社會控制相關理論及其在信息安全情境中的應用

謝宗曉（南開大學商學院）

甄杰（重慶工商大學商務策劃學院）

社會控制相關理論及其在信息安全情境中的應用

謝宗曉（南開大學商學院）

甄杰（重慶工商大學商務策劃學院）

本文介紹了社會控制相關的4個理論及其在信息安全情境中的應用，其中包括起源于社會學的Ross的社會控制、起源于管理學領域的組織控制、起源于犯罪學領域的Hirschi的社會控制理論以及自我控制。

信息安全社會控制組織控制社會控制理論自我控制

1　Ross與廣義的社會控制

1.1理論提出及概述

社會控制（Social Control）由Edward A. Ross在1896年提出②Edward A. Ross（1866—1951）美國社會學家，1891年獲得約翰霍普金斯大學的政治經濟學博士學位，之后在康奈爾大學、哈佛大學和威斯康星大學麥迪遜分校等任教。諸多文獻認為社會控制是Ross在1901年提出，可能是因為他在1901年出版了《社會控制》（Ross E.D. 社會控制. 華夏出版社, 1989.）。但是應該注意，在序言中，Ross特意說明“本書是原先若干篇以社會控制為題的文章，這些文章是我在1896年3月至1898年5月寫給《美國社會學雜志》的”。實際上，社會控制的概念是在1896年的第一篇論文中提出的，這個過程在文獻[1]中有很詳細的介紹。。Ross指出“人們總有這樣一種錯覺，認為秩序是人類遺傳特質所要求的優良品性構成的，而不是因為社會對人們施加控制引起的”。Ross的社會控制的前提認為人的天性中存在一種“自然情緒”，“普通人確實不是天生就會蓄意犯罪、貪婪或兇殘”，這個理論假設在后期的發展中，尤其是與Travis Hirschi的社會控制理論前提存在本質不同。因此，社會控制是一個廣義的社會學概念，包括了一系列甚至假設都不相同的理論。Ross開啟了社會控制理論，并解釋了個人與社會的關系。

1.2主要內容或概念

Ross的社會控制泛指保證個體/群體符合并遵守既定社會約束的機制，這其中包括了各種依據或手段，Ross重點關注了同情心、友善、正義感和怨恨在建立和維持社會秩序中的作用，并討論了包括輿論、法律、信仰、社會暗示等一系列的控制手段。在后續的研究中，按照不同的標準，社會控制被區分為不同的類型，例如，正式控制和非正式控制，積極控制還是消極控制，自我控制還是外部控制。這些都成為后續實證研究中探討的主要構念。

社會控制被用來解釋所有誘發的遵從行為，Stanly Cohen認為“社會控制”的概念過于廣義，以至于失去了明確的含義。James Chriss將其分為三類：法律的、醫學的和非正式的[1]。還有更多的分類方式，例如F. Ivan Nye分為直接控制（制裁）、內部控制（文化和社會化）和間接控制（人際關系）。

2　組織控制

組織控制（Organizational Control）是指在組織內建立并保持權威的過程。Tannenbaum[2，3]率先在組織分析領域引入“控制”的概念，Ouchi[4]開始考慮控制機制的設計，其中包括市場機制、行政機制和宗族（clan）機制，Eisenhardt[5]提出控制的目標是激勵員工遵守既定的行為，并進行了實證研究。雖然組織控制起源于社會控制，但是存在諸多不同，嚴格意義上講，組織控制實際是一個技術問題。

信息安全情境中的“控制”構念，大多來源于上述組織分析領域的文獻，在其中“正式控制”一般設定為規范，“非正式控制”設定為社會或人相關的策略[6]。其他的類似構念也被檢驗，例如，社會壓力[7]、道德信念或個體規范[8，9]、羞恥感[9]以及積極控制/消極控制[10]等。

3　Travis Hirschi及其社會控制理論

3.1理論提出及概述

社會控制理論（Social Control Theory，SCT）由Travis Hirschi在1969年提出③Travis Hirschi（1935—），美國社會學家，1983年的美國犯罪學會（American Society of Criminology，ASC）主席，1968年獲得加州大學伯克利分校的社會學博士，之后任教于華盛頓大學、加州大學戴維斯分校和亞利桑那州立大學等。Travis Hirschi提出了犯罪學的社會控制理論與自我控制理論。一般認為他提出SCT在1969年，代表作為：Hirschi T. Cause of delinquency. University of California Press, Berkeley，1969。，主要用于解釋青少年犯罪。SCT一個非常重要的貢獻在于，絕大多數的犯罪學理論探討的基本問題是“一部分人為什么會犯罪”，而SCT探討的出發點則是“為什么絕大多數人不犯罪”。也就是說，問題的出發點是不同的，SCT的假設是人都會犯罪，Travis Hirschi認為“我們都是動物，每個人都會犯罪”，由于社會控制的存在，使得“絕大多數人不犯罪”，顯然他認為“人性本惡”。

由于“社會控制”是廣義概念，Hirschi用“社會紐帶（Social Bond）”來解釋社會控制。Hirschi認為如果一個人成長過程中，社會紐帶越強烈，那么犯罪的可能性越低，如果社會紐帶越弱，則犯罪的可能性越高。通俗地講就是，特立獨行、蔑視社會規范的人更容易脫離社會的控制。這個邏輯至少在常識層面是成立的，例如，“誅九族”“連坐”，古代的刑罰措施隱含的前提是社會紐帶是重要的。如果一個人壓根六親不認，這類措施就失去了實際意義。當然，這些措施是否真的有效，也缺乏足夠的實證研究。

3.2主要內容或概念

Hirschi將社會紐帶分為四個要素，分別為：依戀（Attachment）、承諾（Commitment）④這個詞匯翻譯不太統一，之前常被翻譯為“追尋”或“奉獻”等。、涉入（Involvement）以及信仰（Belief）。

依戀，是指與家庭、學校、同伴等其他人的情感聯結。一個人如果與其他人建立了穩定的親密關系，就與這個世界有了更多的聯系，對這個世界充滿更多的依戀，也在意對方的期待。因此，一般而言，越多的依戀，意味著越多的牽絆，犯罪行為可能就越少。

承諾，是指用于傳統正常活動的精力以及對未來的憧憬等。一個有志向的人會對未來充滿使命感或承諾感，往往會花更多的時間去投入正常的活動，犯罪幾率從而也較低。

涉入，是指對社會傳統活動的參與程度。如果一個人將更多的時間投入到工作、勞動和教育等活動，犯罪幾率就比較低。如果整天無所事事，對前途又失去信心，則比較容易有犯罪傾向。例如，賈樟柯的電影《小武》中的主人公。

信仰，是指對傳統價值或道德準則的接受程度。對于許多人而言，犯罪行為本身就充滿罪惡感，信仰一旦產生，可以有效地抑制犯罪欲望。

在廣義的社會控制角度思考，絕大多數人都是遵守社會規范的，尤其是東方文化中，“規范社會影響”的痕跡更加明顯。如此多的人能夠有秩序地生活，毫無疑問，法律或道德只能約束一部分行為，社會控制似乎可以解釋這種現象。例如，電影《功夫》中星仔聲稱自己“殺人這種念頭，我每天都在腦子里想滴”，但是促使星仔沒有實施的另一個重要因素應該是他所擁有的社會紐帶，因為他對同伴關系充滿“依戀”。至少在促使他回歸正常生活方面，這種依戀起了很大的作用。

3.3在信息安全情境的應用

Hirschi的SCT比較清晰地解釋了“為什么絕大多數人不犯罪”的問題，被認為是20世紀最重要的犯罪學理論之一[11，12]。最近的研究中，Hsu等[6]應用了SCT理論驗證了信息安全策略效率問題，檢驗了上文中的4個主要構念，Cheng等[13]也檢驗了上述構念。

4　自我控制

自我控制理論（Self-control Theory）是一般犯罪理論的一種，是Travis Hirschi與Michael Gottfredson在社會控制理論的基礎上提出來的。SCT很大的爭議在于概念不清，而自我控制理論的一個巨大進步是其中包含了自我控制的一個構念。自我控制被認為是個體的內在因素，社會控制被認為是個體所面臨的社會環境。Travis Hirschi自己解釋說“Gottfredson和我改變了最初的立場，我們認為就違法者來說這些行為是缺乏自我控制的表現”。但是對自我控制的起源，該理論解釋不清。他們認為自我控制來自兒童時期的灌輸，并且幾乎不會受后來生活的影響。社會控制只有達到能夠影響自我控制的水平才能解釋犯罪行為。

自我控制作為一個重要的構念在風險管理和信息安全領域都有較為豐富的研究。例如，Hu等分別用定量實證[14]和腦神經測量[15]的方法探討了自我控制對信息安全違規的影響，Jia等則利用實驗方法發現在風險感知中，低自我控制會導致過高的判斷發生可能性以及過低的判斷發生后的影響[16]。

5　小結

社會控制相關理論起源比較早，在不同的學科領域都有應用和擴展。如上文所述，信息安全相關研究中所引用的概念，大多來源于組織控制和犯罪學理論，其示意如圖1所示，在后續的研究中，我們將更多地關注構念層次的探討，而不僅僅局限于理論本身

圖1　社會控制理論在信息安全情境中的應用

[1]Chriss J J. 社會控制[M]. 北京：電子工業出版社, 2012.

[2]Tannenbaum A S. Control in Organizations: Individual adjustment and Organizational Performance[J]. Administrative Science Quarterly, 1962, 7(7): 236-257.

[3]Tannenbaum A S. Control in organizations[J]. American Sociological Review, 1969, 34(4):7-28.

[4]Ouchi W G. A conceptual framework for the design of organizational control mechanisms[J]// Readings in Accounting for Management Control. Springer US, 1979:833-848.

[5]Eisenhardt K M. Control: organizational and economic approaches[J]. Management Science, 1985,31(2), 134-149.

[6]Hsu S C, Shih S P, Hung Y W, et al. The Role of Extra-Role Behaviors and Social Controls in Information Security Policy Effectiveness[J]. Information Systems Research, 2015, 26(2):282-300.

[7]Herath T, Rao H R. Encouraging information security behaviors in organizations: Role of penalties, pressures and perceived effectiveness[J]. Decision Support Systems, 2009, 47(2):154–165.

[8]Li H, Zhang J, Sarathy R. Understanding compliance with internet use policy from the perspective of rational choice theory[J]. Decision Support Systems, 2010,48(4):635–645.

[9]Siponen M, Vance A, Willison R. New insights into the problem of software piracy: The effects of neutralization, shame, and moral beliefs[J]. Information& Management 2012,49(7):334–341.

[10]Chen Y, Ramamurthy K, Wen K. Organizations' Information Security Policy Compliance: Stick or Carrot Approach[J]. Journal of Management Information Systems, 2012, 29(3): 157‐188.

[11]陳曉明. 學校與青少年犯罪防范:以社會控制理論為基礎[J]. 青少年犯罪問題, 2004(4):4-10.

[12]吳宗憲. 赫希社會控制理論述評[J]. 預防青少年犯罪研究, 2013(6):76-88.

[13]Cheng L, Li Y, Li W, et al. Understanding the violation of IS security policy in organizations: An integrated model based on social control and deterrence theory[J]. Computers & Security. 2013 (39): 447‐459.

[14]Hu Q, Xu Z C, Dinev T, et al. Does deterrence work in reducing information security policy abuse by employees? [J]. Communications of the ACM, 2011,54, 6: 34–40.

[15]Hu Q, West R, Smarandescu L. The Role of Self-Control in Information Security Violations: Insights from a Cognitive Neuroscience Perspective[J]. Journal of Management Information Systems, 2015, 31(4):6-48.

[16]Jia J S, Khan U, Litt A. The Effect of Self-Control on the Construction of Risk Perceptions[J]. Management Science, 2015, 61(9):2259-2280.

Introduction of SCT and its Application in Information Security Context

Xie Zongxiao ( Business School, Nankai University )
Zhen Jie( School of Business Planning, Chongqing Technology and Business University )

We introduced 4 theories about social control and its application in information security context, including Ross’s Social Control, Organizational Control, Social Control Theory (SCT) and Self-control.

Information Security, Social Control, Organizational Control, Social Control Theory (SCT), Self-control