網絡安全保險作為承保網絡攻擊����、數(shù)據(jù)泄露���、網絡勒索等網絡安全事件的財產保險��,盡管其本質上屬于商業(yè)險種�����,但其發(fā)展歷程是以網絡安全法律制度為背景���。如美國的網絡安全保險在很大程度上是為了填補各州數(shù)據(jù)通知法案所要求的通知費用、數(shù)據(jù)恢復費用���、訴訟費用等�。網絡安全保險的制度化并不是意欲在《保險法》中增設專門的條款內容,而是強調促進該類險種發(fā)展的關鍵點應當是在保險法的理論框架下融入網絡安全保護義務的基本內容�����,以制度化的網絡安全保險填補單純依靠法律和技術規(guī)制風險的功能不足����。
本書內容適合法律、保險和網絡安全相關人士閱讀���。
在現(xiàn)代社會�����,網絡通信技術的普及應用重塑了社會架構和社會關系�����,但同時也產生了名為網絡安全風險的后現(xiàn)代社會風險。盡管國內外立法者不約而同地選擇了建構體系化的網絡安全法律制度以抵御風險事件可能帶來的損失��,但始終存在部分類型風險無法通過事前監(jiān)管予以控制�。尤其是在美國燃油管道公司被網絡勒索攻擊之后,國外企業(yè)投保網絡安全保險的需求陡然提升�。中國部分保險公司也嘗試推出網絡安全綜合責任險���,但市場反饋遠不及預期。形成這種外熱內冷局面的原因包括風險歷史數(shù)據(jù)匱乏��、風險評估專業(yè)要求高����、保險事件與損害結果之間因果關系難判斷等,這些看似屬于保險技術層面的客觀原因����。可如果對比國內外實踐現(xiàn)狀��,不難發(fā)現(xiàn)�����,發(fā)展困局背后更深層次的原因是網絡安全保險制度化理論基礎不牢���,《中華人民共和國保險法》第五十一條有關維護保險標的安全義務的規(guī)定與網絡安全法律體系中有關網絡安全保護義務的規(guī)定在理論和制度方面有所脫節(jié)���。網絡安全保險作為承保網絡攻擊、數(shù)據(jù)泄露�、網絡勒索等網絡安全事件的財產保險���,盡管本質上屬于商業(yè)險種,但其發(fā)展歷程是以網絡安全法律制度為背景����,如美國的網絡安全保險在很大程度上是為了填補各州數(shù)據(jù)泄露通知法案所要求的通知費用、數(shù)據(jù)恢復費用�����、訴訟費用等方面內容���。網絡安全保險的制度化并非旨在《中華人民共和國保險法》中增設專門的條款內容�����,而是強調促進該類險種發(fā)展的關鍵點應當是在保險法的理論框架下融入網絡安全保護義務的基本內容�����,以制度化的網絡安全保險填補單純依靠法律和技術規(guī)制風險在功能上的不足�。
結合保險市場的實踐現(xiàn)狀�����,網絡安全保險制度化不足主要表現(xiàn)為存在三個不確定: 第一����,風險可保性不確定。在法學視野下�,網絡安全風險可保性問題實際上轉化為是否有對網絡安全風險獨立承保的必要性,因為網絡安全風險所導致的損失可能已經被諸如營業(yè)中斷險�����、商業(yè)綜合責任險等傳統(tǒng)險種所涵蓋����,保險市場一直存在對專門承保網絡安全風險必要性的質疑。第二��,損失填補范圍不確定�。由于風險可保性存在不確定性,司法實踐中有關網絡安全保險損失填補的應然范圍存有爭議��,如網絡安全事件導致的營業(yè)中斷損失�、網絡勒索贖金、數(shù)據(jù)泄露�����,與這些事件相關的侵權賠償責任是否均屬于保險人應承擔的保險責任等。第三�,保險合同義務履行方式不確定。以往保險人與被保險人之間風險信息不對稱的問題由于網絡安全風險固有的專業(yè)性要求而再次加深�����,導致《中華人民共和國保險法》中規(guī)定的有關維護保險標的的安全義務�、如實告知義務的履行方式發(fā)生變化。為了避免被保險人逆向選擇�����,被保險人理應在網絡信息系統(tǒng)中如實上報相關重要信息�,同時保險人依據(jù)《中華人民共和國保險法》第五十一條第二款規(guī)定,可以對保險標的安全狀況進行檢查�����;但是按照網絡安全技術原理�����,安全防護體系被外界知道的相關信息越少則越安全���,被保險人應當如何履行如實告知義務成為難題����。
前言 網絡安全治理新工具: 網絡安全保險要解決三個不確定問題����,如果繼續(xù)沿用保險合同保險監(jiān)管的研究范式,依舊忽視了現(xiàn)代保險的社會功能�����。審視現(xiàn)代風險對侵權責任法��、保險以及保險法的影響方式�,從中可以觀察到,在風險事后歸責到風險事前預防的認知轉變中��,原本屬于意思自治領域的保險及其法律制度開始成為風險治理體系的重要部分�����。美國學界提出的保險治理理論�����、新保險組織制度說可以被視為對保險社會功能制度化的一種理論性嘗試,而這種第三類保險法學研究范式提供了另一種觀察視角保險法與其他部門法之間規(guī)則上的互動是如何促進保險實現(xiàn)風險治理的社會功能的�����!吨腥A人民共和國保險法》第五十一條第一款規(guī)定了維護保險標的安全義務的標準是安全保護義務�、安全技術標準����、安全管理流程等,這些安全要求即是保險合同義務與網絡安全保護義務在規(guī)則方面互動的基礎��,可將這一過程稱為安全保護義務的合同化���。
在安全保護義務合同化的理論框架下���,解決三個不確定問題的思路也得以明確: 第一,在風險可保性不確定層面����,由于保險合同約定的安全義務與法定的網絡安全保護義務之間存在履行標準差異,并不是所有網絡安全風險都能在網絡安全法的覆蓋范圍中���,故而對于部分特定的網絡安全風險�,保險有介入的必要性。第二����,在損失填補范圍不確定層面,網絡安全法與保險法所指向的網絡安全損失概念有法秩序狀態(tài)安全與經濟利益安全之分��,因而網絡安全保險的損害填補范圍主要還是以保險利益理論作為具體的判斷依據(jù)�����,根據(jù)網絡安全事件與網絡安全損失之間的因果關系是否存在中斷的情形解釋部分營業(yè)中斷損失����、網絡勒索贖金等不屬于損失填補范圍的事件�����。第三��,在義務履行不確定層面�,被保險人在義務履行方面出現(xiàn)沖突的問題,是因為在法定的網絡安全保護義務轉變?yōu)楸kU合同約定義務的同時��,風險治理邏輯也從自上而下的強制性監(jiān)管轉變?yōu)槠降戎黧w間的約定治理����,解決這一問題的思路也應當是在解構網絡安全保護義務的基礎上將部分法定義務與維護保險標的安全義務背后的合同目的進行匹配�����。
綜上而言��,網絡安全保險制度化的基本思路應當以解釋網絡安全保護義務與維護保險標的安全義務之間的互動關系為核心���,將網絡安全保險嵌入網絡安全保障體系之中,可以考慮將網絡安全保險視為與安全評估�、第三方審計等制度具有相同法律效果的平行制度。
周瑞玨�,北京航空航天大學計算機學院博士后,工業(yè)和信息化法治研究院研究員�。長期從事法學與計算機科學技術交叉學科研究,研究領域包括網絡安全治理����、新型工業(yè)化法治體系、人工智能技術治理�、科技文獻圖情研究等。在《暨南大學學報(哲學社會科學版)》等CSSCI期刊發(fā)表數(shù)篇論文�,研究成果多次獲省部級批示或中央部門采用。
趙精武��,北京航空航天大學法學院院長助理、副教授����,民法研究中心副主任,北航2023年小米青年學者�。兼任北京科技創(chuàng)新中心研究基地副主任。學術研究方向為民法����、網絡與信息法學。在《中外法學》《現(xiàn)代法學》《法律科學》《光明日報》《經濟日報》等中英文核心期刊發(fā)表文章數(shù)篇���,部分文章被《新華文摘》《高等學校文科學術文》《人大復印報刊資料》全文轉載。
第一章網絡安全保險的基本概念與制度化困局1
第一節(jié)網絡安全保險的基本概念���、承保范圍與險種類型1
一�、 網絡安全保險的基本概念1
二���、 網絡安全保險的承保范圍與具體類型損失險與責任險2
三����、 國內外網絡安全保單條款的具體范例4
第二節(jié)網絡安全保險的現(xiàn)實困境與成因分析: 網絡安全保險制度化不足9
一����、 網絡安全保險的發(fā)展現(xiàn)狀:保險人不敢保��,投保人不愿投9
二����、 網絡安全保險發(fā)展滯緩的成因分析: 網絡安全保險制度化不足10
第三節(jié)網絡安全保險制度化不足的成因分析: 三個不確定12
一�����、 風險預防: 風險可保性的不確定13
二�、 風險分散: 損害填補范圍的不確定14
三、 風險治理: 保險合同義務履行的不確定15
第二章一個理論分析框架的提出: 安全保護義務合同化17
第一節(jié)現(xiàn)代風險的法學意義與理論范式18
一���、 現(xiàn)代風險對侵權責任法�����、保險和保險法的影響: 風險認知的場景化18
二�、 風險預防的第三類保險法學研究范式:私人監(jiān)管者22
第二節(jié)基于風險特征的安全保護義務合同化理論分析框架26
一�����、 第三類保險法學研究范式的啟示: 安全保護義務的合同化26
二��、 安全保護義務合同化的理論功能: 部門法規(guī)則互動與保險制度化29
三、 安全保護義務合同化理論在環(huán)境污染責任險和UBI車險中的應用31
第三節(jié)安全保護義務合同化對三個不確定問題的解釋功能34
一�、 安全保護義務合同化理論的場景范例: 以美國數(shù)據(jù)泄露通知義務為例
34
二、 風險可保性不確定的解決思路: 網絡安全風險的獨立性38
三�����、 損害填補范圍不確定的解決思路: 保險利益的指引功能39
四��、 保險合同義務履行不確定的解決思路: 保險人與被保險人的風險信息
對稱40
第三章風險可保性不確定問題的解決: 風險獨立承保42
第一節(jié)網絡安全風險的基本特征42
一���、 網絡安全風險技術屬性對風險可保性的影響42
二�、 網絡安全風險的法律屬性: 風險類型的特定性與獨立性45
第二節(jié)網絡安全風險獨立承保的基本邏輯50
一��、 沉默的網絡現(xiàn)象: 網絡安全風險的獨立性50
二�����、 分散網絡安全風險的三種方式54
第三節(jié)風險獨立性視角下的網絡安全風險可保性: 以美國司法實踐為例56
一���、 商業(yè)綜合責任險(CGL)中的網絡安全風險58
二、 犯罪保險中的網絡安全風險60
三�、 網絡安全風險可保的獨立性分析61
目錄第五章 網絡安全治理新工具: 網絡安全保險第四章?lián)p失填補范圍不確定問題的解決: 損失類型化63
第一節(jié)網絡安全損失范圍的界定63
一、 網絡安全損害概念的體系化63
二����、 網絡安全損害填補的基本邏輯: 保險利益學說的指引功能66
三���、 網絡安全損失的類型化構想與認定方式69
第二節(jié)網絡安全保險損害填補范圍的認定邏輯72
一、 網絡安全損失險損害填補范圍的認定72
二�����、 網絡安全責任險損害填補范圍的認定75
第三節(jié)常見網絡安全損失類型的填補范圍認定79
一���、 營業(yè)中斷損失的保險責任認定79
二���、 網絡勒索贖金的保險責任認定82
三、 客戶業(yè)務數(shù)據(jù)泄露的保險責任認定85
四�����、 個人信息泄露侵權的保險責任認定87
第五章保險合同義務履行不確定問題的解決: 義務內容的銜接91
第一節(jié)保險合同義務履行方式的確定91
一����、 網絡安全保護義務合同化的基本內容91
二、 網絡安全保護義務與維護保險標的安全義務的內容銜接95
三�、 網絡安全保護義務與如實告知義務的銜接97
第二節(jié)網絡安全保障立法體系對保險合同義務內容的影響: 以日本為例
101
一、 日本網絡安全保險合同的基本特征101
二�、 以風險為中心的合同義務解釋103
三����、 日本網絡安全責任對保險合同義務內容的影響105
第三節(jié)網絡安全保護義務與保險合同義務的體系化銜接路徑108
一����、 保險合同義務中的網絡安全保障標準108
二、 保險合同義務體系化的基礎制度架構110
三����、 保險合同義務履行的制度化方向112
結論: 網絡安全保險制度化的基本方向115
附錄一網絡安全能力總分類導圖117
附錄二美國司法實踐中的網絡安全保險判例匯總表118
一、 CGL保單中的網絡安全損失118
二�、 犯罪保單中的網絡安全損失119
三、 董事責任險中的網絡安全保險120
附錄三網絡安全保險足額理賠范圍121
附錄四歐盟網絡安全保險與其他險種的損害填補范圍區(qū)分122
