欧洲议会颁布的《一般数据保护法案》(General Data Protection Regulation(GDPR))已于2018年5月25日在欧盟各国正式生效,那么什么是GDPR?它的生效会对中国企业产生哪些影响?GDPR生效后保险市场可能会有哪些作为呢?
GDPR其实并不是一个很新的概念, 早在2012年欧洲各国就在讨论推行一部新的关于信息数据保护的法案,用于替代已经稍显过时的旧指令。经过近四年的讨论,欧洲议会于2016年4月14日通过了新的法案,即《一般数据保护法案》(General Data Protection Regulation(GDPR))。法案于2018年5月25日,即上周五在28个欧盟成员国统一实施生效。
该法案把可以直接或间接识别到的某一个个体的任何信息都视为个人信息,包括了从姓名、照片、身份证号、邮箱地址、银行账户、健康记录到网络用户名、位置定位、社交媒体发布的信息、计算机IP地址等各个方面,堪称目前世界范围内最宽泛的个人信息定义。作为一部用来保护欧盟公民个人隐私和数据安全的新法案,其颁布使得欧盟对于数据保护的监管达到了前所未有的高度。
苏黎世中国金融险专家表示GDPR无疑会对网络安全保险市场起到推动作用。
从过往几年的网络安全保险的发展来看,按保费规模计,美国一直是全球最大的网络安全保险市场,原因在于其拥有健全的法律环境和强大的诉讼文化。然而从去年开始,我们看到欧洲的网络安全保险业务开始迅速增长,GDPR在2018年正式实施的影响推动着欧洲企业的保险需求不断提高。 据悉,不仅投保的企业数量增加,投保限额也从开始带有试水性质的1000万到2000万欧元甚至增加到上亿欧元,目前根据相关资料所了解到的最高限额达3.75亿欧元。
苏黎世中国金融险专家相信GDPR法案的影响力会逐渐从欧洲注册企业扩展到在欧盟区拥有经营活动的域外注册企业,上下游供应商以及合作公司等等,进而带动其他地区的网络安全保险市场蓬勃发展。今后与欧盟国家企业签订商品服务合同的以及海外扩张走出去的中国企业,可能会越来越多地在合同文本里发现网络安全保险相关的投保要求。
但是,目前网络安全保险市场供需并不平衡,传统保险公司的资源有限,无法满足企业客户日益增长的网络安全险需求。保险公司在计算网络安全险的保费时,有几个关键因素是必须考虑的,比如投保公司的业务种类、数据的隐患(对于黑客的吸引力)、企业规模以及企业年收入等。但是如何用标准化的流程评估企业面临的网络风险敞口,业内还没有定论。
目前,大多数保险公司是通过问卷调查或者第三方上门评估的方式来预估投保企业的网络风险,这些方式需要投入大量的时间和金钱。因为网络安全险这一险种还不够成熟,整个领域内缺少经验丰富的专业人才进行高效的风险评估。大多数情况下,上门评估都是由保险公司和安全咨询公司的基层人员用非标准化的方法进行评估的。
保险公司或许自己对于这一新兴险种就是保的是什么,以及如何定价还不清楚,因此该领域还略显低效。大家对于企业系统“安全”的定义以及导致系统存在弱点的因素存在相左的意见。如何掌控网络风险也是一门需要深入研究的学问。
好消息是,现在有研究机构正在开发高级模拟系统,通过模仿不同维度和方式的网络攻击来评估投保企业的网络安全程度。这一模拟系统会根据模拟进攻的结果为企业制定一个网络风险评分,这一评分的制定是基于如NIST、CVSS3.0和DREAD模型等这类被广泛接受的风险计算方法的。
这一模拟系统技术有望大幅度提升保险公司对于网络安全险的定价能力,他们可以在几个小时内完成对投保公司的分析,获取该公司的网络风险评分,从而决定是否承保,并且确定保额总量以及保费水平。
此外,通过统一的评分标准来评估网络安全险投保公司,可以降低保险公司的风险敞口水平,在为企业客户提供足够保障的同时,让保险公司获得足够的利润,让整个网络安全险种能够进入一个正反馈的发展轨道。
- 热点关注 Hotattention