最高賠付1000萬美元 Coalition為中小企業提供GDPR保險
網路保險公司Coalition宣佈新保險政策,專為歐盟GDPR所設,支援賠付因GDPR違規而產生的罰款和其他損失。
新政策主要針對向歐盟居民提供商品或服務的中小企業。賠付金額從 2.5萬美元 到 1,000萬美元 不等,涵蓋防禦開支和GDPR違規產生的罰款和處罰。
Coalition的新保險政策所需保費最低50美元/年,如果想要獲得最高1,000萬美元的賠付,每年需支付10萬美元保費。賠付金額在100萬美元到200萬美元之間的普通保單每年保費在4,000美元左右。
Coalition創始人兼執行長 Joshua Motta 表示:
保單不僅包括網路保險市場普遍涵蓋的資料和隱私洩露所致罰款與處罰,更重要的是為公司未能遵從隱私策略而引發的處罰兜了底。
與其他資料隱私法律不同,即便沒有造成切實的資料洩露,只要公司未能合規,GDPR就會加以處罰。事實上,自去年5月GDPR生效以來,歐盟監管機構已經對多家公司企業採取了行動,無論是未能遵從公司自身的策略,還是沒有完全符合GDPR對隱私披露、資料收集、處理及使用的規定,都會收到歐盟監管機構的罰單。案例之一就是今年1月法國資料保護機構CNIL對谷歌開出的5,000萬歐元罰單——原因是該公司出於定向廣告目的收集資料時缺乏透明性,沒有提供足夠的提示資訊,未徵得使用者的有效同意。
以前,只要有資料洩露保險政策便已足夠,因為現有隱私法律下的罰款和處罰僅在發生資料洩露的情況下才會被觸發。但GDPR一生效,即便沒有洩露一個位元的客戶資料,公司企業也有可能遭到處罰。這就導致大多數網路保險政策當中出現了一個巨大的空白。Coalition的新保險政策正是為了解決這一問題。
令人頭暈的不確定性
GDPR違規保險的可用性和該法治下罰款及處罰的可保性,直到這項法律生效後的第9個月仍處在誰都說不清的狀態。
去年11月的一份報告中,《國家法律評論》就GDPR違規相關罰款和處罰是否在現有網路保險政策覆蓋範圍之中提出了疑問。該文章援引多項研究,懷疑GDPR所致鉅額罰款是否有哪家公司能夠承保。畢竟,GDPR治下,罰款最高可達公司全球年營業額的4%和2,000萬歐元中的數額較高者。
援引的文章中有一篇出自保險業巨頭怡安集團(Aon)和英國歐華律師事務所( DLA Piper ),就在GDPR生效前幾天釋出的。文章稱,除了挪威和芬蘭,GDPR罰款在絕大多數其他歐盟國家都是不可保的。即便如此,保險也應成為公司企業GDPR風險管理策略當中的一個部分。
Freeborn & Peters 律師事務所合夥人 Robert Stines 稱, 網路保險作為GDPR風險轉移方法的有效性尚待驗證,且將取決於保險政策用語 。如果用語寬泛,能夠涵蓋所有行政罰款和GDPR的所有處罰,那麼網路保險就是有效的風險轉移方法。
但保險政策往往有免責條款,且會使用留有較大解釋空間的用語。考慮入保時,公司企業需注意次高限額、免責條款和“索賠”、“損失”、“罰款”等特定術語是如何定義的。
很多美國公司並不具備解決GDPR要求的責任性風險的技術能力,比如資料偽匿名或匿名化、向用戶提供其資料的可移植副本、按使用者要求刪除資料等。但GDPR實在是太新了,到底該如何實施誰也沒個準數,尤其是對沒在歐盟運營但處理歐盟居民資料的公司企業而言。
對GDPR將給公司企業帶來新風險的預期,推動了對GDPR相關保險的需求。保險公司正試圖提供順應該需求的產品。保險公司面臨的難點就是核保該風險——因為GDPR真的太新了。
在簽下保險合同之前,公司企業需弄清自己收集、儲存、使用和銷燬歐盟公民相關資料的情況。如果適用GDPR,保險就是增強網路彈性的極佳辦法,但不能作為主要來源使用。