亚太地区日趋完善的网络安全法规
properties.trackTitle
properties.trackSubtitle
近来,尤其在亚太地区,人们越来越关注网络安全法规。该地区许多市场的主要重点围绕着增强企业网络弹性,改善消费者数据保护以及引入强制性通知制度等方面。随着各项法规的不断完善,预计因遭受网络攻击和/或违规事件被处罚金与处罚等案例也将不断增加,因此导致遭受网络攻击的企业将蒙受更巨大的潜在经济损失。
由于这些法规的不断完善与风险的不断增加,我们认为针对网络安全投保的需求可能会增加,且需更全面的解决方案,它通常包括数据泄露,在可保范围内因违规受到的处罚罚金以及营业中断损失等内容。对此,我们针对亚太地区不断变化的法规进行了汇总,并希望可以帮助保险公司和企业来衡量和管理网络安全风险。
印度
当前重要法规与趋势展望
- 国会目前正在审议 ”2019年个人数据保护法案” (2018年法案的修正版,其中提及有关强化数据保护之要求) 。它类似于”欧盟通用数据保护条例” (简称GDPR) 模式,新法规有望针对包括个人拥有隐私权方面,就如何管理个人数据制定方针政策。该法案还包括建立印度独立数据保护局等内容。
- 与2018年提案相比,我们看到2019年修订版中的一些主要修正内容:
- 减少某些违规事件的刑事处罚,
- 减少数据本地化 / 传输要求范围,以及
- 法案中涉及匿名数据,并允许政府机构在需要时,请求访问该类数据。
- 总体而言,我们预计增强法案条款后,一旦予以实施,将会产生以下主要影响:
- 收集数据时需要征得消费者同意,并且消费者有权撤回,
- 最终法律实施后,违规企业可能会遭受高达其全球营业额的4%或1.5 亿印度卢比的经济损失,两者取其高者
- 企业应遵守更为严格的数据保护要求。
- 预计该法律将适用于印度境内开展业务的绝大多数企业,某些例外情况将在该法律通过批准后予以最终确定。
对网络安全保险市场发展的意义
- 强化对数据保护与隐私法律的监管制度,将会引起更多的关注与努力,以改善总体隐私合规性与网络安全性。
- 应该会转化为强化风险意识与对网络安全保险等解决方案的需求。
日本
当前重要法规与趋势展望
- 已引入新的法律草案,作为对以前“个人信息保护法” (简称APPI) 的修正案。发生数据泄露事件时,则引入“强制性数据泄露通知” 方案。该法律草案在收集个人信息时,也可能会施加如征得消费者意愿等合规性要求。修正案提出,若法人实体违反规定,最高罚金可提高到1亿日元。
- “支付服务法案” (简称PSA) 与“金融工具与交易法” (简称 FIEA) 的修正案,修订了日本的加密货币监管框架,并于2020年5月1日开始生效。新修正案起到了很好的权衡作用,它承诺将进一步保护日本所有的加密资产所有者,也向交易所提供了一份包括网络安全基线管理要求在内的非常清晰的指南手册。
对网络安全保险市场发展的意义
- 随着强制性数据泄露通知法案的引入,尤其在处理 / 储存可识别个人信息量很大的行业中(如医疗保健,零售,数据处理等),发生数据泄露事件的企业所蒙受的经济损失 (如包括法律费用在内的通知起草费用) 将会加剧。 这就有助于提高受影响的消费者的意识,而此后因数据泄露而引起的责任索赔也会加剧。
- 由于新的合规要求,大大加剧了监管风险。在日本,罚金与刑事处罚等事项不可投保的,然而该法律可能会增加可投保的第一方调查及向监管机构通报费用的风险。
- 在此之后,所述有关不断加剧的风险,则会进一步激发企业考虑针对网络攻击事件应采取的对策,以及所涉及有关潜在费用等问题,其次再增加对网络安全保险的需求。
韩国
当前重要法规与趋势展望
- 从2020年1月1日起,“网络法”执行的宽限期已到,包括针对相关企业的强制性网络安全保险在内。总而言之,从事个人数据处理的企业,必须遵守 “网络法” 规定,并且强制的保险范围是针对第三方数据泄露而言。
- 2020年1月,对“个人信息保护法” 进行了修订,以澄清个人数据的概念 (包括区分个人数据,假名与匿名数据) 以及处理 / 处置此类数据的允许范围。通过引入更加清晰的框架,它可以使各企业更好地考虑如何管理数据,并且还可以根据其要求,对风险管理流程 / 框架进行投资。
对网络安全保险市场发展的意义
- 预计对网络安全保险的需求将会增加。但是,由于监管法律仍处于实施的初级阶段,并且市场的认识水平相对较低,因此还尚未达到保险业所期待的投保率。
- 据总理办公室下属机构 “个人信息保护委员会” (简称 PIPC) 透露,最近将数据保护监督责任权限进行了合并。PIPC 现将成为中央数据隐私监管局的从属部门。我们预计PIPC将针对数据隐私保护采取更积极的执法措施,因为其将成为政府更加关注的焦点,并更具权威性。
东南亚
当前重要法规与趋势展望
- 新加坡: 个人数据保护委员会 (简称 PDPC) 防止未经授权而披露个人数据。2020年将修订 (简称 PDPC) 法案 (待定):
- 最低罚金为100 万新加坡元或营业额的10%
- 三日内须通知 PDPC 及相关受害个人
- 机构须对疑似数据泄露进行评估
- 泰国: 宽限期于2020年5月底到期,新法规与网络安全法案生效日期因新型冠状病毒 (COVID-19) 疫情缘故被推迟一年执行。与 GDPR 类似,通知期限为72小时,其罚金与处罚方式也相同。
对网络安全保险市场发展的意义
- 随着强制性数据泄露通知 (时限)方案的引入,遭受数据泄露企业的经济损失费用将会增加。
- 针对违规事件明确增强经济处罚力度 (新加坡与泰国)。
- 加强对数据保护与隐私法的监管 (新加坡 / 泰国),将引起更多关注与提高总体隐私合规性与网络安全性。
中国
当前重要法规与趋势展望
- 新的网络安全法引入了国家级网络安全标准 (网络安全等级保护制度 “简称 MLPS 2.0”)。它是对原始网络安全等级保护制度 MLPS 1.0 的修正版,该版本以前只专注于关键基础架构,现在涵盖了所有运营网络的企业 (定义更为宽泛涵盖所有连接的计算机处理 / 传输数据)。
- 该制度根据行业的敏感程度与企业处理的信息类型,提出了满足最低要求的5 个主要等级。每个等级都有不同的评估要求,第一等级仅需要自我评估,其他以上等级则需要第三方参与评估。
- 因为违规事件而发生重要数据泄露的,则处以最高至100 万人民币的罚金。
- 它适用于在中国境内的所有运营企业。
对网络安全保险市场发展的意义
- 尽管在中国不能为罚金与处罚投保,但该法律可能会增加可保的向监管机构的第一方调查与通知费用的风险。
- 加强对最低安全要求的监管监督,将会引起更多的关注和努力来提高企业的总体网络安全弹性。
- 应该会转化为强化风险意识与对网络安全保险等解决方案的需求。
澳大利亚
当前重要法规与趋势展望
- 可能在2020年将对澳大利亚 “隐私法” 立法制定修正案。拟议的修正案将包括以下内容:
- 增加对 违反“隐私法” 行为的罚金额度
- 扩展对个人信息的定义,以捕获技术细节与网络标识等内容 (如IP地址,设备标识,位置数据等)
- 变更意愿通知书 - 要求的通知书应使用简洁,透明且易于访问的简单英文
- 允许隐私收到侵犯的个人直接向受约于 “澳大利亚隐私原则” (简称 APPs) 的机构提请诉讼及集体诉讼
- 针对数字平台 (尤其是社交媒体) 制定新的隐私权实施法则,重点关注儿童等弱势群体
- 政府还表示,它将于2021年对“隐私权法” 进行全面审查,并考虑消费者删除信息的权利。
对网络安全保险市场发展的意义
- 澳大利亚信息专员办公厅 (简称 OAIC) 对现有隐私框架与权利的加强,将对企业施加额外的压力,以确保遭受网络安全威胁的各企业具备抵御、检测、应对与恢复的能力。
- 监管审查与更高额处罚所带来的下行风险的增加,可能会使企业重新审查其现有的预算状况,以了解IT 安全性,网络安全保护水准,甚至保险支出等内容。
- 针对现有的网络安全保险条线而言,这些更为繁琐的隐私权法规,可能会导致第一方损失费用增加,并降低第三方责任诉讼门槛。
新西兰
当前重要法规与趋势展望
- “2020年新西兰隐私法” 将于2020年12月1日起生效。其主要修正内容如下:
- 提出对个人构成 “严重伤害” 的数据泄露事件的 “强制性数据泄露通知”
- 隐私保护专员的权力得到加强,内容包括有关违规处罚与强制企业向个人提供访问其个人数据的权限
- 新西兰各企业须确保与其共享数据的海外机构,在相似等级的隐私保护条件下运行
- 隐瞒或不通报侵犯隐私权事件或妨碍隐私保护专员视为刑事犯罪
- 新的法案适用于任何在新西兰经营的企业,即便在新西兰没有实体经营场所
对网络安全保险市场发展的意义
- 尽管与其他司法管辖区相比,新西兰对因违反隐私权法而处以的最高罚金较低 (10000 新西兰币),但强制性数据泄露通知的引入,应促使企业考虑对泄露事件的准备情况以及所涉及的潜在费用。通过熟悉网络安全产品与风险的保险经纪人,企业会希望转移越来越多的第一方通知成本,并利用保险公司完善的服务提供商的网络,我们预计对保险范围的咨询将会增加。
- 针对现有的网络安全保险而言,尤其是对于诸如零售、酒店、医疗、金融机构从事收集与处理大数量个人可识别信息 (简称 PII) 的行业,强制性数据泄露通知而可能会加大第一方经济损失的频率与严重性。
慕再网络安全解决方案
网络安全保险属于慕再的战略增长领域。作为全球行业领先的再保险公司,我们与分出公司紧密合作,将风险转移与价值服务相结合,业务涵盖从销售与核保培训,自动报价到生成保单,及事故响应服务等整套价值链。根据目标市场的特性与分出公司的能力,我们量身定制专项服务,以确保分出公司享有最适合其市场与客户的业务模式。我们的服务范围不仅局限于协助我们客户进行市场推广。我们不断努力使现有保单中隐藏的网络风险透明化(隐性网络风险),并在单个与累积的基础上对风险进行充分的评估。
我们的目标是,携手我们的客户,使得网络安全风险可保。更重要的则是,建立一个可持续的网络安全保险市场,其中应考虑现实的累积风险与维持卓越的核保水平。为了实现这一目标,我们有一支屡获殊荣的专家组,由全球范围内的120位从事网络完全的同事而创立而成,慕再事故响应服务网络的专业合作伙伴,也为我们提供了进一步的支持。
归根究底,无论是在企业还是在个人条线,不管我们已提出的其他解决方案,慕再的目标是要确保我们的分出公司能够能够成功应对此动态且不断变化的风险,并以可持续方式将其予以实施。
