勒索軟件、資料外洩、商業電郵詐騙——香港企業面對的網絡威脅已不再只是大機構的問題。根據香港警方統計，2024年香港關鍵基礎設施中有5%存在系統漏洞，11%被列為關鍵或高風險。 許多中小企業主知道「要買網絡保險」，但當真正遇上網絡事故時，保險公司究竟會做什麼、索償流程如何啟動，卻完全沒有概念。

本文直接拆解香港網絡保險的索償實際流程，以及香港《個人資料（私隱）條例》下企業的法律通報責任。

網絡保險的保障架構：第一方 vs 第三方責任

在了解索償流程前，必須先釐清網絡保單的兩大保障層次：

第一方保障（First Party）——直接保障受保企業自身的損失：

· 緊急應變費用：聘用法證調查專家、法律顧問及公關支援的費用

· 業務中斷損失：網絡事故導致系統停運期間的收入損失及持續經營費用

· 資料及系統復修：恢復受損或被加密數據的工作成本

· 網絡勒索（Cyber Extortion）：勒索軟件的贖金支付及談判費用

第三方責任保障（Third Party）——保障企業因網絡事故被外部追責的賠償：

· 私隱及網絡保安責任：因資料外洩被客戶或監管機構追究的賠償責任

· 監管罰款及處罰：包括支付卡行業（PCI DSS）罰款等符合法律的承保範圍

· 媒體責任：因網上誹謗或侵權行為引致的法律責任

關鍵提示：傳統店舖綜合保險或辦公室綜合保險不涵蓋網絡風險。網絡損失需要專門的網絡保單覆蓋，兩者保障邊界截然不同。

索償流程一：事故發生後的首24小時——緊急應變如何啟動

這是整個索償流程中最關鍵的環節，也是大多數企業最茫然的時刻。市場上主流網絡保單均設有24小時緊急應變熱線，企業一旦發現疑似網絡事故，應立即致電保險公司的專屬應變熱線啟動流程。

標準緊急應變流程分四個階段：

第一階段——事故通報及初步評估（0至1小時）
企業透過保險公司的應變熱線報告事件。應變協調人員會即時評估事件概況，包括：受影響系統範圍、是否有資料外洩跡象、業務中斷程度，以及是否涉及勒索軟件。

第二階段——委任專家小組（1至4小時）
保險公司根據事故性質，即時委任本地專業團隊介入：

· 數字法證（Digital Forensics）調查員：確認入侵途徑、攻擊手法及受影響數據範圍

· 資訊科技安全顧問：協助隔離受感染系統，防止攻擊擴散

· 法律顧問：就企業的通報責任及法律風險提供即時意見

· 公關顧問：如事故影響範圍廣泛，協助處理客戶及媒體溝通

第三階段——系統遏制及復原（4至72小時）
專家小組協助企業隔離受感染部分、評估數據損失規模，並制訂復原方案。此階段的重點是在最短時間內恢復業務運作，同時保留完整的系統紀錄供後續法證調查使用。

第四階段——書面索償及費用申報
緊急應變工作完成後，企業將所有專家費用、復原成本及業務中斷損失整理成書面索償文件，連同事故報告及調查結果提交保險公司審核。

重要操作提示：企業在發現事故後，切忌自行重啟系統或刪除任何文件——法證調查需要保留完整的系統狀態作為證據，否則可能影響索償成立。

索償流程二：勒索軟件攻擊——談判服務如何運作

香港銀行學會曾於2021年遭勒索軟件攻擊，黑客加密其6台伺服器並威脅將資料上載至互聯網。 此類事故在香港各行各業均有發生，絕非大機構專利。

當企業遭勒索軟件攻擊，網絡保險的介入分以下步驟：

確認事故屬受保範圍：法證專家確認事件屬網絡勒索事故，評估黑客的解密能力及贖金要求的真實性，排除虛假勒索的可能性。

啟動談判服務：主流網絡保單提供專業勒索談判服務，由具備談判經驗的專家代表企業與黑客溝通，目標是降低贖金金額或爭取更長的處理時間。談判過程中，企業、保險公司及法律顧問保持緊密溝通。

贖金支付決策：保險公司不會單方面決定是否支付贖金——這是企業、保險公司及法律顧問三方共同討論的決策，需在香港法律框架下評估合規風險後方可執行。

系統復原：贖金問題處理完畢後，保險公司的技術專家協助企業修復系統及復原加密數據，相關費用計入保單的資料及系統復修保障範圍。

索償流程三：資料外洩——香港法律通報責任不可忽視

根據香港法例第486章《個人資料（私隱）條例》，香港目前沒有強制性的資料外洩通報規定，但個人資料私隱專員公署（PCPD）強烈建議企業主動通報，並已就多宗未有妥善處理資料外洩事故的企業作出調查及執法行動。

實際法律後果：若企業在資料外洩後被PCPD裁定違反《私隱條例》保障資料第4(1)原則（即未有採取合理措施保護個人資料），可被發出執行通知要求整改；情況嚴重者最高罰款港幣100萬元及監禁5年（根據《個人資料（私隱）條例》2021年修訂）。

網絡保險在此環節的法律支援覆蓋以下費用：

· 法律顧問費用：就是否需要向PCPD或監管機構通報，提供即時法律意見

· 通報費用：向受影響客戶發出通知的行政及通訊費用

· 信貸監控服務：為受影響客戶提供信貸監控，防止其個人資料被盜用

· 監管機構調查配合費用：協助企業應對PCPD或其他監管機構調查的費用

中小企業：網絡風險更不容忽視

許多香港中小企業主認為「規模小，黑客不會找上我」——但網絡攻擊的邏輯恰恰相反：中小企業的資安防護往往較薄弱，是勒索軟件及釣魚攻擊的高價值目標。香港保險業監管局的網絡安全指引明確建議業界定期檢討網絡風險應對程序及保障安排。

市場上針對香港中小企業的網絡保單，通常涵蓋以下核心保障：

投保前的核查要點

保險公司在核保網絡保單時，通常會評估以下項目，直接影響核保結果及保費水平：

· 企業是否定期進行系統備份，並將備份存放於獨立離線位置

· 是否已部署多重身份驗證（MFA）保護關鍵系統及電郵帳戶

· 員工是否定期接受網絡安全意識培訓

· 過去三年內是否曾發生網絡安全事故或索償記錄

· 是否已安裝端點偵測及回應（EDR）等防護工具

準備充分、能提供上述資料的企業，通常可獲得更佳的核保條件及保費安排。

本文章內容由 HK Business Insurance 團隊 提供並只供參考，不代表 HK Business Insurance 立場，HK Business Insurance 對任何人因使用或誤用任何信息或內容，或對其依賴而造成的任何損失或損害，不承擔任何責任。此文章內任何與 HK Business Insurance 產品相關的內容僅供參考及作教育用途，客戶應參閱相關產品網頁內詳細之條款及細則。