国外信息隐私研究现状与趋势

国外信息隐私研究现状与趋势

信息披露是指用户有权获取和使用他人的个人信息的能力。IT和网络技术的发展极大的改变了人们生活和工作方式。信息技术的提升一方面为隐私保护提供了更多的技术支持,同时也带来了更大的隐私泄露的风险。据CNNIC2008年《中国网民信息网络安全状况研究报告》超过76.7%的网民表示担心提供个人信息的安全【2】。信息隐私安全已经成为一个亟需解决的问题。然而信息隐私的研究在国内并没有引起学者们的足够重视。为了了解国外信息隐私的研究现状和趋势,本文从理论基础、研究层次、研究方法、技术背景和研究主题五个方面,对信息系统领域国外重要期刊上发表的41篇文献进行了系统的分析,总结了研究的现状,并提出了今后有潜力的研究方向。1信息隐私研究本文选取了被引频次排在前30位商学类学术期刊中包含的7种信息系统的期刊【3】,此外本文又选择了国际信息系统学会会刊JournaloftheAssociationforInformationSystems、Information&Management、DecisionSupportSystems以及InternationaJournalofElectronicCommerce等共11种信息系统内重要期刊。我们从11种期刊中确定了41篇文献作为分析的对象。信息隐私研究和信息技术的发展紧密结合,每一次信息技术的革新都带来了隐私安全问题的进一步的关注。90年代中期,数据库系统在企业的广泛应用才引发了信息系统学者们对用户隐私安全的关注。在这一时期的两篇文献着重定义了隐私关注的概念及其量表的开发。90年代末互联网的兴起和电子商务的应用,使得用户的隐私泄露问题更加严峻,这一时期网络信息隐私问题成为学者们的关注热点。因此,严格意义上来讲,相对成熟的信息隐私的研究兴起也就10余年。从2002年到2008年间共发表文献22篇,占全部比例的53.7%。这一时期的研究多集中于互联网和电子商务领域的信息隐私问题。近年来随着移动技术的发展和WEB2.0技术的应用,用户隐私泄露风险进一步加剧,而信息隐私的研究迎来了一个新的高潮。从2009年到2011年3年的文献来看,其总共发表了17篇,占全部比例的41.5%。而这一时期的研究除了持续关注电子商务领域的隐私关注问题,移动服务和WEB2.0环境等新兴技术背景下信息隐私问题成为学者们研究的热点。从发表期刊的统计结果来看,数量最多的是MISQuarterly(MISQ)共发表了9篇,紧随其后的IJEC和InformationSystemsResearch(ISR)分别发表了6篇和5篇。虽然隐私关注问题在信息系统内重要期刊的中发表的总体数量似乎并不多,但是在信息系统的两个顶级期刊MISQ和ISR中的数量分别为了第一和第三(共14篇,34.4%),这也从一个侧面说明了信息隐私问题的重要性。2文献研究的内容按照Webster和Watson的研究路线【4】,采用结构化方法对文献进行分类和归纳。首先我们需要确立一个框架,确定从哪些视角来进行分析。在借鉴Smith等【5】及Bélanger和Crossler【6】框架的基础上,我们提出了一个更为全面的分析框架。从理论基础、研究层次、研究方法、技术背景和研究主题五个视角对信息隐私文献进行了归纳和分析。(1)理论基础。信息隐私是一个典型的跨学科问题。隐私研究的理论基础多借鉴于经济、营销、心理及社会学等其他相关领域,因此信息隐私研究的特点之一就是理论基础的丰富性。本文对于信息隐私的理论基础采取一个开放的框架,只要论文中明确阐述了相关的理论背景,我们都将其纳入到分析之中。(2)研究层次。在本文中将文献划分为个体、团队、组织和社会四个层次,但并不依据研究对象的主体划分,而是从研究视角进行划分的。其中团队、组织和社会三个层次分别是指如何从团队、组织和社会等视角来考察不同层次的因素和措施的实施效果以及如何影响用户的个体信息隐私。(3)研究方法。在信息系统领域的研究方法有很多不同的分类方法。本文采用在信息系统领域内被学者广泛采用的Alavi和Carlson的分类方法【7】。按照这一方法分类研究被分为实证研究和非实证研究两大类,其中实证研究包括实验室实验、现场研究、案例研究、调查、IS测量工具开发和二手数据分析;非实证研究包括概念性、说明性和概念应用性研究?(4)技术背景。对技术背景的分类有助于我们更好的了解研究情境,从而更深刻的理解不同情境下信息隐私影响的差异性。本文将技术背景分为线下、线上,通用三大类,其中通用技术背景是指并没有文献中明确区分线上和线下技术的信息技术;线下技术背景是指的传统的非互联网环境下的IT技术。线上技术背景是指互联网环境下的IT应用,线上技术背景按其应用又细分为:电子商务、移动服务和web2.0服务、医疗信息系统、一般网络服务五种。(5)研究主题。研究主题的划分有助于了解研究重点、趋势以及薄弱之处。本文将首先按照不同的研究层次分别对其研究主题进行总结。隐私研究的文献多集中于个体层次,而个体层次发表在高水平期刊上的文献绝大多数是实证研究。在这些文献中,隐私关注(PrivacyConcern)是一个核心概念,绝大多数文献都是围绕着隐私关注的概念以及其前置影响因素和隐私关注所产生的后果展开的。因此对于个体层次的研究本文将基于Smith等的APCO(Antecedents->PrivacyConcern->Outcomes)的框架进行分类和综述【5】。3博弈研究。在总结信息隐私保护政策选择的之前,各(1)理论基础。信息隐私研究是一个典型的跨领域研究问题,其借鉴了众多学科的理论基础。从我们分析的41篇文献来看,明确提出的理论基础有20种,累计使用了34次。在这些理论中,隐私计算模型(PrivacyCalculusModel)是被采用最多的理论,共有10篇文章(24.4%)。众多的理论基础为我们研究信息隐私提供了不同的视角,也带来因变量、自变量和研究方法的多样性。对于用户隐私披露行为的决策过程众多不同学科的理论都从用户在收益和付出之间的权衡为视角提供了理论支撑如:隐私计算模型、社会交换理论,期望理论、效用理论等。在这些理论中隐私运算模型以风险—收益为框架展示了强有力的解释力度。但在该理论框架下并没有对隐私关注的前置影响因素提供更多的理论支撑。因此在学者们在研究隐私关注的前置影响因素时借助了众多的其他学科的理论视角来进一步的分析和阐述,例如的社会学中的公平理论、社会渗透理论,传播学的社会临场感理论,经济学中的代理理论、信息不对称理论、前景理论等。隐私计算模型也更多用于的个体层次的研究,对于更高层次如团队、组织和社会层次并没不合适。Chan和Greenaway提出从资源观(Resource-BasedView)和制度理论(InstitutionalTheory)的视角来解释企业对于用户隐私保护政策所采取的不同策略【8】。Lee等使用博弈论的方法研究隐私保护策略选择对于企业竞争能力和社会福利的影响。但总的来说更高层次的研究还需要更多理论视角的支撑【9】。(2)研究层次。之前学者们的研究也发现了信息隐私在多层次的研究的不足,对于信息系统领域内重要期刊的分析,发现这种现象更为严重。在本文分析的41篇文献中,绝大多数的研究都集中在个体层次(33篇,80.5%),而组织层次(5篇,12.2%)和社会层次(3篇,7.3%)的研究较少,团队层次的研究更是没有涉及?出现这种情况可能有两个原因:一方面信息隐私这个构念本身和用户个体的联系更为紧密;另一方面从研究操作的难易度来看,个体层次的研究设计和数据收集过程都相对容易。而组织层次的研究往往需要和企业进行深入的沟通和难度更高的数据收集。而信息系统内顶级期刊往往对研究的方法论要求也更高,因此在这些期刊中出现更多的是个体层次的研究。单一个体层次的研究使隐私研究的视野相对局限,多层次的研究是学者们未来应该关注的一个方向。(3)研究方法。从分析可以看出,信息隐私领域内绝大多数的研究都采用了实证研究(37篇,90.3%)。实证研究方法的广泛应用是信息系统学科逐渐成熟的标志之一。从具体细分研究方法来看,在实证研究中,除了案例和现场研究外大部分实证研究方法都有所涉及,甚至在经济学中的博弈论方法也被学者们所使用。研究方法的多样性有助于我们从不同的视角来解释和验证理论的合理性。在这些方法中,调查应用的比例最高(22篇,53.7%),其次为实验室实验(8篇,19.5%),IS测量工具开发(4篇,9.8%),二手数据(2篇,4.9%)和现场实验(1篇,2.4%)。非实证研究涉及到3篇概念性的和1篇说明性的文献。早期的研究方法多集中于IS测量工具的开发。随着概念和测量工具的成熟,之后的研究开始注重研究隐私关注和相关概念之间的关系,这一阶段的研究基本上都采用大规模调查的方式。随着研究的深入,单一的大规模调查方式已经无法满足研究的需要,越来越多的研究方法在08年以后被学者们广泛使用。用户隐私批露的决策过程往往和其所处的情景有密切的联系,大规模的调查往往无法模拟和还原这种情景,因此实验研究开始逐渐被学者们所使用。从本文的分析可以看出在所有实验室研究方法的文献都集中出现在08年之后。此外随着电子商务的不断发展,越来越多的用户交易记录也为学者们数据的收集提供了便利,二手数据分析的方法也开始被学者们采用。(4)技术背景。信息隐私研究的兴起和发展一直和信息技术的发展密不可分。综述的41篇文献中,以线上技术为北京的占了绝大多数(82.7%),其次为通用(12.2%)和线下(4.8%)背景。两篇线下的背景下的文章集中研究了隐私关注的概念和测量,这为今后的研究奠定了基础。从分析可以看出,在线上技术中,以电子商务为背景的研究数量最多(20篇,48.7%)?近年来随着信息技术变革周期不断缩短,新技术的出现层次不穷。许多研究开始重点关注这些新技术背景下的独特问题,例如移动服务(3篇,12.1%)中的基于位置的服务、RFID服务,一般网络服务(4篇,9.7%)中的即时通信服务,WEB2.0服务中的SNS服务以及信息敏感度更高的医疗信息系统(3篇,7.3%)。不同信息技术背景下,用户隐私泄露的深度和广度有较大的差异,从而带来用户的隐私关注程度的不同和隐私保护政策的差异。在这些新兴技术中医疗信息系统和WEB2.0服务是值得学者们重点关注的两个领域。和一般的互联网服务中的隐私信息相比,医疗信息的高度敏感性在一定程度上又阻碍了用户的使用意愿。如何有效地降低用户的隐私关注,以及提供更好的隐私保护措施都值得学者们进一步的研究。以社会化网络服务为代表WEB2.0服务改变了用户接收信息和发布信息的方式,使得用户信息隐私的批露方式从被动改为主动。用户如何在这种隐私披露矛盾中进行平衡是一个值得深入探讨的问题。相信这些新技术背景下的特点也可以为进一步的理论的创新提供机遇和挑战。(5)研究主题。组织层次的研究中主要关注以下两个方面:一是组织如何选择隐私保护策略,例如Chan和Greenaway认为根据制度理论,企业将用户隐私策略的选择看作是一种对外部压力的适应,从而采取不同的策略.而根据资源观,企业将用户隐私看作是一个建立用户知识或用户关系的重要资源,从而采取不同的策略【8】。Culnan和Williams认为将道德责任引入管理中能够有效地提升企业的隐私保护策略【10】;另一方面是组织采取隐私保护策略后的效果。Mai等通过网站实际交易数据发现,有隐私印章的在线商家能够获得更高的价格溢价【11】。Lee等通过博弈论的方法证明了隐私保护策略在个性化服务市场的具有减弱竞争的影响机制,从而能够使企业获得超额利润【12】。在社会层次的三篇文献,一篇着重关注了政府监管和政府干涉对用户隐私关注的影响,另外两篇分别关注了隐私关注量表和隐私计算模型在不同文化国家间的差异。总的来说,组织和社会层次的研究相对较少,而且都在初步的探索过程中,从其研究主题来看多是一些规范性的研究。然而这些规范和措施是否在企业真正的适用还需要更多的实证研究进一步地检验。由于隐私很难直接测量,在信息系统领域内个体层次的研究通常围绕用户对隐私的主观感知即隐私关注展开。本文将按照Smith等提出的APCO模型【5】,对隐私关注及相关中介变量,隐私关注的前因和隐私关注的行为意向三个主题进行分析。隐私关注是个体层次研究隐私问题的核心变量,对于隐私关注的定义和测量是信息隐私在信息系统领域内兴起的标志之一。Culnan首次在信息系统领域内提出隐私关注的概念并使用一维的通用信息隐私关注量表(GeneralConcernforInformationPrivacy,GCIP)来测量【13】,然而这种一维的量表并不能很好的揭示消费者对隐私关注的详细情况。Smith等开发了信息隐私关注的多维量表(ConcernforInformationPrivacy,CFIP)【14】。Malhotra等在CFIP的基础上,提出了一个适用于互联网用户的多维隐私关注量表(InternetUsers’InformationPrivacyConcerns,IUIPC)【15】。通常信息隐私往往离不开感知风险和信任的影响。而且隐私关注和这两个变量之间的关系是相互影响。隐私关注和信任、风险之间的这种双向影响关系使得在研究隐私关注对用户行为的影响时往往以信任和风险作为中介变量。隐私关注的影响前因基本上可以分为个体前因、组织前因和社会前因三个方面。用户个体的差异性决定了其对于隐私关注程度和风险承受能力的不同。在影响用户的个体前因中主要包括用户的个体特征(如性别、年龄、收入等)、性格特征(如人格特征、信任倾向等)、个体能力(互联网能力、社会意识等)和个人经历(经验、之前的隐私侵犯经历等)四个方面。组织前因是指组织采取哪些措施可以降低用户的隐私关注。隐私声明、第三方隐私认证标志和补偿是被认为最重要的三个隐私保护措施。除此之外网站的特征(如信息量、媒体丰富度和社会临场感)都会直接或通过上述三个措施间接影响隐私关注。社会前因是指国家和行业层面采取哪些措施可以保护用户的隐私从而降低其对隐私关注。在社会前因中政府监管、行业自律和文化是被学者们广泛关注的三个主要方面。隐私关注后续行为的研究主要有三个方面:隐私批露的意向和行为、隐私保护的响应行为和参与服务的意向(包括采纳意向和交易意向等)。隐私批露的意向和实际行为是隐私关注的最直接的行为,用户在风险和收益的权衡后决定是否向服务提供商提供个人隐私。Son和Kim将用户对隐私保护响应行为分为隐私预防、个人行为和公开行为。其中隐私预防包括:拒绝、虚报;个人行为包括:注销、负面口碑;公开行为包括:向网络公司的抱怨和向第三方机构的抱怨【16】。参与服务的意愿通常和服务有直接关系,如在电子商务交易过程中的交易意愿、在移动服务和一般网络服