作者何丽新、池骋

一、互联网保险的类型化界定

目前学界对于互联网保险的研究未能跟上脚步，首当其冲地体现在对于互联网保险的定义与类型研究上: 有的学者错误地将互联网保险定义为“通过互联网销售保险”，该定义严重地限缩了互联网保险的研究，忽略了保险人通过互联网销售保险之后为客户提供互联网核保、理赔服务的内容。还有学者将互联网保险归纳为“互联网保险是指保险公司或者保险中介机构借助互联网为客户提供产品及相关服务信息，实现网上投保、承保、保全和理赔等保险业务，完成保险产品的在线销售及服务，同时借助第三方机构来实现保险相关费用的电子支付等经营管理活动。”该定义虽然涵盖了保险人通过互联网实现投保、承保、保全和理赔等保险业务的内容，但却没有将因互联网而生的“互联网信息安全保险”纳入其中。

笔者认为，以互联网保险的保险利益与互联网依附程度以及法律规则受到冲击的程度的不同，可以将互联网保险分为如下三种主要类型:

第一类: 投保人以互联网行为本身为保险标的，以可能因网络安全风险而遭受损失为保险利益，与保险人签订保险合同并支付保险费，保险人对因网络安全事故而造成的重要资料丢失、知识产权受到侵犯、系统服务中断等损失承担赔偿保险金的责任。笔者拟将此类互联网保险定义为“互联网信息安全保险”，此类保险业务的保险利益就是被保险人作为互联网的参与人，与保险标的之间存在的法律上认可的经济利害关系，其保险标的就是互联网资料、网络系统的运行、网络虚拟空间的财产等互联网行为或产物。通过互联网信息安全保险合同的适用，投保人或被保险人可以得到保险保障。此类保险与互联网的依附程度最高，没有互联网的存在被保险人就不可能享有保险利益。

第二类: 依托互联网的优势实现线上线下融合的保险业务，即“O2O( Online To Offline 线上与线下)保险业务”。此类互联网保险所承保的风险是一种融合线上与线下的保险利益，脱离其中一项此类保险利益即不存在。如网购“退货运费险”的保险利益就是投保人在线上( 淘宝、京东等购物平台) 购买货物，在线下( 通过快递公司的邮递) 收到货物后发现货物不符合自己的要求在与卖家协商一致情况下进行退货所产生的运费损失。当然，保险的投保、核保、理赔和给付等手续大都在互联网上进行。此类保险的保险利益与互联网的依附程度相对较高，尽管此类保险的部分保险利益须在线下实现，但脱离互联网该类保险无法在线下独立进行。O2O 保险因近几年网购规模的不断扩大已经被广大保险消费者所接受，业务量和保费增速较快，但仍存在有保险人说明义务履行不完善、投保人认定困难、易出现道德风险等法律问题。

第三类: 以线下传统的风险为保险利益，但结合互联网为销售渠道的保险业务，即“网销保险业务”。此类互联网保险业务所承保的保险利益均发生在非互联网领域，如汽车碰撞风险、海上货物运输风险、火灾风险等，但通过互联网办理投保、核保、理赔和给付等一项或多项手续。此类保险的保险利益与互联网的依附程度相对较低，只是通过互联网拓展了业务范围，脱离互联网此类保险亦能在线下进行。网销保险已经成为我国保险行业的主要销售渠道，发展已日渐成熟，将在未来取代人为代理、电话等形式成为保险营销的主要模式。从法律规则的变动角度看，此类保险合同可能出现与第三方平台发生法律纠纷、电子合同的时间与地点难以认定等问题，亟待解决。

二、互联网信息安全保险

互联网利用其无以比拟的技术优势席卷全球，其核心技术是使用一种专门的语言协议在由众多计算机组成的虚拟网络之间实现数据的传输，以保证数据安全、可靠地到达指定的目的地，这种语言分两部分，即TCP( Transmission Control Protocol 传输控制协议) 和IP( Internet Protocol 网间协议) 。互联网利用TCP /IP 协议实现数据的分组交换这种无纸化、即时性的传输方式，使人类的生产与生活方式发生了巨大的转变，极大提高了人类工作的效率。但正是TCP /IP 协议本身所存在的缺陷会使互联网及其终端随时面临着恶意性的攻击( 如黑客编制的木马、病毒等) 和系统性的崩溃( 如由于编码错误造成的计算机网络瘫痪) 两种主要危险，前者就是互联网危险的主要来源。据统计，2013 年共有3000 家美国公司遭遇黑客攻击，而全球网络攻击犯罪行为每年会带来超过4450 亿美元的经济损失。危险的相对面就是保险利益的存在，因此互联网信息安全保险的保险利益就是互联网用户对于其互联网行为可能产生的资产受损或责任承担，这类保险可能为一种积极保险( 如投保人为网络虚拟财产的所有权投保) ，也可能为一种消极保险( 如投保人为信息被破坏所产生的赔偿责任而投保) 。

就互联网信息安全保险产业的发展来说，美国、日本等发达国家已经历经了两个阶段———萌芽阶段和快速发展阶段。21 世纪初，世界最大的网络安全保险商———美国国际集团( AIG—American International Group) 推出的计算机病毒、信用卡和ID 被窃保险，Hiscox 保险集团推出的针对电讯、多媒体和科技类公司的病毒保险，Chubb 保险公司推出的关于“E 偷窃、E 破坏和E 敲诈”保险项目等都是发达国家在其萌芽发展阶段所推出的保险产品。萌芽阶段的特点是，该阶段保险产品所承保的主要是因数据泄露所造成的损失，针对黑客攻击、木马控制等网络攻击行为的保险产品还未问世。随着互联网信息安全形势不断加剧以及相关保险产品的升级，互联网信息安全保险的保险利益得到普遍的承认，其可承保的标的也不断扩展，不再仅仅局限于互联网财产的积极保险产品与因数据泄露而造成的危险事故，一些本来难以计算核保的网络安全攻击也被纳入了承保范围: 例如前美国国土安全部部长汤姆·里奇与英国最大的的保险组织劳合社( Lloyds of London) 合作推出了一款针对网络攻击犯罪行为的保险产品，保险范围面向市值5 亿美元以下的公司，可以覆盖美国80%的上市公司，保险金额最高可以达到5000 万美元。另外，AIG 公司也根据美国网络安全新框架以及企业客户的需求开发出一种新型保险合同，可就网络攻击造成的财产损失及人身伤害对企业做出赔偿，这标志着新兴网络保险市场正在扩张，不再只局限于数据泄露导致的企业损失。尽管我国是计算机互联网用户最多的国家之一，但令人失望的是互联网信息安全保险产品在我国还很鲜见，究其主要原因在于互联网信息安全保险较之于传统保险所拥有的不同特点，保险人对该类保险产品的承保、核保与理赔规则还不能很准确的拿捏。

( 一) 承保风险不同而产生的核保制度的更新

并非任何危险都可向保险人转嫁，保险人所承保的危险必须符合一定条件。一般认为，保险人所承保的危险必须符合纯粹性、可能性、不确定性、意外性、未来性和同质性六个特点: 即该可承保的危险应该为非投机性的纯粹性危险，具有客观上发生的可能，危险发生的时间、对象、原因等均不确定，危险的发生是不可预测的而非来自投保人的故意行为，危险须发生在保险契约订立之后，大量标的均有遭受该危险或者近似危险的可能性。以上几种特点适用于传统保险标的，传统保险所承保的危险的可测算性较高，事故发生后保险公司进行定损的难度较低，如火灾险、汽车责任险等。笔者认为互联网信息安全风险相比较于传统保险具有以下特殊性: 第一，从信息安全风险的威胁模式呈多源性态势，部分风险难以控制、难以测算。信息安全事故因技术特点的不同，有可能产生信息泄露、拒绝服务、窃听等后果，但并不是所有威胁都可以作为风险由保险人承保。例如“窃听威胁”是指黑客是利用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息，并未造成直接的经济损失，保险人并无法评估被保险人对该风险持有的保险利益和安全事故发生后的损失。可以说，信息安全风险并不像传统保险的可承保风险的威胁来源一样确定、直接。第二，互联网信息安全威胁方式变化迅速，导致可承保风险的危险状况无时无刻不在发生变化。创新是互联网业不断前进的源泉，与之相对应的就是信息侵入手段的快速变化，保险人即使在签订保险合同前已经做了充分的预判与核算，可承保风险仍然可能也会因互联网技术本身的快速发展而脱离保险人、被保险的控制。第三，互联网信息安全事故的大数据缺乏。众所周知，保险险种和费率的设计必须依靠大量数据支撑，保险人要利用“大数法则”对保险事故发生的概率、费率的高低、赔付的比例等进行计算。但就目前来说，互联网信息安全在我国发展时间还比较短，相关统计资料还比较缺乏。

笔者认为，应该针对互联网信息安全的风险特点建立一套完整的核保体系，可参照以下三个层面进行: 第一，在组织层面，需要协调保险公司和第三方专业公司的人力资源。投保方、产险公司、专业公司需要签署并认真执行保密协议，由第三方专业公司进行公估核保计算。第二，在险种的设计上，保险公司在信息安全保险发展初期可以甄别出一些发生危险状况变化小、易于核保的风险进行承保，而后再逐渐展业至风险程度更高的领域。第三，在风险的跟踪机制上，保险公司应该针对互联网信息安全保险从“一次核保”向“长期核保”转变。针对互联网信息安全状况的迅速变化，保险公司唯有不断跟踪行业动态，深入到投保人的生产经营过程中去，通过不断的接触交流，对保险标的进行核定、计算，并以此为依据进行保险合同的变更和保费的调整。

( 二) 信息安全保险事故的损失核定比传统保险更为复杂

互联网信息安全保险在保险事故发生后，同样缺乏客观的评估方式，并且此类保险事故的边际效应远大于传统保险。笔者以特洛伊木马( Trojan) 作分析: 特洛伊木马是指通过特定的程序( 木马程序) 来控制另一台计算机，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。一个完整的特洛伊木马套装程序含了两部分: 服务端( 服务器部分) 和客户端( 控制器部分) 。植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据( 如网络游戏的密码，即时通信软件密码和用户上网密码等) ，黑客甚至可以利用这些打开的端口进入电脑系统。

计算机用户投保特洛伊木马保险并缴纳保费后，如果发生保险事故，在黑客已经通过木马程序获取了计算机用户资料但并未造成计算机用户经济损失的情况下被保险人向保险人报案，如何测定该事故的实际损失是一个难题。虽然保险事故发生的当时未发生实际损失，但黑客可能利用获取的资料在某个特定的时间损害被保险人的财产或造成被保险人的赔偿责任，边际效应远大于传统保险。我国《保险法》第23 条规定，“保险人收到被保险人或者受益人的赔偿或者给付保险金的请求后，应当及时作出核定; 情形复杂的，应当在三十日内作出核定，但合同另有约定的除外。”笔者认为，本条法律规定的立法原意在于督促保险人及时进行核定以及理赔，保护被保险人的利益，但在互联网信息安全保险边际效应巨大的情况下反而不利于被保险人利益的保护。在合同没有另行约定的情况下，法律应该给予互联网信息安全保险被保险人更长时间的保护，防止被保险人在保险人三十日内作出保险金的核定和理赔后遭受重大的损失。而对于保险人来说，必须在核定损失时必须紧密围绕“近因原则”与“损失补偿原则”进行。第一，只有当保险人承保的风险事故是引起保险标的损失的近因时，保险人才负赔偿责任。例如，保险人与投保人签订保险合同承保“黑客险”后发生信息安全事故，但该事故由多种原因引发，包括黑客的侵入和被保险人职员的不慎泄露，保险人是否承担赔偿责任要根据损失是否可以进行划分来确定。能划分开的，保险人仅仅承担所保风险导致的损失; 如果无法划分的，保险人可与投保人协商赔付。第二，在损失的量化程度上，保险人应以损失补偿为原则进行赔偿。对由于网络信息安全问题造成服务的中断，由此带来潜在经济损失的，以根据投保方以往的经营利润来判断，则可酌情给予经济赔偿，必要时可请有关机构鉴定处理。