CNIL发布了一份关于GDPR对网络安全经济影响的分析报告。通过在该领域加强义务,该法规帮助预防了身份盗窃等网络损害,例如在欧盟范围内,网络损害的预防金额在5.85亿欧元到14亿欧元之间。

在GDPR实施五周年之际,CNIL对其经济影响进行了回顾。CNIL注意到,关于该法规的经济研究往往主要关注其成本,而对其带来的益处则关注较少。因此,CNIL着手研究其中的一些益处,并提供了量化分析。该分析从网络安全的角度(GDPR第32条、第33条和第34条)出发,以突出法规的积极影响。

在网络安全经济学中,信息安全被视为企业做出的一种投资决策。这一投资决策遵循盈利逻辑:网络安全投资会权衡其成本与网络攻击的风险。

然而,企业的这种计算忽略了一个关键因素,即其投资对更广泛社会的影响,这在经济学中被称为外部性由于这些外部性,企业在没有监管的情况下,其自发的网络安全投资水平是次优的。像GDPR这样的法规通过要求实施能够惠及数据主体、企业及其合作伙伴的安全措施,帮助纠正这种市场失灵

因此,CNIL选择通过专注于网络安全的量化分析来研究GDPR的益处。以下是完整报告的主要发现总结。

译者注:externality** 是经济学中的重要概念,指 某一经济主体的行为对第三方(非直接参与方)产生的非市场性影响,且这种影响未通过价格机制反映在交易中。*

  • 关键特征

    • 影响由第三方承担(非买卖双方);

    • 影响可能是正面或负面的,分别称为 “正外部性” 和 “负外部性”。

在 cybersecurity 语境中的具体含义

  • 正外部性(Positive Externality):某公司在网络安全上的投资,不仅保护了自身,还为其他公司创造了 “溢出效益”—— 整个行业的网络安全环境变得更具韧性,降低了所有公司遭受网络犯罪的风险。

  • 非市场性影响:这种效益并未通过市场交易(如其他公司付费)实现,而是投资行为的 “附带好处”。

网络安全中的不同类型的外部性

根据受影响的经济主体,可以识别出三种主要的外部性类型:其他企业、网络犯罪分子和客户/用户。

影响其他企业的外部性

企业的网络安全水平也依赖于其他企业的网络安全投资。计算机病毒可以通过机器之间的传播,像生物病毒通过传染传播一样传播。因此,当一家企业投资网络安全时,它有助于通过类似群体免疫的机制, 营造一个更具韧性的整体网络犯罪防御环境

  • 在分包关系中,因为数据控制者的数据安全取决于其分包商的安全水平;

  • 当企业与合作伙伴乃至竞争对手协同提升数据安全标准时,后者可从行业整体安全水平的提升中获益,进而推动全行业形成 “标准提升 - 共同获益” 的良性循环。

然而,企业没有动机去考虑其网络安全投资给竞争对手带来的好处,这限制了其在这一领域的投资。

影响网络犯罪分子的外部性

对网络安全的低投资增加了网络犯罪的盈利能力,尤其是通过勒索软件(旨在勒索赎金的攻击)。

当安全措施不足时,攻击更有可能成功。 成功的攻击越多,网络犯罪分子就越能要求高额赎金,因为他们知道一定数量的受害者最终会支付。网络犯罪分子通过平衡两个因素来调整赎金金额以优化利润:一方面,赎金过高可能会阻止受害者支付;另一方面,赎金过低则无法最大化利润。

由于只有少数公司愿意支付巨额赎金,最优策略取决于成功攻击的次数。如果成功攻击很少,要求大多数受害者都能接受的适中赎金会更有利可图。然而,如果成功攻击很常见,受害公司支付高额赎金的可能性就会增加。此时,网络犯罪分子通过在少数大额支付上最大化收益,设置高额赎金会更有利可图。

因此,对网络安全的低投资形成了一个恶性循环:它增加了攻击的成功率,增强了网络犯罪分子要求更高金额的能力,最终提高了网络犯罪的盈利能力和严重性。

影响客户的外部性

影响企业的数据泄露通常涉及其客户/用户的个人数据。这些数据可以被用来对受影响的个人发动进一步的网络攻击(网络钓鱼、身份盗窃、凭据填充)。受到数据泄露影响的个人可能无法始终识别出是哪家公司导致其个人数据泄露。

当一家企业披露数据泄露时,它面临后果:声誉受损、估值下降、客户信任度降低等。为了避免这些后果,企业可能会选择在没有监管的情况下不披露事件。

这种负面外部性是次优的,因为它允许相关企业在因网络安全投资不足而对其客户造成伤害时逃避责任,从而降低了其加强保护措施的动机。此外,它还阻止受影响的个人保持警惕并采取适当措施来保护自己。

GDPR使这种不透明性成为非法行为:数据控制者现在被要求向数据保护机构报告任何数据泄露事件,并在个人数据泄露存在高风险时通知受影响的个人。未能履行这些义务的企业将面临制裁。通过减少这种外部性,GDPR因此为整个社会带来了好处。

在大多数情况下,企业在决定网络安全投资金额时,并没有考虑这些各种外部性。因此,如果没有像GDPR这样的监管义务,对信息系统的安全保护投资仍然不足。

从网络安全角度看GDPR的益处

遵守GDPR有助于解决网络安全投资不足的问题。

例如,通过要求实体通知个人严重的数据泄露事件(GDPR第34条),人们可以选择停止与那些未能保持适当网络安全水平的公司开展业务。这一条款因此有助于减少影响公司客户的外部性。公司被追究责任,从而激励其在网络安全方面增加投资。

因此,经济研究考察了与身份盗窃相关的后果:

  • 通过比较实施这一政策前后的身份盗窃事件数量,经济学家发现数据泄露通知导致身份盗窃减少了2.5%到6.1%;

  • 通过将这一减少与法国身份盗窃的成本进行比较,可以计算出自2018年以来,法国避免了9000万欧元到2.19亿欧元的损失,欧盟范围内避免了5.85亿欧元到14亿欧元的损失;

  • 考虑到这些损失的赔偿水平以及身份盗窃对受害者对在线购物的信任的影响,可以估计避免的损失中有82%惠及企业。

这些收益仅代表GDPR在减少网络犯罪方面带来的总益处的一小部分。它们反映了其中一条条款对一种特定网络犯罪(身份盗窃)的影响。还必须考虑GDPR合规对勒索软件、僵尸网络(互联网连接程序的网络)、恶意软件等的积极影响。值得经济学家进一步探索网络安全维度,以提供对这一主题的更全面的看法。

研究报告全文:https://www.cnil.fr/sites/cnil/files/2025-06/cybersecurity-economics-gdpr.pdf

声明:本文来自那一片数据星辰,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。