Skip to main content
Nubint
QUICK REVIEW

[论文解读] Evaluating Privacy Perceptions, Experience, and Behavior of Software Development Teams

Maxwell Prybylo, Sara Haghighi|arXiv (Cornell University)|Apr 1, 2024
Software Engineering Techniques and Practices被引用 8
一句话总结

一项涵盖跨23个国家的362名参与者的大型混合方法调查,分析隐私感知、实践和知识在SDLC角色中的差异,揭示多样的隐私定义、PbD采纳有限,以及依角色而定的隐私挑战。

ABSTRACT

With the increase in the number of privacy regulations, small development teams are forced to make privacy decisions on their own. In this paper, we conduct a mixed-method survey study, including statistical and qualitative analysis, to evaluate the privacy perceptions, practices, and knowledge of members involved in various phases of the Software Development Life Cycle (SDLC). Our survey includes 362 participants from 23 countries, encompassing roles such as product managers, developers, and testers. Our results show diverse definitions of privacy across SDLC roles, emphasizing the need for a holistic privacy approach throughout SDLC. We find that software teams, regardless of their region, are less familiar with privacy concepts (such as anonymization), relying on self-teaching and forums. Most participants are more familiar with GDPR and HIPAA than other regulations, with multi-jurisdictional compliance being their primary concern. Our results advocate the need for role-dependent solutions to address the privacy challenges, and we highlight research directions and educational takeaways to help improve privacy-aware SDLC.

研究动机与目标

  • 评估隐私感知在SDLC角色和人口统计学特征上的差异。
  • 评估获取隐私专家(如 Chief Privacy Officer,CPO)对隐私感知和实践的影响。
  • 调查隐私实践和经验如何因SDLC角色、地点和教育水平而异。
  • 量化软件团队对隐私概念、方法、工具和法规的熟悉度。

提出的方法

  • 进行一项规模较大的混合方法调查,参与者为362名软件团队成员(美国及22个其他国家)。
  • 通过Prolific使用Qualtrics;针对不同角色的问卷;前筛选和试点研究以完善问题。
  • 对开放式回答进行定性开放编码并将主题映射到Solove’s隐私分类法。
  • 进行定量分析,包括卡方检验和Kruskal-Wallis检验,并进行Bonferroni校正。
  • 分析是否存在CPO以及其与隐私实践、PIA和PETs的关系。
  • 对潜在偏差进行筛查,并在开放式问题中减轻AI生成回答的影响。

实验结果

研究问题

  • RQ1RQ1:在不同角色和人口统计特征(如教育、公司规模、地点)之间是否存在隐私感知差异?
  • RQ2RQ2:获取隐私专家(例如Chief Privacy Officer)是否会影响隐私感知和实践?
  • RQ3RQ3:隐私实践和经验如何因SDLC角色、地点及其他人口统计学特征而异?
  • RQ4RQ4:不同角色对隐私概念、方法、工具和法规的熟悉程度如何?

主要发现

  • 参与者对隐私的定义多样,与Solove’s分类法中的披露、可获取性提升以及安全/不安全等概念对应的角色映射。
  • 在SDLC团队中,PbD的采用以及对Privacy Enhancing Technologies (PETs)和Privacy Impact Assessments (PIAs)的使用有限。
  • QA成员在数据保护方面更多依赖法律/隐私专家,并且隐私知识水平低于其他角色。
  • 许多受访者是自学隐私,对美国法规如CCPA和COPPA的熟悉度有限。
  • CPO的存在与公司规模相关;大公司更可能设有CPO,但CPO的存在在校正后与PIA创建、PET使用或违反事件数量之间的相关性不强。
  • PIA并不常见(14%报告创建了PIA),许多PIA发生在SDLC后期;参与PIA创建的角色多样,表明所有权分散。
  • 隐私政策通常由法律专家和模板制定,可能导致政策–应用内容与应用不一致。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。