文/王惠英 | 2014.11.01 (月刊)

90年代早期，隨著網際網路的興起，企業出現網路交易等行為，也開始了網路防護的風險管理。「只要有網路，風險就會存在，這類保險商品就會越來越蓬勃」美亞產物商業保險處協理鄭智友表示，「現今的環境比起從前有更大的變化，包含法令、上網工具、資料存在形式更多元化等，促使企業必須面對網路風險的管理問題。」

網路無遠弗屆，風險無處不在

如果把企業比喻為一個村莊，除非自給自足、與世隔絕，不然，網路就像是聯外的道路，擁有四通八達的道路也代表著遭受攻擊的風險越高。鄭智友認為，「虛擬世界中的駭客，就好比是燒殺擄掠的強盜，在其中穿街走巷，隨時隨地都可能帶來可怕的破壞。」

根據世界經濟論壇（World Economic Forum）發表的「2014全球風險報告」，網路攻擊仍是全球企業和政府最可能面臨的五大風險之一。2011年SONY的PlayStation遊戲機遭駭客入侵、今年南韓第二大行動電信營運商韓國電信公司（KT）被駭，導致客戶資料外洩；台灣也有大型金融機構因信用卡系統遭駭或內控疏失而導致個資外洩、醫療機構未按標準程序管理病患就醫紀錄而造成隱私權的侵害等，進一步衍生企業和消費者之間的糾紛。

由於網路資料外洩事件層出不窮，富邦產物資深協理林承斌表示，「各國政府開始檢討、修改個人資料保護相關法律，提升企業對於個人資料保護的注意義務及損害賠償責任，企業對於網路攻擊險的需求應運而生。」

以台灣為例，政府為保護消費者權益，在民國99年修正原「電腦處理個人資料保護法」相關法條，並於101年10月1日正式施行「個人資料保護法」。新版的個資法，擴大適用範圍至所有行業，不再侷限於特定行業和數位資料，同時提高企業民事損害賠償責任、舉證責任改採推定過失、建立團體訴訟機制等，在在提升了企業對於投保相關保險的需求。

企業電腦系統一旦遭到破壞，可能造成業務停擺，而個人資料外洩也可能招致罰款、官司纏身和名譽損失。以日本為例，2005年實施個資法後，短短兩年內共計有逾三千萬人的個資遭到外洩，損失求償金額高達二兆日圓。所謂的網路保險包含網路攻擊險，即是為企業因網路攻擊或資料外洩造成高額損失時提供重要的保障。

政府、企業、個人，網路風險金三角

對於網路風險，歐美地區的企業通常注重風險管理、民眾重視個人資料及損害求償、政府具有相關協助機制；但在亞洲地區，企業經常迫於政府法令要求，透過加強軟、硬體和人力配置，採取高牆防堵的方式，民眾普遍缺乏個資安全和求償意識，而政府也欠缺完整的配套措施。「要做好網路風險管理，需要政府、企業和個人通力合作，三者缺一不可。」鄭智友說。

網路犯罪越來越常見，某些行業如金融、醫療、教育等，因為處理的個人資料量較大，更應特別留意可能的風險和可行的保險解決方案。不過，千萬別以為僅有大公司需要考慮保護自己避免遭受網路攻擊，很多中小型企業因為安全系統普遍較弱，容易成為網路攻擊的理想目標。企業透過購買網路攻擊相關保險商品，可借重保險公司的經驗來檢視資安防護，以及補償損失。

目前台灣約有美亞（AIG）、安達（ACE）、富邦、蘇黎世等保險公司，提供網路攻擊相關保險商品。林承斌指出，在台灣提供的網路保險相關商品，普遍稱為「資料保護責任保險」，主要承保基於個資保護的相關法令，企業對第三人的損害賠償責任；另外附加企業針對個資外洩可能產生的第三人通知費用、危機管理費用、調查抗辯費用等。

除了資料保護責任保險外，美亞產險於2012年與歐美同步在台灣推出CyberEdge保險商品，進一步擴大保障範圍，包含個人資料、公司資訊、資料安全，亦可附加電腦勒索責任、網路中斷保險等。在各行業中，風險較低的是製造業，風險較高的金融或醫療業，通常詢問度高、購買度低，可能囿於缺乏主導統籌、限於預算等因素，目前購買網路保險商品的企業，仍以電子商務相關行業，如網路購物、百貨公司等為主。

投保需求強勁，網保成長空間大

據了解，2012~2013年網路保險商品在歐美地區的銷售成長約兩成，在台灣的銷售數量也由個位數突破成長到兩位數，去（2013）年在台灣「資料保護責任保險」的投保件數約近三十件，顯示企業的投保需求已逐漸萌芽。

林承斌表示，從法令層面及實際發生案件來看，網路攻擊險或資料保護險有相當大發展空間。

一、 台灣個資法就損害賠償請求權要件，採用推定過失責任，這代表若有個資外洩情事發生，企業必須舉證自己無故意或過失才能免責。

二、 法院將如何依請求權要件就相關訴訟案件作判斷，具有不確定性。

三、 一旦出現受理個資法爭議及協助受害者進行團體訴訟求償的特定專責機構，團體訴訟機制所引發的效力及影響範圍將大幅提升。

四、 大型企業個資外洩事件頻傳，在傳播媒體渲染效果下，受害者的求償意識勢必高漲。

五、 企業對於委外廠商負有監督義務，但委外廠商是否會確實遵循個資安全維護政策，企業仍難掌控。

由上可見，隨著政府法令日趨完備、個資保護意識抬頭，以及企業認同風險管理的重要，網路保險相關商品絕對是各企業必備的自我保護工具。

落實風險管理，未來發展關鍵

未來，網路保險市場將面臨什麼樣的挑戰？對於保險業者，林承斌歸納下列三大努力的方向：

一、 協助客戶提早辨識相關風險：網路攻擊險或資料保護保險為新興的保險商品，如何在台灣尚未有因個資外洩，而產生巨額賠償案例的情況下，協助客戶認識其面臨的風險並進一步做風險管理，成為重要的課題。

二、 培養核保及理賠技能：由於這類保險的核保及理賠，涉及網路系統甚或雲端風險的專業知識，加上網路攻擊損失估計不易等問題，保險公司必須結合有經驗的專家協助處理核保及理賠作業，包括專家對於資安漏洞的調查、損失的鑑定、提出改善建議等，進一步培養保險公司在核保及理賠上的相關專業技能。

三、 保險金額的評估：由於產業特性、交易方式差異，各行各業可能面臨資料外洩的損失程度難以估計，以致於無法進一步評估合適的投保金額；因此，如何引進專家協助客戶量化風險及損害防阻，進而投保充足的保險金額，可謂一大考驗。

鄭智友認為，企業本身的治理哲學仍是關鍵，永續經營、企業責任絕非僅是口號，應從內部風險管理去落實，並規劃購買適合的解決方案。保險業者能提供的協助，並非只賣保單、出事賠錢，而是持續創新保單，以及提供更立即且完整的服務，包括建立律師顧問、公關公司等團隊，成為企業最佳的資源後援。