保發中心倡政策要求保資安險

【工商時報 彭禎伶／台北報導】2017.07.17

網路勒索或駭客入侵事件頻傳，保發中心董事長桂先農提出三大倡議，一是應考慮政策性要求金融機構或上市櫃公司投保「資安險」，二是應建構可檢測公司資安等級的中立機構，以釐定保費；三即是要有賠償範圍認定的單位。

桂先農強調，在資訊發達的現代社會，很多人的個人資料、財產及相關交易都已透過網路或電腦系統儲存、運作，若資訊系統被入侵、癱瘓，即可能讓民眾的個資外洩、資料被竄改、存款被盜或是交易系統無法運作，嚴重者會影響金融或社會安定，因此各公司必須強化資訊安全，也應投保資安險，若不慎因駭客入侵或勒索的相關損失，有保險可支應。

同時，個資法上路後，若有公司或機關造成個人資料外洩、被不法蒐集、利用、侵害當事人權利時，要負賠償責任，若受害者多時單一事件賠償以2億元為限，但若有實際損失時則不受此金額限制，即個資外洩的賠償可能金額極龐大。

據保險局調查，目前國內真正可稱之為「資安險」的有三大類保單，即電子及電腦犯罪險、資料保護責任險、及資訊安全防護險，共有9家產險公司承作，其中美國國際產物（AIG）同時有資料保護責任險及資訊安全防護險，但各家公司的投保件數都是「個位數」，加起來約只賣出30張保單，企業客戶投保意願不高。

半官方色彩的保發中心，在桂先農接任董事長後，決定要更積極推動相關保險意識，及協助產業發展，據了解，在廣泛推動企業投保資安險部分，保發中心也會將建議及具體作法提交給政府，希望能形成政策。

桂先農強調，若政策性推動投保資安險，則所有企業都會更注意自家資訊安全的問題，且投保前必須先有單位檢測各企業的資安等級，才能釐訂保費，當資安事故發生時，也要有單位來鑑定事故造成的直接損失範圍，及確定保單應理賠的金額，且企業若有投保，民眾也可放心與其往來，不必擔心自己的資訊外洩或交易不安全。

保險局則表示，各行各業都可能遇到資訊外洩、違反個資法等問題，但由於資安險仍算是新興的商品，仍待時間推動，同時若要所有企業投保，可能要回到各目的事業主管機關，即各部會要有共識，才可能推動。

資安險 國內企業詢價多、投保少

【工商時報 彭禎伶／台北報導】2017.07.17

資安險叫好不叫座，產險業者表示，擔心自家網路被駭、客戶資料外洩，不少網路平台業者、客戶個資多的商家都曾探詢資安險的價格，但真正投保者卻極少數，且推出至今，國內產險業者的資安險也甚少理賠，甚至有公司完全無理賠紀錄。

資安險有三大不理賠，一是無法證明是直接損失不理賠；二是遭政府罰款不理賠；三是系統出問題後要升級防護的費用也不在理賠範圍內，且一般遭到駭客勒索或個戶資料外洩的損失也都採「限額」理賠，理賠額度不高，因此金融機構目前沒有人投保資安險。

三種資安險中，「電子及電腦犯罪險」即是承保有人惡意入侵系統，竄改或銷毀電子資料的相關財物損失，即要有犯罪行為才理賠，目前國內僅台灣產物一家推出；最多公司推出的是「資料保護責任險」，如富邦產、國泰世紀產、南山產、新安東京海上、明台產、美國國際都有此商品，主要承保資料外洩的損失，包括人為或疏失，甚至連外包廠商若將客戶資料流出的損失，及危機處理費用、調查費、訴訟費等都涵蓋。

產險業者表示，承保範圍最大的是第三種即「資訊安全防護險」，目前有和泰產（原蘇黎世產險）、美國國際、安達產物推出，多是外商集團背景，承保外部入侵、犯罪行為及內部管理疏失造成的任何資料外洩、系統重置等費用，主要是國外企業投保資安險比重逐年升高，國外對隱私權極看重，且舉證損失的責任未必在消費者，國外法院甚至會裁定企業必須理賠資料外洩造成客戶的精神損失，因此企業對投保資安險有較高的需求。

在台灣，若資料外洩，客戶要求償，必須證明資料是從哪家企業外洩，且因為這項外洩造成實際損失，例如證明該企業有員工將客戶資料賣給某詐騙集團，且有客戶因此被詐騙上百萬元，法律裁定企業有賠償責任，保單就會理賠，但一般證明上有困難，而所謂被電話騷擾的精神損失等則較難證明。

另外如券商被駭客入侵，造成系統當機、客戶無法下單，要求理賠未能完成交易的損失，這部分算是「間接損失」，且無法證明客戶買賣股票一定會獲利，保單恐難理賠；第三是金融機構若個資外洩，被金管會重罰，保單也不會理賠罰金，加上金融機構認為其資安系統多屬封閉及安全性較高，投保資安險意願因而不高。