TU Darmstadt / ULB / TUbiblio

A Behavioral Economics Perspective on the Formation and Effects of Privacy Risk Perceptions in the Context of Privacy-Invasive Information Systems

Brakemeier, Hendrik (2018):
A Behavioral Economics Perspective on the Formation and Effects of Privacy Risk Perceptions in the Context of Privacy-Invasive Information Systems.
Darmstadt, Technische Universität, [Online-Edition: http://tuprints.ulb.tu-darmstadt.de/7304],
[Ph.D. Thesis]

Abstract

In recent years, more and more information systems are proliferating that gather, process and analyze data about the environment they are deployed in. This data oftentimes refers to individuals using these systems or being located in their surroundings, in which case it is referred to as personal information. Once such personal information is gathered by an information system, it is usually out of a users’ control how and for which purpose this information is processed or stored. Users are well aware that this loss of control about their personal information can be associated with negative long-term effects due to exploitation and misuse of the information they provided. This makes using information systems that gather this kind of information a double-edged sword. One can either use such systems and realize their utility but thereby threaten ones’ own privacy, or one can keep ones’ privacy intact but forego the benefits provided by the information system. The decision whether to adopt this type of information system therefore represents a tradeoff between benefits and risks. The vast majority of information systems privacy research to date assumed that this tradeoff is dominated by deliberate analyses and rational considerations, which lead to fully informed privacy-related attitudes and behaviors. However, models based on these assumptions often fail to accurately predict real-life behaviors and lead to confounding empirical observations. This thesis therefore investigates, in how far the risk associated with disclosing personal information to privacy-invasive information systems influences user behavior against the background of more complex models of human decision-making. The results of these investigations have been published in three scientific publications, of which this cumulative doctoral thesis is comprised. These publications are based on three large-scale empirical studies employing experimental approaches and being underpinned by qualitative as well as quantitative pre-studies. The studies are guided by and focus on different stages of the process of perceiving, evaluating and mentally processing privacy risk perceptions in considerations whether to disclose personal information and ultimately use privacy-invasive information systems. The first study addresses different conceptualizations of privacy-related behaviors, which are oftentimes used interchangeably in privacy research, despite it has never been investigated whether they are indeed equivalent: Intentions to disclose personal information to an information system and intentions to use an information system (and thereby disclose information). By transferring the multiple-selves-problem to information systems privacy research, theoretical arguments are developed and empirical evidence is provided that those two intentions are (1) conceptually different and (2) formed in different cognitive processes. A vignette-based factorial survey with 143 participants is used to show, that while risk perceptions have more impact on disclosure intentions than on usage intentions, the opposite holds for the hedonic benefits provided by the information system. These have more impact on usage intentions than on disclosure intentions. The second study moves one step further by addressing systematically different mental processing of perceived risks and benefits of information disclosure when considering only one dependent variable. In particular, the assumption that the perceived benefits and risks of information disclosure possess additive utility and are therefore weighted against each other by evaluating a simple utility function like “Utility = Benefit – Cost” is investigated. Based on regulatory focus theory and an experimental pre-study with 59 participants, theoretical arguments are developed, that (1) the perception of high privacy risks evokes a state of heightened vigilance named prevention-focus and (2) this heightened vigilance in turn changes the weighting of the perceived benefits and risks in the deliberation whether to disclose personal information. Results from a second survey-based study with 208 participants then provide empirical evidence, that perceptions of high risks of information disclosure in fact evoke a prevention focus in individuals. This prevention focus in turn increases the negative effect of the perceived risks and reduces the positive effect of the perceived benefits of information disclosure on an individuals’ intention to disclose personal information. Instead of investigating the processing of risk perceptions, the third study presented in this thesis focuses on the formation of such perceptions. The focus is therefore on the process of selecting, organizing and interpreting objective cues or properties of information systems when forming perceptions about how much privacy risk is associated with using the system. Based on an experimental survey study among 233 participants the findings show, that individuals in fact have difficulties evaluating privacy risks. In particular, (1) the formation of privacy risk perceptions is dependent on external reference information and (2) when such external reference information is available, individuals are enabled to form more confident risk judgments, which in turn have a stronger impact on an individual’s privacy-related behavior. These findings suggest a reconceptualization of privacy risks as not only being characterized by an extremity (how much risk is perceived) but also the dimension of confidence in ones’ own risk perception. Overall, the research findings of the three studies presented in this thesis show, that widely accepted assumptions underlying information systems privacy research are severely oversimplified. The results therefore contribute significantly to an improved understanding of the mental processes and mechanisms leading to the acceptance of privacy-invasive information systems.

Item Type: Ph.D. Thesis
Erschienen: 2018
Creators: Brakemeier, Hendrik
Title: A Behavioral Economics Perspective on the Formation and Effects of Privacy Risk Perceptions in the Context of Privacy-Invasive Information Systems
Language: English
Abstract:

In recent years, more and more information systems are proliferating that gather, process and analyze data about the environment they are deployed in. This data oftentimes refers to individuals using these systems or being located in their surroundings, in which case it is referred to as personal information. Once such personal information is gathered by an information system, it is usually out of a users’ control how and for which purpose this information is processed or stored. Users are well aware that this loss of control about their personal information can be associated with negative long-term effects due to exploitation and misuse of the information they provided. This makes using information systems that gather this kind of information a double-edged sword. One can either use such systems and realize their utility but thereby threaten ones’ own privacy, or one can keep ones’ privacy intact but forego the benefits provided by the information system. The decision whether to adopt this type of information system therefore represents a tradeoff between benefits and risks. The vast majority of information systems privacy research to date assumed that this tradeoff is dominated by deliberate analyses and rational considerations, which lead to fully informed privacy-related attitudes and behaviors. However, models based on these assumptions often fail to accurately predict real-life behaviors and lead to confounding empirical observations. This thesis therefore investigates, in how far the risk associated with disclosing personal information to privacy-invasive information systems influences user behavior against the background of more complex models of human decision-making. The results of these investigations have been published in three scientific publications, of which this cumulative doctoral thesis is comprised. These publications are based on three large-scale empirical studies employing experimental approaches and being underpinned by qualitative as well as quantitative pre-studies. The studies are guided by and focus on different stages of the process of perceiving, evaluating and mentally processing privacy risk perceptions in considerations whether to disclose personal information and ultimately use privacy-invasive information systems. The first study addresses different conceptualizations of privacy-related behaviors, which are oftentimes used interchangeably in privacy research, despite it has never been investigated whether they are indeed equivalent: Intentions to disclose personal information to an information system and intentions to use an information system (and thereby disclose information). By transferring the multiple-selves-problem to information systems privacy research, theoretical arguments are developed and empirical evidence is provided that those two intentions are (1) conceptually different and (2) formed in different cognitive processes. A vignette-based factorial survey with 143 participants is used to show, that while risk perceptions have more impact on disclosure intentions than on usage intentions, the opposite holds for the hedonic benefits provided by the information system. These have more impact on usage intentions than on disclosure intentions. The second study moves one step further by addressing systematically different mental processing of perceived risks and benefits of information disclosure when considering only one dependent variable. In particular, the assumption that the perceived benefits and risks of information disclosure possess additive utility and are therefore weighted against each other by evaluating a simple utility function like “Utility = Benefit – Cost” is investigated. Based on regulatory focus theory and an experimental pre-study with 59 participants, theoretical arguments are developed, that (1) the perception of high privacy risks evokes a state of heightened vigilance named prevention-focus and (2) this heightened vigilance in turn changes the weighting of the perceived benefits and risks in the deliberation whether to disclose personal information. Results from a second survey-based study with 208 participants then provide empirical evidence, that perceptions of high risks of information disclosure in fact evoke a prevention focus in individuals. This prevention focus in turn increases the negative effect of the perceived risks and reduces the positive effect of the perceived benefits of information disclosure on an individuals’ intention to disclose personal information. Instead of investigating the processing of risk perceptions, the third study presented in this thesis focuses on the formation of such perceptions. The focus is therefore on the process of selecting, organizing and interpreting objective cues or properties of information systems when forming perceptions about how much privacy risk is associated with using the system. Based on an experimental survey study among 233 participants the findings show, that individuals in fact have difficulties evaluating privacy risks. In particular, (1) the formation of privacy risk perceptions is dependent on external reference information and (2) when such external reference information is available, individuals are enabled to form more confident risk judgments, which in turn have a stronger impact on an individual’s privacy-related behavior. These findings suggest a reconceptualization of privacy risks as not only being characterized by an extremity (how much risk is perceived) but also the dimension of confidence in ones’ own risk perception. Overall, the research findings of the three studies presented in this thesis show, that widely accepted assumptions underlying information systems privacy research are severely oversimplified. The results therefore contribute significantly to an improved understanding of the mental processes and mechanisms leading to the acceptance of privacy-invasive information systems.

Place of Publication: Darmstadt
Divisions: 01 Department of Law and Economics > Betriebswirtschaftliche Fachgebiete
01 Department of Law and Economics > Betriebswirtschaftliche Fachgebiete > Information Systems
01 Department of Law and Economics
Date Deposited: 29 Apr 2018 19:55
Official URL: http://tuprints.ulb.tu-darmstadt.de/7304
URN: urn:nbn:de:tuda-tuprints-73047
Referees: Buxmann, Prof. Dr. Peter and Benlian, Prof. Dr. Alexander
Refereed / Verteidigung / mdl. Prüfung: 6 March 2018
Alternative Abstract:
Alternative abstract Language
In den letzten Jahren ist eine immer stärkere Verbreitung von Informationssystemen, die Daten aus ihrer Umwelt erfassen, verarbeiten und analysieren, beobachtbar. Diese Daten beziehen sich dabei häufig auch auf Menschen, die diese Systeme nutzen oder sich in deren Umfeld bewegen. In diesem Fall spricht man von persönlichen Informationen. Sobald solche persönlichen Informationen von einem Informationssystem erfasst wurden, verlieren dessen Nutzer in der Regel jegliche Kontrolle darüber, wie und für welche Zwecke diese Informationen gespeichert oder verarbeitet werden. Die Nutzer sind sich dabei durchaus bewusst, dass dieser Kontrollverlust über ihre persönlichen Informationen langfristig negative Konsequenzen für sie haben kann. Gründe hierfür sind beispielsweise die Verwendung der persönlichen Informationen entgegen dem ursprünglichen Zweck, Verlust oder Weitergabe der Informationen an Unberechtigte oder anderweitiger Missbrauch. Die Nutzung solcher Informationssysteme geht daher sowohl mit positiven als auch negativen Konsequenzen einher. Entweder das System wird genutzt, wobei man von dem vom System gestifteten Nutzen profitiert, aber gleichzeitig seine Privatsphäre gefährdet, oder man schützt seine Privatsphäre, aber verzichtet damit auch auf den Nutzen, den das Informationssystem bietet. Die Entscheidung, solch ein System zu nutzen, stellt folglich eine Abwägung zwischen Nutzen und Risiko dar. Der überwiegende Anteil der Forschung zum Thema Privatsphäre in der Disziplin der Wirtschaftsinformatik nimmt bis heute an, dass diese Abwägung auf wohl durchdachten Bewertungen und rationalen Überlegungen fußt. Forschungsmodelle, die auf dieser Annahme aufbauen, können tatsächliches Verhalten von Menschen in Bezug auf ihre Privatsphäre jedoch häufig nicht erklären und führen in verschiedenen Kontexten zu unterschiedlichen Ergebnissen. In dieser Arbeit wird daher untersucht, inwiefern das mit der Preisgabe persönlicher Informationen an ein Informationssystem verbundene Risiko das Nutzerverhalten vor dem Hintergrund komplexerer Modelle menschlichen Entscheidungsverhaltens beeinflusst. Die Forschungsergebnisse wurden in drei wissenschaftlichen Publikationen veröffentlicht, die Teil dieser kumulativen Doktorarbeit sind. Diese Veröffentlichungen basieren auf drei großzahligen empirischen Studien, welche durch quantitative und qualitative Vorstudien gestützt werden. Die Studien beziehen sich auf unterschiedliche Stufen des Prozesses der Wahrnehmung, Bewertung und mentalen Verarbeitung von Wahrnehmungen eines Privatsphärerisikos bei der Entscheidung, persönliche Informationen preiszugeben beziehungsweise privatsphäreinvasive Informationssysteme zu nutzen. Die erste Studie untersucht verschiedene Konzeptualisierungen von privatsphärerelevantem Verhalten, die in der aktuellen Forschungslandschaft synonym verwendet werden, obwohl nie untersucht wurde, ob diese Konzeptualisierungen tatsächlich äquivalent zu verwenden sind: Die Absicht, persönliche Informationen an ein Informationssystem preiszugeben und die Absicht, ein privatsphäreinvasives Informationssystem zu nutzen (und dabei persönliche Informationen an dieses preiszugeben). Durch die Übertragung des sogenannten multiple- selves-problems in die Privatsphäreforschung werden theoretische Argumente dafür entwickelt, dass die beiden genannten Verhaltensabsichten (1) konzeptuell unterschiedlich und (2) die Ergebnisse verschiedener kognitiver Prozesse sind. Auf Basis einer multifaktoriellen Vignettenstudie mit 143 Teilnehmern wird gezeigt, dass während Risikowahrnehmungen einen größeren Einfluss auf die Informationspreisgabeabsicht als auf die Nutzungsabsicht haben, das Gegenteil für die von einem Informationssystem gestifteten hedonistischen Nutzenaspekte gilt. Diese haben mehr Einfluss auf die Nutzungsabsicht als auf die Absicht zur Informationspreisgabe. Während die erste Studie Unterschiede des Einflusses von Risiko- und Nutzenwahrnehmungen auf unterschiedliche abhängige Variablen untersucht, geht die zweite Studie einen Schritt weiter und betrachtet systematisch unterschiedliche mentale Verarbeitungsmechanismen von Risiko- und Nutzenwahrnehmungen bei Betrachtung nur einer abhängigen Variablen. Dabei wird die in der Forschung gängige Annahme untersucht, dass Nutzen- und Risikoaspekte sich durch additive Nutzwerte auszeichnen und die Abwägung dieser damit als eine Nutzenfunktion der Form “Utility = Benefit – Cost” dargestellt werden kann. Auf Grundlage der regulatory focus theory und einer experimentellen Vorstudie mit 59 Teilnehmern werden Argumente dafür hergeleitet, dass (1) die Wahrnehmung hoher Privatsphärerisiken zu einer erhöhten Wachsamkeit führt, die als prevention-focus bezeichnet wird und (2) diese erhöhte Wachsamkeit wiederum die Gewichtung von Nutzen- und Risikowahrnehmungen in der Entscheidung über die Preisgabe persönlicher Informationen beeinflusst. Eine zweite Fragebogenstudie mit 208 Teilnehmern liefert empirische Evidenz, dass die Wahrnehmung hoher Privatsphärerisiken tatsächlich einen prevention-focus hervorruft. Dieser führt dazu, dass der negative Einfluss der wahrgenommenen Privatsphärerisiken verstärkt und der positive Einfluss der Nutzenwahrnehmung auf die Informationspreisgabeabsicht abgeschwächt wird. Die dritte Studie, die im Rahmen dieser Arbeit dargestellt wird, legt den Fokus nicht auf die mentale Verarbeitung von Privatsphärerisiken, sondern auf deren Entstehung. Dabei wird der Prozess des Auswählens, Organisierens und Interpretierens von objektiv beobachtbaren Eigenschaften eines Informationssystems bei der Beurteilung des von diesem System ausgehenden Privatsphärerisikos genauer beleuchtet. Im Rahmen einer Umfragestudie mit experimentellem Studiendesign unter 233 Teilnehmer wird gezeigt, dass es Menschen tatsächlich häufig schwerfällt, Privatsphärerisiken zu bewerten. Dabei wird inbesondere gezeigt, dass (1) die Bildung von Risikowahrnehmungen durch extern verfügbare Referenzinformationen beeinflusst wird und (2) wenn solche externen Referenzinformationen verfügbar sind, das Vertrauen in die eigene Risikoeinschätzung erhöht ist und diese wiederum einen größeren Einfluss auf das privatsphärerelevante Verhalten aufweist. Auf Basis dieser Ergebnisse wird eine zweidimensionale Rekonzeptualisierung von wahrgenommenen Privatsphärerisiken vorgeschlagen, die sich offenbar nicht nur durch einen Risikograd (d.h. die Höhe der wahrgenommenen Privatsphärerisiken), sondern auch die Dimension der Zuversicht in die eigene Risikoeinschätzung auszeichnen. Übergreifend zeigen die in der Arbeit vorgestellten Ergebnisse, dass in der Privatsphäreforschung weit verbreitete Annahmen den mentalen Prozess der Wahrnehmung und Verarbeitung von Privatsphärerisiken zu stark vereinfachen. Die Arbeit trägt damit erheblich zu einem besseren Verständnis der mentalen Prozesse und Mechanismen bei, die zur Akzeptanz von privatsphäreinvasiver Informationstechnologie führen.German
Export:

Optionen (nur für Redakteure)

View Item View Item