被黑客攻击，损失 96.6 亿元：判保险公司全赔

新泽西州一家上诉法院近日维持了 2022 年 1 月做出的一项有利于默克的裁决，判令其保险公司赔偿这家制药业巨头在 2017年全球性 NotPetya 网络攻击中遭受的损失，这被视为是保单持有人取得的重大胜利。


新泽西州高等法院上诉庭法官维持了先前针对安达美国保险公司（Ace American Insurance）的判决，裁定保险公司并未证明这起网络攻击是敌对或战争性质的，默克保单的免责条款规定：如果保险公司无法证明这类性质的网络攻击，就要按合同理赔。
据裁决显示：“只有当我们将‘敌对’的含义扩展到极限，试图将其适用于针对一家为众多非战斗客户提供会计软件更新的非战斗公司的网络攻击——这一切都完全超出了任何武装冲突或军事目标的范围，保险责任才能免除。”
“但这种做法将与我们的基本解释原则相冲突，基本解释原则要求法院狭隘地解释保险单免责条款。免责条款中某个单词或短语的具体、明确、清晰、突出的含义及其明确的意思和意图并不等于其最宽泛的解释，而是最狭隘的解释。”
此案源于默克公司在 NotPetya 事件中遭受的影响。诉讼显示，“在最初感染后的 90秒内，默克全球网络中大约有 1 万台机器被感染”，在短短 5 分钟内，大约 2 万台机器被感染。这家制药巨头的网络中总共有 4 万多台机器受到了感染。
由于生产中断、制造中断、**网络公司费用以及更换每个受影响系统的成本，这家公司估计遭受了 14 亿美元（96.6 亿人民币）的损失。
网络攻击发生时，默克已与安达美国保险公司签订了 17.5 亿美元的全风险保单，理赔范围涵盖导致软件数据丢失的事件。
然而，这家保险公司事后拒绝理赔，援引合同中附有“战争行为”的条款，因为 NotPetya 是由俄罗斯政府撑腰的针对乌克兰实体的网络攻击引起的。
这种条款在大多数保险单中都有，但默克辩称，这个免责条款并不适用，因为它所遭受的影响不是由政府撑腰的网络攻击造成的。
默克在 2018 年 8 月提起的最初诉讼特别指出，免责条款仅适用于官方政府攻击，并未提及与网络相关的事件。
2021 年 12 月，新泽西州高等法院“毫不犹豫”地批准了默克要求部分即决审判的提议，确定敌对/战争行为免责条款不适用于针对默克因 NotPetya 造成的损失的赔付，并裁定安达美国保险公司败诉。
这家保险公司随后提出上诉，声称初审法院判决有误。
支持默克的理由认为，如果“接受保险公司对敌对/战争免责条款的解释”，将无异于改变战争免责条款的既定含义，还有可能使地方政府历来依赖的保单解释规则无效，以“确保适当的保险责任范围”。
本周的裁决结束了一场旷日持久的官司，要求安达美国保险公司赔偿默克遭受的损失。
礼德律师事务所（ Reed Smith ）合伙人 David Cummings 是投保人的代理律师，他称：“面对这些常充满不确定性的网络攻击，投保人继续要求有明确的保险责任范围，并为此支付高昂保费；对于这个群体来说，这一裁决是重大的胜利。”
他补充说：“在许多方面，这个裁决归结为法院在深思熟虑后运用了保险法的基本原则：必须针对保险公司狭义地解释免责条款，任何含糊不清的地方必须以有利于被保险人的方式予以解决，并符合被保险人的合理期望。”
Cummings 解释，也就是说，裁决确认，战争或敌对免责条款中使用的简单语言无法“被合理地解释为涵盖针对非军事公司的网络攻击”，也不能适用于为非军事客户提供服务的公司。
简而言之，“仅仅存在敌对或战争性质的行动是不够的。”对于 Cummings 来说，“这一裁决是颇有意义的证实，证明保险法明确的语言和对投保人友好的核心原则最终必须占上风。”