數(shù)據(jù)安全、組織邊界與自主創(chuàng)新戰(zhàn)略
時間:2023-01-30 21:37�,來源:白鯊在線
作者:聶輝華 王一兆 李靖
摘要:本文第一次從契約理論的角度研究了企業(yè)的數(shù)據(jù)安全策略及其對企業(yè)邊界的影響,并首次提出“數(shù)據(jù)敲竹杠”的概念�����。在本文構(gòu)建的數(shù)據(jù)敲竹杠模型中,企業(yè)必須在內(nèi)部安全和外部安全之間權(quán)衡取舍�,這決定了企業(yè)的最優(yōu)邊界。企業(yè)可以將數(shù)據(jù)加工業(yè)務(wù)外包給合作伙伴�,這種市場契約有利于提高外部安全(客戶安全),但是企業(yè)可能遭遇合作伙伴的數(shù)據(jù)敲竹杠��。模型的主要結(jié)論是:(1)當數(shù)據(jù)對最終產(chǎn)品很重要時�����,企業(yè)選擇自行加工數(shù)據(jù)(確保內(nèi)部安全)�����,此時一體化是最優(yōu)的���;(2)市場競爭和市場不確定性對企業(yè)數(shù)據(jù)決策的影響����,依賴于數(shù)據(jù)在生產(chǎn)中的重要程度����;(3)當企業(yè)對外銷售的比例較高時,企業(yè)會選擇外包數(shù)據(jù)加工��,此時市場契約是最優(yōu)的。然后����,本文分別從數(shù)字企業(yè)和國家的層面討論了烏卡時代的數(shù)據(jù)安全和自主創(chuàng)新戰(zhàn)略。本文認為�����,應(yīng)該鼓勵大型企業(yè)進行數(shù)字技術(shù)創(chuàng)新����,并且要動態(tài)�����、辯證地看待產(chǎn)業(yè)安全�。本文的研究對于企業(yè)的數(shù)據(jù)安全和國家自主創(chuàng)新戰(zhàn)略具有重要的啟迪。
關(guān)鍵詞:數(shù)據(jù)安全���;敲竹杠�;企業(yè)���;自主創(chuàng)新
作者簡介:聶輝華��,中國人民大學(xué)經(jīng)濟學(xué)院教授�����;王一兆�,中國人民大學(xué)經(jīng)濟學(xué)院博士生;李靖����,北京工商大學(xué)國際經(jīng)管學(xué)院師資博士后
導(dǎo)論
當今世界處于一個烏卡(VUCA)時代。 它頻繁體現(xiàn)了高度易變的(volatile)�����、不確定的(uncertain)�、復(fù)雜的(complex)和模糊的(ambiguous)四個特征。在烏卡時代�,經(jīng)濟效率依然重要,但是安全問題被提升到了和效率幾乎同樣的重要程度��。2022年4月����,美國財政部長耶倫(Janet Yellen)在大西洋理事會發(fā)表公開演講。耶倫提出��,“我們的目標應(yīng)該是實現(xiàn)自由但安全的貿(mào)易……將經(jīng)濟問題與包括國家安全在內(nèi)的更廣泛的國家利益考慮分開,將越來越困難����。” 耶倫的講話表明,全球化和自由貿(mào)易的時代已經(jīng)告一段落����,地緣政治和意識形態(tài)迫使安全問題被納入國際貿(mào)易和國家交往的政治經(jīng)濟學(xué)。
當今世界也處于一個數(shù)字經(jīng)濟時代�����。所謂數(shù)字經(jīng)濟���,是以人工智能、區(qū)塊鏈��、云計算��、大數(shù)據(jù)為代表的信息和通信技術(shù)(ICT)催生的新經(jīng)濟形態(tài)����。 2020年全球47個國家的數(shù)字經(jīng)濟增加值達到了32.6萬億美元,占GDP的比重高達43.7%�����。其中,美國的數(shù)字經(jīng)濟規(guī)模最大����,中國次之,兩者占本國GDP的比重分別為65%和38.6%���。 中國在“十四五”規(guī)劃中明確提出了“數(shù)字中國”的目標�����,這說明中國已經(jīng)將發(fā)展數(shù)字經(jīng)濟上升為國家戰(zhàn)略����。
在數(shù)字經(jīng)濟時代�����,數(shù)據(jù)安全至關(guān)重要�。從全球范圍來看,每年因為數(shù)據(jù)泄露而導(dǎo)致的損失非常巨大�。根據(jù)國際商用機器公司安全部門(IBM Security)發(fā)布的《數(shù)據(jù)泄露成本報告》(Cost of A Data Breach Report),自2015年以來數(shù)據(jù)泄露給相關(guān)組織造成的平均總成本呈現(xiàn)明顯的上升趨勢�����,尤其是最近三年(圖1)。2022年的數(shù)據(jù)泄露成本達到歷史新高�,平均每個組織損失435萬美元。其中���,19%的數(shù)據(jù)泄露是因為商業(yè)伙伴的妥協(xié)�����,45%的數(shù)據(jù)泄露與云計算有關(guān)�����。在企業(yè)層面�����,數(shù)據(jù)泄露造成嚴重損失的案例比比皆是。例如�,2021年5月,印度航空公司450萬客戶數(shù)據(jù)遭黑客竊��������;2018年�����,英國航空公司遭黑客攻擊�����,40萬名客戶數(shù)據(jù)泄露��,為此英國航空公司被監(jiān)管部門罰款2800萬美元�。正是因為頻繁爆發(fā)的數(shù)據(jù)泄露給企業(yè)、相關(guān)產(chǎn)業(yè)以及政府造成了巨大的損失���,中國先后制定了《網(wǎng)絡(luò)安全法》���、《數(shù)據(jù)安全法》和《個人信息保護法》。西方國家同樣制定了各種數(shù)據(jù)安全法律��。例如��,2018年,美國總統(tǒng)特朗普簽署了《澄清域外合法使用數(shù)據(jù)法》���,同年歐盟發(fā)布了《通用數(shù)據(jù)保護條例》��。
圖1 全球數(shù)據(jù)泄露的平均成本(略)
盡管數(shù)據(jù)安全對企業(yè)和國家來說都非常重要��,但是這方面的經(jīng)濟學(xué)文獻極為罕見���。本文聚焦于企業(yè)數(shù)據(jù)安全,重點分析企業(yè)如何選擇數(shù)據(jù)安全策略����,以及數(shù)據(jù)安全策略如何影響了企業(yè)的最優(yōu)邊界。為了分析企業(yè)邊界��,本文參考主流經(jīng)濟學(xué)的思路���,選擇不完全契約理論作為分析框架���,并構(gòu)建了一個數(shù)據(jù)敲竹杠模型。在交易費用經(jīng)濟學(xué)中��,敲竹杠(holdup)是一方當事人利用契約的漏洞���,以不明顯違反法律的方式攫取對方的經(jīng)濟租金的行為 ���。在此基礎(chǔ)上,本文首次提出“數(shù)據(jù)敲竹杠”(data holdup)概念��,即一方當事人利用掌握對方數(shù)據(jù)的機會���,攫取對方的經(jīng)濟租金的行為���。具體來說,數(shù)據(jù)敲竹杠包括三種形式����。第一種形式是商業(yè)合作伙伴可能將數(shù)據(jù)泄密,并且這種泄密行為是難以證實的���,這會給企業(yè)帶來嚴重損失����。例如�,閃存廠商Lexar Media曾經(jīng)和日本東芝公司合作。然而�����,東芝公司在獲取對方的商業(yè)機密后,與對方的競爭對手合作開發(fā)同類產(chǎn)品��。最終���,法院判定東芝偷竊了合作伙伴的數(shù)據(jù)����,并且必須為此支付賠償金3.8億美元�。 但是,這種數(shù)據(jù)泄密行為有時是難以證實的�����,至少損失的金額往往存在巨大爭議����。在另一個案例中,通用汽車的代理制造商與奇瑞汽車公司合作���,開發(fā)了一款迷你汽車QQ����。然而,通用汽車認為���,該產(chǎn)品在車身結(jié)構(gòu)、外觀設(shè)計���、內(nèi)部設(shè)計和關(guān)鍵部件方面與自己的新產(chǎn)品Spark幾乎完全相同�����。于是���,通用汽車以不正當競爭罪起訴奇瑞,但此案最后以私了結(jié)束��。 第二種形式是數(shù)據(jù)處理平臺利用鎖定效應(yīng)�,向平臺上的商家索取更高的服務(wù)費用。常見的模式是�,一開始平臺免費或者低價為入駐企業(yè)提供服務(wù),等用戶規(guī)模擴大并占據(jù)市場主導(dǎo)地位后�����,提高收費標準����。如果入駐企業(yè)拒絕繳費�����,那么就會失去平臺提供的價值����。例如���,2016年阿里健康搭建的第三方藥品追溯平臺曾欲大幅提高收費標準����,從而引發(fā)爭議�����。第三種形式是��,數(shù)據(jù)處理平臺利用自己掌握的數(shù)據(jù)優(yōu)勢���,提供入駐商家的競品�。這方面?zhèn)涫荜P(guān)注的案例是����,美國亞馬遜公司作為全球最大的電商平臺之一�����,利用自己掌握的入駐商家的銷售數(shù)據(jù)推銷自己的品牌��,從而威脅到入駐商家的利益。然而����,這種行為同樣是難以證實的。 傳統(tǒng)的敲竹杠行為都是源于某種形式的資產(chǎn)專用性��, 但是數(shù)據(jù)敲竹杠并不一定與資產(chǎn)專用性有關(guān)��,而主要是因為一方掌握了另一方的數(shù)據(jù)�,例如前面列舉的第一種和第三種形式。如果沒有資產(chǎn)專用性����,那么博弈結(jié)構(gòu)和企業(yè)行為都會有較大變化。 因此���,數(shù)據(jù)敲竹杠概念的提出并非是經(jīng)典敲竹杠概念的翻版�����。
正式地�����,本文構(gòu)建了一個數(shù)據(jù)敲竹杠模型��。在模型中����,企業(yè)必須在內(nèi)部安全和外部安全之間權(quán)衡取舍,這決定了企業(yè)的最優(yōu)邊界��。企業(yè)可以將數(shù)據(jù)加工業(yè)務(wù)外包給合作伙伴�,此時企業(yè)與合作伙伴之間屬于市場契約關(guān)系。這種市場契約有利于提高外部安全(客戶安全)����,但是企業(yè)可能遭遇合作伙伴的數(shù)據(jù)敲竹杠風(fēng)險。相反���,企業(yè)也可以自行加工數(shù)據(jù)��,這可以實現(xiàn)內(nèi)部安全��,此時企業(yè)將數(shù)據(jù)的收集和加工實現(xiàn)了一體化�����。但是���,一體化可能導(dǎo)致企業(yè)的產(chǎn)品質(zhì)量不穩(wěn)定����,從而影響客戶的價值����,這會損失外部安全����。我們證明了四個命題。命題1表明�,當數(shù)據(jù)對最終產(chǎn)品很重要時,企業(yè)選擇自行加工數(shù)據(jù)�,此時一體化是最優(yōu)的。命題2表明�����,市場競爭對企業(yè)數(shù)據(jù)決策的影響,依賴于數(shù)據(jù)在生產(chǎn)中的重要程度��。當數(shù)據(jù)足夠重要時��,隨著市場競爭程度的加劇�,企業(yè)選擇自行加工數(shù)據(jù)(一體化);反之��,當數(shù)據(jù)的作用較小時�����,隨著市場競爭程度的加劇����,企業(yè)選擇外包數(shù)據(jù)加工(市場契約)。命題3表明�,市場不確定性對企業(yè)的數(shù)據(jù)決策也依賴于數(shù)據(jù)在生產(chǎn)中的重要程度。具體來說����,當數(shù)據(jù)足夠重要時,市場不確定性越強��,企業(yè)越是選擇自行加工數(shù)據(jù);反之���,當數(shù)據(jù)的作用較小時�����,市場不確定性越強��,企業(yè)越是選擇外包數(shù)據(jù)加工�����。命題4表明��,當企業(yè)對外銷售的比例較高時����,企業(yè)選擇外包數(shù)據(jù)加工�;當企業(yè)對內(nèi)銷售比例較高時�����,企業(yè)選擇自行加工數(shù)據(jù)�����。
然后,本文將分析對象拓展至更廣泛的數(shù)據(jù)安全和產(chǎn)業(yè)安全�,分析國內(nèi)外復(fù)雜的政治經(jīng)濟形勢如何影響了企業(yè)的自主創(chuàng)新戰(zhàn)略和國際貿(mào)易。我們得到了一些啟發(fā)����。一方面,應(yīng)該鼓勵大型數(shù)字企業(yè)進行數(shù)字技術(shù)創(chuàng)新���,同時為廣大中小企業(yè)的數(shù)字化轉(zhuǎn)型提供技術(shù)支持��。另一方面���,要動態(tài)、辯證地看待產(chǎn)業(yè)安全�,任何國家都必須在比較優(yōu)勢和國家安全之間權(quán)衡取舍。對外開放和產(chǎn)業(yè)安全不是絕對沖突的����,并且在某種程度上可以相互促進。
與已有文獻相比��,本文的貢獻主要體現(xiàn)為以下三個方面��。首先,本文第一次從契約理論的角度研究了數(shù)據(jù)安全���,從而為數(shù)據(jù)安全文獻提供了一個新的視角����。主流經(jīng)濟學(xué)幾乎沒有正式地分析過企業(yè)的數(shù)據(jù)安全問題����。目前關(guān)于數(shù)據(jù)安全的文獻多數(shù)屬于信息管理領(lǐng)域。它們大致可以分成兩類�,其中一類是針對企業(yè)內(nèi)部信息安全研究,另一類是基于云服務(wù)的數(shù)據(jù)安全研究��。在企業(yè)內(nèi)部信息安全研究方面��,企業(yè)可以自主防御���,也可以將信息安全外包����。例如����,Qian et al.(2017)討論了企業(yè)之間信息共享對于其信息安全策略的影響, Wu et al.(2017)比較了競爭或合作兩種不同的企業(yè)關(guān)系下��,企業(yè)信息安全投資的變化�。 Gupta和Zhdanov(2012)討論了企業(yè)外包信息安全的風(fēng)險與成本。 方玲等(2019)則基于企業(yè)��、黑客和外包的多方博弈格局��,比較了企業(yè)自主防御和外包信息安全這兩種決策���,發(fā)現(xiàn)外包信息安全的成本總是更高���。 另一方面,與需要持續(xù)投資的內(nèi)部信息系統(tǒng)相比�,基于云計算的按需提供服務(wù)的需求持續(xù)增加。 數(shù)據(jù)安全對于云服務(wù)提供商及其用戶是至關(guān)重要的話題��, 然而現(xiàn)有的研究主要是基于云服務(wù)提供方的角度進行�。 例如,Ali et al.(2015)認為��,云服務(wù)意味著企業(yè)需要將數(shù)據(jù)遷移至云端�����,喪失了企業(yè)的控制權(quán)。 與內(nèi)部數(shù)據(jù)安全相比�����,云服務(wù)條件下企業(yè)數(shù)據(jù)控制權(quán)的喪失會導(dǎo)致更嚴重的數(shù)據(jù)安全風(fēng)險���。與上述文獻不同�����,本文將數(shù)據(jù)安全策略內(nèi)生為敲竹杠成本和內(nèi)部協(xié)調(diào)成本這兩種交易費用之間的權(quán)衡取舍�����,是一個純粹的經(jīng)濟學(xué)視角��。
其次�����,本文提出了數(shù)據(jù)敲竹杠的概念����,從而為企業(yè)理論注入了數(shù)字經(jīng)濟的時代特色�。不管是交易費用經(jīng)濟學(xué) 還是不完全契約理論, 它們分析企業(yè)邊界的起點都是敲竹杠問題��。 在傳統(tǒng)的工業(yè)經(jīng)濟時代����,物質(zhì)資產(chǎn)的投資比較容易產(chǎn)生資產(chǎn)專用性和鎖定效應(yīng),因此容易出現(xiàn)敲竹杠問題���。然而���,在數(shù)字經(jīng)濟時代,數(shù)據(jù)成為最重要的生產(chǎn)要素之一�。 數(shù)據(jù)不同于一般的物質(zhì)資產(chǎn),它可以低成本復(fù)制���,因而通常不具備資產(chǎn)專用性特征�。 本文提出的數(shù)據(jù)敲竹杠�,并不依賴資產(chǎn)專用性,而是依賴數(shù)據(jù)泄露這個關(guān)鍵假設(shè)��, 從而把數(shù)據(jù)安全納入了企業(yè)邊界的分析范圍���。
再次���,本文在模型應(yīng)用部分從數(shù)據(jù)安全的角度討論了國際貿(mào)易中的外包行為����,從而豐富了國際貿(mào)易理論��。早期的企業(yè)理論認為��,企業(yè)不管是自制還是購買一種產(chǎn)品��,都存在交易費用 ����。后來,學(xué)者們將企業(yè)理論與國際貿(mào)易結(jié)合�,在新-新國際貿(mào)易理論框架下討論了離岸外包與FDI(外國直接投資)的決策問題。 McLaren(2000)和Grossman和Helpman(2002)基于不完全契約視角討論在行業(yè)均衡的條件下��,最終產(chǎn)品制造商的“自制或購買”問題���,他們強調(diào)制造專業(yè)化不足導(dǎo)致的高成本和購買敲竹杠問題之間的權(quán)衡���。 Antras和Helpman(2004)在此基礎(chǔ)上提出了一個聯(lián)合理論框架,同時分析自制或購買決策以及企業(yè)的生產(chǎn)選址,前者仍取決于自制的高成本與購買的敲竹杠成本的權(quán)衡�����,而后者取決于企業(yè)的生產(chǎn)率 ��。這一分析框架獲得了大量的經(jīng)驗研究的支持��。 與上述文獻不同����,本文把數(shù)據(jù)安全納入了“自制還是購買”的決策范圍�,從而為分析跨國公司的外包行為提供了另一種可能的微觀基礎(chǔ)���。
接下來�����,本文第二節(jié)提供一個數(shù)據(jù)敲竹杠模型,并推導(dǎo)出本文的主要結(jié)論����;第三節(jié)將模型的結(jié)論進一步應(yīng)用到企業(yè)和國家的自主創(chuàng)新戰(zhàn)略分析之中;最后是結(jié)論和政策含義����。
以下內(nèi)容節(jié)略�����。
本文發(fā)表于《社會科學(xué)》�����,2022年第12期���,引用請注明。
原文下載:
白鯊在線 @保留所有權(quán)利 2000-2021 by Niehuihua.com