贺建平,祁润梅
(西南政法大学 新闻传播学院,重庆 401120)
在大数据时代,人们因隐私“裸奔”成了“透明人”,数据挖掘、商业智能、追溯集成等技术给个人信息保护带来巨大的挑战,信息安全问题日益严重。各类APP热衷将超范围收集到的用户个人信息进行数据分析甚至交易,以得到更多的经济收益和竞争优势,这也使得个人信息的收集广度和深度前所未有。如今,个人信息不再仅是个人财产,还关乎社会安全、经济安全和数字信息安全,是信息时代国家安全的基石。而技术滥用使得大数据“杀熟”、骚扰电话等现象频发,让互联网用户不堪其扰,因此加强个人信息保护在大数据时代显得尤为迫切。(1)史卫民:《大数据时代个人信息保护的现实困境与路径选择》,载《情报杂志》2013年第12期,第154、155-159页。在此背景下,我国出台了一部专门保护个人信息的法律——《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)。该法明确任何组织、个人不得过度收集、使用、加工、非法买卖个人信息,这对于处于信息时代的每个个体都具有重要意义,对老年群体亦然。据QuestMobile 2020年5月发布的《2020银发经济洞察报告:超1亿用户规模,玩转社交、视频、电商,银发群体潜力无限》显示,老年移动互联网用户已经成为移动网民重要增量来源,老年群体对信息的需求突出;社交、视频、信息类App已经成为老年人的必备应用,超过4成的老年人还使用手机淘宝、支付宝进行购物交易。(2)《2020银发经济洞察报告:超1亿用户规模,玩转社交、视频、电商,银发群体潜力无限》,载界面新闻网,https://www.jiemian.com/article/4636690.html,2021年9月23日访问。曾经在Web时代处于边缘化的老年人,已然成为数字网民。
目前国内外研究大多关注网络使用为老年人带来的积极影响,(3)Lam S S M, Jivraj S & Scholes S,Exploring the Relationship Between Internet Use and Mental Health Among Older Adults in England: Longitudinal Observational Study,Journal of Medical Internet Research, Vol. 22:7, e15683(2020).(4)贺建平、黄肖肖:《城市老年人的智能手机使用与实现幸福感:基于代际支持理论和技术接受模型》,载《国际新闻界》2020年第3期,第49-73页。鲜有关注网络使用的信息安全给老年人带来的负面影响。Saridakis等发现,社交网络的使用频率会增加网络犯罪受害的风险。(5)Saridakis G, Benson V, Ezingeard J-N & Tennakoon H,Individual Information Security, User Behaviour and Cyber Victimisation: An Empirical Study of Social Networking Users, Technological Forecasting & Social Change, Vol.102, p.320-330(2016).第48次《中国互联网络发展状况统计报告》的数据显示,网民最常遭遇的网络安全问题是个人信息泄露,最易遭遇的网络诈骗类型是虚拟中奖信息诈骗。(6)第48次《中国互联网络发展状况统计报告》,载中国互联网络信息中心网,http://cnnic.cn/hlwfzyj/hlwxzbg/hlwtjbg/202109/t20210915_71543.htm,2021年9月23日访问。老年人在网络情境中,更有可能因信息泄露而遭遇虚拟中奖信息诈骗,受骗后会对互联网产生消极态度。(7)刁春婷、曾美娜:《老年人网络自我效能感与网络诈骗应对的关系》,载《中国老年学杂志》2020年第10期,第2204-2206页。因此,信息安全意识的建立对老年群体显得极其重要。
个体在社交平台上分享日常生活信息,私人空间的公开化以及生活服务应用的授权,使个人数据被收集和售卖,在享用算法推送精准服务的同时,个人信息全然暴露于网络“公共空间”。那么,老年人是否意识到网络的渗透?当微信用户数据安全风险尚未发生时,老年人有没有对风险的感知?有没有意识到个人信息披露是否安全?对个人信息安全是否有保护意识?本文关注这些问题,尝试建构一个模型,通过对老年人的调查结果,一方面检验模型的解释力和预测力,另一方面了解老年人使用智能手机及应用平台的信息安全意识、信息安全行为意向及其影响因素。
“信息安全”一词在20世纪90年代陆续出现在各国和地区的政策文献中,它是一个包含范围极广的话题:大到国家政治军事科技等机密安全,小到防范企业商业机密被窃取、个人信息泄露等。(8)罗力:《国民信息安全素养评价指标体系构建研究》,载《重庆大学学报(社会科学版)》2012年第3期,第81-86页。如今,“信息安全”不再限于是机构和政策的用词,也逐渐细化为专指某一领域、某一方面的信息安全问题,相关学术文献也逐步增加。(9)王世伟:《论信息安全、网络安全、网络空间安全》,载《中国图书馆学报》2015年第2期,第72-84页。
用户隐私的泄露,不仅与黑客攻击、商家倒卖用户信息有关,也与个人对自身隐私的不保护、不作为有着直接的关系。(10)黄国彬、郑琳:《大数据信息安全风险框架及应对策略研究》,载《图书馆学研究》2015年第13期,第24-29页。Wiley等认为用户个体是保护信息安全最薄弱的一环,(11)Wiley A, McCormac A & Calic D,More Than the Individual: Examining the Relationship Between Culture and Information Security Awareness, Computers & Security, doi: https://doi.org/10.1016/j.cose.2019,101640(2019).而个人的安全意识比保护技术更重要。(12)Chen C C, Medlin B D & Shaw R S,A Cross-cultural Investigation of Situational Information Security Awareness Programs, Information Management & Computer Security, Vol.16:4, p.360-376(2008).因为保护信息安全的第一步是让用户感知潜在的信息风险和威胁,(13)Shaw R S, Chen C C, Harris A L & Huang H-J,The Impact of Information Richness on Information Security Awareness Training Effectiveness, Computers & Education, Vol.52:1, p.92-100(2009).仅依靠技术层面的力量无法完全保证信息环境的安全。(14)Fuenell S & Clarke N L,Power to the People?The Evolving Recognition of Human Aspects of Security,Computers & Security,Vol.31:8, p.983-988(2012).现有信息安全研究更多从技术层面、法律层面对信息安全提出对策,少有信息安全意识与行为的实证研究。(15)张晓娟、李贞贞:《智能手机用户信息安全意识与行为研究》,载《图书馆学研究》2017年第2期,第52-57、63页。本研究对信息安全意识和信息安全行为意向的有限研究做了增补。以下根据文献提出研究假设,推导出研究模型。
1.信息安全意识与信息安全行为意向
信息安全通常关注保护信息的保密性、完整性和可用性。(16)Kruger H A & Kearney W D,A Prototype for Assessing Information Security Awareness, Computers & Security, Vol.25:4, p.289-296(2006).在信息安全研究中占主导地位的假设是:个人是理性的行为者,他们有意提前规划自己的行为,并意识到自己反应的好处和成本。(17)Dennis A R & Minas R K,Security on autopilot: Why Current Security Theories Hijack Our Thinking and Lead Us Astray, ACM SIGMIS Database: The DATA BASE for Advances in Information Systems,Vol.49:SI,p.15-38(2018).由此可见,信息安全意识是信息安全问题的产物,且是信息安全语境中的一个关键概念,(18)Amankwa E, Loock M & Kritzinger E,A Conceptual Analysis of Information Security Education, Information Security Training and Information Security Awareness Definitions, The 9th International Conference for Internet Technology and Secured Transactions (ICITST-2014), IEEE, p.248-252(2014).通过实行安全意识程序来创建和维护积极的安全行为,(19)Amankwa E, Loock M & Kritzinger E,A Conceptual Analysis of Information Security Education, Information Security Training and Information Security Awareness Definitions, The 9th International Conference for Internet Technology and Secured Transactions (ICITST-2014), IEEE, p.248-252(2014).对个人和组织的信息安全产生重要影响。(20)Jaeger L,Information Security Awareness: Literature Review and Integrative Framework, Proceedings of the 51st Hawaii International Conference on System Sciences, 2018.Bulgurcu等将信息安全意识理解为认知心理状态,并将概念区分为两个层面:关于个体信息安全问题的整体知识和理解以及个体对组织的信息安全政策的认识。(21)Bulgurcu B, Cavusoglu H & Benbasat I,Roles of Information Security Awareness and Perceived Fairness in Information Security Policy Compliance, European and Mediterranean Conference on Information Systems,2009.
目前学界对信息安全意识的界定各存己见。王一楠、Siponen将信息安全意识定义为用户对信息安全政策、规则和准则的重要性的理解程度,以及他们对相关规定的遵守和执行程度。(22)王一楠:《浅述信息安全的人为影响因素》,载《电脑知识与技术》2020年第21期,第58-59页。(23)Siponen M T,A Conceptual Foundation for Organizational Information Security Awareness, Information Management & Computer Security, Vol.8:1, p.31-41(2000).Rhee等认为信息安全意识是“在理解各种信息安全威胁和感知与这些威胁相关的弱点时的警惕性”。(24)Rhee H-S, Ryu Y & Kim C-T,I Am Fine but You Are Not: Optimistic Bias and Illusion of Control on Information Security, International Conference on Information Systems 2005 Proceedings, p.32(2005).Jaeger指出信息安全意识是一种关于安全问题的意识和知识状态,经常会影响安全遵从行为。(25)Rhee H-S, Ryu Y & Kim C-T,I am Fine but You are not: Optimistic Bias andIllusion of Control on Information Security, International Conference on Information Systems 2005 Proceedings, p.32(2005).Galvez和Guzman甚至把信息安全意识看作是信息安全行为之一。(26)Galvez S M & Guzman I R , Identifying Factors that Influence Corporate Information Security Behavior, Americas Conference on Information Systems, DBLP, 2009.
综合以上观点,本研究认为信息安全意识是使用数字媒体的一种关于信息安全问题的警觉状态,与信息安全防护行为同等重要,会对使用主体的安全行为产生影响。
信息安全行为指个体以消除信息安全威胁、保障信息安全为目的,调动主观能动性采取相关有效措施的行为集合。(27)阮建海、杨燕:《科学数据安全行为研究综述》,载《现代情报》2019年第9期,第151-159页。在信息安全行为过程中起到引导作用的情感态度与价值观因素 (信息安全意识和信息伦理道德等),贯穿于整个信息安全行为过程当中。(28)罗力:《国民信息安全素养评价指标体系构建研究》,载《重庆大学学报(社会科学版)》2012年第3期,第81-86页。提高信息安全意识可以改善信息安全行为,(29)Ki-Aries D & Faily S,Persona-centred Information Security Awareness, Computers & Security, Vol.70, p.663-674(2017).有效保护个人信息安全。
在计划行为理论(Theory of Planned Behavior)中,行为意向被视作是影响实际行为最直接的因素,(30)Ajzen I,The Theory of Planned Behavior,Organizational Behavior and Human Decision Processes, Vol.50:2, p.179-211(1991).当行为难以测量的时候,不少学者以计划行为理论为依据,使用行为意向预测实际行为。(31)Shropshire J, Warkentin M & Sharma S,Personality, Attitudes, and Intentions: Predicting Initial Adoption of Information Security Behavior, Computers & Security, Vol:49, p.177-191(2015).(32)Schyff K & Flowerday S,Mediating Effects of Information Security Awareness, Computers & Security, Vol.106, p.102313(2021).保护动机理论(Protection Motivation Theory)也指出行为意向可以很好地预测保护行为。(33)Rogers R W, A Protection Motivation Theory of Fear Appeals and Attitude Change1, The journal of psychology, Vol.91:1, p.93-114(1975).(34)Prentice-Dunn S & Rogers R W,Protection Motivation Theory and Preventive Health: Beyond the Health Melief Model, Health Education Research, Vol.1:3, p.153-161(1986).近年来,保护动机理论也被学者引入信息安全领域,用于解释用户在智能手机使用中的信息安全意识和行为意向,(35)Hanus B & Wu Y A, Impact of Users’ Security Awareness on Desktop Security Behavior: A Protection Motivation Theory Perspective, Information Systems Management, Vol.33:1, p.2-16(2016).(36)张晓娟、李贞贞:《智能手机用户信息安全行为意向影响因素的实证研究》,载《情报资料工作》2018年第1期,第74-80页。进一步说明了行为由行为意向驱动。(37)Safa N S, Sookhak M, Von Solms R, Furnell S, Ghani N A & Herawan T, Information Security Conscious Care Behaviour Formation in Organizations, Computers & Security, Vol.53, p.65-78(2015).因此,可以使用信息安全行为意向来解释老年用户的实际信息安全行为,以表现他们愿意采取保护行动的程度。
2.信息安全意识的影响因素
Haeussinger和Kranz认为影响信息安全意识的前因可分为个人前因、制度前因和环境前因三类。(38)Haeussinger F & Kranz J, Information Security Awareness: Its Antecedents and Mediating Effects on Security Compliant Behavior, In ICIS 2013 Proceedings, Milan, Italy, 2013.个人前因包括“知识”和“负面经历”;制度前因包括信息安全政策规定、指导方针和信息安全培训;环境前因包括媒体来源的信息刺激或同伴行为的影响。Jaeger将信息安全意识的前因限于个人程度和系统水平,个人程度包含了个人的网络经历和衡量是否能与他人和睦相处、相互协作的宜人性(agreeableness);系统水平包括相关情境、错误显著性和安全警告。(39)Jaeger L, Information Security Awareness: Literature Review and Integrative Framework, Proceedings of the 51st Hawaii International Conference on System Sciences, 2018.AlMindeel和Martins指出需要从组织内部和组织外部分别考察影响信息安全意识水平的因素,其中,遵守信息安全政策的倾向、曾经遇到信息安全问题和威胁的经历都被视作可以对组织成员的信息安全意识水平和安全行为产生影响的内部因素。(40)AlMindeel R & Martins J T,Information Security Awareness in a Developing Country Context: Insights From the Government Sector in Saudi Arabia,Information Technology & People, Vol.34:2, p.770-788(2021).外部的影响因素有助于改善组织的信息安全意识水平,(41)Allam S, Flowerday S V & Flowerday E,Smartphone Information Security Awareness: A Victim of Operational Pressures, Computers & Security, Vol.42, p.56-65(2014).如更好的组织安全文化、组织支持、管理者有效的领导力甚至所处社会的文化和经济环境,都能让组织成员拥有更强的信息安全意识。(42)Wiley A, McCormac A & Calic D,More than the Individual: Examining the Relationship Between Culture and Information Security Awareness , Computers & Security, Vol.88, p.101640(2020).(43)曾忠平、杨哲、刘春梅:《用户信息安全行为研究述评》,载《情报杂志》2014年第12期,第184-188页。
尽管目前学者们对影响信息安全意识前因的关注点不同,但是针对用户个人而言,个人因素的影响更为重要。在信息安全研究开展之初,Wood和Banks就已注意到了信息安全系统中人为因素的潜在影响。(44)Wood C C & Banks Jr W W,Human Error: An Overlooked but Significant Information Security Problem, Computers & Security, Vol.12:1, p.51-60(1993).随着法律的不断完善和安全防护技术的进步,用户的个人因素才被进一步确定是提升信息安全意识和行为的根本所在。
个人的网络负面经历,如遭遇网络诈骗、信息泄露、遭遇黑客、网络骚扰等,不仅会影响后续特定类型的网络活动,(45)Gainsbury S M, Browne M & Rockloff M,Identifying Risky Internet Use: Associating Negative Online Experience with Specific Online Behaviours, New Media & Society, Vol.21:6, p;1232-1252(2019).也会影响信息安全意识。(46)Gainsbury S M, Browne M & Rockloff M,Identifying Risky Internet Use: Associating Negative Online Experience with Specific Online Behaviours, New Media & Society, Vol.21:6, p;1232-1252(2019).作为信息素养维度之一的信息知识,同样是考察用户信息安全意识前因中不能忽略的关键因素,Shaw等人就曾发现掌握计算机知识和技能的程度会影响用户信息安全意识的培养,(47)Shaw R S, Chen C C, Harris A L & Huang H-J,The Impact of Information Richness on Information Security Awareness Training Effectiveness, Computers & Education, Vol.52:1, p.92-100(2009).“知识-态度-行为”(KAP)理论模型也指出了知识对行为的直接影响。(48)孙夫雄、曹甜、吕锦:《基于评估模型驱动的信息安全意识教学方案研究》,载《计算机教育》2017年第12期,第133-136页。信息系统安全也与风险感知密切相关,对风险的感知水平越高的用户,对潜在安全风险的预测能力越强。(49)孙夫雄、曹甜、吕锦:《基于评估模型驱动的信息安全意识教学方案研究》,载《计算机教育》2017年第12期,第133-136页。这意味着与风险感知紧密联系的信任很有可能是影响用户共享个人信息的重要因素。Ortiz等人认为信息安全意识代表了用户面对网络供应商保护自己信息的意识程度,而一般供应商会建立安全和保护机制,让用户对其产生信任,进而触发自我披露行为。(50)Ortiz J, Chih W H & Tsai F S,Information Privacy, Consumer Alienation, and Lurking Behavior in Social Networking Sites, Computers in Human Behavior, Vol.80, p.143-157(2018).信任不仅会影响用户的隐私关注,也会影响信息安全行为意向。(51)张晓娟、李贞贞:《信息隐私关注、信任与智能手机用户的个人信息安全行为意向》,载《现代情报》2018年第3期,第45-50页。
1.负面经验(Negative Experience)
人们可能在私人或工作环境中直接或间接受到任何类型的信息安全事件的伤害,如QQ号被盗用、遭病毒攻击等。信息安全意识可能是由这样的经历形成,即负面事件提高了了解如何防止此类事件的警觉。(52)Haeussinger F & Kranz J, Information Security Awareness: Its Antecedents and Mediating Effects on Security Compliant Behavior, In ICIS 2013 Proceedings, 2013.用户在信息技术和信息安全领域足够的经验会对感知意识有积极的影响,(53)Safa N S, Sookhak M, Von Solms R, Furnell S, Ghani N A & Herawan T, Information Security Conscious Care Behaviour Formation in Organizations, Computers & Security, Vol.53, p.65-78(2015).拥有经验的用户更倾向去实施信息安全保护行为。(54)Tsai H S, Jiang M, Alhabash S, LaRose R, Rifon N J & Cotten S R,Understanding Online Safety Behaviors: A Protection Motivation Theory Perspective, Computers & Security, Vol.59, p.138-150(2016).Bulgurcu等发现,“曾经受到病毒攻击的伤害或因不遵守安全规则和条例而受到处罚”的经历可能会增强个人的信息安全意识。(55)Bulgurcu B, Cavusoglu H & Benbasat I, Information Security Policy Compliance: An Empirical Study of Rationality-based Beliefs and Information Security Awareness, MIS Quarterly, Vol.34:3, p.523-548(2010).Jaeger在研究中明确指出信息安全事件方面的负面经验会使个人的信息安全意识水平更高。(56)Jaeger L, Information Security Awareness: Literature Review and Integrative Framework, Proceedings of the 51st Hawaii International Conference on System Sciences, 2018.因此,无论是直接还是间接受到信息安全负面影响的个人都更容易正视信息安全问题,负面经历可以增强信息安全意识,(57)Jaeger L, Information Security Awareness: Literature Review and Integrative Framework, Proceedings of the 51st Hawaii International Conference on System Sciences, 2018.用户因此能更好地规避负面事件的发生。据此提出以下假设:
H1,负面经验正向影响个人的信息安全意识。
2.风险感知(Risk Perception)
风险感知指用户由于信息的非法或者不恰当使用,对个人信息及其披露行为可能造成损失结果的一种预期。(58)Bauer R A, Consumer Behavior as Risk Taking, In Hancock, R.S., Ed., Dynamic Marketing for a Changing World, Proceedings of the 43rd. Conference of the American Marketing Association, p.389-398.风险和信任作为经常同时出现的一组概念,在有关期望理论、风险理论以及计算隐私理论等研究中多有涉及,(59)徐敬宏、侯伟鹏:《“隐私担忧”的中介效应:基于对大学生微信使用的结构方程模型分析》,载《传播与社会学刊》2020年第54期,第59-94页。用户以感知到的风险程度衡量有关信息披露行为。风险感知往往被大众媒体关于信息披露或安全问题的报道所强化,(60)Ha H Y & Pan H, The Evolution of Perceived Security: The Temporal Role of SNS Information Pperceptions, Internet Research, Vol.28:4, p.1055-1078(2018).因此得到了更多关注。
Lee等人的研究表明,用户在社交网络环境中的信息披露意愿与其所承担的预期风险密切相关。(61)Lee H, Park H & Kim J, Why Do People Share Their Context Information on Social Network Services? A Qualitative Study and an Experimental Study on Users’ Behavior of Balancing Perceived Benefit and Risk, International Journal of Human-Computer Studies, Vol.71:9, p.862-877(2013).张晓娟等人发现信息安全风险的感知威胁在感知严重性和感知易感性与信息安全意识之间起完全中介作用。(62)张晓娟、李贞贞:《智能手机用户信息安全行为意向影响因素的实证研究》,载《情报资料工作》2018年第1期,第74-80页。同时,风险感知也会正向促进人们采取信息保护行为,比如设置更难的密码,以及拒绝披露个人信息。(63)Mamonov S & Benbunan-Fich R, The Impact of Information Security Threat Awareness on Privacy-protective Behaviors, Computers in Human Behavior, Vol.83, p.32-44(2018).贾若男等人指出风险中的感知威胁不仅能对用户个人信息安全隐私保护意愿有显著直接影响,也能将保护意愿作为中介变量对用户保护行为产生间接影响。(64)贾若男、王晰巍、范晓春:《社交网络用户个人信息安全隐私保护行为影响因素研究》,载《现代情报》2021年第9期,第105-114、143页。根据上述文献假设:
H2,风险感知正向影响信息安全意识。
H3,风险感知正向影响信息安全行为意向。
3.信息知识(Information Knowledge)
本研究将信息知识界定为日常使用基本信息系统应用的一般知识。信息安全保护行为受到三类前因中的“人的因素”的影响,(65)Chen C C, Medlin B D & Shaw R S, A Cross-cultural Investigation of Situational Information Security Awareness Programs, Information Management & Computer Security, Vol.16:4, p.360-376(2008).而“知识”正是人的因素中一个重要部分。有研究表明,知识是安全行为的预测因素,(66)Parsons K, McCormac A, Butavicius M, Pattinson M & Jerram C, Determining Employee Awareness Using the Human Aspects of Information Security Questionnaire (HAIS-Q), Computers & Security, Vol.42, p.165-176(2014).当用户的信息安全和隐私知识与他们的行为之间的差距越大时,他们就越有可能成为个人信息攻击的受害者,(67)Scott J & Ophoff J, Investigating the Knowledge-behaviour Gap in Mitigating Personal Information Compromise, In Proceedings of the Twelfth International Symposium on Human Aspects of Information Security & Assurance (HAISA), Clarke N & Furnell S.(eds.), Plymouth: Univerisity of Plymouth, p.236-245(2018).个人的一般信息系统知识是信息安全行为意向的一个决定因素,因为个人对基本信息系统知识和应用了解越多,就越有可能意识到与安全相关的问题,(68)Haeussinger F & Kranz J, Information Security Awareness: Its Antecedents and Mediating Effects on Security Compliant Behavior, In ICIS 2013 Proceedings, 2013.会更积极地参与个人信息的保护行为中。(69)Haeussinger F & Kranz J, Information Security Awareness: Its Antecedents and Mediating Effects on Security Compliant Behavior, In ICIS 2013 Proceedings, 2013.Rhee等指出,用户的计算机和互联网相关知识和经验水平对安全行为有积极的影响。(70)Rhee H-S, Kim C & Ryu Y U, Self-efficacy in Information Security: Its Influence on End Users’Information Security Practice Behavior, Computers & Security, doi:10.1016/j.cose.2009.05.008(2009).在有关信息安全培训的研究中,也指出提升信息安全知识是改变用户信息安全行为,让其免受信息泄露威胁的重要做法。(71)Jaeger L K, Information Security Awareness: Literature Review and Integrative Framework, Proceedings of the 51st Hawaii International Conference on System Sciences, 2018.(72)AlMindeel R & Martins J T, Information Security Awareness in a Developing Country Context: Insights From the Government Sector in Saudi Arabia, Information Technology & People, Vol.34:2, p.770-788(2021).因此假设:
H4,信息知识正向影响个人的信息安全行为意向。
4.信任(Trust)
信任指互联网用户相信信息平台、数字媒体生产商和应用软件提供商会尽力承担保护用户信息安全的责任。(73)张晓娟、李贞贞:《信息隐私关注、信任与智能手机用户的个人信息安全行为意向》,载《现代情报》2018年第3期,第45-50页。在互联网服务供应商合规的背景下,信任对影响人们意图和行为方面起着至关重要的作用。(74)Koohang A, Anderson J, Nord J H & Paliszkiewicz J, Building an Awareness-centered Information Security Policy Compliance Model, Industrial Management & Data Systems, Vol.120:1, p.231-247(2020).用户对智能手机生产商和应用程序提供商的信任度越高,对其忠诚意图也越高,(75)Ha H Y & Pan H, The Evolution of Perceived Security: The Temporal Role of SNS Information Perceptions, Internet Research, Vol.28:4, p.1055-1078(2018).越倾向认为第三方会保护他们的个人信息,更容易放松信息安全风险或隐患的警惕性;用户的信息动机、社交动机、自我展示动机越强,隐私顾虑越小,(76)霍明奎、朱莉、刘升:《用户信任和隐私顾虑对移动社交网络用户参与动机和参与度的影响研究——以新浪微博为例》,载《情报科学》2017年第12期,第108-114页。信息披露意愿越强,从而进一步出现个人信息分享和自我披露行为。(77)Ortiz J, Chih W H & Tsai F S, Information Privacy, Consumer Alienation, and Lurking Behavior in Social Networking Sites, Computers in Human Behavior, Vol:80, p.143-157(2018).用户对网络服务提供商抱有期望以及自以为得到了充分保护,都是高度信任的体现,会对信息安全行为造成影响。用户这种高度信任是有效实现信息安全行为的最大障碍。(78)Tsohou A, Kokolakis S, Karyda M & Kiountouzis E, Investigating Information Security Awareness: Research and Practice Gaps, Information Security Journal: A Global Perspective, Vol.17:5-6, p.207-227(2008).基于此,本文假设:
H5,信任负向影响个人的信息安全行为意向。
5.信息安全意识与信息安全行为意向(Information Security Awareness & Information Security Behavior Intention)
如前所述,信息安全意识是一种关于安全问题的意识和知觉状态,经常会影响安全遵从行为,(79)Tsohou A, Kokolakis S, Karyda M & Kiountouzis E, Investigating Information Security Awareness: Research and Practice Gaps, Information Security Journal: A Global Perspective, Vol.17:5-6, p.207-227(2008).让用户在信息安全行为方面采取谨慎的态度。(80)Safa N S, Sookhak M, Von Solms R, Furnell S, Ghani N A & Herawan T, Information Security Conscious Care Behaviour Formation in Organizations, Computers & Security, Vol.53, p.65-78(2015).信息安全意识在一切与信息安全有关的行为中具有先发地位,(81)Ron T, Carmen R & Stephen, The Impact of Security Awarness on Information Technology Professionals’ Behavior, Computers & Security, Vol.79, p.68-79(2018).对用户的信息安全行为有着指引性作用。Galvez和Guzman认为信息安全意识是行为的塑造因素之一,并指出“信息安全意识越高,信息安全实践越高”。(82)Galvez S M & Guzman I R, Identifying Factors that Influence Corporate Information Security Behavior, Americas Conference on Information Systems, DBLP, 2009.Rhee等人将信息安全意识有关的自我效能视作是用户信息安全行为意向强弱和行为实施可能性的影响因素。(83)Rhee H-S, Kim C & Ryu Y U, Self-efficacy in Information Security: Its Influence on Eend Users’ Information Security Practice Behavior, Computers & Security, doi:10.1016/j.cose.2009.05.008(2009).Parsons等人对信息安全意识与行为关系的研究发现,用户信息安全意识的增强可以提高信息安全态度,从而改善信息安全行为。(84)Parsons K, McCormac A, Butavicius M, Pattinson M & Jerram C, Determining Employee Awareness Using the Human Aspects of Information Security Questionnaire (HAIS-Q), Computers & Security, Vol.42, p.165-176(2014).AlMindeel和Martins将信息安全意识定位为员工安全相关行为的重要预测指标之一。(85)AlMindeel R & Martins J T, Information Security Awareness in a Developing Country Context: Insights From the Government Sector in Saudi Arabia, Information Technology & People, Vol.34:2, p.770-788(2021).前文已经论述了本研究用信息安全行为意向来解释用户的实际信息安全行为,由此提出以下假设:
H6,信息安全意识正向影响信息安全行为意向。
根据上述假设,本研究建构了信息安全因果模型,旨在探索城市老年人信息安全意识和信息安全行为意向二者之间的关系及其影响因素。
本研究以55岁及以上的城市老年人为研究对象,以重庆、四川、贵州西南三省市作为问卷发放的主要区域。重庆、四川、贵州不同的经济发展水平和数字化水平能够反映全国的综合平均状况。
图1:信息安全因果模型
本研究采用便利抽样,2021年5月18日开始以匿名方式发放问卷,于2021年5月28日完成问卷回收。首先,将制作好的问卷通过“问卷星”链接发到重庆、四川、贵州等地区的多个老年朋友群,再转发给他们的老年亲朋好友。问卷共回收305份,删除填答时间少于1分钟的问卷后,得到有效问卷301份。样本的人口统计资料如下。
表1:问卷调查样本的人口统计 (N=301)
本研究模型构念的题项均参考了国内外已有的成熟量表或以往研究中验证过的测量题项,并根据研究对象和假设进行修改。
1.研究变量的操作化
根据本研究的议题,结合已有文献,确定了研究模型中6个构念的操作性定义。
信息安全意识(ISA):指智能手机用户对信息安全问题的警觉状态。信息安全行为意向(ISBI):指智能手机用户使用移动互联网和信息平台时保护个人信息的行为倾向。负面经验(NE):指智能手机用户曾经有过个人信息使用不当或遭受损失的经历。风险感知(RP):智能用户对由于个人信息非法或不当使用而产生不良后果的预期。信息知识(IK):指智能手机用户了解信息平台使用功能的一般知识。信任(TRU):指智能手机用户相信手机生产商和信息平台应用软件提供者会承担保护用户信息安全的责任。
2.测量量表
初始问卷建立在前人文献的基础上,同时为了配合本研究的适用性,问卷首先对30个研究对象进行前测,然后根据回答修改完成。
问卷所有题项均采用陈述句式,答案选项从赋值1“非常不同意”到赋值5“非常同意”,以李克特五点量表进行测量。
负面经验(NE)变量部分参考了Rhee等人、张晓娟的量表,包括四个题项:(1)我曾经为能够使用某些应用程序而被迫同意不完全清楚的使用协议,(2)我有过担心个人信息泄露但还会因为使用方便和对内容的需求而继续点开某些页面的情况,(3)以往的经历提高了我在信息安全方面的意识。
风险感知(RP)变量部分参考了徐敬宏和侯伟鹏的量表,包括三个题项:(1)我认为向微信平台提交个人信息具有危险性,(2)我认为用手机的微信或其他服务软件可能会泄露我的个人信息,(3)我认为微信服务或其他服务软件提供者使用我的个人信息可能导致不可预测的后果。
信息知识(IK)变量部分在Bassllier等人量表(86)Bassellier G, Benbasat I & Reich B H, The Influence of Business Managers’ IT Competence on Championing IT, Information Systems Research, Vol.14:4, p.317-336(2003).基础上进行修改,包括两个题项:(1)我了解手机信息安全保护的基础知识(如杀毒、不同平台设置不同密码、防诈骗等),(2)我了解使用微信的信息安全知识。
信任(TRU)变量部分参考了张晓娟、徐敬宏等人的量表,包括三个题项:(1)我认为手机生产商和应用程序提供者会履行保护个人信息安全的承诺,(2)我相信微信服务商在收集和处理我的个人信息时会考虑我的利益,(3)我相信微信服务提供者会严格按照“隐私声明”保护我的个人信息。
信息安全意识(ISA)变量部分参考了Bulgurcu等人的量表,包括四个题项:(1)我知道我在微信中的用户信息可能会出售给任何购买者,(2)我意识到我在微信上分享的个人照片可能会被恶意使用,(3)我知道各种应用软件实名注册真实信息有风险,(4)我认为连接公共场所的免费Wi—Fi存在风险。
信息安全行为意向(ISBI)变量部分参考了张晓娟、徐敬宏和侯伟鹏的量表,有四个题项:(1)如果被他人拖入陌生的微信群我会选择退群,(2)如果使用微信或其他程序需要我授权同意时我会选择关闭退出,(3)我不会在手机上下载和安装我不知道是否可靠的应用软件,(4)我会关注我用手机浏览的网页是否安全。
本研究的构念不仅包含反映性指标,还包括形成性指标,同时基于本研究的数据来自网络很难满足正态分布,因此在结构方程模型中,偏最小二乘法(Partial Least Square,PLS)是最适合的方法。(87)Chin W W, The Partial Least Squares Approach to Structural Equation Modeling, In Modern Methods for Business Research, Vol.8:2, p.295-336(1998).本研究的结构方程模型评估和分析用SmartPLS3.0和SPSS23.0完成。
在观察变量与构念的关系上,偏最小二乘法不仅可以检测反映性指标,也可以检测形成性指标。与反映性指标不同的是,形成性指标是观察变量影响了构念,各指标没有内部一致性,因此不需要检验信度;权重用于解释形成性指标的构念,需要大于0.2并且显著,T值都必须大于1.96。(88)Chin W W, The Partial Least Squares Approach to Structural Equation Modeling, In Modern Methods for Business Research, Vol.8:2, p.295-336(1998).如表2所示,本研究中的负面经验是形成性指标,其题项权重均大于0.2,并且T值都显著大于1.96。
表2:各变量信效度分析
在反映性指标的检验中,如表2所示,每个题项的因子载荷量均大于0.7。同时,构念的Cronbachs α均大于0.7、组成信度(CR)大于0.8,符合信度标准;观察变量的因子载荷量大于0.7、平均变异萃取值(AVE)大于0.5且组成信度高于0.8,表示具有聚合效度;在区别效度的验证上,如表3所示,对角线粗体数值为各构念之AVE平方根大于构念间的相关系数,表示具有区别效度。(89)Urbach N & Ahlemann F, Structural Equation Modeling in Information Systems Research Using Partial Least Squares, Journal of Information Technology Theory and Application, Vol.11:2, p.5-40(2010).其中负面经验为形成型构念。
表3:测量模型的区别效度
1.模型路径与假设检验结果
在模型验证的结构模型评估中,本研究结构模型的假设检验与路径分析结果如下:
图2:结构模型路径分析与假设检验
表4:结构模型分析结果
由结构模型分析结果可知:第一,负面经验和风险感知均对信息安全意识有正向显著影响。风险感知贡献最大(β=0.524,p<0.001),其次为负面经验(β=0.244,p<0.001);第二,风险感知、信息知识、信任三个变量都显著影响了信息安全行为意向。其中,风险感知贡献最大(β=0.462,p<0.001),其次为信息知识(β=0.391,p<0.001)和信任(β=0.167,p<0.01);第三,信息安全意识没有显著影响信息安全行为意向(β=-0.016,p>0.05);第四,所有变量加在一起所能解释的信息安全行为意向、信息安全意识的方差均接近五成(R2=0.489,R2=0.444)。在预测变量对总方差的解释上,R2的值约为0.670被认为是相当大的数值,0.333左右为中等数值,0.190左右为弱数值。(90)Urbach N & Ahlemann F, Structural Equation Modeling in Information Systems Research Using Partial Least Squares, Journal of Information Technology Theory and Application, Vol.11:2, p.5-40(2010).由此可见,模型中的预测变量具有中度以上的解释力。
本研究以城市老年人为研究对象,依据国内外有关文献,构建了信息安全因果模型,将负面经验、风险感知、信息知识、信任作为前因变量(自变量),将信息安全意识和信息安全行为意向作为结果变量(因变量),探究信息安全意识和信息安全行为意向的前因以及影响路径。
本研究建构的模型中包含的前因变量对老年人的信息安全意识和信息安全行为意向产生了显著影响。研究发现:负面经验和风险感知能正向预测信息安全意识,风险感知、信息知识、信任能够直接影响信息安全行为意向。这表明老年用户的负面经验越丰富、风险感知越强,在智能手机的使用中越能感知到个人信息泄露或被第三方使用的危险,就会增强其信息安全意识。同时,风险感知能力越强,信息知识掌握程度越好,对第三方的信任程度越低,越容易促进老年用户的信息安全行为意向。风险感知在对信息安全意识和对信息安全行为意向的预测中,都是最显著的影响因素。本研究重点讨论以下发现。
本研究有不同于过往研究的新发现:信息安全意识对信息安全行为意向没有显著的正向影响,即信息安全意识不能预测信息安全行为意向。认知和行为统一才能使个体行为习惯的彻底改变,而老年人信息安全意识和行为意向上知行不合一的可能解释有三:一是信息安全意识可以直接通过行为表现出来。这印证了Galvez和Guzman的直接将信息安全意识看作是信息安全行为之一,而非影响因素的观点。(91)Galvez S M & Guzman I R, Identifying Factors that Influence Corporate Information Security Behavior, Americas Conference on Information Systems. DBLP, 2009.二是隐私悖论。很多人知道公共Wi—Fi不安全,也知道分享个人生活场景时开启定位功能可能有风险,但由于使用的便捷和获益,仍不畏将个人隐私暴露。(92)徐敬宏、侯伟鹏:《“隐私担忧”的中介效应:基于对大学生微信使用的结构方程模型分析》,载《传播与社会学刊》2020年第54期,第59-94页。2017年《中国个人信息安全和隐私保护报告》的数据显示,53%的受访者愿意提供个人信息以获得更便利的服务享受,这也说明信息共享带来的便利是客观存在的。(93)《中国个人信息安全和隐私保护报告》,载中国信息产业网,https://wenku.baidu.com/view/26ddbba72e60ddccda38376baf1ffc4fff 47e240?fr=step_zhidao,2021年9月23日访问。在此条件下,即使用户有信息安全意识,也无信息安全行为意向。三是信息安全意识不一定转化为信息安全行为。(94)周凤飞、王佳佳:《大学生智能手机用户信息安全意识与行为调查分析》,载《图书情报工作》2018年第10期,第47-53页。首先,根据社会认知心理学原理,意识可以归属于态度层面,当态度属于抽象水平而行为处于具体情境时,态度与行为就会出现低一致性。(95)[美]S.T.菲斯克、S.E.泰勒:《人怎样认识自己和他人》,陈兴强译,贵州人民出版社1994年版。故而可以解释信息安全意识信念难以预测具体的安全行为反应;其次,由于涉及信息安全的规避之处太多,让人防不胜防,且正因为防不胜防,已知个人信息早已被收集而会放弃,特别是老年群体,尽管他们意识到了信息安全风险和避险,但是因技术原因或老化原因而未能对个人信息采取有效的保护行为,进而放任自流、无所作为,这一结论也是由于研究对象是老年群体这一特殊性使然。
目前学界基本认同信息安全意识对信息安全行为的影响作用,本研究的分析结果提示:老年人信息安全意识和信息安全行为意向之间是否还存在其他中介因素?因而应继续探究行为意向与实际行为的中介和调节因素。Scott和Ophoff指出,人们认为所付出的努力在行为意向和实际行为之间起着调节作用,(96)Scott J & Ophoff J, Investigating the Knowledge-behaviour Gap in Mitigating Personal Information Compromise, In Proceedings of the Twelfth International Symposium on Human Aspects of Information Security & Assurance (HAISA), Clarke N & Furnell S.eds., Plymouth: Univerisity of Plymouth, p.236-245(2018).未来研究也需要寻求能更准确测量实际行为的方法。
尽管信息安全意识的重要作用已经得到广泛认可,但学界对其影响因素的认识和重视仍然不够。Bulgurcu等人曾指出“确定导致信息安全意识的因素将是对学术界和业界的重要贡献,因为可以利用这些因素来制定信息安全意识计划”。(97)Bulgurcu B, Cavusoglu H & Benbasat I, Information Security Policy Compliance: An Empirical Study of Rationality-based Beliefs and Information Security Awareness, MIS Quarterly, Vol.34:3, p.523-548(2010).
如前述文献所示,风险感知不仅能够影响用户的信息安全意识,也能促进用户的信息安全行为意向。本文结果显示,相较于其他因素,风险感知的影响力更强,这意味着老年人感知到的风险比他们使用智能手机时所经历的负面经历、对第三方(手机生产商和应用程序提供商)的不信任程度、所掌握的信息知识更有预测力。当老年人感知到风险后,会意识到自己的信息安全可能受到威胁,进而避免使用智能手机及其相关服务或功能。即当老年人的风险感知大于收益感知时,信息安全意识得以提升,同时产生相应的信息安全行为意向。以移动支付为例,老年用户对支付安全的关注要比其他群体更为显著,(98)徐孝婷、赵宇翔、朱庆华:《在线健康社区老年用户健康信息需求实证研究》,载《图书情报工作》2019年第10期,第87-96页。由于害怕财产受到损失,老年人对个人金融信息的泄露表现出更强烈的担忧。所以,即使他们认可使用网上银行或理财操作比去银行更省时省事,但他们担心自己的个人金融信息泄露,或是因为操作不当导致财产损失,(99)Marston H R, Genoe R, Freeman S, Kulczycki C & Musselwhite C, Older Adults’ Perceptions of ICT: Main Findings From the Technology in Later life (TILL) study, Healthcare, Vol.7, p.86(2019).因此避免使用手机支付或网上银行。(100)Rnning W M & Slvberg A M, Older Adults’ Coping With the Digital Everyday Life, Seminar. net., Vol.13:2, p.55-71(2017).由此而更容易出现的结果是,风险感知让老年人放弃使用智能手机中的金融App,从根源上杜绝了产生经济损失而带来的负面影响,甚至直接放弃使用智能手机,对第三方的信任和掌握的信息知识在拒绝使用智能手机的情况下,也难以发挥作用。
个人在判断新信息时,会将以往的经验、拥有的知识为依据作为信息处理模式。(101)Trongmateerut P, The Impact of Assessment Procedures and Need for Cognition on Fraud Risk Assessments, Washington State University, 2011.负面经验常常使人记住和吸取“教训”而避免再次“犯错”,因而可以有效帮助个人避免负面事件的发生或是主动回避负面经验的来源。负面经验也被视作是网络使用经验的一部分,(102)Gainsbury S M, Browne M & Rockloff M, Identifying Risky Internet Use: Associating Negative Online Experience With Specific Online Behaviours, New Media & Society, Vol.21:6, p.1232-1252(2019).老年人的网络使用经验越丰富,越了解信息安全问题,使用智能手机和应对网络中突发情况时的信心越强,此过程促进了信息安全意识的产生。有较强信息安全意识的老年人,在使用智能手机及其应用时更加谨慎。
本研究实证了老年群体对第三方的信任程度会负向影响信息安全行为意向,即对第三方的信任程度越低的老年人,越倾向于认为平台不会履行保护个人信息的承诺,进而减少信息共享行为以保护个人信息安全,这与以往张晓娟等人的研究发现一致。(103)张晓娟、李贞贞:《信息隐私关注、信任与智能手机用户的个人信息安全行为意向》,载《现代情报》2018年第3期,第45-50页。智能手机和应用在为用户提供便利的同时,确实也收集用户的个人信息,出现了过度甚至违法收集个人信息的情况。2021年7月“滴滴出行”被国家网络安全审查的原因就是出现了“违法违规使用个人信息”。(104)《“过度收集使用用户信息”的App,犯了什么事?》,载侠客岛官方微博, https://weibo.com/ttarticle/p/show?id=2309404655891319488699,2021年9月23日访问。不少App违反必要原则,通过“不同意就不能用”的“霸王条款”过度索权,给用户个人信息泄露造成重大风险。(105)周林兴、韩永继:《大数据环境下个人信息治理研究》,载《情报科学》2021年第3期,第11-18页。正因为“强制同意”条款,让老年用户不得不降低对第三方的信任,通过放弃使用某些应用程序等行为,保护个人信息的安全。
信息知识不仅包括老年人知道如何使用智能手机,也包括老年人如何正确地判断触网时接收到的信息是否安全,避免因个人重要信息泄露带来的负面影响。掌握的安全信息知识越多,老年人信息安全行为意图越强,这也意味着老年人在上网时可以采取及时有效的信息安全行为。当无法对网络信息作出正确判断时,老年人便容易遭遇网络电信诈骗。据2018年发布的《中老年人上网状况及风险网络调查报告》显示,37.4%的中老年人遭遇过网络诈骗,其中占比最大的是保健品诈骗。(106)《图解中老年人上网状况及风险网络调查报告》,载人民网,http://yuqing.people.com.cn/n1/2018/0629/c405625-30096878.html,2021年9月23日访问。杨航等人指出,老年人因衰老而更容易陷入诈骗者的圈套,造成一定的财产损失。(107)杨航、邵景进、张乾寒、蒋悦、李加美、白学俊:《老化恐惧与老年人受骗易感性:安全感和掌控感的中介作用》,载《中国临床心理学杂志》2019年第5期,第1036-1040页。预设的“陷阱”常常以“免费”“保健”“赠送”等引导老年人误入其中,使其在网络诈骗情境中更容易上当。(108)刁春婷、曾美娜:《老年人网络自我效能感与网络诈骗应对的关系》,载《中国老年学杂志》2020年第10期,第2204-2206页。作为信息素养内容之一的信息知识,其相关课程目前正被纳入中小学和高等学校的教学任务中,但信息知识的普及同样不能忽视作为信息弱势群体的老年群体。因此,通过培训以增加老年人的安全信息知识,让老年群体能及时明辨信息真伪,避免无意识的信息泄露,有效保护个人信息。除此之外,信息知识也是代际学习的重要内容,作为数字原住民的年轻一代应对家庭中的老人进行数字反哺,为老年人传授使用数字媒体的信息知识,让老年群体在知晓保护个人信息的重要性后,能采取及时有效的信息保护措施。
概言之,提升老年人的信息安全意识,促进老年人“触网”时及时有效地采取信息安全防护行为,是让老年群体“悦纳”数字媒体的重中之重。据《中老年人上网状况及风险网络调查报告》可知,虽然有六成以上的中老年人有意识提升自身的上网行为安全,但年轻一辈认为中老年群体提升上网安全意识还得加把劲。(109)《图解中老年人上网状况及风险网络调查报告》,载人民网,http://yuqing.people.com.cn/n1/2018/0629/c405625-30096878.html,2021年9月23日访问。本研究不仅丰富了信息安全意识和信息安全行为意向影响前因的研究文献,还关注了该领域被忽视的老年群体。风险感知虽然是影响信息安全意识和信息安全行为的最强因素,但加强老年人的风险感知并不是提升老年人信息安全意识和信息安全行为意向的最优解,因为高风险感知也许可能导致老年人直接放弃使用智能手机,从而阻碍老年群体的数字化进程。提升老年人信息安全意识和信息安全行为意向的重心更应该落在负面经验、信任、信息知识上。因此,政府相关机构和社区对老年人的社会支持实践中,一是要加强负面案例的宣传,向老人普及行骗者惯用的诈骗手段、伎俩,让老年人免受亲身经历之苦就能积累较多的负面经验,帮助老年人提升信息安全素养。二是结合《个人信息保护法》对老年人进行系统、充足的信息安全教育和培训,如开展社区智能手机、新媒体学习课堂等活动,帮助老年人学习数字媒体信息安全知识,让老年人能够掌握基本的设置应用权限、下载安全防护软件、清理网络痕迹和历史记录等个人数据保护小技能,更好地“学以致用”。对作为第三方的数字平台而言,需要优化用户进行安全设置的操作,进行适老化调整,让老年用户能更方便管理自己的信息权限,以此降低他们实施信息安全行为的成本和克服技术障碍难度,能更放心使用数字平台。伴随着《个人信息保护法》的实施,政府完善信息安全法律法规对智能手机及应用中隐私条款对用户隐私侵犯的情况采取强有力的监管,方能为老年人营造一个能够放心“触网”的外部环境。