1、摘要:数据作为新的生产要素,在不断的跨境流动中贡献经济价值。然而,数据的无序跨境流动可能危害个人、社会和国家安全,需同步探索治理体系、防范化解风险挑战,实现安全与发展的统筹协调。本文基于制度失范理论和威慑理论分析数据跨境风险的影响机制,利用生物医疗行业脱敏处理的数据出境统计信息开展研究,通过数据跨境传输频数、风险值和间隔时间测度数据跨境传输行为的频次和风险。研究结果表明,机构所在省份的GDP、过往数据跨境传输量和采用互联网传输均正向影响数据跨境频数和风险,采用云存储正向影响数据跨境风险,相关法律的施行对数据跨境传输具有显著的威慑作用。本文定义一次数据跨境传输行为并设计风险测度方法,识别和分析影
2、响数据跨境传输的因素及其作用,为我国数据跨境流动规制提供理论依据和管理启示。关键词:数据跨境风险测度风险分析制度失范理论威慑理论一、引言习近平总书记指出“数字经济发展速度之快、辐射范围之广、影响程度之深前所未有,正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量”(习近平,2022)。2019年数字经济成为我国经济增长的主要推动力,对我国经济的直接贡献达到6.6%(陈昌盛等,2020)。数字经济的蓬勃发展和信息技术与经济社会的充分交汇融合引发数据迅猛增长,数据的重要性愈加凸显并已成为一种基础性战略资源。数据跨境流动指数据在不同国家之间的动态流转和迁移,是跨国贸易的重要推力,
3、也是全球经济发展的关键推动者(梅尔策,2015)。在2009年至2018年期间,全球的数据跨境流动对经济增长的贡献度超过10%,预计2025年其对全球经济增长的价值贡献有望突破11万亿美元(梅尔策、洛夫洛克,2018)。数据跨境流动在促进国家信息技术创新和数字经济产业发展的同时,也带来了国家安全、产业安全以及个人隐私权益等问题(覃庆玲,2019)。我国的数据跨境规模居世界首位,占比达到23%(商务部,2021)。中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要 中明确提出“加强数据安全评估,推动数据跨境安全有序流动”。全球数字治理白皮书(2020年)指出,各个国家对数据
4、跨境流动的安全隐患和风险管理日益关注,数据保护主义的态势呈上升趋势。据统计,2019年全球共发布超过200条针对数据跨境秩序的限制性政策,一定程度限制了数据要素价值的释放(中国信息通信研究院,2020)。2021年国家互联网信息办公室审议通过的网络安全审查办法 规定网络平台运营者赴国外上市需申报网络安全审查,对于涉及到我国数据安全的境外上市企业,需要严格把控其数据跨境流动问题。2021年国家互联网信息办公室等五部门联合发布 汽车数据安全管理若干规定(试行),要求不得违规向境外提供重要汽车数据。互联网和云计算的发展使跨境数据可以动态、实时地传输,数据跨境流动愈发常见(韩洪灵等,2021)。数据共
5、享具有重大的战略意义,世界多国政府发起数据开放倡议,但这必须在确保国家安全和公共安全、社会稳定的前提下进行(孙等,2021)。本国数据出境可能会涉及国家核心安全问题以及个人信息保护问题。为保障个人信息和重要数据安全,*本研究得到国家自然科学基金项目(71901169、T2293774)、中国科学院学部院士咨询评议重大项目(2022-ZW14-Z-027)、中国科协青年人才托举工程项目(YESS20200072)的资助。文责自负。李建平为本文通讯作者。数据跨境流转的风险测度与分析*基于数据出境统计信息的实证研究李金徐姗卓子寒李建平数据跨境流转的风险测度与分析管理科学与工程-180DOI:10.1
6、9744/ki.11-1235/f.2023.0087管理世界2023年第7期世界多个国家不断寻求平衡隐私保护、数据安全与数据跨境流动的方法,形成了以欧盟为代表和以美国为代表的两种立法模式(孙等,2021)。欧盟于2018年出台 通用数据保护条例(GDPR)严格限制个人数据的跨境转移。美国于2018年发布 澄清境外数据的合法使用法案(CLOUD),规定了跨境调取海外公民的信息和通信数据等方面内容,同时推动构建多项贸易协定,推进国家间的数据自由流动。比如日本与美国在2019年签署的贸易协定中提出要确保各领域数据无障碍跨境传输。英国于2020年宣布了新的未来科技贸易战略,允许英国和亚太国家之间的数
7、据自由流动,希望与日本等国达成比其作为欧盟成员国时期更进一步的数据协议。韩国于2018年修订 信息与通信网络法,提出韩国监管机构可以对限制个人数据流出的国家进行对等的个人数据跨境转移限制。印度在 个人数据保护法案(2019年国会审议稿)中明确要求印度公民的个人数据要在本地储存,印度公民的个人关键数据限制出境。近年来,我国相继发布了 网络安全法、生物安全法、数据安全法、个人信息保护法、信息安全技术-数据出境安全评估指南(草案)、网络安全审查办法、数据出境安全评估办法 等一系列涉及数据跨境流动的政策法规、指南办法及相关标准,逐渐建立起较为完善的数据安全法律体系,为我国的数据跨境合规流转和风险管理提
8、供了法律保障。其中,生物安全法 规定“将我国人类遗传资源信息向境外组织、个人及其设立或者实际控制的机构提供或者开放使用的,应当向国务院科学技术主管部门事先报告并提交信息备份”。我国是数据跨境流动的重要参与者(胡炜,2018),亟需在保证数据安全的情况下,与其他国家或地区进行数据跨境交流与合作,增强我国在全球数据要素治理领域的影响力。在国际博弈大环境和中国法律管理国情下,各地迫切需要破局数字经济与数据跨境安全的统筹协调发展。在保障数据安全和严控国家风险(孙晓蕾等,2015)的前提下,实现数据跨境自由流动并非易事(单文华、邓娜,2021)。当前研究多集中于剖析数字经济的发展、影响及规制(陈晓红等,
9、2022;许恒等,2020;赵涛等,2020)、对比分析不同国家的数据跨境流动相关法律(胡炜,2018;马其家、李晓楠,2021a;沙利文,2019)、以及聚焦在数据跨境流动规制的政策建议(王震,2022;魏远山,2021)等方面,鲜有研究对数据跨境流动的风险因素识别及测度进行定量分析。因此,本文利用生物医疗行业脱敏处理的数据跨境传输统计信息,从定量的角度识别影响生物医疗数据跨境传输的风险因素,并分析其影响效果。以现有文献为基础,本文基于制度失范理论和威慑理论构建分析模型,以经过脱敏处理的跨境数据统计信息为支撑,使用数据跨境传输频数、传输风险值以及传输间隔时间3种测度方式刻画生物医疗行业的数据
10、跨境传输行为,分析影响数据跨境传输频数及风险的因素,并进一步识别异常数据跨境传输行为、量化分析我国相关法律的实施以及欧盟GDPR违规案例公示对数据跨境传输行为的影响效果。通过实证分析识别影响数据跨境传输风险的关键要素,结果表明机构所在省份的国内生产总值(GDP)、过往数据跨境传输包数和采用互联网传输均与数据跨境传输频数及风险正相关,采用云存储正向影响数据跨境风险,而普通高校数量则与数据跨境传输风险负相关。基于上述实证结果,本文使用模拟仿真方法刻画了技术应用前后的数据跨境传输行为变化,为相关政策的制定提供决策支持。本文的创新性及贡献主要体现在以下几个方面。第一,将制度失范理论和威慑理论拓展并应用
11、于数据跨境风险管理领域。第二,以大数据为驱动,从定量分析视角厘清一次数据跨境传输行为的概念,使用数据跨境传输频数、风险值以及间隔时间3种测度方式分别刻画我国的数据出境情况。第三,基于我国部分地区的数据跨境传输记录,对影响数据跨境传输行为的因素开展计量分析,并针对异常数据跨境传输行为、我国相关法律实施的威慑作用以及欧盟GDPR违规案例的凸显作用做进一步分析。基于参数化的模型结果,模拟采用不同技术前后的机构以及我国部分地区整体数据跨境传输的变化情况,并通过进一步分析检验模型关键自变量的影响机制和模型结果的稳健性。第四,在数据跨境流动日益频繁的背景下,如何构建符合我国基本国情的数据跨境安全管理制度是
12、亟需解决的问题,本文的研究结果可为相关政策的实施效果提供可参考的分析模式和研判依据。作为国内第一批开展的数据驱动下数据跨境流动分析研究,本文旨在为我国数据跨境流动的风险管理和合理规制提供量化分析依据,支持我国数字经济高质量健康发展。-181二、相关文献和理论近年来,越来越多的国家要求公司在本地存储特定类型的数据(罗丁、萨克斯,2020)。数据本地化在一定程度上是数字贸易的障碍,会阻碍企业做出最优的市场决策,但是出于隐私保护以及国家安全等需要,各个国家之间难以实现数据跨境的自由流动(盛斌、高疆,2020)。关于数据跨境流动的文献主要为政策类、定性分析以及少数定量分析文献,使用计量方法分析影响数据
13、跨境传输行为的文献相对较少。(一)数据跨境流动风险管理的相关文献数据跨境流动的安全问题受到世界各国关注,探究数据跨境流动的驱动因素和影响机制、衡量数据跨境流动的风险,对构建合理的数据跨境流动框架、促进数据跨境安全和自由流动至关重要。目前很少有学者针对数据跨境流动的风险测度及其影响因素展开定量研究。对于应当如何监管数据跨境流动以及影响数据跨境流动的关键因素尚未达成共识(阿伦森,2019)。大数据驱动下的风险预见与评估监测是管理决策领域中的重要议题(陈国青等,2020),学术界从不同角度开展了对数据跨境流动的风险管理研究。面对重要数据的跨境流动所带来的风险挑战,对数据跨境流动风险进行量化分析并制定
14、合理合规的风险防控应对机制显得尤为重要。在风险测度指标体系方面,李等(2022)从宏观和微观层面分别提炼数据跨境流动的风险因素,系统刻画了数据出境风险,构建数据出境风险指标体系和数据出境风险评价模型,为数据跨境流动的预警管理提供了可实践应用的量化方法。在数据跨境传输网络方面,李金等(2021b)整合数据传输节点的相关网络属性用以计算风险路径的风险值,引入网络节点的数据接收能力以优化预测算法,对我国重要行业跨境流动的数据开展实证分析,研判数据跨境传输的风险路径。在技术层面,拉赫曼等(2020)提出了一个基于区块链保障数据共享功能的可靠跨境数据共享平台。李等(2020)构建预防性的阳光互联网(Br
15、ight Internet)范式,基于欧盟GDPR的十项隐私权设计预防性网络安全措施以保护网络传输信息的隐私安全。在保障数据安全的前提下进行数据跨境流动,需要重视数据泄漏风险的测度与管控。2022年9月1日起施行的 数据出境安全评估办法 第八条中提及数据出境安全评估需要重点关注跨境数据出境中和出境后的泄漏和篡改等风险。诸多学者从新兴信息技术投资、技术采纳应用、高管是否具备信息技术背景等视角围绕数据泄漏风险开展相关研究(海斯利普等,2021;金、权,2019;森、博尔,2015)。森和博尔(2015)基于犯罪机会理论、制度失范理论和制度理论从不同层面剖析可能增加或降低数据泄漏风险的因素,发现在信
16、息技术安全上的投资会导致相对更高的数据泄漏风险。金和权(2019)聚焦医疗行业,探究医院采用电子病历等数字化技术对不同类型的医院信息泄漏事件发生风险的影响。他们的研究结果表明,采用诸如电子病历等数字化技术在提高医疗质量的同时,也有可能增加信息泄漏风险(金、权,2019)。海斯利普等(2021)通过实证研究发现具有信息技术背景的高管可以显著降低所在企业的数据泄漏风险。(二)数据跨境流动管理的相关政策分析目前针对数据跨境流动的政策分析类文献多集中在不同法律条例的对比分析以及如何正确应对数据跨境流动所带来的各种风险挑战等方面。数据跨境流动的规制面临“良好的数据保护”、“数据跨境自由流动”和各国政府“
17、数据保护自主权”不可能同时达成的“三难选择问题”(黄宁、李杨,2017)。欧盟和美国两大规制体系构成了当今数据跨境流动规制的国际基本格局,二者在价值取向、规制路径和规制结果等方面均有不同(许多奇,2018)。欧盟极其重视隐私权,强调通过立法进行事前防范,对数据跨境流动进行了非常严格的规制;而美国的政策则相对宽泛和自由,主要通过行业自律的形式进行事后问责。隐私盾协议 无效案是欧美在规制数据跨境流动冲突的具体表现,二者之间的根本矛盾在于“技术主权”之争(单文华、邓娜,2021)。在物联网背景下,沙利文(2019)认为与美国所倡导的亚太经合组织(APEC)跨境隐私保护规则体系(CBPR)相比,欧盟的
18、GDPR在平衡数据保护和数据流动上更具优势。赛奥等(2017)定性地描述了GDPR如何影响物联网企业的成本,并基于统计方法和相关法律数据跨境流转的风险测度与分析管理科学与工程-182管理世界2023年第7期要求对成本进行了定量估计。从定性角度而言,GDPR影响了企业的预防成本和法律成本;从定量角度而言,在GDPR实施后企业成本平均会增加34倍(赛奥等,2017)。鲍尔等(2016)对数据跨境流动的监管与国内经济绩效之间的关系进行计量分析,发现数据法规的颁布和实施导致欧盟的GDP降低了0.48%。部分学者认为数据流动贸易协定是管理数据跨境流动的适当途径(梅尔策,2015;阿伦森,2016;米切尔
19、、米什拉,2019)。美国和欧盟利用贸易协定来推进和限制数据的自由流动(阿伦森,2015)。2020年11月15日,中国和东盟10国、日本、韩国、澳大利亚、新西兰共15个亚太国家正式签署了 区域全面经济伙伴关系协定(RCEP),彭德雷和张子琳(2021)将其与 全面与进步跨太平洋伙伴关系协定(CPTPP)进行对比分析,并分别从政府层面和企业层面讨论RCEP所带来的影响。米切尔和米什拉(2019)建议世贸组织成员通过关于自由数据跨境流动和禁止数据本地化的约束性条款以及促进商业和消费者信任数字贸易的相关条款。国际贸易框架在减轻数据跨境流动所带来风险的同时,可以更有效地利用数据跨境流动所带来的收益(
20、塞奇威克,2017)。我国则应以“一带一路”倡议为基础,积极参与制定国际规则,在未来贸易谈判中维护数据跨境流动相关的数据权益(胡炜,2018)。数据跨境流动是推动我国数字经济发展的必然选择(马其家、李晓楠,2021b)。我国数据跨境流动管理相关的法律法规体系正在逐步建立并完善。从法律法规框架层面,一些学者认为我国应完善数据跨境流动治理体系,在保护我国数据安全的前提下实现合规的数据跨境流动(李墨丝,2020;许多奇,2018)。为应对由数据跨境自由流动和禁止数据本地化等规则带来的重大挑战,我国应注重国内法治与国际规则的良性互动(李墨丝,2020),综合考虑我国产业发展现状、法律现状和风险管控能力
21、以及我国与国际规则互动情况,建立数据分类审核制度(高山行、刘伟奇,2017;胡炜,2018;马其家、李晓楠,2021b)。例如马其家和李晓楠(2021b)认为可以将跨境数据按来源和重要程度划分为个人数据、商业数据、特种行业数据进行分类管理。除了通过完善立法和政府监管的方式外,行业监管部门亦可以根据行业自身特点具体落实规制数据跨境流动的规章制度(许多奇,2018)。(三)本研究的理论基础1.制度失范理论制度失范理论(Institutional Anomie Theory)主张经济规则在一种有利于发达社会中高犯罪率的制度结构下享有最高优先地位,其关注社会制度中所体现的文化和社会结构。梅斯纳和罗森菲
22、尔德(2012)认为,美国的犯罪率高是由特定的文化价值观和制度之间的关系造成的。该理论认为经济上的主导地位意味着非经济机构的削弱,即促使个体遵守制度规范的主要动机在经济主导条件下很可能是薄弱的,进而导致违反规范的行为变得更加频繁和普遍(梅斯纳等,2008)。包括教育机构在内的一些社会机构,可能会加剧社会对物质成功的关注,进而加强通过非法手段获得物质财富的压力(梅斯纳、罗森菲尔德,1997,2012)。制度失范理论从宏观层面解释了影响违法违规行为的社会因素,并发展成为一个具有普适性的理论框架(梅斯纳、罗森菲尔德,2012;梅斯纳等,2008)。制度失范理论被广泛应用于解释一些犯罪及非道德行为的同
23、时,也被应用于跨国背景下的社会文化和偏差行为相关研究之中(卡伦等,2004;森、博尔,2015;哈夫曼、梅斯纳,2021;修斯等,2015;纳姆等,2014)。偏差行为指大多数人不参与的行为或者结果与平均水平显著不同的行为(默滕斯等,2016)。在数据跨境传输的背景下,某一机构存在超量传输和新增传输链路等异常数据跨境传输行为均可看作偏差行为。纳姆等(2014)将创新看作一种积极偏差行为,以制度失范理论解释不同国家企业创新的异质性。除此之外,利他主义和企业家精神等都被认为是积极的偏差行为(赫克特,1998;卡伦等,2014)。在跨界创新领域,跨界指打破原有障碍的行为,包括跨行业、跨组织、跨国界等
24、(张等,2022),跨界创新行为亦是一种积极偏差行为。数据跨境传输行为往往由跨境电商、跨境合作等跨境创新行为引发,因此合规的数据跨境传输行为属于积极偏差行为的范畴。基于制度失范理论,经济因素和社会文化因素将影响数据跨境传输行为。因此,本文在中国情境下研究制度失范理论中宏观层面的经济以及社会文化等因素是否会对数据跨境传输频数以及风险造成影响。-1832.威慑理论一般而言,威慑作用指当个体或组织看到其他个体或组织因某种行为被惩罚后,会在未来避免类似行为(班杜拉、沃尔特斯,1977)。当对于未来实施犯罪的预期为负面结果时,个体实施此类行为的动机会随之降低(伊迈、克里希纳,2004)。威慑理论目前已被
25、广泛应用到信息安全领域(斯特劳布,1990;林润辉等,2015)。当违反信息安全规定的代价增大时,员工遵守信息安全规定的意图会相应提高(林润辉等,2015)。基于威慑理论,当威慑确定性高以及威慑严重性高时,潜在犯罪者的反社会行为将被抑制(斯特劳布,1990),法律的存在会增加相关个体和组织对非法行为惩罚的感知风险(李、李,2002)。违法所需承担后果的严重程度反映了法律的威慑严重性程度,当潜在违法者所感知到的违法成本高于其违法的潜在收益后,会放弃实施违法行为。我国近年来不断完善关于数据跨境流动治理的法律体系,如 生物安全法 于2021年4月15日开始实施,针对生物信息出境做出了规制。相关组织机
26、构及个体在从事数据跨境传输行为时,必须考虑自身行为是否符合我国法律规定并开展相应的跨境数据安全评估。在上述法律施行后,相关数据源机构可以预见违法的后果,进而降低实施违法行为的动机。因此,本文基于威慑理论,进一步探究数据跨境传输行为受相关法律施行的影响效果。3.理论机制分析基于制度失范理论和威慑理论,本部分通过构建模型分析制度失范因素和威慑因素以及机构特征因素对相关机构数据跨境传输行为的影响机制。经济发展水平更高的省份,其数字经济发展水平也相应更高,数字产品以及数字服务的跨境交易也成为数字经济全球化的重要标志(中国信息通信研究院,2021)。因此,本部分假设制度失范因素中的经济因素会影响该地区的
27、数字经济发展程度,进而影响该地区机构跨境传输活动的潜在收益。李金等(2021a)指出数据出境机构所在地区的整体受教育程度越高,其对数据跨境传输的合规性要求越高。因此,本部分假设教育因素会影响数据跨境传输活动的合规成本。机构出于获取利益或开展合作等目的,向境外机构传输数据。与此同时,机构可以通过合规跨境传输以及违规跨境传输的方式向境外传输数据。假设机构的合规数据跨境传输量为k,违规数据跨境传输量为m,k0,m0。机构对于数字技术(Tech)的采纳会使得数据跨境传输更为便利,进而影响数据跨境传输的收益,假设其对数据跨境传输所带来的收益为Tech,0,代表机构采纳数字技术所能获取的数据跨境传输附加收
28、益。合规数据跨境传输需要付出一定的合规成本CC,该传输成本与合规跨境传输量k正相关,即CC=k2,0,代表随着合规数据跨境传输量的增加,机构所需付出的合规成本增加(卡罗等,2018)。此外,考虑到部分敏感数据仅能通过违规传输的方式出境,假定合规传输与违规传输的收益系数不同。机构通过合规跨境传输所能获得的收益函数为(k)=(Tech+1)k,通过违规跨境传输所能获得的收益函数为(m)=(Tech+2)m(伦诺克斯,2006),其中10,20,代表合规跨境传输以及违规跨境传输的基础收益系数,Tech则代表了快捷的传输所带来的附加收益。机构选择违规传输时会面临被监管机构发现的风险以及需要承担违规被发
29、现的后果。由于法律的施行会使组织对非法行为的感知风险增加(李、李,2002),潜在违规组织的违规意愿会随着威慑确定性和威慑严重性的增加而降低(斯特劳布,1990)。威慑确定性通过机构违规传输被发现的概率p表示,威慑严重性则通过违规后果VC表示。机构违规传输量m越大,其所感知到的违规成本(PC)越高。基于上述定义,机构的目标为使其通过数据跨境传输活动所获取的总效用U最大化,其中:(1)上述效用函数的一阶导为:通过运算可得:U=()k+(m)-CC-PCU=()Tech+1k+(Tech+2)m-k2-pVCm2Uk=Tech+1-2k=0Um=Tech+2-2pVCm=0数据跨境流转的风险测度与
30、分析管理科学与工程-184管理世界2023年第7期(2)(3)(4)由式(2)、式(3)可知,k/10、m/20,随着跨境传输收益的增加,合规跨境传输以及违规跨境传输次数均增加,即数据跨境传输收益更高的地区数据跨境传输频次更高,且存在更多的潜在违规跨境传输风险。数字经济发展水平在经济发达地区相对较高(中国信息通信研究院,2021),经济发达地区的机构通过数据跨境传输所能获取的基础收益越高,进而导致其有更高的数据跨境传输频次和更高的数据跨境传输风险。基于式(3)可知,m/p0、m/VC0,即随着威慑确定性和威慑严重性的增加,相关机构的违规跨境传输次数降低。随着我国相关法律的实施,法律所带来的威慑
31、确定性和威慑严重性均会随之增加,进而降低机构数据跨境传输频次和风险。式(4)展示了机构数据跨境传输总次数(N)与各因素之间的关系,其中N/Tech0,表明机构采纳数字技术会增加其数据跨境传输频次和风险,后文将从存储方式和数据传输方式来衡量机构对数字技术的采用情况。最后,考虑到机构进行决策时可能并非理性,其决策结果可能会受到其自身特征(如过往数据跨境传输经验)、环境特征(如所在地区的数据出境概况)、行业特征(如科研机构、公司机构、专业机构)、地域特征(如东部、中部、西部地区)等的影响,因此本文在实证模型中加入了包含上述因素的控制变量。图1为本文的研究框架图。基于上述制度失范理论、威慑理论以及理论
32、机制分析的结果,识别包括经济因素、教育文化因素在内的制度失范因素和威慑作用因素。分别使用数据跨境传输频数、数据跨境传输风险值以及相邻两次数据跨境传输时间间隔测度数据跨境传输频率及风险,并分析上述因素对数据跨境传输行为的影响效果。根据此模型,识别以超量传输、新增链路传输为代表的异常数据跨境传输风险事件,并分析上述因素的差异化影响效果。此外,本文针对我国法律的实施效果开展研究,分析 生物安全法 以及省级法规的实施对生物医疗数据跨境传输行为的威慑作用。基于凸显理论,本文进一步分析了欧盟GDPR违规案例对违规数据出境后果的凸显作用。基于对生物医疗数据跨境传输风险的整体测度结果,本文从存储方式和传输方式
33、两个角度展开模拟仿真分析,对比不同技术应用前后的数据跨境传输行为,为政策制定提供决策支持和参考。最后,本文通过改变一次数据跨境传输的定义、调整因变量测度方式等开展模型稳健性检验。三、数据来源与研究设计(一)数据来源与样本选取本文基于调研得到的生物医疗行业经过脱敏处理的跨境数据统计信息开展研究,样本区间为2019年7月2020年8月。首先,一次数据传输可能会包含多条传输记录,这些传输记录的境内源单位与境外目的单位相同,并且其传输开始时间十分相近。因此,本文将具有相同的源单位与目的单位,且传输开始时间间隔小于一小时的传输记录定义为一次数据传输。其次,本文从国家统计局获取了全国各个省份在 2019
34、年和 2020年间的GDP和进出口贸易额、高校数量等数据,并与数据跨境流动数据集进行匹配。最后,在此基础上本文补充了关于数据传输源单位的机构和数据传输相关信息,包括机构的数据存储方式、数据传输方m=Tech+22pVCN=k+m=Tech+12+Tech+22pVC图1 研究框架图k=Tech+12-185式、机构所属行业及地区等在内的多维特征数据。综上,基于以上数据来源和定义,本研究的数据集共包含175个数据源单位在428天时间范围内的共计约7.5万条观察记录。(二)研究设计1.因变量为刻画机构数据跨境传输行为的频数及风险,本文分别将数据传出机构i在第t天数据跨境传输次数的对数(lnNumC
35、rossit)、机构每日风险值的对数(lnRiskit)以及机构i的第s个两次数据跨境传输之间的时间间隔(TimeIntervalis)作为因变量。具体的定义描述如下。第一,机构每日数据跨境传输频数衡量了其开展数据跨境传输活动的频率,在进行生物医疗数据跨境流转的风险管理时需要重点关注频繁开展数据跨境传输活动的机构。此外,对机构日常数据跨境传输频数的刻画,可为后续进一步识别异常数据跨境传输行为提供基础条件。为避免个别极端值的影响,本文使用机构每日数据跨境传输次数的对数(lnNumCrossit)为因变量刻画数据跨境流转的频数。第二,为衡量数据跨境传输风险,本部分将综合考虑风险发生可能性以及风险发
36、生后果的影响(李金等,2022)。结合李金等(2022)基于复杂网络的数据流动路径风险量化算法,本部分使用机构在第t天之前一周的历史跨境传输数据计算数据传出机构i的数据跨境流动路径风险值,并进一步计算数据传出机构i在第t天的单日总风险值。在刻画机构数据跨境传输风险时,本文选取机构每日风险值的对数(lnRiskit)作为因变量。第三,上述两个因变量可从整体上分别衡量数据跨境传输的态势及风险。在进行生物医疗数据跨境流转的风险预警时,发生下一次异常数据跨境传输行为的风险比过去所发生的数据跨境传输行为更值得关注。两次事件之间的时间间隔被应用于信息安全领域以测度信息安全事件的风险,如使用多个信息间的间隔
37、时间来识别消息注入式攻击(宋等,2016)、使用两次数据泄漏事件之间的间隔时间刻画数据泄漏事件风险(森、博尔,2015)等。相邻两次数据跨境流转之间的时间间隔越短,说明发生数据跨境流转事件的可能性越大。基于时间间隔的分布规律和动态变化趋势可以进一步检测生物医疗数据跨境传输的风险,如基于此时间间隔开展生存分析以衡量数据源单位下一次向境外传输生物医疗数据的概率,并进行技术应用模拟仿真等,具备一定现实意义。因此,为动态刻画数据跨境传输频率及风险,本文选取相邻两次数据跨境传输之间间隔的时间(TimeIntervalis)作为因变量。2.自变量制度失范因素。基于本研究理论基础部分的分析结果,制度失范理论
38、表明经济因素和教育文化因素将会对数据跨境传输这一偏差行为带来影响。针对制度失范理论的经济因素,本文选取数据跨境传输源单位所在省份的GDP代表该地区的市场机构力量,分析经济因素对于数据跨境传输行为的影响效果。制度失范理论主张市场机构的主导力量会削弱遵守规范的动机(梅斯纳等,2008),而机构所在省份的GDP是衡量当地市场机构力量的重要指标(森、博尔,2015),更高的GDP可能会导致更高的数据跨境传输风险。此外,作为衡量经济表现的指标(森、博尔,2015),GDP衡量了该地区的经济发展水平,经济发展水平较高的省份,数字经济发展水平也相应更高(中国信息通信研究院,2021)。各类数字化平台积累了海
39、量数据,数字产品的跨境传输和数字化服务的跨境提供成为数字经济全球化的标志(中国信息通信研究院,2021)。数字经济的发展离不开科技实力的推动,数字化技术是数字经济发展的基础(田秀娟、李睿,2022)。数字经济发展水平更高的省份拥有更多数字资产,经济发展水平更高的地区对前沿技术的研发投入也相对更高。因此,经济发展水平更高的地区具备更多可供交易的数字资产,也具备更加强大的数字化技术,其数据跨境传输频次也会相应更高。综上,地区经济发展水平会影响当地数据跨境传输源单位的数据跨境传输频次和风险,在分析数据跨境传输行为时必须考虑经济发展程度差异所带来的影响。针对制度失范理论的教育文化因素,本文在模型中加入
40、数据跨境传输源单位所在省份的高校数量来衡量教育文化因素对数据跨境传输行为的影响效果。基于制度失范理论,强大的教育系统与对物质财富的渴望密数据跨境流转的风险测度与分析管理科学与工程-186管理世界2023年第7期切相关(纳姆等,2014),教育机构等社会机构会通过加强对物质成功的关注而增加以非法手段获得物质财富的压力(梅斯纳、罗森菲尔德,1997,2012),进而增加以违规手段实现数据跨境传输的动机,影响数据跨境传输风险。李金等(2021a)指出数据出境机构所在地区的整体受教育程度越高,其对数据跨境传输的安全性和合规性的要求也就越强,强大的教育系统可能会通过提升当地对数据跨境传输安全性和合规性的
41、重视而降低数据跨境传输风险。因此,教育文化因素可能会对数据跨境传输风险同时造成两个方向的影响。高校数量与当地教育水平正相关(瓦莱罗、范里嫩,2019),本文使用数据跨境传输源单位所在省份的普通高等学校数量来表示当地的教育文化水平,通过定量分析探究制度失范理论中的教育文化因素与数据跨境传输风险的关系。机构特征因素。包括机构类型、数据传输量等在内的机构特征因素会影响数据传出方的数据跨境传输风险(李金等,2022)。机构过往的数据跨境传输特征可能会影响其未来的数据跨境传输活动。在过去数据跨境传输活动中传输更大量数据到境外的机构,其未来也更有可能开展较多的数据跨境传输活动。不同机构在数据存储与数据传输
42、方式上具有差异性。部分机构选择采用云存储而非本地存储,也有机构选择使用互联网传输而非内网传输。机构之间在技术采用上的差异性也会影响其数据跨境传输行为。因此,有必要在模型中整合包括机构传输特征以及机构自身技术特征在内的机构特征因素变量。3.控制变量本文所选取的控制变量为环境因素变量,包括机构所在省份的进出口总额以及跨境传输机构占比。数据跨境传输行为与跨国贸易息息相关,进出口总额衡量了该地区对外贸易的规模。某一地区存在数据跨境传输行为的机构数量越多,该地区的数据跨境传输行为相对而言可能会更加普遍。因此在模型中加入了该省份数据跨境传输机构占所有数据跨境传输机构数量的比例来控制该省份的数据跨境传输环境
43、因素的影响。综上,本文所使用的因变量、自变量和控制变量的符号及定义如表1所示。4.模型构建本文使用3种不同的测度方式刻画数据跨境传输频率及风险:数据跨境传输频数、数据跨境传输风险值及相邻两次数据跨境传输时间间隔。数据跨境传输频数和数据跨境传输风险值可分别刻画数据跨境传输的频率和风险;而相邻两次数据跨境传输时间间隔可在刻画数据跨境传输频率的同时,动态反映发生下一次数据跨境传输的风险。首先,本文构建了数据跨境传输频数测度模型和数据跨境传输风险测度模型。由于自变量中包含机构特征变量,因此不适用于个体固定效应。本模型采用行业固定效应以捕捉行业之间的差异,采用地区固定效应以捕捉地区之间的差异。此外,为了
44、解决如技术进步等随着时间而变化的遗漏变量问题,进一步考虑了时间固定效应。本文设定的数据跨境传输频数测度模型及数据跨境传输风险测度模型如式(5)所示。(5)其中i表示数据源单位,t表示时间(天)。DVit的取值分别为lnNumCrossit和lnRiskit。其中,lnNumCrossit表示数据源单位i在第t天的数据跨境传输次数的对数,lnRiskit表示数据源单位i在第t天的数据跨境风险值的对数。Ii为行业固定效应,Ai为地区固定效应,Tt为时间固定效应。解释变量的系数分别表示其对数据跨境传输频数和风险值的影响。为刻画数据跨境传输行为的频率变化以及发生下一次数据跨境传输的风险,本文进一步以两
45、次数据跨境传输之间的时间间隔为因变量,构建负二项回归模型,并通过马尔可夫蒙特卡洛算法(MCMC)进行参数估计表1 变量定义变量lnNumCrosslnRiskTimeIntervalGDPNumUniversityNumPacketsDataStorageDataTransmissionImportExportUnitRate定义数据源机构每日数据跨境传输频数的对数数据源机构每日风险值的对数数据源机构相邻两次数据跨境传输之间的间隔时间(分钟)数据源机构所在省在对应年度的GDP(亿元)数据源机构所在省的普通高等学校数(个)数据源机构过往数据跨境传输的加权总数据包数(个)虚拟变量,数据源机构采用云
46、存储取1,采用本地存储取0虚拟变量,数据源机构采用互联网传输取1,采用内网传输取0数据源机构所在省在对应年度的进出口贸易总额(亿美元)数据源机构所在省的跨境机构数与跨境机构总数的比值DVit=0+1GDPit+2NumUniversityi+3NumPacketsit-1+4DataStoragei+5DataTransmissioni+6ImportExportit+7UnitRatei+Ii+Ai+Tt+it-187(森、博尔,2015)。具体的参数估计步骤详见 管理世界 网络发行版附录。机构的数据跨境传输时间间隔服从如式(6)所示的负二项分布。(6)其中TimeIntervalis表示数
47、据源单位i的第s个时间间隔,is为负二项分布的均值,v为离散参数。均值is会随源单位i和数据跨境事件的发生而变化,其表达式如下:(7)式(7)中解释变量的系数表示其对下一次发生数据跨境传输风险的影响。在负二项回归和使用马尔可夫蒙特卡洛算法估计各参数时,在其余因素不变的情况下,如果系数0,表示对应自变量的取值增加1个单位时,数据跨境传输的时间间隔均值将会增加e倍,即发生数据跨境传输的风险降低;反之,若系数0,表示对应自变量的取值增加1个单位时,数据跨境传输的时间间隔均值将会减少e倍,即发生数据跨境传输的风险增加。考虑到各变量的量纲不同,本文对变量 GDP、NumUniversity、NumPac
48、kets、ImportExport 做归一化处理。此外,对于过往数据传输包数(NumPackets)做加权求和处理,给予近期传输包数更大权重。其中 NumPacketsit=0.95NumPacketsit-1+Packetsit,Packetsit表示数据源机构 i 在第 t 天的数据跨境传输总包数;类似地,NumPacketsis=0.95NumPacketsis-1+Packetsis,Packetsis表示数据源单位 i 的第 s 个时间间隔所对应的数据跨境传输总包数。四、实证检验与结果分析(一)描述统计自2019年7月1日至2020年8月31日的数据跨境传输样本情况如图2所示,日均数
49、据跨境传输次数波动明显且有上升趋势。我国数据大多传往美国、英国等国家或地区,其中目的机构在美国的传输次数最多,高达1.5万次,占总传输次数的59.27%;英国次之,共0.7万次,占总传输次数的28.80%。数据跨境传输的源机构多位于经济较为发达的省份,且这些省份的总传输次数也高于经济相对欠发达的省份。其中,广东省存在数据跨境传输行为的机构数最多,占样本总单位数的14.87%;北京次之约占12.31%,但北京的总数据跨境传输次数高于广东省,约占总传输次数的26.32%。该样本数据集中共包含3类发生数据跨境传输行为的机构,分别为公司机构、专业机构和科研机构。其中科研机构所发生的数据跨境传输次数最多
50、,高达 2.3 万次,公司机构和专业机构则分别为 0.3 万次和0.1万次。表2为因变量和部分主要自变量的描述性统计结果。此数据集中共涉及我国部分地区共计29 个省/市的单位,这些省 份 的 GDP、进 出 口 总额、普通高等学校数均表图2数据跨境传输状况表2 变量描述性统计结果变量lnNumCrosslnRiskTimeIntervalGDPNumUniversityNumPacketsDataStorageDataTransmissionImportExportUnitRate均值0.159.882932.3334197.6991.7915984.090.040.011589.290.03
浙ICP备2021020529号-1 | 浙B2-20240490 
