美国如何利用税收政策提升网络安全——《华尔街日报》

插图：基尔斯滕·埃森普雷斯沙克尔福德博士是印第安纳大学凯利商学院商法与伦理学教授，同时担任奥斯特罗姆研讨会和应用网络安全研究中心的执行主任。

本杰明·富兰克林有句名言感叹，在这个世界上，除了死亡和税收，没有什么是确定的。到了2023年，我们还可以为21世纪的生活加上第三个确定性：网络攻击。

Check Point研究机构最近的报告显示，2022年全球数据泄露事件增加了38%。根据IBM发布的2022年调查报告，每次数据泄露的平均成本去年创下历史新高，达到435万美元，超过80%的受访组织表示他们不止一次遭遇过数据泄露。

尽管联邦和州政府实施了一些值得称赞的改革，包括通过强制性的勒索软件报告制度，但显然美国的网络和关键基础设施仍然远未安全。

或许是时候回归富兰克林先生的格言，考虑税收激励与惩罚措施在推动网络安全投资方面所能发挥的作用了。

我与贾宁·希勒教授、凯瑟琳·基斯卡-舒尔茨教授合著的新研究提出了具体实施方案。我们建议设立三级联邦网络安全投资税收抵免（FCIT），鼓励企业采纳网络安全与基础设施安全局（CISA）等机构认定的、保卫国家关键基础设施所必需的网络安全措施。

第一级税收抵免（FCIT-Core）将推动企业落实基础网络安全防护。这些措施相当于网络安全的尽职调查基本功，例如多因素认证技术。企业（尤其是中小企业）花费了太长时间才认识到这项基础安全措施的重要性。若早期通过税收抵免政策推广双因素认证，本可阻止部分网络攻击，避免数百万美元的数据泄露损失及身份盗窃受害者的连带困扰。

但单一标准的抵免政策难以适配所有企业。例如，以提供安全防护为立身之本的网络安全公司不应因实施基础防护获得抵免，拥有庞大数字业务的多国企业同样如此。对于这些企业及所在行业（满足网络安全标准是其商业责任的一部分），第二级税收抵免（FCIT-Advanced）将激励其建立更高级的防护体系——比如采用零信任安全模型，该模型假定网络已遭入侵，需对任何试图接入的人员或设备进行持续多源验证。

第三级信用等级称为FCIT-Eco，旨在奖励那些采取积极措施推动行业发展的企业，例如为小企业提供免费工具和网络安全培训。该信用将表彰那些认识到网络安全共同责任的企业公民精神，特别是在医疗、能源和金融等关键基础设施领域。通过这种方式，它类似于欧盟在推动行业创建数据治理行为准则方面的努力。

与此同时，税收政策也必须认识到，在网络空间中没有任何企业是孤岛，一个参与者的弱点很容易对他人造成伤害。为此，我们建议政策制定者考虑对未能充分投资于网络安全准备的公司征收网络不安全税。

仅靠结构化的税收政策并不能解决我们所有的网络安全问题。而且我们的想法肯定也有缺点。确定哪些网络安全措施能让企业有资格获得特定的FCIT信用，然后决定哪些机构应被分配这些职责，是具有挑战性的。确定最佳的税收抵免和网络不安全税率，以及相关的成本计算，需要进一步探索。还应考虑可以支持专门网络安全税收政策的补充政策。

但提升美国的网络安全需要政策制定者打破监管僵局，并利用量身定制的胡萝卜加大棒的税收方法来应对当前形势。也许我们对死亡和税收无能为力。但让我们在网络安全方面尽力而为。

请写信给沙克尔福德先生，邮箱：[email protected]。

刊登于2023年2月16日印刷版，标题为《利用税收加强网络安全》。