【庖丁篇】— 刊於《經濟日報》,2024511

網絡保險行業成長 合約安排至為關鍵

許佳龍

科大商學院資訊、商業統計及營運學系講座教授、

艾禮文家族商學教授

筆者上周在本欄發表的文章(網絡猖獗 善用「網絡保險」達三贏),闡述了目前正在提速發展的「網絡保險」於網絡保安方面所發揮的有效作用,以及其在金融領域方興未艾的發展勢頭,市場規模急速膨脹的趨勢,並可望成為香港金融業未來發展的其中一項具潛力業務。

全面保險需求日益增加

清楚看到,網絡保險(cyber insurance)可以是企業進行網絡安全管理的有效措施之一。在當下數碼經濟與數碼生活已成為不可逆轉的大趨勢下,隨着網絡犯罪的威脅日趨嚴重,網絡攻擊對企業造成的損害風險事前難以估計,因此,通過「網絡保險」來對冲並調控潛在的網絡攻擊風險,也愈來愈受到企業或機構的重視。

照目前行業發展情況看,保險需求方要求保險提供方給予的服務,不僅僅是保險產品,而是冀望可以得到更廣泛的資訊保安事故後的解決方案,亦即傾向要求保險公司能夠提供更有系統的保障及服務。

網絡保險產生微妙效果

筆者對網絡保險和數據外洩事故後有關的保險公司、投保機構和受害苦主的事前事後互動行為所進行的研究,發現購買了「網絡保險」的機構,在防範網絡攻擊的資源投入會有所減少,然而事故發生後,公司對減低事發後風險的資源投入會增加,以減低事故的損失。

換言之,研究發現,購買了「網路保險」的一方會降低預期風險的預防努力或資源投入,引致加劇了事前道德風險(ex ante moral hazard); 但在事故發生後的風險緩解(ex post risk mitigation)努力或資源投入卻有所增加。在這兩種力量的相互平衡作用下,使遭成功網絡攻擊風險計算出來的預期損失,整體上有所減少,最終,無論對網絡保安和保險業界以至網絡用戶,三方都得到正面的福利,即取得「三贏 」效果(可參考筆者在上周本欄的詳細闡述和分析)。

保險合約適切條款舉足輕重

設想有一家機構,其數據庫遭黑客成功入侵,偷取了這家機構大量用戶的信用卡資料,這種網絡入侵行為在今時今日時有發生。如果這家機構購買了「網絡保險」,並且在保險合約上,寫上適切的條款,即保險公司所提供的保障範疇,投保機構在事故發生後減少損失努力或資源投入的成本部分,也得到理賠,這樣一來,投保的機構便有動機和誘因,去為用戶向銀行購買一種「信用監測」服務,監測用戶的信用卡使用情況、有沒有遭到盗用等,從而對事故發生後的損失程度有所緩解。

研究結果反映,投保人購買了「網路保險」,因降低了預期的風險預防努力或資源投入,引致加劇了事前道德風險,但在事故發生後的風險緩解努力或資源投入有所增加,在這兩者的相互制約和抵消的情況下,最終結果不僅對完善網絡保安工作有所幫助,也對目前興起的「網絡保險」行業的進一步發展有所啟迪。

很顯然,要達到上文所討論的 「三贏」效果,當中就牽涉到保險合約的設計、保險公司提供的承保範圍,以及共同保險(Coinsurance)百份比率的精細校準。

理賠金額宜小承保範圍宜窄

所謂共同保險,簡單來說是保險公司和投保人對有關承保範圍,共同承擔費用的比例。在一般的保險合約條款中,共同保險、共付額(copayment)和墊底費(deductible),均為投保人需要與保險公司共同承擔,即有需要自付費用的部分。以一項醫療保險為例,若醫療保險合約訂明,允許的看病共付金額為 100元,自付承擔費用(墊底費)為 20元(百份比為 20%),扣除墊底費,保險公司就會根據保險計劃的保障範圍和上限作賠償。

研究結果顯示的一個有趣發現是,當保險公司的理賠金額不是很大,而理賠的範圍並不寬濶,亦即相對狹窄,此舉反而對投保機構有利,為什麼呢?當中的原因,或者說形成這個後果的機制是,當保險的理賠範圍較為狹窄時,投保公司對於事故發生後採取的風險緩解行動的誘因更大,即據此可以把損失「最小化 」,以上文的闡述為例,投保的公司有更大動機和誘因,去為客戶因信用卡資料被盗而為客戶向銀行購買信用監測服務,從而減低客戶最終因信用卡盜竊而招致的損失。結果,投保公司及其用戶的損失有效減至最小。

網絡保安需共同責任作措施基礎

對保險公司和整個網絡保安事業來說,我們得到什麼啟迪?清楚看到,在網絡保安上,共同責任是一個重要概念 (筆者20181112 日在他報發表的文章,亦曾提出共同責任在資訊保安範疇的重要性)。激發出用戶自身的自我保護激勵和責任十分重要,也是達致有效網絡保安的重要構成部分。換言之,單方面的保安努力,得到的成效相對有限。執筆之時(5 2日),私隱專員公署公布消費者委員會去年遭黑客入侵的調查報告,發現消委會欠缺足夠保安措施,包括未有啟用多重認證等,導致超過450人資料外洩。消委會的網絡保安漏洞,其實也多少反映了單一方的保安努力,並不足以有效保護網絡安全。可以說,網絡的保安需要多方的「共同責任」,整體配合作為政策或措施基礎。

對保險公司來說,保險合約不是靠大額的理賠金額和寬廣的保障範圍來吸引顧客。在直觀上,保險公司作出更大的承保深度(即更低的共同保險率)和更廣泛的承保範圍,去吸引更多顧客,表面看似乎可以增加公司的預期財富或收入,但這樣做,卻可能會產生對各方不利的效果。因為事前風險防範降低太多,出事的可能性就會顯著增加。不過,投保公司在事故發生後的「風險緩減」行為增加或願意在這個部分投入更多資源,在這種情況下,對出事的損失承保範圍和共同保險率進行微妙的校準 (特別要留意的是不可以過分提供大額的理賠金額或寬廣的保障範圍),便可以產生理想的結果,對保險公司、投保公司以至用戶的整體福利都更有保障,可以有效減低事故的損失。

香港網絡保險成長發展關鍵

所以,從這個視角看,網絡保險對網絡保安和金融保險業的持續和健康發展,有一定好處。關鍵的地方,是保險合約需要在承保範圍和共同保險率進行精細研究及校準上,作出適切的安排。嚴格來說,網絡保險在香港尚處於起步發展階段,因此,如何讓網絡保險業在香港的發展取得可持續和健康發展的基礎,在現階段十分重要。

筆者對網絡保險的研究結果,希望能夠對香港網絡保險行業的發展作出一些發展啟迪,有興趣了解詳情的讀者,可以參考筆者和其他兩位研究人員合撰的這篇論文——Cyber Insurance and Post-breach Services : A Normative Analysis

Read Article