*原文发表于经济日报
见报日期:2024年5月11日
作者:许佳龙 科大商学院资讯、商业统计及营运学系讲座教授、艾礼文家族商学教授
笔者上周在本栏发表的文章《网络猖獗,善用“网络保险”达三赢》,阐述了目前正在提速发展的“网络保险”于网络安保方面所发挥的有效作用,以及其在金融领域方兴未艾的发展势头,市场规模急速膨胀的趋势,并可望成为香港金融业未来发展的其中一项具潜质业务。
清楚看到,网络保险(cyber insurance)可以是企业进行网络安全管理的有效措施之一。在当下数字经济与数字生活已成为不可逆转的大趋势下,随着网络犯罪的威胁日趋严重,网络攻击对企业造成的损害风险事前难以估计,因此,通过“网络保险”来对冲并调控潜在的网络攻击风险,也愈来愈受到企业或机构的重视。
照目前行业发展情况看,保险需求方要求保险提供方给予的服务,不仅仅是保险产品,而是冀望可以得到更广泛的信息安保事故后的解决方案,亦即倾向要求保险公司能够提供更有系统的保障及服务。
笔者对网络保险和数据外泄事故后有关的保险公司、投保机构和受害苦主的事前事后互动行为所进行的研究,发现购买了“网络保险”的机构,在防范网络攻击的资源投入会有所减少,然而事故发生后,公司对减低事发后风险的资源投入会增加,以减低事故的损失。
换言之,研究发现,购买了“网络保险”的一方会降低预期风险的预防努力或资源投入,引致加剧了事前道德风险(ex ante moral hazard);但在事故发生后的风险缓解(ex post risk mitigation)努力或资源投入却有所增加。在这两种力量的相互平衡作用下,使遭成功网络攻击风险计算出来的预期损失,整体上有所减少,最终,无论对网络安保和保险业界以至网络用户,三方都得到正面的福利,即取得“三赢”效果(可参考笔者在上周本栏的详细阐述和分析)。
设想有一家机构,其数据库遭黑客成功入侵,偷取了这家机构大量用户的信用卡数据,这种网络入侵行为在今时今日时有发生。如果这家机构购买了“网络保险”,并且在保险合约上,写上适切的条款,即保险公司所提供的保障范畴,投保机构在事故发生后减少损失努力或资源投入的成本部分,也得到理赔,这样一来,投保的机构便有动机和诱因,去为用户向银行购买一种“信用监测”服务,监测用户的信用卡使用情况、有没有遭到盗用等,从而对事故发生后的损失程度有所缓解。
研究结果反映,投保人购买了“网络保险”,因降低了预期的风险预防努力或资源投入,引致加剧了事前道德风险,但在事故发生后的风险缓解努力或资源投入有所增加,在这两者的相互制约和抵消的情况下,最终结果不仅对完善网络安保工作有所帮助,也对目前兴起的“网络保险”行业的进一步发展有所启迪。
很显然,要达到上文所讨论的“三赢”效果,当中就牵涉到保险合约的设计、保险公司提供的承保范围,以及共同保险(Coinsurance)百份比率的精细校准。
所谓共同保险,简单来说是保险公司和投保人对有关承保范围,共同承担费用的比例。在一般的保险合约条款中,共同保险、共付额(copayment)和垫底费(deductible),均为投保人需要与保险公司共同承担,即有需要自付费用的部分。以一项医疗保险为例,若医疗保险合约订明,允许的看病共付金额为100元,自付承担费用(垫底费)为20元(百份比为20%),扣除垫底费,保险公司就会根据保险计划的保障范围和上限作赔偿。
研究结果显示的一个有趣发现是,当保险公司的理赔金额不是很大,而理赔的范围并不宽阔,亦即相对狭窄,此举反而对投保机构有利,为什么呢?当中的原因,或者说形成这个后果的机制是,当保险的理赔范围较为狭窄时,投保公司对于事故发生后采取的风险缓解行动的诱因更大,即据此可以把损失“最小化”,以上文的阐述为例,投保的公司有更大动机和诱因,去为客户因信用卡数据被盗而为客户向银行购买信用监测服务,从而减低客户最终因信用卡盗窃而招致的损失。结果,投保公司及其用户的损失有效减至最小。
对保险公司和整个网络安保事业来说,我们得到什么启迪?清楚看到,在网络安保上,共同责任是一个重要概念(笔者2018年11月12日在他报发表的文章,亦曾提出共同责任在信息安保范畴的重要性)。激发出用户自身的自我保护激励和责任十分重要,也是达致有效网络安保的重要构成部分。换言之,单方面的安保努力,得到的成效相对有限。执笔之时(5月2日),隐私专员公署公布消费者委员会去年遭黑客入侵的调查报告,发现消委会欠缺足够安保措施,包括未有启用多重认证等,导致超过450人数据外泄。消委会的网络安保漏洞,其实也多少反映了单一方的安保努力,并不足以有效保护网络安全。可以说,网络的安保需要多方的“共同责任”,整体配合作为政策或措施基础。
对保险公司来说,保险合约不是靠大额的理赔金额和宽广的保障范围来吸引顾客。在直观上,保险公司作出更大的承保深度(即更低的共同保险率)和更广泛的承保范围,去吸引更多顾客,表面看似乎可以增加公司的预期财富或收入,但这样做,却可能会产生对各方不利的效果。因为事前风险防范降低太多,出事的可能性就会显著增加。不过,投保公司在事故发生后的“风险缓减”行为增加或愿意在这个部分投入更多资源,在这种情况下,对出事的损失承保范围和共同保险率进行微妙的校准(特别要留意的是不可以过分提供大额的理赔金额或宽广的保障范围),便可以产生理想的结果,对保险公司、投保公司以至用户的整体福利都更有保障,可以有效减低事故的损失。
所以,从这个视角看,网络保险对网络安保和金融保险业的持续和健康发展,有一定好处。关键的地方,是保险合约需要在承保范围和共同保险率进行精细研究及校准上,作出适切的安排。严格来说,网络保险在香港尚处于起步发展阶段,因此,如何让网络保险业在香港的发展取得可持续和健康发展的基础,在现阶段十分重要。
*笔者对网络保险的研究结果,希望能够对香港网络保险行业的发展作出一些发展启迪,有兴趣了解详情的读者,可以参考笔者和其他两位研究人员合撰的这篇论文——《Cyber Insurance and Post-breach Services:A Normative Analysis》。
