论文标题:Can Shareholders Benefit from Consumer Protection Disclosure Mandates? Evidence from Data Breach Disclosure Laws
中文标题:股东能否从消费者保护信息披露授权中受益?来自数据泄露披露法的证据
原文来源:MUSAIB ASHRAF & JAYANTHI SUNDER .2023. “Can Shareholders Benefit from Consumer Protection Disclosure Mandates? Evidence from Data Breach Disclosure Laws.” The Accounting Review. 98(4):1-32.
供稿:王晶
封面图片来源:Pexels
编者按
作者研究了数据泄露披露法律有助于降低股东风险的问题。本文基于州级的数据泄露披露指令发现:在交错通过这些法律后,股东风险平均有所下降。并且对于那些在法律出台之前已经采取实际行动管理网络风险的公司来说,这种影响会减弱。此外,在这些法律颁布后,企业更有可能增加网络安全投资。研究证据表明消费者保护披露指令可以让股东受益。
研究背景
(一)法律背景
数据泄露披露法是州级的披露指令,旨在保护个人信息在数据泄露事件中被公司泄露的个人。数据泄露法要求被泄露的公司通知其信息被泄露的每一个人(例如,客户或员工)。这些秘密披露旨在向受影响的个人提供及时的警告,以便他们能够管理潜在身份盗窃的后果。虽然法律并不要求在整个市场范围内公开披露数据违规本身,而是要求对受影响的个人进行私下披露。但是一旦被披露,公司无法阻止负面的违约消息在资本市场上更广泛地传播,因为消息已经被传达给潜在的数百万个人。因此,尽管法律要求对泄密行为进行私下披露,但它们会导致公众广泛了解泄密行为的发生,并且事实上可以被视为是泄密行为的公开披露。
法律并没有要求违约公司赔偿受影响的个人。尽管如此,这些法律旨在保护违规行为的受害者,因为关于泄露行为的通知使受影响的个人能够采取适当的行动来保护他们的身份。然而,并非所有的法律都是相同的,各州之间存在一些“次要的”实施差异。特别是,这些法律可能在三个特征上有所不同:(1)规定了一个明确的截止日期,在发现违规行为后,公司必须在该日期之前发布披露信息;(2)要求在进行披露之前进行“损害”评估,这要求公司只有在确定违规行为有可能对受害者造成损害的情况下才进行披露;以及(3)要求公司也将数据泄露通知司法部长或其他州或信用机构。此外,不同法律对不披露信息的处罚各不相同,各州总检察长负责执行法律——他们有权对违规公司进行处罚和起诉,这可能包括为受影响的个人寻求赔偿。然而,尽管法律之间存在差异,但这些法律的主要目的是让公司通知受影响的个人,这是所有定律中共同的“首要”元素,也是文章研究的重点。
在美国,数据泄露的披露由州法律管辖。2002年,加利福尼亚州成为美国第一个通过法律的州,该法律要求公司在未经授权的实体获得个人私人信息时去通知加州居民。在加利福尼亚之后,2003年至2014年期间,美国其他46个州分阶段制定了自己的法律,要求公司披露数据泄露(见下图1)。
-图1- 各州实施法律的时间
由于数据泄露披露法实际上要求在整个市场范围内公开披露数据泄露。所以,本文的研究中一个重要的潜在假设是,法律提高了公众对数据泄露的认识。换句话说,如果没有披露法,公众所知的数据泄露将会减少。如下图2所示,本文发现,当在事件时间(以数据泄露披露法在各州生效的日期为中心)绘制数据泄露披露图时,在后一时期公开泄露的数据急剧增加。这证明了这些法律鼓励公众意识到违规行为。
-图2- 各州数据泄露披露法生效前后公开披露的数据泄露数量
(二)文献背景
1.2.1现有概念
现有的研究披露要求的文献一般可以分为两组:研究以股东为中心的披露要求的工作,如证券法或财务报告监管,以及研究以其他利益相关者为目标的披露要求的工作。针对后者,Jin and Leslie(2003)研究了洛杉矶县强制要求顾客被告知餐馆卫生等级的影响,并发现食品传播疾病在该县越来越少。总的来说,文献清楚地表明,披露要求确实有能力诱导利益相关者的行为。但是现有文献倾向于关注影响特定行业的狭隘披露要求,而不是市场范围的要求。
关于数据泄露披露法有一些新兴文献。Romanosky et al(2011)发现这些法律的主要目的是了解泄露行为有助于被泄露受害者保护自己免受身份盗窃,并找到了法律通过后身份盗窃减少的证据。Kamiya et al(2021)没有发现数据泄露对公司价值的负面影响会因公司是否受到数据泄露披露法的约束而有所不同。Huang and Wang(2021)发现当违约公司受到数据泄露披露法的约束时,违约对贷款条款的负面影响更为突出。这两项研究都强调了数据泄露的不利后果,前提是公之于众,因此强调了采取实际行动避免数据泄露的重要性,因为在法律通过后,披露更加不可避免。
1.2.2概念发展:网络风险会增加股权成本吗?
正如AIG(2016)对网络安全专家进行的一项调查所指出的那样,德勤(2015)、世界经济论坛(2016)和Disparte and Williams(2017)支持网络风险对整个市场产生了影响,因此投资者应该是不可分散的。如果网络风险是不可分的,那么它应该是一个定价的风险因素。Florackis et al. (2022) 提供的所有股票的网络风险共性的经验证据表明,网络风险在横截面收益中定价。因此,网络风险是一个独特的系统风险因素,股东无法将其分散,而网络风险敞口更大的公司有更高的事前资本成本。本文使用标准资本资产定价模型的扩展版本来说明这一论点:
其中γi为正,因此采取实际行动改善网络安全的公司将减少网络风险溢价,这应该表现为股权成本的下降。值得注意的是,由于传染效应,一家公司减少其网络风险暴露也可以使经济中的其他公司受益。换句话说,改善网络安全可以通过降低焦点企业的γi产生直接影响,也可以通过降低所有企业的网络风险溢价产生间接影响。然而,只要网络风险溢价没有完全消除,采取实际行动改善网络安全的公司应该通过降低γi来表现出更低的股权成本。
研究贡献
文章的研究结果有以下两点贡献。
第一,随着行业的数字化程度不断提高,数据泄露事件和网络安全事件也急剧增加,美国证券交易委员会对公司面临的网络风险越来越担忧会计师,行业组织,政府,以及股东也是如此。因此,本文提供的证据是及时的,因为各种利益相关者正在努力应对公司的网络风险以及如何最好地减轻这些风险,本文的证据让监管机构了解了网络安全相关披露规定的一个重要后果。本文是第一个提供证据表明数据泄露法促使管理者采取实际行动来加强对网络风险的监督,从而降低股东风险的人。
第二,尽管有大量文献关注以股东为中心的披露要求,但本文与研究其他类型披露要求的新兴文献最为相关。本文的独特之处是记录了普遍披露要求的影响,而不是专注于特定行业。此外,以前的研究通常不探讨披露要求对剩余索赔人(如股东)的影响,也没有从经验上确定观察到的影响发生的渠道,但本文记录了对股东有利的影响的证据,并能够将其归因于公司的实际行动。
研究设计
(一)样本选择
下表1总结了样本选择过程。本文从2001年至2015年Compustat上美国公司的91,478个公司年开始,并提供了历史上商业总部州的数据。接下来,将观察结果与机构经纪人的估计系统(I/B/E/S)进行匹配,以计算权益成本指标,并剔除24591个没有I/B/E/S覆盖的公司年度。最后,剔除了37705个数据缺失的观察值以计算必要的变量观测值,并剔除了2718个在样本期内改变业务总部状态的观察值以确保公司的固定效果嵌套在状态簇,最终主要样本中有26464个连续年的观测结果。
-表1- 样本选择情况
(二)研究设计
3.2.1研究假设
在网络风险是增加股权成本的独特风险因素的背景下,文章认为数据泄露披露法通过鼓励管理者采取实际行动来优先考虑网络安全,减轻网络风险,并降低发生数据泄露的可能性,从而降低了公司的股权成本。这是因为法律实际上导致了数据泄露的公开披露,一旦披露,可能对公司产生实质性的负面后果。避免披露代价高昂的坏消息的愿望为管理者提供了强大的激励,使他们一开始就降低遭遇数据泄露的可能性。
数据泄露披露法应该有助于降低公司的股权成本,原因有三个。第一,管理者通常在网络安全上投资不足,网络安全投资通常使公司避免成本而不是产生收入,经理们更喜欢产生收入的投资而不是节省成本的投资。此外,由于网络事件发生的时间不可预测,经理们可能不会总是承担糟糕的网络安全成本:现任经理可能会在违规事件发生前离开公司。因此,自私自利的管理者——他们决定如何分配有限的资源——通常不会为网络安全部署足够的资源。本文认为,数据泄露披露法通过让网络风险更加突出,激励了对网络安全的投资。由此产生的网络安全投资应该会降低公司的γi,从而降低股本成本。第二,企业可以通过网络效应从降低的网络风险中获益。企业的网络风险既是自身网络安全的函数,也是企业可能与其共享组织间信息系统的贸易伙伴网络安全的函数。因此,法律可以通过鼓励其贸易伙伴(也受法律约束)投资网络安全来降低公司的网络风险。通过网络效应减少γi应该表现为公平成本的降低。第三,对网络安全的投资可能涉及对整体控制环境的升级,这可能会产生公司内部的溢出效应,降低与网络安全没有直接关系的股东风险。例如,美国国家标准与技术研究所网络安全框架要求公司在制定网络安全策略之前,首先要深入了解其控制环境。这个过程的一个潜在后果是加强公司的控制环境。任何有助于改善控制的公司内部溢出效应都会降低权益成本。
综上所述,前面的论点表明,在数据泄露披露法通过后,股东应体验到股东风险的降低。值得注意的是,股东风险的降低可能基于市场对公司将采取实际行动以降低网络风险的预期和/或市场实际观察到这些实际行动(公司可能通过各种渠道,例如10k文件),向投资者披露,本文提出假设:
H1:数据泄露披露法律与股权资本成本的降低相关。
3.2.2研究模型
为了测试数据违规披露法对公司权益资本成本的影响,本文估算了以下普通最小二乘(OLS)回归模型:
其中,i代表公司,t代表年份,COEit代表隐含权益成本。COE是权益法隐含成本的平均值,本文使用年末后第一个6月的股票价格和分析师估计来计算公司i的第t年的COE,并从每个度量中减去无风险利率(10年期国债利率)。
本文研究中的解释变量是LAW。在公司i所在州(即业务总部所在州)签署数据违规披露法律后的一个财政年度结束后的所有年度,LAW等于1,否则等于0。因为测试变量是州一级处理,所以在州一级对稳健标准误差进行聚类。由于包括了企业和年度固定效应,β1捕捉到了法律对权益成本的差异中的差异效应。最后,包括了一个公司年度控制变量。
实证结果
(一)Pearson相关性和描述性统计
下表2和3分别给出样本的Pearson相关性和描述性统计。符合Dhaliwal et al. (2016)COE的平均值(减去无风险利率后)是5%。总体而言,相关性和描述性统计与现有文献一致。
-表2 - Pearson相关性
-表3 - 描述性统计
(二)主要实证结果
如下表4所示。LAW的系数为负且显著,代表权益成本下降19个基点(或相对于样本均值下降3.8%)。鉴于LAW的系数是一个DID估计,这提供了强有力的证据表明,在通过数据泄露披露法后,公司经历了平均股权成本的下降。这些结果表明这些法律通过降低股东的风险而使他们受益。
-表4 - 实证结果
稳健性测试与进一步分析
(一)稳健性检验
1.预先接触法律面前对推论有实质性威胁吗?
如前所述,文章所有的分析都基于公司所在州何时通过数据泄露法。一些公司可能在本国以外的州开展业务,因此可能部分在它们所在的州通过这样的法律之前早就接触到这些法律。对于预先接触法律的公司,法律系数可能低估,而不是高估结果。尽管如此,为了解决这个问题,本文识别每个公司在各州的客户和员工,并据此计算的LAW。然而,由于公司不披露这一信息,本文进行了八项稳健性分析,结果如下表5。这些分析共同表明,预先接触法律不会对推论构成重大威胁。
第一,根据公司在10-K中提到该州的次数来确定公司在任何特定州的集中度。例如,如果公司i在t年的10-K中提到纽约9次,新泽西1次,那么公司i的90%集中在纽约,10%集中在新泽西。然后,我们定义一个新的变量LAW_WEIGHTED,并重新进行我们的COE分析。LAW_WEIGHTED等于LAW乘以公司i在t年在本国的集中度。这个变量衡量的是当一家公司受到州法律的影响时,该公司在其所在州的集中程度。下表5的第一列的结果表明LAW_WEIGHTED的系数为负且显著。
第二,将样本限制在10-K表格中提到他们的家乡州最多的观察上。下表5的第二列的结果仍然稳健。
第三,我们用LAW_HIGHEST替换变量LAW,它的计算类似于LAW,只是如果公司i的家乡州在公司i的t年通过了数据违规披露法,或者如果在公司i的t年的10-K中被提及最多的州在公司i的t年通过了数据违规披露法,它的值为1,下表5的第三列的结果仍然稳健。
第四,有些行业的客户和员工比其他行业更集中。Gervais and Jensen (2019) 分析969个行业的贸易投入和产出,并计算每个行业的SES,这是一种衡量一个行业的产品相对于生产在当地消费的程度的指标。实际上,社会经济地位低的行业表示商品和服务消费接近生产的企业(如牙科诊所),而社会经济地位高的行业表示消费不接近生产的企业(如甘蔗加工厂)。SES的取值在0和1之间变化。可以说,与本文的背景相关的是社会经济地位较低的公司更有可能将客户和员工设在他们的家乡。因此,重新运行本文的主要分析,但用[1减去其SES得分]对每个公司进行加权(即运行加权最小二乘回归,其中SES得分较低的公司权重较大)。下表5的第四列的结果保持一致。
第五,小公司不太可能在他们的母国之外经营,他们的客户和员工基础更可能集中在当地。因此,在资产少于1亿美元的公司样本中重新运行本文的主要分析。下表5的第五列的结果保持一致。
第六,如果这些小公司确实在其他州经营,可以说他们更有可能在一个离他们的家乡州很近的州经营。因此,在资产为1亿美元或更少的公司样本中,用LAW_BORDER替换变量LAW,它的计算类似于LAW,只是如果公司i的母国在公司i的t年通过了一项法律,或者如果与公司i的家乡州接壤的任何一个州都在公司i年通过了一项法律。下表5的第六列的结果保持一致。
最后,使用FactSet来确定公司的已知客户,并使用变量LAW_CUSTOMER重新运行主要分析,该变量的计算类似于LAW,只是如果公司i的母州在公司i的t年通过了一项法律,或者如果公司i的客户所在州在公司i的t年通过了一项法律,则该变量将作为1。文章还使用LAW_HIGHEST&CUSTOMER重新运行本文的主要分析,当LAW_HIGHEST或LAW_CUSTOMER为1时,该变量将为1。下表5的第七列和第八列表明两种稳健性分析的结果与主回归结果保持一致。
-表5 - 稳健性检验
2.各州的行业集中度、双重聚类和其他分析
文章又进行了七项稳健性分析,所有这些分析都列在下表6。
第一,某些行业可能集中在某些州,可能面临类似程度的网络风险。因此,如果在一个行业中发现重大漏洞,该行业中的所有公司可能会采取实际行动来应对这一违规行为。如果此类违规行为与数据违规披露法的通过同时发生,那么可能会错误地将这种行业反应归因于这些法律。但是本文使用了跨多个州利用多个事件的交错采用设置,所以这不太可能给本文的结果造成影响,尽管如此,本文还是通过用行业年度固定效应替换COE模型中的年度固定效应直接解决了这一问题。如下表6的第一列,发现LAW的系数继续为负且显著。事实上,这强化了一个概念,即州层面的行业集中首先不会对推论造成威胁。
第二,文章的主要处理事件是在州一级,为了确保结果对任何年内相关性都是稳健的,重新运行主要分析,同时按州和按年进行双重聚类。如下表6的第二列,发现LAW的系数继续为负且显著。
第三,在广义差中差模型中,早期处理的观测值可作为后期处理观测值的对照,当处理事件之间的治疗效果不均匀时,观察到的处理变量系数估计可能存在偏差。有两个特别的问题:(1)观察到的系数估计值与“真实”效应的方向相反;(2)即使观察到的系数估计值在正确的方向上,相对于真实效应,它在经济上仍然可能被夸大。鉴于文章的结果表明平均统计上显着的负系数,本文对这种偏差的关注是(1)真实效果实际上是积极的,或者(2),除非符号翻转,真实效果在经济上比文章观察到的更少。本文用以下方式解决这一问题。首先进行一项诊断分析,重新运行主要分析,但不是同时包括所有的治疗事件,而是逐步加入每个治疗事件。首先对2001年至2002年(首次治疗事件)进行分析,然后将分析扩展到2001年至2005年(首次和第二次治疗事件),依此类推。下表C2中介绍了这一分析,结果表明有偏系数不会对推论构成实质性威胁:(1)在第一个估计窗口中,效果在统计上是负的,其中没有任何潜在的有问题的早期处理观察值作为后期处理观察值的对照;(2)在所有逐步回归中,治疗效果在统计学上是负;以及(3)虽然系数估计可以理解地随着修改样本而波动,但随着样本的扩大,系数估计不是单调地更负。本文进一步进行了证明,首先创建事件队列数据集,限制在每个处理日期前后两年(前一年,后一年)——一个数据集用于2002组,包含2001年和2002年的观察结果,一个数据集用于2005组,包含2004年和2005年的观察结果,以此类推。在每个事件队列数据集中,处理公司是总部设在为该队列进行处理的州的公司,而控制公司是到那时尚未进行处理的公司。例如,对于2005年的数据集,处理公司是2005年通过法律的州的公司,控制公司是2005年之前没有通过法律的州的公司(在2005年之前通过法律的州的公司被排除在2005年的数据集之外)。然后,将所有事件队列数据集合并为一个数据集,并使用与主要分析相同的模型重新运行,只是现在使用每个事件队列的指标使模型完全饱和。如下表6中的第3列所示,LAW的系数在统计上仍然是负的。
第四,文章随机分配每个观察到的不同州的法律通过日期,但该日期与公司所在州不在同一年。重大数据泄露往往会引起全国媒体的极大关注,因此,人们会期望全国各地的公司,而不是发生数据泄露的特定州的公司,会对数据泄露做出反应。因此,如果公司真的对与法律通过相一致的数据泄露做出反应,而不是法律本身,那么应该继续在这个随机日期分析中观察到负系数。对于此分析,我们将COE模型中的LAW替换为PLACEBO_LAW(如果公司i的年份t在公司i的随机分配安慰剂日期之后,则等于1,否则为0)。下表6中的第4列显示结果稳健。
第五,使用另一种方法计算股权成本。在本文的主要分析中,遵循现存的文献,采用Easton(2004)未经修改的PEG模型(COE_PEG)度量股权成本,下表6中的第5列显示结果稳健。
第六,计算企业的隐含权益成本需要对企业未来收益的预期。本文在计算COE时利用分析师的预测收益作为公司预期未来收益的代理。利用分析师预测的一个问题是这些预测中的潜在偏差。本文通过基于历史会计信息预测未来收益作为预期未来收益的代理来解决这一问题。本文使用横截面剩余收益模型来估计公司的未来收益。然后,使用这些数据来计算COE_RI,它的计算方法与主要COE变量相同,只是使用基于横截面剩余收益模型的预测收益作为对公司未来收益的预期,而不是分析师的预测。下表6中的第6列显示结果稳健。
第七,GLBA和HIPAA可能会要求一些公司披露数据违规事件。GLBA/HIPAA的出现可能会在本文的主变量法中引入一些测量误差。文章通过使用LAW_GLBA&HIPAA重新运行主要分析来解决这一问题,如果公司i的母国在公司i的t年通过了数据违规披露法,如果公司i是一家金融公司并且公司i的t年是在GLBA制定其违规披露要求之后,或者如果公司i是一家医疗保健公司并且公司i的t年是在HIPAA制定其违规披露要求之后,则等于1(否则为0)。下表6中的第7列显示结果稳健。
-表6 - 稳健性检验
3.平行趋势假设
对于最终的稳健性分析,本文解决平行趋势问题,将主要分析中的LAW变量替换为公司i所在州法律通过前一年的指标(第t-1年[LAWt-1]),第t年的指标(t年[LAW t])、后一年的指标(t+1年[LAWt+1]),以及之后所有年份的综合指标(t+2年…n [LAW t+2…n])。以两种规格进行分析:(1)LAW t-1与我们的主变量LAW在同一回归中;(2)所有四个变量LAW t-1、LAW t、LAW t+1和LAW t+2…n在同一回归中,排除了主变量LAW(由于共线性)。如果t-1年的系数不显著,则表明平行趋势假设是合理的,下表7表明结果稳健。
-表7 - 平行趋势检验
(二)进一步分析
1.数据泄露法律对权益成本影响的横截面分析
本文认为,这些法律促使企业在网络安全方面进行真正的投资。因此,在法律出台之前已经投资于网络安全的公司从法律中获得的利益应该更少,这应该表现为对股权成本的更弱(更少的负面)影响。下表8中检验了这一论断。
使用两个代理来确定在法律通过之前优先考虑网络安全的公司。第一个是PRIOR_CYBER_CAPEX,如果公司i在法律颁布前投资了网络安全,它等于1(否则为0)。第二个是通过计算一家公司在10-K文件的MD&A部分中表示资本支出的的十个关键词内讨论网络安全软件包的次数来确定网络安全投资。公司被要求在10-K文件的MD&A部分披露重大资本承诺。因此,PRIOR_CYBER_CAPEX是在法律颁布之前投资于网络安全的公司的代理。我们的第二个代理是PRIOR_IT_OFFICER(如果公司i在法律制定前的时期在高层管理团队中有首席信息官、首席技术官、首席信息安全官或首席安全官,则等于1[否则等于0])。可以说,与其他公司相比,高层管理团队中有IT官员的公司更有可能优先考虑或投资于网络安全。下表8中检验了这一论断。
-表8 - 横截面分析
2.响应数据泄露法律的实际行动的证据
为了进一步证明企业通过采取实际行动优先考虑网络安全来应对法律,本文进行了两项额外的分析。第一,研究企业是否会增加网络安全投资以应对法律。对于这一分析,因变量是CYBER_CAPEX(公司I在t年10-K申报的MD&A部分中在十个关键词内讨论网络安全软件包的次数,该关键词指示资本支出),下表9表明:企业在法律通过后增加了网络安全投资。
-表9- 数据泄露披露法对网络安全相关资本支出的影响
第二,研究在一个州通过数据泄露披露法后,公司是否更有可能在最高管理团队中拥有IT官员。下表10的第1-3列中的因变量是IT_OFFICER(如果首席信息官、首席技术官、首席信息安全官或首席安全官在第t年成为公司I的高层管理团队成员,则等于1,否则为0)的概率。CIO_CTO(即首席信息官或首席技术官)或CISO_CSO(即首席信息安全官或首席安全官),可以得出,LAW的系数为正,但在第1列和第2列中不显著。然而,在第3列中,LAW的系数为正且显著。这些结果表明,在其所在州通过数据泄露披露法后,公司更有可能在高层管理团队中拥有CISO或CSO,但法律与在高层管理团队中拥有CIO或CTO之间没有显着关联。这一结果并不完全令人惊讶,因为首席信息官和首席信息官是专门为网络安全目的而雇用的,而首席信息官和首席信息官负责网络安全,但可能也扮演其他角色,因此不一定需要与法律直接相关。
-表10- 数据泄露披露法对高层管理团队构成的影响
3. 股价对数据泄露法律的反应
在其他条件不变的情况下,股东风险的降低应该会增加股东价值。然而,为了降低违规风险,企业还必须投入大量现金来改善网络安全。在其他条件相同的情况下,现金支出会降低股东价值。因此,法律对股东价值的净影响尚不清楚。因此,本文进一步研究了公司在与法律相关的每个州的四个关键日期的异常回报。(1)数据泄露披露法案首次在州立法机构提出的日期(LAW_PROPOSED),(2)该法案在州立法机构通过的日期(LAW_PASSED),(3)该法案签署成为法律的日期(LAW_SIGNED),以及(4)该法律生效的日期(LAW_EFFECTIVE)。我们还使用LAW_DATES在一个变量中捕获所有日期(所有四个日期的1)。文章使用沃顿研究数据服务(WRDS)的事件研究来计算处理和控制公司在每个日期的CAR(公司当天的原始收益减去证券价格研究中心[CRSP]指数,在[1,1]事件窗口上求和)。下表11的结果表明,平均而言,投资者对法律持积极态度,股东风险降低带来的价值提升效应大于现金流的负面效应。
-表11- 市场对数据泄露披露法通过的反应
研究结论
文章的主要结论如下:第一、本文分析了州级数据泄露披露法律如何影响股东风险,以公司的股权资本成本为代表。虽然这些法律的预期目的是保护个人身份信息在数据泄露中被泄露的人,但本文证实了这些法律有助于通过激励管理层通过采取实际行动来减少公司面临的网络风险和经历数据泄露的可能性,从而降低股东风险。第二、本文证实股东认为这些法律降低了他们的风险:平均而言,这些法律通过后,股权成本降低了,并且股权成本是通过实际影响降低的。第三、文章记录了公司在每个州通过法律的关键日期前后的正异常回报。此外,文章还提出了几点警示:第一、法律是从州居民的角度而不是从公司所在州的角度来写的。由于数据的限制,本文根据公司所在州的法律来分配风险。这个研究设计选择给本文的推论增加了噪音。第二、各州之间的法律还有不同的次要实施特征。本文对这些次要实施特征的影响的推断是有限的,本文鼓励未来的研究继续进行这方面的研究。
Abstract:
Data breach disclosure laws are state-level disclosure mandates intended to protect individuals from the consequences of identity theft. However, we argue that the laws help reduce shareholder risk by encouraging managers to take real actions to reduce firms’ exposure to cyber risk. Consistent with this argument, we find an onaverage decrease in shareholder risk, proxied by cost of equity, after the staggered passage of these laws. We also find the effect is attenuated for firms that already took real actions to manage cyber risk before the laws. Further, after these laws, firms are more likely to increase cybersecurity investments and have a cybersecurity officer. Finally, we observe positive abnormal returns on key dates related to the passage of these laws. Our collective evidence suggests that consumer protection disclosure mandates can benefit shareholders and, specifically, that regulators can use disclosure mandates to incentivize managers to reduce firms’ exposure to cyber risk.
