摘要：尽管涉及智能服务系统的隐私泄露事件日益增多，但组织在缺乏基于证据的指导，以确定哪些信任修复策略是有效的，特别是在道歉或补偿之外的措施方面。本研究系统地评估了三种口头信任修复策略（道歉、否认、谨慎）和三种实质性策略（补偿、监管、第三方参与）的相对有效性，并分别以及组合使用这些策略进行了测试。我们还考察了违规类型（基于能力 vs. 基于诚信）对修复策略效果的影响。我们采用了一种基于场景的实验方法，并使用固定效应回归模型对面板数据进行了分析。77位长期使用智能家居的用户在模拟隐私泄露后以及随后应用各种修复策略的情况下，评估了他们的修复后信任度。研究结果表明，道歉是最有效的口头策略，而监管是最有效的实质性策略。口头和实质性策略的结合通常比单独使用的策略更有效，除非包括了第三方参与，此时这种结合的效果有限。出乎意料的是，我们发现违规类型并没有显著影响所评估的任何信任修复策略的有效性。本研究通过以下方式推动了相关研究：（1）在统一的设计中提供了口头和实质性信任修复策略的全面比较；（2）展示了信任修复策略组合是协同工作还是产生冲突；（3）挑战了关于信任修复策略有效性基于能力-诚信违规类型区分的普遍假设；（4）加深了对智能服务系统这一高脆弱性环境下的信任修复的理解，在这种环境中，数字风险和物理风险的交叉加剧了隐私泄露对客户的后果。

引言：隐私泄露被定义为未经授权访问、使用、存储或共享客户信息的行为（Choi等人，2016），在智能服务系统的背景下带来了独特的挑战。智能服务系统依赖于从嵌入客户物理环境中的传感器持续收集敏感数据，这形成了与传统的数字服务不同的固有且持续的脆弱性（Beverungen等人，2019；Orlowski & Loh，2025）。最近发生的涉及智能服务系统的高调事件，如Google Fitbit（Evans，2023）、Amazon Ring（B?zg?，2020）或Mars Hydro（Fowler，2025），表明在这些领域，隐私泄露不仅侵犯了信息，还使客户面临数字和物理风险（Orlowski & Loh，2025）。从概念上讲，隐私泄露是一种独特的服务故障形式，其特点是非自愿性、信息不对称以及影响范围超出单纯的客户-提供商关系的连锁效应（Hoehle等人，2022；Malhotra & Kubowicz-Malhotra，2011）。与传统服务故障不同，客户在传统故障发生后通常可以评估损失并采取纠正措施，而隐私泄露往往让客户对受损数据的范围和未来用途感到不确定（Nikkhah & Grover，2024；Rasoulian等人，2023；Zeng等人，2017）。此外，与传统服务故障不同，隐私泄露是不可逆的，因为受损数据无法完全恢复（Grégoire等人，2025；Hoehle等人，2022）。隐私泄露的特性从根本上改变了客户的认知和行为。隐私泄露提高了人们对风险的感知，降低了客户披露个人信息的意愿，并威胁到客户-提供商关系的长期稳定性（Choi等人，2016；Malhotra & Kubowicz-Malhotra，2011）。同时，组织在财务和声誉方面都会面临重大后果（Choi等人，2016；Grégoire等人，2025）。重要的是，隐私泄露破坏了客户的信任，而这对于智能服务系统中客户的忠诚度和价值实现至关重要（Grégoire等人，2025；Rasoulian等人，2023）。在隐私泄露的情境下，当组织未能满足客户的期望（例如，黑客获取客户数据）或违背诚信（例如，组织出于经济利益分享客户数据）时，就违反了客户的信任（Bansal & Zahedi，2015；Lewicki & Brinsfield，2017）。因此，一旦组织失去了客户的信任，信任修复就变得至关重要。信任修复是指作为隐私泄露责任方的组织为恢复客户再次愿意在关系中暴露自己的意愿而付出的努力（Sharma等人，2023；Tomlinson & Mayer，2009）。为了实现这一目标，组织采用了两类信任修复策略：口头策略，包括道歉、否认或谨慎等反应（例如，Bansal & Zahedi，2015；Ferrin等人，2007）；以及实质性策略，包括补偿、监管或第三方参与等具体行动（例如，Dirks等人，2011；Nikhkah & Grover，2022）。

尽管隐私泄露对组织的重要性日益增加，但在理解信息系统（IS）和服务研究中，关于有效信任修复的有效性方面仍存在三个重要空白。首先，系统比较不同信任修复策略的研究非常有限。大多数先前的研究仅孤立地考察了一小部分策略，通常关注道歉与否认等口头反应（例如，Bansal & Zahedi，2015）。它们忽略了除了提供补偿之外的有意义的组织行动（例如，Hoehle等人，2022；Masuch等人，2021）。然而实际上，客户越来越期望组织超越象征性姿态，通过直接解决隐私泄露及其后果的实质性修复策略来展示实际行动（Choi等人，2016；Dirks等人，2011；Nikhkah & Grover，2022）。尽管实质性策略具有实际意义，但它们仍未得到充分探索，需要进一步的实证研究（Dirks等人，2011；Lewicki & Brinsfield，2017；Nikhkah & Grover，2022）。其次，虽然组织在实践中经常结合使用口头和实质性策略，但关于这种策略组合有效性的研究几乎不存在（Lewicki & Brinsfield，2017；Nikhkah & Grover，2022；Sharma等人，2023）。在分析204个组织对隐私泄露的回应时，Nikkhah和Grover（2022）发现，公司很少仅依赖单独的道歉或补偿。相反，大多数回应都包含了多种策略的组合，这表明使用单一策略往往不足以修复客户的信任。尽管有不断呼吁进行进一步研究，但这些策略组合是协同工作还是产生冲突仍然很大程度上未被探索（Lewicki & Brinsfield，2017；Sharma等人，2023）。第三，尽管先前的研究已经考察了电子商务或健康平台等各种数字环境下的组织对隐私泄露的回应（例如，Bansal & Zahedi，2015；Masuch等人，2021；Nikhkah & Grover，2022），但智能服务系统这一新兴领域仍然严重缺乏探索。在这种背景下，隐私泄露不仅仅是信息隐私的侵犯，因为它同时侵害了客户的数字数据和物理环境（Beverungen等人，2019；Orlowski & Loh，2025）。智能服务系统不仅通过环境中的嵌入式系统收集敏感的、富含上下文的数据，还能通过嵌入式执行器影响这些数据。鉴于这种独特的脆弱性特征，目前尚不清楚提供智能服务系统的组织是否能够有效利用为其他行业建立的信任修复策略。

为了填补这些研究空白，我们提出了以下研究问题：“在智能服务系统中发生隐私泄露后，哪些信任修复策略最能有效恢复客户的信任？”我们借鉴了Mayer等人（1995）的组织信任模型、Weiner（1986）的因果归因理论以及关于信任修复和服务恢复的先前研究。虽然我们的理论适用于大多数数字服务中的隐私泄露，但我们专注于智能服务系统中的信任修复，特别是那些将数字服务直接嵌入物理基础设施中的智能家居。这类住宅属于高脆弱性环境，数据泄露的后果尤为显著。为了实证研究我们的问题，我们采用了一种基于场景的实验方法（Aiman-Smith等人，2002）。77位长期使用智能家居设备的用户在我们模拟的隐私泄露之后，以及一个虚构的智能家居组织随后应用了各种信任修复策略后，评估了他们的信任度。这种方法使我们能够通过固定效应回归分析（Brüderl & Ludwig，2014；Sommet & Lipps，2025）系统地量化特定信任修复策略的相对有效性，无论是单独使用还是组合使用。本研究通过结合信任修复、服务故障和恢复以及信息系统隐私的研究，为三个相互关联的文献领域做出了贡献。基于这一理论综合，我们提出了以下贡献：首先，我们使用统一的实验设计，系统地评估了一系列信任修复策略，比较了口头（道歉、否认、谨慎）和实质性（监管、补偿、第三方参与）策略在恢复客户信任方面的相对有效性；其次，我们通过研究口头和实质性策略的联合效应，阐明了它们在修复客户信任方面的协同或冲突作用；第三，我们探讨了违规类型如何影响隐私泄露后的信任修复策略效果；第四，我们通过研究智能服务系统中消费者隐私的泄露情况，推进了对这种高风险服务故障类型下信任修复的理解，这类泄露的特点是持续的服务互动、普遍的数据收集以及物理和数字风险的交叉。

理论背景：我们定义智能服务系统中的隐私泄露为组织未能保护客户个人信息的行为（Hoehle等人，2022；Nikkhah & Grover，2022）。隐私泄露包括一系列违规行为，如未经授权的访问、使用、保留或分发客户信息（Choi等人，2016；Gwebu等人，2018）。研究根据组织的角色将隐私泄露分为两类：基于能力的违规或基于诚信的违规（Bansal & Zahedi，2015；Choi等人，2016）。基于能力的隐私泄露涉及无意中的失误，例如犯罪分子利用组织漏洞未经授权访问客户数据。相比之下，基于诚信的隐私泄露源于组织的故意不当行为，例如违反规定的隐私政策或法律要求（如通用数据保护条例GDPR）将客户数据用于其他目的（Bansal & Zahedi，2015；Choi等人，2016；Rasoulian等人，2023）。隐私泄露与传统服务故障的不同之处在于，它们对信任的影响至关重要。传统服务故障通常是可见的，有明确的后果且可纠正，而隐私泄露则使客户对受损数据的范围和未来用途感到不确定。由于泄露的个人信息无法“重新安全化”，隐私泄露本质上是不可逆的，使客户容易遭受身份盗窃、欺诈或监视等二次伤害（Choi等人，2016；Hoehle等人，2022）。因此，研究表明，隐私泄露会削弱客户继续与服务关系的意愿，导致他们减少所披露的信息量、降低忠诚度，并减少与负责违规的组织的互动（Chenet等人，2010；Rasoulian等人，2023）。对于智能服务系统来说，这些风险更加严重。我们将智能服务系统定义为这样的服务配置：其中智能产品作为边界对象，介于服务提供者和客户之间，调节资源和活动（Beverungen等人，2019）。与传统依赖间歇性客户互动的在线服务不同，智能服务系统持续运行，嵌入在客户的环境中，并在客户完全不知情的情况下收集数据（Beverungen等人，2019；Orlowski和Loh，2025）。在智能服务系统中，传感器和执行器直接嵌入客户的物理环境中，以确保服务质量。同时，这种无处不在的特性使得能够持续捕获详细的使用数据、状态数据和上下文数据（Beverungen等人，2019；Martin，2018）。尽管单个数据点（如一次运动或客户使用设备的情况）单独来看可能无害，但这些数据的汇总却能够揭示客户生活的私人方面，包括日常习惯、健康状况和行为模式（Brogt和Strobel，2020；Zeng等人，2017）。这带来的隐私风险超过了传统的在线追踪。当发生泄露时，这些数据的独特性和丰富的上下文信息使客户面临特别难以缓解的信息危害，例如家庭私人行为模式的暴露，这些模式无法像被泄露的密码那样“重置”（Orlowski和Loh，2025；Sequeiros等人，2022）。除了失去对个人信息的控制权外，智能服务系统中的隐私泄露还可能危及物理安全。智能服务系统不仅监控客户物理环境中的元素，还可能控制客户环境中的其他要素。未经授权的访问可能导致物理漏洞，例如追踪家庭活动或操纵联网设备（Beverungen等人，2019；Orlowski和Loh，2025）。此外，与客户可以简单断开的间歇性服务交易不同，智能服务系统的设备（如智能电表）在发生泄露后通常仍会物理上嵌入到物理环境中（Brogt和Strobel，2020；Zheng等人，2018）。因此，智能服务系统的风险与其他服务环境有所不同，因为它们在数字和物理层面上都对客户构成威胁（Beverungen等人，2019；Orlowski和Loh，2025）。这些系统固有的持续监控和环境集成要求客户信任该组织会保护从他们私人空间收集到的高度敏感和具有丰富背景的数据（Orlowski和Loh，2025；Sequeiros等人，2022）。当发生泄露时，这会引发对组织保护客户利益的能力或意愿的怀疑（Choi等人，2016）。隐私泄露的固有不可逆性意味着即使在最初事件发生之后，漏洞仍会长期存在于物理环境中（Orlowski和Loh，2025；Zeng等人，2017）。因此，智能服务系统中的隐私泄露很可能会对客户信任造成巨大损害。

信任是一个多方面的概念，学者们在信息系统（IS）和心理学等不同学科中以多种方式对其进行定义（Lankton等人，2015）。在本研究中，我们将信任定义为一种心理状态，在这种状态下，一方（信任者）基于积极的期望接受另一方（受托人）的行为可能对自己有利或至少无害，信托人会按照有利于信任者的方式行事（Mayer等人，1995；Rousseau等人，1998）。这一概念强调，信任是在风险和不确定性的情况下产生的，基于客户与组织之间的互动形成的期望和经验（Lewicki和Brinsfield，2017；Mayer和Davis，1999）。客户对组织的信任程度取决于他们的信任信念，这些信念是关于组织是否有能力、是否道德以及是否有善意的看法。Mayer等人（1995）提出的组织信任模型确定了三种不同的信任信念：能力、诚信和善意。能力指的是相信组织具备提供所需服务所需的技能和特质。诚信是指相信组织坚持一套一贯的道德原则。善意是指相信组织是出于善意行事，而不是纯粹出于自我利益（Mayer等人，1995；Tomlinson和Mayer，2009）。这些信念构成了客户与组织关系中的信任基础，研究已将这些信念与积极态度、服务承诺和客户忠诚度等关键结果联系起来（例如，Chenet等人，2010；Rasoulian等人，2023）。虽然许多服务失败通常被视为孤立事件，但当客户认为这些事件反映了更深层次的组织缺陷时，它们会升级为信任违规（Chenet等人，2010；Grégoire等人，2025；Kim等人，2006）。我们将信任违规定义为负面事件，即客户将负面结果归因于组织的胜任力、诚信或善意的缺失（Deng等人，2022；Tomlinson和Mayer，2009）。Weiner（1986）的归因理论解释了个人如何解读积极、负面或意外事件的原因，以及这些原因的评估如何影响情绪、期望和后续行为。根据这一理论，客户通过两阶段的认知过程来评估信任违规（Tomlinson和Mayer，2009；Weiner，1986）。在第一阶段，客户进行因果归因，确定负面结果是否源于组织的胜任力、诚信或善意的缺失（Deng等人，2022）。在第二阶段，客户根据归因理论提出的三个维度评估他们认为导致事件的原因：位置（原因是在组织内部还是外部）、可控性（组织在多大程度上可以防止负面结果的发生）以及稳定性（类似违规事件再次发生的可能性）（Deng等人，2022；Tomlinson和Mayer，2009）。这两个阶段的认知过程共同决定了违规后对客户信任的损害程度，并影响客户是否从根本上重新评估与组织的关系。信任研究区分了两种主要类型的信任违规：基于诚信的违规（IBVs）和基于能力的违规（CBVs）（Sharma等人，2023；Tomlinson和Mayer，2009）。基于诚信的违规涉及对不诚实行为、不道德行为或未能履行道德义务的感知，例如当组织未经同意将与客户的共享信息（Bansal和Zahedi，2015；Ferrin等人，2007）。客户通常将这些违规归因于内部的、可控制的、稳定的原因，并认为组织是有意为之，因此更具责任性。相比之下，基于能力的违规是由于缺乏能力导致的，信任的侵蚀不是由于故意行为，而是由于未能履行职责。例如，当智能家居提供商未能实施充分的网络安全措施，允许犯罪分子未经授权访问组织数据库时，就会发生基于能力的违规。此类违规通常归因于不太稳定的原因，因为可以通过技术升级和组织学习来提高能力。这类违规也较难控制，因为外部因素（例如复杂的网络攻击）往往也是导致违规的原因，这使得组织看起来比基于诚信的违规情况下的责任性要小（Bansal和Zahedi，2015；Choi等人，2016）。违规后的信任是指在信任违规事件发生后但在组织采取任何修复措施之前的信任水平（Ferrin等人，2007；Sharma等人，2023）。这种心理状态反映了客户的认知过程，因为他们评估违规情况并重新调整之前的信任水平（Tomlinson和Mayer，2009；Weiner，1986）。基于这一分析，客户可能会调整他们的信任水平并相应地改变未来的行为（Bansal和Zahedi，2015；Martin，2018）。在极端情况下，违规对客户信任的负面影响可能非常严重，以至于之前的信任无法起到平衡作用，导致客户终止与组织的关系（Chenet等人，2010；Lewicki和Brinsfield，2017）。总体而言，违规后的信任是所有后续修复工作必须建立的基础，以便在高风险的智能服务系统环境中重建客户信任。

信任修复是指组织在违规后努力恢复客户信任（Rasoulian等人，2023；Sharma等人，2023）。与最初的信任建立不同，修复工作必须克服负面的归因以及违规带来的更高层次的客户审查，这使得信任修复变得更加具有挑战性（Bansal和Zahedi，2015；Tomlinson和Mayer，2009）。信任研究强调，信任不是静态的，而是受到违规影响的客户在获得新信息后会重新评估他们对组织的信任程度（Sharma等人，2023；Tomlinson和Mayer，2009）。信任修复与客户的认知过程相互作用。在根据他们的判断和他们对违规原因的看法形成违规后的信任后，客户会在遇到组织的修复努力时更新他们的信任信念。他们如何重新评估取决于多个因素，如违规的类型（能力相关还是诚信相关）、不同客户之间的差异（包括他们不同的以往经历、总体隐私担忧以及愿意原谅的程度），以及组织选择的信任修复策略（Sharma等人，2023；Tomlinson等人，2021）。信任研究区分了两种不同的信任修复策略：口头策略和实质性策略（Dirks等人，2011；Sharma等人，2023）。口头策略（或社交声明）是组织在违规后发布的沟通回应。这些口头声明旨在影响客户对违规的解读和反应（Lewicki和Brinsfield，2017；Sharma等人，2023）。在隐私泄露的背景下，常见的口头策略包括道歉、否认、含糊其辞和不做任何口头回应（Bansal和Zahedi，2015；Ferrin等人，2007）。道歉（APO）是一种表达遗憾并承认对信任违规及其后果负责任的声明（Bansal和Zahedi，2015；Kim等人，2004）。例如，在系统错误导致13,000名客户查看他人摄像头画面后，智能家居提供商Wyze公开道歉，承担了全部责任（Wyze.com，2024）。否认（DEN）是指组织否认违规的发生或拒绝对其负责（Bansal和Zahedi，2015；Kim等人，2004）。一个例子是Ring（亚马逊的子公司），它将涉及其智能家居设备的安全事件归因于客户的“弱密码”，而不是承认组织的网络安全失败（Karantzoulidis，2019）。含糊其辞（RET）是指组织既不明确确认也不否认违规的发生，同时使责任保持模糊（Ferrin等人，2007；Lewicki和Brinsfield，2017）。Eufy（隶属于Anker）采用了这种策略，发布了几项含糊的声明，承认了客户的担忧，但没有直接回应报告的数据泄露的具体情况（Hollister，2023；Sutrich，2022）。含糊其辞作为一种信任修复策略，与完全不做出任何口头回应不同，后者是指组织完全不就违规事项进行任何沟通。因此，不做任何口头回应（NV）是指组织不对违规事项进行任何沟通。例如，尽管网络安全研究人员警告存在导致27亿客户记录泄露的重大数据违规，Mars Hydro并未公开声明以回应这一情况（Fowler，2025）。实际上，由于法律要求（如GDPR），这通常不是一个可行的选择，因为法律规定组织必须通知受到隐私泄露影响的客户（Nikkhah和Grover，2022；Sharma等人，2023）。实质性策略（也称为结构性行动）涉及组织实施的具体、以行动为导向的措施，以纠正违规、减轻其后果或降低再次发生的可能性（Dirks等人，2011；Sharma等人，2023）。在隐私泄露的背景下，先前的研究强调了三种主要的实质性策略类型：补偿、监管和第三方介入（Nikkhah & Grover, 2022; Sharma et al., 2023）。补偿（COMP）指的是向受害者提供有形或无形的价值，例如财务赔偿、退款、折扣或其他形式的补偿，以抵消违规行为造成的损害（Hoehle et al., 2022; Masuch et al., 2021）。例如，在一名员工秘密获得216个客户账户的管理员权限并偷窥了7年后，ADT Security在监管机构采取行动之前联系了受影响的家庭，并提供了现金支付或账单抵扣（Edwards, 2021）。监管（REG）指的是实施组织规则、政策和控制系统，以处理违规行为并防止未来的再次发生（Dirks et al., 2011; Sharma et al., 2023）。例如，在用户因谷歌Nest设备多次隐私泄露而提出抗议后，谷歌加强了网络安全措施，并要求所有系统访问必须进行双重身份验证（Campbell, 2021）。第三方介入（TPI）指的是在违规事件发生后，外部利益相关者（如政府监管机构、行业认证机构或平台中介）的介入。第三方作为组织与客户之间的公正调解者，监督违规问题的解决过程，例如通过要求组织进行赔偿或结构上的改变（Cugueró-Escofet et al., 2014; Yu et al., 2017）。一个显著的例子是，当谷歌作为一个平台中介介入后发现小米摄像头的视频可以在其他用户的谷歌Smart Hub上显示时，谷歌暂时暂停了所有小米产品的集成，直到确认漏洞已完全修复（O’Flaherty, 2020）。

与这三种实质性策略相对的是，不采取任何行动（NA）指的是组织没有采取任何实质性措施来处理违规行为的情况。实际上，这会导致潜在的安全漏洞得不到解决，客户的负面后果也无法得到处理，这种情况通常是不可持续的，因为存在法律要求（Nikkhah & Grover, 2022; Sharma et al., 2023）。一个典型的例子是Mars Hydro的数据泄露事件，该事件暴露了27亿条客户记录。尽管安全研究人员已经发出警告，但尚不清楚Mars Hydro是否采取了任何实质性措施来处理这一泄露（Fowler, 2025）。

这些口头和实质性策略的实施是建立修复后信任的催化剂。修复后的信任是指在组织部署了修复策略后客户所持有的信任水平。它反映了初始信任、客户对违规行为的认知以及对后续修复策略的评价（Sharma et al., 2023）。当组织的信任修复努力被视为可信和有效时，它们可以将关系转变为修复后的信任状态，在这种状态下，客户愿意继续与组织保持关系，尽管通常会更加警惕，并对组织未来的行为有更高的期望（Bozic, 2017; Tomlinson & Mayer, 2009）。然而，即使只是部分恢复到违规前的信任水平，往往也需要组织投入大量的时间和精力，并持续付出承诺（Lewicki & Brinsfield, 2017; Xie & Peng, 2009）。

总之，先前的研究表明信任修复是一个有序的过程。组织因隐私泄露而违反了客户在违规前的信任状态，从而导致了受损的中间信任状态。组织必须利用信任修复策略，尝试将客户的信任恢复到足以使其继续与组织保持关系的程度（Sharma et al., 2023; Tomlinson et al., 2021）。我们的研究重点关注修复后的结果。在我们的研究中，我们调查了口头和实质性信任修复策略在修复智能服务系统中客户信任方面的有效性，无论是单独使用还是结合使用。意识到这一修复过程取决于客户对违规行为的认知，我们还研究了隐私泄露的类型（基于能力还是基于诚信）如何调节这些信任修复策略在修复客户信任方面的有效性。

**假设开发：隐私泄露后信任修复策略的有效性**

为了研究智能服务系统中隐私泄露后的信任修复，我们提出了一个研究模型，以调查口头和实质性修复策略的有效性。该模型基于Mayer等人（1995）的组织信任模型和Weiner的因果归因理论（1986），来解释客户在智能服务系统隐私泄露后如何处理信任修复努力。如图1所示，我们认为组织的回应，无论是口头的（道歉、否认或缄默）还是实质性的（补偿、监管或第三方介入），都会直接影响客户修复后的信任。我们的分析不仅限于单独的策略，还探讨了结合口头和实质性回应是否会产生好处或矛盾。此外，我们认为信任修复策略的有效性取决于违规的类型（基于能力还是基于诚信）。

**图1**

**我们对智能服务系统中隐私泄露后信任修复策略有效性研究的概述**

接下来，我们提出了关于口头策略（H1a-c）和实质性策略（H2a-c）、修复策略组合（H3a-b）以及违规类型（H4）对修复策略有效性调节作用的假设。

**口头信任修复策略的有效性**

在隐私泄露的背景下，常见的口头策略包括道歉、否认、缄默或不回应（Bansal & Zahedi, 2015; Gwebu et al., 2018; Nikkhah & Grover, 2022）。在智能服务系统中，这些口头策略对于那些数字隐私和物理安全同时受到侵害的客户来说是非常重要的信号。通过道歉作为修复策略，组织表达了遗憾并接受了未能保护从客户物理环境中收集的丰富上下文数据的责任。这种承认对于缓解客户因隐私泄露感觉受到个人侵犯而产生的强烈负面情绪非常重要。道歉还可以通过表明组织认真对待这一事件来减少对未来风险的感知（Bansal & Zahedi, 2015; Lewicki & Brinsfield, 2017）。先前的研究一致认为，道歉是数据泄露后有效的信任修复策略（例如，Bansal & Zahedi, 2015; Masuch et al., 2021）。然而，在智能服务系统的背景下，道歉可能会适得其反。例如，道歉可能会强化人们对组织责任感的认知，从而凸显出组织在依赖模糊、普遍的数据收集方面的根本性诚信缺失（Bansal & Zahedi, 2015; Orlowski & Loh, 2025）。

对于智能服务系统来说，我们认为验证客户的脆弱感比确认责任的战略劣势更为重要。鉴于道歉是重新协商组织在物理环境中存在的权利的重要姿态，我们假设：

**H1a：** 在智能服务系统的隐私泄露后，道歉对修复后的信任有积极影响。虽然使用否认作为修复策略可能有助于保持客户对组织诚信的认知，但在智能服务系统中，否认也伴随着重大风险。如果出现矛盾的证据，否认可能会显得具有欺骗性，进一步损害客户的信任，因为客户通常认为这些组织对其互联设备网络拥有无所不在的控制权（Lewicki & Brinsfield, 2017; Zheng et al., 2018）。此外，单独的否认对于解决客户对智能服务系统中持续存在的漏洞或再次发生风险的问题帮助甚微（Ferrin et al., 2007; Zeng et al., 2017）。不过，在某些特定情况下，尤其是当隐私泄露源于外部攻击而非组织不当行为时，否认可能是有效的（Bansal & Zahedi, 2015; Gwebu et al., 2018）。例如，通过将组织描绘成复杂网络攻击的受害者，组织可以强调泄露的不可控性和外部性，从而维护其道德立场，避免显得故意违法（Nikkhah & Grover, 2022; Rasoulian et al., 2023）。

然而，智能服务系统中数据收集的嵌入性和持续性可能导致客户对否认策略更加怀疑，因为他们期望组织能够控制自己的数据（Choi et al., 2016; Gwebu et al., 2018; Zeng et al., 2017）。当隐私泄露是由于内部安全措施薄弱或出于利益驱使的不当行为造成的时，客户可能会将否认视为回避。在这种情况下，否认不仅无法修复信任，反而可能通过忽视用户面临的物理-数字风险而进一步损害诚信的认知（Kim et al., 2006; Nikkhah & Grover, 2024; Orlowski & Loh, 2025）。通过否认违规行为的发生，组织可以保护其声誉免受与隐私泄露相关的负面指责。在智能服务系统的背景下，这种立场可能表明管理敏感客户数据的技术保障和道德界限仍然完好无损。因此，我们假设：

**H1b：** 在智能服务系统的隐私泄露后，否认对修复后的信任有积极影响。虽然缄默可以通过避免过早声明为组织提供灵活性，但它也未能提供有力的反驳 narrative，因此通常不如道歉或否认等更明确的策略有效（Bansal & Zahedi, 2015; Ferrin et al., 2007）。隐私泄露的复杂性可能使得组织立即做出明确回应变得不切实际，特别是在智能服务系统的背景下。在这种情况下，缄默可以作为一种谨慎的应对策略，允许组织在同时进行全面调查的情况下发表声明（Choi et al., 2016; Ferrin et al., 2007; Hoehle et al., 2022; Lewicki & Brinsfield, 2017）。

然而，对于涉及智能服务系统的隐私泄露，这种方法存在特殊风险，因为客户已经对隐私问题高度敏感。客户可能会将含糊的回应视为企业的逃避行为，从而加剧怀疑（Ferrin et al., 2007; Orlowski & Loh, 2025）。尽管存在这些限制，但在泄露的早期阶段，尤其是在智能服务系统的模糊和互联性质下，当数据泄露的全面范围尚未立即显现时，缄默可能在战略上具有优势（Gwebu et al., 2018; Rasoulian et al., 2023）。在这种情况下，避免过早或不准确的声明可能有助于保持长期的可信度，因此我们假设：

**H1c：** 在智能服务系统的隐私泄露后，缄默对修复后的信任有积极影响。完全不进行口头回应不太可能成为有效的信任修复策略（Sharma et al., 2023）。特别是在智能服务系统的隐私泄露情况下，因为许多司法管辖区要求在个人数据被泄露时及时公开和与受影响者沟通（Nikkhah & Grover, 2022; Orlowski & Loh, 2025）。因此，本研究不假设不进行口头回应是一种有效的信任修复策略。

**实质性信任修复策略的有效性**

对于隐私泄露，常见的实质性信任修复策略包括补偿、监管和第三方介入，以及不采取任何行动（Nikkhah & Grover, 2022; Sharma et al., 2023）。先前的研究表明，作为修复策略的补偿可以通过在泄露后更公平地分配信任方和受托方之间的成本来恢复信任（Dirks et al., 2011; Hoehle et al., 2022; Sharma et al., 2023）。在智能服务系统中，客户为了获得更优质的服务而向组织提供对其物理环境数据的持续访问权限，隐私泄露打破了这种平衡。在这个意义上，补偿提供了有形的好处，有助于弥补客户失去数据的感知（Choi et al., 2016; Masuch et al., 2021）。

然而，作为对隐私泄露的回应，补偿也有其局限性。鉴于隐私泄露的持久性和不可逆性，客户可能会认为金钱赔偿只是一种试图“收买”他们的手段，而未能解决根本问题（Hoehle等人，2022年；Nikkhah和Grover，2022年）。在依赖用户环境中永久存在的智能服务系统中，一次性支付可能显得不足以弥补隐私和安全方面的长期影响，这些影响远远超出了最初的泄露事件（Mohammed和Tejay，2023年；Sequeiros等人，2022年）。尽管存在这些担忧，但关于数据泄露应对措施的先前研究表明，补偿是一种有效的修复策略，因为它是直接补偿客户的唯一实质性方法（例如，Hoehle等人，2022年；Mohammed和Tejay，2023年；Nikkhah和Grover，2022年）。因此，我们提出以下假设：H2a：在智能服务系统中，隐私泄露后，补偿对修复后的信任有积极影响。通过建立可观察到的组织实践变化，这种实质性的修复策略表明了防止未来违规行为和恢复信任度的决心（Bozic，2017年；Sharma等人，2023年）。在智能服务系统的背景下，监管可以包括对数据治理和系统架构的具体修改。这样的行动可以向客户表明，组织认真对待了隐私泄露问题，并致力于改进数据管理措施（Nikkhah和Grover，2022年；Rasoulian等人，2023年）。然而，监管作为对隐私泄露的回应也可能面临局限性。由于智能服务系统的技术复杂性，客户可能无法完全理解结构变化或隐私政策更新的影响，这可能会影响他们对这些措施的有效性的看法（Sequeiros等人，2022年；Zheng等人，2018年）。关于监管有效性的先前研究结果不一。一些研究表明监管可以恢复信任（例如，Dirks等人，2011年；Sharma等人，2023年），而其他研究则认为在隐私泄露的背景下，单独的监管可能不够（例如，Nikkhah和Grover，2022年）。尽管如此，对于涉及智能服务系统的隐私泄露，由于客户持续担心数据收集和处理问题，监管应该会产生积极影响。监管表明组织正在解决泄露的根本原因，而不仅仅是治疗其症状。这为客户提供了相信组织已经改进了管理数字数据流与物理环境之间复杂互动的社会技术保障的基础（Dirks等人，2011年；Sequeiros等人，2022年；Sharma等人，2023年）。因此，我们提出以下假设：H2b：在智能服务系统中，隐私泄露后，监管对修复后的信任有积极影响。由于智能服务系统的技术复杂性和组织与客户之间的权力不对称，独立第三方的参与对于验证客户无法自行评估的事项非常有价值（Orlowski和Loh，2025年；Yu等人，2017年）。然而，关于第三方参与有效性的先前研究结果不一。客户可能会将外部强制性的干预措施与自愿的组织措施视为不同。因此，客户可能认为第三方监督是必要的，但也是不够的，将其视为最低程度的合规性证明，而不是组织的真正承诺。在这种情况下，客户可能担心一旦第三方监督结束，组织可能会恢复到之前的行为（Choi等人，2016年；Orlowski和Loh，2025年；Yu等人，2017年）。同时，第三方参与可以通过提供客观监督来增强可信度，确保组织实施了有意义的措施来应对泄露及其后果。在涉及智能服务系统的隐私泄露的情况下，我们预计这些好处将超过潜在的负面看法。因此，我们提出以下假设：H2c：在智能服务系统中，隐私泄露后，第三方参与对修复后的信任有积极影响。对于组织在信任受损后完全不采取任何行动来说，这不是一种可行的策略（Bozic，2017年；Sharma等人，2023年；Tomlinson等人，2021年）。当组织未能通过实质性响应解决此类服务故障时，它们通常会经历严重的客户流失，并面临威胁其生存的法律后果（Nikkhah和Grover，2022年；Rasoulian等人，2023年）。因此，我们不认为“不采取任何行动”是一种可行的信任修复策略。

最后，先前的研究主要集中在单独使用言语和实质性信任修复策略的有效性上（Sharma等人，2023年）。然而，当单独使用言语信任修复策略时，它们可能无法在智能服务系统的隐私泄露后恢复信任，因为客户往往认为这些策略只是“空话”，未能解决违规的根本原因（Nikkhah和Grover，2024年；Sequeiros等人，2022年；Sharma等人，2023年）。相比之下，如果没有适当的沟通框架，实质性策略可能会显得刻板且缺乏人情味，无法解决客户在隐私泄露后感到的脆弱性（Dirks等人，2011年；Nikkhah和Grover，2022年；Sequeiros等人，2022年）。先前的研究表明，结合这些策略可以提供比单独使用言语或实质性策略更全面的信任修复途径。需要这种综合方法是因为信任的修复机制是不同的。言语策略主要针对违规的心理和归因方面，而实质性策略则解决结构方面的问题（Lewicki和Brinsfield，2017年；Sharma等人，2023年）。通过同时解决违规的心理和结构方面，言语策略可以以有利的方式衬托实质性策略，可能产生互补效果（Dirks等人，2011年；Nikkhah和Grover，2022年）。然而，结合言语和实质性策略的结果在理论上仍不确定。一方面，当言语沟通增强了实质性行动的可信度和真诚感时，可能会出现协同效应。例如，道歉可以表明补偿或监管反映了真正的悔意，而不仅仅是法律合规（Dirks等人，2011年；Tomlinson和Mayer，2009年）。另一方面，由于策略之间的不一致性，可能会出现对立效果，言语和实质性策略发出相互矛盾的信号。例如，一个组织在同时提供补偿的同时否认责任，可能会被视为一种掩盖涉及智能服务系统数据的隐私泄露真实性质的操纵行为，导致信任修复的效果不如单独使用任一策略时好（Lewicki和Brinsfield，2017年；Sharma等人，2023年）。尽管存在这种信任修复策略不一致性的可能性，但智能服务系统的“始终在线”和物理嵌入特性表明，仅使用单一信任修复策略不足以解决客户在隐私泄露后的担忧。因此，我们提出以下假设：H3a：对于每种类型的言语信任修复策略（道歉、否认和沉默），将其与任何实质性信任修复策略（补偿、监管或第三方参与）结合使用，在智能服务系统中比单独使用该言语策略更有效。H3b：对于每种类型的实质性信任修复策略（补偿、监管和第三方参与），将其与任何言语信任修复策略（道歉、否认或沉默）结合使用，在智能服务系统中比单独使用该实质性策略更有效。

虽然我们之前的假设H1-H3关注的是信任修复策略，但H4关注的是违规的类型。我们认为，任何选定的信任修复策略的有效性都受到隐私泄露性质的调节。具体来说，归因于故意的诚信违规的隐私泄露比归因于无意的技能违规的隐私泄露对信任修复的挑战性要大得多（Choi等人，2016年；Sharma等人，2023年）。这种区别基于违规事件的诊断价值（Kim等人，2006年；Xie和Peng，2009年）。客户通常将基于技能的违规归因于情境性和可控的原因。因为客户认识到技术能力是可以改进的，他们因此更愿意接受修复策略（Tomlinson等人，2021年）。相比之下，基于诚信的违规被视为组织的稳定性格的高度表征。由于这种负面信息归因于内部特质而不是外部情况，违规往往会影响到整个客户-组织关系（Kim等人，2006年；Lewicki和Brinsfield，2017年）。因此，与诚信相关的违规会引起更深的怀疑，并且被认为更难以修复（Sharma等人，2023年）。对于涉及智能服务系统的隐私泄露，由于组织在用户物理环境中的嵌入存在以及隐蔽数据滥用的独特机会，这些问题被放大了。在这种情况下，基于诚信的违规不被视为局部错误，而是被视为对规范客户-组织关系的故意偏离。这样的违规表明存在持续的利用风险，使得后续的修复尝试 weniger 令人信服（Orlowski和Loh，2025年；Sequeiros等人，2022年；Tomlinson等人，2021年）。因此，虽然两种类型的违规都会损害客户信任，但我们预期基于诚信的违规的诊断权重会提高客户的抵抗情绪，使得信任修复策略的效果显著低于基于技能的违规。因此，我们提出以下假设：H4：在智能服务系统中，当违规是由于基于诚信的违规导致时，信任修复策略对修复后信任的积极影响较弱。

为了评估不同信任修复策略单独或组合使用的有效性，我们设计了一个实验，向参与者展示了不同的场景，并采用了政策捕获方法（Aiman-Smith等人，2002年）。政策捕获方法通过向参与者展示针对研究目标定制的场景来研究决策是如何受到可用信息影响的，而不仅仅是简单的调查问题（Aiman-Smith等人，2002年）。每个基于文本的场景代表了一组独立的信息线索，这些线索作为自变量，使参与者能够在模拟现实世界决策的条件下进行评估。然后，我们估计随着我们操作这些信息线索，对因变量的影响如何变化（Aiman-Smith等人，2002年；Graham和Cable，2001年）。在我们的研究中，因变量是修复后的信任。我们研究了在智能服务系统中经历过隐私泄露的参与者如何评估虚构智能家居组织采用的不同信任修复策略处理方案后的信任。

与其他依赖参与者自我报告意见或使用二手数据的研究设计相比，政策捕获方法有几个优势。首先，结构化的场景提供了高度的实验控制，并能够精确估计主要效应。其次，通过计算参与者实际使用信息线索的情况，该方法生成了决策的间接测量结果，减少了对自我报告的依赖，并缓解了社会期望偏差或自我洞察力有限等问题（Aiman-Smith等人，2002年；Graham和Cable，2001年）。对于数据分析，我们采用了固定效应回归方法，这种方法适合分析具有重复的受试者内观察的政策捕获数据（Allison，2009年；Brüderl和Ludwig，2014年；Sommet和Lipps，2025年）。分析采用纵向面板逻辑，将每个参与者视为一个“集群”，并利用16次个体内的场景观察作为重复测量，以估计信任修复策略处理（随时间变化的预测因子或信息线索）对修复后信任的影响。同时，我们控制了所有时间不变的参与者特征（即，如信任倾向等参与者特征），这些特征被参与者特定的固定效应吸收（McNeish和Kelley，2019年；Sommet和Lipps，2025年）。这种方法允许进行个体内的因果推断，将每种信任修复策略处理的效果与稳定的个体差异隔离开来（Brüderl和Ludwig，2014年；Sommet和Lipps，2025年）。

我们共招募了113名参与者参与这项研究。为了确保数据质量，我们根据现有文献确定的最佳实践筛查了不认真的回答（Aiman-Smith等人，2002年；Meade和Craig，2012年）。我们排除了在极短时间内完成的回答以及在不同场景中回答过于相似的参与者。这一过程导致排除了36名参与者，最终得到77名独特的参与者样本。尽管样本量相对较小，但对于政策捕获设计来说这是合适的，因为观察次数等于参与者数量乘以场景数量。在我们的案例中，共有77名参与者，每个人都评估了16种信任修复策略处理方案，从而产生了1232个观测数据用于分析。这个样本量与其他采用类似政策捕获设计的研究结果一致，例如Tomlinson等人（2004年）使用了45个有效回应的数据，或者Cugueró-Escofet等人（2014年）使用了82个有效回应的数据。所有这些其他研究都因为数据质量问题而具有相似或更高的参与者排除率。根据方法学建议，我们的样本量也适合进行固定效应回归分析。方法学文献指出，固定效应回归估计的有效性在很大程度上依赖于集群的数量以及每个集群的观测数量（Allison, 2009; Brüderl & Ludwig, 2014; Sommet & Lipps, 2025）。在我们的研究中，77名参与者充当了分析的集群。这个数量超过了固定效应回归文献中通常推荐的50个集群的阈值（例如，McNeish & Kelley, 2019; Sommet & Lipps, 2025）。此外，当每个集群的观测数量较大时，固定效应估计的稳定性和精确度会得到提高。由于我们的设计中每个集群有16个观测数据（即每个独特的参与者），这远高于固定效应分析推荐的两个到四个观测数据的数量（Brüderl & Ludwig, 2014; McNeish & Kelley, 2019; Sommet & Lipps, 2025）。

在开始在线调查之前，我们告知参与者研究的目的是评估客户在隐私泄露后对不同信任修复策略的反应。他们被告知，这些场景将涉及一家虚构的智能家居公司。参与者首先完成了一份人口统计问卷，并提供了控制变量的数据（见“测量”部分），我们在实验操作之前收集了这些数据。我们包括这些控制变量是为了考虑可能影响分析中信任评估的个体差异。接下来，所有参与者都收到了关于他们使用该公司智能家居设备和服务的情况的背景信息。我们提供这些背景信息是为了帮助参与者与公司建立认知联系，并将随后的隐私泄露置于适当的情境中。所有参与者的背景信息都是相同的。

然后，根据隐私泄露的类型，参与者被随机分配到两种不同的组间条件中。他们要么被分配到基于能力的违规情况（犯罪行为者的数据库黑客攻击），要么被分配到基于完整性的违规情况（未经授权的数据收集超出了法律规定）。我们通过报纸文章的形式呈现了每种情况，这些文章描述了隐私泄露事件。这些报告是根据Bansal和Zahedi（2015）的情景文本建模的，并参考了现实世界中的智能家居隐私泄露事件（例如，Baker, 2023; Winder, 2019）。表1展示了呈现给参与者的报纸报道。

在阅读文章并完成理解检查后，我们指导参与者假设自己是受到这种泄露影响的客户，其信任被该公司违反了。然后，以随机顺序向参与者展示了16种信任修复策略作为组内因素。在这些场景中，参与者遇到了仅使用言语策略（道歉、保持沉默、否认）、仅使用实质性策略（补偿、监管、第三方介入）、九种言语-实质性策略组合中的一种，或者“无响应、无行动”的参考处理。这种设计使我们能够分析每种策略的有效性以及策略组合的效果。表2展示了实验操作中使用的每种修复策略的文本。

参与者对每种情景下的修复后信任进行了评分，作为因变量。按照既定的政策捕获程序，我们指导参与者将每个情景视为一个独立且孤立的事件（Aiman-Smith等人，2002）。为了确保有效的政策捕获，情景的数量必须在稳健性和参与者参与度之间取得平衡。因此，我们将设计限制在16个情景，这个数字远低于文献中通常推荐的40-80个情景（Aiman-Smith等人，2002; Cooksey, 1996）。为了确保我们呈现情景的顺序不会偏倚数据，并增强每个情景的独特性，我们对所有参与者随机分配了情景的呈现顺序（Aiman-Smith等人，2002）。

在可能的情况下，我们采用了先前研究中经过验证的量表来测量本研究中的构念，使用从1（负面）到7（正面）的7点李克特型量表。所有构念的操作化在附录A中提供。

因变量：我们使用从Bansal和Zahedi（2015）改编的九个项目来测量对组织的信任信念。这些项目在三个时间点收集：（1）泄露前的信任（基线，在阅读报纸泄露报道之前），（2）泄露后的信任（在阅读报纸泄露报道后立即），以及（3）修复后的信任（在每个信任修复策略处理情景之后）。

控制变量：我们包括了人口统计控制变量（年龄、性别），以及先前的研究显示会影响信任违规和信任修复的信任和情境特定因素。信任倾向（DTT）使用Mayer和Davis（1999）的三个项目进行测量，宽恕倾向（PTF）使用Wang和Huff（2007）的四个项目进行测量。一般隐私担忧（GPC）改编自Malhotra等人（2004）。

智能家居特定控制变量：我们使用一个自主开发的项目来测量参与者之前使用智能家居产品和服务的情况（XPSH）（“就使用智能家居产品和服务的情况而言……我认为自己……1=完全没有经验到7=非常有经验”）。我们专门为这项研究开发了这个测量方法，因为现有文献中的经验量表要么过于宽泛（一般技术经验），要么专注于不同的情境（例如，移动应用、电子商务）。考虑到智能家居技术作为智能服务系统的一个子集，代表了一个具有独特隐私含义的类别，我们认为需要一个有针对性的测量方法。选择单项目方法是为了在捕捉自我感知经验水平的核心构念的同时，尽量减少调查长度，因为研究表明单项目测量可以是多项目量表的有效和可靠的替代方案（Allen等人，2022）。我们使用杨（Yang, 2022）的人工智能意识量表改编了三个项目来测量客户对智能家居技术的意识（ASH）。我们包括这个构念是因为对智能家居技术和能力有更高意识的个人可能会对该领域组织对隐私泄露的反应形成更理性的判断。

表3展示了所有研究变量的描述性统计、可靠性和相关性。最终样本由77名参与者组成（47名男性，30名女性），平均年龄为30.36岁（标准差=9.73；范围：18-71岁）。平均而言，参与者报告的智能家居经验处于中等水平（M=4.04，标准差=1.70），平均拥有3.88台智能家居设备（标准差=3.28）。平均调查完成时间为36分钟。

Cronbach’s alpha值表明几乎所有构念都表现出可接受或更高的内部一致性水平（α≥0.70）。控制变量ASH的Cronbach’s alpha值为0.60。虽然低于传统阈值，但由于其作为控制变量的理论重要性，以及先前的研究表明在探索性情境中α值约为0.60也是可以接受的（例如，Nunnally & Bernstein, 1994）。

在政策捕获设计中，有效样本量由参与者评估的情景总数决定。因此，这项研究产生了1232个观测数据（n=77名参与者×16个情景）。关于违规类型的组间操作，样本被分为基于完整性的条件（n=39；N=624个观测数据）和基于能力的条件（n=38；N=608个观测数据）。

由于政策捕获每个参与者会产生多个观测数据，有效性取决于假设参与者独立评估情景（Aiman-Smith等人，2002）。这需要一种处理潜在自相关的分析方法。我们通过固定效应面板回归来解决这个问题，该方法通过对每个参与者进行虚拟编码来控制观测数据的非独立性（Huang, 2016; Sommet & Lipps, 2025）。我们的固定效应分析采用了纵向面板逻辑，其中n=77名独特的参与者作为集群，每个参与者的16个观测数据作为重复的时间点（Brüderl & Ludwig, 2014; McNeish & Kelley, 2019; Sommet & Lipps, 2025）。我们的固定效应模型使用以下规格：

$$Post-repair\;trust_{it}={\textstyle\sum_{K=1}^K}\beta_k\;TrustRepairTreatment_{kit}+\alpha_i+e_{it}$$

在这个规格中，post-repair trust_{it}是代表参与者i在评估情景t后的信任信念的因变量。TrustRepairTreatment_{kit}表示参与者i在情景t中遇到的信任修复策略k（即单独的策略或策略组合）。参数αi捕捉了吸收所有时间不变参与者特征的特定于参与者的固定效应，\({e}_{\text{it}}\)是特定于个体的误差项（Brüderl & Ludwig, 2014; Sommet & Lipps, 2025）。信任修复策略“无行动，无响应”被设定为基线参考类别，因此每个系数\({\beta }_{k}\)表示相对于这个基线条件修复后信任的平均变化。这种固定效应分析消除了所有稳定的参与者间差异，并仅从不同信任修复策略处理的集群观测数据中的个体内变化中识别出治疗效果（McNeish & Kelley, 2019; Sommet & Lipps, 2025）。

我们对整个样本的固定效应回归模型的结果显示，时间不变的参与者特征解释了修复后信任方差的35%（R2=.351，p<.001），表明个体特征在塑造修复后信任评估中起着重要作用。当将信任修复处理作为时间变化变量加入模型时，解释的方差额外增加了18%（ΔR2=.182，p<.001），因此修复后信任的总解释方差为53%。

我们对15种信任修复策略每种处理在修复信任方面的有效性进行了固定效应回归分析，与“无行动，无响应”的基线参考处理进行了比较，结果在表4中报告。除了整个样本外，我们还分别使用基于完整性和基于能力的违规子样本的观测数据估计了单独的模型，以考虑参与者遇到的违规类型的组间操作。

我们的分析结果显示，所有单独的言语策略、除第三方介入外的实质性策略以及所有策略组合都产生了预期的正面方向上的统计显著回归系数，表明它们在修复信任方面是有效的。

关于H1，我们的结果显示所有单独的言语修复策略都对修复后的信任有显著的正面影响。在全部样本中，道歉策略被证明是最有效的言语回应（β=1.194，p<.01），其次是否认（β=1.173，p<.01）和保持沉默（β=1.092，p<.01）。这些发现与我们的预期一致，并支持了H1a、H1b和H1c。

关于H2，监管（β=1.459，p<.01）和补偿（β=0.840，p<.01）对修复后的信任都有显著的正面影响。值得注意的是，监管的效果超过了所有其他单独的策略，无论是言语的还是实质性的。这些发现支持了H2a和H2b。相比之下，H2c仅得到部分支持。虽然第三方介入在基于能力的情景中具有显著的正面效果（β=0.689，p<.01），但在整个样本和基于完整性的违规中则不显著。

对于H3a和H3b，我们基于固定效应模型估计及其集群稳健协方差矩阵进行了事后Wald检验（例如，βcombination?βverbal=0）（Allison, 2009; McNeish & Kelley, 2019）。该测试评估策略组合情景的系数是否等于其组成单一策略情景的系数。这些测试的结果在表5中总结了H3a，在表6中总结了H3b的结果。

假设3a提出，将言语信任修复策略与任何实质性策略结合使用将比单独使用言语策略更有效地修复信任。数据显示，添加监管在所有言语策略中都显示出强烈的提升效果，与保持沉默结合时提升最为显著（估计值=1.014，p<.001）。添加补偿也与言语策略结合使用时也提供了显著但较小的改善。然而，涉及第三方参与的策略组合始终未能支持这一假设，因为将这种策略加入到道歉（估计值=0.04，p>0.05）或沉默（估计值=-0.176，p>0.05）中，并未显著提高信任修复的效果，与仅使用口头策略相比没有显著变化。相反，当第三方干预与否认结合时，信任修复的效果显著下降（估计值=-0.396，p<0.05），比单独使用否认时效果更差。因此，H3a假设只有部分得到支持，在9种策略组合中，有6种组合在修复后信任度上显示出比基线（仅使用口头策略）显著的改善。

假设3b提出，口头-实质性策略的组合在修复信任方面将比仅使用实质性策略更有效。结果强烈支持这一假设，所有涉及补偿和调节的组合都显示出比单独使用实质性策略更显著的改善。当补偿与否认结合时（估计值=0.871），以及调节与道歉结合时（估计值=0.652），信任修复的效果提升最为明显。而第三方参与的组合结果则不那么一致。虽然将第三方参与与道歉（估计值=0.733）或沉默（估计值=0.415）结合使用能够显著提高信任度，但加入否认（估计值=0.276）并未显著改善信任修复效果。因此，H3b假设也只有部分得到支持，在9种策略组合中，有8种组合在修复后信任度上显示出比基线（仅使用实质性策略）显著的改善。

为了测试H4假设，我们将固定效应模型扩展到一个交互项，该交互项考虑了信任修复策略处理作为时间变化因素与违规类型作为时间不变因素之间的相互作用，以评估不同违规类型下信任修复策略的有效性是否存在系统差异（Allison, 2009; Sommet & Lipps, 2025）。该模型使用以下公式：
$$\begin{array}{cc}\mathrm{Post}-\mathrm{repair}\;{\mathrm{trust}}_{\mathrm{it}}=\sum_{k=1}^K\;\beta_k{\mathrm{TrustRepairTreatment}}_{kit}+\sum_{k=1}^K\;\beta_{int}&\left(\mathrm{TrustRepair}{\mathrm{Treatment}}_{kit}\times\mathrm{Violation}{\mathrm{Type}}_i\right)+a_i+e_{it}\end{array}$$
{\text{ViolationType}}_{i}是一个二元指标，表示参与者\(i\)被分配到基于诚信的违规条件还是基于能力的违规条件。{\beta }_{int }\)估计每种信任修复处理在这两种违规类型之间的有效性是否存在显著差异。需要注意的是，{\text{ViolationType}}_{i}的主要效应被参与者固定效应αi吸收了，无法单独识别，因为它是一个时间不变的变量。然而，交互项是可识别的，因为TrustRepairTreatmentkit在不同的场景中会在参与者之间变化，从而允许测试不同违规类型下策略有效性是否存在显著差异（Brüderl & Ludwig, 2014; Sommet & Lipps, 2025）。

交互模型解释了修复后信任度的54%的组内方差（R2=.54, p<.001），这比第一个模型有所进步。与预期相反，任何信任修复处理与违规类型之间的交互系数都未达到统计显著性（所有p>0.05），表明在基于诚信和基于能力的违规之间，信任修复策略的有效性没有显著差异。因此，H4假设没有得到支持，因为我们无法根据数据拒绝认为信任修复策略的有效性因违规类型而异的零假设。

基于Mayer（1995）的组织信任模型和Weiner（1986）的归因理论，本研究旨在确定在智能服务系统中发生隐私泄露后修复客户信任的有效方法。我们分别考察了各种口头（道歉、否认、沉默）和实质性（补偿、调节、第三方参与）信任修复策略的有效性，并考虑了违规类型的调节作用。我们在智能服务系统的背景下进行了研究，因为隐私泄露同时威胁到客户的数字隐私和物理安全。表7总结了本研究的假设和主要发现。在后续的讨论中，我们强调了我们的发现的理论和实践意义，以及为未来研究提供的局限性。

本研究通过提供多个理论贡献，推进了信任修复、服务恢复和隐私方面的研究。首先，我们对隐私泄露后的各种口头和实质性信任修复策略进行了系统的评估。以往的研究主要集中在少数几种口头回应上（例如，Bansal & Zahedi, 2015），而除了补偿之外的实质性策略（例如，Hoehle et al., 2022; Masuch et al., 2021）尽管多次呼吁进行实证研究（例如，Dirks et al., 2011; Sharma et al., 2023），但所得关注有限。这种理论偏见导致了对组织如何在隐私泄露后有效修复客户信任的理解不完整。我们通过对比评估口头（道歉、否认、沉默）和实质性（补偿、调节、第三方参与）策略的有效性，填补了这一空白。我们的发现表明，调节策略是最有效的单独修复策略，其效果优于所有其他口头和实质性策略。这一发现挑战了以往研究中常常给予补偿在信任修复和服务恢复中的首要地位（Hoehle et al., 2022; Masuch et al., 2021; Sharma et al., 2023）。通过证明调节策略作为信任修复策略的优越效果，我们的研究强调了结构性修复（组织如何从根本上改变其做法），而不是象征性口头修复（组织说什么）或分配性修复（组织支付什么）作为涉及智能服务系统的隐私泄露后信任修复的主要机制（Nikkhah & Grover, 2024; Orlowski & Loh, 2025; Sharma et al., 2023）。

其次，我们的研究通过考察组织在涉及智能服务系统的隐私泄露中同时采用口头和实质性策略时的相互作用，填补了文献中的一个重要空白。虽然以往的研究表明组织通常会同时采用多种策略（例如，Nikkhah & Grover, 2022），但信任修复研究主要关注单独的修复策略（Sharma et al., 2023）。如果不研究这些策略如何结合影响客户信任，研究人员就无法确定信任修复是否需要协调的多策略方法，或者单一策略是否足够。我们的研究表明，某些策略组合会产生协同效应，而有些则在解决智能服务系统的隐私泄露时适得其反。我们的数据表明，涉及调节和补偿的组合在修复信任方面始终优于单一策略，这与“双重信号”理论一致，即口头策略提供象征性保证，而实质性策略提供具体补救措施（Dirks et al., 2011; Sharma et al., 2023）。然而，我们也发现并非所有组合都是有益的，“更多”并不总是更好。包含第三方参与的策略组合经常不能提高修复效果，在某些情况下甚至会降低修复效果。这一发现质疑了关于策略组合累积效益的假设，并揭示了策略适配性和兼容性的重要性。它还质疑了外部验证的益处，表明信任修复研究应区分自愿的、自我发起的组织响应和外部强制的响应，因为这两者可能通过不同的机制发挥作用（Lewicki & Brinsfield, 2017; Yu et al., 2017）。

第三，我们的研究通过考察违规类型在隐私泄露背景下的调节作用，扩展了信任修复的归因视角，但最终对其提出了质疑。虽然以往的研究已经建立了组织环境中信任违规的能力建议-诚信区分（例如，Deng et al., 2022; Kim et al., 2004），并将其应用于在线隐私泄露中的口头响应（例如，Bansal & Zahedi, 2015），但我们系统地测试了这一区分是否改变了智能服务系统领域中口头和实质性策略的有效性。与早期发现不同，我们的分析无法确认违规类型是否显著调节任何信任修复策略的有效性，无论是单独使用还是组合使用，尽管系数趋势符合理论预期。我们的数据表明，一旦发生隐私泄露，客户对修复努力的评价可能更多地取决于组织采取的措施（即选择的修复策略），而不是违规的原因（即违规是基于能力还是诚信）。对于智能服务系统的客户来说，“他们无法保护我的数据”与“他们选择不保护我的数据”之间的区别可能被“我的数据仍然处于风险中”这一统一认知所取代。这可能会降低归因匹配在信任研究中通常被认为的重要性的诊断价值。然而，这一发现应谨慎解读，因为缺乏统计显著性并不能确定在智能服务系统的隐私泄露情况下信任修复策略的有效性是否存在差异。

第四，通过将研究置于智能服务系统的背景下，我们将研究扩展到了一个数字和物理风险交织的高度脆弱性领域。我们的发现表明，在这种背景下，仅使用孤立策略的简约信任修复方法是不够的。这表明，对于涉及智能服务系统的隐私泄露，客户的“满意度阈值”比电子商务或社交媒体等其他情境更高。虽然简单的道歉或折扣可能足以应对电子邮件地址的泄露，但涉及智能服务系统的泄露风险更高，似乎需要多层次的响应。因此，客户期望综合运用口头保证和实质性行动来处理隐私泄露。这为文献做出了贡献，强调了信任修复响应必须与服务环境的感知复杂性和亲密性相匹配，从而提高了构成可接受的组织信任修复努力的“最低标准”。

本研究为处理智能服务系统隐私泄露的管理者提供了见解。组织必须认识到，隐私泄露是一种独特的高风险服务失败形式，如果处理不当，可能会威胁到客户保留和组织生存（Gwebu et al., 2018; Martin, 2018）。由于隐私泄露是不可避免的风险，尽管进行了网络安全投资，组织仍需要同样强大的能力来预防和响应泄露（Choi et al., 2016; Hoehle et al., 2022; Rasoulian et al., 2023）。我们的发现强调调节是最有效的单独信任修复策略，因此对于寻求恢复客户信任的组织来说，投资于结构性改变是优先事项。虽然补偿在实践中很常见，但应谨慎使用，因为它的效果不如调节，并且可能变得非常昂贵（Hoehle et al., 2022; Mohammed & Tejay, 2023）。重要的是，结合口头响应和实质性策略通常比单独的方法更有效，表明组织应部署适当的策略组合，例如结合调节和道歉。

这项研究的局限性为未来的研究提供了几个方向。首先，虽然政策捕捉提供了关于参与者决策过程的宝贵见解，并在信任修复研究中被证明很有用（Cugueró-Escofet et al., 2014; Tomlinson et al., 2004; Yu et al., 2017），但其有效性依赖于持续的参与者参与和特定的场景评估。这种设计的一个内在挑战是数据可能因参与者响应的顺序性和参与者疲劳而产生偏见。随着时间的推移，参与者可能会了解场景结构，早期判断会影响后续响应（Aiman-Smith et al., 2002; Graham & Cable, 2001）。为了减轻这些风险，我们基于先前的研究开发了场景描述，并以随机顺序向参与者展示这些场景，同时将设计限制在16个场景内，远低于政策捕捉设计的典型40-80个场景范围（Aiman-Smith et al., 2002; Cooksey, 1996）。尽管如此，我们仍无法完全排除参与者可能形成了影响其判断的条件化响应模式。因此，未来的研究可以采用替代设计，如被试间实验和单场景评估或纵向实地研究，以补充政策捕捉的发现并解决这些局限性。

第二个限制涉及我们观察到的个别参与者之间的差异。我们的研究采用了固定效应回归方法来识别样本中信任修复策略效果的一般模式。虽然我们的汇总系数代表了平均信任修复策略的效果，但分析掩盖了个体在决策上的异质性。时间不变的参与者特征解释了修复后信任度变异的35%，这表明个体客户的心理倾向在他们对组织信任修复努力的评价中起着至关重要的作用。因此，未来的研究应该明确考察个体层面的调节因素，并探索识别不同客户群体的技术，以更好地理解信任修复策略对不同人群的有效性。第三，我们的样本量存在一些局限性需要考虑。尽管我们的观察总数较高（N=1232），但这得益于重复测量设计——每位参与者评估了16种信任修复策略方案。如果将独特参与者作为固定效应分析的群组，我们的总样本量（n=77）超过了方法学文献中通常推荐的最低群组数量（McNeish & Kelley, 2019; Sommet & Lipps, 2025，建议至少50个群组）。然而，参与者被分为基于能力（n=38）和基于诚信（n=39）的违规行为组，导致子样本规模较小，这可能限制了我们识别H4假设中预测的违规类型效应的能力。除了增加参与者总数外，未来的研究还可以采用大规模的实地实验或纵向设计。这些方法将通过验证我们研究中发现的策略有效性是否普遍成立，来补充我们的政策捕捉结果。最后一个局限性在于，参与者对假设性隐私泄露的反应可能与他们对智能服务系统中实际发生的隐私泄露事件的反应之间存在差异。在我们的基于场景的设计中，参与者评估隐私泄露和修复策略时并未经历个人后果。如果参与者对结果有个人利害关系或既得利益，这可能会加剧负面反应，从而影响信任修复工作的有效性。此外，涉及智能服务系统的隐私泄露也可能影响到那些并非直接客户但身处该物理环境中的人，从而使旁观者面临意想不到的后果。这种同时发生的违规行为可能带来现有服务故障和信任修复研究尚未充分探讨的后果，为未来的理论发展提供了有价值的探讨方向。因此，研究实际发生的涉及智能服务系统的隐私泄露及其组织应对措施的实地研究将有助于补充我们关于信任修复策略有效性的发现。