隨著網路攻擊日益增加,企業與網路攻擊保險提供者之間的爭議也在上升。常見的分歧包括損失的保障範圍、何謂資料濫用、違規責任歸屬,以及企業是否充分履行其網路安全義務。在安排涵蓋網路攻擊損失的保險時,企業務必清楚了解保單的實際保障內容,並掌握嚴重攻擊可能造成的潛在損失幅度。
近期網路攻擊案例
近期對 Jaguar Land Rover 和 M&S 的重大攻擊不僅規模龐大,更凸顯其缺乏足夠網路攻擊保險的問題。Jaguar Land Rover 完全沒有保險,而 M&S 所持有的保單保障遠不足以應對所遭受的損害。企業需要考慮的不僅是立即損失與對其提出的索賠,還應評估恢復完全營運可能需要的時間。
許多進入法院的保險相關案件涉及資料保護與保密義務違反。
Warren v DSG Retail Ltd [2021], 原告向 Dixons Carphone 提出 £5,000 索賠。2018 年攻擊事件中,大約 1,400 萬筆資料可能遭到存取。原告主張其姓名、住址、電話、生日、電子郵件可能被取得,並依據《1998 資料保護法》、私人資訊濫用、保密義務違反與過失提出索賠。
法院駁回索賠。法官裁定:個資「控制權的喪失」並不構成成功索賠所需的「實質損害」。Farley & Ors v Paymaster (1836) Ltd (Equiniti) [2025]退休警員群體主張個資濫用與 GDPR 違反因被告將其退休金文件寄至 舊地址一審認為:沒有證據顯示第三方實際查看文件 → 無法成立索賠上訴法院不同意此見解,並裁定:因資料外洩可能後果而產生的「心理壓力(distress)」可構成賠償不需要證明第三方實際存取資料也沒有最低「嚴重性門檻」要求但索賠必須具客觀基礎,不能是假設性或空泛的。
企業如何利用網路攻擊保險管理風險
企業必須極度重視網路攻擊風險。他們必須確保擁有足夠的保險保障,並確實遵守保單中的義務。應聘請專家審查保單條款,確保保障內容符合需求。
關鍵議題包括:
- 辨識需投保的風險(例如員工蓄意行為)
- 確立所需的實際保障水準,考量:
可能發生的損失,如資料恢復成本、法律費用、營業損失、勒索金
第三方索賠,如違約、保密義務違反、資料保護法違規、主管機關罰款
- 遵守保單條款,通常包括:
嚴格的資安要求; 定期檢查; 員工訓練; 軟體更新
網路保險公司與投保企業間常見的爭議
常見爭議包括:
- 事件究竟是否屬於「網路事件」,或源自內部問題,如員工疏失或蓄意不當行為
- 投保企業未遵守保單條款,例如未履行資安義務
- 未揭露先前事件
- 涉及第三方時對損失來源的爭議
- 攻擊是否來自外國政府(通常不在保障範圍內)
- 就損失程度與索賠金額產生分歧
3CS 如何協助
我們的專業爭議解決律師團隊能夠提供策略性且有效的協助,協助處理複雜的網路攻擊保險索賠爭議。如需協助,請聯繫您的 3CS 聯絡人。
