随着网络攻击事件日益增多,企业与保险提供方之间的纠纷也在不断增加。常见争议包括:损失的覆盖范围、数据滥用的界定、责任归属,以及企业是否履行了网络安全义务。
企业在为网络攻击造成的潜在损失投保时,应清楚了解保单覆盖范围,并评估严重攻击可能带来的损失。
近期的网络攻击案例
近期,捷豹路虎和玛莎百货遭遇的网络攻击不仅因规模巨大而引发关注,也暴露了企业网络攻击保险准备的不足。捷豹路虎完全没有投保,而玛莎百货虽有保单,却远远不足以覆盖实际损失。在评估保险时,企业不仅需要考虑即时损失和潜在索赔,还应提前估算恢复全面运营可能所需的时间。
大多数涉及保险的案件都与数据保护和保密信息泄露有关。
在Warren v DSG Retail Ltd [2021]一案中,一名原告向零售商Dixons Carphone提出5,000英镑索赔。Dixons在2018年遭遇网络攻击,约1,400万条数据遭到了窃取。原告称其姓名、地址、电话、出生日期和邮箱地址可能被泄露,并据此提出索赔,理由包括该公司违反《1998年数据保护法》、滥用私人信息、违反保密义务以及疏忽责任。法院驳回了索赔,认为,个人数据失控并不构成“实质性损害”(Material Damage),不足以支持索赔成立。
此外,近期的Farley & Ors v Paymaster(1836) Ltd(以Equiniti名义交易)[2025]案件中,公司将一群退休警察的养老金明细寄送到了他们的旧地址。为此,这些退休警察以个人信息被滥用及违反英国《通用数据保护条例》为由向公司提出索赔。但法官认为,由于没有证据表明第三方实际接触过这些养老金明细,因此原告的索赔请求无法成立。
然而,上诉法院并不认同这一裁决。法院指出,只要原告因担忧个人数据可能被泄露而产生精神损害(distress),即可提出相应的索赔,而无需证明第三方确实访问过相关数据。同时,索赔方也不必证明事件达到了某种特定严重程度,但索赔必须具有客观依据,而不能仅凭假设。
网络攻击保险的风险管理指南
企业必须高度重视网络攻击风险,确保拥有充分的保险覆盖,并严格遵守保单条款。建议聘请专家审查保单条款,确保保险能提供预期保障。
- 识别需投保的各类风险,例如员工的故意行为。
- 合理确认保险的覆盖水平,包括:
潜在损失,如数据恢复成本、法律费用、业务损失及勒索费用;
第三方索赔,如违反合同、违反保密义务、违反数据保护规定及监管罚款。
- 遵守保单条款,通常要求企业执行严格的网络安全流程、定期审查、员工培训及软件更新。
网络保险纠纷的常见问题
企业与保险公司之间常见的争议包括:
- 事件是否属于网络攻击,或因内部问题(如员工疏忽或故意行为)造成;
- 未遵守保险条款,例如未履行网络安全义务;
- 未披露以前发生的事件;
- 第三方导致损失的责任争议;
- 攻击是否由外国政府发起,这类情况通常不在保险范围内;
- 损失范围及索赔金额争议。
3CS如何提供帮助
我们专业的争议解决律师团队可为网络攻击保险纠纷提供战略性、高效的支持。如需帮助,请联系我们。
