任总统奥巴马在国会未能通过《网络情报共享和保护法案》(Cyber Intelligence Sharing and Protection Act,CISPA)该法案后于2012年4月在众议院获得通过,而另一类似法案——网络信息共享法案Cybersecurity Information Sharing Act (CISA),则于2014年7月进入参议院。之后,签署了一项呼吁私营公司为政府在一些国家“网络威胁”情况下分享信息的命令,并于同年8月对外公布了该项命令中将要实行的一些激励措施。其中,对美国多个机构指定的首要措施则是建立一个具备一定竞争力的“网络保险市场”,让私营公司愿意加入到“减少网络威胁行动”中此次激励措施将涉及到的内容有联邦补助金、加快从私营公司获取技术协助、限制责任范围以及公众对将参与其中公司的知情权等。(参见http://rt.com/trends/cispa-bill-internet-freedom/)。2015年4月,奧巴马又签署新的执行命令,授权总统可以针对网络攻击发出紧急命令,对在美国境外的黑客,可冻结其银行账户。同年12月,美国国会通过了《网络安全信息共享法案》,目的在于黑客攻击的情况下促成情报交换更为即时快速,以加强网络防护。正是由于这些法案中的强制性规定,促使美国许多公司面临越来越严格的信息安全保障义务和与此相应的更大的责任风险,因而越来越多的公司购买了信息安全保险,以便在发生损害赔偿责任时转移风险,并强制性上报相关情况。此外,保险公司在得到这些报告后,可以利用大数据进行专业分析,从而了解网络安全风险级别,制定更加合理的保险定价,使保费的价格越来越合理[15]。
(二)欧盟
英国目前有大约15家保险公司专门提供网络信息安全的保险险种。1999年,英国伦敦劳埃德(Lloyd)保险公司为康特派恩(Counterpane)计算机安保公司提供保额一亿美元的“黑客保险”(Hacker insurance),专门针对由黑客攻击而导致的公司及其客户的损失[16]。康特派恩公司并因此宣布,其将成为第一家保证在黑客侵入其防卫系统并窃取用户的资料时,向用户提供直接赔偿的互联网安保服务提供商。这一保险不针对家庭用户,而是诸如Yahoo等互联网服务提供商。这一措施将与事先监控共同构成避免黑客威胁的手段。在保费方面,一年2万美元可获得100万美元的保险金额,7.5万美元可获得1 000万美元的保险金额,至于附加险高达1亿美元的保险金额所需的保险费价格,则需要与劳埃德保险公司协商。尽管有分析人士指出,未来十年内,伴随着电子商务的增长,黑客保险市场每年的保费预期将达到十亿美元以上,但保险公司望而却步,主要原因是现有技术和方法难以估量这一保险所面对的风险[17]。
德国网络保险市场近年来发展迅猛,2013年有三大保险公司提供了新的网络保险条款,2014年又有新的“供应商”加入网络保险产品行列[18]。在整个德国市场上,现在仅有12家保险公司专门提供网络信息安全保险,相对于网络信息和电子商务的发展而言,显得明显不足[19]。同时,德国网络保险市场至今依然表现出由英美大型工业保险公司所占据的特点[20]。德国本土的保险公司中,安联保险公司(Allianz Global Corporate & Speciality, AGCS)于2013年7月推出了名为“网络保护”的保险(Cyber Protect);紧接着,瑞士苏黎世保险公司便迅速推出了“网络与数据保护”保险(Cyber & Data Protection);HDI-格林工業保险股份公司(HDI-Gerling Industrie Versicherung AG,HDI)也紧随其后出台了“网络+”(Cyber+)保险[21] 。
欧盟出台的信息安全立法《欧洲数据保护规定》(Europes General Data Protection Regulation,GDPR)规定了在个人数据泄露情形下向相关数据保护监管机构的通知义务,要求“不得无故拖延,并且在可行的情况下,在知悉数据泄露之后72小时之内作出”;当个人数据泄露可能导致自然人的权利和自由面临高度风险时,应当立即通知数据当事人;如果该主体认为不存在这样的风险,监管机构认为存在,则有权要求该主体履行通知义务。GDPR同时规定了罚金规则:怠于履行通知义务的主体可能遭受最高1 000万欧元或该主体上一财年全球年度营业收入的2%(两者取数额较高的)的行政罚款GDPR第33条、第34条及第83条的相关规定。(参见http://data.consilium.europa.eu/doc/document/ST-5419-2016-INIT/en/pdf)。遗憾的是,欧盟的这一数据保护规定要到2018年5月才正式施行,因而其对于数据安全保险的促进作用仍处在“潜伏期”。
(三)印度
在印度,各保险公司正积极开拓网络信息责任保险市场。巴贾杰安联一般保险公司的做法是把网络责任险作为其专业责任保险的附加条款,将涉及到由计算机病毒、误传、诽谤、违反保密协议、侵犯知识产权等相关风险所引发的第三方索赔纳入其中。印度工业信贷伦巴德一般保险公司将网络责任险作为错误和遗漏保险的附加条款投保,同时也作为独立的网络责任保险投保。目前,该公司已正式接受IT业的咨询。印度各保险公司均十分看好网络责任险的发展,认为“银行业、金融服务和保险业、医院、旅游公司、教育机构,以及零售业巨头等其他行业开始感觉到对这种保险的需求只是时间问题”[22]。网络信息责任保险的保费通常位于每投保100万美元收取5 000美元到1.5万美元之间,高出其他保险10%~20%的费用。但各家保险公司都认为考虑到所涉及的风险,这样的定价非常合理。但就保险范围而言,又将未经许可发送电子邮件、搭线、窃听、欺诈等行为,以及未能维持符合要求的计算机安全等行为排除在外。比较有特色的是,塔塔美国国际集团一般保险公司推出的责任保险规定:如果主管或高级职员受到忽视网络安全风险的指控,而这种疏忽又造成了一定损失的,那么针对主管或高级职员的索赔将被列入主管和高级职员保险单的覆盖范围内[23]。
(四)我国信息安全责任保险的发展现状
2013年底,苏黎世保险公司开始在中国推出安全与信息保护险[24]。苏黎世保险集团推出的此项保险是针对企业用户研发的产品,承保标的主要是企业内部存有的机密商业信息、客户信息和雇员个人信息等。如果公司的计算机安全系统遭到恶意攻击,导致企业保管的客户信息或公司内部信息泄露造成的财产损失,均可获得赔付。此外,该保险公司对于投保企业的董事、高管或员工在工作期间,因过失丢失或意外泄露客户和企业的信息所造成的损失或责任也可获赔。如公司职员出差期间将存有客户资料的笔记本遗落在飞机或者出租车上,也可通过保险公司申请赔付[25]。此类保险还涵括由于网络受到攻击而导致的营业损失和系统恢复费用。如某淘宝网店因为黑客攻击导致其网站无法登陆,销售无法进行,那么其在营业中断期间遭受的损失以及恢复系统的费用都可以得到保险赔偿。但是,这款保险的保费价位相对较高,保险公司会根据赔偿限额的高低和风险因素进行考量,年度保费从几万元到上百万元人民币。另外,投保前苏黎世保险公司还会考量投保人的年营业收入、所保管的信息类别和数量、信息安全防护等级、内控制度、司法管辖范围以及过往损失记录等[25]。
2014年6月,最高人民法院发布《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,其中第十二条规定网络用户或者网络服务提供者利用网络公开自然人个人隐私和其他个人信息,如基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等,造成他人损害的,可以构成侵权责任。且这两类主体若以违反社会公共利益、社会公德的方式公开某些已合法公开或合法获取的个人信息,或者公开该信息侵害权利人值得保护的重大利益,也可能构成侵权责任。2016年颁布的《网络安全法》第二十二条规定,网络产品、服务的提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。并在第二十五条针对网络运营者在发生危害网络安全的事件时也规定了要采取补救措施和报告义务。值得注意的是,《网络安全法》在“法律责任”一章专门针对违反上述两条的情形规定了对单位和负责人的罚款数额。以上规则的出台对国内相关信息主体的信息安全义务及报告义务做出了强制性规定,一定程度上促进了国内企业及相关主体对相关风险的认识,部分企业开始意识到风险分散的必要性。
2016年初,我国的保险公司推出了数据安全险,专门针对黑客盗取云计算数据进行保险。一旦发生因黑客入侵引发的数据泄露事件,保险公司将提供最高100万元的现金赔偿。赔偿标准基于用户的投保费用和实际损失进行界定,主要保障的是用户云服务器上存储的数据。因黑客攻击导致数据公开给企业造成的直接经济损失,因黑客攻击导致数据在第三方网站、论坛、媒体公布给企业造成的品牌损失,因黑客攻击导致企业数据泄露,被最终用户索赔的损失等都在理赔范围内。尽管分析家们都预测在信息安全保险这个领域可获保费利益十分巨大,甚至有专家表示这一责任险在不久的将来会超过董事责任险而成为各保险公司责任险中最大的保费收入来源[24],但保险公司对于该项保险依然持相对保守的态度,究其原因是保险法学界普遍对于信息安全风险的可保性问题,风险的估算、损害的计算等问题尚未展开讨论,业界亦欠缺先前经验可供参考。
四、信息安全责任保险制度构建难点
(一)网络信息风险的可保性问题
在可保风险的认定标准问题上,加拿大保险局(The Insurance Bureau of Canada,IBC)认为必须满足三个条件[26]:第一,相对较大数量的人面临风险,第二,任一小部分面临风险的人在不特定任何时间可能蒙受损失,第三,损失是随机发生的。对于第一个条件,随着现今网络服务的普及,商事、消费者乃至公共服务领域均已深度覆盖,信息安全风险的广泛性早已在各国信息泄露事件中得到充分揭示。而依据第二个条件的定义,则诸多网络信息安全风险,包括千年虫事件[27]在内,是否能被纳入可保风险的范围值得怀疑。网络信息安全风险的特殊性在于,虽然可能会面临损失的网络服务提供商数量很大,但受损害的第三人的数量可能會更大,而不像传统的责任险那样,第三人损害相对来说范围可以确定。如如家、汉庭案件中,网络技术的提供者因其系统存在漏洞,直接导致所有客户均成为受害人,而泄露的信息又是所有客户网站消费者的信息,这其中的损害是叠加的。也就是说,网络信息安全风险一旦发生,从损害扩展速度和波及范围上而言,可能超过传统意义上几乎任何类型的保险风险。由于网络产品提供者的数量足够多,且不同提供者的产品和服务之间相互独立,故保险公司完全可能通过大数法则来实现风险的分散。对于第三个条件,虽然多数风险都是由于人为原因,即黑客利用存在的漏洞而窃取信息和数据,但客观上风险的发生依然是随机性的,在同一时间,通常只有部分特定漏洞诱发的风险会有损失,因此保险人可以实现风险的分散。从现有欧美保险市场上信息安全责任险的发达也可推知,信息安全风险并非不具有可保性。
(二)信息安全责任的风险估算
除了上述可保性的三个要件之外,作为可保风险,还必须具有可评估性。对于信息安全风险如何计算这一难点问题,其实可以将网络信息安全的风险与现有责任保险中的风险类型相比较。比如,许多讨论者会将网络信息安全保险的风险与机动车保险中的风险相类比,认为二者具有类似性,保险公司的分析师却指出了两者的不同:在机动车保险领域,保险公司有足够大的市场足以分散风险,相对于众多的被保险人而言,只有少数的随机保险事件发生,而在网络风险领域,风险和保险需求并不匹配;另外,机动车责任险领域已有相对可靠的实际数据可供计算可能的潜在损失,而网络信息安全事件尚须数年的历史数据作为支撑,才能估算出潜在损失,并以此进行更为具体的保险安排。保险公司的一些分析师也认为,网络信息安全风险可能更类似于巨灾保险所面临的风险,因为这两种风险都是极有可能在其发生时连带诸多行业同时遭受损失或损害[26]。德累斯顿工业大学计算机科学系系统结构研究所Rainer Bhme教授在一份报告中指出,虽然在许多保险产品的供给一方看来,由于缺乏信息安全事件的足够数据,使得这似乎更像是一种艺术而不是科学,但无论从风险的来源还是风险的产生来看,都不能把信息安全事件的风险与过往的传统保险风险相等同,因为现今电脑联网的现状将会造成不必要的关联索赔。正因为各保险公司在可能面临的网络信息安全保险事故的风险问题上,没有更多的数据和更好的方法进行计算,所以我国的保险公司在这个市场上普遍还没有明确的行动,德国等国家的保险公司对此也相对保守缓慢。
对于这一问题,除了市场经验与数据的积累外,各国在信息安全方面的立法与司法情况也具有至关重要的借鉴作用。在英美等这一险种较发达的国家的市场上,虽然最初保险公司在设计此类保险时,费用相较于其他保险要高出不少,但伴随着依据法律规定各信息的管理实体及服务提供者在发生信息泄露时的通知和报告义务的履行,保险人获得了大量较为准确的第一手信息,能够做到越来越准确地对风险进行评估;相应的,对于不同的被保险人也可以更为妥当地确定其保险费率。也就是说,信息安全责任的风险估算对于保险人而言,在数据日渐充分的条件下,是可以逐渐成熟化解决的问题。
(三)网络信息安全责任的损害认定
网络信息安全风险中重要的一环是系统侵入和信息泄露后所造成的损害认定。在此所考虑的问题并非单纯涉及受害人的举证,还有因果关系的认定,网络环境无形、交错、难以捕捉、专业性等特点,使传统侵权法中本已错综复杂的因果关系理论变得更为复杂和困难。在损害程度认定方面,比如AIG等公司的保险条款中就明确了因网络安全或数据侵入而造成的收入丧失和额外的营业费用。另外,许多此类保险不仅包含对以公开数据或攻击系统相威胁进行敲诈勒索而赔偿的,而且包括网络诽谤和侵犯版权、商标权等相关损害和责任。此类损害都是直接致害,一般而言属于典型的保险范围。但是也有比较宽泛的对信息安全的保护,比如苏黎世保险公司在世界各地推出的保险中,大多涵盖对于投保企业的董事、高管或员工在工作期间,因过失丢失或意外泄露客户、企业信息所造成的损失或责任。更复杂的问题是,如果是基于首次的信息受侵害而公开事件造成的二次损害或如前文所述属于叠加、次生或受牵连而发生的损害,又该如何判断呢?这些在保险中是否应该涵盖,保险人在设计保险范围时也必须考虑。更为特殊的是,是否造成实际的经济损失,如果只是骚扰电话、广告推销等情形,是否构成对生活安宁的侵扰,在不同国家不同的立法背景和司法环境下可能都会有不同的认定。若此类精神损害能够得到认可,保险金额的确定也必然会受到相应的影响。对我国境内的保险公司而言,最高人民法院在2014年10月出台的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,无疑是对风险和损失进行估算的重要依据。
(四)强制责任保险的必要性
强制责任保险是伴随着现代社会危险责任的产生和扩大而发展起来的。强制责任保险从某种意义上而言是国家对个人意愿的干预,所以强制保险的范围受到严格限制:必须由法律、行政法规明确规定。然而,从最为基本的层面来看,网络信息安全在一定程度上是关涉公共利益的。首先,迄今为止任何一个网络信息安全事件的发生,受损害者都是一定范围甚至是很大范围内的不特定人群。其次,从侵害的权益而言,无论将信息安全解释为一个独立的权利,还是借用隐私权的概念,或者引入生活安宁权等,不可否认的是,这一权益伴随着现代社会科技的发展将逐漸显现出其对于个人生活、财产安全、精神安宁的高度重要性。此类网络信息的侵害,当属对公共利益的侵害无疑。
更为重要的是,受攻击的主体不仅包括企业、公司,还有医院、国家机关等一切数据信息的保有者,而后者通常所保有的信息都直接涉及个人隐私,这些信息都是基于网络而存储,再加上各机关、机构之间进行信息共享,并且基于互联网给公众提供更多信息化服务的现实趋势,必将使得这些信息更多地暴露于网络风险之下。再加上这些主体的清偿能力在大规模的侵害面前是十分有限的,甚至对大量机构而言可能还会引发国家赔偿。这一方面对于受损害第三人的权利增加了获赔难度,另一方面对国家机关而言,也是不能承受之重。因此,在关系公众重要隐私信息领域,将网络信息安全保险设定为强制责任保险非常必要。当然,从立法政策层面看,无论在哪个程度上推行网络信息安全的强制保险,都将会对整个行业以至市场结构造成影响,这必然成为天平的另一方[28]。五、结论:信息安全责任保险构建已逢其时互联网至今已深度融入社会生活,网络信息安全事件近年来在国内外呈爆发之势,且发生范围逐渐从商业领域扩展到消费者乃至公共服务领域。虽然大规模的网络信息安全事件诉讼索赔在我国尚不多见,但未来已可预见,为此,有必要建立信息安全责任保险制度。信息安全责任保险在境外各国保险市场均已有较长时间的实践发展,如美国、英国、瑞士、德国甚至印度的保险公司,都有丰富的实践经验。而我国的保险公司对网络信息保险依旧持谨慎保守的态度,对于信息安全风险可保性问题,风险的估算、损害的认定等问题尚存疑虑。对此,通过上述讨论可知,信息安全风险是完全符合可保性要件的风险;大量的国外保险实践表明,信息安全风险是可以进行估算的,且伴随着保险人对风险事件数据的掌握和充分的保险市场的竞争,这种评估在未来将会日益成熟,相应的保险费率的确定也会更加妥当;在信息安全责任的损害认定问题上,需要依赖更多的司法裁判来确定。另外,在关系公众重要隐私信息的领域,将网络信息安全保险设定为强制责任保险有其必要性。我国未来对于个人数据信息的保护机制必将更加完善,而保险作为社会风险分散的重要工具,对于网络时代的信息安全与社会治理、维护个人权利与安宁、推动“互联网+”背景下行业与市场的规范与稳定发展都必将发挥其有益功能。
参考文献:
[1]朱靖琰,王超.网络实名制的是与非——基于建构网络公共领域的视角[J].重庆邮电大学学报(社会科学版),2014(1):50-54.
[2]华劼.移动互联网时代个人信息隐私保护[J].重庆邮电大学学报(社会科学版),2017(5):40-47.
[3]2017年中国网页篡改现状及被攻击网站数量统计[EB/OL].(2017-08-08)[2017-12-31].http://www.chyxx.com/industry/201708/548322.html.
[4]中国网民权益保护调查报告(2015)[R/OL].(2015-07-22)[2017-11-25].http://www.scio.gov.cn/zhzc/8/5/Document/1441916/1441916.htm.
[5]中国互联网协会.中国网民权益保护调查报告2016[R/OL].(2016-06-22)[2017-11-25].http://www.isc.org.cn/zxzx/xhdt/listinfo-33759.html.
[6]周学峰.侵权诉讼与责任保险的纠结[J].清华法学,2012(2):83-101.
[7]张梓太,张乾红.我国环境侵权责任保险制度之构建[J].法学研究,2006(3):84-97.
[8]周学峰.论责任保险的社会价值及其对侵权法功能的影响[J].甘肃政法学院学报,2007(5):108-112.
[9]王新雷.网络安全保险法律政策的路线图[J].政法学刊,2011(2):15-21.
[10]Aon Benfield. Reinsurance Market Outlook[EB/OL].(2016-09-11)[2017-11-25].http://thoughtleadership.aonbenfield.com/documents/20160911-ab-analytics-rmo.pdf.
[11]E-Business Insurance from Zurich North America[EB/OL].[2017-10-23].https://secure.zurichna.com/erisk_edge.htm.
[12]AIG eBusiness Risk Solutions Expands Coverage Against Cyber Security Threats[EB/OL].(2003-05-06)[2017-11-28].http://www.businesswire.com/news/home/20030506005705/en/AIG-eBusiness-Risk-Solutions-Expands-Coverage-Cyber#.VFvEaNFxn3g.
[13]CyberEdge Insurance Coverage[EB/OL].[2017-11-20].http://www.aig.com/CyberEdge_3171_417963.html.
[14]Baker Hostetler. State Data Breach Law Summary[EB/OL].(2017-11-29)[2017-12-08].https://www.bakerlaw.com/files/Uploads/Documents/Data%20Breach%20documents/State_Data_Breach_Statute_Form.pdf.
[15]董峰,李路斌.我国发展网络安全保险任重道远[N].中国保险报,2017-07-21.
[16]Associated Press.Lloyds to Back Hacker Insurance [N].Los Angeles Times,2000-07-10.
[17]Lloys of London offers Internet hacker insurance[N].The Florida Times Union,2000-07-11.
[18]ALLERDISSEN H J. Lage und Entwicklung der deutschen Versicherungswirtschaft aus der Sicht des DVS Deutschen Versicherungs-Schutzverbandes e.V.Rede anl?sslich der ordentlichen Mitgliederversammlung am 9.5.2014[EB/OL].(2014-05-09)[2017-11-27].http://www.dvs-schutzverband.de/aktuelles-2014-PM-Lage-und-Entwicklung-Artikel-de.php.
[19]UMAR C.Der Cyber-Versicherungsmarkt in Deutschland[M].Wiesbaden:Springer Gabler,2014:1-2.
[20]Gesamtverband der Deutschen Versicherungswirtschaft e.V.2014.Die Positionen der deutschen Versicherer 2014[EB/OL].[2017-10-17].http://www.gdv.de/wp-content/uploads/2014/04/GDV-Politische-Positionen_2014_nn.pdf.
[21]BEHRENDS J. Cyber-Versicherungen haben eine groβe Zukunft. Versicherungswirtschaft 02/2013,68.Jahrgang,15.1.2013,24-25[EB/OL].(2013-01-15)[2017-10-17].http://www.aon.com/germany/risk-services/cyber_risiken/versicherungswirt-sch-aft_02_2013.pdf.
[22]印保險公司开拓网络责任险市场[EB/OL].(2013-07-01)[2017-10-20].http://www.secdoctor.com/html/hwlf/24274.html.
[23]刘志敏.网络责任险渐成印度新宠[N].中国保险报,2013-07-01.
[24]冷翠华.信息泄露第一案若胜诉将引诉讼潮 责任险潜力或爆发[N].证券日报,2014-01-23.
[25]苏长春.外资险企国内首推安全隐私保护险[N].北京商报,2013-11-14.
[26]PAUL K, MELISSA M, ROBERT S. Cyber-Incident Risk in Canada and the Role of Insurance[R].Toronto:Institute for Catastrophic Loss Reduction,2004:3-8.
[27]ROSENBERG J. The Y2K Problem: A Computer Glitch That Scared the World[EB/OL].(2017-08-29)[2017-10-20].http://history1900s.about.com/od/1990s/qt/Y2K.htm.
[28]李媛.共识与争议:个人信息保护的价值目标[J].重庆邮电大学学报(社会科学版),2016(3):59-64.
Abstract:“Internet-based” information security issues surging with extensive damage and serious consequences with the development of Internet. Lots of network information security incidents litigation claims already been seen in China and large-scale litigation claims are foreseeable in the future, which would be a huge blow to the Internet-related companies and the industry. To tackle such risk, the network information security liability insurance is a crucial option. Information security liability insurance has been developing for a long time with mature and feasible practice in the insurance market of many countries, such as the United Kingdom, Switzerland, the United States, Germany and India, while absent in China. Network information security risk is insurable; it can be estimated, and the estimation will develop well as practice cases accumulated. While identification of the consequence of damage and insurance scope should comply with legislation and jurisdiction. For the fields concerning information of public privacy, mandatory liability insurance should be set up. Its the right time to build up the system of network information security liability insurance.
Keywords:“Internet +”; network information security; liability insurance
(编辑:李春英)