在計算機、互聯網、大數據和人工智能大發展的時代，我國推出了數字中國的概念、戰略規劃和行動計劃。在《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》中提出，迎接數字時代，推進網絡強國建設，建設數字經濟、數字社會和數字政府。在數字中國的背景下，數據安全和網絡安全成為生活必需品，為此，近年來我國網絡安全保險保持快速發展。

網絡安全保險作為科技與金融交匯融合的產物，將作為完善網絡安全治理體系和推動保險產業長足發展的新業態，成為維護國家安全和經濟平穩運行的重要工具，它不僅能提供傳統的風險保障，更是搭建了專業化的服務平臺，協助企業采用最佳實踐來應對數字時代的復雜網絡風險，在動態變化的商業環境中保護企業業務的適應力和韌性，同時推動企業價值的持續提升。在全球范圍內，網絡安全保險的發展前景廣闊，尤其像中國這樣的大型數字經濟體，伴隨著社會對數字應用的廣泛依賴及人們對網絡風險逐漸加深的認識，網絡安全保險的角色變得非常重要。保險行業加強和革新網絡安全保險的策略與產品，不僅能緩解風險帶來的直接影響，更能通過優化風險管理過程，幫助企業在不斷變化的環境中保持競爭力，這無疑將成為推動我國數字經濟穩健成長的核心動力。

我國數字經濟規模發展很快，如圖1所示，根據中國信息通信研究院《中國數字經濟發展研究報告（2024年）》，數字經濟的增速超過GDP的增長，其GDP占比已高達41.5%。數字經濟在國民經濟中發揮的作用及重要支柱地位更加凸顯。在數字經濟高速增長的背景下，企業網絡安全風險管理將迎來巨大挑戰，越來越多企業的網絡安全風險日益暴露，將會給企業帶來巨大的經濟損失，如欺詐、黑客、病毒、數據泄露等威脅可能導致企業遭受直接經濟損失，也可能給企業的信譽帶來侵害，甚至會導致企業的正常業務無法開展。

數據來源：中國信息通信研究院《中國數字經濟發展研究報告（2024年）》

圖1 我國數字經濟規模

我國是世界上遭受網絡攻擊最嚴重的國家之一，網絡安全風險主要是基礎網絡和關鍵基礎設施安全風險、個人信息泄露、網絡詐騙和工業互聯網的安全威脅。網絡安全包括漏洞安全、網站安全、分布式拒絕服務攻擊（Distributed Denial of Service）、服務器惡意代碼和主機安全、移動互聯網安全、工業互聯網安全、物聯網安全、區塊鏈應用監測、車聯網安全、高級持續性威脅（APT）攻擊活動等。2024年上半年針對Web的攻擊次數達到1417.1億次，同比上漲61.39%，IPv6協議的攻擊為35.34億余次，同比上漲87.78%，全網監測到的網絡層的DDoS攻擊次數達4128億次，CC攻擊達1842.4億余次，新增安全漏洞11075個，包括高危漏洞4787個，呈上升態勢，整體安全態勢嚴峻。2024年上半年網絡安全保護系統攔截惡意程序153.16億次，攔截量增多。

我國網絡不安全的主要原因：一是境外組織對我國的APT攻擊（高級可持續威脅攻擊，也稱定向攻擊）日益增加。根據數據監測等信息可以發現，東亞、東南亞等境外APT組織，經常對我國的重要企事業單位發起攻擊造成嚴重的網絡安全風險。此外，基礎設施系統、工業控制系統、酒店系統、軍事和教育系統等互聯網側安全風險仍較為嚴峻。尤其是近年來黑客的攻擊對象已重點瞄準了工業控制系統，境外黑客組織經常對我國工業控制視頻監控設備進行攻擊，根據監測數據等信息發現，我國境內的高危漏洞隱患占比仍然較高，特別是直接暴露在互聯網上的工業控制設備和系統方面。與此同時，在能源、軌道交通等關鍵生產管理系統信息基礎設施在線安全巡檢方面也存在高危安全漏洞，其占比也已達20%。二是App違規收集信息并開展非法售賣的情況普遍，尤其是通過微信小程序和聯網數據庫造成數據泄漏的風險較嚴重。截至目前，各個平臺上活躍的可支持下載的App數量已達到267萬款（其中蘋果、安卓分別為162萬款、105萬款），不同版本的App經常出現違規收集信息等情況。金融行業中個人信息遭受非法售賣的占比達40%，其次為電子商務社交平臺，占比在20%左右，教培和房地產行業遭遇個人信息非法售賣的達12%。個人信息非法售賣情況較為嚴重，國家計算機病毒應急處理中心對國內50家銀行發布的App進行了安全檢測，檢測結果顯示，在關鍵環節未采取防護措施的App數量高達90%，平均每個App存在8項安全風險。

安聯發布的2023年風險調查報告中顯示，來自94個國家和地區的2712位風險管理專家將網絡風險評為最為重要的商業風險，由此可見網絡風險的重要程度與日俱增。事實上，從頻繁發生網絡攻擊的行業類型來看，金融、政府單位、健康與醫療及教育行業排名分別位居前四。就金融業來說，銀行、保險公司所遭受網絡攻擊的頻次最多，分別約占73%和15%。而保險公司作為網絡安全風險的保險人，同樣也會遭受到頻繁的網絡攻擊，因此網絡安全保險面臨著嚴重的挑戰。

為了確保網絡安全，我國過去5年每年投入網絡安全的資金增速約為20%，位列全球第一。根據國際數據公司（IDC）發布的2025年《全球網絡安全支出指南》，2023年全球網絡安全IT總投資規模為2150億美元，并有望在2028年增至3770億美元，五年復合增長率（CAGR）為11.9%。但據IDC預測，中國網絡安全市場規模增速將有所下降，如圖2所示，但仍呈增長趨勢。

數據來源：國際數據公司（IDC）發布的2025年《全球網絡安全支出指南》

圖2 中國網絡安全支出情況

網絡安全保險的標的是信息資產的安全性，包括投保人信息的完整性、有效性和機密性等，保險事故是以網絡安全事件或網絡安全風險為保險事故，其保險產品的類型根據承保安全風險的復雜性，可分為財產損失保險或責任保險。目的是降低投保人遭受到各種網絡事故帶來的損失，包括數據泄露、業務中斷和網絡損壞等，對由于網絡安全事件或網絡安全風險給企業造成的損失進行賠償，既包含企業本身的財產損失，也包含企業因遭受網絡安全事件給第三方造成損失時應承擔的責任。2013年蘇黎世財產保險（中國）有限公司在我國大陸地區第一個推出了“安全與隱私保護綜合保險”，為企業信息泄露損失及引起第三方責任提供保險保障。

為有效促進網絡安全保險產業的快速發展，我國先后頒布了《中華人民共和國網絡安全法》《中華人民共和國密碼法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律文件，并在政策支持上不斷加大力度，《關于促進網絡安全產業發展的指導意見（征求意見稿）》明確指出探索開展網絡安全保險服務；《關于促進網絡安全保險規范健康發展的意見》則推動了我國網絡安全保險的規范化和健康發展，提升中小企業網絡安全防護能力，標志著網絡安全保險的政策引導正式落地；《關于組織開展網絡安全保險服務試點工作的通知》部署開展全國網絡安全保險服務試點；2024年，先后出臺了《網絡安全保險典型服務方案目錄》《中小企業數字化賦能專項行動方案（2025—2027年）》，明確提出鼓勵中小企業購買網絡安全保險，共有49個網絡安全保險典型服務方案入圍公示，力求全面增強中小企業的數據與網絡安全防護能力。在政策法規的支持下，網絡安全保險產品開始增多和普及，產品覆蓋范圍和保障責任逐步擴大，不僅服務于大型企業，也開始向中小企業拓展。截至2024年5月，提供網絡安全保險產品的保險公司總計45家，產品數量較多的保險公司如圖3所示，保險行業共備案了287款網絡安全保險產品，折射出該險種已步入快速發展階段。大數據、云計算等信息新技術的擴展應用，使保險產品供給不斷豐富，給網絡安全保險的發展帶來了新機遇。目前，雖然我國網絡安全保險的整體規模還不大，但發展速度非常快，過去5年的平均增速為95.3%，且未來的發展空間非常大（見圖4）。

數據來源：中國保險行業協會

圖3 我國網絡安全保險產品數量

數據來源：工信部發布的2024年《網絡安全保險白皮書》

圖4 我國網絡安全保險的發展趨勢

網絡安全保險作為一種新興的保險產品，能夠為企業因網絡安全事件導致的經濟損失提供賠償，并為企業提供專業的網絡安全風險評估、監測、預警和應急響應服務。通過購買網絡安全保險，中小企業可以在一定程度上減輕因網絡安全事件帶來的財務壓力，同時借助保險公司的專業力量提升自身的網絡安全防護能力。網絡安全保險與傳統險種的可保風險差別較大，承保內容通常被設置為第一方責任和第三方責任兩大部分，多數保險公司的網絡安全保險產品的保障風險如表1所示。目前，我國網絡安全保險市場中主要承保的風險類型包括數據損壞、營業中斷損失、勒索、數據泄露、第三方損失責任等。

表1 網絡安全保險與傳統險種的可保風險的區別

注：√為可保，×為不可保，○為沉默。

然而，網絡安全保險風險涉及網絡攻擊、管理不到位、軟硬件故障。其中，網絡攻擊風險包括可導致數據篡改的攻擊、可導致數據泄露的攻擊、密碼分析（口令暴力破解等）、拒絕服務(拒絕服務攻擊、分布式拒絕服務攻擊、海量訪問等)、勒索軟件、惡意代碼、網絡釣魚、社交工程攻擊等；管理不到位風險包括未授權進入設施、未授權訪問系統、怠工或蓄意破壞、操作失誤、物理破壞、偷竊等；軟硬件故障風險包括硬件故障、通信中斷、硬件篡改、程序錯誤、違反程序（濫用授權）、軟件篡改、數據錯誤（數據丟失）、資源耗盡（數據庫溢出）等。基于網絡安全場景的復雜性，風險特征錯綜復雜，網絡安全事故信息不對稱，增加了風險評估與定價的難度，而且我國歷史承保理賠數據還不太豐富等因素，如何合理準確定價網絡安全保險有一定的困難。同時，現有保險產品還存在保險責任保障范圍不能滿足市場需求、產品類別不夠多、條款責任表述晦澀難懂、風控能力不足、再保支持相對薄弱、保險機構創新產品的能力不足等問題，這些問題說明我國網絡安全保險還需要進一步發展，相信在未來的快速發展中很多問題會得到逐步解決。

1977年，美國保險集團（AIG）推出了歷史上首份黑客險（Hacker insurance），網絡安全保險由此誕生，逐步在許多發達國家迅速成熟并持續增長。在北美、歐洲及亞太等數字化程度較高的國家和地區，網絡安全保險不僅普及度高，其產品和服務也在持續創新，以適應不斷變化的市場保障需求。

如今美國是全球最大的網絡安全保險市場。美國國土安全部通過努力推行網絡事件信息共享、網絡事件后果分析，以及將網絡風險納入企業風險管理的理念，為美國的網絡安全保險創造了一個有利的市場環境，促進了網絡安全保險的全面發展。根據Fitch的報告，2022年美國網絡安全保險的直接保費收入達到了72億美元，占美國財險市場保費收入的1%，占全球網絡安全保險保費收入的60%。美國網絡安全保單分為兩種：一種是獨立保單（Stand-Alone Policy），專門用于承保網絡風險的保單；另一種是復合責任保單（Packaged Policy），指通過擴展責任條款或者批單的方式，將網絡安全風險增加到承保范圍中，從而形成復合保單。美國網絡安全保險市場整體的盈利性較好，綜合成本率約為80%，過去幾年的賠付率如圖5所示，2018年起，已發生的事故損失不斷增長，2021年網安險賠付率達到67%，2022年賠付率下降到44.6%。美國網絡安全保險中針對第一方的索賠數量都超過了第三方索賠，占所有索賠的75%左右，可見其產品承保責任主要還是第一方損失責任。

數據來源：瑞士再保險公司研究院（SRI）

圖5 美國網絡安全保險賠付率

美國全國保險專員協會（NAIC）的統計數據顯示，目前美國有超過500家保險公司可以提供網絡安全保險服務，其中約有140家可提供獨立網絡安全保險，約有491家可提供復合責任保險。市場集中度較高，2024年10家美國保險集團占據了超過45%的網絡安全保費總額，如丘博、安盛、美國國際、旅行者、比茲利等5家公司網絡安全保險年收入均超過1億美元。目前，美國市場銷售的網絡安全保險承擔的責任主要分為七類：企業經營中斷損失、系統和數據恢復費用、知識產權損失、數據泄露給第三方造成的損失、網絡勒索及談判費用、危機管理費用和合規性監管罰款。此外，部分企業還提供網絡安全咨詢、網絡安全事件應急響應、修復公司聲譽等服務。

2023年，美國獨立網絡保險保單占據了超過三分之二（68%）的市場份額，這些保單大部分是針對企業面臨的特定網絡威脅（包括數據泄露和勒索軟件）量身定制的。承保第三方損失在網絡保險市場也占據主導地位，約占據62.1%的份額。網絡保險的保費主要來自大型企業，其保費規模占網絡保險市場價值的近四分之三（72.4%），而對于擁有強大網絡控制和低風險行業的中小型實體企業，其網絡保險保單的平均保費維持在1400美元到3000美元不等。

隨著全球數字化經濟高速發展，網絡安全事件頻發，網絡安全保險一直處于快速增長階段。根據瑞士再保險公司研究院（SRI）的數據，全球網絡保險市場在過去五年中體量增長了三倍，至2023年，保費收入總額達到了148億美元，如圖6所示。市場預測顯示，到2025年，全球網絡保險保費總額將增長至230億美元。根據FICO發布的數據，2022年歐洲及英國成為世界第二大網絡安全保險市場，市場份額約占30%，預計保費總額約為35億歐元，90%的英國公司擁有網絡安全保險，其中37%的公司的保險覆蓋了最可能發生的網絡安全風險。北歐國家緊隨其后，76%的芬蘭公司、72%的挪威公司和57%的瑞典公司也擁有網絡安全保險。南非和亞太地區市場增長率也比較快，隨著技術的不斷進步，該地區的中小型企業對網絡安全保險的購買正在增加。

數據來源：瑞士再保險公司研究院（SRI）

圖6 全球網絡安全保險保費增長趨勢圖

在亞洲，日本和印度可以稱得上網絡安全保險市場的先行者，68%的企業首選內部培訓作為應對網絡安全事件的方法，52%的企業選擇購買網絡安全保險。2016年，印度僅有三家保險公司提供由印度保險監管和發展局（IRDAI）批準的網絡保險產品，但隨著印度政府的積極推動，其市場的復合年增長率維持在7%—30%，2022年印度的網絡保險市場規模達到5000萬美元，購買的主要行業包括深度依賴數字操作的教育、金融服務、零售、電信及技術服務等行業。印度網絡安全保險的最高保額通常為2億美元，費率為0.65%—0.8%，保險涵蓋范圍包括網絡安全事件響應費用、監管調查和罰款、通知費用、數據安全及隱私保護責任賠償、網絡勒索費用，機構利潤損失及額外費用支出補償、數據恢復費用等。日本擁有網絡保險的公司比例較低，僅有26%，但顯示出明顯的逐年增長趨勢，其網絡安全保險的產品主要包括綜合保險、責任保險、勒索保險、應急響應專項險、抗服務攻擊（DDoS）保險等。

隨著數字經濟的蓬勃發展，我國網絡安全保險市場面臨著前所未有的發展機遇和挑戰。由于我國網絡安全險發展起步較晚，無論是保費規模還是產品與服務供給方面，都較國際成熟市場存在較大差距，網絡安全險的小眾化困局亟待打破。中國保險公司可以借鑒全球及亞洲其他國家在網絡安全保險領域的成熟經驗，結合國內特色和需求，圍繞完善頂層設計，強化技術賦能，培育發展生態、促進需求釋放等，進一步深化和優化網絡安全保險產品和服務，以更好地服務于廣大企業，特別是那些正處于快速數字化轉型中的企業，促進網絡安全保險的規范健康發展，具體建議如下。

落實政策扶持，完善制度設計。政府需要進一步完善制度，加強頂層設計。保險行業要認真學習政策，落實政策，發揮政策的效用。一是政府相關部門要建立網絡風險數據庫，管理并分享網絡安全事件信息。這種信息共享可以顯著提高企業和保險公司對網絡風險的認知，選擇合適的風險管理策略，同時，可幫助保險公司制定更合理的保費和保障范圍，提供更符合企業需求的網絡安全保險方案。二是進一步完善法律法規，將網絡安全法規、法律和標準等納入承保政策和產品開發實踐中，讓承保、理賠和服務有法可依，減少實務操作過程中的矛盾和沖突，促進每個企業建立起堅固的數字經濟防線。

加強保險行業的網絡安全專業人才的培養，提升服務質量。網絡安全保險屬于新興領域，對保險公司承保、精算、理賠和增值服務等專業人員的素質有較高的要求，開展業務時面臨著較大的技術壁壘，缺乏信心和認知。因此，必須做好網絡安全保險的專業團隊建設，由于網絡安全專業人才培養難度較大，建議一是引進外部網絡安全管理人才，二是內部開展人才培訓，保險公司可與高校、研究所、網絡科技公司、網絡安全服務商、公估機構等單位合作，培養網絡安全保險專業人才，識別客戶逆向選擇，提升保險隊伍的服務能力。

加大科技投入，提升保險公司自身的網絡安全。建議保險公司將人工智能、保險元宇宙、區塊鏈、數字孿生、邊緣計算、云技術、社交平臺、電子商務、數字市場及大數據技術，應用到公司網絡安全的風控體系，建立預防黑客攻擊、數據泄露、病毒感染、網絡欺詐等風險控制體系，通過運用身份驗證、數據加密、侵入性偵測和設立數據備份中心等手段與方法，組建網絡安全技術保障壁壘，提升安全防護水平。

開展網絡安全保險生態體系建設，提高保險公司的風險減量服務能力。網絡安全風險的復雜屬性對傳統保險公司的風險評估、定價和管理帶來了挑戰，而新型網絡安全保險生態體系的構建可以直接助力網絡安全保險的全域安排與市場開拓，要求保險公司具備更為先進的技術能力。除了保險公司自身用專業能力提供保險保障外，還需要積極尋找合作伙伴來共同構建完整的網絡安全風險管控生態體系，在這個體系中，網絡安全服務商、評估服務商、應急服務商等可作為技術服務商或風險咨詢顧問，在數據積累、資源整合、技術研發等多方面發揮優勢，共同推動“主動防御、保前診斷和治療、保中監控、出險救援”等保險增值服務，而保險公司作為整個生態的主體鏈條，貫穿整個風控流程并最終承擔保險補償的責任，為客戶的網絡安全風險兜底，實現一體化服務。

建立網絡安全保險數據庫。我國大陸地區的網絡安全保險市場發展相對緩慢，網絡安全保險相關的承保理賠數據相對缺乏，從而導致對網絡安全風險狀況數據的積累、量化不足。由政府牽頭，各方參與，建立網絡風險數據庫是發展相關保險產品的重要一步。具體可分為三個方面：一是政府協助保險業建立網絡風險損失數據庫；二是保險公司建立網絡風險理賠數據庫；三是要求投保企業建立臺賬，通過信息系統將網絡受攻擊的情況及時進行記錄，為保險公司更合理、精準地評估企業網絡安全水平提供依據。通過建立數據庫可以使網絡安全保險的市場費率定價更為規范化、合理化、精準化，隨著網絡安全保險承保、理賠等數據的積累，費率定價也將在大數法則下更加精準。

強化再保險的支持力度。既要加強對其他國家優秀經驗的學習，來更好地為中國的網絡安全保險市場發展提供幫助；又要加強再保險對風險管理和承保能力的支持，再保險公司在承保和建模方面具有非常專業的經驗，在開發新的網絡安全保險的展業過程中，再保險公司可以提供風險定價、承保支持、預防措施、危機管理和數據恢復等方面的專業援助，并在網絡威脅、理賠速度、累積風險處理方面發揮更大的作用。

加強網絡安全保險的普及和宣傳力度，激發客戶投保意愿。目前，網絡安全保險作為市場上相對新型的保險產品，保險公司員工和客戶都對該保險產品了解不足；同時由于行業數據積累不足，保險公司之間的合作缺乏信任基礎。對此，一方面，政府、保險行業和保險公司都應該積極開展宣傳，讓公眾多了解一些該險種的保障內容，提高企業對網絡安全保險的接受度；另一方面，可通過學術宣講、主題沙龍、微信和短視頻等多種形式，介紹網絡安全保險的經驗和案例，激發企業的投保意愿，加速推進網絡安全保險的發展，從而最終提高我國整體的網絡、數據和隱私安全水平，為我國經濟高質量發展保駕護航。