
论文简要
在数字时代,App安全已成为影响用户隐私和行业发展的关键质量问题。然而,App安全问题究竟是源于开发者的“不道德”(有意为之)还是“无知”(无意疏忽),以及生产者之间的互动如何影响安全水平,尚缺乏因果证据。本文利用一项旨在提升App安全的准自然实验(“卓信计划”),结合来自中国网络安全公司的微观数据,采用交叠双重差分法,发现受处理App在安全方面改善37%,且同一县区受处理App比例每增加10个百分点,其他App的安全指数改善1.6%。该溢出效应主要通过信息传播机制实现,且对于有意的安全问题(隐私侵犯行为)溢出效应较弱,尤其在高市场竞争压力下更为明显。
论文介绍
App作为数字资本的核心载体,其质量升级对经济增长至关重要。然而,在App市场中,生产者与用户之间普遍存在信息不对称,用户难以直接观察App的安全和隐私水平,这可能导致市场陷入“柠檬市场”困境。尽管已有大量文献探讨企业间的溢出效应对生产率与创新的影响,但对于数字产品质量,尤其是安全这一维度的溢出效应,学术界仍了解有限。更重要的是,如何区分产品安全问题中的有意行为(不道德动机)与无意行为(技术或认知不足),并理解这两种行为如何在生产者之间扩散,是一个具有理论和政策意义的重要问题。
Chen, Hou & Lei (2026) 发表在 Journal of Economic Behavior and Organization 的文章利用来自中国网络安全公司的大规模数据,涵盖2020年至2023年间约3.7万个App的月度安全指标。作者巧妙地将App安全问题分为两类:一是App自身的隐私侵犯行为,这通常由利润驱动,属于有意为之的“不道德”行为;二是第三方SDK引发的隐私侵犯行为,这类问题更多源于开发者的疏忽或信息不足,属于“无知”行为。这种分类为深入理解不同类型安全问题的溢出模式提供了独特视角。
围绕这一框架,论文提出了一个核心问题:当一个地区的部分App因外生政策干预而安全水平提升后,这种改善是否会“外溢”到同一地区的其他App?如果是,其背后的机制是什么?市场竞争压力又如何影响这种溢出效应?为了回答这些问题,作者利用中国政府实施的“卓信计划”作为外生冲击。该计划旨在通过信息传播和技术支持,帮助App开发者提升数据安全能力。该计划采用分批次、分地区逐步推行的方式,为因果识别提供了良好的准实验条件。
研究设计
为识别App安全在生产之间的溢出效应,作者首先采用交叠双重差分模型,评估“卓信计划”对直接受处理App安全的直接影响,再以其在地区内的覆盖强度作为外生变化,估计其对同一地区未受处理App的间接影响。
具体而言,直接效应模型设定如下:
其中, 是App (i) 在县 (c) 月 (t) 的安全指标(包括总不安全指数、App隐私侵犯、SDK隐私侵犯和安全漏洞四个维度); 指示该App是否已接受“卓信计划”处理; 和 分别控制App固定效应和年份-月份固定效应。作者最关注的是系数 ,它衡量了“卓信计划”对参与App安全的平均处理效应。
溢出效应的估计模型为:
其中,核心解释变量 是县 (c) 在月 (t) 已参与“卓信计划”的App比例,用以捕捉政策在该地区的覆盖强度。该模型仅纳入未直接参与计划的非受处理App,因此系数 反映了受处理App的安全改善通过生产者互动所引发的外溢效应。
本文的数据非常独特:来源于一家为中国监管机构提供技术支持的大型网络安全公司。原始数据覆盖了自2014年1月至2023年5月期间中国市场上头部App的版本级信息,包含约14万款App,占市场总下载份额的80%以上。该数据记录了每个App版本的安全检测结果,包括安全漏洞数量(全量自动化检测)以及App和SDK的隐私侵犯行为(每月随机抽样并进行人工复核检测)。此外,数据还包含App的开发者地址(精确到区县)、类别、下载量和SDK使用清单等基础信息。由于隐私侵犯行为检测在2020年前缺失率较高,作者将样本限制在2020年至2023年,并筛选出至少接受过一次隐私检测的App。为构建平衡面板,作者将App-版本级数据转换为App-月度数据,对无版本更新的月份沿用前一版本的检测值,并对隐私侵犯行为的缺失值采用最新非缺失值插补法进行填补。
数据包含了App地址信息,使研究者能在县(区)级地理单元上定义“同行”群体。识别策略的关键假设是平行趋势假设,即如果没有“卓信计划”的干预,受处理地区与非受处理地区App的安全趋势应保持一致。作者通过事件研究法验证了这一假设,并采用多种对异质性处理效应稳健的估计方法(如Sun & Abraham, 2021; de Chaisemartin & D’Haultfoeuille, 2024)确保结论的可靠性。

研究发现
•“卓信计划”显著提升了直接参与App的安全水平。受处理App的总不安全指数下降了0.14个单位,相当于样本均值的37%。其中,SDK隐私侵犯行为改善最为显著(下降44%),安全漏洞改善最小(下降26%)。
•“卓信计划”产生了显著的正向溢出效应。同一县内,已参与“卓信计划”的App比例每增加10个百分点,未参与App的总不安全指数下降1.6%。SDK隐私侵犯行为的溢出效应(2.2%)强于App隐私侵犯行为(1.3%)和安全漏洞(0.8%)。
•溢出效应在信息传播更高效的情境中更强。地理距离更近的App之间、类型更相似的App之间,以及包含“明星App”的地区,溢出效应更为显著。SDK使用模式的变化进一步证实了信息传播机制:受处理App减少了风险SDK的使用,这一调整也出现在同地区未受处理的App中。
•市场竞争压力抑制了正向溢出效应。在高竞争行业中,总溢出效应减弱,尤其对于App隐私侵犯行为(有意的安全问题),溢出效应在高竞争行业中几乎消失。

该图是溢出效应的动态事件研究图,展示了“卓信计划”这个冲击发生后,区内非处理App的安全水平随时间的变化情况。无论使用de Chaisemartin & D'Haultfoeuille (2024)估计量还是Sun & Abraham (2021)估计量,结果都非常稳健,表明计划之后,处理组的App安全性相比控制组有持续显著的提升
本文贡献
•本文首次将企业间溢出效应的研究拓展至数字产品质量领域,特别是App安全这一日益重要的维度。通过利用“卓信计划”这一准自然实验和独特的数据集,作者为数字化时代产品质量的决定因素提供了新的因果证据,揭示了生产者之间信息交换如何影响安全水平,从而丰富了关于集聚效应与知识溢出的文献。
•论文对市场中道德行为扩散的研究做出了重要贡献。通过独特的微观数据,作者清晰地区分了“不道德”(有意)与“无知”(无意)两类安全问题,并发现有意行为的溢出效应显著弱于无意行为,且在高竞争压力下更受抑制。这一发现为理解市场竞争如何侵蚀企业道德提供了新的机制视角,即竞争可能通过阻碍道德行为的正向扩散来发挥作用。
•在政策层面,论文评估了一种新型数据安全协助政策——“卓信计划”的有效性,并识别出其在地区内产生的正向溢出效应。这表明,相对于单纯的惩罚性监管,以信息传播和技术支持为核心的政策干预可能带来更大的社会效益,尤其是在App生产集聚区域,应重视影响力较大的节点(如“明星企业”)的示范作用。
总结来说,文章揭示了在数字经济中,提升产品质量需要重视企业间的社会互动。好的政策设计可以利用信息网络中的关键节点来放大正面效应。同时,政策制定者需要意识到,对于“无知”的问题可以通过信息共享解决,而对于“不道德”的逐利行为,则需要更强的外部约束来克服竞争带来的阻力。
这是一篇非常有意思、值得学习的范本级实证研究。
它的有趣之处不在于理论有多复杂,而在于把一个大问题拆解得非常巧妙,并用极其干净和可信的方法回答清楚。具体亮点有:
1. 巧妙的分类:不是笼统地谈“App安全”,而是凭借独特数据,将安全问题创造性地分为由“不道德”(故意为之的App隐私侵犯)和“无知”(无意为之的SDK隐私侵犯)驱动的两类。这使得研究从简单的“现象描述”升华为对行为背后“内在动机”的深刻洞察。
2. 典范级的因果识别:作者没有止步于证明X与Y相关,而是直面“同时期、同地区其他因素影响”这一内生性挑战。通过引入“卓信计划”这个外部冲击,精巧地构建了识别溢出效应的框架。其论证严密,并通过平行趋势检验、多种稳健性方法,使得结论非常可靠。
3. 充实的“故事线”:从“是什么”(估计直接和溢出效应)到“为什么”(检验信息传播机制、排除竞争性假说),再到“什么情况下更显著”(异质性分析,如市场竞争压力会阻碍道德行为的正溢出),整个论证链条完整又扎实,逻辑非常清晰。
4. 政策含义清晰:结论直接指出,这类政策干预因社会互动和网络中的关键节点会被放大;同时,改善“无知”比改变“不道德”更容易。这为监管如何“四两拨千斤”提供了明确的着力点。
推荐:该文的研究设计框架(冲击->直接效应->溢出效应->机制->异质性)非常规范,很值得借鉴,欢迎大家去阅读学习!
原文信息:
Chen, Y., Hou, J., & Lei, Z. (2026). App security spillovers in the digital era: Immorality or ignorance?. Journal of Economic Behavior and Organization, 248, 107628.
Abstract:
We document how interactions between App producers affect App security, including both intentional security problems due to immorality and unintentional security problems due to ignorance. Exploiting a quasi-experiment that improves the security of some Apps, we find that a ten-percentage-point increase in the proportion of directly-treated Apps in the same county leads to a 1.6% improvement in App security of other Apps. Such spillover effects are stronger when information dissemination is more efficient, which supports information exchange as an important mechanism. Although spillover effects exist for both types of security problems, the effects are weaker for security problems that are intentional than unintentional ones, especially under high market competition pressure.
声明:推文仅代表原论文作者的学术观点及推文作者的个人解读,供学术交流与知识传播。如对论文感兴趣,可点击文末“阅读原文”查看。欢迎点赞、关注、转发~
相关文献推荐:
【HBS WP】AI 正在摧毁 www(World Wide Web)?
【AEJ App】Breaking bad 绝命毒师:癌症诊断会把人推向犯罪吗?
【AEJ App】Breaking bad 绝命毒师:癌症诊断会把人推向犯罪吗?
夜雨聆风