2017年6月正式生效的《中华人民共和国网络安全法》(简称《网络安全法》)将对在中国运营的公司产生深远的影响。保险公司也不例外。本文中,我们将针对这一新法案如何对保险行业产生影响进行讨论。

1. 既然类似于美国和欧盟网络安全法的中国网络安全法律框架已经存在,中国的网络保险市场会"启动"吗?

尽管目前还不成熟,但我们预计将会有更多的产品进入市场,专门覆盖与网络安全相关的风险。这些产品很可能包括违反网络安全致损的保险,例如修复计算机网络损害的成本,业务中断损失等,以及赔偿被保险人由于没有采取适当的预防措施保护数据免受网络威胁而引起的刑事和民事诉讼成本的产品。

中国市场不仅会启动,而且进入网络保险市场的产品很有可能逐渐增加。目前,对于有关部门如何解释和实施2017年6月份生效的《网络安全法》还不十分明确。

2. 就保险责任范围而言,新的法律框架是否和美国和欧盟的法律一样完善?

有关网络安全的欧盟法规规定在《网络与信息系统安全指令》(简称《NIS指令》)中。 《NIS指令》适用于数字服务提供商和“提供维护重要社会/经济活动所必需的服务”的公司。 这包括能源部门的运营者;运输(空运、铁路、水路和公路运输)公司;金融服务; 保健;饮用水供应和销售; 互联网交换点、域名系统服务提供商;顶级域名注册管理机构等。 《NIS指令》规定了这些组织的义务,以确保网络和信息系统免受网络威胁,并防止和将这些事件对用于提供服务的IT系统的影响最小化。

美国的网络安全法律包含三部主要的网络安全法规,即1996年《HIPAA法案》,1999年《Gramm-Leach-Bliley法案》和《2002年国土安全法案》(包括联邦信息安全管理法案(《FISMA法案》) 。这三个法规要求医疗机构、金融机构和联邦机构保障其系统和信息免受网络威胁。

相比之下,中国的《网络安全法》范围更广。它不仅适用于《NIS指令》和美国法规规定的组织(统称为“关键信息基础设施”运营商或“CII”),而且适用于任何在其业务过程中运营计算机网络的组织。此外,可以说《网络安全法》比欧盟和美国的法律规定的范围更广,它要求各组织积极主动地采取措施来遵守法律。例如,CII和网络运营商需要制定强制性的网络安全政策和应急计划,任命一位专职的网络安全员监督网络安全政策的实施和执行,并在违反网络安全事件中与有关机构合作。此外,路由器、切换器和防病毒软件等某些网络产品的供应商需要让有关政府部门检查和认证他们的产品。

《网络安全法》的一个重要特征是,除非进行安全评估并获得用户同意,否则从中国用户收集的个人信息不能转移到中国境外。虽然《NIS指令》中有类似的规定,但是《网络安全法》中的“数据主权”条款可以说更加深远,违规处罚也更严重。

3. 中国还会制定与网络安全相关的其他法律吗?

目前,有关于数据主权要求的法规草案预计将于2018年生效。为实施《网络安全法》其他方面的规定,也可能会有进一步的法规出台。

4. 在向中国企业提供网络安全保险方面,保险公司面临着哪些障碍?

目前的主要障碍是缺乏确定性。如上所述,目前,《网络安全法》会如何被有关机构和法院解释和适用的问题尚不明确。毫无疑问,这使保险公司难以制定和推出全面的保险产品。在根据这部法律进行执法和诉讼之前,我们预计保险公司将不愿意推出相关的保险保单。

另一个障碍可能是缺乏对网络风险保险需求的认识。对于网络安全,通常在相关问题出现之前人们不会加以注意。再加上计算机系统的复杂性和IT行业的专业术语经常使人很难准确地理解风险是什么以及可能需要哪些保险产品来减轻这些风险。

5. 保险公司是否需要针对其在中国的运营而关注这一新规?

保险公司收集了大量客户的个人数据并将其存储在计算机网络中。因此,它们完全符合《网络安全法》中“网络运营商”的定义,根据该法律将有如下义务:

  • 制定保护网络安全的内部程序,任命监管程序的专员
  • 采取技术措施防止网络攻击和病毒危害网络安全
  • 备份和加密重要数据
  • 制定应急计划来处理网络安全事件
  • 对用户信息进行保密
  • 建立和维护数据保护系统,防止信息泄漏,损坏和丢失
  • 尊重用户修改其数据的权利,以及在发生数据泄露时要求删除数据的权利
  • 建立处理有关信息安全投诉的系统
  • 协助有关部门维护国家安全和调查犯罪
  • 监控用户发布的信息,并停止传输任何法律禁止的信息