《网上保险的技术和法律分析》由会员分享,可在线阅读,更多相关《网上保险的技术和法律分析(6页珍藏版)》请在金锄头文库上搜索。
1、网上保险的技术和法律分析互联网就其本质来说是一种效益与损害共生、机遇与陷阱并存的高风险技术产品。在电子商务领域,商家和用户的软件系统和数据资料时刻面临黑客、病毒、间谍程式等攻击的现状,直接引发了国际上新一轮网络安全产品开发和法律制度改革的运动。网上保险即是典型。国际上不少国家的保险公司陆续推出了“计算机险”、“黑客险”和“病毒险”;但我国的反应迟缓,国内所谓的“网上保险”无非是将传统险别在网上办理投保、核保、理赔和给付手续而已。略究其竟,有网络风险客观上难以控制、损失难以评估等技术操作因素,也有网上保险条款效力的不可预见性等法律因素。一、电子险的种类与可承保性“电子险”(electronic
2、risks)是国外学者对网络风险的总称,分类各有差异。有的学者认为,电子险包括缔约险、管辖险(其中包括交货险、规则险、法律与场所险)、数据险、技术险、第三方险。根据国际保监联合会(IAIS)电子商务工作组2004年10月的报告,在网络环境下,保险人和保险中介人需考量的6种主要风险有:战略险、运作险、交易险、数据安全险、互联险、商业规则险。另有学者认为,网上风险包括社会风险、经济风险、个人风险和技术风险。遑论这些风险的划分标准如何及是否科学(事实上这种标准并不存在),实践中,网络信息系统安全风险主要来自以下几类:一是机密性的丧失。即对信息(如个人信息、公司研发信息及其客户资料等)的非授权获取或对
3、通讯数据的非授权进入和窃取。与黑客不同,此种对信息的攻击是一种“被动”攻击(仅获取信息而非篡改信息),如cookies和packetsniffer。二是完整性的破坏。即对信息或数据的非授权篡改、伪造,如介入商务双方并佯装其中一方的MITM攻击。三是有效性的损害。即非授权地减损商务各方的软件功能使之无法从事正常的通讯和信息交流,如DDoS攻击。四是归责性的丧失。即因第三方的攻击而使交易一方产生了拒绝回复或证实索赔的非法推卸责任的风险,如masquerade-attacks。问题是,与网络相关的所有风险是否均具可承保性,或者是否存在无法转让给保险人的风险?风险的可承保性取决于损失的可评估性。在互联
4、网这一开放性的信息系统中,相关各方都不可能确信各合作方(商务伙伴、服务提供者、网络运营商、系统开发商、服务维护商等)能彼此信赖和信任。因此,针对网络的无边界性,任何安全信息分析的对象应包括外在的攻击者和内部的合作方两个群体(诚然,这涉及网上交易的证据问题)。某项风险是否可予承保,应予考察的标准主要有5个:偶然性、确定性、可评估性、独立性、可限性。偶然性标准与保险的射幸性质相契合,要求相关突发事件在合同签订时不被人知晓或不受影响,且双方当事人对相关信息处于同一认知状态。“不受影响”主要涉及导致市场失败的道德问题(即保险法上的诚实信用原则),现有保险规则易引发不谨慎行为(特别是损失的预防意识和行为
5、)。如果被保险人不遵守该原则,此种道德损害问题将随之发生,从而可能导致豁免保险人的保险义务,这从另一个方面又促使保险人认真评估损害发生的平均概率。因此,为抵消被保险人故意制造风险或疏忽安全措施的诱因,保险人通常会在合同中设置特别的责任和条款,如共同保险或承保限额。确定性标准指事故或损失数额能以一种客观的可确定的方式来评估。而对损害的发生及其损失赔偿数额进行准确的说明需要大量的保险条款,并在保险合同订立前在各缔约方之间达成一致。然而,通过网上行为而产生的特别损害事故客观上又难以被证实。例如,私密信息或数据侵害的认定,首先必须存在客观上可证实的与直接侵害行为相关联的间接损失,但侵害行为的无形性使损
6、失评估面临巨大困难;同时,侵权与财产遭受损失之间的时间差又加剧了评估的难度。另一方面,对不同侵权行为导致的各种无形损失的理解也存在差异,因此,无偏差地界定损失的数额几乎不可能。根据损失的预期变化来设置固定的货币支付方案可能是一种解决问题的途径。但是,任何一种合理的解决办法都需要知晓事实上可能发生的损害事故和数额。这都意味着侵害通讯内容私密性的损害和风险只能在有限的条件下才具可承保性。可评估性标准本身即表明了对事物无力充分了解之意,因为网络风险缺乏统计学上的数据基础。保险人对评估损失的平均数额和损害事故发生的概率不可避免地将进行主观性判断,相应地,对风险本质上可承保范围的判断也将是主观的。独立性
7、标准涉及相关风险的关联度。为确保被承保风险发生的偶然性,此种关联性应予排除。实践中,如果两种以上的风险紧密关联或不可分离,一般不会被保险人所考虑,对各风险独立性的充分推定是保险人综合“投资”平衡的核心前提。倘若多种被承保的风险在同一时段并发,则各个事故的独立性不复存在,如病毒攻击、系统漏洞或蠕虫导致的关联性损害,可同时破坏许多系统的“分布式拒绝服务攻击”涉及的聚合性损害都是例证。而此种风险事故的关联性或聚合性无疑危及保险人的评估和偿付能力。虽然不可能存在绝对的独立性,但也不宜超出合理的限度。而可限性标准指单个风险所可能导致的最大损失。承保风险的限度是一个难以衡测的标准,因为可承保性依赖于保险业
8、或保险人保险政策的承受力。但是,最大损失程度通常可通过限定范围来控制;同时,保险人的承保能力还可通过再保险方式得以扩展(如果损失超过一定限度,再保险人可在得到适当保险费支付的情况下承担超额部分的损失);此外,通过更严格地限定保险范围,某些不可承保的风险也可具承保性,或者保险人仅承保全部损失数额的一个百分比。应注意的是,仅仅因为某种风险未达到可限性标准而将其归入本质上不可承保的范围是不合理的。一般来说,不可能存在某种有效的可承保性限制或者所谓的不可承保风险。如通过设立某种技术安全措施或诸如约定某些超额百分比和限定范围的合同条款,也可促成风险的可承保性,但是,也不是每种风险均可承保。因此,保险人可
9、以尝试设立一个模糊的可承保区域(即介于客观可承保与不可承保之间的“灰色区域”),然后,以实证方法评估某一风险是否具有实际可承保性。网上风险评估的困难主要原因在于缺乏诸如损害发生的概率及损失平均数额、破坏或瘫痪性风险所造成的聚合性发生频率之类的客观记录。某种网上风险能否被承保,被保险人对保险利益采取最低限度的技术安全预防措施是必要的前提。从目前情况看,对完整性和有效性的潜在侵害(人们熟悉的黑客、病毒攻击即属于该两类风险)具有可承保性。一是被保险人需要必要的技术上的较高安全保护级别;二是保险范围的限制相对较小,可适用于对中小企业相关风险的承保。而对规模较大的企业和公司也可通过再保险、金融风险创新(
10、或金融风险产品)得以拓展保险人的承保能力。而归责性丧失的风险目前不具可承保性。电子签名风险即是典型。如何证实和评估电子签名的身份归属和不可否认风险,目前存在实际的巨大障碍(我国法院至今甚至拒绝受理相关的案件),也缺乏明确的因果关系。这都有赖于电子签名和数字证书的广泛应用,但此种值得信赖并应予推广的公钥基础设施建设(PKI)迄今仍未产生实际的效果。侵害机密性的风险目前也不具可承保性,因为企业信息的非法窃取和个人数据的非法出售及其所造成的损失,通常都属事后觉察,侵害人的确定及取证、因果关系的确定、损失的估算等都存在不确定性。二、网上保险条款的实体公正网上保险条款(或网上保险合同)以格式条款为常态,
11、其是否有效,目前的焦点主要涉及条款内容的公正(即实体公正)与条款订立形式的公正(即程序公正)两个方面。某项电子险被确认可承保后,保险人与被保险人之间的权利与义务通常都由保险公司事先设计并放置于该保险公司网站上。该格式条款内容的公正性如何判断?能否被法律所承认?我国1999年的合同法和2009年的保险法对格式条款的原则规定(如公平原则、合理提醒原则)同样可以适用于网上保险格式条款。有学者从消费者保护和公平角度认为电子格式合同不具有法律效力。我国消费者、各种消协、不少学者都认为我国许多保险条款是“霸王条款”,保险业是我国仅次于电信的第二大霸王行业。此论值得商榷。姑且不论“霸王条款”、“霸王合同”是
12、一种带有情绪意义的措辞而非法律用语,更重要的是它似乎混淆了保险条款的不合法与不合理的界限。前者是指保险条款违反了法律的强制性规定,后者意味保险条款权利义务设计上倾向于保险人利益的保护。根据保险法第19条(承袭合同法第40条)的规定,无效的保险条款包括免除保险人依法应承担的义务或者加重投保人、被保险人责任的条款及排除投保人、被保险人或者受益人依法享有的权利的条款。保险条款的无效自然还包括合同法第52、53条规定的情形。这些均属保险条款不合法。而不合理的保险条款包括限制被保险人的权利、不合理分配合同责任或扩大免责事由、约定不利于被保险人的管辖权或法律适用规则等。正如有学者指出,不合理不是违反法律的
13、无效条款,立法不可能完全禁止,只能进行必要的规制。10此类不合理的条款,按照保险法第5条的规定,应属有悖诚实信用原则。该原则要求人们正当地行为和具有尊重他人权利的意识;不合理的格式条款在意大利民法典第1469条附条第1款中被认为是“权利义务明显不平衡的欺压性条款。”11在考察网上保险格式条款的实体公正时,应注意以下几点:第一,不合理条款虽不等同于不合法条款但可转化为不合法条款。“转化”的条件主要是一个不合理的程度问题,如达到保险法第19条规定的情形。但如何解释该条中的“加重责任”、“排除权利”,该解释虽然应倾向有利于条款相对方,但解释本身的标准又如何把握,均存在不确定性,只能有赖于法官的自由裁
14、量。这种情况在国外的法律中同样存在。如美国统一商法典第2-302条中的“极不合理的合同或合同条款”、上述意大利民法典中的“明显不平衡的欺压性条款”等涉及不合理尺度衡量的模糊规定,在法律中明确列举相对应的情形几乎不可能,必须根据条款的商业背景、目的、作用等具体情况综合判断。例如,一个要求获得被承保的个人数据、电子签名、技术措施密码使用权的保险条款就是难以承受的。目前,我国各地工商行政管理局都设立有合同审查部门,其“审查责令修改听证”的制度在一定程度上保证了格式条款的实体公正,但令人遗憾的是,这些部门大都仅涉及传统纸面格式条款。第二,格式条款是现代社会大量重复生产和交易的产物,可以提高交易效率、确
15、定和预测潜在责任和补充法律规定之不足,也可能被条款提供方利用规定诸多不公正的条款。12目前,国内外还没有网上保险格式条款的司法实践,但从保险业界设置格式条款的意图分析,不外乎两个原因:一是使磋商成本最小化。二是限制与免除责任(如法院选择条款、法律适用条款、免责或赔偿限制条款等),使责任和诉讼成本最小化。由于网上格式条款反映了现代市场经济法制的效益价值取向,而且其效益性尤过于纸面格式条款,因此,实践中,所谓的“不公平”条款虽已屡见不鲜,但却为法院明确认可或被法律所默认。第三,“消费者”的内涵对网上保险条款的有效性具有某种微妙的影响。从各国(如美国统一计算机信息交易法第102(15)条、加拿大电子
16、商务领域消费者保护指南的“定义”、新西兰电子商务领域消费者保护示范法的“定义”、欧盟消费者远程合同指令第2条等)关于消费者的定义看,消费者是购买使用商品或接受服务的非营利自然人。正因为个体在与集体“对抗”中的弱势地位,才得到法律的特别保护,并辅之以消费者组织作为其后盾。而购买电子险产品或接受网上保险服务(传统保险的网络运作除外)的客户往往也是集体,并不具备“个体”和“消费”的表征,消费者权益保护法对此恐怕也随之失去了适用的基础,因为双方处于同等磋商地位(从实质上分析,现代社会的自然人也具有此种同等磋商权,但由于争讼标的较小、诉讼费等因素而往往放弃了索赔),只是由于行业差异而致使条款相对方对免除或者限制责任条款可能处于某种不知情的境地。所以,在网上保险格式条款的效力上,目前的重点是如何确保条款相对方的知情权,以程序
