互联网时代,每个人的数据都在时刻被各种平台、企业、机构所收集、分析、储存。相较大企业,中小企业缺乏有力保护用户个人信息存储安全的财力与人力,又因数据泄露成本低而对个人信息保护不重视。近来随着以《数据安全法》《个人信息保护法》的出台,许多针对企业个人信息保护的遗留问题得到解决,但是对于中小企业,“政府监管难”的问题仍未解决,又新产生了“企业负担大”的问题。在此背景下,如果将网络安全保险作为组合拳一并推广,对于这两个问题的解决有所帮助。
一、中小企业内个人信息存储安全现状
企业内个人信息存储安全的风险来自于两方面:来自企业内部的数据泄露风险与来自企业外部的安全攻击风险。总体而言,目前中小企业个人信息存储安全问题严重,个人信息泄露事件层出不穷。这与中小企业整体的数据存储安全风险息息相关,根据思科中国发布的《2020中小企业网络安全报告》,53%的中小企业曾遭到安全攻击。据Verizon的《2020年数据泄露调查报告(DBIR)》显示,在所有数据泄露事件中,近三分之一(28%)涉及小企业。据IBM和Ponemon Institute联合发布的《2020年全球内部威胁成本报告》显示,中小型企业(员工人数少于500人的)在每次网络安全事件上的损失平均超过200万美元,其中也包括了很多来自企业内部的泄露风险。事实上,相较于企业整体数据存储安全的现状,用户个人信息存储安全情况可能更加不乐观。在企业的走访调查中收到的反馈是,在中小企业中,对于用户个人信息保护的重视程度显著低于企业经营数据的保护,因此也面临泄露风险。
必须注意的一点是,中小企业数据泄露的危害并不比大型企业低。举一个案例,2016年,号百信息服务有限公司数据库泄露,涉及公民个人信息2亿余条的手机号码信息被窃取后在网上出售。2018年,广州某企业管理咨询有限公司被“内鬼”加“黑客”窃取了35万余条的医生个人信息。这两家中小企业之所以能拥有这么多个人信息,一是因为该中小企业是某大型企业的外包公司,因此共享了来自大企业的大量个人信息,二则是因为该企业深耕某一细分市场,虽然用户信息数量不多但敏感程度高。无论对应哪种情况,中小企业内的用户个人信息一旦泄露,对于公民的信息安全都是极大威胁,轻则骚扰短信垃圾邮件,严重些则是各类诈骗和金融事件,给社会稳定带来极大影响。
二、中小企业对于个人信息存储安全保护不力的原因分析
1. 重视程度低
由于数据存在非排他性,也就是说企业内的用户个人信息即使泄露,也不会直接影响企业对于这些信息的使用,因此也不会带来直接的经营利润上的损失。这使得中小企业对于个人信息存储安全不重视、不积极。
2. 缺乏财力与人手
数据存储安全问题是一个技术问题,前期需要大量的资金投入来打造安全保护的硬件软件体系,到了后期,仍需要不断更新技术设备来应对不断出现的新的风险,对于资金本不富裕的中小企业来说只能尽力。从人才角度来考虑,整个行业网络和数据安全专业人员缺口巨大,中小企业想招聘专业安全人员更是难上加难,因此普遍存在IT人员兼任安全岗位、没有网络安全专岗的情况。
3. 政府监管难,法规约束力弱,追责不力
中国数据安全的法律监管自2017年才开始,目前仍在体系的搭建过程中。过去长期的应急处理、法律条文笼统的情况给数据安全的监管带来极大的困难,监管机关不明确,监管准则不明确。与此同时,监管的重点往往放在大型企业上,对于中小企业较为无力。过去实施的一些措施收效也不明显,比如2017年《网络安全法》中首次提出的网络安全负责人,在中小企业中的施行过程中,常常出现随意指派一位员工兼任该职务,仅仅当作一个“背锅侠”,而不是如预想中真正帮助管理企业数据安全。如果发生数据安全事故,由于法律体系的缺失,对于企业的责任认定不明确,实际上对于企业的惩罚力度很小,起不到倒逼企业加强保护的作用。
三、网络安全保险
网络安全保险(cyber insurance)就是针对企业客户规避网络安全风险的一类保险。尽管名为网络安全保险,但这类保险目前的承保范围已经覆盖了企业整个数据存储安全的各类风险,因此对于企业中的个人信息储存安全同样适用。网络安全保险目前在中国还未发展起来,但是在海外,尤其是欧美已经有了成熟的经验。
1. 网络安全保险在海外的发展现状
上世纪90年代,网络安全保险开始在美国出现,到如今已有二十多年的历史。根据普华永道的《保险2020》报告,目前网络安全保险的书面保费总额达到每年25亿美元,并且预计在本世纪末将达到75亿美元。最近几年网络安全保险赔付的著名案例是欧洲的万豪国际集团,该集团由于泄露用户数据,在2018年被英国信息保护专员办公室开具了1.24亿美元的罚单,这也是欧盟《通用数据保护条例》出台之后的第二张巨额罚单。万豪集团事先购置的网络安全覆盖了罚款的大部分金额,降低了其对企业经营的影响。
2. 网络安全保险在中国过去未能成形的原因
主要原因在于企业数据泄露的成本低,而泄露成本低很大程度上是由于追责机制不完善。个人信息泄露对于企业直接的经营损失本来就较小,企业面临的监管处罚与相关的法律责任又比较缺失,因此天然不存在网络安全保险的需求。
次要原因是中国商业和责任保险市场整体发展较为不足,因此国内网络保险产品还处于萌芽阶段,涉及商业网络安全保险的保险公司主要是一些国际保险集团,在国内的保险行业中影响力比较低。
3. 网络安全保险在当下推广的时机与作用
网络安全保险在中国的发展时机已经成熟,这是因为中国逐渐完善的数据安全治理体系带来了网络安全保险的市场需求。《数据安全法》的出台明确了企业在数据保护中应尽的责任,《个人信息保护法》更进一步针对个人信息的处理者做出了详细的规定。从追责的力度上看,国家对于企业内个人信息储存安全的处罚力度也越来越强,例如杭州魔蝎案,因敏感信息的过分存储而被处以罚金3000万元,足见中国对于个人信息存储安全的整治力度正在不断加大。数据安全治理体系形成后,企业将会面临合规成本、可能的监管处罚以及出现安全事故后的追责,这些都包括在网络安全保险的范围内,因此网络安全保险发展存在其合理性。
网络安全保险对于减轻企业负担,降低风险存在益处。这是保险本来的作用,就不再赘述。
网络安全保险如果得到发展,保险公司将成为一股事实上的企业数据存储安全的监管力量。企业数据安全风险与企业的数据存储安全保护能力相关。市场化的保险制度存在时,可以想见,保险公司会分析企业的数据存储安全保护能力并依此调整保费标准,也会尽力帮助企业提高数据存储安全来降低保险赔付的概率。事实上,在网络安全保险充分发展的美国,保险公司会提供监管合规咨询、隐患排查、数据保护指导等一揽子的方案。针对中小企业来说,政府监管单位的监管成本比较高,实际上很难对所有的中小企业都排查到位,来自保险公司的监管对于提高中小企业数据存储安全有着尤为显著的作用。对于中小企业,相较于仅仅通过监管单位的事后追责来提供警戒,保险公司的存在多了一道事前排查隐患的保险。
4. 网络安全保险由政府主导推广的必要性
中国政府态度对于国内保险业的影响很大。中国的保险市场中,四大国有保险公司占据半壁江山,可以说国有保险公司的动向对于整个国内保险行业都有引领作用。与此同时,国内保险行业也有开发创新力不足、对于新的市场需求反应缓慢的问题。因此,由政府牵头,国有保险企业主动尝试开发符合中国情况的网络安全保险,是打开市场的好方法。
政府手中拥有配合网络安全保险发展的资源。全新的保险产品的开发绕不开合适的风险评估模型,这与政府的一些工作重合,例如国家去年推出的数据安全能力成熟度模型DSMM。如果能利用好政府手中已有的资源,可以让网络安全保险市场的发展少走一些弯路。
网络安全保险的快速铺开有利于总体成本的降低。一方面,快速铺开能让保险企业快速累积数据,有利于尽快计算出合理的价格模型。另一方面,由于互联网的互联特性,一家企业的安全问题很可能让其他企业受到间接损失,因此网络安全保险相当看重整体数据空间的安全性。如果随着保险的铺开,能让整个行业尤其是中小企业数据存储安全得到提升,那么行业总体的保险成本是能够下降的。
四、 政府政策相应建议
1. 继续推进数据安全治理的体系建设,健全数据泄露等数据安全事件惩罚制度。
2. 组织市场主要保险企业初步研究网络安全保险的可行性,制定促进网络安全保险业发展的相关战略规划,指导网络安全保险市场发展。
3. 在已有的数据安全研究基础上支持开展网络安全风险评估、风险损失量化等研究,建立网络安全风险分级防护、网络安全定损等相关标准,建立网络安全保险的相关标准体系。
4. 构建支撑网络安全保险服务的保障体系。支持建设网络安全漏洞、威胁信息、安全事件等数据库,汇总国内外网络安全风险相关数据,定期发布网络安全风险报告。成立由研究机构、保险公司、互联网公司和网络安全公司等相关单位组成的网络安全保险产业联盟,建立网络安全风险数据共享机制,提高保险公司网络风险模型的有效性。
5. 宣传推广网络安全保险服务。充分利用全国保险公众宣传日、网络安全宣传周等全国性宣传机会,开展网络安全保险相关宣传教育活动,介绍网络安全保险的承保范围、真实案例、作用意义等。挑选保险服务发达、安全风险较高的区域和行业,开展网络安全保险服务试点,总结试点经验,形成可供全国推广的网络安全保险服务模式。