作者：聂辉华 王一兆 李靖

 

摘要：本文第一次从契约理论的角度研究了企业的数据安全策略及其对企业边界的影响，并首次提出“数据敲竹杠”的概念。在本文构建的数据敲竹杠模型中，企业必须在内部安全和外部安全之间权衡取舍，这决定了企业的最优边界。企业可以将数据加工业务外包给合作伙伴，这种市场契约有利于提高外部安全（客户安全），但是企业可能遭遇合作伙伴的数据敲竹杠。模型的主要结论是：（1）当数据对最终产品很重要时，企业选择自行加工数据（确保内部安全），此时一体化是最优的；（2）市场竞争和市场不确定性对企业数据决策的影响，依赖于数据在生产中的重要程度；（3）当企业对外销售的比例较高时，企业会选择外包数据加工，此时市场契约是最优的。然后，本文分别从数字企业和国家的层面讨论了乌卡时代的数据安全和自主创新战略。本文认为，应该鼓励大型企业进行数字技术创新，并且要动态、辩证地看待产业安全。本文的研究对于企业的数据安全和国家自主创新战略具有重要的启迪。

 

关键词：数据安全；敲竹杠；企业；自主创新

 

作者简介：聂辉华，中国人民大学经济学院教授；王一兆，中国人民大学经济学院博士生；李靖，北京工商大学国际经管学院师资博士后

 

导论

 

当今世界处于一个乌卡（VUCA）时代。 它频繁体现了高度易变的（volatile）、不确定的（uncertain）、复杂的（complex）和模糊的（ambiguous）四个特征。在乌卡时代，经济效率依然重要，但是安全问题被提升到了和效率几乎同样的重要程度。2022年4月，美国财政部长耶伦（Janet Yellen）在大西洋理事会发表公开演讲。耶伦提出，“我们的目标应该是实现自由但安全的贸易……将经济问题与包括国家安全在内的更广泛的国家利益考虑分开，将越来越困难。”  耶伦的讲话表明，全球化和自由贸易的时代已经告一段落，地缘政治和意识形态迫使安全问题被纳入国际贸易和国家交往的政治经济学。

 

当今世界也处于一个数字经济时代。所谓数字经济，是以人工智能、区块链、云计算、大数据为代表的信息和通信技术（ICT）催生的新经济形态。 2020年全球47个国家的数字经济增加值达到了32.6万亿美元，占GDP的比重高达43.7%。其中，美国的数字经济规模最大，中国次之，两者占本国GDP的比重分别为65%和38.6%。 中国在“十四五”规划中明确提出了“数字中国”的目标，这说明中国已经将发展数字经济上升为国家战略。

 

在数字经济时代，数据安全至关重要。从全球范围来看，每年因为数据泄露而导致的损失非常巨大。根据国际商用机器公司安全部门（IBM Security）发布的《数据泄露成本报告》（Cost of A Data Breach Report），自2015年以来数据泄露给相关组织造成的平均总成本呈现明显的上升趋势，尤其是最近三年（图1）。2022年的数据泄露成本达到历史新高，平均每个组织损失435万美元。其中，19%的数据泄露是因为商业伙伴的妥协，45%的数据泄露与云计算有关。在企业层面，数据泄露造成严重损失的案例比比皆是。例如，2021年5月，印度航空公司450万客户数据遭黑客窃取；2018年，英国航空公司遭黑客攻击，40万名客户数据泄露，为此英国航空公司被监管部门罚款2800万美元。正是因为频繁爆发的数据泄露给企业、相关产业以及政府造成了巨大的损失，中国先后制定了《网络安全法》、《数据安全法》和《个人信息保护法》。西方国家同样制定了各种数据安全法律。例如，2018年，美国总统特朗普签署了《澄清域外合法使用数据法》，同年欧盟发布了《通用数据保护条例》。

 

 

图1 全球数据泄露的平均成本（略）

 

尽管数据安全对企业和国家来说都非常重要，但是这方面的经济学文献极为罕见。本文聚焦于企业数据安全，重点分析企业如何选择数据安全策略，以及数据安全策略如何影响了企业的最优边界。为了分析企业边界，本文参考主流经济学的思路，选择不完全契约理论作为分析框架，并构建了一个数据敲竹杠模型。在交易费用经济学中，敲竹杠（holdup）是一方当事人利用契约的漏洞，以不明显违反法律的方式攫取对方的经济租金的行为  。在此基础上，本文首次提出“数据敲竹杠”（data holdup）概念，即一方当事人利用掌握对方数据的机会，攫取对方的经济租金的行为。具体来说，数据敲竹杠包括三种形式。第一种形式是商业合作伙伴可能将数据泄密，并且这种泄密行为是难以证实的，这会给企业带来严重损失。例如，闪存厂商Lexar Media曾经和日本东芝公司合作。然而，东芝公司在获取对方的商业机密后，与对方的竞争对手合作开发同类产品。最终，法院判定东芝偷窃了合作伙伴的数据，并且必须为此支付赔偿金3.8亿美元。 但是，这种数据泄密行为有时是难以证实的，至少损失的金额往往存在巨大争议。在另一个案例中，通用汽车的代理制造商与奇瑞汽车公司合作，开发了一款迷你汽车QQ。然而，通用汽车认为，该产品在车身结构、外观设计、内部设计和关键部件方面与自己的新产品Spark几乎完全相同。于是，通用汽车以不正当竞争罪起诉奇瑞，但此案最后以私了结束。 第二种形式是数据处理平台利用锁定效应，向平台上的商家索取更高的服务费用。常见的模式是，一开始平台免费或者低价为入驻企业提供服务，等用户规模扩大并占据市场主导地位后，提高收费标准。如果入驻企业拒绝缴费，那么就会失去平台提供的价值。例如，2016年阿里健康搭建的第三方药品追溯平台曾欲大幅提高收费标准，从而引发争议。第三种形式是，数据处理平台利用自己掌握的数据优势，提供入驻商家的竞品。这方面备受关注的案例是，美国亚马逊公司作为全球最大的电商平台之一，利用自己掌握的入驻商家的销售数据推销自己的品牌，从而威胁到入驻商家的利益。然而，这种行为同样是难以证实的。 传统的敲竹杠行为都是源于某种形式的资产专用性， 但是数据敲竹杠并不一定与资产专用性有关，而主要是因为一方掌握了另一方的数据，例如前面列举的第一种和第三种形式。如果没有资产专用性，那么博弈结构和企业行为都会有较大变化。 因此，数据敲竹杠概念的提出并非是经典敲竹杠概念的翻版。

 

正式地，本文构建了一个数据敲竹杠模型。在模型中，企业必须在内部安全和外部安全之间权衡取舍，这决定了企业的最优边界。企业可以将数据加工业务外包给合作伙伴，此时企业与合作伙伴之间属于市场契约关系。这种市场契约有利于提高外部安全（客户安全），但是企业可能遭遇合作伙伴的数据敲竹杠风险。相反，企业也可以自行加工数据，这可以实现内部安全，此时企业将数据的收集和加工实现了一体化。但是，一体化可能导致企业的产品质量不稳定，从而影响客户的价值，这会损失外部安全。我们证明了四个命题。命题1表明，当数据对最终产品很重要时，企业选择自行加工数据，此时一体化是最优的。命题2表明，市场竞争对企业数据决策的影响，依赖于数据在生产中的重要程度。当数据足够重要时，随着市场竞争程度的加剧，企业选择自行加工数据（一体化）；反之，当数据的作用较小时，随着市场竞争程度的加剧，企业选择外包数据加工（市场契约）。命题3表明，市场不确定性对企业的数据决策也依赖于数据在生产中的重要程度。具体来说，当数据足够重要时，市场不确定性越强，企业越是选择自行加工数据；反之，当数据的作用较小时，市场不确定性越强，企业越是选择外包数据加工。命题4表明，当企业对外销售的比例较高时，企业选择外包数据加工；当企业对内销售比例较高时，企业选择自行加工数据。

 

然后，本文将分析对象拓展至更广泛的数据安全和产业安全，分析国内外复杂的政治经济形势如何影响了企业的自主创新战略和国际贸易。我们得到了一些启发。一方面，应该鼓励大型数字企业进行数字技术创新，同时为广大中小企业的数字化转型提供技术支持。另一方面，要动态、辩证地看待产业安全，任何国家都必须在比较优势和国家安全之间权衡取舍。对外开放和产业安全不是绝对冲突的，并且在某种程度上可以相互促进。

 

与已有文献相比，本文的贡献主要体现为以下三个方面。首先，本文第一次从契约理论的角度研究了数据安全，从而为数据安全文献提供了一个新的视角。主流经济学几乎没有正式地分析过企业的数据安全问题。目前关于数据安全的文献多数属于信息管理领域。它们大致可以分成两类，其中一类是针对企业内部信息安全研究，另一类是基于云服务的数据安全研究。在企业内部信息安全研究方面，企业可以自主防御，也可以将信息安全外包。例如，Qian et al.（2017）讨论了企业之间信息共享对于其信息安全策略的影响， Wu et al.（2017）比较了竞争或合作两种不同的企业关系下，企业信息安全投资的变化。 Gupta和Zhdanov（2012）讨论了企业外包信息安全的风险与成本。 方玲等（2019）则基于企业、黑客和外包的多方博弈格局，比较了企业自主防御和外包信息安全这两种决策，发现外包信息安全的成本总是更高。 另一方面，与需要持续投资的内部信息系统相比，基于云计算的按需提供服务的需求持续增加。 数据安全对于云服务提供商及其用户是至关重要的话题， 然而现有的研究主要是基于云服务提供方的角度进行。 例如，Ali et al.（2015）认为，云服务意味着企业需要将数据迁移至云端，丧失了企业的控制权。 与内部数据安全相比，云服务条件下企业数据控制权的丧失会导致更严重的数据安全风险。与上述文献不同，本文将数据安全策略内生为敲竹杠成本和内部协调成本这两种交易费用之间的权衡取舍，是一个纯粹的经济学视角。

 

其次，本文提出了数据敲竹杠的概念，从而为企业理论注入了数字经济的时代特色。不管是交易费用经济学 还是不完全契约理论，   它们分析企业边界的起点都是敲竹杠问题。 在传统的工业经济时代，物质资产的投资比较容易产生资产专用性和锁定效应，因此容易出现敲竹杠问题。然而，在数字经济时代，数据成为最重要的生产要素之一。 数据不同于一般的物质资产，它可以低成本复制，因而通常不具备资产专用性特征。 本文提出的数据敲竹杠，并不依赖资产专用性，而是依赖数据泄露这个关键假设， 从而把数据安全纳入了企业边界的分析范围。

 

再次，本文在模型应用部分从数据安全的角度讨论了国际贸易中的外包行为，从而丰富了国际贸易理论。早期的企业理论认为，企业不管是自制还是购买一种产品，都存在交易费用 。后来，学者们将企业理论与国际贸易结合，在新-新国际贸易理论框架下讨论了离岸外包与FDI（外国直接投资）的决策问题。  McLaren（2000）和Grossman和Helpman（2002）基于不完全契约视角讨论在行业均衡的条件下，最终产品制造商的“自制或购买”问题，他们强调制造专业化不足导致的高成本和购买敲竹杠问题之间的权衡。  Antras和Helpman（2004）在此基础上提出了一个联合理论框架，同时分析自制或购买决策以及企业的生产选址，前者仍取决于自制的高成本与购买的敲竹杠成本的权衡，而后者取决于企业的生产率 。这一分析框架获得了大量的经验研究的支持。 与上述文献不同，本文把数据安全纳入了“自制还是购买”的决策范围，从而为分析跨国公司的外包行为提供了另一种可能的微观基础。

 

接下来，本文第二节提供一个数据敲竹杠模型，并推导出本文的主要结论；第三节将模型的结论进一步应用到企业和国家的自主创新战略分析之中；最后是结论和政策含义。

以下内容节略。

 

本文发表于《社会科学》，2022年第12期，引用请注明。
原文下载：