GDPR与网络安全保险
每天叫醒你的不是闹钟,而是姿势
欧
盟通用数据保护条例(General Data Protection Regulation, 简称GDPR)已于5月25日正式生效,GDPR成为了最近国内外的热门网络红词,如果你不能说出来几个与其相关的重点问题,那你真有可能out了。有关GDPR的基本内容介绍,在信息发达的网络空间随处可见,大使今天就不做普法工作了。在此我再强调一点:GDPR的管辖范围不仅限于欧盟,和中国涉外企业也密切相关,因为GDPR不仅适用于在欧盟国家注册的组织机构,也同样适用于任何在欧盟以外地区注册但为欧盟地区提供商品和服务,并监控个人行为和数据信息的组织机构。简言之,对于任何持有和处理欧盟国家公民个人信息的公司无论其公司注册地和实际运营地在哪里,皆受该条例的管辖。
作为一名保险业内人员,我将试从网络安全保险(Cyber Insurance) 的角度分析GDPR中有关保险责任问题,以期抛砖引玉。
1
法律责任
GDPR受到全世界广泛关注的一个重要原因是其设置了非常昂贵的处罚条款。对于不遵守GDPR法案的企业以严厉的制裁和巨额罚款,根据违规性质的严重程度,分为一般违法行为和严重违法行为。根据GDPR第83条,对于一般违法行为,处以全年营收额2%或1000万欧元的罚款,两者以高者为准;对于严重违法行为,处以全年营收额4%或2000万欧元的罚款,两者以高者为准。
据报道,一些欧盟国家,包括德国、法国与爱尔兰,认为4%的全年营收额标准已经被打了折扣,他们已经提出要设置更高的罚款金额,例如处以全年营收额的7%到9%的罚款!
此外,GDPR第82条支持所有因受企业违规行为影响而遭受损失的个人向违规企业提出损失赔偿的请求,这为民事诉讼提供了法律基础。
2
网络安全保险迎来发展良机
网络安全保险从其雏形问世到现在,最长不过二十年左右的时间,但近几年随着像Wannacry勒索病毒事件等网络安全事件在全球的不断出现,网络安全保险市场迎来了的快速发展。KPMG预测:从2016年到2025年,全球网络安全保险费将的25亿美金迅速增长到200亿美金规模。
据有关报道,美国占据目前全球网络安全整体保费规模的90%以上,这主要与美国较早确立了对于数据泄露(Data Breach)的强制通知法律规定密切相关。可以预见,GDPR的正式施行,特别是规定了个人数据泄露时企业的法定通知义务以及巨大的法律责任风险,将进一步促进网络安全保险在全球特别是欧盟地区的快速发展。根据Advisen最新的一次市场调研报告(如下图),有超过一半的受访者认为GDPR将对欧盟网络安全保险的投保率有或多或少的提升作用。
3
GDPR罚款是否可以投保?
面临着巨额的罚款风险,很多企业一方面在尽可能地采取措施满足GDPR的合规要求,另一方面试图通过投保网络安全保险的方式转嫁这一风险。但是,GDPR罚款可以投保吗?各国的法律规定对此立场不尽相同。
根据AON与DLA Piper联合发布的最新报告《GDPR Fines Guide》,绝大部分欧盟国家从法律上并不支持GDPR罚款的可保性,只有极少数国家例如挪威和芬兰允许企业可就GDPR罚款进行投保(如下图)。
值得注意的是,欧盟以外的其他国家包括中国一般从法律上并不支持行政罚款可以通过投保的方式转嫁给保险公司,因为允许投保罚款风险,会违反社会公共政策(Public Policy),削弱罚款的惩戒作用,企业应该投入更多的资金提高其自身的网络安全管理水平,合法合规地开展业务。此外,罚款罚金在保险合同中一般也属于责任免除事项,虽然有个别责任保险合同(例如D&O保单)有时规定法律允许投保的罚款例外,但实践中这一例外基本不可能得到法律的支持。
4
其他注意事项
网络安全保险目前发展历史较短,市场上并没有统一的标准保单,各家保险人的保单措施不尽相同。因此,为了应对GDPR带来的影响,我们要注意以下几点保单变化趋势:
谁是隐私主管机关?许多网络安全保单在保单中会列明潜在的国际或海外的隐私主管机关,未来网络安全保险人将需要通过批单的形式把欧洲数据保护机关(European Data Protection Authorities,DPAs) 加入保单。
隐私泄露(Privacy breach)与隐私违法(Privacy violations)的区别。网络安全保险单中有关“隐私法”(Privacy Law)的定义通常限于规范隐私泄露的法律。然而,GDPR的有关规定比隐私问题要更加广泛,包括数据存储、使用和获取等规定。海外保险人现在开始愿意扩展承保因此产生的索赔。
法律费用保障。仅管绝大部分国家法律并不支持罚款的可保性,但网络安全保单可以承保被保险人为应对主管机关在做出罚款决定之前的行政调查程序而支出的法律抗辩费用。
想要了解更多有关网络安全保险的内容,请识别以下图片中的二维码,关注“大使学院”直播间,收听有关免费公益课程。