在计算机、互联网、大数据和人工智能大发展的时代，我国推出了数字中国的概念、战略规划和行动计划。在《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中提出，迎接数字时代，推进网络强国建设，建设数字经济、数字社会和数字政府。在数字中国的背景下，数据安全和网络安全成为生活必需品，为此，近年来我国网络安全保险保持快速发展。

网络安全保险作为科技与金融交汇融合的产物，将作为完善网络安全治理体系和推动保险产业长足发展的新业态，成为维护国家安全和经济平稳运行的重要工具，它不仅能提供传统的风险保障，更是搭建了专业化的服务平台，协助企业采用最佳实践来应对数字时代的复杂网络风险，在动态变化的商业环境中保护企业业务的适应力和韧性，同时推动企业价值的持续提升。在全球范围内，网络安全保险的发展前景广阔，尤其像中国这样的大型数字经济体，伴随着社会对数字应用的广泛依赖及人们对网络风险逐渐加深的认识，网络安全保险的角色变得非常重要。保险行业加强和革新网络安全保险的策略与产品，不仅能缓解风险带来的直接影响，更能通过优化风险管理过程，帮助企业在不断变化的环境中保持竞争力，这无疑将成为推动我国数字经济稳健成长的核心动力。

我国数字经济规模发展很快，如图1所示，根据中国信息通信研究院《中国数字经济发展研究报告（2024年）》，数字经济的增速超过GDP的增长，其GDP占比已高达41.5%。数字经济在国民经济中发挥的作用及重要支柱地位更加凸显。在数字经济高速增长的背景下，企业网络安全风险管理将迎来巨大挑战，越来越多企业的网络安全风险日益暴露，将会给企业带来巨大的经济损失，如欺诈、黑客、病毒、数据泄露等威胁可能导致企业遭受直接经济损失，也可能给企业的信誉带来侵害，甚至会导致企业的正常业务无法开展。

数据来源：中国信息通信研究院《中国数字经济发展研究报告（2024年）》

图1 我国数字经济规模

我国是世界上遭受网络攻击最严重的国家之一，网络安全风险主要是基础网络和关键基础设施安全风险、个人信息泄露、网络诈骗和工业互联网的安全威胁。网络安全包括漏洞安全、网站安全、分布式拒绝服务攻击（Distributed Denial of Service）、服务器恶意代码和主机安全、移动互联网安全、工业互联网安全、物联网安全、区块链应用监测、车联网安全、高级持续性威胁（APT）攻击活动等。2024年上半年针对Web的攻击次数达到1417.1亿次，同比上涨61.39%，IPv6协议的攻击为35.34亿余次，同比上涨87.78%，全网监测到的网络层的DDoS攻击次数达4128亿次，CC攻击达1842.4亿余次，新增安全漏洞11075个，包括高危漏洞4787个，呈上升态势，整体安全态势严峻。2024年上半年网络安全保护系统拦截恶意程序153.16亿次，拦截量增多。

我国网络不安全的主要原因：一是境外组织对我国的APT攻击（高级可持续威胁攻击，也称定向攻击）日益增加。根据数据监测等信息可以发现，东亚、东南亚等境外APT组织，经常对我国的重要企事业单位发起攻击造成严重的网络安全风险。此外，基础设施系统、工业控制系统、酒店系统、军事和教育系统等互联网侧安全风险仍较为严峻。尤其是近年来黑客的攻击对象已重点瞄准了工业控制系统，境外黑客组织经常对我国工业控制视频监控设备进行攻击，根据监测数据等信息发现，我国境内的高危漏洞隐患占比仍然较高，特别是直接暴露在互联网上的工业控制设备和系统方面。与此同时，在能源、轨道交通等关键生产管理系统信息基础设施在线安全巡检方面也存在高危安全漏洞，其占比也已达20%。二是App违规收集信息并开展非法售卖的情况普遍，尤其是通过微信小程序和联网数据库造成数据泄漏的风险较严重。截至目前，各个平台上活跃的可支持下载的App数量已达到267万款（其中苹果、安卓分别为162万款、105万款），不同版本的App经常出现违规收集信息等情况。金融行业中个人信息遭受非法售卖的占比达40%，其次为电子商务社交平台，占比在20%左右，教培和房地产行业遭遇个人信息非法售卖的达12%。个人信息非法售卖情况较为严重，国家计算机病毒应急处理中心对国内50家银行发布的App进行了安全检测，检测结果显示，在关键环节未采取防护措施的App数量高达90%，平均每个App存在8项安全风险。

安联发布的2023年风险调查报告中显示，来自94个国家和地区的2712位风险管理专家将网络风险评为最为重要的商业风险，由此可见网络风险的重要程度与日俱增。事实上，从频繁发生网络攻击的行业类型来看，金融、政府单位、健康与医疗及教育行业排名分别位居前四。就金融业来说，银行、保险公司所遭受网络攻击的频次最多，分别约占73%和15%。而保险公司作为网络安全风险的保险人，同样也会遭受到频繁的网络攻击，因此网络安全保险面临着严重的挑战。

为了确保网络安全，我国过去5年每年投入网络安全的资金增速约为20%，位列全球第一。根据国际数据公司（IDC）发布的2025年《全球网络安全支出指南》，2023年全球网络安全IT总投资规模为2150亿美元，并有望在2028年增至3770亿美元，五年复合增长率（CAGR）为11.9%。但据IDC预测，中国网络安全市场规模增速将有所下降，如图2所示，但仍呈增长趋势。

数据来源：国际数据公司（IDC）发布的2025年《全球网络安全支出指南》

图2 中国网络安全支出情况

网络安全保险的标的是信息资产的安全性，包括投保人信息的完整性、有效性和机密性等，保险事故是以网络安全事件或网络安全风险为保险事故，其保险产品的类型根据承保安全风险的复杂性，可分为财产损失保险或责任保险。目的是降低投保人遭受到各种网络事故带来的损失，包括数据泄露、业务中断和网络损坏等，对由于网络安全事件或网络安全风险给企业造成的损失进行赔偿，既包含企业本身的财产损失，也包含企业因遭受网络安全事件给第三方造成损失时应承担的责任。2013年苏黎世财产保险（中国）有限公司在我国大陆地区第一个推出了“安全与隐私保护综合保险”，为企业信息泄露损失及引起第三方责任提供保险保障。

为有效促进网络安全保险产业的快速发展，我国先后颁布了《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律文件，并在政策支持上不断加大力度，《关于促进网络安全产业发展的指导意见（征求意见稿）》明确指出探索开展网络安全保险服务；《关于促进网络安全保险规范健康发展的意见》则推动了我国网络安全保险的规范化和健康发展，提升中小企业网络安全防护能力，标志着网络安全保险的政策引导正式落地；《关于组织开展网络安全保险服务试点工作的通知》部署开展全国网络安全保险服务试点；2024年，先后出台了《网络安全保险典型服务方案目录》《中小企业数字化赋能专项行动方案（2025—2027年）》，明确提出鼓励中小企业购买网络安全保险，共有49个网络安全保险典型服务方案入围公示，力求全面增强中小企业的数据与网络安全防护能力。在政策法规的支持下，网络安全保险产品开始增多和普及，产品覆盖范围和保障责任逐步扩大，不仅服务于大型企业，也开始向中小企业拓展。截至2024年5月，提供网络安全保险产品的保险公司总计45家，产品数量较多的保险公司如图3所示，保险行业共备案了287款网络安全保险产品，折射出该险种已步入快速发展阶段。大数据、云计算等信息新技术的扩展应用，使保险产品供给不断丰富，给网络安全保险的发展带来了新机遇。目前，虽然我国网络安全保险的整体规模还不大，但发展速度非常快，过去5年的平均增速为95.3%，且未来的发展空间非常大（见图4）。

数据来源：中国保险行业协会

图3 我国网络安全保险产品数量

数据来源：工信部发布的2024年《网络安全保险白皮书》

图4 我国网络安全保险的发展趋势

网络安全保险作为一种新兴的保险产品，能够为企业因网络安全事件导致的经济损失提供赔偿，并为企业提供专业的网络安全风险评估、监测、预警和应急响应服务。通过购买网络安全保险，中小企业可以在一定程度上减轻因网络安全事件带来的财务压力，同时借助保险公司的专业力量提升自身的网络安全防护能力。网络安全保险与传统险种的可保风险差别较大，承保内容通常被设置为第一方责任和第三方责任两大部分，多数保险公司的网络安全保险产品的保障风险如表1所示。目前，我国网络安全保险市场中主要承保的风险类型包括数据损坏、营业中断损失、勒索、数据泄露、第三方损失责任等。

表1 网络安全保险与传统险种的可保风险的区别

注：√为可保，×为不可保，○为沉默。

然而，网络安全保险风险涉及网络攻击、管理不到位、软硬件故障。其中，网络攻击风险包括可导致数据篡改的攻击、可导致数据泄露的攻击、密码分析（口令暴力破解等）、拒绝服务(拒绝服务攻击、分布式拒绝服务攻击、海量访问等)、勒索软件、恶意代码、网络钓鱼、社交工程攻击等；管理不到位风险包括未授权进入设施、未授权访问系统、怠工或蓄意破坏、操作失误、物理破坏、偷窃等；软硬件故障风险包括硬件故障、通信中断、硬件篡改、程序错误、违反程序（滥用授权）、软件篡改、数据错误（数据丢失）、资源耗尽（数据库溢出）等。基于网络安全场景的复杂性，风险特征错综复杂，网络安全事故信息不对称，增加了风险评估与定价的难度，而且我国历史承保理赔数据还不太丰富等因素，如何合理准确定价网络安全保险有一定的困难。同时，现有保险产品还存在保险责任保障范围不能满足市场需求、产品类别不够多、条款责任表述晦涩难懂、风控能力不足、再保支持相对薄弱、保险机构创新产品的能力不足等问题，这些问题说明我国网络安全保险还需要进一步发展，相信在未来的快速发展中很多问题会得到逐步解决。

1977年，美国保险集团（AIG）推出了历史上首份黑客险（Hacker insurance），网络安全保险由此诞生，逐步在许多发达国家迅速成熟并持续增长。在北美、欧洲及亚太等数字化程度较高的国家和地区，网络安全保险不仅普及度高，其产品和服务也在持续创新，以适应不断变化的市场保障需求。

如今美国是全球最大的网络安全保险市场。美国国土安全部通过努力推行网络事件信息共享、网络事件后果分析，以及将网络风险纳入企业风险管理的理念，为美国的网络安全保险创造了一个有利的市场环境，促进了网络安全保险的全面发展。根据Fitch的报告，2022年美国网络安全保险的直接保费收入达到了72亿美元，占美国财险市场保费收入的1%，占全球网络安全保险保费收入的60%。美国网络安全保单分为两种：一种是独立保单（Stand-Alone Policy），专门用于承保网络风险的保单；另一种是复合责任保单（Packaged Policy），指通过扩展责任条款或者批单的方式，将网络安全风险增加到承保范围中，从而形成复合保单。美国网络安全保险市场整体的盈利性较好，综合成本率约为80%，过去几年的赔付率如图5所示，2018年起，已发生的事故损失不断增长，2021年网安险赔付率达到67%，2022年赔付率下降到44.6%。美国网络安全保险中针对第一方的索赔数量都超过了第三方索赔，占所有索赔的75%左右，可见其产品承保责任主要还是第一方损失责任。

数据来源：瑞士再保险公司研究院（SRI）

图5 美国网络安全保险赔付率

美国全国保险专员协会（NAIC）的统计数据显示，目前美国有超过500家保险公司可以提供网络安全保险服务，其中约有140家可提供独立网络安全保险，约有491家可提供复合责任保险。市场集中度较高，2024年10家美国保险集团占据了超过45%的网络安全保费总额，如丘博、安盛、美国国际、旅行者、比兹利等5家公司网络安全保险年收入均超过1亿美元。目前，美国市场销售的网络安全保险承担的责任主要分为七类：企业经营中断损失、系统和数据恢复费用、知识产权损失、数据泄露给第三方造成的损失、网络勒索及谈判费用、危机管理费用和合规性监管罚款。此外，部分企业还提供网络安全咨询、网络安全事件应急响应、修复公司声誉等服务。

2023年，美国独立网络保险保单占据了超过三分之二（68%）的市场份额，这些保单大部分是针对企业面临的特定网络威胁（包括数据泄露和勒索软件）量身定制的。承保第三方损失在网络保险市场也占据主导地位，约占据62.1%的份额。网络保险的保费主要来自大型企业，其保费规模占网络保险市场价值的近四分之三（72.4%），而对于拥有强大网络控制和低风险行业的中小型实体企业，其网络保险保单的平均保费维持在1400美元到3000美元不等。

随着全球数字化经济高速发展，网络安全事件频发，网络安全保险一直处于快速增长阶段。根据瑞士再保险公司研究院（SRI）的数据，全球网络保险市场在过去五年中体量增长了三倍，至2023年，保费收入总额达到了148亿美元，如图6所示。市场预测显示，到2025年，全球网络保险保费总额将增长至230亿美元。根据FICO发布的数据，2022年欧洲及英国成为世界第二大网络安全保险市场，市场份额约占30%，预计保费总额约为35亿欧元，90%的英国公司拥有网络安全保险，其中37%的公司的保险覆盖了最可能发生的网络安全风险。北欧国家紧随其后，76%的芬兰公司、72%的挪威公司和57%的瑞典公司也拥有网络安全保险。南非和亚太地区市场增长率也比较快，随着技术的不断进步，该地区的中小型企业对网络安全保险的购买正在增加。

数据来源：瑞士再保险公司研究院（SRI）

图6 全球网络安全保险保费增长趋势图

在亚洲，日本和印度可以称得上网络安全保险市场的先行者，68%的企业首选内部培训作为应对网络安全事件的方法，52%的企业选择购买网络安全保险。2016年，印度仅有三家保险公司提供由印度保险监管和发展局（IRDAI）批准的网络保险产品，但随着印度政府的积极推动，其市场的复合年增长率维持在7%—30%，2022年印度的网络保险市场规模达到5000万美元，购买的主要行业包括深度依赖数字操作的教育、金融服务、零售、电信及技术服务等行业。印度网络安全保险的最高保额通常为2亿美元，费率为0.65%—0.8%，保险涵盖范围包括网络安全事件响应费用、监管调查和罚款、通知费用、数据安全及隐私保护责任赔偿、网络勒索费用，机构利润损失及额外费用支出补偿、数据恢复费用等。日本拥有网络保险的公司比例较低，仅有26%，但显示出明显的逐年增长趋势，其网络安全保险的产品主要包括综合保险、责任保险、勒索保险、应急响应专项险、抗服务攻击（DDoS）保险等。

随着数字经济的蓬勃发展，我国网络安全保险市场面临着前所未有的发展机遇和挑战。由于我国网络安全险发展起步较晚，无论是保费规模还是产品与服务供给方面，都较国际成熟市场存在较大差距，网络安全险的小众化困局亟待打破。中国保险公司可以借鉴全球及亚洲其他国家在网络安全保险领域的成熟经验，结合国内特色和需求，围绕完善顶层设计，强化技术赋能，培育发展生态、促进需求释放等，进一步深化和优化网络安全保险产品和服务，以更好地服务于广大企业，特别是那些正处于快速数字化转型中的企业，促进网络安全保险的规范健康发展，具体建议如下。

落实政策扶持，完善制度设计。政府需要进一步完善制度，加强顶层设计。保险行业要认真学习政策，落实政策，发挥政策的效用。一是政府相关部门要建立网络风险数据库，管理并分享网络安全事件信息。这种信息共享可以显著提高企业和保险公司对网络风险的认知，选择合适的风险管理策略，同时，可帮助保险公司制定更合理的保费和保障范围，提供更符合企业需求的网络安全保险方案。二是进一步完善法律法规，将网络安全法规、法律和标准等纳入承保政策和产品开发实践中，让承保、理赔和服务有法可依，减少实务操作过程中的矛盾和冲突，促进每个企业建立起坚固的数字经济防线。

加强保险行业的网络安全专业人才的培养，提升服务质量。网络安全保险属于新兴领域，对保险公司承保、精算、理赔和增值服务等专业人员的素质有较高的要求，开展业务时面临着较大的技术壁垒，缺乏信心和认知。因此，必须做好网络安全保险的专业团队建设，由于网络安全专业人才培养难度较大，建议一是引进外部网络安全管理人才，二是内部开展人才培训，保险公司可与高校、研究所、网络科技公司、网络安全服务商、公估机构等单位合作，培养网络安全保险专业人才，识别客户逆向选择，提升保险队伍的服务能力。

加大科技投入，提升保险公司自身的网络安全。建议保险公司将人工智能、保险元宇宙、区块链、数字孪生、边缘计算、云技术、社交平台、电子商务、数字市场及大数据技术，应用到公司网络安全的风控体系，建立预防黑客攻击、数据泄露、病毒感染、网络欺诈等风险控制体系，通过运用身份验证、数据加密、侵入性侦测和设立数据备份中心等手段与方法，组建网络安全技术保障壁垒，提升安全防护水平。

开展网络安全保险生态体系建设，提高保险公司的风险减量服务能力。网络安全风险的复杂属性对传统保险公司的风险评估、定价和管理带来了挑战，而新型网络安全保险生态体系的构建可以直接助力网络安全保险的全域安排与市场开拓，要求保险公司具备更为先进的技术能力。除了保险公司自身用专业能力提供保险保障外，还需要积极寻找合作伙伴来共同构建完整的网络安全风险管控生态体系，在这个体系中，网络安全服务商、评估服务商、应急服务商等可作为技术服务商或风险咨询顾问，在数据积累、资源整合、技术研发等多方面发挥优势，共同推动“主动防御、保前诊断和治疗、保中监控、出险救援”等保险增值服务，而保险公司作为整个生态的主体链条，贯穿整个风控流程并最终承担保险补偿的责任，为客户的网络安全风险兜底，实现一体化服务。

建立网络安全保险数据库。我国大陆地区的网络安全保险市场发展相对缓慢，网络安全保险相关的承保理赔数据相对缺乏，从而导致对网络安全风险状况数据的积累、量化不足。由政府牵头，各方参与，建立网络风险数据库是发展相关保险产品的重要一步。具体可分为三个方面：一是政府协助保险业建立网络风险损失数据库；二是保险公司建立网络风险理赔数据库；三是要求投保企业建立台账，通过信息系统将网络受攻击的情况及时进行记录，为保险公司更合理、精准地评估企业网络安全水平提供依据。通过建立数据库可以使网络安全保险的市场费率定价更为规范化、合理化、精准化，随着网络安全保险承保、理赔等数据的积累，费率定价也将在大数法则下更加精准。

强化再保险的支持力度。既要加强对其他国家优秀经验的学习，来更好地为中国的网络安全保险市场发展提供帮助；又要加强再保险对风险管理和承保能力的支持，再保险公司在承保和建模方面具有非常专业的经验，在开发新的网络安全保险的展业过程中，再保险公司可以提供风险定价、承保支持、预防措施、危机管理和数据恢复等方面的专业援助，并在网络威胁、理赔速度、累积风险处理方面发挥更大的作用。

加强网络安全保险的普及和宣传力度，激发客户投保意愿。目前，网络安全保险作为市场上相对新型的保险产品，保险公司员工和客户都对该保险产品了解不足；同时由于行业数据积累不足，保险公司之间的合作缺乏信任基础。对此，一方面，政府、保险行业和保险公司都应该积极开展宣传，让公众多了解一些该险种的保障内容，提高企业对网络安全保险的接受度；另一方面，可通过学术宣讲、主题沙龙、微信和短视频等多种形式，介绍网络安全保险的经验和案例，激发企业的投保意愿，加速推进网络安全保险的发展，从而最终提高我国整体的网络、数据和隐私安全水平，为我国经济高质量发展保驾护航。