2025-11-11T16:58:09.760494

Privacy by Design: Aligning GDPR and Software Engineering Specifications with a Requirements Engineering Approach

Kosenkov, Zabardast, Fucci et al.
Context: Consistent requirements and system specifications are essential for the compliance of software systems towards the General Data Protection Regulation (GDPR). Both artefacts need to be grounded in the original text and conjointly assure the achievement of privacy by design (PbD). Objectives: There is little understanding of the perspectives of practitioners on specification objectives and goals to address PbD. Existing approaches do not account for the complex intersection between problem and solution space expressed in GDPR. In this study we explore the demand for conjoint requirements and system specification for PbD and suggest an approach to address this demand. Methods: We reviewed secondary and related primary studies and conducted interviews with practitioners to (1) investigate the state-of-practice and (2) understand the underlying specification objectives and goals (e.g., traceability). We developed and evaluated an approach for requirements and systems specification for PbD, and evaluated it against the specification objectives. Results: The relationship between problem and solution space, as expressed in GDPR, is instrumental in supporting PbD. We demonstrate how our approach, based on the modeling GDPR content with original legal concepts, contributes to specification objectives of capturing legal knowledge, supporting specification transparency, and traceability. Conclusion: GDPR demands need to be addressed throughout different levels of abstraction in the engineering lifecycle to achieve PbD. Legal knowledge specified in the GDPR text should be captured in specifications to address the demands of different stakeholders and ensure compliance. While our results confirm the suitability of our approach to address practical needs, we also revealed specific needs for the future effective operationalization of the approach.
academic

Конфиденциальность по замыслу: согласование GDPR и спецификаций программного обеспечения с использованием подхода инженерии требований

Основная информация

  • ID статьи: 2510.21591
  • Название: Privacy by Design: Aligning GDPR and Software Engineering Specifications with a Requirements Engineering Approach
  • Авторы: Oleksandr Kosenkov, Ehsan Zabardast, Davide Fucci, Daniel Mendez, Michael Unterkalmsteiner
  • Классификация: cs.SE (Инженерия программного обеспечения)
  • Дата публикации: 31 октября 2025 г. (arXiv v2)
  • Ссылка на статью: https://arxiv.org/abs/2510.21591

Аннотация

Данное исследование посвящено проблеме согласованности требований и системных спецификаций при соответствии GDPR, исследуя подход инженерии требований к конфиденциальности по замыслу (Privacy by Design, PbD). Исследование проводилось путем обзора литературы и интервью с практиками, в результате чего были определены цели спецификации и предложен интегрированный метод согласования требований и системных спецификаций на основе моделирования исходных правовых концепций GDPR. Результаты демонстрируют эффективность метода в захвате правовых знаний, поддержке прозрачности спецификаций и отслеживаемости.

Исследовательский контекст и мотивация

Определение проблемы

  1. Основная проблема: Существующие подходы к соответствию GDPR не обеспечивают систематической обработки сложных взаимодействий между инженерией требований (RE) и архитектурой программного проектирования (SDA), что приводит к отсутствию согласованности и отслеживаемости при реализации конфиденциальности по замыслу.
  2. Значимость проблемы:
    • Статья 25 GDPR требует "проектирования конфиденциальности", что предполагает встраивание элементов управления конфиденциальностью на этапе проектирования
    • Соответствие нормативным требованиям влияет на несколько этапов жизненного цикла разработки программного обеспечения (SDLC)
    • GDPR охватывает разнородные аспекты программного обеспечения (качество программного обеспечения и поведение пользователей)
  3. Ограничения существующих подходов:
    • Отсутствие систематического метода спецификации требований и системы (R&S)
    • Существующие исследования сосредоточены в основном на одной перспективе RE или SDA
    • Недостаточная прозрачность интерпретации нормативных требований, отсутствие связи между правовой и инженерной точками зрения
  4. Исследовательская мотивация:
    • Установление отслеживаемых связей между текстом GDPR и инженерными спецификациями
    • Поддержка потребностей сотрудничества различных заинтересованных сторон
    • Предоставление систематического метода захвата правовых знаний

Основные вклады

  1. Определены пять основных целей спецификации R&S, характеризующих требуемый метод спецификации R&S для PbD
  2. Предоставлен обзор целей спецификации практиков, раскрывающий цели, которые практики стремятся достичь при применении методов спецификации R&S
  3. Предложен систематический метод моделирования содержания спецификации R&S с предварительной оценкой
  4. Установлены систематические связи между знаниями в правовой области и спецификациями программного обеспечения, способствуя систематизации интегрированных требований и системных спецификаций для PbD

Подробное описание методологии

Рамки исследовательского метода

Исследование использует смешанный метод, включающий четыре основных этапа: обзор литературы (LR), синтез кандидатных методов (CA), полуструктурированные интервью (IN) и оценку концепции (EV).

Методология обзора литературы

  1. Трёхэтапный обзор литературы:
    • Исследование третьего уровня: поиск и анализ вторичных исследований
    • Исследование второго уровня: анализ основных исследований, отобранных из вторичных исследований
    • Предварительный обзор литературы: дополнение результатов двух предыдущих этапов
  2. Исследовательские вопросы:
    • RQ1: Современное состояние исследований PbD и спецификации R&S
    • RQ2: Требования и системные компоненты, вытекающие из существующих методов
    • RQ3: Цели спецификации, которые должны быть реализованы спецификацией R&S

Проектирование кандидатного метода

Концептуальная модель

На основе правовых концепций разработана трёхуровневая концептуальная модель:

  1. Правовой объект (Legal Object): Материальные или нематериальные сущности, участвующие в правовых отношениях или действиях
  2. Объект регулирования (Target of Regulation): Существующие компоненты программной системы, организационные процессы, охватываемые нормативными требованиями
  3. Контроль соответствия (Compliance Control): Новые или существующие компоненты, процессы для обработки объектов регулирования
  4. Критерий (Criterion): Атрибуты контроля соответствия и/или объектов регулирования, приемлемые с правовой точки зрения

Уровни абстракции

  • Уровень спецификации требований: Содержит абстрактные концепции, не специфичные для системной спецификации, требующие дополнительного толкования
  • Уровень системной спецификации: Содержит концепции, непосредственно связанные с системой, не требующие дополнительного толкования

Проектирование методологии интервью

Отбор участников

  • Использование целенаправленной выборки и метода "снежного кома"
  • 12 участников из 8 компаний различного размера
  • Охватывает технических руководителей, архитекторов, инженеров данных, администраторов безопасности и другие роли

Сбор данных

Использование метода Goal-Question-Metric (GQM) для структурирования интервью:

  • Концептуальный уровень: Определение целей, которые необходимо достичь
  • Операционный уровень: Определение вопросов для оценки достижения целей
  • Количественный уровень: Определение метрик или данных, необходимых для ответа на вопросы

Экспериментальная установка

Установка обзора литературы

  • Область поиска: База данных Scopus
  • Стратегия поиска: Систематический поиск и выборка методом "снежного кома"
  • Критерии отбора: Одновременное рассмотрение RE и SDA, отчёты о спецификации R&S, английский язык, рецензируемые публикации

Установка интервью

  • Продолжительность интервью: В среднем 60-90 минут
  • Формат интервью: Комбинация онлайн и очных встреч
  • Анализ данных: Использование инструмента Taguette для кодирования с применением дедуктивного метода кодирования

Установка оценочного эксперимента

  • Участники: 9 участников, набранных из числа интервьюируемых
  • Проектирование задач: Аннотирование статей GDPR и построение модели содержания спецификации
  • Критерии оценки: Сравнение с эталонными значениями, установленными авторами

Результаты экспериментов

Результаты определения целей спецификации

Путём обзора литературы определены пять основных целей спецификации (SO):

  1. SO1: Захват правовых знаний и целей (Рейтинг важности: 1, Медиана оценки: 5)
  2. SO2: Отслеживаемость и согласованность спецификаций (Рейтинг важности: 2, Медиана оценки: 4)
  3. SO3: Разделение проблем соответствия и несоответствия (Рейтинг важности: 5, Медиана оценки: 1)
  4. SO4: Прозрачность и обзор системной спецификации (Рейтинг важности: 3, Медиана оценки: 4.5)
  5. SO5: Поддержка спецификации гибкости системы (Рейтинг важности: 4, Медиана оценки: 4)

Основные выводы из интервью с практиками

  1. Анализ текущего состояния: Большинство практиков не используют специализированные методы спецификации R&S для PbD, вместо этого применяя временные методы и переиспользование существующих подходов
  2. Требования к ключевым характеристикам:
    • Поддержка реализации элементов управления соответствием GDPR
    • Разделение и отслеживание регулируемых типов данных
    • Конкретизация спецификаций GDPR
    • Содействие понимаемости и объяснимости GDPR
  3. Важность целей спецификации: SO1 (захват правовых знаний) оценена как наиболее важная, за ней следуют SO2 (отслеживаемость) и SO4 (прозрачность)

Результаты оценки кандидатного метода

Оценка способности применения (RQ8)

  • Практики могут использовать кандидатный метод в ограниченной степени
  • Из 90 аннотаций (9 участников × 10 эталонных аннотаций) 29 не были идентифицированы
  • Из 61 идентифицированной аннотации только 19 были полностью правильно идентифицированы

Оценка полезности метода (RQ9)

Результаты оценки для каждой цели спецификации (медиана оценки):

  • SO1 (захват правовых знаний): 5 (полезно)
  • SO4 (прозрачность спецификации): 5 (полезно)
  • SO2 (отслеживаемость): 4 (возможно полезно)
  • SO5 (гибкость системы): 4 (возможно полезно)
  • SO3 (разделение проблем): 2 (возможно бесполезно)

Результаты сравнения компонентов (RQ10)

По сравнению с существующими методами кандидатный метод выявляет больше требований и системных компонентов:

  • Требования: 15 против максимум 13 (другие методы)
  • Системные компоненты: 13 против максимум 10 (другие методы)

Ключевые экспериментальные выводы

  1. Важность захвата правовых знаний: Практики единодушно считают захват правовых знаний наиболее важной целью спецификации
  2. Сложность отслеживаемости: Различные роли имеют различные требования к отслеживаемости, технические роли больше сосредоточены на отслеживаемости между спецификациями R&S
  3. Прозрачность и коммуникация: Прозрачность спецификации одинаково важна для различных заинтересованных сторон, но требуемая детализация информации различается
  4. Вызовы применения метода:
    • Сложность обработки синонимов в тексте GDPR
    • Сложность идентификации релевантных концепций
    • Неопределённость практиков в отношении результатов аннотирования и моделирования

Связанные работы

Исследования соответствия GDPR в инженерии программного обеспечения

  • Большинство исследований сосредоточены на соответствии бизнес-процессов, независимых решениях или механизмах управления данными
  • Отсутствуют исследования, интегрирующие соответствие GDPR на всех этапах SDLC

Проектирование конфиденциальности в инженерии программного обеспечения

  • Существующие исследования в основном исходят из одной перспективы RE или SDA
  • Отсутствует систематический подход к обработке GDPR как источника требований PbD

Требования и системные спецификации для соответствия GDPR

  • Очень мало исследований одновременно рассматривают спецификацию R&S
  • Существующие методы не обеспечивают прозрачный процесс вывода требований и системных спецификаций

Нормативное моделирование для соответствия GDPR

  • Большинство исследований сосредоточены на моделировании GDPR в целях правовой информатики и RE
  • Отсутствует систематический подход к обработке текста GDPR для вывода соответствующих моделей

Заключение и обсуждение

Основные выводы

  1. Необходимость совместной спецификации: Четыре цели спецификации (SO1, SO2, SO3, SO4) должны быть реализованы путём совместной реализации спецификации R&S
  2. Центральная роль отслеживаемости: Отслеживаемость является ключевой целью спецификации для обеспечения PbD, но требует поддержки прозрачности спецификации и правовых знаний
  3. Эффективность моделирования правовых знаний: Метод моделирования на основе исходных правовых концепций GDPR демонстрирует эффективность в захвате правовых знаний и содействии прозрачности спецификации
  4. Важность уровней абстракции: Требования GDPR должны обрабатываться на различных уровнях абстракции инженерного жизненного цикла для реализации PbD

Ограничения

  1. Сложность применения метода: Практикам сложно эффективно применять концептуальную модель для аннотирования текста GDPR и построения модели содержания спецификации
  2. Ограничения области оценки: Оценка охватывает только выдержки из четырёх статей GDPR, требуется дальнейшая проверка в реальной промышленной среде
  3. Вызовы операционализации: Требуется дальнейшее исследование эффективной операционализации предложенного метода в промышленной среде
  4. Репрезентативность участников: Хотя охватываются различные роли, размер выборки относительно ограничен

Направления будущих исследований

  1. Операционализация метода: Разработка шаблонов или инструментов для поддержки применения метода в различных организационных средах и инженерных моделях
  2. Расширение области применения: Применение метода к вспомогательным нормативным ресурсам, дополняющим GDPR, а также к другим нормативным требованиям, предусматривающим проектирование соответствия
  3. Оценка на основе примеров: Проведение оценки на основе примеров в промышленной среде для проверки способности метода поддерживать достижение целей спецификации
  4. Исследование, специфичное для ролей: Изучение различий в восприятии важности определённых целей спецификации различными ролями в инженерии программного обеспечения

Углублённая оценка

Преимущества

  1. Систематический подход: Предоставляет первый систематический метод обработки отношений спецификации R&S при соответствии GDPR, заполняя важный пробел в исследованиях
  2. Прочная эмпирическая база: Смешанный метод, сочетающий обзор литературы, интервью с практиками и оценку концепции, обеспечивает достаточную эмпирическую поддержку
  3. Высокая практическая ценность: Определённые цели спецификации и выводы практиков предоставляют конкретное руководство для практики
  4. Методологические инновации: Метод моделирования содержания на основе правовых концепций является инновационным и может установить прямые связи между правовым текстом и инженерными спецификациями
  5. Высокая прозрачность: Процесс исследования и данные открыты и прозрачны, поддерживая воспроизводимость результатов

Недостатки

  1. Сложность метода: Предложенный метод имеет высокую сложность применения для практиков, требуя двойной экспертизы в области права и техники
  2. Ограниченная глубина оценки: Оценка концепции в основном основана на фильтрации документов и простых экспериментах, не хватает глубокой проверки в реальной среде проектов
  3. Размер выборки: Количество участников интервью относительно ограничено (12 человек), что может повлиять на универсальность результатов
  4. Охват нормативных требований: Основное внимание уделяется основным концепциям GDPR, охват других важных положений нормативных требований может быть недостаточным

Влияние

  1. Академический вклад: Предоставляет важную теоретическую базу и эмпирическую основу для областей инженерии конфиденциальности и инженерии требований
  2. Практическое руководство: Предоставляет практикам конкретные цели спецификации и методологическое руководство для соответствия GDPR
  3. Влияние на политику: Результаты исследования могут служить справочным материалом для разработки соответствующей политики и стандартов
  4. Будущие исследования: Предоставляет прочную основу и чёткие направления развития для последующих исследований

Сценарии применения

  1. Организации разработки программного обеспечения: Команды разработки программного обеспечения и организации, нуждающиеся в реализации соответствия GDPR
  2. Практика инженерии требований: Проекты инженерии требований, связанные с требованиями соответствия нормативным требованиям
  3. Инженерия конфиденциальности: Инженерные проекты, требующие систематической обработки требований конфиденциальности
  4. Консультирование по соответствию нормативным требованиям: Профессиональные учреждения, предоставляющие консультационные услуги по соответствию GDPR предприятиям

Библиография

Статья цитирует обширную соответствующую литературу, включающую в основном:

  1. Исследования соответствия GDPR: Leite et al. (2022), Kempe & Massey (2021)
  2. Теория проектирования конфиденциальности: Cavoukian (2012), Gürses et al. (2011)
  3. Методы инженерии требований: Kitchenham (2007), Runeson et al. (2009)
  4. Исследования архитектуры программного обеспечения: Bass et al. (2006), Galster et al. (2009)
  5. Правовая информатика: Palmirani et al. (2018), Robaldo et al. (2024)

Данная статья вносит важный вклад в области инженерии конфиденциальности и соответствия GDPR, предоставляя систематическую теоретическую базу и практический метод, закладывая прочную основу для дальнейшего развития этой области. Несмотря на необходимость дальнейшего совершенствования в области операционализации метода, её исследовательская ценность и практическое значение неоспоримы.