网络保险公司Coalition宣布新保险政策,专为欧盟GDPR所设,支持赔付因GDPR违规而产生的罚款和其他损失。
新政策主要针对向欧盟居民提供商品或服务的中小企业。赔付金额从2.5万美元到1,000万美元不等,涵盖防御开支和GDPR违规产生的罚款和处罚。
Coalition的新保险政策所需保费最低50美元/年,如果想要获得最高1,000万美元的赔付,每年需支付10万美元保费。赔付金额在100万美元到200万美元之间的普通保单每年保费在4,000美元左右。
Coalition创始人兼首席执行官 Joshua Motta 表示:
保单不仅包括网络保险市场普遍涵盖的数据和隐私泄露所致罚款与处罚,更重要的是为公司未能遵从隐私策略而引发的处罚兜了底。
与其他数据隐私法律不同,即便没有造成切实的数据泄露,只要公司未能合规,GDPR就会加以处罚。事实上,自去年5月GDPR生效以来,欧盟监管机构已经对多家公司企业采取了行动,无论是未能遵从公司自身的策略,还是没有完全符合GDPR对隐私披露、数据收集、处理及使用的规定,都会收到欧盟监管机构的罚单。案例之一就是今年1月法国数据保护机构CNIL对谷歌开出的5,000万欧元罚单——原因是该公司出于定向广告目的收集数据时缺乏透明性,没有提供足够的提示信息,未征得用户的有效同意。
以前,只要有数据泄露保险政策便已足够,因为现有隐私法律下的罚款和处罚仅在发生数据泄露的情况下才会被触发。但GDPR一生效,即便没有泄露一个比特的客户数据,公司企业也有可能遭到处罚。这就导致大多数网络保险政策当中出现了一个巨大的空白。Coalition的新保险政策正是为了解决这一问题。
令人头晕的不确定性
GDPR违规保险的可用性和该法治下罚款及处罚的可保性,直到这项法律生效后的第9个月仍处在谁都说不清的状态。
去年11月的一份报告中,《国家法律评论》就GDPR违规相关罚款和处罚是否在现有网络保险政策覆盖范围之中提出了疑问。该文章援引多项研究,怀疑GDPR所致巨额罚款是否有哪家公司能够承保。毕竟,GDPR治下,罚款最高可达公司全球年营业额的4%和2,000万欧元中的数额较高者。
援引的文章中有一篇出自保险业巨头怡安集团(Aon)和英国欧华律师事务所( DLA Piper ),就在GDPR生效前几天发布的。文章称,除了挪威和芬兰,GDPR罚款在绝大多数其他欧盟国家都是不可保的。即便如此,保险也应成为公司企业GDPR风险管理策略当中的一个部分。
Freeborn & Peters 律师事务所合伙人 Robert Stines 称,网络保险作为GDPR风险转移方法的有效性尚待验证,且将取决于保险政策用语。如果用语宽泛,能够涵盖所有行政罚款和GDPR的所有处罚,那么网络保险就是有效的风险转移方法。
但保险政策往往有免责条款,且会使用留有较大解释空间的用语。考虑入保时,公司企业需注意次高限额、免责条款和“索赔”、“损失”、“罚款”等特定术语是如何定义的。
很多美国公司并不具备解决GDPR要求的责任性风险的技术能力,比如数据伪匿名或匿名化、向用户提供其数据的可移植副本、按用户要求删除数据等。但GDPR实在是太新了,到底该如何实施谁也没个准数,尤其是对没在欧盟运营但处理欧盟居民数据的公司企业而言。
对GDPR将给公司企业带来新风险的预期,推动了对GDPR相关保险的需求。保险公司正试图提供顺应该需求的产品。保险公司面临的难点就是核保该风险——因为GDPR真的太新了。
在签下保险合同之前,公司企业需弄清自己收集、存储、使用和销毁欧盟公民相关数据的情况。如果适用GDPR,保险就是增强网络弹性的极佳办法,但不能作为主要来源使用。
Coalition的新策略:
https://www.businesswire.com/news/home/20190220005231/en/Cyber-Insurer-Coalition-Offer-Full-Spectrum-General
《国家法律评论》文章:
https://www.natlawreview.com/article/your-cyber-insurance-policy-may-not-cover-gdpr-fines-and-liabilities
怡安集团和欧华律所的研究:
https://www.aon.com/risk-services/gdpr-fines-guide.jsp
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。