《管理世界》|| ​李金 等：数据跨境流转的风险测度与分析——基于数据出境统计信息的实证研究

作者：

李金（西安交通大学管理学院）

徐姗（西安交通大学管理学院）

卓子寒（国家计算机网络应急技术处理协调中心）

李建平（中国科学院大学经济与管理学院）

文章刊发：《管理世界》2023年第7期

数字经济的蓬勃发展和信息技术与经济社会的充分交汇融合引发数据迅猛增长，数据已成为一种基础性战略资源。数据跨境流动指数据在不同国家之间的动态流转和迁移，在促进国家信息技术创新和数字经济产业发展的同时，也带来了国家安全、产业安全以及个人隐私权益等问题。在国际博弈大环境和中国法律管理国情下，各地迫切需要破局数字经济与数据跨境安全的统筹协调发展。已有研究多集中于剖析数字经济的发展、影响及规制、对比分析不同国家的数据跨境流动相关法律、以及聚焦在数据跨境流动规制的政策建议等方面，鲜有研究对数据跨境流动的风险因素识别及测度进行定量分析。因此，本文利用生物医疗行业脱敏处理的数据跨境传输统计信息，从定量的角度识别影响生物医疗数据跨境传输的风险因素，并分析其影响效果。作为国内第一批开展的数据驱动下的数据跨境流动分析研究，本文可为我国数据跨境流动的风险管理和合理规制提供量化分析依据和管理启示，对保障数据安全和自由合规流转、促进数字经济的统筹发展具有十分重要的意义。

本文基于制度失范理论和威慑理论开展数据跨境风险的影响机制分析，利用生物医疗行业脱敏处理的数据出境统计信息，通过数据跨境传输频数、风险值和间隔时间测度数据跨境传输行为的频次和风险。具体而言，本文首先通过构建数据传出机构效用函数以分析制度失范因素、威慑因素以及机构特征因素等的影响机制。在此基础上，本文基于数据出境的统计信息开展实证研究，探索性地使用数据跨境传输频数、计算的风险值以及间隔时间分布等测度方式系统性地刻画数据跨境传输频次和风险，分析上述因素对数据跨境传输行为的影响效果。本文进一步识别并刻画异常数据跨境传输行为，检验我国相关法律施行的威慑作用、违规公示的凸显作用，模拟分析了云存储等技术应用前后的数据跨境传输行为变化。最后，本文基于上述分析结果，提出了有助于引导和促进数据自由跨境流转、统筹数字经济和数据安全协调发展的政策建议。

本文主要结论如下：第一，制度失范因素中的经济因素与数据跨境传输频率及风险均正相关，表明经济发展水平更高的地区面临更高的数据跨境传输风险。制度失范因素中的教育文化因素与数据跨境传输风险负相关，表明强大的教育系统有可能通过增强地区对数据安全的重视程度降低数据跨境传输风险。第二，我国相关法律的施行可对潜在违规数据跨境传输行为起到威慑作用。第三，代表机构特征因素的机构过往传输包数和采用互联网传输与数据跨境传输频率及风险正相关，而采用云存储则仅与数据跨境传输风险正相关。第四，欧盟 GDPR 惩罚案例的公示会凸显违规数据出境的不良后果，进而影响我国相关机构的数据跨境传输行为。第五，异常数据跨境传输行为受各因素的影响效果与上述数据跨境传输行为受各因素影响效果存在差异性。政府和行业监管机构可采取差异化的规制方法，并针对具体管控目标完善治理数据跨境传输风险的法律及政策。

本文政策建议如下：第一，逐步构建并动态拓展基于多源数据整合的数据跨境流转风险要素集。数据跨境管理过程中存在风险要素种类多样的问题，为实现数据跨境安全风险防控与监测预警，有必要基于多源数据构建数据跨境流转的风险要素集。第二，加强数据跨境安全风险的精准管控，优化行业的监管资源配置。行业监管部门可基于本文识别的风险要素和异常数据跨境传输特征，采用本文构建的风险测度方法评估机构的风险水平，加强对高风险机构的数据跨境传输行为的精准管理，优化行业监管部门的监管资源配置。第三，完善数据跨境风险管理的法律体系，推动建立数据违规跨境公示系统。加快相关法律法规和办法条例中涉及的诸如数据分类分级管理制度等的落地执行，一方面可以提升法律威慑的确定性，降低违规数据的出境风险；另一方面可以给予合规数据跨境传输机构明确指导，促进数据自由合规流转。与此同时，随着我国数据跨境传输法律体系的不断完善，可针对具体管控目标，试点探索公示数据出境违规案例及处罚结果，凸显违规数据出境的后果，降低潜在违规数据出境的频率和风险，进而保障国家数据安全，护航数字经济发展。

本文边际贡献如下：第一，本文从管理视角提出了一次数据跨境传输定义，并首次从频数、风险值、间隔时间等多个维度系统性地构建了风险测度方法，拓展应用于异常数据跨境传输的行为识别。第二，本文融合了制度失范理论、威慑理论等并拓展应用于数据跨境风险管理领域，为数据跨境流转的风险管理提供可参考借鉴的理论依据。第三，本文是使用计量方法开展数据跨境传输行为分析的首批工作之一，构建了数据跨境风险研判的量化分析框架，丰富了数据跨境传输风险管理领域的定量研究文献。

本文未来拓展方向如下：第一，本文所使用的测度指标有一定适用性，但并不能刻画所有种类的数据跨境传输风险，未来需综合使用多种测度方法和技术进行系统性风险管理。第二，本文所使用的数据中未包含关于数据跨境传输的详细信息，如数据传输目的、数据传输双方的合作关系等，未来可以从风险相关性视角开展研究。第三，本文所使用的数据为以中国部分地区的机构为数据传出方的数据跨境传输统计信息。本文的模型、方法和结果可以为其他国家和地区提供借鉴，并可在未来开展不同国家数据跨境传输风险管理的对比分析。

为保障个人信息和重要数据安全，近年来全球多个国家相继发布了一系列涉及数据跨境流动管理的政策法规和指南办法。随着数字技术和企业数字化转型的发展，数据跨境安全和风险管理问题愈发重要，与此相关的风险管理实践、政策制定施行等均亟需理论层面的参考依据和支撑。在此背景下，作者团队聚焦数据跨境流转的风险管理问题，长期从事该领域的科学研究、示范应用和管理实践工作。本文从投稿到有幸能够在《管理世界》刊发，经历一年有余的多轮修改，期间多位审稿专家和终审专家从理论基础、机制分析、研究设计、政策建议等方面提出了建设性的意见，促使我们不断完善研究内容，在很大程度上提升了文章质量。在此，我们由衷感谢为本文提供指导和帮助的各位审稿专家和学者老师。同时，我们也诚挚感谢编辑部老师严谨细致的审校工作，对文章的结构组织、实证分析、文字描述、图表呈现等提出了宝贵的专业意见，帮助我们切实增强文章规范性和可读性。未来，作者团队将继续开展国家和社会数据安全治理研究，为保障数据自由流转和数字经济发展贡献力量。

文章刊发：

李金、徐姗、卓子寒、李建平：《数据跨境流转的风险测度与分析——基于数据出境统计信息的实证研究》，《管理世界》，2023年第7期，第180~199页。