基于社会认知理论的智能手机用户信息安全行为意愿研究

张晓娟　李贞贞

[摘要][目的/意义]对智能手机用户信息安全行为意愿进行研究，可以帮助相关的政府或组织更好地提供针对性的信息安全教育和培训。[过程/方法]本文基于社会认知理论，建立智能手机用户信息安全行为意愿影响因素的概念模型，通过调查问卷收集数据并利用结构方程模型进行验证。[结果/结论]研究发现：感知威胁、反应效能、控制倾向和描述性规范对智能手机用户的信息安全行为意愿具有显著的正向影响，自我效能对行为意愿的影响不显著；作为社会环境的因素之一，描述性规范对感知威胁、反应效能、自我效能和控制傾向均有显著的影响。

[关键词]智能手机用户；社会认知理论；信息安全行为意愿

随着移动互联网的应用与发展，智能手机用户数量增长迅速并日益引起学术界的重视。根据艾媒网发布的数据，截至2016年3月，我国智能手机用户规模达6.24亿。智能手机强大的功能在给用户带来便利时，也带来了信息安全问题。一方面，智能手机成为存储用户信息最多的移动设备；另一方面，这些信息会通过多种渠道被泄露或窃取。已有研究表明，作为智能手机的拥有者，用户不恰当的行为导致智能手机中的信息泄露事件层出不穷。探讨智能手机用户信息安全行为意愿的影响因素，有助于政府或相关组织采取有效措施促进智能手机用户产生信息安全行为意愿，提高用户自身防范作用。

现有文献大多侧重于智能手机用户信息安全行为的现状，对其信息安全行为影响因素的研究鲜有涉及。尽管Esmaeili基于计划行为理论探讨了高校学生智能手机用户群体的信息安全行为意向，得出态度、主观规范和感知行为控制等因素是影响用户信息安全行为意愿的主要因素，但并未就社会环境因素对用户信息安全行为意愿的影响做进一步研究；Uffen等学者基于人格特质理论分析了影响智能手机用户信息安全行为意愿的主要因素，但只是从人格特质通过用户认知间接影响信息安全行为意愿，未能揭示人格特质对信息安全行为意愿的直接作用嘲。此外，这些研究主要以计划行为理论、技术接受模型为基础，缺少以社会认知理论为视角的研究。

文献表明，Bandura的社会认知理论模型能够较好地揭示用户信息安全行为意愿。而该模型在不同领域得到了验证，比如网络安全、组织信息安全遵从、知识共享等。此外，当用户决定是否采取信息安全行为时，对社会环境的感知将影响用户的认知，进而影响其行为意愿。而现有文献较少关注智能手机情境下社会环境对用户信息安全行为意愿的影响，尤其是用户对描述性规范（大众行为）的感知。再者，有学者指出，用户对控制信息安全威胁的责任归因将影响其信息安全行为意愿。

因此，本文在社会认知理论的基础上，结合保护动机理论的认知过程，分析认知因素、控制倾向和描述性规范对智能手机用户信息安全行为意愿的影响，并探讨描述性规范对用户认知的作用。通过本文的研究揭示智能手机情境下用户信息安全行为意愿的影响因素，为政府或相关组织提供信息安全教育和培训提供一定的借鉴。

1理论基础

1.1社会认知理论

社会认知理论（Social Cognitive Theory）是在社会学习理论基础上发展起来的。它认为人们的行为受到个人认知和社会环境的共同影响，并且社会环境也会影响个人认知。三者之间的相互作用模型见图1。自我效能是社会认知理论中提出的一个核心概念。它是指个人对其行为能力的一种认知，是对自己有能力完成特定行为的一种自信程度，它对信息安全行为意愿具有重要影响。相关研究表明，自我效能是影响用户信息安全行为的关键因素。

与此同时，社会认知理论认为，相同情境下其他用户的行为构成了人们所处社会环境的一部分，会影响到他的行为。此外，Workman和Infinedo等学者的研究还发现，具有内控倾向人格特质的人们更有意愿采取信息安全行为。控制倾向是一种人格特质，是指人们认为自己能够对事情进行掌控的程度和承担责任的倾向。当人们认为他们有能力控制事情的影响程度时，则会对自己的行为负责。相反，当人们感知事情超出了他们的控制范围时，则会将责任转移给他人。

1.2保护动机理论

保护动机理论认为信息源影响个体的认知过程，进而影响应对模式。它认为认知过程的核心是威胁评估和应对评估。用户是否产生保护行为动机取决于认知过程中威胁评估（感知易感性、感知严重性）和应对评估（反应效能、自我效能）的结果。当面对威胁时，个体首先会评估这项威胁的易感性和严重性，然后再评估个人能够采用的应对措施，根据最终的评估结果形成行为决策。其中，感知易感性是指个体认为自己经历某种消极后果的可能性的判断；感知严重性是指消极后果给自己造成的危害程度；反应效能是指个体认为某一行为能够有效避免威胁的程度；自我效能是指个体对自己采取保护行为能力的认知。此外，有学者将感知威胁作为单独变量引入保护动机理论模型中，认为感知易感性和感知严重性通过感知威胁这一中介变量作用于保护行为动机。许多学者已证明保护动机理论在研究各种用户行为方面的重要作用。

2研究模型与假设

在社会认知理论的基础上，结合保护动机理论的认知过程并引入了控制倾向和描述性规范两个变量，建立了如图2所示的智能手机用户信息安全行为意愿的概念模型。

2.1感知易感性、感知严重性与感知威胁

保护动机理论认为，感知易感性和感知严重性是认知过程中威胁评估的两个关键因素，对行为动机均有直接影响。其中，感知易感性指个人认为自己经历某种消极现象的可能性；感知严重性指个人认为某种消极现象给自己造成危害程度的判断。Workman等的研究显示，人们对易感性和严重性的认知，与人们是否有意愿采取信息安全行为有关。

与此同时，国外学者Liang等认为，应该将感知威胁作为变量引入保护动机理论模型中。如果用户感知到信息安全威胁发生的可能性很高，但是不认为会给自己造成严重的危害；或者认为信息安全威胁的影响严重，但是发生在自己身上的可能性很小，那么他都可能不会产生信息安全行为意愿。只有当人们同时感知到信息安全威胁的严重性和易感性时，才可能产生信息安全行为意愿。因此，感知易感性和感知严重性是通过感知威胁这一中介变量间接作用于信息安全行为意愿。因此，本文假设：endprint

H1：感知易感性正向影响感知威胁。

H2：感知严重性正向影响感知威胁。

H3：感知威胁正向影响智能手机用户的信息安全行为意愿。

2.2反应效能

反应效能是指人们对采取的行为措施是否起作用的认知。也就是说，如果人们认为自己可以从某一行为中获益，那么他们可能会采取这种行动。比如，安装杀毒软件可以及早发现信息安全风险。个体越相信某一行为措施是有利于信息安全的，就越倾向采取这种行为。Johnston和Warkentin发现反应效能正向作用于信息安全行为意愿㈣。Yoon等的研究发现，反应效能和信息安全行为意愿具有直接的正相关关系。智能手机情境下，如果用户认为采取信息安全措施可以有效保護信息安全，那么更有可能产生积极的行为意愿。由此假设：

H4：反应效能正向影响智能手机用户的信息安全行为意愿。

2.3自我效能

自我效能指个体对自己从事某一行为能力的认知，即个体在采取某一行为措施时对自己行为能力的判断。自我效能是保护动机理论和社会认知理论的核心部分。大量研究表明，自我效能对信息安全行为意愿有很大的影响。Workman等指出，在使用互联网时，自我效能感高的用户更倾向于采纳信息安全行为。Esameili针对智能手机用户的研究发现，自我效能会影响感知行为控制，并对信息安全行为意愿产生间接的影响。Johnston等的研究也确认了自我效能对用户信息安全行为意愿的积极影响。由此假设：

H5：自我效能正向影响智能手机用户的信息安全行为意愿。

2.4控制倾向

控制倾向是一种人格特质，衡量人们掌控自己命运的程度。控制倾向分为内部控制倾向和外部控制倾向。内控者认为自己能够对事情进行控制，外控者则将结果归因为外界环境因素，认为涉及自己相关的事情，个人无须负责或不需承担太多责任。因此，那些认为他们能对事情进行控制的个体更倾向于承担责任。在采取信息系统预防措施的情况下，有证据表明，具有较高内控意识的人在承担信息安全防范措施方面会更加的积极主动，比如安装和更新安全软件、定期更改密码、使用防火墙和备份系统。Workman等的研究发现，控制倾向与信息系统安全行为积极相关。Infinedo的研究表明，控制倾向与信息系统安全政策遵从行为意图显著相关。因此，智能手机用户的控制倾向对他们的信息安全行为意向可能会有显著的影响。由此假设：

H6：控制倾向显著影响智能手机用户的信息安全行为意愿。

2.5描述性规范

描述性规范被定义为个体相信其他人表现出理想行为的程度。也就是说，个体关注他人的行为倾向，并可能复制他人的行为。已有研究表明，个体行为受到同伴行为或者大众行为的影响。人们经常表现某些特定行为，是因为他相信同样情境下很多其他人表现出了同样的行为。Rivis的研究证明，描述性规范是社会环境下各种行为现象的重要预测因子。Herath等的研究表明，描述性规范会影响组织中员工遵从安全政策的意向。Anderson和Agarwal的研究也表明，描述性规范积极影响互联网用户的安全行为意愿。在智能手机情境下，如果一个智能手机用户认为其他用户为了解决信息安全问题采取了系列信息安全行为，他更有可能跟随他们产生积极的信息安全行为意愿。由此假设：

H7：描述性规范正向影响智能手机用户的信息安全行为意愿。

H8：描述性规范正向影响智能手机用户的感知威胁。

H9：描述性规范正向影响智能手机用户的反应效能。

H10：描述性规范正向影响智能手机用户的自我效能。

H11：描述性规范正向影响智能手机用户的控制倾向。

3研究方法

3.1测量指标

问卷中的测量题项均来源于国外已有的文献，并根据智能手机的特点对量表进行修改，最终形成本文的调查问卷。问卷包含8个测量指标，每个指标设置了2-3个测问项，并采用李克特7级量表形式，1表示非常不同意，7表示非常同意，各测量题项见表1。

3.2数据收集

借助问卷星在线调查网站制作问卷，并通过QQ、微信发送填写邀请，最终回收问卷319份。删除填写时间过短或者选择单一选项的问卷74份，得到有效问卷247份。样本的人口统计特征如表2。从性别上看，女性和男性比例接近，分别为46，2%和53.8%；从年龄上看，26-35岁的用户比例最高，为50.6%，其次是18-24岁；从学历上看，大专及以上学历者达到93.4%，表明调查对象普遍具有较高的学历；从职业来看，调查对象涵盖比较广泛，企业员工的数量达到49.8%，学生的数量为23.5%。

4数据分析

4.1信效度检验

本文利用Cronbach's a系数和组合信度CR来检验问卷的信度。一般认为，当Cronbach's a和CR值大于0.7时，表示问卷具有较好的信度。从表3可以看出，本文各测量题项的a系数均在0.715-0.895之间，说明测量题项问卷通过信度检验。

聚合效度、区分效度是衡量量表效度的重要方面。聚合效度主要通过因子载荷量和平均抽取方差（AVE）来检验，当因子载荷大于0.7且AVE大于0.5时，表明测量题项具有较好的聚合效度。区分效度通过计算AVE来检验，当所有潜变量的AVE平方根大于0.7，并且潜变量AVE的平方根超过对应变量之间的相关系数，表明问卷具有较好的区分效度。表3和表4显示测量问卷通过了效度检验。

4.2假设检验结果

运用结构方程模型分析软件SmartPLS2.0来验证各影响因素对智能手机用户信息安全行为意愿的显著作用，模型中的路径系数如图3所示。结果表明，除自我效能对智能手机用户的信息安全行为意愿的影响不显著之外，其余因素的影响作用显著。其中，感知威胁、反应效能、控制倾向和描述性规范均直接影响用户信息安全行为意愿；感知易感性和感知严重性同时影响感知威胁；描述性规范除了直接作用于信息安全行为意愿，还通过影响用户的认知（感知威胁、反应效能、自我效能、控制倾向）并间接影响信息安全行为意愿。endprint

5分析和讨论

在本文构建的智能手机用户信息安全行为意愿模型中，感知易感性和感知严重性通过感知威胁的中介作用影响用户信息安全行为意愿。说明，如果智能手机用户感知易感性和感知严重性的程度越高，对信息安全威胁的感知越强烈，越有动机采取信息安全行为。反应效能对用户信息安全行为意愿具有正向显著影响，说明用户对采取的信息安全行为是否起作用的认知会影响其信息安全行为意愿。

智能手机用户的自我效能感对其信息安全行为意愿不存在显著影响。这与保护动机理论及社会认知理论的假设不一致。可能原因在于，对于绝大多数智能手机用户而言，采取信息安全行为是相当容易的事情，但是他们并不认为自身的信息安全行为能够有效防范信息安全威胁。此外，其他变量可能中和了自我效能对用户信息安全行为意愿的影响。

本文引入了控制倾向变量，分析了控制倾向对用户信息安全行为意愿的作用，通过实证验证了控制倾向对用户信息安全行为意愿具有正向调节作用。由此说明，具有较高内控倾向的用户在使用智能手机时更倾向于对自己的信息安全负责，更可能产生信息安全行为意愿。

引入的描述性规范变量对智能手机用户认知和行为的显著性影响均得到了证实。描述性规范对用户信息安全行为意愿的影响显著，说明用户倾向于与大多数人的行为保持一致，类似于从众效应。同时，作为社会环境因素，描述性规范对感知威胁、反应效能、自我效能和控制倾向均具有显著的作用。说明描述性規范影响智能手机用户对信息安全威胁和应对能力的认知。

为了提高智能手机用户信息安全行为意愿，需要政府、企业等信息安全链中的各方努力。首先，政府有必要向智能手机用户传达智能手机信息安全威胁的现状，包括信息威胁的严重性和易感性。其次，通过信息安全教育和培训向智能手机用户传达人为因素对信息安全的重要性，使人们意识到个人恰当的行为有利于保障信息安全。再者，有必要使用户意识到已有的各种信息安全防范措施的有效性，鼓励用户主动采取信息安全行为并养成良好的使用习惯。此外，重视信息安全文化的宣传推广，在整个社会中形成一种良好的信息安全文化氛围，通过大众行为效应引导智能手机用户的信息安全行为。

6结语

基于社会认知理论，探讨了用户对信息安全威胁和应对能力的认知、控制倾向和描述性规范与对智能手机用户信息安全行为意愿的影响。本研究将感知威胁作为变量引入模型中，感知威胁分成感知易感性和感知严重性两个维度，结果表明感知易感性和感知严重性通过感知威胁对用户信息安全行为意愿产生间接作用；反应效能和控制源均是用户信息安全行为意愿的影响因素，自我效能的影响不显著。此外，研究发现，描述性规范除了直接影响用户信息安全行为意愿外，还会对用户关于信息安全威胁和应对能力的认知产生显著影响。

本文的研究也存在一定的局限性。首先，本文主要从用户自身感知视角收集数据，填写的问卷存在一定的主观性，不能准确反映出其行为意愿。其次，仅考虑了描述性规范这一社会环境因素，未考虑主观规范等其他社会环境的影响。endprint