漏洞披露对企业市值影响的经济学分析

赵红漫 赵柳榕 李娇

【摘 要】 以2011—2020年我国沪深A股上市公司在国家信息安全漏洞共享平台公开的漏洞信息为样本，运用事件研究法分析企业异常收益率在漏洞披露时间附近的变化情况，判断披露事件对企业累积异常收益率的负面影响，并阐释企业累积异常收益率的影响因素及影响程度。结果表明：漏洞评分、企业补丁响应行为、企业规模和漏洞公布时间对企业累积异常收益率有显著正向影响，但随着漏洞评分的增大，补丁响应行为对企业的影响效果会减弱；漏洞披露的延误程度对企业累积异常收益率有显著负向影响；企业所属产业对企业累积异常收益率无显著影响。最后为企业和漏洞披露平台提出信息安全漏洞披露的策略和建议。

【关键词】 信息安全漏洞； 累积异常收益率； 漏洞披露

【中图分类号】 F832.0；C931  【文献标识码】 A  【文章编号】 1004-5937（2023）15-0075-08

一、引言

随着我国数字经济的高速发展，信息技术与各行业深度融合，但漏洞威胁也与日俱增。《中国互联网网络安全报告》显示，2020年国家信息安全漏洞共享平台（CNVD）共收录通用软硬件漏洞近两万起，较2019年漏洞收录总数环比增长24.39%。信息安全事件不仅给企业造成直接的经济损失，而且对企业声誉和信任度产生无法估计的负面影响。例如，2018年Facebook披露了一个安全漏洞，超过5 000万用户受到影响，Facebook股价因此事件下跌超4%，市值减少了245亿美元。近年来，政府和企业愈发意识到网络安全是影响数字经济健康发展的前提和保障，已成为国际上非传统安全领域竞争的热点。网络安全是总体国家安全观的重要内容。党的二十大报告多次提到“安全”，并鲜明提出“要推进国家安全体系和能力现代化，坚决维护国家安全和社会稳定”，“以新安全格局保障新发展格局”。对漏洞的管理，我国一直坚持“统筹发展与安全”的理念。为了提升网络安全防护水平，《网络安全法》新增了漏洞披露等规定。然而，我国漏洞披露机制起步较晚，大多企业无法评估漏洞披露信息所带来的影响。因此，研究企业信息安全漏洞披露的影响因素和影响程度至关重要。

近年来关于漏洞披露的研究较为丰富。Berkman等[ 1 ]认为漏洞披露与市场价值具有相关性，并拓展了网络安全意识的衡量标准。Jeong等[ 2 ]发现企业所属行业的信息化程度不同，股票市场对漏洞披露的反应也不同。然而，关于漏洞对股票市场的影响和安全漏洞披露机制等现有研究较少。Campbell等[ 3 ]较早基于传统资本资产定价模型开展相关研究，随后Gordon等[ 4 ]建立改进的Frame-French三因素模型发现漏洞类型对股票市场有显著的负面影响。在此基础上，温雅欣[ 5 ]以2010—2016年间美国上市企业为样本，分析漏洞发生和公告時滞对股票市场的影响。也有学者研究漏洞披露时间对股票市场的影响。Kannan等[ 6 ]发现信息安全披露在某些时间窗口没有显著的负面影响。Hovav等[ 7 ]研究发现漏洞对企业的影响随时间推移而变化，而市场对攻击事件持有“观望”态度。Rosati等[ 8 ]发现数据泄露公告仅在当日对企业股票的买卖价差和交易量产生正面影响，随后市场活动迅速恢复正常。此外，Rosati等[ 9 ]以2011—2014年美国数据泄露事件为样本，指出社交媒体的曝光会加剧数据泄露公告对股市的负面影响。在信息安全漏洞披露体制方面，Al-najjar等[ 10 ]分析了自愿披露前瞻性信息对企业的作用，Wang等[ 11 ]通过设计动态的奖励与监察政策从长远角度最小化社会成本，Uldis[ 12 ]分析了拉脱维亚国家披露机制条例建立的过程。还有学者比较我国和西方国家的信息安全漏洞披露政策，设计了更完善的网络安全披露体系[ 13-14 ]。

在已有研究成果中，事件研究法是解决该问题的经典方法，可以分析信息安全事件发生对企业股价和收益率的影响，并以此检验金融市场对漏洞披露的反应程度。例如Goel等[ 15 ]、王秦等[ 16 ]分别选择较长的事件窗口评估信息安全事件对上市企业市值收益的影响，但Pirounias等[ 17 ]指出较长的事件窗口不仅与有效市场假设相反，而且加剧了其他随机事件影响市场反应的可能性。因此，本文拟选择较短的事件窗口以避免其他事件的混合效应，从而更好地衡量企业的累积异常收益率。

综上，已有研究大多基于美国企业及其信息安全漏洞披露数据，缺少定量分析市场对我国企业信息安全漏洞披露的反应，无法结合我国市场情况和相关法律法规为企业提供合理的漏洞披露建议以尽可能降低损失。在笔者查询到的唯一份分析我国信息安全事件对公司价值影响的研究中，王秦等[ 16 ]考虑了公司规模、所属行业、事件的社会回应（通过社交媒体就事件解释原因）和事件涉及的数据类型、事件发生的时间等因素，探讨信息安全事件发生的时间、行业和社会回应与公司价值的相关性，但其研究侧重于信息安全事件发生的视角，没有从漏洞披露视角分析企业市值将受到何种程度的影响。目前，我国安全漏洞的披露机制尚不成熟，研究漏洞披露对企业累积异常收益率的影响及影响因素可为企业的信息安全投资决策、安全披露应急响应及政府的披露政策等提供科学依据。因此，本文以2011—2020年间信息安全漏洞事件为样本，采用事件研究法分析企业特定时间窗口内异常收益率的变化以及漏洞披露对累积异常收益率的显著性影响，并结合回归模型探究不同因素对企业累积异常收益率的影响，并为企业和漏洞披露平台提出信息安全漏洞披露策略和建议。

二、研究设计与模型构建

（一）数据获取与样本选择

本文从中国证监会指定的上市公司信息披露网站巨潮资讯网获取相关股票数据，从国家信息安全漏洞共享平台（CNVD）获取相关漏洞披露信息。鉴于我国股指期货合约在2010年才正式上市交易，2011年后股市制度逐渐完善和成熟，因此选择2011—2020年间的上市公司相关数据进行研究。首先，采集国家信息安全漏洞共享平台的相关数据共696 306条，通过数据清洗选择在沪深A股证券市场上交易的上市公司为样本，采集字段包括企业名称、漏洞类型、漏洞解决方案、漏洞报送时间、漏洞公开日期、漏洞收录时间等。其次按照以下四个标准进一步筛选：（1）剔除样本事件发生期间未上市的企业；（2）剔除样本事件发生期间和估计期内存在停复牌的企业；（3）剔除样本事件发生期间内交易数据不可得的企业；（4）若同一家企业样本事件估计期与其他样本事件发生期重合，只保留最先发生的事件。最后筛选出35家企业的39个样本事件，共计234条漏洞披露数据和4 953条股票数据。

（二）研究方法

为了探究漏洞披露对企业市值的影响，本文首先采用事件研究法分析企业异常收益率的变化情况，判断漏洞披露是否对企业的累积异常收益率具有显著性影响；其次利用回归模型分析企业累积异常收益率的影响因素及其影响程度，并提出相关结论。

定义事件为CNVD平台发布的信息安全漏洞公告。参考已有研究，以漏洞公告日作为第0天，设事件估计窗口为120天；为避免较长的事件窗口可能会增加其他因素干扰股价市场的风险，将事件窗口的开始日期设定为事件发生的前3天，结束日期分别设定为漏洞公告日、事件发生后的第1天、事件发生后的第2天。企业i的个股异常收益率为ARi，t=Ri，t-Ri，t'。其中Ri，t= 为企业i的个股日收益率，Pi，t-1、Pi，t分别为企业i在第t-1天和第t天的收盘价格，Ri，t'=？琢i+？茁iRmt+？着it为企业i个股的预期收益率（即正常收益率），？琢i、？茁i分别为市场模型的拦截参数和斜坡参数，Rmt为上海/深圳证券综合指数计算出的市场日收益率，？着it为干扰项。由此可得，企业的累积异常收益率为CARi（k）= ARit，平均异常收益率为AARt= ，平均累积异常收益率为ACRt= 。

本文对平均异常收益率和平均累积异常收益率在5%与95%分位点上进行缩尾（Winsorize）处理，控制极端值对结果的影响，并对缩尾前后的累积异常收益率进行t检验、秩和检验，探索漏洞披露是否对企业股票收益产生影响，分析其影响程度。

（三）模型建立

通过总结Gordon等[ 4 ]、温雅欣[ 5 ]、王秦等[ 16 ]的研究成果，提取企业规模和漏洞披露的延误程度等因素作为解释变量。另外，结合CNVD平台披露的漏洞描述信息内容及《网络安全法》的漏洞披露要求，将漏洞评分、漏洞披露日期和企业补丁响应行为补充考虑到模型中。变量具体说明如下：

1.企业规模（scale）。一方面，规模较大的企业可以采取更完善的措施应对漏洞披露事件，而小型企业可能会因应对不当造成较大损失；另一方面，社会媒体对大型企业的关注度较高，可能会加剧漏洞披露的负面效应。

2.漏洞评分（score）。漏洞对信息的机密性、完整性和可用性造成威胁，具有多维属性，不同评分的漏洞一般对应不同的漏洞类型，对企业的威胁程度和可能造成的损失也不同。CNVD平台的漏洞描述中包含三种属性的漏洞评分，本文统计了所有事件的漏洞评分用于后续实证分析。

3.漏洞披露的延误程度（days）。信息安全漏洞的报送时间和公布时间具有时间差，分析漏洞披露的时间差可判断披露行为的延误程度。例如，较短的时间差意味着漏洞披露的延误程度较小，即披露比较及时，减少了企业和投资者间的信息不对称。因此，漏洞披露的延误程度可能会对企业股价产生影响。

4.漏洞披露日期（time）。2017年我国正式实施《网络安全法》，其中第二十二条规定“网络产品、服务的提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告”，第五十五条规定“发生网络安全事件……及时向社会发布与公众有关的警示信息”。因此，本文以《网络安全法》施行日期为基准，比较法律法规实施前后股票投资者对漏洞披露的态度是否发生变化。

5.企业的补丁响应行为（response）。发生漏洞披露事件时，若企业及时提出解决方案（例如发布相关补丁），可能有助于减轻漏洞披露事件对企业的负面影响。本文参考CNVD平台公布的信息确定企业是否采取补丁响应。

除了上述变量对企业累积异常收益率的影响外，已有研究发现企业在选择补丁响应策略时，会考虑企业的市场份额和网络环境中发生安全攻击的概率两种因素[ 18 ]。事实上，企业所拥有的市场份额可通过企业规模反映[ 19 ]，企业在网络环境中发生安全攻击的概率则取决于系统的脆弱性，可通过漏洞评分反映[ 4 ]。企业规模、漏洞评分等变量对企业补丁响应行为会产生调节效应，进而影响企业的累积异常收益率，因此，模型中增加以下两种效应：

一是企业规模对补丁响应行为的调节效应（response× scale），指在企业规模变量的调节下，补丁响应行为对企业累积异常收益率造成的影响。

二是漏洞评分对补丁响应行为的调节效应（response×

score），指在漏洞评分变量的调节下，补丁响应行为对企业累积异常收益率造成的影响。

基于以上解释变量和假设，建立如下回归模型：

本文对企业漏洞披露前最近一个季度的总市值取自然对数，以此衡量企业规模（scale）。score表示CNVD平台披露的漏洞评分。同样地，借鉴相关文献的方法对CNVD平台公布的信息安全漏洞报送和公布的时间差（days）采用对数变换，以衡量漏洞公布的延误程度。以《网络安全法》施行日期2017年6月1日为基准，若time值为1表示该漏洞公告的日期发生在《网络安全法》实施之后，否则为0。response值为1表示漏洞披露后企业发布相关补丁，否则为0。response×scale表示企業规模对补丁响应行为的调节效应，response×score表示漏洞评分对补丁响应行为的调节效应。？茁0为常数项，？茁i（i≠0）表示各变量的系数，当？茁i为正时表示该变量对企业累积异常收益率有正向影响，反之则对企业累积异常收益率有负向影响。？着表示误差项。各变量的描述性统计结果如表1所示。

三、实证分析

（一）基于事件研究法的实证分析

依据市场模型，样本企业市值均值为481.64亿元，信息安全漏洞披露前3天市值下滑1.8%，造成的损失近8.67亿元。由企业股票数据可以得到事件期内样本的平均异常收益率与平均累积异常收益率。由图1可知，在整个事件期内，企业的平均累积异常收益率均为负值。在漏洞披露事件发生前，企业的平均异常收益率均为负值，且总体趋势平缓，这可能是因为漏洞披露事件提前泄露，或披露往往发生在信息安全事件报道45天左右，在这个阶段投资者对企业仍持消极态度，信心不足。特别地，在漏洞披露当天，企业的平均异常收益率出现明显下降，这可能是由于漏洞披露引发投资者对企业的关注，产生了负面预期。而在漏洞披露事件发生后，企业的平均异常收益率由负转正，且上升趋势逐步扩大，这可能是因为披露事件使漏洞类型、安全事件造成的实际损失等信息透明化，企业对安全事件的响应行为也会使部分投资者对企业信心增强。

为了降低异常值对显著性检验的影响，本文对各事件窗口内的企业累积异常收益率进行缩尾处理。在此基础上，为了验证漏洞披露对企业累积异常收益率的影响具有统计学意义，且避免个别样本的方差偏态对检验结果的影响，本文分别采用t检验、秩和（Wilcoxon）检验法对缩尾前后各事件窗口的企业累积异常收益率进行显著性检验，结果如表2和表3所示。可以发现，在t检验、秩和检验中各事件窗口内的企业累积异常收益率均为负，且除缩尾前事件窗口[-3，+2]外，其余各事件窗口内的企业累积异常收益均在5%的统计水平上显著为负。以上结果表明，漏洞披露事件对企业的累积异常收益率有显著的负面影响，这与Gordon[ 4 ]的研究一致。

比较表2和表3中t检验、秩和检验的统计结果还可发现，表3中除了事件窗口[-3，0]的秩和检验结果外，其余各事件窗口内的Pt值和Pwilcoxon值均比表2中的低，这说明企业的累积异常收益率存在异常值，缩尾处理降低了异常值对显著性检验的影响，但不影响显著性结果。特别地，比较两种显著性检验结果发现，发生漏洞披露事件后Pt值和Pwilcoxon值逐渐增大，这说明漏洞披露事件对企业的累积异常收益率显著性影响减弱。

（二）基于回归模型的实证分析

本文研究对象为2011—2020年发生漏洞披露事件的35家上市公司数据，因此回归模型采用的是面板数据。基于陈强[ 20 ]的方法，利用Hausman检验来判断采用固定效应模型还是随机效应模型。Hausman检验结果表明，随机效应模型比固定效应模型更有效。同时，为了控制时间效应对回归结果的偏差，在随机效应模型中控制了时间效应。因此，本文回归模型选择控制时间效应的随机效应模型。作为参照，进行了OLS回归和固定效应模型回归，相关结果如表4所示。

由回归结果可知，漏洞评分（score）、漏洞披露日期（time）、补丁响应行为（response）和企业规模（scale）对企业累积异常收益率有显著的正向影响。其一，漏洞评分（score）对累积异常收益率有显著的正向影响，可能是因为企业较重视高危漏洞的处理，当企业披露高危漏洞时往往更积极地控制舆论、提出漏洞响应方案，从而稳定股票投资者对企业信息安全的信心；而低危漏洞容易被企业忽视，但若干低危漏洞的组合将容易被黑客利用导致攻击，给企业造成难以挽回的损失。如2018年因特尔芯片级漏洞披露事件波及数以亿计的终端设备，虽然漏洞代码低级，但披露事件发生后使因特尔公司股票下跌5%。其二，漏洞披露日期（time）对累积异常收益率有显著的正向影响，这说明股票投资者对《网络安全法》颁布实施较为敏感，他们更加信赖遵守国家披露要求的企业。其三，企业补丁响应行为（response）对累积异常收益率有显著的正向影响，这可能是发布相关补丁、采取修复措施体现了企业对信息安全的重视和较强的社会责任，能极大程度避免黑客利用该漏洞入侵系统，从而营造良好的企业声誉，增强股票市场对企业的信心。其四，企业规模（scale）对累计异常收益率有显著的正向影响，这与王秦等[ 16 ]关于信息安全事件披露的研究结果不一致。其原因可能是与小型企业相比，尽管大型企业发生安全漏洞披露事件社会关注度更高，但其应对信息安全风险的能力和舆论公关能力更强，这给企业的信誉和口碑带来积极作用，因此，投资者对大型企业信心更强。

特别地，由漏洞评分对补丁响应行为调节效应（response×score）的回归结果可知，漏洞评分对补丁响应行为与企业累积异常收益率之间的关系有显著的负向调节作用，这表明漏洞评分的增大减弱了补丁响应行为对累积异常收益率的影响。尽管企业补丁响应行为对累积异常收益率有显著的正向影响，但随着漏洞评分的增大，企业须付出更大的努力解决漏洞问题，此时补丁响应行为对企业的影响效果会减弱。另外，漏洞披露的延误程度（days）对企业累积异常收益率有显著的负向影响，这是因为股票投资者希望及时了解企业相关信息以减少披露滞后造成的损失，因此漏洞报送和公布的时间差越大（即漏洞延误程度越大），漏洞披露对企业的负向影响越大。这一结论同信息安全事件披露的结果相异。根据温雅欣[ 5 ]的研究，信息安全事件披露的延误程度对企业股票市场影响并不显著，究其原因企业实施信息安全事件披露往往由企业自己决定，且会选择对自身利益损害最小的时间公布，及时披露不一定是其最优选择，而本文研究的安全漏洞披露策略由CNVD平台制定，该平台秉持对国家整体网络安全负责的态度选择漏洞公布时间，而非单独考虑企业的利益。

由企业规模对补丁响应行为的调节效应（response× scale）的回归结果可知，企业规模对补丁响应行为与累积异常收益率之间的关系没有显著的调节作用。这表明股市投资者对企业补丁响应策略的反应不受企业规模的影响，即无论大型企业还是小型企业都应该积极提出补丁响应方案，减少企业的损失。

（三）稳健性检验

鉴于产业间信息化程度不同，漏洞披露对信息化程度不同的产业影响也可能不同。以国家企业信用信息公示系统登记的企业经营范围和国家统计局發布的行业标准为依据，查询样本企业所属行业，经统计，样本企业主要涉及的行业类型包括IT业、制造业（manufacture）、金融业（finance）、交通运输业（transportation）、销售业（sale）和传媒业（media）。进一步按照国家统计局出台的《三次产业划分规定》对企业进行产业划分，将制造业划分为第二产业，将IT业、金融业、交通运输业、销售业和传媒业划分为第三产业，将第二产业（secondary_industry）、第三产业（tertiary_industry）作为控制变量纳入回归模型，具体分布如表5所示。并构建回归模型（2），最终检验结果如表6所示。

由表6的结果可知，加入第二产业和第三产业这两个控制变量后，解释变量对累积异常收益率的显著性影响及影响的正负性并未发生改变，表明回归模型较为稳健。另外，模型（2）的结果表明，无论企业属于第二产业还是第三产业，对累积异常收益率的影响均不显著；第三产业的行业虽然在不同程度上实现信息化，但市场对其漏洞披露并不敏感。进一步分析回归系数可知，第三产业的系数为正，这可能是因为这些行业信息化程度比较高，企业掌握的信息技术水平相对较高，漏洞发生后能够及时提出解决方案降低披露的负面影响。相对而言，第二产业中的制造业掌握信息技术的水平较低，漏洞发生后企业不一定能及时解决问题。

四、结论与启示

本文基于巨潮资讯网获取的上市公司相关股票数据和CNVD获取的相关漏洞披露信息，从信息安全漏洞披露视角，采用事件研究法分析漏洞披露事件对企业累积异常收益率的影响，并结合回归模型探究企业规模、漏洞评分、漏洞披露延误程度、漏洞披露时间、补丁响应行为及企业规模对补丁响应行为的调节效应、漏洞评分对补丁响应行为的调节效应和企业所属行业等因素对累积异常收益率的影响程度，为企业评估漏洞公开披露对其市值的影响提供理论依据，丰富了信息安全漏洞管理的理论研究。本文主要结论如下：

一是漏洞披露对企业的累积异常收益率有显著的负面影响，而且随着时间的推移这种显著的负面影响会减弱。二是漏洞评分对企业的累积异常收益率有显著的正向影响，漏洞评分增大时，企业投入的人力、物力、财力增大，从而增加了股票投资者的信心；漏洞公布日期对累积异常收益率有显著的正向影响，企业按照国家的法律法规进行漏洞披露可以赢得股票投资者的好感；企业的补丁响应行为对累积异常收益率有显著的正向影响，企业积极做出补丁响应会避免今后黑客利用该漏洞入侵企业相关产品，从而赢得市场的信赖。三是企业规模对累积异常收益率有显著的正向影响，投资者更看重大型企业漏洞事件的处理能力。四是股票投资者对漏洞披露的延误程度较为敏感，漏洞披露的延迟时间越长，对企业的负向影响越大；漏洞评分对补丁响应行为与累积异常收益率的关系有显著的负向调节作用，即漏洞评分越高，补丁响应行为对企业的影响效果越弱。五是企业规模对补丁响应行为与累积异常收益率的关系没有显著的调节作用。六是企业所属产业对累积异常收益率没有显著影响，即市场对企业所属产业并不敏感，但与包括制造业的第二产业相比，信息化程度较高的第三产业应对漏洞风险的能力更强，企业的损失更小。我国“十四五”规划明确指出，要积极推动传统制造业向数字化转型，因此制造业在数字化转型过程中要高度重视安全漏洞威胁，提高应对漏洞风险的能力。

本文的研究结论对企业和漏洞披露相关平台均有重要启示：

“十四五”规划第十八章中明确指出，要加强网络安全保护，加强网络安全风险评估和审查；《中华人民共和国数据安全法》第四章中提到，要采取相应的技术措施保障数据安全……开展数据处理活动应当加强风险监测。因此，为了避免漏洞披露对企业市值的显著负面影响，保障自身经济利益以及符合国家政策标准，企业应在安全漏洞披露前加大对信息安全的投资力度，降低信息系统的脆弱性，并定期进行安全风险评估和审查，尽量减少信息安全漏洞威胁的发生。同时，企业应制定合理的漏洞应急响应机制，不要只重视高危漏洞而忽视低危漏洞的管理，当发生信息安全漏洞威胁时，企业应遵守相关法律法规，及时向有关部门报送漏洞，减少股票投资者由于信息不对称导致的信心动摇。此外，根据《中华人民共和国数据安全法》第四章“发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施”的要求，企业应积极做出补丁回应，这不仅符合国家政策标准，而且挽回了企业声誉，降低了漏洞披露造成的负面影响。

对国家信息安全漏洞共享平台而言，作为由国家互联网应急中心建立的网络安全漏洞库，必须健全其漏洞披露机制。一方面，该平台应建立合理的漏洞报送激励机制，鼓励企业和“白帽子”积极报送漏洞；另一方面，由于漏洞披露延迟较大会对企业产生负面影响，因此该平台应该遵循适时披露原则，优化漏洞审核过程，选择合适的漏洞公告时间。

【参考文献】

［1］ BERKMAN H，JONA J，LEE G，et al.Cybersecurity awareness and market valuations ［J］. Journal of Accounting and Public Policy，2018，37（6）：508-526.

［2］ JEONG C Y，LEE T，LIM J H.Information security breaches and IT security investments：impacts on competitors［J］.Information & Management，2019，56（5）：681-695.

［3］ CAMPBELL K，GORDON L A，LOEB M P，et al. The economic cost of publicly announced information security breaches：empirical evidence from the stock market［J］.Journal of Computer Security，2003，11（3）：431-448.

［4］ GORDON L A，LOEB M P，ZHOU L.The impact of information security breaches：has there been a downward shift in costs？［J］.Journal of Computer Security，2011，19（1）：33-56.

［5］ 溫雅欣.信息安全事件公告对公司市值的影响［D］.哈尔滨：哈尔滨工业大学硕士学位论文，2017.

［6］ KANNAN K，REES J，SRIDHAR S.Market reactions to information security breach announcements：an empirical analysis［J］.International Journal of Electronic Commerce，2007，12（1）：69-91.

［7］ HOVAV A，GRAY P.The ripple effect of an information security breach event：a stakeholder analysis［J］.Communications of the Association for Information Systems，2014，34：893-912.

［8］ ROSATI P，CUMMINS M，DEENEY P，et al. The effect of data breach announcements beyond the stock price：empirical evidence on market activity［J］.International Review of Financial Analysis，2017，49：146-154.

［9］ ROSATI P，DEENEY P，CUMMINS M，et al. Social media and stock price reaction to data breach announcements：evidence from US listed companies［J］.Research in International Business and Finance，2019，47：458-469.

［10］ Al-NAJJAR B，ABED S.The association between disclosure of forward-looking information and corporate governance mechanisms ［J］.Managerial Auditing Journal，2014，29（7）：578-595.

［11］ WANG S Q，SUN P，VERICOURT F D.Inducing environmental disclosures：a dynamic mechanism design approach［J］.Operations Research，2016，64（2）：371-389.

［12］ UIDIS K.From responsible disclosure policy （RDP） towards state regulated responsible vulnerability disclosure procedure （hereinafter RVDP）：the Latvian approach［J］.Computer Law & Security Review，2018，34（3）：508-522.

［13］ 朱静，张玉清，高有行.一种更加完善的安全漏洞发布机制［J］.计算机工程，2005（23）：129-131.

［14］ 黄道丽.网络安全漏洞披露规则及其体系设计［J］.暨南学报（哲学社会科学版），2018，40（1）：94-106.

［15］ GOEL S，SHAWKY H A.Estimating the market impact of security breach announcements on firm values［J］.Information & Management，2009，46（7）：404- 410.

［16］ 王秦，朱建明.信息安全事件對公司价值的影响［J］.技术经济，2018，37（2）：77-84.

［17］ PIROUNIAS S，MERMIGAS D，PATSAKIS C. The relation between information security events and firm market value empirical evidence on recent disclosures：an extension of the GLZ study［J］.Journal of Information Security and Applications，2014，19（4/5）：257-271.

［18］ 张晗悦.综合考虑网络与安全外部性的免费增值软件补丁策略研究［D］.天津：天津大学硕士学位论文，2018.

［19］ WU Y，FENG G Z，FUNG R K.Comparison of information security decisions under different security and business environments［J］.Journal of the Operational Research Society，2018，69（5）：747-761.

［20］ 陈强.高级计量经济学及Stata应用［M］.北京：高等教育出版社，2014.