吕 伞 袁勤俭

(南京大学信息管理学院，江苏 南京 210023)

1999年，Culnan M J等首次提出了隐私计算理论(Privacy Calculus Theory)的概念[1]，其核心思想是，用户会权衡并比较披露个人信息所带来的风险和收益，只有当感知收益大于感知风险时用户才可能进行个人信息披露。

隐私计算理论自提出以来，得到了各领域学者的广泛关注，并经常被用于解释用户个人信息披露的意愿和行为。随着信息技术的发展，了解用户如何感知个人信息披露的风险和收益已经成为当前重要的研究问题，这为隐私计算理论在信息系统领域的应用提供了场景，相关成果也不断涌现。为阐明隐私计算理论的基本内涵与应用现状，国内外学者对隐私计算理论及其应用研究进行了以下梳理：①隐私计算理论的基本原理及发展。刘英华等总结了影响隐私计算的因素，认为用户主观感知、平台、信息技术等因素对隐私计算有较大影响，后续研究可以引入非理性因素[2]；也有学者收集并整理了与隐私计算中感知收益和风险相关的研究，Smith H J等梳理了先前研究中对感知风险和感知收益的定义，总结了用户感知收益主要为经济回报、个性化的商品定制或推荐、社会调整收益3个方面[3]；②隐私计算理论在特定领域内的应用。Pool J等对其在远程医疗的研究进行了梳理，发现家庭护理情景下更容易出现隐私问题，并且与远程监控和监视的程度相关，而不同背景的隐私问题与视频记录、行为数据、位置数据和数据的未来使用有关，这会影响远程医疗的采用和使用[4]。

在文献调研中，发现现有的综述类研究大多关注隐私计算理论的基本内涵和发展进程，对该理论中特定变量之间的关系的梳理较少，且未见系统地总结和梳理隐私计算理论在信息系统领域应用进展的综述类成果。为了帮助学界了解隐私计算理论在信息系统领域应用的研究进展，本文在简要介绍隐私计算理论的起源与演变之后，将梳理和总结该理论在信息系统研究中的应用现状，并在此基础上归纳现有研究中存在的问题和未来研究方向。

1 隐私计算理论的起源和发展

1.1 隐私计算理论的起源

社会交换理论认为个人的社会活动是受金钱或其他奖励回报支配的一种社会交换行为[5]，然而，该背景下的社会交换主要指金钱等有形利益的交换，而忽略了个人隐私等无形利益，因此为了更有针对性地解决互联网时代的用户问题，Laufer R S等于1977年在社会交换理论的基础上提出“行为计算”的概念，认为个人在情景约束下会对行为的预期收益和隐私风险进行评估和权衡，从而决定是否以及何时披露个人信息[6]。行动者会用以个人隐私为代表的社会商品换取其他商品，在此交换活动中，交换双方都获得了预期收益[7]。例如，用户使用个人信息与提供服务的公司交换，以获得更高质量的服务等无形的利益，只要感知收益超过风险，用户就会继续进行与公司的社会契约[8]。人们为了获得社会人际关系上的好处会选择披露个人信息，即个人信息披露的好处与披露的风险评估相平衡[9]。换句话说，只要个人认为隐私披露的收益超过了他们感知到的风险，他们就会交换个人信息。

计算机被广泛使用以来，企业通过分析用户个人信息并向用户直接发放电子邮件，实现有针对性的广告、产品定制或定价，隐私学界开始关注网络用户的隐私问题，隐私计算理论也被广泛地应用于相关研究中。Milne G R等在1993年提出了直邮背景下的隐私—效率权衡框架，认为消费者会在直邮带来的收益与因此产生的隐私泄露风险之间权衡，如果预期收益大于预期风险他们就会采取行动[10]。Culnan M J等于1999年首次正式将行为计算概念引入信息系统领域，称之为“隐私计算”，并在消费者购买商品和服务的情境下进行研究，认为用户在披露个人信息之前会对感知到的预期和收益进行评估，如果潜在用户感知到的收益大于风险，则会选择披露个人信息，反之亦然[1]。

1.2 隐私计算理论的演化

总的来说，隐私计算理论的演化主要集中在两个方面，一方面是将原有的完全理性拓展到有限理性。隐私计算理论最初是基于用户在评估隐私披露收益和风险时会理性行事的假设提出的，但是由于缺乏信息、情境限制或认知能力，因此用户在有限理性下做决策时可能无法权衡所有风险和成本。用户在披露个人信息方面的不一致行为是出于心理动机扭曲其偏好、有限或不对称信息以及有限理性的结果，并提出正是由于这些限制，即使信息隐私问题不支持信息披露的行为，用户也会倾向于提供个人信息，以换取相对较小的便利或回报[11]。Moloney M等考虑了不确定情况下信息隐私决策的有限理性，对隐私计算理论进行了修正，他们认为个人面对模糊性时披露个人信息的意愿和参与隐私风险处理行为的倾向都会降低，即隐私风险处理行为只有在存在可量化的不确定性时才会发现[12]。近期研究中，罗映宇等将隐私计算划分为基于理性的隐私计算和基于有偏的隐私计算，其中基于理性的隐私计算指理性的参与者试图用最小的代价获取最大的收益，而基于有偏的隐私计算指在某些特定场景下用户的理性会出现系统性偏差，这些偏差会使用户无法做出正确的隐私决策[13]。

另一方面，学界不断扩展隐私计算理论中感知收益与感知风险的类别，补充了隐私计算理论的内容。感知收益方面，隐私计算理论被提出时，感知收益主要为披露个人信息所得到的经济回报和个性化定制等，现在已经演变为情感宣泄、物质激励、社交奖励、平台有用性等具体感知收益。朱侯等为假设用户除了考虑自身利益外，还会考虑自己的参与对他人和社会所带来的利益，因此将感知收益分为利己收益与利他收益[14]。感知风险方面，之前的研究主要关注用户感知风险对个人信息披露的影响，研究大多发现二者之间存在显著的负向关系，但也有研究发现结果并不显著。

2 隐私计算理论在信息系统研究领域的应用

2.1 隐私计算理论在信息系统的感知收益和感知风险影响因素研究中的应用

用户在信息系统使用中经常被要求提供程度不一的身份信息，他们需要权衡与之相对应的感知风险和感知收益，因此许多学者把隐私计算理论应用于信息系统的感知收益和感知风险影响因素研究。

2.1.1 信息系统的感知收益影响因素的研究

个人主义和集体主义维度的文化差异表明，来自不同文化背景的互联网用户对社交网络使用中个人信息披露导致的收益有不同程度的感知[15]。Krasnova H等的研究表明，个人主义倾向更高的美国用户相比于德国用户平均认为使用社交网站受益更多[16]，且隐私计算理论的相关研究进一步表明，个人主义倾向更高的法国参与者相较于英国参与者更加认为他们能从中获得收益[17]。然而Trepte S等基于德国、荷兰、英国、美国和中国5个国家的参与者数据进行了研究，发现个人主义与社会满足的主观重要性负相关，即来自个人主义文化的人发现社交网站上的社会满足没有来自集体主义国家的人重要，这一发现与Krasnova H等的研究相悖[18]，意味着文化价值观中的个人主义与集体主义在不同情况下存在差异。

也有研究认为物质激励、个性化服务等网络平台因素也会影响感知收益。以金钱促销为代表的物质激励通过转移网站用户的注意力降低其对感知价值的衡量标准，换句话说，当用户接受物质激励时，其衡量标准的降低会大大提升感知收益[19]。由于个体差异性，用户有时需要社交网站或电子商务商家提供不同的服务，这往往需要借助用户自发提供的个人信息，因此学界通常将个性化服务作为感知收益的影响因素。Xu H等发现，用户为了获取运营商的个性化服务，愿意提供姓名、位置等个人信息，即个性化服务与感知收益呈正相关关系[20]。

2.1.2 信息系统的感知风险影响因素的研究

在信息系统感知风险影响因素的研究中，大多数文献关注信任因素对用户在使用信息系统的过程中联系方式、活动轨迹等信息泄露的风险的影响。信任是指一方愿意相信另一方的行为，其基础是期望另一方将适当地执行特定的行为，而不管是否有能力监控另一方[21]。同时信任可以被看作人际关系中控制力的大小和类型的函数，它在权衡参与社会交易的成本和回报方面发挥着至关重要的作用[22]，因此有许多学者研究信任与隐私计算理论的关系。Malhotra N K等研究了电子商务环境下信任对消费者行为的影响，结果表明，具有高度隐私关注的个人可能具有较低的信任信念，并且当潜在交易风险出现时，信任在确定消费者行为中发挥着至关重要的作用[23]。Pavlou P A对B2C环境下的电子商务客户进行了研究，指出信任能够改善客户对在线供应商和相关基础设施的信念，并且减轻消费者对交易过程的感知风险[24]。除了电子商务背景，也有学者对移动应用层面下信任对感知风险的影响进行了研究。Ozturk A B等综合个性化、隐私关注、信任、感知风险等因素研究了移动酒店预订的影响因素，结果表明隐私关注对信任有显著影响，且信任和感知风险之间存在显著的负相关关系[25]。

也有少数文献研究讨论了情感、信息敏感度等情境因素对用户感知风险的评估的影响。在心理学和信息系统文献中，情感被经验性地发现以一致的方式影响信任和风险感知。Cosmides L等的研究表明，情绪可以改变感知、生理和能力，从而影响人们的隐私决策[26]。Chaudhuri A对从标准产业分类法代码手册中随机选择的146种产品和服务的综合数据集进行验证，研究了情绪、理性与感知风险之间的关系，结果表明，对产品或服务的积极情绪有助于降低使用产品或服务时的感知风险，而消极情绪会增强感知风险[27]，Mun Y Y等也发现，享受可以提高个人对信息技术的感知有用性和感知易用性[28]。除了情感因素外，也有许多学者将信息敏感度纳入用户感知风险评估中。Mothersbaugh D L等考察了在线服务环境下用户的信息披露意愿，发现对所请求信息的敏感度越高，定制收益的影响越弱，用户感知风险越大，信息控制和在线隐私关注的影响越强[29]。Kehr F等通过调查用户对移动手机应用程序收集个人信息的反应，研究了情感和信息敏感度因素对用户风险感知的影响，发现积极影响条件下参与者的风险感知基本上不受信息敏感度的影响，而中性影响条件下参与者的风险感知高度依赖于信息敏感度[30]。

由上述讨论可知，信任、文化、情感和信息敏感度等诸多与信息系统相关的因素会对感知风险和感知收益产生影响，这对理解用户如何利用隐私计算理论进行风险—收益评估有重要意义。然而部分关于用户感知风险和收益影响因素的研究存在矛盾的地方，具体表现为以个人主义和集体主义为代表的文化对感知收益影响研究结果的不一致，未来研究可以考虑收集来自不同文化背景的样本数据，或者使用元分析进一步探讨文化对感知收益和风险的影响机制。此外，用户体验、个人创新性等个体差异可能会改变同一信息系统及同一情境下不同用户对隐私泄露的感知，追求突破创新和体验感的用户相比于满足当下信息系统体验和创新的用户可能更容易感知到披露个人信息带来的收益，并且忽略相关风险。然而目前的研究没有明确地纳入个人差异变量，这可能会限制研究模型的解释力，考虑到移动技术在社会各个领域的显著增长，未来研究可以考虑纳入额外的个体差异变量。

2.2 隐私计算理论在用户个人信息披露研究中的应用

隐私计算理论将在线个人信息披露解释为用户对交换关系中的收益和成本进行主观评估的结果，如果用户认为披露隐私的收益超过了感知到的风险，他们就会选择公开自己的联系方式、位置等信息，因此学界将其应用于信息系统用户披露个人信息的意愿和行为的研究中。

2.2.1 隐私计算理论在用户个人信息披露意愿研究中的应用

用户使用社交平台时可能会发布包含个人信息的文字或图片等内容，这会大大增加个人隐私泄露的风险，他们需要权衡此行为产生的风险和收益，因此不断有研究试图解释用户在社交网络中的信息披露意愿。Petronio S等认为，人们需要进行社交(通过披露信息)和私人(通过隐瞒信息)的竞争，并且通过决定他们希望在给定的交互中拥有的隐私和公开程度来处理这些相互竞争的需求[31]。Krasnova H等探究了用户在社交网络披露个人信息的动机，指出用户主要是出于维护和发展关系以及享受平台带来的便利的目的主动披露个人信息，并且发现尽管感知风险阻碍了用户的自我披露，但它通常会被感知收益所抵消，并会被信任和控制信念所减轻[32]。而Sun Y等的研究发现了相反的结果，隐私风险削弱了感知收益与披露意图之间的关系，当隐私风险较高时，即使用户认识到个人信息披露可以给自己带来多种收益，也不愿意披露自己的位置信息[33]。

同时，由于用户在使用移动商务应用程序获取商品或服务的过程中可能暴露位置、偏好、身份等隐私信息，学界通常借助隐私计算理论来解释电子商务环境中的用户个人信息披露意愿。在商务环境中，用户倾向于将商业实体对个人信息的占用视为隐私风险，而通过向商家提供位置、偏好等个人信息所获得的对应的商品或个性化服务则通常被视为隐私收益。Yang S等研究了网络营销中的用户个人信息披露，发现用户可能会披露一些不太敏感的信息，而隐瞒其他更敏感的信息[34]。White T B研究了电子商务背景下用户向营销人员披露个人信息的意愿的影响因素，发现感知风险与用户个人信息披露意愿呈负相关关系，同时用户感知风险部分中介关系感知和信息类型对用户购买意愿的交互影响[35]。Wang T等借助隐私计算视角考察了影响接受感知收益和被感知风险惩罚的权衡决策的因素，发现自我呈现和个性化服务对消费者的感知收益有正向影响，消费者的感知收益正向影响其披露个人信息的意愿，同时感知严重性和感知控制是感知风险的直接前因，对消费者披露个人信息的意图产生负面影响，并且与感知风险相比，感知收益对个人信息披露意愿的影响更大[36]。

除上述信息系统外，学界还应用隐私计算理论研究了在线医疗、智能交通等物联网中用户的隐私披露情况。王瑜超结合隐私计算理论和社会交换理论研究了虚拟健康社区用户个人信息披露的影响因素，发现个性化服务对感知风险、结果期望、物质奖励均存在显著的正向影响关系，感知风险与信任存在显著的负向影响关系，而信任又会正向影响个人健康隐私信息披露意愿[37]。Kim D等考察了医疗保健、智能家居和智能交通3种物联网服务中影响用户提供隐私个人信息意愿的因素，发现人们在为更好的个性化服务提供个人隐私信息时，并不太关注感知的隐私风险，而在感知隐私风险较高的医疗保健服务中，不完全个性化的期望值较低，人们不愿意提供他们的个人信息[38]。谢珍等研究了智慧图书馆用户隐私披露意愿的影响因素，指出感知收益、信任程度、数据控制和依赖程度对隐私披露意愿有显著影响，而隐私关注和感知风险对用户隐私披露意愿影响很小[39]。

2.2.2 隐私计算理论在用户个人信息披露行为研究中的应用

用户披露个人信息的历史行为可以反映影响他们决策制定的因素，因此许多学者通过使用隐私计算理论研究用户个人信息披露行为，以此对社交网络平台、电子商务平台等信息系统的建设和完善提供改进建议。Xu F等把计划行为理论中的行为控制、主观规范和态度因素与隐私计算理论中的隐私风险一起作为隐私关注的影响因素，研究了用户感知收益与隐私关注对个人信息披露行为的影响，且与隐私关注相比，感知收益对自我披露个人信息的用户行为具有更高的影响[40]。Fernandes T等将非理性和语境因素纳入隐私计算中，考虑了理性(收益和成本)和非理性(习惯)因素在披露决策过程中的影响，同时考虑了语境敏感性的调节作用，发现用户的个人信息披露行为具有上下文相关性，且非理性(习惯)因素在用户权衡感知收益与风险之间起主导作用[41]。Sun Y等通过对微信平台进行在线调查，发现相互依存的自我意识增强了预防焦点对信息敏感性和信息隐瞒之间关系的调节作用，即在更高的防范重点条件下，高度相互依赖的自我构念的社交网络用户在信息隐瞒行为中的参与会受到信息敏感性的正向激励[42]。Cheung C M K等研究了感知成本、感知收益和社会影响对用户在社交网站自我披露行为的相对影响，结果表明感知收益和社会影响是决定社交网站自我表露的重要因素，而感知隐私风险对社交网站的自我披露没有任何影响[43]。

综上所述，已有许多文献使用隐私计算理论研究了信息系统领域用户的信息披露意愿和行为。从研究对象看，上述研究选取的研究样本以青少年群体居多，而近年来互联网在中老年群体中也逐渐普及，由于老年人的需求和认知能力等与年轻人存在差异，因此也可针对这一群体做进一步的研究。从信息系统类型来看，研究主要集中于电子商务、社交网络、移动应用等，随着新技术的不断应用，也可以对人工智能、物联网、电子游戏等信息系统进行研究。同时，出于自我展示的目的，用户在进行个人信息披露时可能会变得自动化和习惯化，因此后续研究可以调查使个人信息披露变得更加自动化和习惯化的过程或特定背景。此外，多数研究没有对隐私问题和个人信息进行细分，由于隐私问题表现形式多样，隐私关注侧重点不同的用户会表现出不同的行为，因此未来的研究需要更详细地探索和分类隐私问题。

2.3 隐私计算理论在信息系统使用研究中的应用

用户在使用信息系统的过程中需要考虑注册、登录、浏览等操作对其隐私造成的潜在风险，因此，即使信息系统的使用可以为用户提供人际关系、衣食住行等多方面的好处，用户也需要衡量其带来的风险与收益，以决定是否要采纳或者退出信息系统，因此许多学者基于此研究了信息系统采纳与使用的相关原则、用户关系与影响因素。

2.3.1 隐私计算理论在用户采纳意愿研究的应用

学界已有许多文献借助隐私计算理论针对信息系统不同领域的用户进行了采纳意愿研究。Li H等研究了个人隐私感知在用户医疗可穿戴设备采用中的影响作用，结果表明，个人在感知的收益高于感知的隐私风险时更有可能采用该设备，同时发现个人感知隐私风险由健康信息敏感性、个人创新性、立法保护和感知声望形成，个体的感知收益由感知信息量和功能一致性决定[44]。张嵩等研究了基于位置服务的用户隐私关注的影响因素以及与之相关的用户采纳意愿，发现用户在使用位置服务时的隐私关注受到陌生程度、口碑、隐私信息敏感度和主观规范的影响，且用户的隐私关注进一步影响感知风险，用户会根据所衡量的感知风险及收益而产生相应的采纳意向[45]。Hassandoust F等考察了潜在用户的安装联系人追踪移动应用程序的采纳意图，发现个人安装追踪应用程序的采纳意图受感知风险、感知收益、隐私保护措施和技术特征的影响，对公共卫生机构的信任与安装追踪应用程序的意图之间只有间接关系，且中老年人相比于青年人更倾向于安装追踪应用程序[46]。

2.3.2 隐私计算理论在用户退出行为研究中的应用

由于用户在使用信息系统时存在担心个人隐私泄露的情况，学界使用隐私计算理论研究用户退出信息系统的情况，即用户不持续使用信息系统的行为。对用户退出行为的研究主要集中于社交网络领域，Christofides E等探讨了美国大学生对脸书的个人信息披露和信息控制以及影响披露和控制水平的人格因素，结果表明，个人信息披露和信息控制没有显著负相关关系，他们指出用户的自我披露与退出并不是简单的镜像关系，而是完全不同的概念[47]。Dienlin T等通过纳入用户退出行为和隐私自我效能检验了隐私计算的可推广性，结果表明隐私关注和隐私自我效能都积极预测自我回避的使用，并且在社交网站背景下，用户自我披露的感知收益大于感知风险，而用户退出的感知风险超过了隐私自我效能和感知收益[48]。Mohamed N等研究了马来西亚大学生社交网站隐私关注的前因及影响，发现只有感知严重性、自我效能、感知脆弱性和性别是社交网站信息隐私问题的前因，而反应效能和奖励不是重要的前因，并且发现隐私问题直接并显著预测社交网站上的退出行为[49]。

对上述文献进行梳理，可以发现隐私计算理论在信息系统使用中的应用主要关注用户的采纳行为和自我退出行为，但相关研究仍然存在一些不足。学界对用户信息系统采纳的研究主要侧重于用户使用信息系统的意愿，缺少对用户行为的研究，且收集数据的方式较为单一，未来研究可以考虑使用系统日志文件等更为客观的数据对用户行为进行分析，并与访谈法等相结合，以了解用户背后的行为动机。研究样本大多来自同一个国家(地区)，而用户行为通常与价值观、生活方式、文化、政治信仰等因素相关，因此未来研究可以使用其他国家(地区)的代表性样本进行复刻，以提高研究结果的普遍性。

3 结论与展望

通过对文献的梳理与总结可以发现，隐私计算理论从社会交换理论演化而来，学者通过添加有限理性、自我控制、信任等关键结构对隐私计算理论进行了完善。信息系统领域已经涌现了一些基于隐私计算理论的成果，具体而言主要集中在“隐私计算理论在信息系统的感知收益和感知风险影响因素研究中的应用”“隐私计算理论在用户个人信息披露研究中的应用”和“隐私计算理论在信息系统使用研究中的应用”3个方面。

现有研究仍存在一些不足之处，主要包括以下几点：①部分关于用户感知风险和收益影响因素的研究存在矛盾的地方，具体表现为以个人主义和集体主义为代表的文化对感知收益影响研究结果的不一致；②个体差异可能会影响不同用户对隐私泄露的感知，然而目前的研究没有明确地纳入个人差异变量，这可能会限制研究模型的解释力；③研究对象多为青少年，且大学生群体占多数，而近年来互联网在中老年群体中也逐渐普及，老年人的信息需求和认知能力与年轻人存在差异，这可能对结果产生影响；④多数研究没有细分隐私问题和个人信息，这会导致用户行为的测量出现偏差；⑤由于反映用户实际行为的数据不易获取，多数研究使用用户意愿替代用户行为，少有研究直接延伸到用户实际行为，且目前信息系统领域有关隐私计算理论的研究数据收集的方式和样本来源较为单一。

未来研究可从以下几个方面完善和丰富隐私计算理论在信息系统领域中的应用：①由于部分有关用户感知风险和收益影响因素的研究结果具有不一致性，未来研究可以考虑收集来自不同文化背景的样本数据，或者使用元分析进一步探讨文化对感知收益和风险的影响机制；②考虑当前研究较少地关注用户体验、个人创新性等个体差异，未来研究可以考虑纳入额外的个体差异变量，在此基础上增强隐私计算模型的完整性；③可考虑拓展现有模型，根据社交网站的不同特征、前因、后果、风险或顾虑以及使用模式，确定社交网站中共享的不同类型的个人信息和隐私问题；④通过多种途径获取数据，借助眼动仪等先进科学设备获取更为客观的用户行为数据，考虑使用购买数据、使用时间等系统日志文件来测量并分析用户行为，开展覆盖整个行为周期的研究，并与访谈法等相结合；⑤考虑社交网络中的“寒蝉效应”，即用户认为他们的线下行为会影响在线社区他人的反应，因此他们会通过改变线下行为来取悦线上的潜在受众[50]，未来研究可以考虑互联网内外文化的交互；⑥由于企业机构需要从客观的角度评估相关隐私操作给用户带来的风险和收益，以避免隐私冲突的发生，未来研究可以从组织的角度出发，建立隐私评估的框架，从不同方面扩展隐私计算理论。