“数字保险”下的数字安全初探.pdf

科技前沿Frontiers in Technology“数字保险”下的数字安全初探汤海波刘宇复旦大学大数据研究院一、引言2023年2 月，中共中央、国务院印发数字中国建设整体布局规划（以下简称规科技划）。规划指出，建设数字中国是数字时代推进中国式现代化的重要引擎，是构筑国前沿家竞争新优势的有力支撑。加快数字中国建设，对全面建设社会主义现代化国家、全面推进中华民族伟大复兴具有重要意义和深远影响。规划明确提出，数字中国建设应按照“2522”的整体框架进行布局，并将强化数字安全屏障作为数字中国建设发展的“两大能力”之一。而在数字中国建设的推进中，保险业有着特殊的使命：一方面，作为重要的金融主体，保险业自身需要加快数字技术的融合与创新应用，以数字化转型推动保险业高质量发展；另一方面，保险业有着风险转移、风险管理的重要功能，能够为数字中国建设过程中发生的数字风险提供经济兜底作用，对强化数字安全屏障有积极意义。在保险转向“数字保险”的道路上，数字安全问题时有发生，给保险业带来了严峻的挑战。欧洲监管机构（EIOPA、E S MA 和EBA）发布的金融部门中的风险与漏洞报告显示，保险业整体呈现高频次的恶意软件和网络攻击，其中包括数据泄露、勒索病毒、网络攻击等一系列数字安全问题，严重阻碍了“数字保险 的安全发展。2 0 2 3 年6 月，国家金融监督管理总局向各银保监局、银行保险机构等下发关于加强第三方合作中网络和数据安全管理的通知（以下简称通知）。通知着重通报了银行业保险业存在企业微信服务风险和科技外包风险两个重要风险点，明确指出银行保险机构存在对数字生态场景合作情况底数不清、缺乏统筹管理、对合作中的数据安全风险和责任识别划分不清、在供应链安全管理上履职不到位、对外包服务的应急管理机制不健全等严重问题，需要行业全体严肃对待并严厉整改。如何应对严峻的数字安全问题、保障“数字保险”的安全发展是保险业与监管部门迫切需要解决的问题。本文从这一角度出发，就“数字保险”这一前沿主题展开讨论，聚焦狭义“数字保险”中的数字安全问题，深人挖掘分析“数字保险”中各种已知风险与未知风险，并初步提供新的思路和应对措施，为“数字保险”安全发展提供建议。二、数字中国下的“数字保险”发展目前学界对“数字保险”这一概念尚未形成共识，且往往将“数字保险”与“保险数字化”两个概念混为一谈。如图1 所示，本文基于数字经济的概念，结合保险的独特性质，对“数字保险”给出狭义与广义的定义。（一）狭义“数字保险定义狭义认知中的“数字保险”是数字经济概念在保险领域的应用，亦可称为保险数字化，即保险业作为数字经济的参与主体，利用数字技术和互联网平台，通过应用人工智能、大数据、区块链等技术，改善保险业务效率和用户体验，实现组织架构、业务模式、内部流程升级改造。这包括在线销售和管理保险产品、自动化核保和理赔流程、个性化定价和定制保险方案等。2023年7 月上海保险13科技前沿Frontiers in Technology（二）广义“数字保险”定义狭义的“数字保险”定义仅将保险业作为数字经济的参与主体，将数字经济概念简单映射到保险领域，而并不考虑保险行业所特有的风险转移与经济兜底作用。从广义的角度来看，“数字保险”不仅需要考虑保险业的数字经济参与者角色，还要突出保险业的风险管理提供者角色，因此，本文在狭义定义的基础上进行如下扩充。1.数字化转型相关风险保障保险公司作为风险管理者，对其他参与主体在数字化转型过程中面临的新风险进行承保，进而为数字经济发展提供保障。这包括：网络安全保险，转移网络攻击、数据泄露等风险；智能网联汽车保险，转移自动驾驶、车联网等新兴技术带来的风险；技术开发创新保险，转移科技公司在研发过程中可能面临的风险。2.新保险领域的风险保障这是指保险公司对数字经济发展催生的虚拟经济领域提供保险保障服务。例如，NFT（非同质化代币）保险可以保障数字艺术广义“数字保险”定义数字化转型相关风险保障保险数字化转型品和虚拟资产的价值；数字资产保险可以转移加密货币、区块链资产等数字资产的风险；数字身份保险可以保护个人在数字世界中的身份信息和隐私。（三）“数字保险 的发展趋势基于“数字保险”的定义，本文认为，未来“数字保险”的发展存在三个明显趋势。1.以数据为引擎数据在“数字保险”中扮演着重要的角色。保险公司利用数字技术和互联网平台收集和分析大量数据，包括客户信息、风险数据、行为数据等，以实现更精确的风险评估、定价以及客户关系管理。同时，对于企业数字化转型与保险领域扩张的新风险，谁能拥有高质量的新风险数据，谁就能在“数字保险”的竞争中脱颖而出，在新产品设计、定价、风险管理等流程中占据优势。2.以科技为工具科技在“数字保险”中是不可或缺的工具。保险公司利用人工智能、大数据、区块链等技术来改进保险业务流程，实现自动化新保险领域的风险保障核保和理赔，提高效率和提升用户体验。随着科技的不断发展，无数的科技应用将会在“数字保险”中大放异彩。而在为新风险提供保障时，传统的评估技术、风险管理工具等已难以满足需求，迫切需要引人前沿科技手段对传统工具进行送代，3.以安全为基石安全是“数字保险”发展的基石。一方面，保险业作为数字经济参与主体和数据密集型行业，确保保险公司自身的数字安全是成功实现数字化的必要基础；另一方面，保险业在为数字经济发展提供保障的同时，也意味着将数字经济的安全问题转移到自身并进行风险管理。保险业能否构建良好的安全机制和提供安全保障服务，对数字经济能否安全平稳运行至关重要。三、“数字保险”中的数字安全问题如前文所述，安全是“数字保险”发展的基石。无论是在保险业自身的数字化转型过程中，还是在对数字化转型、保险领域扩张的新风险进行承保时，保险行业都需要谨慎考虑安全问题。本文聚焦狭义“数字保险”，并对狭义“数字保险”中的数字安全展开讨论。如图2 所示，数字安全主要涵盖数据安全、认知安全和网络安全。在当今万物互联的社会，移动设备的普及不仅拓宽了传统计算机概念的边界，其用户也产生了大量宝贵的数据。同时，随着人们在网络空间的活动越来越频繁和复杂，网络安全和认知安全问题变得尤为重要。数据安全、认知安全和网络安全问题交织在一起，边界逐渐模糊，数字基础设施的脆弱性也不断暴露。本文分别从数据安全、认知安全和网络安全三个方面展开讨论。狭义“数字保险”定义图1“数字保险”的定义14SHANGHAI INSURANCEMONTHLY:JUL2023(一）数据安全随着数据要素市场的蓬勃发展，网络数据资产当前具备规模海量、类型多样、流转快速、价值巨大四大特征，同时数据安全风险的危害性也逐渐加剧。数据安全是指保护存储、处理和传输的数据免受未经授权的访问、泄露、窃取、篡改或破坏等活动的过程和措施。它关注的是数据的机密性、完整性和可用性。保险公司处理大量的客户敏感数据，包括个人身份信息、财务数据和医疗记录等，面临的数据安全风险贯穿于数据要素流通的全流程，需要实施严格的数据安全措施。如图3 所示，在数据采集过程中，存在数据知情权风险，如在用户或其他实体不知情的情况下采集数据，或者在获得允许的情况下过度采集数据，以及在未经许可的情况下将实体间的数据相关联，分析得出其他结果。在数据存储数据数据泄露安全监管风险生命周期风险认知数字安全保险欺诈安全虚假信息风险不如实告知网络安全软硬件漏洞网络基础设施入侵应急响应缺失图2保险业数字安全的构成数据组织数据采集和存储数据流动和传播数据利用和服务数据迁移和销毁数据知情权风险在用户或其他实体不知情的情况下采集数据，或者在获得允许的情况下过度采集数据在未经许可的情况下将实体间的数据相关联，分析得出其他结果O无法停止智能设备对个人数据的采集数据控制权风险O黑客等恶意攻击者获得数据控制权或者非法拷贝删除数据不彻底，成本较大O实体权限分配不合理，数据操作权限越界非法攻击和隐私泄露风险黑客的恶意攻击，包括对数据传播路径的窃听、篡改、伪造、中断等未授权第三方通过非法攻击获取数据，造成隐私泄露O数据在流动过程中被非法复制或篡改，导致数据失真或不完整数据关联性风险O在用户不知情的情况下将数据使用权授权给第三方实体O数据被非法出售和转让O数据关联导致隐私被侵害，如恶意营销、人肉搜索等数据访问风险O黑客攻击导致数据销毁失败O访问权限设置不明确，导致数据泄露O数据迁移的目标区域安全性防范不足，导致非法访问图3数据要素流通的全流程风险2023年7 月上海保险15科技前沿Frontiers in Technology和组织的过程中，存在数据控制权风险，例如，删除数据不彻底或数据操作权限越界等。在数据流动和传播过程中，存在非法攻击和隐私泄露风险。在数据利用和服务过程中，存在数据关联性风险，即用户在不知情的情况下将数据使用权授权给第三方。在数据迁移和销毁过程中，存在数据访问风险，即黑客攻击导致数据销毁失败，访问权限设置不明确导致数据泄露，以及数据迁移的目标区域安全性防范不足导致非法访等。目前，全球范围内已有大量法律法规要求组织保护数据的安全和隐私。例如，欧盟的通用数据保护条例（GDPR）和美国的加州消费者隐私法（CCPA)等要求组织采取适当的技术和措施来保护个人数据安全。保护数据安全有助于确保组织符合适用的合规性要求，避免法律纠纷和因违法违规而被罚款。由此可见，对数据安全的高度重视和保护是保险业数字安全的重要一环。(二)认知安全“认知（Cognition）一词在牛津词典中的定义为：“通过思想、经验和感官获取知识和理解的心理行为或过程。”根据认知安全与教育论坛的定义，认知安全是为抵御社会工程攻击对认知（Cognition）和感知(Sensemaking)有意或无意的操纵和破坏而作出的努力。在数字安全的背景下，社会工程攻击是一种利用人类自身弱点的攻击，攻击者通过社交互动的方式来对人类的认知、思想、意识的薄弱环节进行攻击，致使受害者泄露机密信息、提供访问权限、执行恶意操作或采取其他不利于受害者的行为。与其他安全问题不同的是，社会工程攻击并不需要利用技术上的漏洞实现，其主要的攻击形式有冒用身份、垃圾邮件与钓鱼软件、社交媒体虚假信息等。在保险领域，社会工程攻击往往与保险欺诈、社交媒体虚假信息等密切相关。保险16SHANGHAI INSURANCE MONTHLY:JUL2023理赔是保险公司经营支出的核心部分，赔付率的高低对保险公司盈利水平至关重要。保险欺诈通过有意伪造、夸大或故意提供虚假信息来获取保险公司赔偿或其他经济利益，长期以来对保险公司的利益造成严重损害。而在保险理赔数字化、便捷化的背景下，不法分子通过AIGC（人工智能生成内容）等技术伪造虚假信息，以逼真的素材混淆保险审核员的视听，对保险公司的理赔造成新的威胁。另一个问题是社交媒体的虚假信息传播。保险业的核心是诚实与诚信，投保人购买保险时往往需要重点考量保险公司的声誉情况。在社交媒体广泛使用与信息筛查监管不足的背景下，大量的虚假信息充斥在网络上，对人们的认知与理解造成极大影响。关于保险公司的大量虚假信息一旦在社交媒体上传播，极有可能导致保险公司的声誉受损，消费者对保险公司的信任度降低，甚至引发消费者的抵制行为，也可能误导分析师和投资者，对保险公司的业绩评估产生负面影响。由此，保障“数字保险”的认知安全不仅同保险核心业务紧密相连，甚至与保险公司声誉、保险公司股价等息息相关，对构建“数字保险”的数字安全有重要意义。(三)网络安全网络安全是数字安全的重要组成部分，指的是保护计算机网络系统和网络中的信息免受未经授权的访问、使用、披露、破坏、修改或中断的威胁和攻击的一系列措施。而网络空间安全则更广泛，涵盖整个互联网和数字化环境。它关注的是保护互联网及其相关技术基础设施、信息系统和网络空间免受威胁和攻击。网络空间安全不仅关注特定网络的安全，还包括保护互联网和数字化世界中的信息和数据安全。保险行业在数字化转型过程中面临日益严峻的网络空间安全威胁与挑战。保险行业由于涉及大量敏感数据，这些数据详细地记录着用户特征和行为，能较为准确地复原出用户画像。这些数据在网络空间传输、处理和存储过程中