自 2018 年以来,数据保护法减少了安全漏洞,但也影响了公司的价值
根据东英吉利大学和德克萨斯大学的最新研究,新数据保护规则的出台大大减少了企业的违规行为,但对其市场价值产生了负面影响。研究人员观察了 2018 年欧盟《通用数据保护条例》(GDPR)开始实施后发生的情况。作者利用其域外影响力,探讨了美国公司受欧盟 GDPR 影响的变化,以了解更严格的数据隐私法如何影响它们的价值、投资选择和数据泄露。
他们发现,在 GDPR 生效的一周内,必须遵守该法规的公司的市值下降了 0.6-1.1%,即从 420 亿美元下降至 760 亿美元。这在一定程度上与更严格的数据隐私和安全法律导致公司销售增长放缓有关。
然而,这些公司在数据保护方面的投入比不受 GDPR 影响的公司更多,而且遭遇数据泄露的可能性更小。这一减少幅度非常显著,每年可防止多达 3400 万条记录被泄露,而处理这些记录每年将花费公司 2.05 亿至 5.61 亿美元。
研究结果发表在《商业财务与会计杂志》上。联合作者、东英吉利大学诺维奇商学院会计学讲师 Fabio Motoki 博士表示:“总体而言,这项研究显示了更严格的数据隐私法的主要成本和收益,为全球企业和监管机构提供了有用的信息。
“这些结果表明,GDPR 可能已经实现了其加强消费者数据保护和隐私的预期目标之一。这被认为是第一项记录最近监管这些领域的努力所带来的潜在好处的研究。
“具体来说,我们发现,受 GDPR 约束的美国公司在法规实施后报告数据泄露的可能性较小。数据泄露可能性的下降似乎是由与黑客和恶意软件相关的数据泄露减少所致,这可能归因于对网络安全的更多投资。这种更大的投资可能是由于 GDPR 导致更专业的董事会更加关注监督美国公司的网络安全风险。”
欧盟批准了《GDPR》,以解决人们对数据隐私和安全日益增长的担忧。该法案于 2018 年 5 月 25 日生效,要求企业在收集消费者数据时提高透明度,包括建立明确的选择同意收集、实施更严格的数据管理和控制,以及对数据处理或数据流违规行为处以巨额罚款和承担责任。因此,人们认为该法规可能会给企业带来高昂的合规成本。
GDPR 要求任何控制或处理欧盟居民数据的企业遵守该规则,无论其位于何处。因此,包括美国公司在内的全球公司如果处理欧盟居民的个人数据,都可能受到 GDPR 的约束。
此后,美国许多州以及巴西、中国和加拿大等其他国家都已颁布或正在讨论《GDPR》等法律,凸显了评估其在欧盟以外地区后果的重要性。
Motoki 博士和合著者、德克萨斯大学会计学助理教授 Jedson Pinto 分析了 GDPR 如何影响 1,013 家美国公司样本的股价在规则生效当周的走势,并将受到 GDPR 影响的公司与未受到 GDPR 影响的公司进行了比较。
对照组公司未受到 GDPR 相关风险的影响,这些公司从事医疗保健、银行或保险行业,因为它们已经在更严格的数据保护法下工作。研究发现,受 GDPR 影响最大的行业包括商业服务和公用事业、医药产品和集装箱等。
研究人员表示,公司价值的下降与投资者预期更严格的数据隐私法将对公司未来现金流产生重大负面影响的情况一致。
他们还发现,受到 GDPR 影响的公司在统计上比未受到 GDPR 影响的公司销售增长更慢——法律生效后,受影响的公司销售额增长比对照公司慢 5.8-6.6 个百分点。
数据泄露可能性的下降意味着一年内泄露事件减少了 10 起。2023 年,中型泄露(最多 101,200 条记录)的每条记录成本估计约为 165 美元,大型泄露的每条记录成本估计较低,但总经济成本较高。
Pinto 博士表示:“我们的研究结果为记录 GDPR 成本的文献增添了新的内容,例如欧盟风险投资的减少,尤其是当风险投资公司和主要投资者不在同一个州或联盟时。
“它们表明,GDPR 可能已经改变了市场对这些违规行为的看法,从而可能改变高管保护客户数据的动机。这些结果与法规是解决近期数据隐私和安全问题的另一种方式相一致,应该引起全球已颁布或正在寻求颁布类似于欧盟 GDPR 的法律的监管机构的兴趣。”
Motoki 博士和 Pinto 博士还利用样本期内 62 起数据泄露事件的信息,研究了 GDPR 是否影响了投资者对数据泄露公告的反应。他们发现,在 GDPR 实施后,投资者对数据保护要求更严格的公司的数据泄露反应可能会更加负面。
这种影响在经济上是显著的,与不受监管的公司相比,数据泄露事件在公布后的五天内会导致股价下跌 5.3%。他们表示,这些结果与投资者预期的泄露罚款相关的高额诉讼成本相一致。
页:
[1]