拼多多又出现薅羊毛活动，向左还是向右？

撰稿 | 流苏

编辑 | 图图

前段时间，羊毛兄私信苏苏说拼多多又出现了新的薅羊毛活动，并给我私发了链接。然而，打开链接一看，却发现又是拼多多惯用的邀请好友（拉人头）得奖励的老套路。

作为21世纪最懒羊毛党，对于这样的活动没有任何兴趣。正当我准备关闭页面时，活动底下的一行小字引起了我的注意。

“平台用户信息泄露风险有中国人保财险承保”。

万万没想到，拼多多已经开始玩起了网络安全险。也就是说，一旦发现用户信息泄露事件，拼多多可凭借这份保险获得相应的补偿。

众多周知，保险的存在是为了应对不可控风险，在网络空间也是如此，网络安全险可以避免企业因网络攻击而造成的巨大损失。

2018年万豪酒店信息泄露事件波及用户数量高达5亿，因此导致的损失和支出的费用将高达数十亿美元，但因其购买了网络安全责任保险，可为企业降低相应的经济损失。

同样的教训拼多多也曾有过。

2019年1月，拼多多网站出现重大系统Bug，被黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券。而利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞，对信息系统实施攻击的信息安全事件，恰好属于网络安全险的风险范畴。

从全球范围来看，网络安全保险一片欣欣向荣的趋势。2017年市场规模约为45.2亿美元，路透社预计在2023年将达到175.5亿美元（约合人民币近1200亿），年复合增长率25.4%。

反观国内，自2012年开始布局网络安全险以来，表现不温不火。2017年《网络安全法》颁布实施时，也未见对国内网络安全险形成巨大的推动作用，和国外竞争激烈形成鲜明对比。

那么，问题来了：国内网络安全险是向左（跌入冰点）还是向右（触底反弹）？

美国网络安全保险一路走高

1977年，AIG推出了历史上首份网络安全险。

那时候的网络安全险还不是完全意义上的网络安全险，而只是一份第三方责任险，其承保范围仅为美国以外的地区，因此也被称之为“黑客保险”。

直到2000年，美国网络安全险真正开始兴盛起来，参与其中的保险公司、保险险种以及相应的保单条款也越来越丰富，以便应对不断升级的网络威胁。

2003年，加州政府颁布了第一部有关安全漏洞的法令，对于网络安全险的发展有着巨大的推动作用。

2010年，全美已经有超过50家保险公司提供网络安全险产品。2016年，提供网络安全险产品的美国保险公司超过60家，总计提供了价值10亿美元的网络保险。

如今，美国已有46个州颁布了相应的网络安全法律，强制要求企业在出现信息披露事件后通知用户。

这意味着，企业在事故发生前的保障和防护工作愈发重要，也极大地刺激了企业通过保险补偿全部或部分损失，以此应对在网络空间遭遇“不可抗力”的难题，网络安全险得以迅速发展、壮大。

2017年12月，AIG公布了一款网络风险标准模型，可以用于量化和评估投保人的网络风险。该模型能通过分析11种常见网络设备在10种常见网络攻击行为威胁下的表现，来评估投保人的网络安全状况。

2018年3月，信利保险和RedSeal合作，共同开发了一款网络风险评分平台，并提出了“数字化抗性评分”的概念。该平台可以用客观数据来评测用户的网络安全状况，其参考数据包括了硬件参数到云服务器等网络设施的各个方面。

2017年，全球范围内网络安全保险的市场规模约为45.2亿美元；PwC机构认为，全球网络安全保险业务预期到2020年将达到75亿美元；路透社预计2023年将达到175.5亿美元（约合人民币近1200亿），年复合增长率25.4%，发展形势一片向好。

前段时间，美国国际集团（AIG）2018年欧洲、中东及非洲地区网络安全险理赔数据，发布了一份网络安全理赔报告。

报告显示，网络安全险理赔出现激增，2018年AIG收到的索赔申请约等于前两年的总和。同时，网络攻击目标有了新的变化，攻击者的目标选择呈现出从金融业向专业服务业转移的趋势。

这意味着美国网络安全险市场发展十分迅速，甚至还有点竞争过度的感觉，越来越多的保险公司入局网络安全险，瓜分这一新兴的市场蛋糕。

国内网络安全险进入低点

和美国热火高涨的行情不同，国内网络安全险冷冷清清，未曾发现有明显崛起的趋势，大多数保险公司还处于试水阶段。

究其原因，国内网络安全保险市场存在数据来源不足、安全保险研究投入不足、评估与量化模型不够成熟等问题。

国内网路安全保险真正开始布局可以追溯至2012年。

那时推出的主要是针对网络风险的责任保险，以保障敏感数据外泄、黑客入侵、计算机病毒、雇员恶意破坏数据或处理数据失当、数据盗窃、网络保安系统失效、计算机系统事故导致的业务中断以及身份盗窃，承保内容包括上述风险带来的经济损失、顾问费用、法律相关成本等。

随着《网络安全法》的颁布，网络与信息安全地位不断提升，已经成为国家经济安全的重要基石。随着监管要求越来越严格，企业网络安全风险意识逐步提升，通过保险来降低网络攻击风险成为企业网络安全建设的有效措施之一。

本以为网络安全险将趁这股东风崛起，然而实际情况却令人大跌眼镜。目前国内知名度较高的险种主要有两个，分别是众安保险的网络信息安全综合保险（下称“综合险”）和美亚保险的企业网络安全保险。

最为明显的特征是，网络安全险在广告上的投放少之又少，这和国内保险宣传火热的场景大相径庭。到目前为止，国内网络安全险依旧未曾爆发，甚至还跌入了“冰点”。

其原因主要有两方面。

一是网络风险会随着黑客技术的升级而越来越高，而且一旦发生信息安全事件后，数据泄露的价值往往难以精确计算。因此，国内几乎每一份网络安全险都是独立确定相应的条款、保额和赔偿细节。

二是国内企业的网络安全防护能力区别很大，有的企业在网络安全建设上资源投入多，因此安全防护能力强；但多数初创成长型企业在网络安全投入不足，安全防护能力较弱；保险公司难以制定有效的模型和标准。

底部“抄底”形态形成

向左还是向右，这是一个问题。

对于网络安全险来说，苏苏认为触底反弹的概率非常大，用金融市场的话来说，底部“抄底”形态已经形成。

一方面，大多数保险公司通过和专业的网络安全公司合作，以此来解决技术上的难题。

2017年6月，众安保险与安恒信息签订战略合作协议，宣布将提供信息安全保障以及综合性的风险控制和风险转移的解决方案和手段。

2018年9月，中国人保财险联合360企业安全集团发布网络安全保险合作项目，融合了人保财险和360企业安全集团各自在风险管理领域的技术优势和数据优势，可为企业多种物质损失和责任风险提供保险、保障内容。

另一方面，网络安全险在国内有着无比广阔的市场。

越来越多的企业承认其无形资产的价值已经超过有形资产的价值。然而，企业却通常不会分配相应的资源来保护无形资产并使其价值最大化。

根据风险和保险管理协会的数据显示，2017 年，企业的总风险成本连续第4 年下降，但网络风险成本却反其道而行之，上升了33%。这意味着在企业风险总体走低的趋势下，网络风险逆势而上。

因此，大多数管理层开始逐步将网络风险和解决方案纳入公司治理讨论中，企业越来越认识到重大网络安全事故可能对财务报表造成的潜在影响。

上文已经提到，目前国内网络安全险占用量还非常小，反过来说，网络安全险也在国内有着无与伦比的空白市场。

对于企业来说，网络安全险实质上是健全的网络弹性风险管理方法的一种补充。通过将企业网络风险管理战略与企业文化和风险容忍度相结合的方式，来识别和保护其关键无形资产，以防止未编入预算的突发损失和资产负债表波动。

随着5G和物联网的到来，数以亿万计的终端设备将以更高的速度传递信息，由此必定会产生新型的、不同的网络风险，进一步扩宽了网络安全险的潜在市场。