2025-11-11T16:58:09.760494

Privacy by Design: Aligning GDPR and Software Engineering Specifications with a Requirements Engineering Approach

Kosenkov, Zabardast, Fucci et al.
Context: Consistent requirements and system specifications are essential for the compliance of software systems towards the General Data Protection Regulation (GDPR). Both artefacts need to be grounded in the original text and conjointly assure the achievement of privacy by design (PbD). Objectives: There is little understanding of the perspectives of practitioners on specification objectives and goals to address PbD. Existing approaches do not account for the complex intersection between problem and solution space expressed in GDPR. In this study we explore the demand for conjoint requirements and system specification for PbD and suggest an approach to address this demand. Methods: We reviewed secondary and related primary studies and conducted interviews with practitioners to (1) investigate the state-of-practice and (2) understand the underlying specification objectives and goals (e.g., traceability). We developed and evaluated an approach for requirements and systems specification for PbD, and evaluated it against the specification objectives. Results: The relationship between problem and solution space, as expressed in GDPR, is instrumental in supporting PbD. We demonstrate how our approach, based on the modeling GDPR content with original legal concepts, contributes to specification objectives of capturing legal knowledge, supporting specification transparency, and traceability. Conclusion: GDPR demands need to be addressed throughout different levels of abstraction in the engineering lifecycle to achieve PbD. Legal knowledge specified in the GDPR text should be captured in specifications to address the demands of different stakeholders and ensure compliance. While our results confirm the suitability of our approach to address practical needs, we also revealed specific needs for the future effective operationalization of the approach.
academic

Privacy by Design: Aligning GDPR and Software Engineering Specifications with a Requirements Engineering Approach

基本信息

  • 论文ID: 2510.21591
  • 标题: Privacy by Design: Aligning GDPR and Software Engineering Specifications with a Requirements Engineering Approach
  • 作者: Oleksandr Kosenkov, Ehsan Zabardast, Davide Fucci, Daniel Mendez, Michael Unterkalmsteiner
  • 分类: cs.SE (Software Engineering)
  • 发表时间: 2025年10月31日 (arXiv v2)
  • 论文链接: https://arxiv.org/abs/2510.21591

摘要

本研究针对GDPR合规性中需求和系统规范的一致性问题,探索了隐私设计(Privacy by Design, PbD)的需求工程方法。研究通过文献综述和从业者访谈,识别了规范目标,并提出了一种基于GDPR原始法律概念建模的集成需求与系统规范方法。结果表明,该方法在捕获法律知识、支持规范透明度和可追溯性方面具有有效性。

研究背景与动机

问题定义

  1. 核心问题: 现有的GDPR合规方法缺乏对需求工程(RE)和软件设计架构(SDA)阶段之间复杂交互关系的系统性处理,导致隐私设计实施中缺乏一致性和可追溯性。
  2. 问题重要性:
    • GDPR第25条要求"设计隐私保护",需要在设计阶段就嵌入隐私控制
    • 法规合规性影响整个软件开发生命周期(SDLC)的多个阶段
    • GDPR涉及异构的软件方面(软件质量和用户行为)
  3. 现有方法局限性:
    • 缺乏系统性的需求与系统(R&S)规范方法
    • 现有研究主要关注RE或SDA的单一视角
    • 法规解释的透明度不足,缺乏法律和工程视角的桥接
  4. 研究动机:
    • 建立GDPR文本与工程规范之间的可追溯连接
    • 支持不同利益相关者的协作需求
    • 提供系统性的法律知识捕获方法

核心贡献

  1. 识别了五个主要的R&S规范目标,用于表征PbD所需的R&S规范方法
  2. 提供了从业者规范目标概览,揭示了从业者在应用R&S规范方法时力图实现的目标
  3. 提出了系统性的R&S规范内容建模方法,并进行了初步评估
  4. 建立了法律领域知识与软件规范的系统性连接,促进了PbD的集成需求和系统规范的系统化

方法详解

研究方法框架

本研究采用混合方法,包括文献综述(LR)、候选方法综合(CA)、半结构化访谈(IN)和概念评估(EV)四个主要阶段。

文献综述方法

  1. 三阶段文献综述:
    • 第三级研究:搜索和分析二级研究
    • 第二级研究:分析从二级研究中选出的主要研究
    • 临时文献综述:补充前两阶段的结果
  2. 研究问题:
    • RQ1: PbD和R&S规范的研究现状
    • RQ2: 现有方法衍生的需求和系统组件
    • RQ3: R&S规范需要实现的规范目标

候选方法设计

概念模型

基于法律概念设计了三层概念模型:

  1. 法律对象(Legal Object): 参与法律关系或行为的有形或无形实体
  2. 监管目标(Target of Regulation): 现有的软件系统组件、法规中涉及的组织过程
  3. 合规控制(Compliance Control): 用于处理监管目标的新的或现有的组件、过程
  4. 标准(Criterion): 合规控制和/或监管目标在法律角度可接受的属性

抽象层次

  • 需求规范层: 包含不特定于系统级规范的抽象概念,需要额外解释
  • 系统规范层: 包含直接与系统相关的概念,不需要额外解释

访谈方法设计

参与者选择

  • 采用目的性抽样和滚雪球方法
  • 12名参与者,来自8家不同规模的公司
  • 涵盖技术主管、架构师、数据工程师、安全管理员等角色

数据收集

采用目标-问题-指标(GQM)方法结构化访谈:

  • 概念层: 定义要实现的目标
  • 操作层: 定义评估目标实现的问题
  • 定量层: 定义回答问题所需的指标或数据

实验设置

文献综述设置

  • 搜索范围: Scopus数据库
  • 搜索策略: 系统性搜索和雪球抽样
  • 选择标准: 同时考虑RE和SDA、报告R&S规范、英文、同行评议

访谈设置

  • 访谈时长: 平均60-90分钟
  • 访谈方式: 线上和线下结合
  • 数据分析: 使用Taguette工具进行编码,采用演绎编码方法

评估实验设置

  • 参与者: 从访谈者中招募9名参与者
  • 任务设计: GDPR条文注释和规范内容模型构建
  • 评估标准: 与作者建立的基准真值对比

实验结果

规范目标识别结果

通过文献综述识别出五个核心规范目标(SO):

  1. SO1: 捕获法律领域知识和目标 (重要性排名: 1, 评分中位数: 5)
  2. SO2: 规范的可追溯性和一致性 (重要性排名: 2, 评分中位数: 4)
  3. SO3: 合规与非合规关注点分离 (重要性排名: 5, 评分中位数: 1)
  4. SO4: 系统规范透明度和概览 (重要性排名: 3, 评分中位数: 4.5)
  5. SO5: 支持系统灵活性的规范 (重要性排名: 4, 评分中位数: 4)

从业者访谈主要发现

  1. 现状分析: 大多数从业者不使用专门的PbD R&S规范方法,而是采用临时方法和现有方法的重用
  2. 关键特征需求:
    • 支持GDPR合规控制实施
    • 分离和跟踪受监管的数据类型
    • GDPR规范的具体化
    • 促进GDPR的可理解性和可解释性
  3. 规范目标重要性: SO1(捕获法律知识)被评为最重要,其次是SO2(可追溯性)和SO4(透明度)

候选方法评估结果

应用能力评估(RQ8)

  • 从业者可以在有限程度上使用候选方法
  • 在90个注释中(9个参与者 × 10个基准注释),29个未被识别
  • 在61个已识别注释中,仅19个完全正确识别

方法有用性评估(RQ9)

各规范目标的评估结果(中位数评分):

  • SO1(捕获法律知识): 5(有用)
  • SO4(规范透明度): 5(有用)
  • SO2(可追溯性): 4(可能有用)
  • SO5(系统灵活性): 4(可能有用)
  • SO3(关注点分离): 2(可能无用)

组件对比结果(RQ10)

与现有方法相比,候选方法识别出更多的需求和系统组件:

  • 需求: 15个 vs 最多13个(其他方法)
  • 系统组件: 13个 vs 最多10个(其他方法)

关键实验发现

  1. 法律知识捕获的重要性: 从业者一致认为捕获法律知识是最重要的规范目标
  2. 可追溯性的复杂性: 不同角色对可追溯性有不同需求,技术角色更关注R&S规范间的可追溯性
  3. 透明度与沟通: 规范透明度对不同利益相关者同样重要,但所需信息粒度不同
  4. 方法应用挑战:
    • GDPR文本中同义词的处理困难
    • 相关概念识别的复杂性
    • 从业者对注释和建模结果的不确定性

相关工作

GDPR合规软件工程研究

  • 大多数研究关注业务流程合规、独立解决方案或数据控制机制
  • 缺乏将GDPR合规整合到整个SDLC阶段的研究

软件工程中的隐私设计

  • 现有研究多从RE或SDA单一视角出发
  • 缺乏系统性处理GDPR作为PbD需求来源的方法

GDPR合规的需求与系统规范

  • 极少研究同时考虑R&S规范
  • 现有方法缺乏透明的需求和系统规范推导过程

GDPR合规的法规建模

  • 多数研究关注法律信息学和RE目的的GDPR建模
  • 缺乏系统性处理GDPR文本以推导相应模型的方法

结论与讨论

主要结论

  1. 联合规范的必要性: 四个规范目标(SO1、SO2、SO3、SO4)需要通过R&S规范的联合实现
  2. 可追溯性的核心作用: 可追溯性是确保PbD的关键规范目标,但需要规范透明度和法律领域知识的支持
  3. 法律知识建模的有效性: 基于GDPR原始法律概念的建模方法在捕获法律知识和促进规范透明度方面表现有效
  4. 抽象层次的重要性: GDPR需求需要在工程生命周期的不同抽象层次得到处理以实现PbD

局限性

  1. 方法应用复杂性: 从业者难以有效应用概念模型进行GDPR文本注释和规范内容模型构建
  2. 评估范围限制: 评估仅涵盖四个GDPR条文的摘录,需要在实际工业环境中进一步验证
  3. 操作化挑战: 需要进一步研究如何在工业环境中有效操作化所提出的方法
  4. 参与者代表性: 虽然涵盖了不同角色,但样本规模相对有限

未来方向

  1. 方法操作化: 开发模板或工具以支持不同组织环境和工程模型中的方法应用
  2. 扩展应用范围: 将方法应用于补充GDPR的辅助监管资源以及其他要求合规设计的法规
  3. 案例评估: 在工业环境中进行基于案例的评估,验证方法对规范目标实现的支持能力
  4. 角色特异性研究: 调查特定软件工程角色对某些规范目标的重要性认知差异

深度评价

优点

  1. 系统性方法: 提供了首个系统性处理GDPR合规中R&S规范关系的方法,填补了重要研究空白
  2. 实证基础扎实: 结合文献综述、从业者访谈和概念评估的混合方法,提供了充分的实证支撑
  3. 实用价值高: 识别的规范目标和从业者洞察为实践提供了具体指导
  4. 方法论创新: 基于法律概念的内容建模方法具有创新性,能够建立法律文本与工程规范的直接联系
  5. 透明度高: 研究过程和数据公开透明,支持结果的可复现性

不足

  1. 方法复杂性: 所提出的方法对从业者来说应用难度较高,需要法律和技术双重专业知识
  2. 评估深度有限: 概念评估主要基于文档筛选和简单实验,缺乏真实项目环境的深度验证
  3. 样本规模: 访谈参与者数量相对有限(12人),可能影响结果的普遍性
  4. 法规覆盖范围: 主要关注GDPR核心概念,对其他重要法规条款的覆盖可能不够全面

影响力

  1. 学术贡献: 为隐私工程和需求工程领域提供了重要的理论框架和实证基础
  2. 实践指导: 为软件从业者提供了GDPR合规的具体规范目标和方法指导
  3. 政策影响: 研究结果可为相关政策制定和标准开发提供参考
  4. 未来研究: 为后续研究提供了坚实基础和明确的发展方向

适用场景

  1. 软件开发组织: 需要实施GDPR合规的软件开发团队和组织
  2. 需求工程实践: 涉及法规合规需求的需求工程项目
  3. 隐私工程: 需要系统性处理隐私需求的工程项目
  4. 法规合规咨询: 为企业提供GDPR合规咨询服务的专业机构

参考文献

论文引用了丰富的相关文献,主要包括:

  1. GDPR合规研究: Leite et al. (2022), Kempe & Massey (2021)
  2. 隐私设计理论: Cavoukian (2012), Gürses et al. (2011)
  3. 需求工程方法: Kitchenham (2007), Runeson et al. (2009)
  4. 软件架构研究: Bass et al. (2006), Galster et al. (2009)
  5. 法律信息学: Palmirani et al. (2018), Robaldo et al. (2024)

本论文在隐私工程和GDPR合规领域做出了重要贡献,提供了系统性的理论框架和实用方法,为该领域的进一步发展奠定了坚实基础。尽管在方法操作化方面还需进一步完善,但其研究价值和实践意义不容忽视。