谁将为网络攻击付出代价？——《华尔街日报》

Josephine Wolff

2022-09-08

1941年12月7日清晨，当日本海军轰炸珍珠港造成2403人丧生时，美国尚未正式对日宣战。国会直到次日（12月8日）才宣布参战。因此当亚瑟和弗雷达·罗森瑙为儿子霍华德申请1000美元人寿保险理赔时，他们惊讶地收到爱达荷互助保险公司的拒赔通知，理由是作为在珍珠港遇难的海军水兵，霍华德属于战亡。

许多保险条款（不仅限于人寿保险）都将战争行为列为除外责任，理由是战争具有不可预测性和潜在灾难性，保险公司既无法建模也无法承担相应损失。投保人通常不太在意这些免责条款，因为他们认为战争不太可能影响自己。

但如何界定战争行为始终存在模糊地带。自珍珠港事件后的数十年来，随着保险公司不断扩大免责条款的表述范围，投保人已多次因恐怖袭击和国内骚乱相关事件遭到拒赔。最近，保险公司开始将战争免责条款适用于国家支持的网络攻击，这可能导致最初针对偶发、不可预测危机制定的标准免责条款，如今将日益频繁且影响深远的破坏行为也排除在承保范围之外。

其中涉及的财务风险相当可观。目前法院正在审理保险公司与私营企业之间关于2017年俄罗斯"NotPetya"网络攻击损害赔偿的法律纠纷。NotPetya系列案件的判决将界定由谁为下一代国家支持的网络攻击买单——无论这些攻击来自俄罗斯、中国、朝鲜还是伊朗。争议的核心在于保险合同中排除战争行为的标准条款，这些经过一个世纪演变的条款正反映出对战争日益宽泛的定义。

例如，在20世纪40年代，霍华德·罗森瑙的人寿保险单明确声明不承保"在任何参战国陆海空服役期间发生的死亡、伤残或其他损失"。罗森瑙家族是珍珠港事件后因这类免责条款将保险公司告上法庭的多个家庭之一。他们最终胜诉，因为爱达荷州最高法院于1944年裁定，由于美国在法律上直到12月8日才正式对日宣战，罗森瑙在前一天（即珍珠港事件当日）的死亡不属于"参战国服役期间"。

在珍珠港相关诉讼后，许多保险公司修改了保单条款，将所谓"战争免责"的适用范围扩大至"无论和平或战争时期"发生的事件。后续诉讼促使这些免责条款被进一步拓宽。

1970年9月6日，解放巴勒斯坦人民阵线成员劫持了泛美航空093号航班，迫降开罗后疏散乘客并炸毁飞机。泛美航空向承保商安泰保险索赔24,288,759美元飞机损失，但遭拒赔，因其保单条款免除"无论是否宣战的战争、入侵、内战、革命、叛乱或军事行动"的赔偿责任。泛美最终胜诉，部分原因是法院认定人阵并非主权政府代表。

1970年9月6日，泛美航空被劫持的飞机停在埃及开罗照片：Gamma-Keystone/Getty Images1975年12月6日，当贝鲁特一家假日酒店在黎巴嫩内战中毁于战火时，安泰保险也是连锁酒店假日酒店的承保方。安泰援引战争除外条款，拒绝了该连锁酒店1100万美元的赔偿要求——保险公司再次在法庭上败诉，1983年法官裁定贝鲁特的冲突实际上是"一系列愈演愈烈的派系’内乱’"，而非战争，因为相关各方并非"主权或半主权国家"。

到2017年夏天俄罗斯发动NotPetya网络攻击时（该攻击导致全球多家公司计算机瘫痪和运营中断，损失超过100亿美元），保险公司已从泛美航空和假日酒店等案例的败诉中吸取教训，进一步扩大了战争除外条款的范围。部分NotPetya事件受害企业持有的财产和意外伤害保单中，将"和平或战争时期由任何政府或主权力量实施的敌对或战争行为"排除在承保范围外，同时还将任何"陆海空三军"或政府及军队的"权力代理人"行为也纳入除外条款。

与泛美航空或假日酒店案例不同的是，这次显然有政府作为攻击幕后黑手，且直接针对私营企业。NotPetya事件发生后不到一年，截至2018年2月，国际社会已普遍认定俄罗斯军方应对该恶意软件负责——多国政府甚至就此发布了协调一致的正版溯源声明。

或许受到这一明确归因的鼓舞，几家保险公司拒绝了至少两家在NotPetya事件中遭受重大损失的公司的索赔：跨国食品公司亿滋（Mondelez）向其保险公司苏黎世提交了超过1亿美元损失的索赔，以及制药公司默克（Merck）向其20多家保险公司提交了14亿美元的索赔。

两家公司均起诉了各自的保险公司。亿滋的案件尚未裁决，但默克在12月取得了一场重大胜利，当时新泽西州一家法院裁定，该公司保单中的战争除外条款不适用于NotPetya，因为这次网络攻击并未涉及暴力、武装部队的使用或任何“传统形式的战争”。

默克的裁决只是众多将决定保险是否涵盖国家支持的网络攻击影响的裁决之一。保险公司已经在采取行动扩大其战争除外条款的语言，以涵盖这些事件。8月，劳合社发布了一份关于国家支持网络攻击除外条款的市场公告，敦促承保人考虑排除对某些“发生在涉及物理力量的战争之外”的国家支持网络攻击的承保。

自珍珠港事件以来，保险公司一直在扩大和修改战争除外条款。但网络攻击的演变速度超过了这些努力。过去几年中，高调的国家支持的对私营公司的攻击包括俄罗斯2020年的SolarWinds黑客攻击、中国2021年的微软Exchange服务器入侵、伊朗2021年对波士顿儿童医院的攻击以及朝鲜2022年窃取6.2亿美元加密货币的行为。

这类由国家支持的网络攻击正变得日益猖獗且常态化，其发生频率远超战争、恐怖袭击或革命。因此，保险公司试图将网络攻击排除在承保范围外的举措，可能比以往任何扩大"战争"定义的行为都对企业造成更深远——且代价更高昂——的影响。

沃尔夫女士是塔夫茨大学弗莱彻学院副教授，著有《网络安全保险政策：在勒索软件、计算机欺诈、数据泄露和网络攻击时代重新思考风险》一书。

本文发表于2022年9月10日印刷版，原标题为《谁将为网络攻击买单？》。