CN111149332B - 在去中心化系统中实施集中式隐私控制的系统和方法 - Google Patents

Abstract

系统，计算机可读媒体，以及改善数据隐私/匿名性和数据价值的方法，其中与数据主体相关的数据可以被使用和存储,举例来说,在一个分布式分类数据结构中,比如blockchain,最大程度地减少了未经授权方的重新标识风险，并通过仅准予访问与该授权方的目的、时间段、地点相关的数据来启用与该数据相关的信息，包括准标识符和/或通过混淆特定数据值的其他标准，例如根据欧盟通用数据保护条例(GDPR)或其他类似的监管计划。本文描述的技术在保持这种隐私/匿名级别的同时，仍然满足blockchain和其他分布式账本技术(DLTs)要求的事务数据分散存储的不变性、可审核性和验证。这样的系统、介质和方法可以在经典和量子计算设备上实现。

Description

在去中心化系统中实施集中式隐私控制的系统和方法

对相关申请的交叉引用

本申请要求于2018年4月26日提交的美国专利申请15/963,609的优先权，其标题为“在去中心化系统中实施集中式隐私控制的系统和方法”；2017年4月28日提交的美国临时专利申请第62/491,294号，“Anonosizing收集和共享医疗数据”；2017年7月21日提交的美国临时专利申请第62/535,601号，其标题为，“Anonos保留格式的动态假名”；2017年9月4日提交的美国临时专利申请第62/554,000号，标题为，“Anonos符合全球数据保护法规的分析”；2017年11月2日提交的美国临时专利申请第62/580,628号，“AnonosBigPrivacy可压缩Dynamic De-Identifiers”；2018年3月17日提交的美国临时专利申请第 62/644,463号，标题为，“AnonosBigPrivacyGDPR合规的区块链系统和方法”；和于2018年3月28日提交的美国临时专利申请第62/649,103 号，“BigPrivacy云中的数据合规性”，其全部内容通过引用整体并入本文。

技术领域

本公开总体上涉及提高数据安全性，隐私性和准确性，并且尤其涉及使用动态变化的标识符来呈现数据元素，其可以例如被存储在 Distributed Ledger Technology(DLT)，例如作为blockchain，是匿名的。(注：“隐私”和“匿名”在本文中可互换使用，指数据保护，隐私，匿名，假名，晦涩和/或法律实体可用的其他行为，该实体可以是自然人和/或伪造人，例如商业实体或公司实体或法人实体组，以从未经授权的各方隔离，隔离或删除有关自身的信息，从而有选择地提供有关自身的信息。这句话“Distributed LedgerTechnology”或本文使用的“DLT”是指包括复制，共享和/或同步数字数据的共识的数据存储元件，例如，其可以地理分布在多个站点，国家或机构中。使用DLT，通常没有中央管理员或集中式数据存储。使用DLT的示例包括： blockchains，cryptocurrencies、智能合约，甚至是分散的文件存储。)

背景

该部分旨在提供权利要求中记载的本发明的背景或背景。本文的描述可以包括可以追求的概念，但是不一定是先前已经构思，实现或描述的概念。因此，除非本文另外指出，否则本节中所描述的内容不是本申请的说明书和权利要求书的现有技术，并且由于包含在本节中而不能承认是现有技术。

在以下两者之间存在某些固有的冲突：(i)各方最大化数据价值的目标与其尊重个人隐私权的目标；(ii)个人保护其隐私权的目标以及从高度个性化产品中受益的目标；(iii)美国和国际政府机构促进研究和商业的目标及其维护公民权利的目标。

与医疗保健无关的各方的一个目标是达成最“高度合格”的潜在客户，即具有必要财务资源，动力和授权进行购买的潜在买家。与达成无差异的潜在客户相比，商业各方将付出更多的代价，因为达成有资格的潜在客户的交易的机会要高得多，这要归功于他们的兴趣，倾向和完成交易的方式。与潜在客户完成交易的可能性直接相关的针对潜在客户的产品个性化/定制化水平，通过有关每个潜在客户的可用信息的深度和范围得以提高。与医疗保健相关的各方的一个目标是进行与健康和/或疾病有关的研究，以促进在可能改善人类健康的应用中的发现。

计算机网络、互联网、内部网和支持技术的发展，出现和广泛采用，导致了以电子格式收集，传输，存储，分析和使用信息的高性价比技术的广泛普及。结果，实体现在可以轻松地收集和分析大量信息。这在以下方面造成了紧张关系：(一)越来越多的信息可用来满足潜在客户，为潜在客户开发个性化/定制产品和/或进行与健康相关的研究或其他研究；以及(二)降低了个人的安全性，匿名性和隐私性，这些个人通常不知道可能存在可追溯到他们的许多数据元素的存在，而这些数据元素通常很少或根本没有有效的控制。

数据元素可以通过多种来源在线和离线收集(“出生数字”和“出生模拟”，并在以后转换为数字格式)，包括但不限于社交网站上的活动，电子或数字记录，电子邮件，参与奖励或奖励卡计划的程序，这些程序可以跟踪互联网上的购买和位置，浏览或其他活动，以及在实体店和/或电子商务网站上的活动和购买。商家、与医疗相关的服务提供商和其他服务提供商，政府以及其他实体使用收集，存储和分析的大量数据来建议或查找模式和相关性，并得出有用的结论。由于现在可能会收集大量信息实体，因此有时将此数据称为“大数据”。借助大数据分析，实体现在可以释放并最大化数据的价值-一个例子可能涉及与非健康相关的实体从事行为营销(为分发而创建的材料经过定制，以试图提高与某人相关的偏好的相关性)。特定的接收方)，另一个示例可能涉及与健康相关的实体访问大数据以进行医学研究。但是，通过行为营销和大数据分析，关联方现在的隐私和匿名性水平要低得多。

在历史上，试图调和隐私/匿名性与价值/个性化/研究之间的冲突的尝试常常涉及使用替代标识符而不是真实姓名或识别信息。然而，这些替代标识符通常是静态分配的，并且会随着时间的流逝而持续存在。静态标识符更容易跟踪，标识和交叉引用以确定真实身份，并且可用于确定与数据元素关联的主题的其他数据，而无需相关方的同意。隐私和信息专家已表示担心，重新标识技术可用于与静态标识符关联的数据，并质疑在特定实践中，可以将特定计算机，设备或活动(即通过关联的静态标识符)标识的数据视为匿名。当标识符没有随时间变化时，对抗实体将有无限的时间来累积，分析附加数据甚至是外生数据并将其与持久性标识符相关联，从而确定主体的真实身份并将其他数据与真实身份相关联。此外，无限的时间为对抗实体提供了执行费时的蛮力攻击的机会，这种攻击可用于任何加密数据。

根据麦肯锡全球研究所2011年的一份报告：

·零售商充分利用大数据可以将其营业利润率提高60％以上；

·利用公共部门的大数据具有巨大的潜力-如果美国医疗保健部门要创造性地，有效地利用大数据来提高效率和质量，则该行业每年可创造超过3,000亿美元的价值-其中三分之二的形式是将美国医疗保健支出减少约8％；

·在欧洲发达经济体中，政府管理员可以通过使用大数据节省超过1000亿欧元(1490亿美元)的运营效率，其中不包括使用大数据来减少欺诈和错误并增加税收收入；以及

·通过启用个人定位功能的大数据服务的用户可以获取 6,000亿美元的消费者剩余。

由于对基础数据的所有权/使用权含糊不清，与基础数据的隐私有关的紧张关系以及由于从次要(相对于主要)来源收集的错误数据而导致的分析不准确的后果，大数据的许多潜在利益尚未完全实现和/或根据未经过上述各方的积极参与或未进行验证的各方的活动推断出的结果。

由于对基础数据的所有权/使用权含糊不清，与基础数据的隐私有关的紧张以及由于错误而导致的不准确分析的后果，大数据的许多潜在好处尚未得到充分实现。分散网络或平台(包括无许可系统和分布式分类帐技术，例如blockchain)，包括基于对等或其他非集中式链接的网络或平台的网络，进一步增加了在为用户维持所需的隐私/匿名性水平方面的难度，同时仍然允许适当提取信息价值和/或由授权的第三方提供个性化服务。特别是，由于分布式账本技术在不可变性，可审计性和验证方面的要求，迄今为止，至少由于记录在其中的信息的必要静态性质，不可能提供高级别的隐私/匿名性。这样的分布式分类帐。

需要的系统，方法和设备克服了静态和/或持久性隐私/匿名和安全系统的局限，并提高了数据交换、收集、交易、分析和其他用途的准确性，尤其是在那些使用分布式分类帐技术以分散的方式存储数据，例如blockchain。换句话说，本文提供的隐私/匿名增强技术可以通过提供使授权用户能够解锁此类信息的“真实”含义的工具来帮助调和可审核和不可变信息存储之间的紧张关系。，在特定的时间和背景下。

摘要

本发明的实施例可以通过使数据所属的主题保持“动态匿名”来改善数据隐私和安全性，也就是匿名，只要需要的时间长到所需的程度。本发明的实施例可以包括创建，访问，使用(例如、处理、复制、分析、组合、修改或分发等)，以增加的隐私，匿名性和安全性来存储和/或擦除数据，从而有助于获得更多合格和准确的信息。并且，当数据被授权与第三方共享时，本发明的实施例可以促进以动态控制的方式共享信息，该方式使得能够将时间，地理和/或目的受限的信息传递给接收方。本发明的实施例甚至可以被用在建立在blockchain或其他分布式账本技术上的分散网络中，这些分布式网络需要随着时间的过去记录的不变性和可审计性。

与现有系统相比，其中可以容易地访问电子数据以供使用(例如收集、处理、复制、分析、合并、修改或传播等)，在存储和/或擦除数据的控制很少的情况下，本发明的实施例可以使暂时使用唯一的， dynamically changing de-identifiers(“DDIDs”)-每个都与数据直接或间接相关或与之相关的主题(例如，人，地方或事物(例如事件、文档、合同或“智能合同”))相关(一个“Data Subject”)，和/或与 DataSubject有关的动作、活动、过程和/或特征，在唯一的时间段内，从而使Data Subject能够以“动态匿名”的方式运行。“Dynamically anonymous”或“Dynamic Anonymity”如本文所用，是指用户保持匿名的能力，直到做出不保持匿名的决定为止，此时只有与一个或多个期望的方有关的一个或多个动作、活动、过程或特质。因此，本发明的实施例可以使得Data Subject能够在DataSubject或可以是受信方或代理的控制实体的控制下保持灵活的隐私和/或匿名级别。

本发明的实施例可以使用DDIDs来帮助防止保留有时称为元数据的数据，否则可以向第三方提供有关Data Subject的一个或多个方面的信息和/或反映动作，活动的数据属性。，与Data Subject有关的过程和/或特征，例如(但不限于)与创建方式，目的，创建时间和/或日期有关的信息，Data Subject的身份和/或创建者数据属性，创建数据属性的位置，创建或使用数据属性时使用的标准等。这是由于以下事实：为了建立与一个或多个特定数据属性相关的信息的持续记录，元数据必须具有附加到自身或与之关联的内容。在本申请中使用的词语“数据”，“属性”，“元素”或类似术语将酌情包括以下任何或全部， (一)结构化数据(即，预定的结构化架构中的数据)，(二)非结构化数据，(三)元数据(即，关于数据的数据)，(四)其他数据，和/或(五)任何上述类型的数据中的任何一种最初以模拟格式记录，然后转换为数字格式。

本发明的实施例可以一次将第一DDID用于与第一Data Subject、动作、活动、过程和/或特征有关的特定目的，然后将第二DDID与第一Data Subject、动作、活动、过程和/或特征，以用于不同目的，和/ 或将第一DDID与第二Data Subject、操作、活动、过程和/或特征，用于不同目的等。结果，由于不同的DDIDs可能与相同的Data Subject、动作、活动、过程和/或特征相关联，和/或相同的DDIDs可能与其他与DDID相关的基础信息相关联的数据的保留和聚集尝试无效，与不同的Data Subject、操作、活动、过程和/或特征和/或目的结合使用-每个都在时间上是唯一的。

本发明的实施例可以针对各种动作、活动、过程或特性在不同的时间跟踪和记录由Data Subject使用并与之关联的不同的DDIDs，从而使得能够存储，选择和检索适用于网络的信息。特定的动作、活动、过程或特征和/或特定的Data Subject。相反，由于使用多个DDIDs以及缺少系统外部可用的信息来确定DDIDs和/或Data Subject，操作之间的关系，因此系统可能无法使系统外部的第三方有效地保留和聚合数据、活动、过程和/或特征。

每个DDID可以与任何一个或多个数据属性相关联，以促进针对特定动作、活动、过程或特质，例如，但不限于：(一)在替换当前DDID之前，反映与Data Subject关联的动作、活动、过程或特性的信息(例如，浏览信息，在与当前DDID关联时反映Data Subject的当前基于Web的活动)具有不同的DDID；(二)关于先前与Data Subject相关联的过去动作、活动、过程或特征的信息，同时与一个或多个先前DDIDs相关联，但Data Subject现在希望与第三方共享信息，同时与当前DDID相关联(例如，与Data Subject在先前浏览会话中从电子商务网站上收集的定价信息共享，同时与先前的DDID相关联；以及(三)与当前DDID相关联时可以帮助促进代表Data Subject进行所需动作、活动、过程或特质的新信息(例如，指示从当前购买的服装中获取当前所需服装的新的所需尺寸和颜色)。为了本文的目的，在时间上唯一的时间段内，DDID和与该DDID相关联的任何数据元素的组合被称为时间数据表示或“TDR”。出于此目的，如果没有数据与DDID相关联，则DDID及其时间数据表示(或“TDR”)是相同的。

从作为封闭系统的Dynamic Anonymity实施例的实施方式的实现的角度来看，要求表示数据主体的身份的DDID(即“主要标识符”) 在该时间段内在时间上是唯一的将DDID分配给Data Subject的过程 -即，两个现存的数据主体都不能同时具有相同的主要标识符DDID 即，没有两个现存的Data Subject可以同时具有相同的主要标识符 DDIDs。当希望用表示Data Subject身份的分离性时，适用DDIDs的时间唯一性的要求；如果希望用DDIDs表示Data Subject的身份分离性以外的其他因素，则可以相应地进行DDID分配以表示预期的关联、关系等。当Data Subject的身份分离希望由DDIDs表示时，DDIDs 可以两种方式实例化：(一)在本实现方式内发明或(二)通过外部创建的标识符，但前提是它们满足“暂时唯一”的要求(例如，由网站分配给首次访问者的“cookie”或其他唯一标识符可以有效地用作DDID)。

Cookie是一小段数据，通常从网站发送并存储在Data Subject 浏览网站时存储在Data Subject的网页浏览器中，因此，每次Data Subject返回网站时，浏览器将cookie发送回与网站关联的服务器，以通知网站Data Subject已返回网站。然而，为了使cookie用作DDID，浏览器(在本发明的该潜在实施例中用作客户端)可以防止网站提交的任何cookie在浏览会话之间持续存在(例如，通过将用户的 Cookie，缓存和浏览历史文件复制到匿名系统的服务器，然后从用户的计算机上删除它们)，这样就可以为每个浏览会话分配一个新的Cookie。以这种方式，由网站发布的各种cookie(在此示例实施例中，用作表示DataSubject身份分离的DDID)在系统“外部”创建的同时，每个cookie都是唯一的，并且不会使网站能够记住状态信息或汇总 Data Subject的浏览活动，因为网站会将每个浏览会话视为不相关的，从而使Data Subject可以在需要的范围内保持动态匿名。

如上述的示例潜在实施例中所述，根据一些实施例，Dynamic Anonymity系统可以收集并保留与不同浏览会话/不同cookie相关联的各种动作、活动、过程或特征有关的信息(在此示例中，用作表示 Data Subject身份的分离性的DDID)，并将合并的信息存储在该Data Subject的聚合数据配置文件中，直到由Data Subject或代表该主体做出决定为止不再保持匿名状态，此时，仅需要与一个或多个动作、活动、过程或特性相关的一个或多个所需方共享Data Subject聚合数据配置文件中的所需信息。在本发明的该示例性实施例中，这可能涉及Data Subject决定从Data Subject的聚合数据配置文件中作为 TDR向网站提供信息，该TDR反映了Data Subject过去在网站上的活动-都是在选举和控制下进行的DataSubject(或其他控制实体)。在本发明的上述示例性实施例中，代替使用由Data Subject访问的网站分配的cookie作为DDID，该系统可以替代地使用全局唯一标识符 (GUID)即在计算机软件中用作标识符的唯一参考编号)，或其他时间上唯一的，动态变化的代理解除标识符，无论是在本发明的实现内部还是外部创建的DDID。在上述示例中，由Data Subject进行的浏览活动所导致的数据收集的控制权将归属于Data Subject或其他控制实体，而不是Data Subject访问的网站。在本发明的其他示例性实施例中，网站(具有适当的权限和身份验证)可以请求，即“拉”相关信息，而不是由Data Subject决定何时从Data Subject的聚合数据配置文件中向网站发送(即“推送”)信息。和/或Data Subject的聚合数据配置文件中的相关DDID到Data Subject的关联信息，此时网站需要该信息。

在本发明的其他示例性实施例中，可以通过以下方式处理动态匿名和控制DataSubject的聚合数据配置文件的相关部分的发送的工作： DataSubject的客户端设备本身；上面提到的中央DynamicAnonymity 系统；或两者结合。例如，可以将特定DataSubject的信息和/或相关 DDID到DataSubject的关联信息的完整视图保留预定或灵活的时间，存储在DataSubject的客户端设备中，保留预定的或灵活的时间，然后再同步回中央DynamicAnonymity系统(以及与Data Subject可能已在中央匿名系统中注册的任何其他客户端设备同步)。

TDR和DDID可以包括用于跟踪和识别目的的多个抽象级别。根据本发明的一些实施例的系统可以存储TDR(由DDID值和与 DDID相关联的数据元素组成，如果有的话)以及关于每个DDID与特定Data Subject相关联的时间段的信息、主题、数据属性、动作、活动、过程或特征-从而允许TDR在以后的时间与特定的Data Subject、数据属性、动作、活动、过程或特征重新关联。通过参考和使用揭示各种DDID、Data Subject、数据属性、动作、活动、过程和 /或特征之间的关系的键，可以使用这样的系统来促进聚集数据配置文件的开发换句话说，如本文所述，通过使用TDR和/或DDID提供的“Dynamic Anonymity”可以使Data Subject从不断发展的技术进步中 (例如、物联网(IoT)、个性化医疗等)受益，而不必放弃隐私权、匿名性、安全性或控制权。这可以通过以下方式实现：(一)为Data Subject、动作、活动、过程和/或特征分配唯一的动态变化的DDID； (二)保留有关DDID与Data Subject、动作、活动、过程和/或特征的关联的信息；以及(三)为可能是受信任方/代理的Data Subject和 /或控制实体提供对访问/使用关联信息的确定性控制。通过使用动态可变的，时间上唯一的和可重新分配的DDID，当前的系统和进程(例如，网页浏览器和数据分析引擎)可能无法识别解除关联和/或替换的数据元素之间的关系。他们仍然可以使用现有功能来处理信息，但是将在不创建推断，关联，配置文件或结论的情况下进行处理(除非获得Data Subject和受信任方/代理的明确授权)。此外，本发明的实施例所采用的DDID可以在数据元素级别上被动态替换，从而实现 Dynamic Anonymity-不只是在Data Subject级别或数据记录级别。这意味着个人可以控制共享或访问哪些数据，从而实现动态取消标识，而无需“降低”基础信息的价值。

信息控制到数据元素级别使在大数据时代实现受控信息共享成为可能-超出了仅针对数据记录级别或Data Subject级别的控件的控制范围。它还可以使Data Subject与接收有关该Data Subject的信息的网站或其他实体之间实现“一劳永逸的关系”。随着时间的推移，大多数现有系统都会围绕唯一标识符收集信息。即使DDID带有一定数量的历史记录或与Data Subject有关的其他信息，Data Subject下次访问站点、商店、医生等时也是如此。如果需要，Data Subject看起来可能像完全不同的Data Subject。只有当DDID包含唯一标识符(例如名称或电子邮件地址)时，收件人才能将表示Data Subject的当时的 DDID与以前用于表示Data Subject的DDID相关联，此时收件人可以进行交互根据收件人在DataSubject上收集的数据与Data Subject 一起使用。但是，下次接收者遇到Data Subject时，除非Data Subject希望，否则将无法重新标识该Data Subject。

Dynamic Anonymity还通过为数据，身份(例如，通过混淆前述内容之间的联系，确定Data Subject和/或控制实体的名称和上下文 (例如、时间、目的、位置)。因此，DynamicAnonymity还可以撤消或撤销授予的权限或对数据的访问(例如，可以为特定的一方提供对DDID底层数据的访问权限，然后通过更改替换密钥撤消其访问权限)，以及数据的更新(即数据的值，不一定重新标识)以支持其他授权的二次使用而不会违反对Data Subject的承诺(例如，一个或多个DDID最初可能会通过一个或多个替换密钥提供对X射线结果的访问，并且通过更改替换密钥，随后可以反映X射线的结果以及后续的结果-在理疗上)。

在商业市场上仍然具有吸引力的原因是，公司通常实际上并不关心与之交互的DataSubject是谁(即他们的实际“真实世界”身份)；而是他们关心的是DataSubject是；Data Subject的行为；以及 DataSubject何时以这种方式行为。他们的定位越准确、浪费越少、匿名消费者对个性化产品做出的响应就越可能。因此，Dynamic Anonymity避免了公司跟随数字世界中的数据主体试图说服他们购买他们可能真正不需要或想要的产品和/或服务的需求。Dynamic Anonymity允许卖方和感兴趣的客户进行更有利的“匹配”。当前，许多公司可以做的最好的事情就是通过使用人口统计数据来“细分”潜在客户，但是他们可能不了解各个细分市场成员的实际利益。Dynamic Anonymity还通过提供“高度合格”的细分受众群成员的个性化表达/兴趣表达水平，从而改善了总体人口统计和统计数据。DynamicAnonymity使Data Subject能够根据其个人隐私/匿名性偏好直接或间接控制其数据使用的能力可以支持在不同司法管辖区中对数据的不同处理，尽管此类司法管辖区中的数据使用/隐私/匿名性要求不同。

在医疗保健，医疗相关和其他研究领域中，Dynamic Anonymity 将比通过使用防御性方法保护数据隐私/匿名性的传统“去识别”方法更具吸引力-例如将一系列掩蔽步骤应用于直接标识符(例如姓名、地址)，并将掩蔽和/或基于统计的操作应用于准标识符(例如年龄、性别、职业)，以减少未经授权的第三方重新识别的可能性。这种保护数据隐私/匿名性的防御方法导致在防止重新标识和保留对可用信息的访问之间进行权衡。相比之下，使用Dynamic Anonymity可以保留信息的价值，并可以将其用于授权目的，所有这些信息在统计学上均不具有重新识别任何基准的风险。DDID可以用来表示Data Subject之间的动作、活动、过程和/或特征，其含义可能会随时间而变化，从而需要当时最新的适当键来识别基础值。因此，Dynamic Anonymity拒绝了这样的主张和传统的二分法，即为了最大程度地降低/匿名丢失的风险，人们必须通过使其永远无法恢复来牺牲信息内容。取而代之的是，Dynamic Anonymity将隐私/匿名丢失的风险和丢失的信息量降到最低，从而使大多数(即使不是全部)信息可以恢复，但只能通过授权。

本发明的实施例使用的密钥可以根据相应的DDID的使用而变化。例如：时间键(“TKs”)可用于关联DDID与Data Subject、操作、活动、过程和/或特征之间的关联时间段，即TDR存在的时间段；关联密钥(“AK”)可用于显示两个或多个数据元素和/或TDR之间的关联，这些数据元素或TDR由于使用不同的DDID可能无法彼此区分；如果/当DDID用于替换TDR中的一个或多个数据属性时，可以使用替换密钥(“RKs”)，在这种情况下，可以参考查找表来确定替换的一个或多个数据属性的值TDR中包含的所述一个或多个DDID。

如果第三方拦截了与一个或多个Data Subject、动作、活动、过程和/或有关的信息，则无法访问适用的TK、AK和/或RK。特质，第三方将无法：(一)在本发明的关联功能的情况下，通过关联 DDID和相应的数据属性(它们一起包括TDR)来重新标识Data Subject；和/或(二)在本发明的替换功能的情况下，知道由DDID表示的数据元素的值，以便正确地理解该信息。相反，本发明的实施例可以使Data Subject或其他控制实体能够仅将那些数据属性(系统通过其跟踪/记录/记录功能将与该Data Subject有关的数据属性)发送给一个或多个期望的第三方系统)，这些内容与特定的动作、活动、过程或特质特别相关。

根据本文所述的各种实施例，以下术语也可以与匿名数据结合使用：

“A-DDID”或“Association DDID”：是指用于替换标识数据元素并取消引用(例如，指向)该数据元素的值的DDID，从而传达与 (数据元素及其值之间的关联或相关性)，以便以非识别方式(可选地，根据指定的分组规则)赋予信息值用于解决取消引用的索引可以包括但不限于键、模式转换表、匿名标识符、假名、令牌或其他表示。A-DDID的取消引用分组规则可以是(至少)两种分组：数字分组和分类分组。数字分组是指由A-DDID表示的数值范围。分类分组将“关联”(即两个或多个相关或互补项目)替换为A-DDID，这些A-DDID 被选择代表每个分组类别中的值之间的相关性。A-DDID取消引用规则也可能涵盖多个字段。例如，血液测试可以涵盖许多变量，从中可以推断出心脏病发作的风险，因此规则可以指定将心脏病发作的风险分配给特定类别(例如高、中或低)所需的各种组合。

“R-DDID”或“Replacement DDID”：是指可用于替换标识数据元素并取消引用(例如，指向)数据元素的值的DDID。

“镶嵌效应”是指通过使看似匿名的数据集之间和之间的数据相互关联来重新标识数据主体的能力。

本文公开了用于私人和安全管理和使用与一个或多个数据主体有关的信息的各种系统，方法和设备，所述Data Subject例如人、地方或事物以及相关的动作、活动、过程和/或特征。本文所述的系统，方法和设备可以通过将与数据有关的元素链接到独立属性或从属属性，将与数据有关的元素分成独立的属性或从属属性，来抽象化与Data Subject、动作、活动、过程和/或特征有关的数据。为了本公开的目的，属性是指可以独立地或与其他数据元素组合使用的任何数据元素，以直接或间接地标识Data Subject，例如人、地方或事物，以及相关联的动作、活动、流程和/或特征。应当注意，Data Subject可能具有该 DataSubject唯一的属性或属性组合：例如，单个Data Subject的社会保险号，以及该DataSubject与其他Data Subject共享的属性或属性组合：例如，某个Data Subject的性别或与政党的隶属关系。在某些情况下，属性可以是Data Subject或关联的动作、活动、过程和/或特征的电子或数字表示。类似地，属性可以是与Data Subject或相关联的动作、活动、过程和/或特征有关的信息或数据的电子或数字表示。分离、链接、组合、重新排列、定义、初始化或扩充属性，可以形成与任何特定Data Subject或一组Data Subject或相关动作、活动、过程和/或特征有关的属性组合。关于任何Data Subject、动作、活动、过程和/或特征，属性组合可以包括属性的任何组合，以及添加到属性或与属性组合的其他数据。还应注意，一个属性或数据属性的组合可以标识一个Data Subject，但它们本身不是Data Subject-由属性或数据属性组合标识的个人或法人实体可能是所述属性或数据属性组合的主题，并被视为与此相关的关联方，因为他/她/与该属性或实体有兴趣或关联数据属性的组合.另外，对于属性或数据属性的组合感兴趣或与之相关联的各方(通过属性或数据属性组合标识的DataSubject除外) 也可以被视为关联方。

在一些实施例中，可以使用客户端-服务器结构或体系结构来实现本公开的一个或多个特征或方面，无论是在企业内部还是企业内部、私有云或公共云中。混合云或前述的任意组合，由此在一个示例中，可以是虚拟、逻辑或物理的隐私服务器向一个或多个本身可以是虚拟，逻辑或虚拟客户端的隐私客户端提供功能和/或服务。这些隐私客户端可能驻留在数据主体设备上，服务提供商设备上，可以通过云网络访问并驻留在云网络中，或者与隐私服务器位于同一计算设备上，可以通过交互来发起对此类功能和/或服务的请求数据属性和/或数据属性与Data Subject的关联信息，这些信息存储在与隐私服务器关联的硬盘驱动器或其他存储元件上的数据库中。例如，响应于来自一个或多个隐私客户端的对功能和/或服务的请求，数据属性可以通过耦合到数据库的隐私服务器链接到独立属性或从属属性，或者分离为独立属性或从属属性。应当注意，本发明的实施方式可以将单个计算机或计算设备用作隐私服务器和隐私客户端，而其他实施方式可以将位于一个或多个位置的一个或多个计算机或计算设备用作隐私服务器和位于一个或多个位置的一台或多台计算机或计算设备作为隐私客户端。多个系统模块可以用于执行本文所述的特征、功能和过程中的一个或多个，例如但不限于：确定和修改属性组合所需的属性；分配DDID；跟踪 DDID的使用；过期或重新分配现有DDID；启用或提供与给定操作、活动、过程或特质相关或必要的数据关联。

在一个实施例中，这些模块可以包括隐私服务器的抽象模块，该模块被配置为除其他外：动态地将至少一个属性与至少一个Data Subject、动作、活动、过程和/或特征相关联；确定和修改与给定动作、活动、过程或特质相关或必需的必需属性；生成、存储和/或将DDID 分配给至少一个数据属性以形成TDR；并通过TDR的DDID组件为 TDR分配预定的到期时间。

这些系统模块，以及如果需要的话在此公开的其他模块，可以以由私密服务器计算机中的处理器或与私密服务器计算机通信的另一计算机中的处理器执行的程序代码来实现。程序代码可以存储在处理器可以访问的计算机可读介质上。该计算机可读介质可以是易失性或非易失性的，并且可以是可移动的或不可移动的。该计算机可读介质可以是但不限于RAM、ROM、固态存储技术、可擦可编程ROM (“EPROM”)、电可擦可编程ROM(“EEPROM”)、CD-ROM、 DVD、磁带、磁盘存储或其他磁性或光学存储设备。在某些实施例中，隐私客户端可以驻留在“智能”设备(例如，可穿戴，可移动或不可移动电子设备中，通常通过诸如蓝牙、NFC、WiFi、3G等不同协议连接到其他设备或网络)上或在其中使用，可以在某种程度上交互式和自主地运行，智能手机，平板电脑，笔记本电脑和台式计算机以及隐私客户端可以与一台或多台隐私服务器通信，这些服务器处理并响应来自隐私客户端的信息请求，例如有关数据属性，属性组合和/或数据属性对请求的请求Data Subject关联。

在本发明的一种实现中，与属性和属性组合相关联的DDID可以在范围和持续时间上受到限制。此外，DDID可以重新分配，以使 DDID可以引用多个Data Subject或在不同时间点的多个动作、活动、过程或特质。

DDID可以在可配置的基础上重新分配，以便在保持TDR及其包含的数据的及时性和显着性的同时，进一步抽象和稀释或衰减数据迹线。在一个示例中，除了存储，传输或处理与Data Subject有关的所有数据属性和/或与给定动作、活动、过程或特质相关或对于给定动作、活动、过程或特质必要的所有数据属性，本发明的实施例可以引入抽象的初始层通过关联函数，例如通过在每个TDR中仅包括一部分相关数据属性。这样，与Data Subject有关的数据属性可以在看似不相关的TDR中分离，这样就需要访问和使用一个或多个AK，以便知道哪些两个或多个TDR必须按顺序彼此关联，共同包含与数据主体有关的所有数据属性和/或与给定操作、活动、过程或特质相关或必需的所有数据属性。TDR中包含或引用的数据属性的隐私，匿名性和安全性可以通过替换功能来进一步改善或增强，例如，通过用DDID替换一个或多个TDR中包含的一个或多个所述数据属性，以便进行访问。为了使用查找表来确定由所述一个或多个DDID代替的一个或多个数据元素的值，必须使用一个或多个RK。通过使用其他已知的保护技术，例如加密，标记化、假名化、隐藏和/或其他方式；和/或通过引入其他保护层，可以进一步改善或增强TDR中包含或引用的数据属性的隐私，匿名性和安全性，通过将密钥替换为第二级或n级DDID进行抽象。

在以下两种情况下：取消与Data Subject、动作、活动、过程和/ 或特征有关的数据属性的关联，从而需要AK；并且替换与Data Subject、动作、活动有关的数据属性、进程和/或特征，以便需要RK，可以根据与所讨论的数据属性或属性相关联的DDID的更改方式和/或更改频率，来提高隐私，匿名性和安全性的有效级别。在本发明的一个示例性实施例中，可以出于分离和/或替换的目的DDID，并且保留其初始分配的值(即永久分配)。在本发明的另一个示例性实施例中， DDID可以出于解除关联和/或替换的目的而被分配，并且保留其初始分配的值，直到该值在临时基础上被改变，即“临时改变性”。在本发明的又一示例性实施例中，DDID可以出于解除关联和/或替换的目的而被分配，并保留其初始分配的值，直到基于随机，固定，可变或其他动态基础改变值为止，即“动态可变性”。

本发明的实施例可以通过替换系统内对可以与本发明的一个或多个实施例集成或通信的外部网络，因特网、内联网和/或计算设备的标识引用来创建附加的抽象层。具有DDID的发明，因此必须有一个或多个RK和/或AK才能访问和使用查找表来确定被所述的一个或多个外部网络，Internet，Intranet和/或计算设备标识一个或多个DDID。

由于与数据属性或属性组合配对的DDID的可变，时间上唯一和可重新分配的特征以创建TDR，因此TDR的接收者可以在预期的时间专门使用TDR中包含的信息。这是由于以下事实：关联密钥(可能需要将TDR缝合在一起才能理解看似不相关的TDR中包含的信息) 和/或替换密钥(可能需要知道临时唯一DDID表示的信息的值)(作为TDR的一部分发送给第三方)可能仅在时间上有限。换句话说，该实用性在时间上受到限制，因为当预期目的和/或预期时间不再适用时， Data Subject或其他控制方可能会更改TDR的DDID组件，而AK和 /或RK不能不再透露相关信息。相反，借助AK和/或RK揭示的相关信息可能会随时间变化以支持数据的其他二次使用。

在一个示例中，维护模块可以被用于在与隐私服务器相关联的安全数据库中的TDR中存储关于在特定DDID的任何特定时间点处具有特定属性组合的关联的信息，该安全数据库与隐私服务器相关联并且可被隐私服务器访问。系统，但不能由控制实体以外的其他方访问，也不能由控制实体授权的方访问(此关联时间段可以用时间键(TK) 或其他方式表示)。在一示例中，隐私服务器和相关联的数据库的维护模块可以存储并保持DDID与属性组合的所有关联。因此，该系统提供安全的数据交换以及数据属性，属性组合和TDR的不可否认性，以便在满足严格的隐私，匿名性和安全性标准的同时，促进与数据相关的更安全的收集，使用，研究和/或分析。

在一个示例中，隐私服务器和相关联的数据库的验证模块可以提供经认证的数据结构，该结构允许对聚合数据配置文件，数据属性中包含的信息和/或DDID的完整性进行验证和验证。通过循环冗余校验 (”CRC”)，消息身份验证代码，数字水印，基于链接的时间戳或类似方法之类的方法在任何时间点对属性组合和/或TDR进行属性设置

在另一个示例中，本发明的实施例的认证模块可以用于匿名地验证在特定时间针对Data Subject、动作、活动、过程或特性进行处理的权限。和/或通过TDR分配。具有TDR信息的隐私客户端可以请求身份验证模块(在一个示例中是隐私服务器的一部分)进行确认，以确认是否授权TDR(以及未公开的Data Subject，数据属性或与之关联的属性组合)参与在特定时间和/或地点的请求动作、活动、过程或特质。在一个实施例中，认证模块可以将TDR中包括的DDID与授权的DDID的列表进行比较，以确定针对在指定的时间和/或地点的期望的动作、活动、过程或特质参与的授权状态。可选地，认证模块可以通过DDID确认或其他确认技术(例如密码确认)，请求拥有TDR的一方在指定的时间和/或地点，确认其有权参与到有关指定的行为、活动、过程或特质方面或多因素身份验证。在一个示例中，如果提出了可选的授权请求，则仅当该方被授权时，该过程才继续。认证模块可以经由隐私客户端将授权状态信息发送给控制TDR的一方，并且授权状态可以用于允许或拒绝在指定的时间和/或地点针对期望的动作、活动、过程或特质进行。

TDR中包含的TDR和/或DDID也可以用作已知保护技术的高级密钥，所述保护技术诸如加密、标记化、假名化、省略或其他方式。证模块可用于保留解锁TDR内容的保护技术(例如加密，标记化，假名化，隐藏或其他方式)所需的密钥，除非TDR、DDID、未公开的关联Data Subject、属性、属性组合或相关内容通过DDID和/或 TDR确认以及已知的确认技术(例如密码确认，多因素身份验证或类似方式)，确认一方在指定的时间和/或地点被授权参加所需的动作、活动、过程或特质。

在另一示例中，可以提供访问日志模块，其中，在系统或隐私服务器错误和/或滥用的情况下，访问日志模块可以收集和存储信息以启用事件后取证分析。

根据本发明的一个实施例的一个方面，本文公开了一种提供电子信息的受控分发的计算机实现的方法。在一个示例中，该方法可以包括以下步骤或操作：在计算设备上接收数据；识别数据的一个或多个属性；通过计算设备选择DDID；将所选的DDID与一个或多个数据属性相关联；并至少从所选的DDID和一个或多个数据属性中创建时间上唯一的数据表示(TDR)。

在一个示例中，选择DDID的步骤可以包括：生成时间上唯一的，动态改变的DDID；或者，在另一示例中，接受或修改在系统外部创建的时间上唯一的，动态改变的值以用作DDID。

出于此目的，短语“动态改变”是指相对于数据主体，动作、活动、过程或特性分配的DDID：(一)由于(i)预定量的通过而随时间而变化，(ii)经过一段灵活的时间，(iii)DDID的创建目的已到期，或(iv) 与数据主体、动作、活动、过程或特征相关联的虚拟或现实位置的变化；或(二)相对于相同或相似的数据主体、操作、活动、过程或特征，在不同时间(即在不同时间未使用相同的DDID)有所不同。

出于本文的目的，短语“暂时唯一”是指将DDID分配给数据主体、动作、活动、过程或特质的时间段不是无限的。DDID对数据主体、动作、活动、过程或特征的初始分配在某个时间点开始，并且有关分配时间的信息是已知的，并且在本发明的某些实现中，可以用于标识关系DDID与所述数据主体、动作、活动、过程或特征之间的联系。如果将DDID分配给数据主体、动作、活动、过程或特征的时间段在离散的时间点结束，则关于分配终止时间的信息是已知的，并且在本发明的某些实现中，可以是用于识别DDID与所述数据主体、动作、活动、过程或特征之间的关系或联系。

出于本文的目的，术语“策略”可以表示但不限于以编程方式对数据集实施数学、逻辑、采样或其他功能的一种或多种方法(例如任意数量的维度的数据集)，该方法等于或大于用于启用的实施机制任何增强隐私的技术(“PET”)，包括但不限于公钥加密、k-匿名性、l-多样性、引入“噪声”、差分隐私、同态加密、数字版权管理、身份管理、抑制和/或按行、按列、按任何其他维度、由维度的任何组合、由离散单元、通过离散单元的任何组合以及通过行、列和离散单元的任何组合或其任何部分来概括某些数据。

出于此目的，术语“Non-Attributing Data Element Value”(NADEV)可能表示但不限于：重新标识A-DDID时显示的值，或者如果要重新标识给定A-DDID时将显示的值。可以通过创建数据集的一个或多个元素的派生或相关版本或子集来生成NADEV，以反映一个或多个PET的应用或对数据集的其他隐私和/或安全增强方法，以限制对所有对象的访问数据集或至少数据集的选定部分。例如，假设数据集包含数据对象的心率值每分钟65次，则该数据的值可以概括为两个NADEV，例如，一个指定“每分钟61-70次心跳的范围”以及一个简单地指定为“正常”的信号-每个NADEV都可以独立和独立地抑制或显示，而不会透露每分钟65次心跳的真实数据值，也不会透露数据主体的身份。

在另一示例中，该方法还可以包括使所选择的DDID与一个或多个数据属性之间的关联终止。在又一个示例中，该方法可以包括：在关于计算设备可访问的数据库中，存储关于通过时间键(TK)或其他方式将所选择的DDID与不同数据属性或属性组合相关联的时间段的信息。

在另一实施例中，该方法还可包括在DDID与一个或多个初始数据属性之间的关联期满之后，将所选的DDID与一个或多个其他数据属性或属性组合重新关联。

在一个示例中，DDID的到期发生在预定时间，或者该到期可以在预定事件、目的或活动完成之后发生。在另一个示例中，DDID可以仅在给定时间段内和/或在预定位置被授权使用。

在另一示例中，该方法可以包括改变与一个或多个数据属性，属性组合和/或TDR相关联的DDID，其中改变DDID可以随机地或按计划地发生，或者可以在改变之后发生。完成预定活动目的和/或事件。

根据本发明的另一个实施例的另一方面，本文公开了一种用于促进网络上的交易的方法，其中，该方法可以包括在隐私服务器处从客户端设备接收请求以通过网络进行活动的操作；确定数据库中多个数据属性或属性组合中的哪一个是完成请求的活动所必需的；创建或接受DDID；将DDID与确定的数据属性相关联以创建组合的时间唯一数据表示(TDR)；使组合的时间唯一数据表示(TDR)可被至少一个网络设备访问以进行或发起请求活动；接收修改后的时间唯一数据表示(TDR)，其中包括与执行的活动有关的其他信息；将修改后的时间唯一数据表示(TDR)和/或DDID-Data Subject的关联信息存储在内存数据库中。

在一个示例中，至少一个网络设备可以包括互联网服务提供商，由商人或服务提供商运营的服务器，由移动平台提供商运营的服务器或云计算环境中的服务器。

根据本发明的另一个实施例的另一方面，本文公开了一种提供电子信息的受控分发的方法。在一示例中，该方法可以包括在隐私服务器处接收请求以通过网络进行活动；选择确定为满足请求所必需的，位于隐私服务器可访问的数据库中的数据的属性，其中未选择未确定为必需的数据的其他属性；向隐私服务器的抽象模块分配或接受 DDID对所选属性和/或它们所应用的属性组合的分配或接受，其中 DDID不显示未选择的属性；记录分配DDID的时间；接收到指示所请求的活动已完成的指示；在隐私服务器处接收DDID以及所确定的属性和/或它们所应用的属性组合，其中，属性被修改为包括与所进行的活动有关的信息；并且记录所进行的活动完成的时间，并且在隐私服务器处接收到DDID以及所确定的属性和/或它们所应用的属性组合。

在一个示例中，该方法还可以包括将附加的DDID分配给TDR 内包含的一个或多个所选数据属性和/或属性组合。在另一示例中，该方法可以包括：使用反映所记录的时间的时间键(TK)，将DDID和数据属性与数据属性，属性组合或Data Subject的真实身份进行重新关联。该方法还可以包括将DDID重新分配给其他数据属性，以及记录DDID被重新分配的时间。

根据本发明的另一个实施例的另一方面，本文公开了一种计算机实现的改善数据安全性的方法，其中，所述数据包括至少一个属性。在一个示例中，该方法可以包括将至少一个属性与DDID相关联以创建时间上唯一的数据表示(TDR)；其中，时间唯一数据表示(TDR) 将对数据属性的访问限制为仅执行给定动作所必需的那些属性，例如完成从在线网站上的商品购买。

在一个示例中，该方法可以包括：将关联密钥(AK)分配给时间唯一数据表示(TDR)，其中，对于授权访问时间唯一数据表示 (TDR)，需要访问关联密钥(AK)。

在另一示例中，该方法还可以包括使DDID与至少一个属性之间的关联到期，其中，到期在预定时间发生和/或到期可以在预定事件完成之后发生，和/或活动。在另一实施例中，该方法可以包括在DDID 和至少一个属性之间的关联期满之后，将DDID与至少一个不同的属性重新关联。该方法还可以包括在数据库中存储与一个或多个时间段有关的信息，在该时间段中，DDID与不同的数据属性或由适用的时间键(TK)反映的属性的组合相关联。

根据本发明的另一个实施例的另一方面，本文公开了一种用于提高电子数据安全性的系统。在一个示例中，该系统可以包括被配置为将至少一个属性与至少一个DataSubject、动作、活动、过程和/或特征动态关联的模块；模块被配置为生成或接受DDID，并且进一步被配置为将DDID与所述至少一个数据属性相关联；模块配置为跟踪与 DDID相关的活动，并配置为将由该活动生成的任何其他电子数据与 DDID相关联；以及用于存储DDID，跟踪的活动以及使用DDID进行跟踪的活动的时间段的模块。

根据本发明的另一个实施例的另一方面，本文公开了一种用于通过网络进行安全的私有活动的设备。在一个示例中，该设备可以包括处理器，该处理器被配置为执行程序模块，其中该程序模块至少包括隐私客户端；连接到该处理器的存储器；以及用于通过网络接收数据的通信接口；其中，所述隐私客户端被配置为从隐私服务器接收时间唯一的数据表示(TDR)，所述TDR包括DDID和在网络上进行活动所必需的相关联的数据属性。

在一个示例中，隐私客户端可以进一步被配置为捕获使用该设备进行的活动，并且将所进行的活动与时间上唯一的数据表示(TDR) 相关。在另一个示例中，隐私客户端可以被配置为将捕获的活动和时间上唯一的数据表示(TDR)传输到隐私服务器。在一个示例中，隐私客户端可以作为移动应用驻留在移动设备上。在另一个示例中，隐私客户端可以作为基于云的应用程序驻留在网络中并可以通过网络访问。在另一个示例中，隐私客户端可以作为本地应用程序驻留在一个或多个隐私服务器所驻留的同一计算设备上。

在另一个示例中，该设备还可以包括移动设备上的地理位置模块，其中使用来自地理位置模块的信息来修改时间唯一数据表示(TDR)，并且其中时间唯一数据表示(TDR)限制访问有关设备身份的信息。该设备还可包括用户界面，该用户界面被配置为允许用户修改时间唯一数据表示(TDR)，包括改变与特定时间唯一数据表示(TDR)相关联的DDID或数据属性的选项。用户界面可以包括用于仅与在与移动设备的预定物理，虚拟或逻辑接近范围内的其他网络设备共享时间唯一数据表示(TDR)的可选选项。

在另一个示例中，设备可以响应于共享的时间唯一性表示 (TDR)，基于移动设备的物理，虚拟或逻辑位置接收目标广告或营销信息，其中共享的时间唯一性数据在一个示例中，表示(TDR)可以包括人口统计信息、时间信息、地理位置信息、心理信息和/或与移动设备的用户有关的其他形式的信息。在另一示例中，共享的时间上唯一的数据表示(TDR)可以包括与使用移动设备进行的或期望进行的购买交易有关的信息，并且还包括基于先前或期望的购买交易来接收目标广告或营销信息。这样，供应商几乎可以立即了解附近用户和潜在客户的相关特征-不知道或不了解此类用户的身份-以便卖方可以实时地为附近用户和潜在客户的利益量身定制产品和服务，而不会损害用户/潜在客户的隐私/匿名性。

根据本发明的另一个实施例的另一方面，本文公开了一种用于提供电子数据隐私和匿名性的系统在一个示例中，系统可以包括至少一个用户设备，该用户设备具有在该用户设备上操作的第一隐私客户端；至少一个具有第二隐私客户端在该服务提供商设备上运行的服务提供商设备；至少一个与网络连接的隐私服务器，该隐私服务器与第一和第二隐私客户端进行通信；其中，隐私服务器包括抽象模块，该抽象模块以电子方式链接数据属性和属性组合并分离数据属性和属性组合，并且抽象模块将DDID与数据属性和/或属性组合相关联。

在一个示例中，隐私服务器可以包括生成和/或接受一个或多个所述DDID的认证模块。在另一个示例中，隐私服务器可以包括维护模块，该维护模块存储DDID及其组合的数据属性和/或属性组合的组合。在另一个示例中，隐私服务器可以包括验证模块，该验证模块验证数据属性，属性组合和DDID的完整性。

在另一示例中，隐私服务器可以包括访问日志模块，该访问日志模块收集和存储与DDID和数据属性有关的信息，以在一个或多个错误的情况下用于一个或多个事件后取证分析。

在一个示例中，DDID在预定时间之后到期，并且在DDID到期之后，抽象模块将DDID分配给另一数据属性和/或另一Data Subject。

根据本发明的另一个实施例的另一方面，本文公开了用于以下目的的方法，计算机可读介质和系统：(一)通过针对给定数据集中的至少一个维度或所述维度之一的子集的至少一个技术(在相同或不同的时间)强制实施一项或多项策略，来转换多维数据集；(二)转换小节中的数据集(i)在原始转换之前，之中或之后的时间进行上述操作，例如，通过创建一个或多个A-DDID；(三)使用Just-In-Time-Identity (JITI)或其他类型的基于访问控制的密钥在技术上实施策略，以限制对全部或部分数据集的访问；(四)应用参数或非参数技术和/或数学方法以使变换后的数据集中的信息能够根据各种适合行业或与行业相关的价值指标进行排名或评级；(五)将一个或多个隐私策略实施到一个或多个单独的数据“单元”；和/或(六)使电子市场能够进行策略的购买、出售、许可和/或其他交易，其中可以根据对数据集提供匿名化的有效性的定量和/或定性度量来对此类策略进行排名或评级。

根据本发明的另一个实施例的另一方面，本文公开了用于使用人工智能算法来分析数据集的图式、元数据、结构等以确定算法的方法，计算机可读介质和系统，可能用来掩盖、概括或以其他方式转换数据集以符合预定隐私策略的操作

根据本发明另一个实施例的另一方面，本文公开了用于提供“作为服务”的隐私策略的方法，计算机可读介质和系统，例如，通过网络或通过一个应用程序，向一个或多个用户提供帮助，以便通过有助于释放数据全部价值的方式(即通过更多地使用数据)帮助遵守法规和/ 或合同限制同时增强数据安全性和隐私性。

根据本发明另一个实施例的另一方面，本文公开了用于向以分散方式存储的用户信息提供电子数据隐私和匿名的方法，计算机可读介质和系统，例如e.g.，跨无许可系统或使用不可变和可验证的分布式分类帐技术，例如blockchain。

在此描述了本公开的其他实施例。从以下如附图所示的实施例的更具体描述，本公开的各个实施例的特征，效用和优点将显而易见。

附图说明

图1示出了根据本发明的一个实施例的包括隐私服务器的系统的框图的示例。

图1A示出了根据本发明的一个实施例的包括隐私服务器的系统的框图的示例，其中将本发明提供为与外部数据库交互的服务。

图1B示出了根据本发明的不同实施例的关于数据属性和/或属性组合可以发生的DDID的分配、应用、到期和再循环的不同方式。

图1C-1从受信方的角度说明了包括隐私服务器的系统的潜在输入和输出流程，这是根据本发明的一个实施例的。

图1C-2根据本发明的一个实施例，从DataSubject的角度示出了包括隐私服务器的系统的潜在输入和输出流。

图1D示出了根据本发明的一个实施例的结合网络血压监测器使用DDID的示例。

图1E示出了根据本发明的一个实施例的在服务患有性传播疾病 (STD)的患者中使用DDID的示例。

图1F示出了根据本发明的一个实施例的与提供优惠券有关的 DDID的使用的示例。

图1G示出了根据本发明的一个实施例的与查看血压水平的医生结合使用DDID的示例。

图1H示出了根据本发明的一个实施例的使用DDID在连接教育相关信息中实现动态数据混淆的示例。

图1I示出了根据本发明的一个实施例的执行解除关联水平确定 (DLD)和创建匿名性测量分数(AMS)的过程的示例。

图1J示出了根据本发明的一个实施例的示例性计算的匿名性测量分数。

图1K示出了根据本发明的一个实施例的Data Subject对于某些计算出的匿名性测量分数所要求的同意/参与水平的示例性类别。

图1L示出了根据本发明一个实施例的在紧急响应区域中使用 DDID的示例。

图1M示出了根据本发明的一个实施例的使用具有Just-In-Time- Identity(JITI)的安全性和隐私的示例。

图1N示出了根据本发明的一个实施例的使用启用了Just-In- Time-Identity(JITI)的安全性和隐私的示例。

图1P-1示出了使用静态匿名标识符的示例。

图1P-2示出了根据本发明的一个实施例的使用启用Just-In- Time-Identity(JITI)的安全性和隐私的示例。

图1Q示出了根据本发明的一个实施例的在医疗服务环境中使用启用Just-In-Time-Identity(JITI)的安全性和隐私的示例。

图1R示出了根据本发明的一个实施例的用于实现启用Just-In- Time-Identity(JITI)的安全性和隐私的系统的示例。

图1S示出了根据本发明的一个实施例的，用于实现启用Just-In- Time-Identity(JITI)的安全性和隐私以支持OpenHealthPlatform (OH)的系统的示例。

图IT示出了根据本发明的一个实施例的用于实现数据去风险策略管理和访问控制的系统的示例。

图1U示出了根据本发明的一个实施例的各种数据去风险方案的示例。

图1V示出了根据本发明的一个实施例的用于可供购买的各种数据去风险策略的市场的示例。

图1W-1示出了根据本发明的一个实施例的智能策略遵从引擎的示例。

图1W-2示出了根据本发明的一个实施例的使用智能策略遵从引擎的示例性流程图。

图1X-1示出了用于通过垫片提供数据隐私服务的示例性系统。

图1X-2示出了用于通过来自网络浏览器，设备或其他传感器的在线服务来提供数据隐私服务的示例性系统。

图1Y-1示出了用于提供用于去识别数据的系统的基于云的平台和应用。

图1Y-2示出了基于云的平台和应用程序，用于提供重新识别已经被去识别的数据的系统。

图1Y-3说明了基于云的平台和应用程序，用于提供与提取，转换和加载(ETL)应用程序集成的系统。

图1Z-1示出了根据一个或多个实施例的基于blockchain的技术构建的分散网络，其中可以采用匿名隐私控制。

图1Z-2示出了根据一个或多个实施例的基于blockchain的技术构建的去中心化网络

图1Z-3示出了根据一个或多个实施例的基于blockchain的技术构建的去中心化网络，其中可以采用匿名隐私控制。

图2-4示出了根据本发明的一个实施例的TDR的产生和使用的示例。

图5示出了根据本发明的一个实施例的借助于系统的关联函数和替换函数具有不同抽象级别的两个示例属性组合。

图6示出了一个过程的示例(从示例控制实体和系统的角度来看)，该过程用于选择属性组合，生成TDR以抽象或匿名化数据，然后根据数据重新关联或取消匿名本发明的一种实施方式。

图6A示出了根据本发明的一个实施例((从示例控制实体和系统的角度来看)，从一个或多个外部数据库接收属性，生成TDR以抽象或匿名化数据，然后重新关联或去匿名化数据的过程的示例。

图6B示出了为包含在一个或多个数据库中的数据元素提供动态匿名性的过程的示例(从示例控制实体和系统的角度来看)，该一个或多个数据库被认为过于敏感而无法以组织外部的可识别方式被揭示。

图7示出了根据本发明的一个实施例的图6的过程的过程的示例 (从接收者实体的角度)。

图8示出了根据本发明的一个实施例的用于验证权限的过程的示例。

图9示出了根据本发明的一个实施例的，除非经过验证就扣留密钥保护信息的过程的示例。

图10示出了根据本发明的一个实施例的用于以匿名方式分析关联方的利益的过程的示例。

图11-18示出了根据本发明的一个实施例的在关联方，服务提供商和隐私服务器之间的交互的各种示例，包括生成、发送和跟踪的 DDID和属性组合。

图19示出了根据本发明的一个实施例的多个服务提供商可访问的属性组合的示例，以及由每个服务提供商重新发送回隐私服务器的属性组合的示例。

图20根据本发明的一个实施例，示出了关联方可访问的数据，该数据包括发送到服务提供商并从服务提供商重传的所有属性组合。

图21和22示出了根据本发明的一个实施例的充当控制实体并向各种卖方提供信息的服务提供商如何可以仅向每个卖方提供执行分配给它的服务所必需的那些属性组合。

图23示出了根据本发明的一个实施例的在互联网广告领域中的 DDID的实现的示例。

图24-25示出了根据本发明的一个实施例的在医疗保健领域中 DDID的实现的示例。

图26示出了根据本发明的一个实施例的在移动通信领域中的 DDID的实现的示例。

图27示出了根据本发明的一个实施例的用于实现用于动态创建、分配、改变、重新分配以及使用动态可改变的，时间上唯一的标识符 (DDID)的技术的可编程设备的示例的框图。

图28示出了框图，该框图示出了根据本发明的一个实施例的用于实现用于动态创建、分配、改变、重新分配和使用DDID的技术的隐私客户端网络和隐私服务器。

具体实施方式

本文公开了用于私人和安全管理和使用与一个或多个Data Subject有关的信息的各种系统、方法和设备，例如人员、地点或事物、和/或相关的动作、活动、过程和/或特征。本文所述的系统，方法和设备通过将与Data Subject和/或相关联的动作、活动、过程和/或特征有关的数据链接到独立的对象，来抽象化与Data Subject和/或相关联的动作、活动、过程和/或特征有关的数据属性和/或从属属性，并将与 Data Subject和/或关联的动作、活动、过程和/或特征有关的元素分离为独立的属性和/或从属属性。然后可以将DDID与选择数据属性或选择属性组合相关联，从而创建TDR。以这种方式，本发明的实施例可以用于为Data Subject提供数据安全性、隐私性、匿名性和准确性，如例如人员、地点或事物和/或相关的动作、活动、过程和/或特征，即使对于分散式存储系统中存储的数据，例如以blockchain技术提供的不可变、可验证和分布式分类帐的形式。本文公开了本发明的各种实施方式。

Dynamic Anonymity/信任圈(CoT)

Dynamic Anonymity前提是静态匿名是一种错觉，并且使用静态标识符从根本上来说是有缺陷的。系统在各个阶段对数据流元素动态分段并将可重新分配的动态反标识符(DDID)应用到数据流元素(注意：虽然动态细分可能包含时间流逝，但更有可能由活动、位置和/或主题决定)从而最大程度地减少了信息在运输，使用或休息时无意间共享的风险，同时又保持了受信方的能力-而且没有其他-重新拼接数据流元素。

明文主键可以在信任圈内内部使用(“CoT”)如图1C-1所示，以标识Data Subject、动作、活动、过程和/或特征；然而，这些密钥可能无法在“信任圈”之外共享。相反，DynamicAnonymity使用在信任圈外的动态更改和可重新分配的复合密钥，该密钥可能包括：(一)DDID；以及(二)DDID与Data Subject、操作、活动、过程和/或特征相关联的时间段/目的)。关于此关联的信息可能无法在“信任圈”之外获得(如果表示与一个或多个Data Subject、动作、活动、过程和/ 或特征的连接的DDID不包含导致该一个或多个Data Subject、动作、活动、过程或特征的可恢复信息，则它可能是不可重构的。

Dynamic Anonymity增强了分布式平台/零散生态系统中的隐私，匿名性和个人数据保护功能，同时根据数据主体或代表Data Subject 制定的策略提供对数据的高级访问和使用。这样，所有人-包括那些选择使用封闭式或分布式系统的人)都将从增强的数据隐私和匿名性中受益。

Dynamic Anonymity在不修改现有业务和技术实践的情况下立即提供了一定的收益。通过使用动态变化的和时间上唯一的DDID，当前的系统和过程(例如，网络浏览器和数据分析引擎)可能无法识别数据元素之间和之间的关系。这些系统和流程可以使用现有功能来处理信息，而无需创建推断、相关性、配置文件或结论，除非Data Subject和受信方/代理通过信任圈(CoT)明确授权。然而，利用 DDID、Dynamic Anonymity和/或信任圈(CoT)的特定属性和功能的新业务和技术实践将带来更多的显着优势。

Dynamic Anonymity在数据处理的四个不同点提供好处：

A.数据采集；

B.数据传输/存储；

C.数据分析；以及

D.数据隐私/匿名控制。

在每一点上，数据将根据PERMS与该数据有关的Data Subject指定的或代表其的数据保护。

A.数据采集

在静态标识符通常与数据主体有关的数据的捕获相关联的应用中， DynamicAnonymity可提供：

1.动态反标识符(或DDID)随时间变化(由时间的流逝，目的的改变，活动的暂时停止或虚拟或物理位置的改变触发)，从而限制了跟踪，分析数据或将数据与数据关联的DataSubject、动作、活动、过程和/或特征.

2.每个DDID与仅在适用的信任圈(CoT)内存储和已知的适用的一个或多个DataSubject、操作、活动、过程和/或特征的关联。

3.Dynamic Anonymity还提供了在CoT中存储与DDID相关联的数据的可选功能。

Dynamic Anonymity的关键特征是能够在数据元素级别而非数据记录级别对数据元素进行匿名和隔离-即，在与Data Subject、动作、活动、过程和/或特征相关的单个数据元素的级别上，而不是代表与 Data Subject、动作、活动、过程和/或有关的全部或大部分信息的数据元素特征。信任圈保留数据元素与Data Subject、动作、活动、过程和/或特征之间的关系信息，以允许根据Data Subject和/或代表数据主体建立的隐私/匿名策略和/或规则进行重新关联(有时在本文中称为PERMS)。

示例：搜索引擎

考虑经常使用特定搜索引擎的人。目前，搜索引擎为该人(通过他们的浏览器)分配了一个持续数月或数年的“cookie”或其他数字足迹跟踪器，然后不断累积观察数据(例如搜索字词，点击的链接，位置数据)，并很可能由多方进行分析和进一步汇总-通常会在未经Data Subject同意的情况下泄露个人身份信息。

Dynamic Anonymity可以利用搜索引擎的自然响应为每个第一次与搜索引擎进行交互的DataSubject创建一个新的cookie/数字足迹跟踪器。清除历史记录、缓存、Cookie/数字足迹跟踪器以及相关数据将使搜索引擎为Data Subject生成新的Cookie/数字足迹跟踪器。信任圈(CoT)可以存储与Cookie/数字足迹跟踪器与Data Subject的关联有关的信息，还可以选择存储查询列表和所选链接。

通过这种方法，搜索引擎仍然可以访问聚合数据-热门搜寻字词、热门网站、广告点击等-但将无法根据观察数据得出与Data Subject 相关的推论。如果/经Data Subject和/或代表数据主体建立的隐私/匿名政策和/或规则授权，CoT可以使搜索引擎执行更详细的分析。这可以使用HTTP代理或浏览器扩展来实现，而无需修改(或与现有搜索引擎合作)。

过去，匿名跟踪cookie被认为已经解决了如何同时支持隐私和分析的问题。但是，匿名跟踪cookie未能实现此目标，因为所有数据都存储在一起并与随机静态标识符关联，这使得生成链接到或可链接到 Data Subject(“个人数据”或“PD”)的信息太容易了，从而使静态“匿名”标识符的值无效或减弱。Dynamic Anonymity通过采用动态更改和可重新分配的DDID，在信任圈中存储生成的DDID关联和隐藏密钥，并提供一种独特的交互模型，使Data Subject与受信任方/第三方参与者之间能够参与，从而克服了这些缺点。

B.数据传输/存储

CoT由一个或多个受信方组成，每个受信方都可以提供一个或多个独立的数据存储设施，以及将敏感数据分段并将其传输到这些数据存储的安全方法。

或者，符合DynamicAnonymity要求的应用程序开发人员可以选择仅将DataSubject与DDID关联存储在CoT中，而是使用Dynamic Anonymity定义的过程来掩盖，加密和/或分段数据(或为此类过程使用启用了Dynamic Anonymity的工具箱)；允许应用程序在其自己的设施中安全地存储生成或收集的信息，而不会丢失上下文或业务价值。

过去，已经采用了与本发明所采用的技术类似的技术来：

-细分数据；

-传输期间加密和混淆数据；以及

-在存储过程中采用分发，混淆和安全性.

然而，Dynamic Anonymity通过以下方式改进了这些先前的方法：

-使用动态更改和可重新分配的DDID在数据元素(相对于数据记录) 级别隐藏数据；

-在信任圈内存储生成的DDID关联/遮盖密钥；以及

-提供独特的交互模型，以使DataSubject与受信任方/第三方参与者之间能够参与。

C.数据分析

用于数据“清理”的传统技术(也称为数据清理和数据清理)自相矛盾地遭受两个不同且相反的问题。

1.给定的数据清除技术可能根本无效。尽管进行了认真的努力，甚至使用了法律认可的技术来掩盖个人数据，但仍然有可能从“清理过的”数据中识别出Data Subject和个人数据。三个著名的例子：

a.在1990年代中期，马萨诸塞州团体保险委员会(GIC)发布了州雇员个人医院访问的数据，以帮助进行重要的研究。当时是麻省理工学院研究生的拉坦亚·斯威尼购买了剑桥选民的登记记录，并且通过链接两个完全无害的数据集，她得以重新确定当时的马萨诸塞州州长比尔·韦尔德的GIC条目，尽管事实是它已被“匿名化”，并删除了所有明显的标识符，例如姓名、地址和社会保险号。

b.2006年，当时的得克萨斯大学奥斯汀分校研究生阿文德·纳拉亚南和他的顾问一起表明，通过将“匿名”的Netflix数据集链接到互联网电影数据库(IMDb)，在该数据库中，观众通常以自己的名字观看电影，许多Netflix用户可能会被重新识别。

c.2013年，由怀特黑德生物医学研究所的亚尼夫·埃利希博士领导的团队重新鉴定了参加1000基因组计划的男性-一个国际财团，在一个开放的在线数据库中，将“不明身份”的人(事实证明是2500人)的测序基因组放入基因组，这些人还参加了对犹他州摩门教徒家庭的研究。

2.更有效的数据清除技术可能会降低数据的业务价值，也就是说，许多混淆技术是有损的。

用于数据隐私/匿名的Dynamic Anonymity方法提供了一种同时避免两个陷阱的方法。

D.数据隐私/匿名控制

为了保护个人数据，Dynamic Anonymity可能会采用多种手段来衡量，指定和执行数据隐私/匿名性：

1.一种系统，用于确定与Data Subject、动作、活动、过程和/或特征相关的数据的每种潜在暴露类型的隐私/匿名级别。这些隐私/匿名级别可能包含连续的离散值(介于完全隐私/匿名和完全公开曝光的极端之间)，和/或此类离散化值的数学说明(“匿名度量值”或“AMS”)。

2.PERMS指定有关数据的政策允许或限制的操作。(例如：“共享”、“更新”。)

3.PERMS将访问级别、权限和数据彼此关联，从而根据一个或多个条件(包括数据类型、时间、寻求访问的组织等)来授予或拒绝对数据的某些访问级别。

Data Subject的PERMS也可能与法定政策合并或受其限制。(例如，在美国的医疗数据必须根据《美国健康保险可移植性和责任法案》 (HIPAA)得到保护。

另外，如果在受信方的允许下并且在数据所有者的同意下，可以向Data Subject提出修改或授予特定和有限权限的提议并接受。

Dynamic Anonymity还可以通过使用隐私/匿名级别确定来防止对数据的不当使用进行改进，以防止不恰当地使用数据，无论是从信任圈内部还是外部，都以与每个DataSubject指定的隐私/匿名级别一致的方式进行掩盖和分析。

Dynamic De-Identifiers(DDIDs)

动态去标识符DDID是一个有时间限制的笔名，它既引用又模糊了引用DataSubject、操作、活动、过程和/或特征的主键的值，(二) 该Data Subject、操作、活动、过程和/或特征(例如邮政编码)的属性值，和/或(三)与Data Subject、操作、活动、过程和/或特征相关联的数据类型或类型(例如，某个编码值是邮政编码的事实)。

如果DDID的内容与它们所引用的值(明文)之间没有可辨别的，固有的或不可计算的关系，则DDID可以额外地保护数据。此外，任何给定DDID及其明文值之间的关联可能不会在信任圈之外公开 (CoT).与静态标识符不同，当在不同上下文中，出于不同目的或在不同时间使用模糊值或键时，它们不必具有相同的关联DDID。

DDIDs可以在信任圈内生成，或者如果满足以上条件，则可以将外部ID用作DDID。

DDIDs有时间限制

如前所述，DDID关联在时间上是有界的，我们的意思是，即使在相同的上下文中，并且对于单一类型的数据(例如邮政编码)，特定的DDID可能一次引用一个值，但是(如果需要)还引用了其他时间的另一个值.

这必然意味着，为了解码或公开特定DDID的含义，应用程序还必须保留有关该DDID应用时间的知识。

该知识可以是明确的-即分配时间也可以是存储DDID的记录或文档的一部分-或可以是隐式的-例如，整个数据集可能已被成批遮盖， (无论处理实际需要多长时间)并假定占据了同一时刻-因此每个字段类型只有一组一致的DDID映射。为了重构这样的数据，还需要提供对一组对应的DDID/值关联(存储在CoT中)的引用。

DDID是有目的的

注意DDID也受上下文或目的限制-意味着同一DDID甚至可以在多个上下文中重复出现。例如，考虑一个记录流，每个记录包含一个社会安全号码(SSN)和邮政编码，并且全部都占用一个时间块。在这种情况下，特定的DDID既可以用作邮政编码的替代，也可以用作SSN的替代。

上所述，这意味着对该上下文的某种指示(例如，这是邮政编码还是SSN？)对于获得该DDID所引用的明文将是必要的。

用DDID替换数据

考虑用DDID替换单个数据流(占用相同时间块的相同类型的数据(例如邮政编码或SSN))的任务。在本发明的一个潜在实施例中执行这种行为的应用程序编程接口(API)的(Java)“伪代码”描述可能看起来像这样：

介面DDIDMap{

DDID保护(Value cleartext)；

价值暴露(DDIDddid)；

}

用英语来说，“接口”表示我们正在定义对相同基础数据进行操作的函数集合(名为“DDIDMap”)。数据类型在此处以大写字母开头 (例如“DDID”)，而变量或函数参数名称则以小写字母开头(例如，“明文”功能参数必须是“值”类型的数据-其中“值”只是任何可被遮盖的数据类型的代名词：ID、数量、名称、邮政编码等)。

一个函数“protect()”接受一些明文值并返回相应的DDID。 DDID。如果先前已看到该值，则将返回其先前分配的DDID。如果以前从未遇到过，则将生成一个新的DDID(此数据集到目前为止唯一的)，与该值关联，然后返回。

另一个函数“expose()”使该过程相反：当将DDID传递给它时，它查找并返回明文值，该值以前被编码为该DDID。如果给定的 DDID从未出现过，它将失败并显示错误提示.

然后，由这些操作管理的数据是从每个明文值到替换它的DDID 以及从DDID返回到原始值的双向映射。

注意，尽管我们已经说过，给定的DDID只能引用一个值，但如果需要，可以实现该算法的变体版本，该版本允许将一个值与多个DDID相关联。

按时间和目的管理DDID地图

回顾以上双向DDID价值图运作(一)基于单一类型的数据(即具有相同的类型、上下文和目的)，并且(二)在同一时间段内。为了支持跨时间和上下文的操作，我们可以放置另一个潜在的API，为我们提供给定时间和目的的适当DDID到值的映射：

界面DDIDMapManager{

DDIDMapgetMap(Context context，Time time)；

}

这里，“上下文”是(或发出)密钥，该密钥指的是被遮盖的特定种类的数据。(在本文档的其他地方，有时也称为“关联密钥”或”A_K”。)例如，上下文可能是要隐藏的数据将驻留在其中的表和列的名称(例如“雇员薪金”)。它还可能包括目的或范围的其他非其他时间顺序指示。

由于DDID到值的映射跨越了一个时间块，并且一个块中有许多时间实例，因此这意味着存在一些函数来查找每个给定时间关联的时间块。

(稍后更多.)

DDID生成和时间限制策略

注意，不同种类的数据可以采用不同的DDID替换策略。除了下两节提到的内容外，DDID的大小可能会有所不同，无论它们是通用的还是该数据集(或时间块)唯一，它们使用哪种编码(例如整数或文本)，等等。而且，尽管DDID生成通常应该是随机的，但也可能希望使用确定性或伪随机的DDID生成器进行演示，测试或调试。

独特或重复使用的DDIDs

一种潜在的策略可以允许将特定的DDID在相同的上下文中但在两个不同的时间段内分配给两个不同的Data Subject。例如，在相同的时间锚定记录集合中，DDID“X3Q”可能在某个时刻(在一个时间段中)引用(例如)“80228”，而在稍后的时间(在另一个时间段中) 引用“12124”。(我们将此策略称为“DDID重用”)。

替代方案是禁止这种“重用”-并规定在相同上下文中给定的DDID 只能引用单个主体。(尽管随着时间的推移，受试者可能仍会收到不同的DDID。)

在这两种策略之间的选择涉及在增加的模糊性和对模糊数据执行聚合查询的难易程度之间的权衡。

假设我们希望按邮政编码对患者进行计数。如果邮政编码DDID 是唯一的，我们可以汇总每个DDID的计数，然后通过将这些DDID 解析为其相应的邮政编码并再次汇总来要求CoT完成查询。但是，如果我们已经“重用”了DDID，则必须将整个DDID列表和对应的时间发送给CoT进行解析(和汇总)-因为我们无法确定相同DDID的两个实例是否引用相同的值。

DDID时间段

实施还具有选择不同策略以按时间分割DDID图的自由。时间块可能因大小和/或时间偏移而有所不同；大小可以是固定的、随机的、也可以由每次分配的记录数来确定。(请注意，对于给定的上下文，使用无限长的时间块会产生与使用“静态”标识符等效的行为。)

实施

尽管可能有许多用于创建新DDID的策略，但是无论“在幕后”实施了哪种策略，用于生成此类DDID的API看起来(基本上)相同。

例如：

界面DDIDFactory{

DDIDcreateDDID()；

}

接下来，考虑确定哪个时间块与给定的DDID分配相关联的任务由于时间段可能包含许多时间实例，因此我们需要为每个时间段使用某种“时间键”(有时在本文档中的其他地方缩写为“T_K”)。这意味着需要一个函数可以在任何时刻获取适当的密钥：

TimeKeytimeKey＝getTimeKey(Time time)；

此外，请注意，时间阻塞和DDID生成策略均取决于被遮盖的数据类型。简而言之，它们都与给定的“上下文”相关联(包括或暗示数据类型和使用情况的概念)，意味着“上下文”API必须提供至少一个支持以下各项的功能：

界面上下文{

TimeKeygetTimeKey(Time time)；

DDIDFactorycreateDDIDFactory()；

}

鉴于这两个附加功能，我们可以想象在“DDIDManager”的“getMap()”实施(如前所示)可能看起来像这样：

DDIDMapgetMap(Context context，Time time){

TimeKeytimeKey＝context.getTimeKey(time)；

DDIDMap map＝getExistingMap(context，timeKey)；

如果(未找到地图)

DDIDFactory factory＝context.createDDIDFactory()；

地图＝createMap(factory)；

storeNewMap(context，timeKey，地图)；

endif

返回地图；

}

这里，“getExistingMap()”是一些函数，用于查找分配给给定上下文和时间键的地图，“createMap()”创建一个将使用给定DDID工厂的地图，而“storeNewMap()”将新创建的地图与上下文和时间键相关联，以便以后检索该地图。)

使用上下文遮盖数据和属性类型

Dynamic Anonymity可以定义以下不同类型的数据进行保护： (一)涉及DataSubject、操作、活动、流程和/或特征(例如员工编号)的主键，(二)与Data Subject、操作、活动、流程和/或特征相关联但不是唯一的属性数据(例如员工邮政编码)，以及(三)表示已解除关联(模糊)的数据元素的类型本身(“关联密钥”或“A_K”)。

可以通过定义不同的上下文来实现上述每一项：首先，我们将讨论(一)和(二)，这两者都是通过遮盖数据值来实现的(用“替换密钥”DDID代替，在其他地方缩写为“R_K”)。我们将在下面解决(三) 关联的(模糊的)数据元素类型的指示。

考虑一个简单的示例：一个订单表，记录客户在给定的一天购买了哪些产品。每个记录都有一个日期编号，一个客户编号和一个产品编号。我们希望掩盖这些数据以供CoT外部的某些第三方使用或分析。特别的是，我们希望遮盖住客户和产品ID，但请保留完整的日期。

为此，我们可以创建两个“上下文”实例：一个用于“客户编号”，一个用于“产品编号”。尽管DDID最好是随机的，但出于我们的目的，让我们假设我们的“DDIDFactory”将从零开始按顺序创建整数DDID。此外，假设每个DDID映射仅跨越三天，因此三天后，将使用一组新的DDID映射。这也意味着DDID将被“重用”-当使用不同的块时，相同的DDID可以引用不同的值。(这不是理想的编码策略，在这里仅用于说明目的。)

表1显示了一些明文样本数据：

表1

天数	客户识别号	产品编号
			1	500	ZZZ
2	600	XXX
			3	600	YYY
4	700	TTT
			5	500	YYY
6	600	TTT

被遮盖(如上所述)之后，该数据将看起来如下表2所示：

表2

天数	客户识别号	产品编号
			1	0	0
2	1	1
			3	1	2
4	0	0
			5	1	1
6	2	1

要理解这一点，请阅读每列，并以三天为一组进行思考(DDID 的第一个时间段涵盖了每个模糊字段的1-3天，第二个涵盖了4-6 天)。

对于前三天，客户编号为：500、600、600。结果编码为：0、1、1(请注意，重复了600，因此它的DDID、1，也被重复了。)

在接下来的三天中，客户编号为：700、600、500。(从0开始) 的结果为：0、1、2(请注意500之前为0，现在为2)。

产品编号使用单独的上下文，因此使用DDID流，因此它也从零开始：

对于第一个时间块(XXX，YYY，TTT)变为(0，1，2)。

对于第二时间块(TTT，YYY，TTT)变为(0，1，0)。

可以使用另一个“上下文”来掩盖未关联的(模糊的)数据元素的类型(以上三)的指示，其中列名是属性键(A_K)的示例)。可以通过对整个集合使用一个DDID到值的映射(有效地将DDID替换为列名)或在时间块中(与本示例中的其他字段一样)来做到这一点 (如果使用适当的随机DDID生成策略)如果没有信任圈的帮助，则无法分析受影响的记录。

关于地点和时间的注释

上面定义的示例API假定在对数据进行编码时，编码时间随每个数据或记录一起传递。仅在相同上下文中“重用”DDID时才需要这样做(因此需要时间来区分该DDID的两个潜在含义)。当每个上下文仅将DDID分配给一个值时，该DDID足以发现(单个)原始值。

当跨不同系统使用“重用”DDID时，时间也可能成为一个问题，而这些系统的时间概念可能略有不同。如果无法通过与DDID编码相关联的时间，则可以使用(按时间顺序)“缓冲区”来防止DDID过于接近其原始分配而重新使用，并且当可以传递与要编码的数据相关联的时间时，可以针对本地系统时钟对时间进行“合理性检查”：可以容忍小窗口(小于DDID重用缓冲区)内的时滞，而较大的差异将触发错误报告。最后，请注意，在哪里编码数据还有灵活性：数据可以流式传输到驻留在CoT中的计算机，然后在编码后一起发送到其目的地。但是，或者，上述算法的编码部分可以在信任圈外运行，条件是所产生的DDID与值的关联不(a)未存储在本地主机上，并且(b)安全地(例如使用加密)，并采取适当的措施防止数据丢失)流传输到 CoT主机以实现持久性，从而降低关键应用程序的延迟。

动态匿名：无需身份验证即可取消身份验证

“传统上在某些情况下(例如，HIPAA或与健康相关的情况)使用的“去识别”技术来保护数据隐私/匿名性在本质上可能是防御性的，例如，对直接标识符(例如名称，地址)应用了一系列屏蔽步骤)，并且将屏蔽和/或基于统计的操作应用于准标识符(例如年龄，性别，职业)，以减少未经授权的第三方重新识别的可能性。

Dynamic Anonymity可能具有重大的攻击性价值，因为可以保留信息的价值并为授权目的利用/利用这些信息，而所有数据在统计学上都没有重新识别任何数据的微不足道的风险。Dynamic Anonymity可能会拒绝这样的主张和传统二分法，即为了最大程度地降低风险，人们必须牺牲信息内容的价值。取而代之的是，Dynamic Anonymity可以最大限度地降低风险和信息丢失量，从而使大多数(即使不是全部) 信息得以恢复，但只能在DataSubject/受信任方的授权下，而不是在未经授权的对手/“黑帽”黑客的授权下才能进行恢复。

Dynamic Anonymity可以唯一地使信息能够在受控环境中被多方以不同的方式使用，这有利于解锁并最大化数据的价值。Dynamic Anonymity可以最大程度地提高潜在业务智能、研究、分析和其他流程的价值，同时可以显着提高数据隐私/匿名流程的质量和性能。

当收集或存储敏感数据时，可以使用以下一种或多种策略将敏感数据与对象“分离”，这些策略均不会造成任何价值损失：

1.细分：敏感数据可以按数据类型分为几部分，分别发送和/或存储 (在单独的信任圈中，或使用同一受托方维护的不同DDID映射集)，这样，每块单独不产生任何个人数据。

2.编号替换：可以用动态更改和可重新分配的DDID替换静态标识符，从而避免数据与数据所引用的Data Subject之间的关系。

3.模糊：数据值和数据类型指示符还可以与DDID代替。

与这些操作相关联的DDID存储在信任圈(CoT)中，如图1C-1 所示；因此，可以通过逆转这些转换来重构原始数据，但只能在CoT 本身的配合下进行，因此，只有在数据主体和/或代表Data Subject授予此类许可的情况下，才可以重构原始数据.

图1示出了本发明的实施例的示例，包括具有隐私服务器50或隐私服务器模块的系统，该系统安全地管理与Data Subject有关的各种数据属性和数据属性组合(可能包括但不限于行为数据、交易历史、信用等级、身份信息、社交网络数据、个人历史信息、医疗和就业信息以及教育历史)，以在不同的应用程序56中使用。这些应用程序 56可以包括但不限于：

○ 医疗保健应用

■ 医疗记录

■ 移动应用

■ 实时重症监护应用

■ 法规遵从性(例如，HIPAA)

■ 研究

○ 教育应用

■ 学生记录

■ 研究

○ 移动应用

■ 地理位置(信标、GPS、Wi-Fi指纹)

■ 移动支付和忠诚度

○ 金融服务应用

■ 银行、经纪等

■ 付款处理

■ 支付卡行业(PCI)安全

■ 授权

■ 验证持卡人身份

■ 法规遵从

■ 研究

■ 信用评估

■ 欺诈检测

○ 网络应用

■ 广告投放

■ 内容审查

■ 电子商务

■ 社交网络

○ “物联网”应用

■ 远程信息处理

■ 智能电网

■ 智慧城市

● 交通监控

● 公用事业监控

○ 电源

○ 燃油

○ 水/污水

● 废物管理

■ 智能办公室

■ 智能工厂

■ 智能家居

● 联网娱乐

○ 电视

○ 流媒体设备

● 自动化

○ 暖通空调

○ 照明

● 安全性

○ 窗户/门锁

○ 火/烟/一氧化碳探测器

● 电器

■ 智能车辆

■ 农业传感器

■ 可穿戴设备

● 医疗保健监控

● 健身器材

● 眼镜

● 服装

■ 无人机

○ 专用无线/有线网络

■ 作物传感器

■ 带有标签的动物追踪

■ 部队运动

○ 私人安全应用

○ 电子商务应用

○ 离线零售应用

○ 人力资源/招聘应用

○ 政府申请

■ 国家安全应用

● 通话详细记录分析

● 网站浏览行为分析

● 分析在线和离线购买行为

● 旅游行为分析

● 社交媒体活动分析

● 分析朋友圈、熟人和其他关系

○ 律师/律师事务所的申请

■ 维护机密性/律师-客户特权

■ 电子发现

○ 消费者竞赛报名申请

○ 约会应用

图1A示出了本发明的一个实施例的示例，包括具有隐私服务器50或隐私服务器模块的系统，该隐私服务器50或隐私服务器模块从一个或多个外部数据库82接收电子数据，并安全地从该数据库转换各种数据属性和数据属性组合一个或多个(可能包括但不限于行为数据、交易历史、信用等级、身份信息、社交网络数据、个人历史信息、就业信息、医疗和教育历史)与Data Subject相关的外部数据库，这些数据存储在TDR中以用于不同的应用程序。或者，应用程序仅在隐私服务器50中存储Data Subject与DDID的关联信息，并使用Dynamic Anonymity定义的过程来掩盖，加密和/或分段存储在外部数据库82中的数据。以这种方式，存储在隐私服务器50中的Data Subject与DDID的关联信息可以为生成，收集和/或存储在外部数据库82中的信息提供更大的上下文和/或商业价值。

在一个示例中，本发明的实施例可以形成用于一个或多个应用程序56中的DataSubject的安全且全面的聚合数据简档58。Data Subject或其相关方，例如用户59，可以将Data Subject的身份和/或数据属性从Data Subject的聚合数据配置文件58中匿名传达或选择性地透露给与数据相关的(包含数据属性、属性组合或其部分，可能来自不相关的数据源)卖方、服务提供商、广告商或其他实体受试者或相关方有兴趣通过网络72(例如，可能获得服务或进行购买交易)基于数据受试者的汇总数据配置文件58中表示的一个或多个数据受试者的特征进行通信57(由数据属性、数据属性组合或其部分组成，可能来自不相关的数据源)。以这种方式，本发明的实施例提供了针对个人(“DRMI”)的数字版权管理，其参考Data Subject，关联方或第三方来管理与Data Subject或数字权利管理有关的数据属性和数据属性组合。由第三方管理与一个或多个Data Subject相关联的数据属性和数据属性组合的取消标识(“DRMD”)。在一个示例中，可以通过本发明的实施例来控制关于数据属性、数据属性组合、Data Subject 和/或相关方的信息可以被提供给其他方的程度。

在图1和图IA的示例中，多个用户59(例如Data Subject或服务提供商)利用设备，例如智能设备70(例如，可穿戴、移动或不移动智能设备)、智能手机、平板电脑、笔记本、台式计算机、有线或无线设备，或运行隐私客户端应用程序60的其他计算设备，以访问网络72，例如互联网。如图1和图IA所示，示出了与互联网或其他公共或专用网络耦合并与其通信的系统80，并且该系统可以包括与一个或多个数据库82安全地耦合的隐私服务器50。在一示例中，可以使用在服务器或其他计算设备上运行的计算机程序模块，代码产品或模块来实现隐私服务器50。可以使用任何常规数据库技术来实现一个或多个数据库82，包括将数据安全地(例如通过加密)存储在冗余位置中的技术，该冗余位置例如但不限于RAID存储设备，网络连接存储或任何其他常规数据库。

在一个示例中，隐私服务器50实施本文所述的操作，过程，功能或过程步骤中的一个或多个，并且隐私服务器50可根据需要包括或配置为包括其他操作，功能或过程步骤在本发明的特定实施方式上，包括但不限于由所指示的模块执行的以下过程，操作或功能：

可以提供内部和外部认证两者的认证模块51，包括以下过程：

a.隐私客户端60的内部身份验证请求TDR，以及隐私服务器50 生成TDR。

b.在允许参与所需的动作，活动或过程以及使用TDR对接收者进行身份验证之前，先进行外部身份验证，以批准接收时间密钥(TK)，关联密钥(AK)和/或替换密钥(RK)，这可能是解锁内容所必需的 TDR。

c.授权模块的一个示例实现可包括允许将请求生成DDID和关联的 TDR的能力委托给控制实体授权的其他方。

抽象模块52，其可以提供内部和外部抽象，其可以包括以下过程中的一个或多个：

a.通过生成唯一的DDID或接受或修改时间上唯一的，动态变化的值以用作DDID来选择DDID。

b.将DDID与数据属性或属性组合相关联以形成给定Data Subject、操作、活动、过程或特征的TDR。

c.在TDR中仅包括一部分相关数据属性，从而取消与Data Subject相关和/或与给定操作、活动、过程或特质相关的数据属性的关联

d.用DDID替换一个或多个TDR中包含的一个或多个数据属性

e.用DDID替换对可以与本发明的一个或多个实施例集成或通信的外部网络、互联网、内联网和/或计算设备的一个或多个引用。

可以存储的维护模块53：

a.与Data Subject、操作、活动、过程或特征，“相关数据”(定义为在关联时间段内和/或之后初始与DDID关联的数据和/或与DDID 聚合的数据)和/或DDID；和

b.与(一)时间密钥(TK)有关的密钥信息，这些时间密钥反映了与每个DDID与特定Data Subject、属性、属性组合、活动、过程或特性相关联的时间段的信息，(二)关联密钥(AK)和/或(三) 替换密钥(RK)；

因此，允许TDR在以后与特定属性，属性组合、动作、活动、过程、特征和/或关联的数据主体重新关联。另外，维护模块可以在安全环境中执行属性或属性组合的进一步分析和处理。

访问日志模块54，其可以包括收集和存储信息，以在系统错误和 /或滥用的情况下启用事后的法医分析。

验证模块55可以包括在任何时间点验证和验证包括数据属性，属性组合、DDID和TDR在内的聚合数据配置文件的完整性.

如本文所述，本发明的实施例旨在促进与电子数据和网络通信，分析和/或研究有关的隐私、匿名性、安全性和准确性。在一个示例中，与Data Subject、动作、活动、过程或特性有关的数据元素可以通过将与Data Subject，动作，活动，过程或特性有关的数据元素链接到独立属性或从属属性和/或分离数据元素来抽象化。与Data Subject、动作、活动、过程或特征有关的信息，分为独立属性或从属属性。出于本公开的目的，数据属性可以指代可以独立地或与其他数据元素结合使用以标识Data Subject(例如人、地方或事物和/或相关联的动作) 的任何数据元素、活动、过程或特征。

如上所述，除了抽象可用于识别诸如人物、地点或事物之类的 Data Subject的数据之外，图1或图1A的抽象模块52还可用于抽象与Data Subject有关的数据，例如可能包括但不限于的事物：物理或虚拟事物和实体；硬件或虚拟设备；软件应用程序；法律实体；对象；图像；音频或视频信息；感官信息；多媒体信息；地理位置信息；隐私/匿名信息；安全性信息；电子消息传递信息，包括发送者和接收者、消息内容、消息中的超链接、消息中的嵌入式内容以及与发送和接收消息中涉及的设备和服务器有关的信息；社交媒体和电子论坛；在线网站和博客；RFID(射频识别)；跟踪信息；税收信息；教育信息；与军事，国防或其他政府实体程序有关的标识符；虚拟现实信息；大型多人在线角色扮演游戏(即MMORPG)；医学信息；生物计量数据；行为指标信息；遗传信息；指其他数据的物理或虚拟位置的数据；以及数据或信息的实例化或表示形式。

在一个示例中，可以使用本文所述的系统，方法和设备来提供用于个人的数字版权管理(DRMI)和/或用于去标识的数字版权管理 (DRMD)。用于个人的数字权限管理可以包括个人定向的隐私/匿名，其中，关联方管理与一个或多个关联方有关的数据属性。在这种情况下，关联方将作为控制实体。备选地，第三方可以管理与一个或多个相关方有关的数据属性，从而包括针对实体的隐私/匿名性。在这种情况下，第三方将充当控制实体。用于去标识的数字版权管理还包括实体定向的隐私/匿名性，其中第三方管理与与关联方关联的数据属性关联的数据属性，并控制有关数据属性和/或关联方的信息可用的程度给其他人。

本文公开的系统，方法和设备可以用于提供DRMI，使得一个或多个相关方可以直接或间接地管理其在线数据数字指纹。关联方还可以控制与数据属性、Data Subject或一个或多个关联方有关的信息可提供给第三方的程度，以使信息和数据可以匿名，不可识别的方式提供方式。该系统，方法和设备提供动态变化的环境，在该环境中，相关方可能希望在某一时刻而不是在下一时刻共享数据。这是在理解时间间隔、特定接收实体、物理或虚拟行踪或触发要共享的数据中的更改的其他机制的本质上可以是动态的。实施DRMI可以实现不可重新识别的匿名性，并且可以允许在动态变化的时间和/或位置敏感的情况下，根据不同目的共享与数据属性、Data Subject和关联方有关的不同信息。可以满足在特定时间和地点与数据属性、Data Subject或关联方有关的信息的特殊需要，而不会泄露其他不必要的信息，除非该披露是经控制实体授权的。另外，不必要的信息可能是，例如，Data Subject或关联方的真实身份、邮寄地址、电子邮件地址、先前的在线操作、或对于相关操作、活动、有关Data Subject或关联方的过程或特征。

本文公开的系统，方法和设备可用于提供DRMD，以使实体可以集中管理与他们负责的数据属性、Data Subject和相关方有关的信息的在线数字指纹；并且此类实体可以控制信息以不可重新识别或可识别的方式提供给其他方的程度。这使实体可以满足取消身份验证的目标和/或义务，以符合Data Subject、关联方的要求以及监管保护和禁止。

可以配置本发明的一些实施例的示例性实施方式，以提供关于由图像或视频文件组成的数据属性的DRMI和/或DRMD功能，该数据或图像文件揭示了识别面部特征，将在下面讨论。Data Subject或关联方可以从能够基于电子图像中Data Subject的独特面部特征进行身份推断的其他人中受益。然而，快速增长的商业可用性和面部识别技术的使用以及电子图像的日益增长的可用性提出了关于Data Subject 和关联方的隐私/匿名性和安全性的问题。在一示例中，关于Data Subject和关联方，在本发明的一个或多个方面中，在照片的数据属性中，包括面部图像和Data Subject的特征，可以保护隐私/匿名性和安全性。

在一些实施例中，本文公开的系统，方法和设备可以被配置为在当事方的注册或授权访问者与未注册/未经授权访问包含数据属性的网站或其他电子图像共享应用程序的状态之间进行区分。根据状态，也可以区分包含与Data Subject或关联方的联系人/朋友有关的数据属性的网站或其他照片共享应用程序的注册/授权访问者与不与Data Subject或关联方的联系人/朋友有关的数据属性派对。在一个示例中，本发明的系统可以控制是否呈现任何包含面部特征的图像数据属性。如果呈现了包含面部特征的图像数据属性，则系统可以进一步控制和限制未经授权的使用和照片的复制，这可以通过其他保护技术来导致意外的二次使用。另外，本发明的一些实施例可以向Data Subject、关联方和控制实体提供指定根本可以呈现图像数据属性的哪些附加方以及针对哪个特定目的的能力。如果提供了数据属性，则Data Subject、关联方或控制实体可以指定图像是否使用旨在限制未经授权使用和复制照片的已知保护技术，从而防止或减少图像意外使用的风险。

DRMI可以使Data Subject和关联方直接或间接地管理包含面部图像的照片，并控制与关联方有关的照片以可识别、不可识别、可复制或可提供给第三方的程度不可复制的方式。

本发明的潜在实现的示例可以涉及可穿戴、可植入、可嵌入或以其他方式可连接的计算技术/设备的提供者对DRMI的使用，以减轻公众对使用该技术/设备获得和/或处理的信息的潜在担忧。例如，

可以通过建立不数字显示列表(类似于FTC维护的“不呼叫列表”，将DRMI限制在个人身上)来采用DRMI来促进

的更广泛采用)，以便Data Subject或相关方进行注册，以禁止数字显示使用

拍摄或显示的未经授权的照片。(

和

是谷歌公司的商标。)

本发明的一个示例提供的DRMI可以进一步为作为专业联网站点 LinkedIn.com成员的Data Subject或关联方提供一种功能，该功能可以以可识别的方式管理照片可提供给第三方的程度、不可识别、可复制或不可复制的方式。在一个示例中，可以使用三层分类模式来控制对包含Data Subject或关联方的面部图像的照片的访问、使用和复制：

A类别待遇或身份可能适用于不是LinkedIn.com的注册/授权成员的LinkedIn.com网站访问者。可能没有向这些访问者提供查看或复制包含已注册/授权的

(

是领英公司的商标)成员的头像的照片的方法。取而代之的是，可以通过其网页浏览器，移动应用程序或其他应用程序为它们提供图形、图像、指示符或化身，以指示照片仅对LinkedIn.com网站的注册/授权用户可用。

B类别待遇或身份可能适用于不是LinkedIn.com注册/授权成员的经过身份验证的联系人的LinkedIn.com注册/授权成员。通过使用旨在限制未经授权的使用和照片复制的其他保护技术，可能会导致意外的二次使用，可以为这些注册/授权成员提供有限的方式，以查看或复制包含

成员面部图像的照片不是经过验证的联系人。这些其他保护技术可能包括但不限于：

1.平铺将图像分成较小的图像图块，这些图块将显示为连续图像，但对于任何试图复制该图像的实体，一次只能限制为一个图块；

2.采用图像水印技术；

3.隐藏图层以将包含面部特征的图像放置在透明前景图像后面；

4.提供没有颜色配置文件或调色板的图像；

5.通过禁止使用“右键单击”复制或使用图像的表格说明来防止下载；

6.通过禁止“右键单击”复制或使用功能图片的JavaScript技术阻止下载；

7.禁止通过Flash技术进行下载，以禁止“右键单击”复制或使用功能图片；

8.通过URL编码技术隐藏图像；

9.使用META标签防止包含面部特征的图像被搜索引擎蜘蛛、机器人或机器人图像索引；以及

10.使用Robot.txt文件防止包含面部特征的图像被搜索引擎蜘蛛、机器人或机器人图像索引.

B类别待遇或身份可能适用于LinkedIn.com的注册/授权成员，同时也是LinkedIn.com的另一注册/授权成员的经过身份验证的联系人。这些注册/授权成员可以使用完整的方式查看或复制包含其他

成员面部图像的照片。

本发明的一些示例可以提供DRMD，使得实体可以集中管理包含其负责的面部图像的照片数据属性，并且可以控制将照片数据属性提供给其他方的程度可识别、不可识别、可复制或不可复制的方式。

本发明潜在实现的一个示例或涉及由使用提供DRMD的实体控制系统，所述控制实体利用已知的面部图像识别能力来限制未经Data Subject授权的各方披露要素，或所述照片数据属性包含所述注册/授权Data Subject的可识别面部元素，或相关方以查看面部元素。相反，试图上载、使用或查看包括注册/授权Data Subject或相关方的面部元素的照片的一方，其面部特征已由DRMD系统注册，但该相关方尚未被注册/授权Data Subject或相关方授权，则只可以看到并仅能够使用由DRMD系统所更改照片的修改版本，以阻止或“取消标记”注册/授权Data Subject或相关方的可识别面部元素。举例而言，可以修改在公共酒吧拍摄的照片，该照片包括以提供DRMD的系统所注册的 Data Subject或相关方的面部，以在除了由Data Subject或相关方明确授权的那些版本之外的所有版本上遮挡或“取消标记“相关方的面部。

在本发明的一项示例中，认证模块可以被配置为使得关于谁能看到什么信息的决定由控制实体，在可配置的基础上确定。在一项示例中，可配置控制可以包括自动和/或手动决策，以及通过为每个控制实体提供能力，以便在任何时间内对由含数据属性所组成的信息进行动态变化，运用及时、逐个案例的方式进行更新。通过动态改变数据属性的组成实现的增强定制，将导致所提供的关于数据属性和/或相关方的信息有更大的相关性和准确性。如在此所公开的，使用DDID作为隐私、匿名性和安全性的组成部分使得接收信息的每个接收实体能够针对每个特定目的适当地接收不同的信息，从而促进新鲜、及时和高度相关及准确信息的分发，而非陈旧、有时间负担、不太准确的增值数据，例如通过传统的持久或静态标识符或其他机制所提供的数据。

图1和图1A也显示了在诸如电脑、智能电话或其他有线或无线设备之类的用户设备70上操作的隐私客户端60的各种示例，其中用户设备可以通过诸如互联网或其他公共或私有网络的网络72与隐私服务器50来通信。

在一项示例中，本公开的隐私客户端组件可以驻留在移动设备上。隐私客户端可以被提供为在移动设备上运行的移动应用或操作系统中的一部分，或者可以被配置为移动设备的硬件设备、集成电路或芯片。那些运用本公开中的一个或多个方面的移动设备或能拥有有关于与该设备有关的Data Subject和/或相关方的位置、活动和/或行为的实时知识。移动设备还可以与其他设备和信息源一起发送、接收和处理信息。与隐私客户端交互的移动应用程序也能向控制实体提供，在位置和时间敏感应用程序中的参与级别与定时控制，并且以匿名方式(而不是可识别的个人方式)与第三方共享信息程度的控制。那些运用本公开的一个或多个方面的移动设备还可以利用移动设备的独特能力来聚集从各种不相关和不同的来源(无论是移动设备、更传统的电脑系统或是两者的组合)所收集的用户个人偏好信息，并且仅在用户的批准下方可与供应商共享用户的信息(在匿名或个性化的基础上)，以促进时间和/ 或位置敏感的个性化商业机会。如现在可以更清楚理解般，用户可以确定这种时间和/或位置敏感的个性化商业机会的好处，是否值得他们在相关交易中显示自己的身份。

例如，在没有本发明实施例的情况下，传统上与移动设备相关联的静态标识符可以使移动应用供应商和其他第三方能够聚集与使用移动设备有关的信息；而通过聚集关于使用移动设备的数据，应用供应商和其他第三方则可以获得多种信息，该信息可以包括但不限于设备用户频繁的物理位置信息、呼叫习惯、内容偏好和在线交易相关的信息，这些信息都是他们无法通过任何与设备用户一次性的相互交流数据所能获取的。通过使用本发明的一些实施例，可防止应用程序供应商和其他第三方聚集与Data Subject和相关方使用移动设备的有关信息；并且本发明的一些实施例可以被配置为向移动设备提供需要访问的地理位置信息(例如，方向或地图应用程序)的移动应用程序来使用，而无需揭示各种包括移动设备、通过动态创建的Data Subject或相关方、在此所描述的可改变的和可重新分配的DDID之类的相关身份信息；而非常规的静态标识符。

在一项示例中，本发明的实施例可以被配置为通过利用DDID而不是在静态标识符上的聚集来提供相对于持久和/或静态标识符的增强私密性、匿名性、安全性和准确性；由此，本发明的实施例可以为跨网络和互联网所留下的在线数字指纹提供一种解决方案。因此，本发明的实施例可以向控制实体提供决定谁可看到什么数据的能力，防止数据聚合器在没有控制实体许可的情况下理解属于Data Subject或相关方的数据连接，并且向控制实体提供对信息的上行和/或下行传播的控制。

在本发明的一个示例中，通过使用DDID来提供多个保护性抽象级别及为了大数据分析的益处，连续访问可被提供。体现本发明的一些方面的系统、方法和设备也不会碰上如不跟踪Do-Not-Track和其他计划之类的根本缺陷，这些计划消除了对有效大数据分析所需的数据访问，以及与提供免费或折扣产品或服务以换取信息的经济模型不一致的数据访问。不跟踪是一种技术和政策建议，允许Data Subject或相关方在线时，针对一些在网站和第三方数据收集实体(包括分析服务、广告网络和社交平台)，可以选择退出某些跟踪。尽管不跟踪为Data Subject和相关方提供了增强的隐私、匿名性和安全性，但这也断绝了他们可以在在线时，通过大数据分析获得定制的相关个人产品的益处。这影响了大数据分析为商家、服务提供商和Data Subject或相关方本身所提供的经济效益。

相反，本发明的一些实施例可以具有净中性到积极的收入影响 (相对于不跟踪计划的净消极收入影响)，因为在本发明的一些实施例中，控制实体可以在TDR中包括数据属性，该数据属性使得接收实体能够使用现有的跟踪技术，在TDR持续存在的时间内进行跟踪。控制实体还可包含比仅通过跟踪可获得的信息更精确的信息，以便于个性化及进行定制。例如，控制实体可以选择将关于网站过去的浏览记录中的某些数据包含在关于DataSubject或相关方的属性组合中，该所述属性组合通过隐私客户端发送到该网站，并且增加了有益于网站和 Data Subject或相关方两者的其他特定更新的信息。

参考图1和图1A，本发明的一项实施例可以包括电脑网络72，其中一个或多个远程隐私客户端60由驻留在一个或多个电脑设备70 上或驻留在网络设备上并可经由网络设备访问的电脑硬件、固件或软件所组成，向充当隐私服务器50的一个或多个电脑设备发送请求/查询并由其那里接收服务/响应。隐私客户端电脑设备70可以包括智能设备(即，可穿戴的、可移动的或不可移动的智能设备)、智能手机、平板电脑、笔记本电脑、台式电脑或具有以下程序的其他电脑设备(i) 允许来自隐私服务器的服务请求和/或向隐私服务器提交查询的，(ii) 提供用户界面能力的，(iii)提供应用程序处理能力的，和/或(iv)提供本地化存储和内存的。隐私服务器50计算设备可以包括大型个人电脑、小型电脑、大型电脑或其他电脑设备，其程序(i)响应来自隐私客户端的对服务/查询的请求，(ii)提供系统的集中或去中心化的管理，(iii) 提供高容量应用程序处理能力，和/或(iv)提供与一个或多个数据库集成的大容量存储和内存能力。隐私服务器50还可以被配置为能执行在此描述的一个或多个操作或特征。隐私服务器和隐私客户端之间的通信能力可以由电脑网络、互联网、内联网、公共和专用网络或通信信道以及支持技术所组成。

参考图1和图1A，本发明的另一个潜在实施例可以包括电脑网络，其中一个或多个远程隐私客户端60包括驻留在一个或多个计算设备70上或驻留在网络设备上并可经由网络设备访问的电脑硬件、固件或软件-向充当隐私服务器50的一个或多个计算设备发送请求/查询并从其接收服务/响应，其中所述隐私服务器50可以经由互联网、内部网或其他网络向卡、移动设备、可穿戴设备和/或其他包括电子接收及存储信息的可便携式设备，而可穿戴和/或其他便携式设备包含关于数据属性和/或DDID的信息，直到当涉及数据属性和/或DDID的所述信息被所述隐私服务器修改时(如果有的话)。

隐私服务器和隐私客户端可以实现包括执行在此描述的过程和/或特征的一个或多个步骤或操作的程序代码的模块。程序代码可以存储在可由隐私服务器，或隐私客户端的处理器访问的电脑可读介质上。电脑可读介质可以是易失性或非易失性的，并且也可以是可移动的或不可移动的。电脑可读介质可以是但不限于RAM、ROM、固态存储器技术、可擦除可编程ROM(“EPROM”)、可擦可编程电子ROM (“EEPROM”)、CD-ROM、DVD、磁带盒、磁带、磁盘存储器、其他磁或光存储设备、或任何其他常规存储技术或存储设备。

隐私服务器和关联数据库可以存储与TDR、时段/戳、DDID、属性组合、DataSubject、相关方、关联简档和其他相关信息有关的信息。隐私服务器和相关联的数据库可以由控制实体管理及访问，但在一项示例中，除非是由控制实体授权，否则不能由其他方管理和访问。在一项示例中，通过TDR，一个或多个隐私服务器的认证模块对数据访问进行控制。隐私客户端可以从隐私服务器请求执行所需动作、活动、过程或特征所需的信息和/或查询隐私服务器是否授权予TDR在特定时间内，和/或地点中参与所请求的动作、活动、过程或特征。隐私客户端还可以聚集关于与隐私客户端相关联的TDR所参与的动作、活动、过程或特征的数据，例如跟踪数据，从而避免返回数据库进行数据外推的需要。在一项示例中，其他各方收集的见解可能在其持续时间内成为TDR的一部分。

在本发明的一个示例实现中，抽象模块52被配置为使得控制实体(这可以是DataSubject或相关方)将属于Data Subject的数据链接到属性，和/或将属于Data Subject的数据分离成可以被划分、组合、重新排列或添加到各种属性组合中的属性。这些组合可以包含任何与 Data Subject相关联的属性组合或先前创建的相关联属性组合。

在该示例中，关于涉及隐私服务器的每个预期动作、活动、过程或特征，在一项示例中，抽象模块使得控制实体能够通过从属性中仅选择那些对于所期望的动作、活动、过程或特征而言是必要的属性，并将那些数据属性链接到一个，或多个属性组合，和/或将这些数据属性分离为一个，或多个属性组合来限制传输或存储的识别信息的程度。然后，控制实体可以使用抽象模块来动态地创建和/或分配DDID，以形成每个属性组合中的TDR。DDID可以被配置为在预设延迟或提示之后过期，并且可以被重新用于与另一动作、活动、过程或特征和/或其他Data Subject或相关方相关联的数据上，从而在隐私服务器之外不会留下任何精确的关联痕迹。在一项示例中，在分配或接受DDID 以形成TDR之前，抽象模块可以验证DDID没有已在另一TDR中被积极使用上了。为了进行这种验证，可以包含额外的缓冲器超时时段，以解决潜在的停机和系统停机时间。相对于所需的动作、活动、过程或特征生成的数据属性和相关联的TDR数量越多，所实现的隐私、匿名性和安全性就越高。在这种情况下，获得其中一个TDR访问权限的未授权方将仅获得该TDR所包含信息的访问权限。在一项示例中，单个TDR中的信息可以仅仅是所期望动作、活动、过程或特征中的必需属性里的一部分，并且进一步不提供确定包含必要属性的其他TDR，或确定可能与TDR相关联的任何DataSubject，和/或相关方所需的信息。

在一项示例中，借助于抽象模块创建的TDR可以是基于一个或多个过程，这些过程将描述或执行不同动作、活动或过程所需的规定步骤与这些步骤相关联的指定类别的属性相匹配，并且选择或组合那些关于特定动作、活动、过程或特征所必需的属性。借助于抽象模块创建TDR的过程可以由控制实体直接执行，或者由控制实体授权的一个或多个方间接执行。

例如，包含信用卡购买信息的第一数据库可以包括信用卡发行者对购买信息进行大数据分析时务必得到的信息。然而，数据库不需要包括信用卡用户的识别信息。在该第一数据库中的信用卡用户识别信息可以由DDID代表，并且将结合DDID和用户们必需用到的替换密钥(RK)存储于隐私服务器，和/或系统模块可访问的单独安全数据库中。通过此方式，该系统就可以帮助保护信用卡用户的身份，并且在第一数据库面对未经授权包含信用卡购买信息的的情况下，限制潜在的财务损失，因为DDID和相关信息对于未授权方来说是不可破译的。

此外，在本发明的一项示例中，来自移动/可穿戴/便携式设备数据的实时或批量分析能以有益于接收实体(例如商家或服务提供商)的方式来执行，而不牺牲移动/可穿戴/便携式设备用户的隐私/匿名性。每名用户可以被认为是所讨论的移动/可穿戴/便携式设备，以及与设备本身或设备的使用相关联Data Subject的相关方。作为对接收实体提供的特殊优惠或其他优惠的回报，移动/可穿戴/便携式设备的用户可以基于用户的实时位置、实时活动或在特定时间段期间选择以匿名方式共享非识别TDR，例如，与位于特定地理位置的指定距离(例如，1 英里、1000英尺、20英尺或取决于实施方式的其他距离)内的接收实体，或在有关移动/可穿戴/便携式设备位置的规定类别(例如珠宝，衣服，餐厅，书店或其他场所)内。通过这种方式，接收实体可以对其潜在客户群的人口统计情况，在年龄、性别、收入和其他特征上有一个准确的汇总视图。这些人口统计数据可以通过移动/可穿戴/便携式设备用户在不同位置、一天中的时间和一周中几天内所共享的TDR来揭示，这可以帮助接收方更有效地确定应针对相关方提供什么服务、期望的库存和其他销售、供应链或库存相关活动。在一个示例中，Data Subject和相关方(其可以是移动/可穿戴/便携式设备的用户将受益于特殊安排或要约，而不必向接收实体(其将仅仅知道Data Subject或相关方已注册，但将不知道与任何特定Data Subject或相关方相关联的特定信息)披露其个人信息，除非且仅限于Data Subject或相关方所期望的范围内。

在本发明的一项示例实现中，授权模块可以向控制实体提供哪些其他实体能被赋予相关于TDR信息的访问或使用的控制权。控制实体还可以使用抽象模块来控制其他实体访问系统中所包含的特定信息元素程度。例如，用作控制实体的移动/可穿戴/便携式平台提供商可以向移动/可穿戴/便携式设备制造商提供性能数据，而无需揭示设备、 DataSubject或相关方用户的身份，或Data Subject或相关方用户或设备的位置。移动/可穿戴/便携式平台提供商还可以向移动/可穿戴/便携式应用提供商提供移动/可穿戴/便携式设备使用的地图或其他应用所需的地理位置数据，且无需揭示设备、Data Subject或相关方用户的身份。相反地，移动/可穿戴/便携式平台提供商可以使用该系统来向 911紧急系统提供相关于该设备，以及该设备的Data Subject或相关方用户的位置和身份数据。授权模块的一个示例性实现可以包括允许将请求生成DDID和相关联TDR的能力委托给由控制实体授权的其他方。

根据本发明的一项示例实施方式，接收实体可以使用关于移动/可穿戴/便携式设备相关方的信息，以便定制在相关方聚集位置处的用户体验或机会，而无需要求揭示个人的识别信息。例如，播放乡村西部音乐和福音音乐的乐队可以实时或接近实时地确定出席音乐会的大多数相关方更喜欢福音音乐，并通过接收作为音乐会出席者的Data Subject或相关方相关的TDR，做出他们对音乐会歌曲选择的相应调整。以此类推，在使用视频屏幕来显示商品或特价的商店中，商店管理可以通过接收和分析与作为来自移动/可穿戴/便携式设备中客户端的 Data Subject，或相关方顾客们的相关联TDR，进而实时知道他们在何时会有大量特定人口客户在商店中。然后，商店可以播放针对该特定人口的视频，并且响应于通过移动/可穿戴/便携式设备中的客户端传送到商店系统的关于Data Subject，或相关方人口统计上的变化，全天安排改变视频。从TDR的信息中获得的人口统计数据可能包括但不限于Data Subject或相关方的年龄、性别或收入水平。同样地，在使用实时地理位置来识别给定客户在店中特定位置的零售店中，通过接收和分析与Data Subject或相关方的个人喜好、品牌偏好和产品购买偏好相关联的TDR，可以经由他们的移动电话、平板电脑或可穿戴设备向作为Data Subject或相关方的客户提供特殊折扣或优惠，其中这种TDR还将包括基于Data Subject或相关方在该商店所在位置可获得的产品，实时添加的外源信息。

在本发明的一项示例性实现中，隐私服务器的抽象模块将DDID 分配给满足隐私客户端的请求，和/或来自隐私客户端的查询所必需的属性组合，隐私客户端可以驻留在许多位置，包括但不限于Data Subject设备、服务供应商设备、可通过云网络访问并驻留在云网络中，或者驻留在与隐私服务器相同的电脑设备上，从而在DDID和所期望的属性组合之间的关联期间内创建TDR。隐私客户端中的TDR可以在配置的时间、动作、活动、过程或特征内与接收方实体自由交互。一旦与指定的接收者实体的交互周期完成，在一项示例中，隐私客户端可以将由与隐私客户端的活动相关属性组合增强后的TDR，送返隐私服务器和关联的数据库。然后，隐私服务器可以将各种属性组合与特定的Data Subject相关联，以及在安全数据库中更新和存储用于 Data Subject的聚集数据简档中的属性组合。在这时候，在一项示例中，已分配给属性组合的DDID可以相对于其他动作、活动、过程或特征或DataSubject来重新分配，以继续混淆数据关系。

本文中还考虑了本发明的其他实现方式，包括各种系统和设备。在一项实施例中，在此公开了一种用于提高电子数据安全性的系统。在一项示例中，该系统可以包括：一个抽象模块，并被配置为将属性 (至少一个)与Data Subject(至少一个)动态式地关联起来；一个抽象模块，其被配置为生成DDID或接受或修改时间上唯一的、动态改变值以作为DDID，并且还进一步被配置为使DDID与至少一个 Data Subject相关联；一个维护模块，其被配置为跟踪与DDID相关的活动，并也被配置为与以下相关联：任何其他DDID、所跟踪的活动、以及通过时间键(TK)或其他方式使用DDID进行跟踪活动的时间段。在一项示例中，抽象模块被配置为添加或删除与至少一个Data Subject相关联的属性，而该抽象模块也可被配置为修改已经与至少一个Data Subject相关联的属性。

在另一实现中，在此公开的是一种用于网络上进行安全的、私有的、匿名的活动的设备。在一项示例中，所述设备可包括被配置为执行程序模块的处理器，其中所述程序模块至少包括隐私客户端模块；连接到所述处理器的存储器；以及用于通过网络接收数据的通信接口；其中所述隐私客户端可以驻留在Data Subject设备上，位于服务提供商设备上，可通过云网络访问并驻留在云网络中，或者驻留在与隐私服务器配置成相同的电脑设备上，以从隐私服务器接收包括在网络上进行活动所必需的DDID和相关数据属性TDR。在一项示例中，隐私客户端可以进一步被配置为捕获使用设备所进行的活动，并将该项所进行的活动与TDR相关联。在另一示例中，隐私客户端可以被配置为将捕获的活动和TDR发送到隐私服务器。在一项示例中，隐私客户端可以作为移动应用驻留在移动设备上。在另一示例中，隐私客户端可以驻留在作为基于云应用的网络中，并且可以经由网络访问。在另一示例中，隐私客户端可以驻留在隐私服务器作为本地应用程序驻留的相同电脑设备上。

在另一示例中，设备还可以包括地理定位模块，其中以来自地理定位模块的信息修改TDR，并且其中的TDR限制关于该设备身份信息的访问。该设备还可以包括被配置为允许用户修改TDR的用户接口，包括用于改变DDID或与特定TDR相关联的数据属性选项。用户界面可以包括用于仅与移动设备具有预定物理、虚拟或逻辑邻近性的其他网络设备共享TDR的可选择选项。

在另一示例中，响应于TDRs，设备可以基于设备的物理、虚拟或逻辑位置接收定向广告或营销信息；其中TDRs包括与设备用户相关的人口统计信息，并且还包括基于人口统计信息来接收定向广告或营销信息。在另一示例中，TDRS可以包括使用设备进行或期望进行的相关购买交易信息，并且还包括基于先前的或期望的购买交易，来接收目标广告或营销信息。

在本发明的另一实现中，在此公开了一种用于提供电子数据隐私和匿名性的系统。在一个示例中，该系统可以包括具有在用户设备上运行的第一隐私客户端的至少一个用户设备；具有在服务供应商设备上运行的第二隐私客户端的至少一个服务提供商设备；以及至少一个耦合到网络中的隐私服务器，与第一和第二隐私客户端通信的隐私服务器；其中隐私服务器包括抽象模块，该抽象模块将Data Subject以电子形式链接到数据属性和属性组合，并将数据分离成数据属性和属性组合，并且抽象模块将DDID与数据属性和属性组合相关联。在一项示例中，隐私服务器可以包括生成一个或多个所述DDID的认证模块。在另一示例中，隐私服务器可以包括维护模块，用以存储DDID与其相关联的数据属性和属性组合的组合。在另一示例中，隐私服务器可以包括验证模块，其验证数据属性、属性组合和DDID的完整性。在另一示例中，隐私服务器可以包括访问日志模块，该访问日志模块收集并存储与DDID和数据属性相关的信息，以便在发生错误的情况下用于一个或多个事故后的取证分析。在一项示例中，DDID在预定时间之后期满，并且在DDID期满之后，抽象模块将DDID分配给另一数据属性或Data Subject。

图1B突出显示了DDID的分配、应用、过期和回收可能将如何发生的一些示例。应该注意的是，在本发明实施例的潜在实现的前后关系中，DDID可以永远存在，但被重复用于多个Data Subject、数据属性、属性组合、动作、活动、过程和/或特征。虽然DDID可以重复使用，但除非需要并得到控制实体的授权，否则不能同时使用两个相同的DDID。DDID的重新分配可以通过利用数据收集和分析的现有能力来实现，以将DDID重新分配给相似的属性组合或Data Subject，或者重新分配给明显不同的属性组合或Data Subject。这种重新分配增强了动态创建和可变更数字DDID的隐私/匿名性和安全可行性。

如图1B所示，系统可以被配置为使得任何给定DDID的分配、期满和/或回收可以基于以下任何一个或多个因素而发生：(1)创建 DDID(和相关联的TDR)的目的改变，例如与特定浏览会话、Data Subject、事务或其他目的关联；(2)与DDID(和相关联的TDR)相关联的物理位置变化，例如，在退出物理位置时，在到达一般物理位置时，在到达特定物理位置时，在进入物理位置时，或在物理位置的一些其他标记时；(3)与DDID(和相关联的TDR)相关联的虚拟位置的变化，例如，在进入虚拟位置时，在改变虚拟位置时，在退出虚拟位置时，在到达网站上的特定页面时，在到达特定网站时，或其他虚拟位置标记；和/或(4)基于时间变化，例如在随机化的时间，在预定的时间，在指定的间隔，或一些其他基于时间的标准。如可以理解的，DDID 将数据与前后关系分开，因为在系统外部，在相关数据、Data Subject 或相关方的身份或与不同DDID和/或TDR相关联的前后关系数据之间，不存在可辨别的关系。在系统内部，维护关系信息以供Data Subject和可信方/代理授权使用。

图1C-1表示从信任方或可信代理的角度来看的信任圈(CoT)概念 (在图1C-1中表示为“可信代理”，在此称为“可信代理”和/或“信任方”)。首先请留意，Data Subject包含在左下角的图表中。大多数当前数据使用系统的示意图不包括Data Subject，因为DataSubject的参与通常采取二元决定的形式，即是否使用传统的“通知和同意”模型来同意“接受还是离开”的在线条款和条件。在该初始点之后，Data Subject 通常会失去影响一切在其数据上所发生事件的能力，因为“他们是产品，并非客户”。众所周知，这是数字时代的一个破碎模型，对当前或未来的数据使用几乎没有有效的限制。

应该留意的是，可能有一个以上的受信方与单个信任圈合作工作，并且DataSubject可以是任何数量信任圈的参与者。信任圈可以通过集中式或联合模型来实现，以提高安全性。图2中的箭头表示数据移动；数据输入和输出将包含不同的信息。

图1C-1示出了本发明的两个潜在实施例的数据处理流程。在本发明的第一示例实施例中，用户(1)可以通过形成一个或多个TDR (每个TDR最初可能由用于收集和保留与涉及TDR的活动相关的数据属性DDID所组成，或者由DDID以及从Data Subject汇总数据配置文件中检索到的数据属性或属性组合组成)来表明他们有兴趣使用该系统去创建有关特定Data Subject的数据输入(在此示例中，用户为Data Subject)，以参与，在本示例实施中浏览网站的所需操作。系统可以跟踪和收集与一个或多个TDR进行的，与浏览网页相关的数据，并将其传输到用作受信方或受信代理的控制实体(3)。反映结合网页浏览所收集的跟踪数据的TDR将显示来自浏览网页的输出，而作为信任方的控制实体可选择以该输出来扩充用户/Data Subject的聚集数据简档。在本发明的第二示例实施例中，用户(2)可以显示他们有兴趣使用该系统来创建该用户所具有的数据集私有化/匿名化版本，该数据集包含关于Data Subject(1)的个人信息。在该示例中，包含关于 Data Subject的个人信息用户数据集可以用作系统的输入。该系统可以识别并跟踪包含在反映个人信息的数据集中的数据值，并且由用作受信方或受信代理(3)的控制实体执行的处理可以选择替换所述个人信息为需要访问的一个或多个替换密钥(RK)，以重新识别有关 Data Subject的个人信息。在本例中，所得到的经修改数据集将代表来自包含动态改变的DDID系统输出，而非关于DataSubject的个人信息。以这种方式，RKs可以在未来被改变，使得关于任何一个或多个DataSubject的个人信息访问可以不再被重新识别，从而适用的 Data Subject具有“被遗忘的权利”，即他们可以从互联网上删除他们的数字痕迹。

如图1C-1中标记为“隐私策略”和“授权请求”的框中所示，数据使用可以由“用户”根据受信任方和/或代理管理的权限(“权限”)进行管理。“用户”可以是Data Subject本身，其为所讨论的数据的主体(例如，用户、消费者、病患等关于他们自己的数据-为了本文的目的称为，“主体用户”)；和/或不是所讨论的数据的主体的第三方(例如，供应商、商家、医疗保健供应商、被合法允许的政府实体等-为了本文的目的称为的，“非主体用户”)。

PERM涉及被允许的操作，例如哪些数据可以由谁使用，用于什么目的，什么时间段等。PERM还可以指定期望的匿名化级别，例如何时/在何处/如何在为Data Subject的身份和/或活动提供匿名的前后关系中使用DDID，何时使用与DDID相关的或替代DDID的其他隐私增强技术，何时提供识别信息以促进交易等。

在本发明的Data Subject实现(例如，DRMI)中，主体用户可以通过预先设置的策略(例如，金/银/铜-留意，这仅是个示例，并且在数学上，这可以是k个选择的离散集合，其或可由下限和上限之间的连续体上的值来代表)来建立用于使用他们的数据的定制PERM，其转换为细粒度的动态权限，或者可以选择“自定义”选项来指定更详细的动态参数。

在Dynamic Anonymity(DRMD)的“管理”实现中，非主题用户可以建立允许符合适用的公司、立法，和/或法规数据使用/隐私/匿名要求的数据使用/访问权限。

在图1C-1中反映出的基于PERMS的CoT内，可以通过关于一个或多个Data Subject的I、D、T和/或X的任意组合，或插值来执行商业智能、数据分析和其他的过程，如以下表3所示：

表3

图1C-2显示了从Data Subject的角度来看的信任圈(CoT)。

图1D显示了一个可以跟踪地理位置和血压水平的智能手机应用程序。使用Dynamic Anonymity，这样的设备可以将数据分成两个流，每个流都被隐蔽，以使任何一个流，如果被拦截和/或泄露(甚至在存储后进行检查)，都不会在未添加CoT中受保护的关键信息情况下泄露个人数据(PD)。

更具体地说，1D图说明了：

1.血压监测应用程序(A)联系信任圈(B)内的可信方，请求Data Subject 患者的DDID。

2.可信方的CoT为Data Subject提供DDD。

3.受信任方操作的应用程序发回两组周期性变化的信息(一组用于 GPS数据，一组用于血压水平)，每组由DDID、偏移量(以遮盖血压水平数据和地理位置)和加密密钥组成；每隔一个新时间段刷新一次。 (这些也存储到数据库中供以后使用。)

4.监控应用程序传输两个加密和隐蔽的数据流，到其公司网络内的 DynamicAnonymity控制的“代理”应用程序或网络设备(C)。(在此，位置和级别都应用了定期更改的偏移。)

5.“代理”(C)使用来自可信方的数据流(D，E)(仅包含解密密钥)，以便将传输的数据转换为“明文”。该代理还隐藏传入IP地址，并提供 DDID和遮盖的血压水平数据(F)的串流(包含多个Data Subject的信息)，或GPS位置(G)相应的数据库(H)及(I)。

在图ID中信任圈之外的每个点(以及智能手机本身之外)，病患者的数据都受到保护；没有个人数据(PD)可用或从未产生。

-来往于受信任方(1，2)的传输没有隐私/匿名损害个人数据，也没有任何存储在受信任方的数据库中。

-位置和血压水平(4)被分别传输(拦截任何一条流都不会显示任何内容)，通过DDID键入，并变得隐蔽，因此即使是数据本身也不会直接或间接显示，或包含关于患者真实位置或血压水平的任何内容。

-Dynamic Anonymity代理(C)必须连接到可信方才能解密数据(防止中间人攻击)。每一个在解密之后将和多个数据流合并在一起，使得始发IP地址不能与其解密数据相关联。

-一旦处于静止状态，当驻留在两个单独的数据库(H和I)中时，血压水平和位置数据都具有不同的DDID集，因此即使托管公司也无法在两者之间建立任何关联，更不用说将每个数据集与产生其的Data Subject联系起来。

图1E出示了使用本发明的一个实施例，该任务是帮忙一家为20 至30岁性传播疾病(STD)患者服务的新诊所选择位置。一个“净化的”数据集可以显示性传播疾病的发生率，按邻居聚集以保护隐私/匿名。另一个数据集则可以显示每个邻居中有多少患者。但是，即使这些是聚集在一起的，人们也不能确切地知道有多少已确定的性病病例属于特定的年龄段中。

通过支持两种不同的分析模式缓解了这种困境。

在数据必须暴露在外部(即CoT外部)的情况下，个人数据元素可以被隐蔽或编码为DDID，而所产生的关联存储则在CoT之内。此外，当需要时，数据(或字段)类型标识符也可以类似的方式被隐蔽。

稍后，在执行分析之后，可以(在允许的情况下)将该分析的结果与原始DataSubject、字段类型和值关联起来。

Dynamic Anonymity实现无损分析的另一种方式是通过使用联合的、匿名的查询，或者在CoT内的不同可信方之间，在相同可信方内的不同数据存储之间，或者在可信方和其数据存储驻留在CoT之外的应用程序开发人员之间。

再考虑一下选择在哪里为20至30岁性病患者设立诊所以提供服务的问题。Dynamic Anonymity系统通过允许目标查询工作跨越多个数据存储，并将其划分来使得每位参与者不知道其服务目的，改进现有技术，因此不存在泄露PD的风险。

在此场景中，一组(足够大的)地理区域内的20-30岁性病患者数量的查询将呈现给信任圈内的许多信任方。然后，此聚合查询被分解为几个步骤，例如：

1.在一些广阔的地理区域寻找20-30岁的患者。

2.仅选择性病患者。

3.仅选择其隐私/匿名策略允许此分析级别的用户。

4.将这些结果与这些患者的家庭地址“连接”起来。

5.按邻域汇总这些结果，仅显示患者数。

满足此查询所需的操作可以跨越完全不同的数据存储，并且是在不同的组织中-但受到信任圈的保护和益化。

图1E显示了以下流程：

1.潜在的诊所所有者向可信方发送查询，要求查找年龄在20-30岁之间的性病患者。

2.受信任方联系医疗保健相关数据存储，以查找20-30岁的性病患者。

3.相关保健数据存储(其存储是通过DDID而不是通过可识别关键字的判断)查找匹配记录。

4.然后将匹配的DDID传输回受信任方。

5.信任方接着解析这些DDID以揭开已识别的个人。

6.按其隐私/匿名策略，受信任方允许这种特定类型查询的人过滤该列表。

7.之后，CoT使用其地址的数据库来按邻域聚集计数(或发生频率，如果查询不完整)，以便产生所需的结果。

在这种情况下，运营医疗保健相关数据库的公司不需要知道(或泄露)他们拥有其数据患者的身份、位置或其他潜在的可识别信息。他们拥有的记录被DDID键入，并且也可能被遮蔽，因此在执行指定的查询或在传输结果时，也不会生成个人数据。

请留意，提出查询的一方无权访问此信息。他们与CoT的唯一交互包括提出一个问题并接收一个高级的、聚合的、非PD的结果。请留意，不能访问此信息绝不会影响最终结果的质量、准确度或精确度。Dynamic Anonymity因此消除了对最终结果毫无贡献的个人数据，以及仅用于削弱隐私/匿名性，而不会对任何其他方带来任何随之而来好处的数据。经由过滤掉不相关的数据(否则分析这些数据会消耗时间和资源)，Dynamic Anonymity实际上增加了所接收信息的效用和价值。

个人数据仅在受信任方管理的信任圈(此类信息的适当位置)内临时产生-例如当DDID被解析时。这样的操作是暂时的，除了预期的查询结果之外没有留下持久的跟踪，并且还可以限制在某些专用服务器上，以提高安全性。在信任圈的背景下使用DDID可以避免常规数据分析的潜在缺陷，该缺陷可能会产生歧视性甚至可识别的结果。

图1F出示了使用本发明的一个实施例，该实施例使到鞋子制造商能发送新鞋系列的优惠券予最近在某一城市内，做出相关于跑步运动网络搜索的人们。作为提供鞋子折扣的交换，制造商希望接收合格消费者的电子邮件和/或家庭地址，并向兑换优惠券的人发送一份调查，以评估他们对新鞋的满意度。

说明：

1.在CoT之外的制造商从搜索引擎购买匹配的DDID列表。

2.将DDID提交给一个或多个信任方，并附上录用函和允许访问(在接受后)DataSubject的电子邮件和/或家庭地址的政策修改。

3.接下来，每个受信任方将邀请函转发给与这些DDID匹配的Data Subject(如果他们已选择接受这样的提议)。

4.如果Data Subject接收者接受该提议，则以(可能是临时限制的)许可来更新接收者的政策，以便将他们的家庭和/或电子邮件地址透露给鞋子公司。

5.鞋子制造商，如今是CoT的一部分，但仅就这一特定报价而言，并且仅在最有限的意义上，然后接收那些希望接收优惠券的人的电子邮件和家庭地址的列表。请留意，此列表必须具有高度针对性和准确性，这样对鞋子制造商来说才具有最大价值。这正是CoT通过增加隐私/ 匿名性，也同时增加价值的方式。鞋制造商可以被保证的是，以这种方式所完成的所有邮寄，将被发送到那些对制造商的提议有重大兴趣的人。

图1G构建于图1D中的先前示例，其中启用GPS的血压监视器通过DynamicAnonymity安全地存储患者的所在位置和血压水平。

Dynamic Anonymity可用于：

1.避免对参与数据处理流程的业务伙伴施加HIPAA数据处理义务，如果他们拥有的数据不构成个人数据(PD)。

2.确保医生对数据的访问和使用满足HIPAA义务。

请留意，以下场景假设Data Subject患者和他/她的医生在信任圈内都有帐户。

说明：

1.监控应用程序与患者的可信方合作，以允许患者更新他/她的隐私/匿名政策规则，以便他/她的医生现在可以访问他/她的血压水平(但不能访问他/她的GPS位置数据)。请留意，此授权可以是临时的(类似于可以与Snapchat共享照片的时间限制性质-授权在一段时间后到期) 或持续。

2.医生(通过他/她的网页浏览器)浏览到血压监测仪的网站，该网站启动基于JavaScript的血压水平查看器应用程序，该应用程序因此在医师的浏览器中运行，而不是在监测公司的服务器上运行(即，使其个人可识别所需数据的拼接，通过本身可信的可信方服务器所完成-参见下面的步骤4和5)。

3.血压水平查看应用程序要求医生通过其信任方登录(类似于许多应用程序允许您使用

或

帐户进行身份验证的方式)，并接收会话cookie，该cookie继续向该方标识其等。 (

是Facebook，Inc.的商标)

4.在医生选择查看的时间范围后，查看器应用程序向受信方请求该患者的相关DDID和偏移量。

5.受信任方验证医生对此信息的访问(检查患者的隐私/匿名政策规则)，然后退还DDID和偏移量。

6.查看器应用程序接着联系其本身的公司网站，请求与那些DDID对应的血压数据，接收结果，应用偏移量，并将血压水平呈现为图表。

此时，医生屏幕上的图像是受HIPAA保护的PHI数据。如果医生打印数据，该论文将受HIPAA的约束。当医生完成查看图表时，他/她注销或关闭浏览器，应用程序结束，数据被擦除。

请留意，重新识别的HIPAA控制数据仅驻留在医生的浏览器中。存储在应用程序提供者的数据库中的原始血压水平数据保持不变和隐蔽。受信任方的数据也不受影响。

另请留意，查看血压数据的权限在信任圈内被强制执行。其不仅仅由查看器应用程序强制执行(就像今天的常见做法一样)-或者仅由应用程序的后端服务器强制执行。这意味着对手不能仅通过入侵血压水平查看器应用程序来获得未经授权的数据访问，因为数据不会以任何可用或可识别的形式存在。Dynamic Anonymity DDID的动态数据隐蔽能力与“信任圈”的动态数据隐私/匿名控制能力相结合，最大限度地提高了数据隐私/匿名性和价值，以支持个性化医学/医学研究。

关于图1H，1H-A中描述的不同节点代表与两个不同Data Subject相关的数据元素，这些Data Subject能够被第三方跟踪、简档和/或分析，因为这些可以与每个DataSubject相关联和/或为每个 Data Subject重新标识。1H-B代表相同数据元素的简化视觉描述，其可以在不丢失前后关系的情况下Dynamic Anonymity地保留。“家庭教育权利和隐私法”(FERPA)是一项联邦隐私法规，其规定了披露个人身份信息(PII)的学生教育记录访问和披露。FERPA规定不能披露PII，但是，如果从记录中删除PII，则该学生将成为匿名学生，隐私受到保护，并且由此产生的去识别数据可以被披露。除了法定定义的类别 (例如，姓名、地址、社会保险号、母亲的娘家姓等)，FERPA对PII 的定义还包括“...单独或结合在一起与特定学生相关联或可链接的其他信息，允许学校社区中对相关情况没有个人了解的合理人员以合理的确定性识别出该学生”。如1H-B所示，动态匿名性能够通过启用Anonos的信任圈(CoT)以受控方式隐蔽每个Data Subject和数据元素之间的连接，从而使教育相关数据能够在不披露PII的情况下使用。

图1I示出了根据本发明的一个实施例，该实施例用于执行解除关联级别确定(DLD)并创建匿名性测量得分(AMS)的过程示例。确定 DLD可能需要在解除关联之前对数据元素的唯一性进行数学和/或经验分析，以评估解除关联的程度，以减少未经适当许可的对手识别或重新关联的可能性。DLD值可以用作输入，以确定适合于不同类型的数据元素的相关解除关联/替换级别。

AMS可用于将与第三方的可识别个人敏感，和/或识别信息的可能性相关的数学推导的确定性水平与分层水平和/或匿名类别相关联。换言之，AMS值可用于评估来自解除关联/替换活动的输出，以确定在数据可以被使用前所需的同意级别/类型。

在图1I的步骤(1)中，数据属性可被评估以核定DLD，即，分析数据元素以确定直接或间接揭示期望匿名性保护的个人、敏感、标识或其他信息的潜在可能性。在步骤(2)中，至少部分地基于所确定的 DLD，可以借助于解除关联来动态地匿名化数据元素。此外，数据元素也可以进行替换。在步骤(3)中，可以例如借助于数学函数/算法(例如，其输出反映在图1J中的数学函数/算法)来执行计算，以计算AMS，该AMS与在用DIDD解除关联/替换之后的第三方可识别，以及所述数据属性相关的Data Sunject的身份可能性相关。最后，在步骤(4)中，在上面的步骤(3)中计算的得分/评级，可以用于指定匿名数据属性所属的DataSubject所需的同意/参与级别，相对于第三方在不需要Data Subject的同意/参与的情况下，第三方可对匿名数据属性行使什么级别的谨慎/使用，例如在下图1K中所反映的示例AMS使用情况所示。

不同类别的信息具有不同的可重新识别的统计可能性。每个数据元素具有与其相关联的固有唯一性级别，以及当与由位置、顺序和/或出现频率确定的其他数据组合时的唯一性级别。例如，看一下单个数据点，社会安全号码是非常独特的，因此比起如性别之类的单个数据点更容易被重新识别，因为每个人都有一个近似1∶1是男性或女性的概率。由于性别作为标识符的独特性不如社会安全号码，因此在独立的基础上，以性别来重新识别某人的可能性比社会安全号码小得多。

匿名性测量得分(AMS)测量方案根据应用于数据元素的解除关联和/或替换级别与程度，绑定重新识别的统计概率，以创建多个评级。作为单个数据点示例，根本没有被解除关联或替换的社会安全号码可能值得的AMS评级为100，这意味着独特性将其归类为重新识别的非常高的风险。而性别作为没有解除关联或替换的单个数据点标识符可能值得的AMS评分为10，因为其被分类为低风险的重新识别，即使没有适当的解除识别措施。

在将社会安全号码作为单一数据点的示例性实现中，级别1的实施可以就解除关联和/或替换的目的来分配DDID，同时保留初始的分配值-即永久分配(例如，其中数据被用作数据的硬拷贝代表的输出)。在社会安全号码的情况中，DDID的1级应用程序可以将AMS得分降低10％，并导致修改后的AMS得分为90。这仍然是与重新识别相关的高级别风险，但比非解除关联和/或被替换的元素更安全。

示例性的第2级实施中，社会安全号码可以具有为解除关联和/或替换目的而分配的DDID，同时保留初始分配的值，直到该值在单向基础上出现变化-即，即席可变性(例如，其中可以通过向远程卡、移动、可穿戴和/或包括电子接收和存储信息手段的其他便携式设备发送新信息，以单方面的改变数据值)。因此，社会安全号码的AMS分数可以再降低10％，以达到AMS的AMS分数。

在该示例中，接着持续到级别3的实施，其可以具有为了解除关联和/或替换的目的而分配的DDID，同时保留初始分配的值，但是 DDID可在双向的基础上进行改变，即动态可变性(例如，其中可以通过在客户端/服务器和/或云/企业设备之间的动态发送，和/或接收数据来双向更改数据值，并具有动态接收和更改指定数据的能力)。然后，社会安全号码将具有AMS得分，该得分将进一步降低50％，导致 AMS得分为40.5。

由于经由使用DDID而通过的解除关联和/或替换将解除识别措施是应用于数据点，因此降低了重新识别的风险。AMS分数确定是从一个或多个标识符一起被重新识别的可能性函数中导出的。这与用于混淆数据元素的过程相结合，之后可以被分成分类或其他类型的分类模式，以确定各种功能，例如所允许的使用以及在使用数据之前，实体所需要具有的许可级别。此过程也可以应用于单个或聚合的AMS 分数。聚合AMS得分是通过将AMS得分组合在一起，来表达的多个数据点重新识别可能性，以表示组合数据点的唯一性水平。

作为可能的类别分类模式的示例，AMS得分可以被分成类别A、 B和C。其中类别A是具有75或更多的单个或聚合得分的数据，可以仅在Data Subject的当前、明确和毫不含糊的同意下使用。类别B可以表示40到74.9的单个或聚合AMS得分，这意味着数据集可以与(i)当前或(ii)资料当事人事先明示同意。类别C可以代表39.9或更低的单个或聚合的AMS得分，这可以允许在不需要Data Subject同意的情况下使用数据集。

在图1J所公开的示例中，除了以上讨论的社会安全号码(即，信用卡号码、名字、姓氏、出生日期、年龄和性别)之外的其他每个标识符，在第一列中被以此类推的分配为非解除关联/被替换的AMS评级。在接下来的两个后续列(即，级别1和级别2)中，每一列的AMS分数都会连续减少10％，在最后一列(即3级)中，AMS分数会减少 50％，这会导致AMS分数降低，因为通过永久性分配(1级)使 DDID启用的混淆增加，)，临时更改(级别2)和动态更改(级别3)

如上所述，根据本发明的一个实施例，1J图示出了示例性计算的匿名性测量得分。这些AMS仅用于说明目的，并展示了以下事实：某些类型的潜在个人识别信息比其他类型的信息更有可能揭示Data Subject的真实身份，并且额外的解除关联/替换级别，例如，临时(即，级别2)和/或可变性(即，级别3)，可以增加由匿名化系统和方案提供给Data Subject的匿名量。

如上所述，根据本发明的一个实施例，图1K显示出Data Subject对于某些计算的匿名测量得分所需的同意/参与级别的示例性类别。这些分类仅用于说明目的，并证明了某些聚合分数可能应用不同类别来处理的事实。例如，A类数据可以仅在Data Subject的当前、明确和毫不含糊的同意下使用；而B类数据可以在Data Subject的当前或先前明确同意的情况下使用；C类数据则可以在不需要Data Subject的同意的情况下使用。其他方案也可以被采纳，以满足特定实现的需求。

图1L示出了出于紧急响应目的本发明DDID使用示例性实施例。在图1L所示的步骤(1)中，评估数据属性以确定适用的紧急响应区分- 例如，房屋是否位于洪泛区内，个人是否处于不能活动状态或需要特定的救生设备或医疗护理。在步骤(2)中，通过使用DDID解除关联和/ 或替换以保护公民的隐私/匿名性，可应用的数据元素由受信方动态地匿名化，并且将隐蔽的信息发送到DDID隐蔽紧急响应数据库。在步骤(3)中，可信方评估信息以确定与响应特定紧急情况相关的数据元素。最后，在步骤(4)中，受信任方向隐蔽的紧急响应数据库关联密钥(AK)，和/或替换密钥(RK)揭示在紧急事件和相关联的响应持续时间内由 DDID所代表的所需信息所需的密钥(AK)和/或替换密钥(RK)。

在图1L中反映的示例性实施例中，数据以动态DDID隐蔽状态驻留于紧急响应数据库中，使得识别信息只有直到适当的触发事件发生并提供必要的关联密钥(AK)和/或替换密钥(RK)时，才可辨别或重新识别。由受信任方执行的触发操作将根据事件类型，针对指定级别的隐蔽或透明度的适当数据部分发出时间敏感的AK/RK。标识的信息可以保存在紧急响应数据库内，但是是处于动态DDID的隐蔽状态；受信任方控制的数据映射引擎将维护与动态变化的DDID和AK/RK 有关的相关信息，这些是识别和/或重新识别仅在适当的紧急事件发生时才提供的数据所必需的信息。

系统外部的政策将确定哪些信息可能与不同的事件和事件阶段相关，以及在不同时间何种程度的隐蔽/透明度才是适当的，如此一来就不会一次过发布所有信息，从而不会无缘无故地发布无关且敏感的信息。之后将对这些权限进行编码，以便于在紧急情况下触发访问。与静态列表或单向通信的能力相比，该方法允许与受影响的个人进行双向通信，并验证受影响个人的位置。

AKs/RKs将在每次事件之后被改变并重新引入紧急响应数据库，使得信息将在DDID隐蔽状态下以持续的电子基础被保留下来，即在 AKs/RKs发布之前，需要一个新的触发器来通过新的AKs/RKs读取部分数据，以响应先前的事件(即，在紧急响应事件解决后，先前提供的AKs/RKs将不再显示与动态变化的DDID相关的潜在识别信息)。这将保护公民个人的隐私/匿名性，并允许在有限的时间内适当访问数据，以便同时在重大事件中保护他们的安全。在应急管理方面，这可以减少在大型事件期间对资源密集型信息获取和处理程序的需求。

此外，可以在事故期间添加与个人有关的新数据，例如在疏散期间指定“负责”或“失踪”状态。通过本发明的实施例，该新输入可以成为处于停滞状态个人的个人资料中的一部分，并且如果在类似或随后的紧急情况中有所帮助，则获保留以供将来授权使用。

在本地选择加入的例子中，公民可以注册以便获得存储在DDID 隐蔽应急数据库，相关于紧急情况的信息。应急数据库可以存储在本地或其他地方，但可以在跨管辖事件的情况下进行互操作。一旦公民数据被输入DDID隐蔽系统中，没有人能够以可识别或可重新识别的方式看到或访问该数据，直到受信任方控制的触发机制导致释放动态的、基于情景的AK/RK，这是识别/重新识别所存储数据的适当组件所必需的。

本发明的潜在实施例中的两个示例的紧急管理视图可以包括：

1.交互式屏幕可以显示允许地理信息系统(GIS)和其他数据与特定位置数据强制或有关联的覆盖图-即，点击房屋可以显示公民所提交的信息，以及管辖当局拥有的，关于主题产业以及相关灾害风险的信息。例如，洪水警报就是通知的一个很好的例子，该警报可根据不同的个人具体位置提供不同数量的信息。一般的洪水警告可能会发到整个地区，但专门针对的警告可能会发送给那些直接在洪泛区内，面临更大洪灾风险的人们。

2.可以扩充更传统的格式，如电子表格等，以提供非地理数据。

上述两种格式变化也可以是可互操作的，其中每一种数据都以交互或链接的方式在另一种类中互为代表。

在监视和警告的情况下，天气现象的位置(通过天气雷达、GIS 地图等确定)将确定所发布的信息子集，这些信息子集可在数据库内进一步被揭示。

在另一个例子中，可能有一个罪犯正在将特定的人口统计作为目标。在这种情况下，除了部分隐蔽的位置数据之外，诸如联系方式和人口统计信息之类的DDID也将是切题的，以便在发出的消息上创建通用周界。相关的数据字段及其DDID将被激活，以指向与人口统计相匹配的个人，并可能会在随后向他们发出犯罪活动的通知。

在需要疏散的紧急情况下，除了协助疏散或确定那些在紧急情况下可能需要额外援助的人之外，还可以触发此信息以帮助应急人员更有效地部署资源。在另一示例中，例如暴风雪，可以触发系统以通过与患者相关联的移动设备相关联的GPS位置信息，让急救人员确切地知道肾透析患者在他们的城市中的确切位置，以便通过雪地进行紧急运输-该信息将由不可辨别/不可重新识别的DDID显示，直到触发事件释放适用的AK/RK为止，以反映出适当的相关信息。

支持即时身份(JITI)的情景化安全性和隐私性

这里使用的术语“即时身份”和/或“JITI”指的是政策所描述的动态匿名方式与系统。这里使用的术语“JITI密钥”或术语“密钥”是指这里使用的术语“关联密钥”、“替换密钥”、“时间密钥”、“AKs”、“RKs”、“TKs”和/或“密钥”。

本节中公开的用于数据的通用粒度、前后关系、程序性保护的方法和系统将焦点转移到谁可以访问数据(因为没有Anonos即时身份 (JITI)密钥，数据是不可理解的)，并且将注意力重新集中到谁可以访问JITI密钥以及每个JITI密钥所支持的使用范围上。

通过在技术上和编程上以前后关系灵活、选择性的方式实施数据隐私和安全策略，直到更低的数据元素级别，甚至是单个数据元素级别，JITI最大限度地提高了数据的授权使用的同时，也最大限度地减少了未经授权的数据使用。JITI通过启用数据使用的数学、统计和/或精算测量及监控，促进既定隐私政策的遵守和可审计程度。JITI使相同的数据存储能够以编程方式同时支持适用于多个公司、州、地区、国家、行业等的隐私策略，并通过动态修改DDID转换成的可理解的数据形式，来进行实时调整，以便适应所述策略的不断变化需求。

利用JITI，通过用这里更全面描述的动态去标识符(DDID)替换数据，向下到最小所需数据元素级别(例如，下到单个数据级别)的数据被动态式地隐蔽起来。例如，不是存储一个人的实际姓名，而是以 DIDD来替换该人的名字。重要的是，JITI在数据层替换数据元素，而非在展示层屏蔽数据。通过用DDID替换数据元素，并进一步通过分离数据元素之间的关系，动态式隐蔽数据直至数据层的元素级别，并且在无需访问而将DDID“转换”为可理解形式所需的JITI密钥情况下，跟踪、剖析、推断、分析，或以其他方式直接或间接理解-或关联 -数据变得极其困难。为了本申请的目的，“变换”意味着(但不限于)通过机械、物理、电子、量子或其他手段对DDID进行校正、缩短、压缩、编码、替换、呈现、计算、翻译、加密、解密、替换、交换或以其他方式对DDID执行数学功能或可识别的操作。

返回到1H图，1H图左侧的领域表示数据元素，该元数据(即，提供关于其他数据信息的数据)代表，揭示了代表数据元素的顶部三个领域之间和之中的相互关系，以及代表数据元素的底部四个领域之间和之中的相互关系，从而实现由图1H左侧的球体之间和之中的虚线表示的跟踪、简档、推论、推断、分析、理解及相关性。在1H图的右侧，每个领域上的不同设计，表示用于替换该领域所代表的数据元素的唯一动态去标识符(DDID)。作为使用不同DDID的结果，没有元数据可以存在于或与1H图右侧的任何领域相关，以指示任何代表数据元素的领域在其之间或之中的任何相互关系。在无法访问将DDID 转换为可理解形式所需的JITI密钥的情况下，用DDID替换数据元素会显著增加成功尝试跟踪、分析、推理、推断、分析、理解或在代表数据元素的任何领域之间建立相关性的难度。

通过对前端进行精确的、前后关系相关的程序化执行，可以更轻松地审核后端数据的保护工作(例如，安全、隐私和/或匿名)政策的遵从性，从而增加了在国内，国际上广泛接受数据分析和使用所必需的问责制和信任度，并且最大化了数据价值，同时也改善了对相同数据的保护。基于数据的来源和/或使用，相同的数据可能受到不同的管辖要求。譬如，表示心率读数(例如，每分钟55次)的数据可能受到不同的隐私策略所影响，而这取决于数据是如何被捕获的。

举例而言，如果数据是通过美国的个人健康设备所捕获的，则数据的使用可能仅受用捕获信息的设备和/或应用程序的条款和条件的约束。如果与在美国提供医疗服务相关的数据被捕获，则数据的使用可能受联邦健康保险可移植性和责任法案(HIPAA)和适用的州法律所约束。如果数据是在与美国联邦资助的相关研究情况下所捕获的，则数据的使用可能受到“共同规则”的约束，例如：农业部编撰的7项“美国联邦法规法典”(CFR)第1c部分；能源部的10CFR第745部分；美国国家航空航天局(National Aeronautics And SpaceAdministration)的 14CFR第1230部分；商务部-国家标准与技术研究所(Department ofCommerce-National Institute of Standards and Technology)的 15CFR第27部分；消费者产品安全委员会(Consumer Product Safety Commission)的16CFR第1028部分；司法部.国家司法部的2224 CFR第60部分；国防部的28CFR第46部分；32CFR第219部分；教育部的34CFR第97部分；退伍军人事务部-研究监督办公室-研发办公室的38CFR第16部分；环境保护局-研发的40CFR第26部分；卫生和公共服务部制定的45CFR Part 46(也适用于中央情报局，国土安全部和社会保障局)；交通部提供的国土安全部49CFR第11部分。因此，也可能需要可扩展的程序性、通用数据保护和合规性技术解决方案(例如JITI)，除其他原因外，还可能需要适应于不同的企业、行业、政府、监管机构和/或其他利益相关者群体不同管辖权的隐私政策。

在一项优选实施例中，于此处公开的隐私政策的粒度、前后关系、程序性实施的方法和系统性的可能实现方式，包括实时去识别和匿名解决方案和/或服务，其有助于解决非计划性访问的忧虑，以及违反隐私政策所使用的数据，从而克服了其他保护数据方法的局限性。相反地，用于保护数据的其他方法(例如，改善数据的安全性、隐私和/或匿名性)一般都是二元的：或会在牺牲数据价值的情况下促进数据保护，或会在牺牲数据保护的情况下促进数据价值。例如，通过加密数据来提高数据安全性的努力会导致数据受到保护，但无法以其受保护的形式使用，或者相反，为了达到使用目的而解密数据时，数据变得容易受到攻击。

图1M比较了数据保护的其他方法(安全性和私密性)对数据价值的保存与本发明(即JITI)中的数据价值的保存(或扩展)所存在的影响，以及对在此也包含的其他发明的影响。图1M的列1表示二进制替换 (例如，加密)的效果，其中顶部的黑色领域显示原始数据的值(以不受保护的形式)，而虚线领域则表示当该数据处于受保护形式时的数据值丢失，使得其变得不可用。1M图的第2列代表数据价值减少，这是由于数据从生态系统中被移除，以回应针对数据被用于主要预期用途以外的用途(“数据最小化”)的担忧，以及使用传统静态方法隐蔽数据以实现会降低数据价值的去识别方式。图1M的第3列显示100％的数据值保留在JITI中。最后，图1M的第4列显示了由于使用JITI 而产生的积极数据融合的可能性。

值得一提的是，并非一定需要使用基于JITI的技术来代替其他已知的数据保护技术(即安全和隐私)。事实上，JITI可以与其他技术结合使用。使用JITI将数据呈现为DDID的主要好处是当其他方法失败时，如果不能访问JITI密钥(这是将DDID呈现为可理解形式所必需的)，则公开的数据既没有值也没有意义。

图1N显示了本JITI发明的一个潜在实施例中，两个重要的步骤。步骤1，即在图1N中水平分界线的上方，突出显示了消除数据元素之间的可见链接，使得一方不能推断或推断数据元素之间的关系。将数据元素呈现为DDID动态地隐蔽明文源数据。使用DDID呈现的数据仍然存在，但从信息论的角度来看，通过JITI键将理解数据所需的知识或前后关系与数据分离：因此，DDID不包含关于底层数据元素的信息。步骤2，即在图1N中的水平分隔线下方，涉及基于JITI键启用的策略控制(例如，目的，位置，时间和/或其他指定的触发因素)的JITI键分配，以允许选择性地公开数据；在选择性地揭示数据时，提供给每个密钥持有者的详细程度/清晰度(例如，原始明文、扰动值、摘要信息等)-也可以被动态控制。值得留意的是，对可以串行或并行进行的不同选择性公开数量没有限制。对可以进行任何一项或多项披露的不同授权用户的数量没有限制；对此类披露的约束或政策(例如时间，目的，地点，其他(关联，关系，数量)等)没有限制。

JITI对数据保护(例如，数据安全、隐私和/或匿名)政策的粒度、前后关系、程序化的实施支持对发生数据泄露和/或数据重新识别的概率，或此类事件的等级排序(即非参数方法)的统计评估。从信息论的角度来看，JITI比其他保护数据的方法更有效，因为数据的价值仍然是可访问的，但标识信息是不可访问的。换句话说，识别信息没有泄漏，意味着零信息被泄漏，与此同时，以积极的方式安全有意地“泄露”了数据的价值(其本身可能会受到标准信息理论的优化)，这意味着该值可供授权用户使用。

JITI的粒度、前后关系、程序化结构支持显著降低数据泄露或重新识别概率的数学证据。JITI有效性的数学证明中的一个例子，是由数据科学家分析所得出的结论，已经被DDID替换到数据元素级别的数据(在此称为“Anonosizing”数据的过程)不会导致比猜测高度加密数据身份更大的重新识别概率。然而，与加密的和其他非“Anonosize”数据不同的是，Anonosize数据可以在其受保护的形式中使用，以从数据中生成价值。此外：(a)可以在不同的时间和/或不同的地点和/或不同的目的和/或根据其他标准将不同的DDID分配给相同的数据元素，从而使未拥有JITI密钥的各方极难跟踪、剖面、推定、推衍、分析或以其他方式理解受保护数据；以及(b)如果同一个DDID因任何原因过期，则可以(但无需)分配给不同的数据元素，也可以在不同的时间和/或不同的地点和/或不同的目的和/或根据其他标准，从而使得插队方或其他“不良行为者”极难建立任何有意义的连续性或审计线索，因为这些重新分配的DDID将引用与其等已分配到的任何数据元素没有任何有意义的关系(无论是否相关)的数据元素。返回参考1B图以了解可能触发的DDID和/或JITI密钥的分配、应用、过期和回收标准。

JITI对隐私政策的粒度、前后关系和程序性实施严重贬低了“Mosaic Effect”-该定义为即使数据本身无法识别，数据在与其他数据组合时也会带来隐私或安全风险。例如，哈佛大学政府和科技学院常驻教授Latanya Sweeney因透露了此信息而被记上一功，只要知道三个互不相连的标识符-(1)邮政编码，(2)性别和(3)出生日期-即可以导致87％的美国人口(即当时的2.48亿美国公民中的2.16亿)被单个的重新识别。然而，要做到这一点，必须知道同一个人的邮政编码、性别和出生日期才行。使用JITI，可以通过将每个数据元素与一个不同的(或动态更改的)DDID关联起来，而不是将所有三个数据元素与相同的静态标识符关联起来，来隐蔽这些数据元素的所有者。有了 JITI，就很难知道邮政编码、性别或出生日期是适用于一个人还是多个人的-从而严重贬低了“Mosaic Effect”。

在此公开的用于粒度的、前后关系的、程序性的数据保护方法和系统的一个潜在实现将涉及开发数学/统计/精算模型以减少保险风险。在此公开的关于数据粒度，前后关系驱动的程序性保护，可以根据需要对合规性进行数学测量，以开发能更好地评估价格并确保防范风险的算法。通过在个人消费者层面确保数据安全、隐私和/或匿名性的保护，使得在更广泛、更具人口代表性的基础上聚集更多的数据变得更可被接受，这可提高与风险相关的数据准确性和价值。

在此公开的用于粒度、前后关系的、程序性的数据保护方法和系统的另一个潜在实施例是，在呈现DDID之前，需要使用多个JITI密钥以确保多个相关方的同意。需要多个JITI密钥(即“n of m”模型，其中需要所有可用密钥片段或特定百分比的可用密钥片段)来从 DDID中解锁数据值，以确保在多利益相关者或高度敏感的数据访问/ 披露情况下，各个利益相关者的利益都获得尊重。

在此公开的用于粒度的、前后关系的、程序性的数据保护方法和系统的另外的潜在实施例，是封装高度细粒度(对于JITI密钥触发器与数据元素的比率低至1∶1，尽管这不应解释为限制JITI密钥触发器与数据之间的多对一，一对多或多对多映射元件，因为这样的实施例也有被预想到)的访问规则，该规则在多个潜在参数之间，不受限制地规定了授权将DDID转换成的任何、部分或全部程度、前后关系、专用性、抽象、语言和准确性。在本实施例中，可以将访问规则编码为一个或多个JITI密钥，这些JITI密钥是通过编程强制实施的，以确保DDID被解锁并且其原始内容被显示，但仅当所有显式访问规则被遵守和强制实施时。JITI通过启用“覆盖”来支持已分配的JITI密钥中，所包含的多个和/或级联策略，如此一来，当应用多个策略时，将仅执行限制性最强的适用策略；或者，可以结合使用限制性最强的策略，以静态、动态以及在任何批量，近实时和实时方案中创建新的“最大”受限策略。

1P-1图突出显示了如何使用一位假想消费者“Scott”(由静态匿名标识符7abc1a23所代表的4个不同购买交易中)所输入的金融交易中捕获的元数据来重新识别他。使用JITI，在第一次的7abc1a23分配之后，于1P-1图中每次出现的，代表“Scott”的静态匿名标识符 7abc1a23会被一个DDID所替换。

另一方面，1P-2图显示的7abc1a23 DDID仅出现过一次，并且在7abc1a23先前出现的三个其他事务记录中，出现的反而是DDID： 54#3216，DeTym321和HHyargLM。使用JITI来更改引用Scott的 DDID，可以有效地取消Scott的每笔交易标识-从而为他提供每笔交易的JITI。因此，无法通过关联这些动态匿名标识符来重新识别 Scott。

不同的JITI密钥可以“解锁”相同的DDID或其基础值的不同视图，从而基于所述用户对数据的授权使用的前后关系(例如，授权的目的、地点、时间或其他使用属性)，提供对每个用户可见的详细程度或隐蔽程度的粒度控制。为了本申请的目的，“解锁”意味着解码、翻译、揭开、永久或短暂地变得可见，或提供由较大数据集的子集组成的唯一“切片”，其中这样的切片可以不包含数据元素、单个数据元素或任何数量的数据元素的任何组合。JITI密钥将DDID呈现为可理解的形式是由规定的JITI密钥触发因素(例如，目的，地点，时间和/或其他指定的触发因素)所触发的，这些触发因素可以单独使用或与其他触发因素结合来使用。因此，所有基于满足JITI密钥触发因素的 DDID(包括隐蔽的DDID)都将以不同的方式呈现给不同的用户和/ 或不同的时间，和/或在不同的位置和/或使用的其他属性。如上所述，图1B描述了可以触发关于数据元素(例如，数据属性和/或属性组合) 和/或JITI密钥的DDID的分配、应用、期满和回收的各种示例性事件。

本发明的另一项示例实施例涉及医疗服务。在该示例实施例中，将每分钟55心跳(BPM)的明文值替换为具有“ABCD”值的DDID。留意，仅仅为了简化说明的目的，在本申请中提供的示例DDID通常呈现的长度为几个字符，但在实际实施例中，这些DDID可以是任何有限的长度。此潜在示例中使用的DDID，ABCD被编程为其未更改的原始值”55BPM”，仅由那些JITI密钥的所述密钥持有者满足以下所有适用要求所呈现(所谓“适用”，是指JITI密钥访问可以基于下面列出的一个、部分或全部属性)：

1.)基于目的：在本例中，关于以下内容：

a.验证密钥持有者的身份(例如，通过密码、多因素验证或任何其他验证过程)；和/或

b.授权个人密钥持有者查看JITI密钥授权数据(例如，通过将密钥持有者的认证身份与分配给照顾患者的医务人员的身份进行比较)，或者通过继承属性(例如，来自个人所属的任何大小的集合、组、类或其他结构)，来间接授权所述密钥持有者，以便能够对源数据进行JITI访问。

2.)基于物理位置：在此示例中，关于以下各项：

a.)与向患者提供护理或为患者提供护理相关的物理位置(例如，在距离患者房间和/或与患者房间位于同一楼层的医疗站的指定距离内)；和 /或

b.)属于经过认证和授权人员的物理位置((例如，在与每个经认证和授权的护士的个人准备存放的移动电话、设备和/或传感器的指定距离内)。

3.)基于暂时的(时间)：验证允许的时间段(例如，通过将当时的时间与密钥持有者计划为患者提供护理的时间来进行比较)。

图1Q示出了上述医疗服务实施例。例如，授权医疗提供者在患者房间或相关联的医疗站的指定距离内的移动期间内所使用的第一JITI密钥，可以被配置为解锁DDID“ABCD”的全部原始值，因此提供者将被显示为“55BPM”。由授权医疗服务提供者在其轮班期间使用的第二个JITI密钥，但超出患者房间或相关医疗站的指定距离，将被配置为解锁DDID“ABCD”原始值的受干扰(例如更改)版本，则提供者将看到“50-60 BPM”的范围。授权医疗服务提供者在其轮班时间之外，以及距离患者房间或相关医疗站指定距离之外使用的第三个JITI 密钥，将被配置为解锁有关DDID“ABCD”的原始值描述性陈述，因此将向提供者显示出“正常心率”的说明，然而缺少有关患者心率的任何及时信息。第四种情况，其中授权的医疗提供者(在成功的认证动作之后)拥有第四JITI密钥，该第四JITI密钥未被授权去揭示特定于患者的心率数据信息，从而防止了提供者看到除了DDID之外的任何信息。以此类推，如果没有提供JITI密钥，或者如果未经过身份验证和授权人试图使用JITI密钥，则该人将看不到除DDID以外的任何信息。

图1R示出了用于支持上述JITI的示例性医疗服务实施例的一个潜在架构实施例。在这个潜在的实施例中，通过使用以下称为“Anonos JITI政策引擎”的方式，“认证模块”用于验证用户授权以检索DDID，但随后各种JITI密钥场景的顺序和应用将决定源值在多大程度上被揭示，并退还给医疗供应者。用户使用“查询界面”与政策引擎进行交互，政策引擎依次访问“Anonos平台”(例如，DDID， JITI密钥，角色和策略(确定DDID何时转换)以及DVAL(为 DDID提供另一种抽象级别)中的数据和“信息平台”中的数据(例如，已在数据元素级别用DDID替换的主要数据)。这个潜在的实施例说明，即使对活跃用户进行了信任和正确的身份验证，仅拥有DDID也可能不足以解锁任何原始数据元素。每以个针对存储数据的操作都必须与DDID和允许的一个或多个有效JITI密钥集协同工作。在所有其他情况下，“结束会话”步骤导致“失败关闭”(即，拒绝访问并停止、关闭、终止应用程序等-视特定情况而定)，并且系统将不会返回任何含值的数据。

以下描述既不包括所有可能的考虑因素，也不打算定义最小或最大范围。例如，尽管以下描述使用传统的表格数据库结构，但其只是实现的单个示例和单个实施例。JITI可以使用NoSQL和/或其他方法来实现，包括但不限于新兴技术，例如量子数据库、量子关系数据库、图形数据库、三重存储(RDF)或S3DB(作为在语义网上表示数据的一种方法，没有关系/XML模式的严格性)。

此外，任何此类方法和/或数据库都可用于支持、实现和/或集成到隐私客户端和/或隐私服务器的创建、实现和/或部署中，这些客户端和/或服务器本身用于支持JITI的实现或本发明或同一家族的专利，或任何专利申请书中所述发明的其他方面。隐私客户端和隐私服务器中的一个或两个可以与客户端应用程序集成，由客户端应用程序控制，和/或由客户端应用程序填充数据，其中，在某些实施例中，该应用程序可以(i)在未连接到因特网的孤立电脑设备上运行；(ii)在直接或间接连接到因特网的移动设备上运行，包括物联网设备；(iii)直接作为应用程序运行，或通过其自身运行在任何标准互联网浏览器 (如Chrome、Internet Explorer、Microsoft Edge、Firefox、Opera、 Safari、原生Android浏览器等)上的应用程序运行；和/或(iv)利用通常与之相关或部分相关的组件和服务语义网。同样地，下面描述的各种查询和记录创建/修改事件决不以任何方式将实施例限制为关系数据库管理系统(RDBMS)类型的设计。

如本文中所描述的涉及DDID和JITI密钥的本发明的实施例可以至少包括一种实现，其中隐私客户端(并且最多包括隐私客户端和隐私服务器，以及数量分别等于一个或多个的此类客户端和服务器的实例)将驻留在客户端侧(例如，作为在浏览器中运行的应用的一部分，在虚拟的，此处描述的任何类型的物理或逻辑计算设备，可以在其上运行“隐私客户端”，以及在其上运行的此类设备或应用程序与此类浏览器直接或间接进行交互的位置)。其中一个使用DDID和JITI 密钥的潜在实现，可以利用语义网(通过万维网联盟(W3C)制定的标准(如资源描述框架或RDF)扩展Web)作为统一电脑环境的能力。

1S图示了JITI启用的系统的一个潜在JITI启用的实施例，该系统使用本机支持OpenHealth平台(OH)、W3C标准化、数据管理资源，例如NoSQL IndexedDB，其中“隐私客户端”和/或“隐私服务器”中的一个或两个可以驻留在OH平台上，或逻辑上在“OH平台”之后。留意，与1S图的示例A对比，在1S图的示例B中，所有数据和电脑运算，包括但不限于隐私客户端和/或隐私服务器功能，可以由数据提供者或域消费者来执行，使得将不再需要专用电脑基础设施来支持 JITI启用或其他操作。通过语义网将OH实现为JITI启用的部署， OH可以管理和协调与健康相关的数字资产，以同时最大化数据价值和数据保护(安全和隐私)，而不受服务器端资源的限制，因为从资源角度看来，在最佳情况下，任何隐私客户端和任何隐私服务器都不会消耗任何此类资源，从而实现并提供更大的可扩展性。

与传统DB不同，原始数据不能存储在启用JITI的系统的主DB 中(即，仅可以存储DDID数据)。相反，可能有两个数据库：“主DB” (具有DDID数据)和“JITI DB”，其中包含在逐个单元的基础上，对主 DB进行解密的密钥。在这个例子中，“主DB”中的每个新值被分配一个唯一的DDID值，长度为8个字符，其中每个字符都是字符类a-z， A-Z，0-9的成员。(这样的语法和结构约束是任意的，并且可以被重新配置以适应任何特定的部署或政策目标，包括定义符合源数据字段类型的原始语法要求的DDID语法，同时仍然插入不具有比通过猜测，更有可能拥有重新识别机会的随机值。)总体而言，每个字符有62个可能的值(26个小写字母+26个大写字母+10个数字)。因此，有 62^8(大约2.1834＊10^14)个可能的值(通过添加额外的字符来获得更高的无序状态测量法，而这个范围将能显著增加)。在将来，很容易被改变为BASE64(或其他一些编码方式)-在这个示例实施例中，这个选择只是为了美学价值。

在一项实施例中，还可以为主DB中的每个DDID的基础值分配新的、独特的8字符号DDID。为了方便起见，为了区分DDID的基础值与DDID本身，我们将DDID的基础值称为”DVAL”。为简单起见，只要经过独特性检查，随机的8字符DVAL就足够了。对于将来的使用，随机生成可能不足以处理非常大的数据集(万亿条记录)。不使用序列值(如a aaaaaaa、aaaaaaaa b)，因为如果原始表的顺序已知(如在数据库导入期间)，则可以使用序列唯一ID来发起推断攻击。不使用顺序值(如aaaaaaaa，aaaaaab)，因为如果知道原始表的排序 (例如在数据库导入期间)，则可以使用顺序独特的ID来发起推理攻击。

在一项实施例中，将使用AES对每个原始值进行加密，由于不同的初始化向量，即使对于相同的明文，AES也会产生独特的密文。例如，以下的表4中，给出了一组示例性的“原始”值。

表4

姓名	生日	位置
			约翰	1940年10月9日	炼狱
保罗	1942年6月18日	圣约翰树林
			乔治	1943年2月25日	天堂
林戈	1940年7月7日	洛杉矶

表4中示出DVAL的·值，可能(具有随机生成)是以下表5中所示的值。

表5

姓名	生日	位置
			93ziqklq	75goAaoa	ukyg8tbd
8sydz6q4	B5hnpkiE	7y6E21lg
			Ct1tsBA0	Fp950mby	fbwui9ja
3mtxke9c	btoml49f	eFinqw1q

为了将每个DVAL与其原始值重新关联，可以将每个DVAL与其加密的密文和初始化向量(IV)一起写入DVAL表，如以下表6所示 (AES使用“仅用于演示目的”的密钥加密)。

表6

在另一项实施例中，单向哈希函数可以用于生成使每个原始值变得隐蔽的DDID。在又一项实施例中，可以使用与DDID，其基础值或任何其他相关数据不相关并且不以任何方式相关的各种随机过程来生成DDID。(例如，全世界分为8个字符串的邮政编码列表，并以每15分钟随机使用)。

回到AES的示例，初始化向量(IV)可以与密文一起传递，因为密钥是保持数据机密的密钥。IV的一个好处是相同的明文值可以有不同的密文。例如，如果有10个具有相同姓氏或邮政编码的记录，尽管这10个名称或邮政编码的明文值相同，然而DVAL、密文和IV都将是独特的。

要查询Anonosized数据库，用户需要具有通过JITI密钥的权限。这些大都旨在应用于特定在预期目的、地点、使用时间和其他相关属性的策略控制商。此外，JITI密钥可以强制基于到期的约束，导致相对于一个优选实施例，产生三重度量：查询约束、显示约束和时间约束。JITI密钥可以存储在JITI密钥DB中并提供粒度访问控制；同时还可以确定如何显示原始数据(例如，以DDID形式，通过转换规则中的一种来进行转换，或以原始形式)。

“Anonosizing”数据的方法

如上所述，术语“anonosize”和/或“anonosizing”指的是以DDID 来替换数据，直至数据元素级别。更具体地说，这里使用的 anonosizing可以指在受控条件下编码和解码数据，以支持这样的数据特定用途，例如，在由一个data subject或授权的第三方所授权的指定上下文中。

Anonosizing数据的实现可以允许数据管理系统保有以其原始值 (例如，经济、智能或其他)和效用，原封不动地再现数据的能力，但是使所揭示的标识信息的级别能够被例如data subject和/或授权的第三方所授权。

在一些实施例中，数据揭示可以仅在于支持每个指定数据所需要程度的运用上。通过anonosizing数据的控制，例如，通过在群体和/或个人队列内“识别”和“关联”数据元素，数据使用可以被限制为由特定数据主体data subject或授权的第三方许可的那些使用。如果出现新的授权数据使用，则可以保留所有原始数据值和效用，以支持数据主体或授权第三方授权的范围内的新数据使用，但可以防止不适当的，即未经许可的识别信息使用。

通过动态地改变DDIDs来Anonosizing数据，借此从基于“Mosaic Effect”而看似无法识别的数据中，最小化重新识别个人的能力。哈佛大学教授Latanya Sweeney拉坦亚·斯威尼的研究被引用为证据，证明出生日期、性别和邮政编码的知识足以识别多达87％的美国人。然而，为了结合出生日期、性别和邮政编码来实现87％的重新识别率，必须知道这三种信息是与同一个人有关的。作为使用DDID实现的动态示例，通过将不同的DDID与每一个生日，性别和邮政编码相关联，就无法确定给定的生日，性别或邮政编码是同一个人还是某种不同人的组合。因此，这种知识的缺乏克服了所谓的通过“Mosaic Effect”的重新识别。

因此，此处的anonosizing实施例可以包括：1.)提供一种方法来指定包含主要和/或辅助“准识别”数据元素的数据字段，即，那些揭示有关某个人的某些信息的数据元素，但并未明确地显示出该人的真实身份，这些数据元素将被R-DDID和/或A-DDID所取代；以及2.) 提供一种建立去引用政策规则的方法，以用R-DDID和/或A-DDID来替换主要和辅助“准标识”的数据元素和/或所述R-DDID和/或A-DDID 的特定格式要求，例如字段长度和字符类型(例如，字母，数字，字母数字组合等)，更改所述R-DDID和/或A-DDID的动态性需求(例如，引起更改的触发器，更改的频率等)。

数据Anonosizing政策管理和访问控制

尽管某些隐私权政策(例如那些实施模糊逻辑，非确定性或其他类似方法的隐私权政策)在关于允许或不允许接收者查看真正的基础数据的观点上，故意显得模棱两可，本文针对此类数据，描述了某些政策，这些政策能够在允许和不允许给定数据的视图之间，执行明确的“亮线”区分(例如，可以将每分钟65次的原始心率值转换为使用 A-DDID所隐蔽的NADEV)。具体而言，NADEV，无论是否被A- DDID所遮盖，都可以包括但不限于：(i)合成数据，即适用于给定情况的数据，这些数据不是通过直接测量所获，而是永久存储并用于进行商业流程(如下文进一步定义)；(ii)衍生值，即基于原始数据的逻辑扩展或修改的数据；(iii)广义数据，即从原始数据(例如类别或同类群组)中所推断或选择性提取而获得的数据的广义版本； (iv)聚合，即对同一记录或多个记录中的多个数据元素应用一种或多种算法的结果)。在一项示例中，第一个NADEV可以包括每分钟 61-70次的范围，而第二个NADEV可以简单地包括文本描述“正常”(每个可以被单独抑制或揭示)。此外，还可以单独指定被授权创建或使用这些视图的人员或实体(以及目的是什么)。这样的政策还可以提供时间参数的设置，管理何时授权或不授权创建或使用，以及位置的参数，例如，可以通过地名，GPS坐标或其他识别方式来控制在何处授权此类数据的创建或使用。

相对于非结构化数据，一种特定形式的广义数据出现了。根据维基百科，“非结构化数据(或非结构化信息)指的是没有预定义的数据模型或没有以预定义的方式来组织的信息。非结构化信息通常是文本密集的，但也可能包含日期、数字和事实等数据。这会招致不规则和模棱两可的情形，使得使用传统程序，比起数据库中以字段形式存储的其他数据或文档中带注释(语义标记)的其他数据更难理解。非结构化数据还可以包括多媒体数据，例如图片、音频、视频等。重要的是，无论这些数据是否是结构化的、非结构化的还是任何其他的组合，数据都可以是anonosized的。 https://en.wikipedia.org/wiki/Data_modelhttps://en.wikipedia.org/wik i/Plain_texthttps：//en.wikipedia.org/wiki/Ambiguitieshttps：//en.wikipe dia.org/wiki/Annotationhttps://en.wikipedia.org/wiki/Tag_(metadata)

于2016年，IBM表示：“今天，80％的数据来自以前未开发的、来自网络的非结构化信息，例如图像、社交媒体频道、新闻源、电子邮件、期刊、博客、图像、声音和视频。非结构化数据有时被称为“黑暗数据”，其包含了更快、更明智决策所需的重要洞察力。那么，剩下的20％是什么？那就是传统存在于数据仓库中的结构化数据，而且这也是很重要的。没有结构，你就无法生存。”IBM董事长、总裁兼首席执行官Ginni Rometty说：“首先，数据的现象。以前不可见的数据现在变得可见了，尤其是超过80％的“非结构化”-在书籍、文学和社交媒体中的自然语言......视频、音频、图像。越来越多来自物联网的信息。电脑可以处理非结构化数据，将之存储、保护、移动，但是传统的可编程电脑不能理解该数据。暗数据是通过各种电脑网络操作获取的数据，

但不以任何方式用于得出见解或用于决策。一家组织收集数据的能力可能超过其所能分析的数据吞吐量。在某些情况下，该组织甚至可能不知道正在收集数据。IBM估计，大约有90％由传感器和模数转换所产生的数据从未被使用过。在工业环境中，暗数据可以包括传感器和远程信息处理所收集到的信息。该术语的首次运用和定义似乎是来自咨询公司Gartner。组织保留暗数据的原因有很多，据估计，大多数公司只分析他们所拥有的数据当中的1％。而一般上存储该数据是为了遵守法规和保存记录。一些组织认为，一旦他们获得更好的分析和商业智能技术来处理信息，在未来暗数据可能会对他们有用。因为存储成本低廉，所以存储数据很容易。然而，存储和保护数据通常需要比潜在回报利润更大的费用(甚至风险)。“Anonosialization也可以应用于这样的“暗数据”上。https://www.ibm.com/blogs/business- analytics/data-is- everywhere/https://www.ibm.com/ibm/ginni/01_06_2016.html

研究公司IDC和存储领域的领导者EMC(现在归戴尔电脑Dell Computer所有)预计，到2020年，数据将增长到40ZB(泽字节)，造成自2010年初以来的50倍增长率。Computerworld指出，非结构化信息可能占组织中所有数据70％-80％以上的数据。因此，在任何给定的组织中，任何保护数据隐私同时提高数据价值的方法，除了其他需求之外，是否极有可能(如果不是近乎确定的话)必须处理非结构化信息才能算是实际有用的。https://en.wikipedia.org/wiki/Zettabytes

例如，考虑但不限于电子医疗记录(EMR)。EMR不仅包含诸如红细胞计数、血压、ICD疾病代码等的特定数据，而且还包含主要 (如果不是排他地)由文本组成的“注释”字段。作为默认(即，作为自动选择加入，其可以被修改为选择退出)，此类Anonosialization的注释字段导致该字段到R-DID的去识别转换。然而，该注释字段所包含的内容也可能是有关数据主体Data Subject的重要医学特征，其中仅披露数个或可能就一个这样的特征也可能会导致数据主体Data Subject 被重新识别。例如，“链球菌性咽喉炎”是一种常见病，因此不太可能导致重新识别，“胰岛细胞癌”或全世界每年病例很少的疾病的披露 (甚至使用孤儿药)则是一种非常罕见的情况，以至于单独使用或与其他数据结合使用时，可以轻易地重新识别数据主体Data Subject。

如上所述，对此解决方案的首次尝试可能只是简单地anonosize 注释字段，意即将之替换为一个R-DDID，而该R-DDID本身不会显示注释字段中的任何信息，但是可以提供在受控条件下(例如，其中使用授权JITI密钥)检索整个注释字段的方法。A-DDID的运用提供了一种额外的方法。A-DDID使队列(例如，那些患有胰岛细胞癌的人、那些患有链球菌喉咙的人、那些患有精神分裂症和肠易激障碍的人-最后，也许是针对那些研究肠道微生物组的人，这现在被认为是与心理健康有关的)能够被识别(特别是手动；通过机器学习的应用；通过人工智能的应用；通过量子电脑的使用)，并且一旦被识别，就能以这样的A-DDID为代表。以这种方式，虽然A-DDID可以与范围(例如，收缩压140和160)相关联，但A-DDID也可以与EMR中注释字段内存在的特定条件相关联。然而，A-DDID的生成可能默认为选择退出，因此需要覆盖才能实际生成。此外，可以由任何注释字段的分析中导出的任何值，包括但不限于贝叶斯、马尔可夫或启发式分析，也可以用于定义队列的存在；并且该群组的成员资格可以通过一个分配给该群组所有记录的A-DDID来启用。除了这些应用之外，考虑非结构化数据的多媒体形式，例如MRI、CT、正电子发射断层扫描和超声波扫描等的输出，无论是以快照来代表(可能是X射线的情况)还是视频 (可能是正电子发射断层成像和超声波扫描的情况)。从这种多媒体数据中可提取的信息实际上是无限的，并且可以组织成无限或接近无限数量的队列。因此，A-DDID可以用于对从该可提取信息获得的任何队列进行去识别，以不可重新识别的方式将信息呈现给数据主体Data Subject，因为队列和与其相关联的数据值可以独立于数据主体Data Subject的身份而被使用。在所有上述情况下，那些需要使用所提取信息的人可以被授权(例如通过JITI密钥)，重新识别相关的A-DDID，这些A-DDID本身可以与其他A-DDID相关联，但不会与R-DDID相关联，或者如果相关联，则R-DDID访问将是不必要的-是以因此是未经授权的。由于R-DDID仅涉及数据主体Data Subject，因此研究人员仅需要通过重新识别A-DDID即可获得的医学信息，其中此类A- DDID不仅识别结构化数据，还识别非结构化数据(或从非结构化数据推断或推论得出的数据的结构化表示形式)，从而提高或最大化数据主体Data Subject的隐私权，并且也同样可以提高或最大化针对研究人员的数据价值。

根据一些实施例，在已经对相关数据集执行了一个或多个变换以产生NADEV或NADEV集之后，该所产生的数据集种的每个成员 (或其成员的任何组合)可以通过使用A-DDID被遮蔽或以其他方式被隐蔽到政策制定者所期望的程度，以便满足或超过隐私增强技术 (PETS)的需求，例如，公钥加密、k-匿名、l-多样性、引入“噪声”、差异隐私、同态加密、数字版权管理、身份管理、抑制和/或泛化。同时，可以将数据的值(例如，由诸如均值、联合均值、边际均值、方差、相关性、准确度、精确度等多个因素中的一个或多个来测量)保持在最大或最优水平(即，与原始未转换数据的值相比或输入数据进行进一步转换)。比起现有的数据隐蔽方法，这些技术具有优势，至少是由于现有方法通常是：(i)仅基于政策的(没有技术执行方法)；或(ii)如果是在技术上强制执行的，则通常会大大降低了数据价值，从而阻止期望的分析、关联、发现或突破的发生。

如前所述，在此公开的各种实施例中描述的数据anonosizing策略的应用提供了一种，以编程方式针对任何简单或复杂的数据，强制执行这些策略的方法。这种强制性质包括，但不限于，通过使用时间、目的和地点JITI密钥或值(或其他类型的基于访问控制的密钥或值) 的任何组合，对数据产生进一步的限制或排除。

使用这种数据anonosizing政策效用的一部分是来自于，策略以“原子”或“细胞”方式转换数据的能力，即，下至单个数据单元的级别，无论对于给定的实现可能是什么。数据的原子单元可以是单个数据或一组数据，其出于分析、关联、计算、匿名化等目的被视为单个实体。如下面参考图1U所讨论的，虽然之前的数据保护方法例如能够保护或加密二维数据集中的“逐行”或“按列”的数据，但这里所描述的技术可逐行、逐列、通过第3、第4或甚至第n维中的向量或通过其任何组合来保护或加密数据。此外，在此所描述的技术可以在相反的方向上应用，即，向下到多变量数据集中的单个单元的级别，或者应用于连续的、不连续的或离散的单元的任何集合或排列。这些“蜂窝操作”的能力，即抑制、泛化、公钥加密、k-匿名性、l-多样性、引入“噪声”、差分隐私、同态加密、数字权限管理、身份管理和其他PETS，可以通过anonosizing系统对每个数据或任何数据组进行标记化的能力来实现。

在蜂窝级的数据的标记化(即，anonosizing)也可以构建到 NADEV或其他值的层次结构中，以及对另一数据或数据组的引用上。所产生的令牌以及关于访问控制和授权的信息本身可能被存储在关系和查找数据库中，这些并且也可能通过使用A-DDID而变得隐蔽起来。给定策略的实现可以包括：(i)在元素或细胞水平上保护数据；(ii)控制披露何种资料，何时及/或披露多久，向谁披露及为甚麽目的披露；及/ 或(iii)控制披露数据的“清晰度”，例如，一个授权方可以在给定的授权时间和地点访问数据的明文值，然而只有NADEV所代表的数据真实值，可以向不需要访问该级别数据专用性的另一方进行披露。数据的受控揭示可以涉及某些随机、参数或非参数方面的使用，而且还包括控制以下揭示发生的能力：何时(即，在什么时间或时间)、地点(即，在什么物理或虚拟地点)以及为什么(即，出于什么目的或目的)。

1T图示出了根据本发明的一项实施例，用于实现数据去风险政策管理和访问控制系统的示例。首先，101表代表了源数据表的原始明文表现。如图所示，表101存储了表中的每个字段的不遮盖值，即，记录日期，姓名，bpm，地址，城市，州，国家和出生日期。表102 代表一个数据表，其中通过在数据元素级用令牌(即，假名)替换数据来转换数据。例如，表102的第二行中的每分钟节拍(bpm)值55已经被令牌值“RD-4a7e8d33”所替换，并且表102的第二行中的1944- 10-28的出生日期已经被令牌值“RD-4f0b03c0”所替换。表103代表了一个原始源数据表101种第二行的示范性数据揭示，其中来自该表的选择性数据(例如，bpm字段和出生日期字段)已经被揭示到数据元素级别，而其余数据保持anonosized/假名。表104代表NADEV的示例，即，基于一个或多个政策已经插入到数据表中的基础数据数字遮蔽、部分遮蔽、粒度化、过滤和/或变换版本。例如，如表104所示，从原始数据表101的第二行插入了对应于bpm值55的两个NADEV，并且从原始数据表101插入了对应于出生日值1944-10-28的三个NADEV。最后，表105表示被隐蔽、部分隐蔽、粒度化、过滤和/或变换成插入到所示的104表中的NADEV基础值的示例。如上所述，基于一个或多个适当的策略，仅必要的识别数据级别可以向给定的接收者做出揭示。例如，一位授权接收者可以接收bpm的“55”值，而另一位接收者可以接收“51-60”NADEV，而另一名接收者则可以接收“低”NADEV。同样地，一名授权接收者可以接收到关于出生日期“1944-10-28”的值，而另一位接收者则可以接收“1944-10”NADEV，另一名接收者可以接收“1944”NADEV，还有另一位接收者则是可以接收“1901-1950”NADEV。正如现在可以更充分地理解的那样，每个 NADEV对于基础数据都是准确的，尽管该数据是单独地或一起，都可能仅仅揭示具有更大或更小粒度程度的真实数据基础价值，一切取决于相关政策的实施和设计。

图1U示出了一项根据本发明实施例的各种数据去风险方案示例。例如，在方案106中示出了用于保护数据(例如，加密)的传统方法。方案106代表着“二进制”保护方案，换句话说，这样的方案要么透露每个单个数据元素(即，白方块)，要么根本没有数据元素(即，变暗的方块)。如方案107所示，保护数据的较新方法可以使得数据能够在‘2 维’的基础上被揭示或遮蔽。换句话说，数据的揭示可以是基于行或列来进行。最后，方案108反映在此描述的多维或‘n维’保护方案，其中数据可以在2维、3维或n维的基础上在单独的数据级别(包括单元的任何组合)上被揭示(或隐蔽)。

数据Anonosizing政策的虚拟市场

图1V示出了根据本发明一项实施例方案110中所示的，用于可供购买的各种数据去风险策略的市场示例。在此所述的电子市场能以出售，或以其他方式使内部或第三方隐私政策供应商提供许多不同的政策供消费。可以使用非参数度量(即等级排序)和/或给定政策的参数度量、分析和性能属性相对于定量或定性度量(例如，如表110所示的“准确性评级”或“隐私评级”)以及特定策略的“用户评级”来对政策进行排序。此外，排名和分析可以基于该政策对特定类型的隐私或数据值的挑战(即，110表中的“主题区域”)应用，例如，HIPAA、GLBA 或FERPA(在美国)或欧盟(EU)的“通用数据保护条例”(GDPR)。没有任何已知市场提供对特定隐私政策的质量和相关性的客观衡量，即基于其上下文使用和适用的法律和法规，其中即基于其上下文使用和适用的法律和法规，其中将对基础数据以技术方式实施该政策。

人工智能在数据Anonosization中的应用

如上所述，本发明的某些实施例可以使用类似于公司用于限制个人可以制作音乐、电影和其他数字内容的拷贝的那些类似于数字版权管理(DRM)的技术，并且通过对数据进行anonosizing处理，再加上通过使数据主体Data Subject或数据主体Data Subject信任的实体授权使用数据主体Data Subject的个人数据，将权力从数据的企业所有者转移到数据主体Data Subject。这个数据保护方案在此也被称为“隐私权利管理”(PRM)或“大隐私”。即使在不直接涉及数据主体Data Subject的情况下，PRM技术也会管理风险，以确保负责任地且尊重数据主体Data Subject权利的使用该数据。

PRM或BigPrivacy可用于将静态的、表面上匿名的标识符替换为DDID。如上所述，这些动态标识符封装数据，并在整个数据生命周期(乃至数据元素级别)中重新识别并提供对重新标识的控制。因此，基于技术强制的策略控制，相同的数据对不同的人有不同的含义。 BigPrivacy技术可以区分敏感或可识别数据到段，并取消引用这些段，例如，使用DDID指标来模糊分段数据元素的标识以及数据元素之间以及之间的关系。

PRM或BigPrivacy技术还可以对从不同应用程序和/或平台收集的数据施加通用数据架构，从而实现异构数据集之间的功能互操作性，以支持数据融合、大数据分析、机器学习和人工智能(AI)。然后，可以在受控条件下对匿名数据进行解码，以支持在指定上下文中的某些用途，即由数据主体或授权的第三方(即″受信任方″)授权。

此处描述的各种所谓的″智能策略合规性″系统和方法可能由人工智能算法组成，这些算法可以分析数据集的数据架构、元数据、结构和可选样本记录，以确定可用于模糊、概括或以其他方式转换数据集的算法操作，以便使用R-DDID和/或A-DDID符合预先确定的策略，如上所述。

根据一些实施例，智能策略合规性系统和方法可以通过分析数据的元数据对数据进行分类。例如，″patient_id″或″prescriber_id″等字段名称可能表示与医疗保健相关的数据集。高级分类技术，包括涉及远程数据查找、统计方法和其他算法的技术，可用于提高分类的准确性。数据集的样本记录(如果可用)可能会进一步提高分类的准确性。根据一些实施例，智能策略合规系统和方法产生的类别可能与行业垂直行业(如医疗保健)或特定产品和服务(例如移动电话通话记录) 保持一致。神经网络算法还可用于生成不同领域和行业垂直领域的概念模型，实现跨行业和跨垂直分类。例如，虽然飞机中的喷气发动机不同于水利涡轮机，但两者都具有引导液体或气体流动的能力。因此，可以生成一个概念模型，该模型可用于引导流量测量策略。

根据一些实施例，智能策略合规性系统和方法可以分析在先前为确定类别的数据配置的操作中提供给它的数据，例如，使用R-DDIDs 和/或A-DDIDs，如上所述。此分析可用于生成一组可应用于数据集的操作，以特定方式对其进行修改，例如，如上所述，通过使用R- DDIDs和/或A-DDIDs。例如，旨在遵守特定隐私相关策略的一组操作可能完全用R-DDID遮盖某人的姓名，同时通过A-DDID将此人的电话号码概括为仅区号。智能策略合规性系统和方法可以分析许多操作组合，以生成适合数据集的一个或多个操作组合。组合可以包含单个″最佳″组合、用户可选择的多个组合或任何其他组合集。

通过用户界面，用户可以修改智能策略合规性系统和方法生成的操作，或按样将其应用于数据。当用户做出这样的决定时，它可能会存储起来，作为反馈循环的一部分，有效地利用机器学习，使智能策略合规性系统和方法从成功和错误中学习。

图1W-1根据本发明的一个实施例说明了智能策略合规性引擎的示例。如图所示，用户可以使用用户界面与智能策略合规性引擎进行交互。策略合规性引擎可能包括运行一个或多个分类服务和一个或多个分析服务的软件。如上所述，分类服务可以使用与AI相关的技术 (包括机器学习)来确定在感兴趣的数据集中存储哪些类别的数据。同样，分析服务可能会分析确定的类别，并推荐一个或多个可能适合所管理数据类型的隐私政策。随着时间的推移，数据存储可用于存储和更新潜在的数据类别和相关政策，因为智能策略合规性系统使用机器学习或其他方法来″了解″哪些数据隐私和互化策略对于给定类型的数据集最有效(或首选，例如，由用户使用)。

图1W-2说明了一个示例流程图130，用于根据本发明的一个实施例使用智能策略合规性引擎。从流程图130的左侧开始，用户可以通过用户界面向数据隐私系统的分类服务提供数据集(包括任何相关元数据)。分类服务可能会从存储的数据存储中请求有关常用数据字段名称和数据类型及其关联的信息，这些信息与用户存储的特定类别的数据有关。得益于此存储的历史信息，分类服务可以应用AI技术对用户提供的传入数据集进行分类。然后，可以向数据隐私系统的分析服务提供确定的数据类别。同样，分析服务也可以从存储中请求有关已应用于以前类似数据集的数据匿名化操作的信息的数据存储。根据对返回信息的分析，分析服务可以做出各种策略决策，并将各种操作分配给数据集，以强制实施数据匿名化。然后，在将匿名化策略对数据集生效之前，用户可以通过用户界面检查和修改(如果需要)指定的操作和策略。然后将任何所需的修改存储在数据存储中，以便可以更新策略，并且可以将最终的一组策略操作返回给用户，以供批准并在所需的时间使用该数据集。

合成数据在数据匿名化中的应用和数据匿名化在合成数据中的应用

根据维基百科，如上文所述，合成数据是″根据《麦格劳-希尔科技术语词典》，适用于特定情况的任何生产数据，不是通过直接测量获得的；数据管理专家Craig S.Mullins将生产数据定义为″专业人员持续存储和使用用于执行业务流程的信息″。换句话说，合成数据是使用各种建模、统计、贝叶斯、马尔科夫安和其他方法创建的，但它不代表实际测量的任何真实数据。相反，合成数据是真实数据的模型。请注意，实际数据最终是指实际数据主体，而去标识的实际数据如果重新识别，将揭示这些数据主体的身份以及与这些数据主体相关的任何准标识符。相反，合成数据，无论是纯文本数据还是重新识别数据，并不是指真实世界的数据，而是指其模型。因此，虽然合成数据可能保留真实数据的某些抽象统计属性，但合成数据永远不能取消引用以生成真实数据，除非生成合成数据的应用程序仍然连接到或能够继续访问实际数据，在这种情况下，该应用程序的任何授权(或可能未经授权的)用户都可以访问实际数据。

上述建议的“隐私政策”可能包括但不限于使用合成数据。这是因为合成数据并不涉及真实数据中的实际数据主体，而与实际数据主体没有联系的数据原则上应保护数据主体的数据隐私。然而，正如本文在其他地方所解释的，这在实践中不一定是正确的。

因此，隐私权政策可以：(i)单独规定使用合成数据；(ii)指定合成数据的匿名处理，因为原则上可以对合成数据进行逆向工程以生成真实世界数据的模型，然后可以使用该模型来识别关联的实际真实世界数据集之间的高度相关性具有数据主体和模型，即应用于合成数据及其模型的马赛克效应；合成数据的匿名处理将使除授权方以外的所有用户都无法使用合成数据，从而降低了闯入者和不良行为者利用此潜在漏洞的能力；(iii)认识到合成数据生成器在有限的时间内必须能够访问基础真实数据，以便对合成数据进行建模，但在生成合成数据后，对基础真实数据这种访问的需要不再存在，因此可以通过使用JITI密钥终止，从而根据时间、地点和/或目的限制访问；(iv)将上述(ii)和(iii)两者结合起来，使合成数据不仅被加名，而且合成数据生成应用程序在合成数据生成后无法访问实际数据及其相关数据主体，和/或取决于生成数据的地点或原因(即目的)；(v)支持上述任何数据，其中某些基础数据是真实数据，有些是合成数据。

在一个实施例中，BigPrivacy可以支持一个隐私策略，该策略指定了一些、大部分或仅合成数据的使用。

在另一个实施例中，BigPrivacy可以支持部分、大部分或仅合成数据的匿名化，因此，即使是对合成数据的访问，也只能在有限的时间、有限的地点和/或出于有限的目的供授权方使用。

在另一个实施例中，BigPrivacy可支持仅在必要时间或规定地点或出于必要或与生成合成数据相关的指定目的限制对真实数据和相关数据主体的访问，无论合成数据最终包含要使用的部分、大部分或全部数据集。

在另一个实施例中，BigPrivacy可以支持部分、大部分或全部由上述任何组合构成的合成数据集的情况。

如本文所述，BigPrivacy技术可用于促进遵守监管和契约限制，以帮助释放数据的全部价值，例如，通过允许更多的数据使用，同时增强数据安全性和隐私。

BigPrivacy的一个示例性实施可用于帮助组织遵守新的数据保护制度，例如，通过说明而不是限制GDPR，该制度包含对欧盟数据主体的新保护，从2018年春季开始，对不符合要求的数据控制器和处理器处以重大罚款和处罚。GDPR适用于所有处理一个或多个欧盟公民个人数据的公司，无论公司位于何处或运营，自此日期起，提供高达全球总收入4％的罚款、集体诉讼、直接责任数据控制器和处理器、数据泄露通知义务等。

根据GDPR，公司不能依赖于之前的数据分析、人工智能或机器学习的方法和/或法律基础。虽然根据GDPR，同意仍然是合法基础，但根据GDPR，同意的定义受到很大限制。现在，同意必须″自由、具体、知情和明确地表明数据主体同意处理与其相关的个人数据″。如果数据处理存在模糊性和不确定性，则满足符合GDPR同意的这些要求，数据分析、人工智能或机器学习(例如大数据分析)通常就是这种情况。GDPR对同意的这些要求提高了，将风险从单个数据主体转移到数据控制器和处理器。在GDPR之前，未能完全理解广泛同意相关的风险由单个数据主体承担。根据GDPR，广泛同意不再为大数据提供足够的法律依据。因此，管理欧盟数据主体信息的数据控制器和处理器现在必须满足大数据处理的替代法律依据。公司可以通过满足 GDPR对″合法利益″的要求，为执行大数据处理的权利建立替代的法律依据，这要求满足两个新的技术要求：″假名化″和″数据″默认数据保护″，下文将更详细地讨论。

GDPR第四条第五项将″假名化″定义为要求将数据的信息价值与将数据与个人联系起来的方法分开。GDPR要求在数据和将数据连接 (或归属)给个人的方法之间进行技术和组织上的分离。传统方法，例如持久标识符和数据屏蔽，不能满足这一要求，因为数据元素之间的关联是有可能的，不需要访问将数据与个人链接的单独受保护的方法。将数据重新链接到个人的能力也称为“相关效应”、“通过链接攻击重新识别”或“马赛克效应”，因为有权访问数据的同一方可以将数据链接到特定个人。

GDPR第二十五条还规定了″默认数据保护″的新规定，要求默认情况下必须保护数据，并且需要使用数据的步骤(与GDPR前的默认值不同，默认情况下数据可供使用，步骤为(保护))，并要求这些步骤强制仅在任何给定时间、任何给定用户使用所需的数据，并且仅根据需要支持授权使用，然后重新保护数据。

BigPrivacy可能通过将数据的信息值与将数据重新归给个人的能力分离来支持假名化，并且还可以满足GDPR默认的数据保护要求，即仅披露在为给定用户指定时间，然后重新保护数据。BigPrivacy可用于通过将″受限数据元素″(例如GDPR下的″个人数据″、HIPAA 下的″受保护的健康信息″、合约性限制元素等)替换为动态更改的假名标记来满足这些要求，这些符号与查找表中的原始数据值相关联 (这些动态更改的假名此处称为R-DDIDs，因为假名标记标识符用于取消标识，在这种情况下，用去标识符以替换数据元素)。使用R- DDIDs，数据集可以使用不启用关联或″链接攻击″的符号进行严格化名，以回到不访问密钥的个人身份状态。此外，BigPrivacy可能会提供对更准确数据的访问，因为替代技术倾向于在广义的基础上应用PETs，即不知道哪些数据将用于什么目的，这会降低数据的价值。

如上所述，BigPrivacy中的第一步可能涉及使用R-DDIDs将同一数据元素的常见匹配项替换为不同的假名标记。第二步可能涉及插入可能反映或包含数据元素所属的″群组″、″范围″或″类″的NADEVs，而不提供将数据链接回个人的方法(即，不提供识别元素)。NADEV 的一个示例可能是将一个人的年龄与年龄范围的数字表示替换。在这样的例子中，任何年龄在特定年龄范围内的数据主体都将被分配相同的数字表示形式(即NADEV)，以反映它们属于该年龄的″类别″。对于不常见的NADEV，A-DDIDs还可用于将备用数据模型(相关或派生数据值)插入受保护的数据字段。可以将保护或模糊NADE值的通用A-DDIDs分配给同一队列或类别中的所有相同数据值(即 NADEVs)，因为不需要将这些NADEVs转换处理。以这种方式，队列标记完成，其中(i)队列的值，即NADEV本身，成为数据的主要标识符，即NADEV本质上充当A-DDID，因为额外的保护级别或模糊NADEV是没有必要的，相关的或选择的；或(ii)如果需要额外的数据保护，模糊NADEV的A-DDID将成为数据的主要标识符。根据当前方案，这种匿名化是不可能的，因为个人的身份是数据的主要标识符。

图1X-1显示了提供BigPrivacy(140)的应用程序的通用方法。每次访问隐私系统时，传入的数据可能通过一个“填隙片”应用程序发送到系统(例如，一个小的库，它透明地拦截API调用并更改传递的参数、处理操作本身或在其他地方重定向操作)。填隙片还可用于在不同于最初开发的程序的软件平台上运行程序。由于BigPrivacy的实现可能利用随机查找表，根据该表，R-DDIDs和/或A-DDIDs与基础数据值之间的相关性不是数学派生的，而是随机关联的，因此第三方无法重新识别基础数据，而无需访问正确的密钥。

如图1X-2所示，还可以通过使用系统(150)″在线″完成对角化，该系统(150)利用与浏览器、设备和传感器在网络上进行的数据通信，在数据入口或数据进入点实施取消识别和/或重新识别策略。

图1Y-1示出了用于提供BigPrivacy服务以去识别数据的基于云的平台和应用(160)。用户，自动化过程，连接互联网的设备或其他实体(“用户”)可以将“原始”数据(即，在取消标识之前存在的数据)以及可以指定数据属性的元数据发送给BigPrivacy云平台处理器 (步骤1)。可以将数据指定为单个数据元素，记录，整个数据集或其任意组合。系统可以通过分析提供的元数据并通过单独的界面查找去标识策略来确定如何处理该数据(步骤2)。取消标识策略接口下的策略可以存储在关系数据库中的“智能策略合规性”引擎中，也可以存储为服务器文件系统中的文件，或通过其他方式存储(步骤3)。确定要应用于用户提供的数据的策略后，系统可以根据策略取消该数据的标识。如果用户将系统配置为将取消标识的数据存储在数据存储、消息总线、映射减少系统或其他终结点中，则系统可能会将取消标识的数据发送到该目标(步骤4)。如果用户将系统配置为在″原始″数据元素与其去识别值(″R-DDIDs″)和NADEVs之间保留映射，则用户应采用非独占方式，这些值本身可能用作A-DDIDs或通过取消识别关联的A-DDIDs进行标识，然后系统可以在数据存储中建立持久映射，以便将来使用(步骤5)。标识符可以返回给用户，以便用户可以在将来引用取消标识的数据集或R-DDIDs与任何NADEVs、A-DDIDs 之间的映射(步骤6)。

上图1Y-1步骤5中描述的持久映射可能在未来某个时候，通过自动密钥生成服务或其他方式，用于创建重新识别密钥(例如，JITI 密钥)，该密钥可以还原部分或全部持久性R-DDIDs和在系统生成的去识别数据集中，NADEVs或A-DDIDs(或两者)。

图1Y-2展示了一个基于云的平台和应用程序，该平台和应用程序提供BigPrivacy来重新识别已经被删除的数据(170)，例如，参照图 1Y-1，在上面描述的BigPrivacy删除阶段。用户、自动流程、联网设备或其他实体(例如“用户”)可能要求重新标识一个或多个数据元素。用户通过引用在取消标识阶段返回给用户的唯一标识符、指定要显式重新标识的数据或其他方式，提供对数据进行重新标识的引用。用户还提供对JITI密钥的引用，该密钥包含指定的解除标识数据与其重新标识的对应数据之间的映射，例如，通过指定在解除标识阶段返回给用户的唯一标识符，等等(步骤1)。为了确保只有适当的实体可以访问重新标识的数据，系统可以使用JITI密钥管理服务(步骤2)在处理该请求之前对用户进行身份验证和授权(步骤3)。如上所述，参考图1Y- 1，系统还可以在数据存储中建立一个持久的映射，以供将来使用(步骤4)。然后，系统访问用户指定的解除标识数据和JITI密钥，根据 JITI密钥中包含的数据逆转解除标识映射，最后可能将请求的重新标识数据返回给用户或用户配置的另一个授权目的地(步骤5)。

可允许多个用户根据他们对基础数据元素的访问权限重新识别不同的R-DDIDs和A-DDIDs。访问权限验证可以通过标识执行(即，如果用户具有JITI密钥，用户可以通过访问请求访问身份验证和授权服务(例如LDAP)、通过地理、时间或其他参数或通过这些和/或其他方法的任意组合来显示该密钥中的所有数据。通过这种方式，不同的人、服务和/或其他实体可以根据访问数据的权限看到底层原始数据的不同“视图”。

BigPrivacy可能会在去识别阶段生成NADEVs(可能也被A- DDIDs模糊化)，从而在重新识别的数据需要用于分析或其他应用程序之前，预先计算重新识别数据集所需的派生、相关和/或合成数据。对于在重新标识阶段必须执行这些操作的系统，这表示在重新标识速度、服务器功耗、多租户能力和其他因素方面的改进。

图1Y-3演示了与提取、转换和加载(ETL)应用程序(180) 集成的BigPrivacy应用程序。用户可以使用ETL应用程序来协调、转换或以其他方式操作数据，以及使用BigPrivacy插件(也称为″加载项″)执行取消标识任务，即可在模块化方式在软件中添加或删除的功能)(步骤1)。使用ETL应用程序，用户可以在其本地计算机、公司数据中心、BigPrivacy平台和/或其他授权位置(步骤2)上存储已取消识别的数据和/或重新标识数据。通过使用协议和服务(如传输层安全(TLS)、虚拟专用网络(VPN)和其他方法，可以通过行业标准安全性实现用户ETL应用程序和BigPrivacy平台之间的连接。系统接收用户提供的取消识别数据和/或重新标识密钥数据并存储数据 (步骤3)。将来，对已取消标识数据的重新识别版本具有访问权限的另一个用户可能会与BigPrivacy交互，并要求重新标识最初与ETL 应用程序取消标识的一个或多个数据元素(步骤4)。

如上所述，对数据进行匿名处理的过程可以减少各个辖区的数据泄露通知义务和责任，例如：(i)在欧盟境内根据《GDPR》第33及34 条；(ii)在美国根据(a)联邦法规，如《HIPAA违规通知规则》， 45美国联邦法规§§164.400-414，以及(b)根据四十七个州，哥伦比亚特区，关岛，波多黎各和维尔京群岛的法律，立法要求私人或政府实体将涉及个人身份信息的安全泄露通知个人；和/或(iii)根据其他监管计划规定的其他类似通知义务。换句话说，如果一个匿名数据表被破坏，则数据保管人不必一定要通知数据主体该泄露，因为从重新识别的角度来看，数据将受到保护。此外，可以利用密钥管理系统的既定功能，使使用被盗密钥访问主表变得更加困难，例如，一个或多个″心跳″授权认证、多键要求、GPS要求等。可用于管理给定系统的密钥。此外，这些控制组合提供的访问权限的信息价值水平可能会受到个别的限制。

所有类型的BigPrivacy都可以通过匿名化支持NADEVs，从而支持使用这些NADEVs进行全面的性能分析和处理，而不需要对数据进行转换或引用去识别/再识别策略引擎、API调用或“填隙片”。具体而言，A-DDIDs可以直接处理，只有当实现去识别抽象级别的所需结果时，才会发出检索NADEV的″调用″。在这种情况下，可以只为 A-DDID显示与查询相关的队列或类的少数用户(例如，数据表中的 50个用户)检索NADEV，而绝大多数用户(例如，数据中的其余 500，000个用户)A-DDID与查询相关的队列或类不匹配，因此不必检索其数据。尽管有上述规定，BigPrivacy并不要求NADEV被A- DDID遮盖；它只是提供了这样做的方法和设备，如果NADEV不被A- DDID遮盖，则NADEV有效地充当A-DDID。

BigPrivacy也可能支持不同的抽象级别，其中除了仅支持初级和次要级别或表之外，其他级别或表(包括但不限于NADEV)可能代表 R-DDIDs和/或A-DDIDs，将数据与虚构的人员、公司和/或属性相关联，而这些人员、公司和/或属性不是引用主表所揭示的人员、公司和/ 或属性的″真实″性。这可以防止NADEVs、R-DDIDs和/或A-DDIDs 所涉及的“真实”人员、公司和/或属性的身份被披露，但可以指示 NADEVs、R-DDIDs和/或A-DDIDs与一个普通(但身份不明)人员、公司和/或属性相关。由于不同类型的数据控制器可能需要不同级别的标识数据，因此只有在满足其特定的授权需求时，才可以为它们提供对不同表、级别和/或JITI键的访问权限，而无需披露比授权级别更高的标识信息。

BigPrivacy还使数据处理者能够实现数据主体的个人″被遗忘的权利″(例如，根据GDPR第17条的要求)，例如，通过″删除″创建链接所需的密钥来删除与个人的链接。取消标识策略引擎，而无需删除数据本身。相反，只需要从查找表或数据库中删除数据与数据主体的真实标识之间的链接。

Anonosization在量子计算机，量子计算，量子密码学和量子隐私中的应用

我们对经典计算机(CCs)和量子计算机(QCs)的区别如下：这里使用的CCs是指二进制机器，其中最小的可表示信息是一个二进制数字 (或位，即二进制数)。，0或1)；这里使用的QCs是指量子机器，其中最小的可表示信息是一个量子比特(或量子位)。量子位元可以同时是0 或1或两者都是。量子位元通常是原子或光子，尽管它们原则上可以是任何足够小的粒子，例如。，量子力学原理适用的任何粒子。这种量子力学性质叫做叠加。此外，QC的量子位元是纠缠在一起的。这意味着当一个量子位元改变时，它也会影响其他量子位元。(相反，在 CCs中，比特是独立的，即，一个比特的改变并不一定意味着其他比特也会改变。

由于这两个属性(叠加和纠缠)，QC可以并行地同时执行大量计算(CC串行执行大量计算；或者它们需要额外的处理器来实现并行性，而不是简单地增加位)。例如，有一些计算方法，通常是解决其他棘手问题的解决方案，原则上可以通过QC在几秒钟内(即使不短于几秒钟)实现，而这些相同的解决方案可能花费的CC几乎等于或超过了宇宙的长度解决(因此难以解决)。

当前的加密方法通常包括公钥加密和椭圆曲线加密，其中前者只能通过确定一个非常大的合数(即p和p)的质因数来解密。p1＊p2)。即使是地球上速度最快、功能最强大的计算机也无法破解涉及大量比特(如512位、1024位、2048位密码)的公钥加密。相反，QC可以通过同时评估所有可能的解决方案并“解决”一个破坏加密的解决方案，从而在几秒钟内破坏加密。

除BigPrivacy之外，去标识通常涉及所谓的单向哈希函数，因为原则上，初始值不能由″相反的方式″确定，即从哈希到重新标识的原始字符串。同样，虽然QCs能够从其单向哈希快速确定原始字符串，但CCs必须执行强制操作(如果不知道基础哈希算法的利用)，才能解码哈希，这可能需要数天、月、年或显著更长的时间来完成。同样的缺陷通常也存在于其他形式的去识别，包括本文其他地方讨论的其他隐私增强技术(PETs)。

所有加密方法的一个基本问题是，它们以某种方式编码原始信息。至少从理论上讲，对于QCs，即使使用不易被QCs破坏的方法，数据主体及其所有准标识符在某种深度上都是可恢复的，即从编码表单中重新识别。虽然BigPrivacy并不要求实现阻止编码，但BigPrivacy 并不依赖于编码，而是依赖于对原始数据进行不相关字符串的动态替换，无论是生成R-DDIDs还是A-DDIDs.。如果一个字符串从根本上是随机的(QCs非常适合这个属性，但是还有其他方法可用)，那么就没有任何方法可以重新标识任何类型的DDID，因为DDID是一个任意的字符串，而不是原始数据的编码。此外，由于相同的数据由不同的DDIDs表示，所以DDIDs之间甚至没有任何关系。换句话说，从信息理论的角度来看，DDIDs是范围最大的，不包含有关数据主体或任何原始数据的先验信息。因此，QCs将无法根据包含关于该内容的零信息的DDIDs来确定原始内容。基于这个原因，DDIDs提供了一种保护个人隐私和防止重新识别已识别数据的技术——即使在量子计算世界中也是如此。

因此，BigPrivacy进一步解决了隐私最大化的目标，同时也解决了数据价值最大化的问题。相比之下，其他PETs则以减少或消除数据价值为代价来提高隐私性；相反，或者由于增加或最大化数据值而减少或消除隐私。因此，即使QCs能够维护或增强隐私，它们仍然会降低或消除数据价值。这是因为大规模并行性和速度，即使是同时进行，也不会增加或启用数据值。相反，即使QCs成为所有计算的标准，只有BigPrivacy(与QCs一起)才能最大化数据隐私和数据价值。

BigPrivacy也可以应用于加密形式，甚至是QC加密形式。换句话说，BigPrivacy在计算上独立于计算机的基本性质，因为它可以交换原始数据(可以加密或不可以加密)与由BigPrivacy取消标识后的数据之间的任何链接。

BigPrivacy还可以利用基本的量子力学特性。例如，QCs本身就是产生真正随机数的理想选择。但是，使用真正的随机数作为可计算函数的输入会破坏去标识的目的，因为原始数据的随机化与该数据之间仍然存在相关性。但是，在BigPrivacy中，如前所述，真正的随机数仅用作DDID-随机数是独立的，与基础数据没有相关性(或与基础数据的关系)。通过这种方式，BigPrivacy实际上可以利用QCs的属性，在一个实施例中确保DDID(无论是R-DDID还是A-DDID) 与基础数据之间存在零相关(或者接近零关联)。

在分散式系统中实施集中式BigPrivacy控制

上述BigPrivacy技术还允许控制实体建立、实施、验证和修改分散的网络或平台(包括无许可系统或分布式分类账技术)上的集中隐私和安全控制，包括以点对点或其他非集中方式链接的网络或平台 (包括无许可系统或分布式分类账技术)。

本发明的一个实施例适用于基于区块链技术的分散网络。区块链是当今许多流行的加密货币平台背后的底层技术。区块链最著名的用途是支持加密货币和加密货币交易，但它们也有广泛的其他应用，比如存储医疗数据、供应链管理、金融交易管理和验证、支持和实现所谓的“智能合同”，以及社交网络。

“Blockchain”一词没有单一的定义，但通常有两种用法：(i)指在分散的点对点计算机网络中，以数字化、分布式账本、可核实的、唯一的、理论上不受腐蚀的交易记录的特定方法或过程；及(ii)描述基本的数据结构(即，块)用来表示事务本身，即，一个数据块链，其中每个数据块根据特定的算法/编程方法与前一个数据块链接(或“链接”).正如这里所使用的，blockchain在上下文上可能有两个含义。如果术语“blockchain”是在不同的意义上使用的，将在其使用的上下文中详细说明。参与blockchain网络的任何客户端或节点的交易以数据″块″的形式记录在网络上，数据是时间戳，并链接到blockchain中的前一个块，无论哪个客户端或节点发起该交易。将每个块链接到前一个块可以确认交易链的完整性，一直回到blockchain中的第一个块。未能将每个块链接到前一个块证实了该完整性的失败，这可能表示篡改(即，存储在blockchain中一个或多个块中的数据中的任何类型的更改)、欺诈等。块中的信息通过加密方法进行加密和保护。

Blockchain存储在一个分散的网络中；换句话说，块中存储的数据不存在集中的或“官方副本”。相反，可以并且确实存在多个相同的 blockchain副本。Blockchain的每个实例化在特定网络中节点是相同的(或者，如果一个节点没有最新版本的blockchain，该节点将被认为已经离开了网络对于验证后交易，直到该节点已经“赶上”或重新加入cryptocurrency网络。这是blockchain本身所固有的存储分散性的一个重要方面。向blockchain添加事务的过程是通过挖掘“节点”来执行的。挖掘本质上是一个算法过程，可以用来产生。例如，增加给定虚拟货币(例如加密货币)的供应量，以及验证blockchain中的交易。

如上所述，欧盟的GDPR对数据″控制者″(即自然人或法人、公共当局、机构或其他机构，单独或与他人共同确定个人数据处理的目的和手段)和数据″处理者″(即代表控制人处理个人数据的自然人或法人、公共当局、机构或其他机构)规定了某些义务。除了对数据处理者实施处罚外，GDPR还对个人数据控制者规定了更严格的义务，并大幅加重了对不合规的潜在处罚。

GDPR第十七条规定了“消除权/被遗忘权”，使个别资料当事人有权要求删除或删除并无迫切理由继续处理的个人资料。

区块链的一个关键特征是其完整性(即完整性)。，网络用户信任存储在链块中的数据的准确性的能力)，这是由它们的不变性来保证的。一旦一个块被验证并添加到链中，它通常不能被删除、编辑或更新。事实上，区块链的设计使存储在任何一个块中的数据都会″中断″(即失效)链中的所有下游块。然而，在绝大多数情况下，blockchain数据加密保护或静态标记，可以预见的情况下，一个人可能想要行使“删除/被遗忘”的权利，按照GDPR(或其他类似的监管提供这样一个权利)，要求他们的数据从区块链中删除。使用公共blockchain平台，在不破坏整个链的完整性的情况下，这样的请求是不可能实现的。

英国金融市场行为监管局(FCA)警告开发blockchain技术的公司，要小心不变性和GDPR之间的不兼容性。对此问题提出了一些解决方案，比如允许管理员在必要时编辑blockchain。然而，如上所述，编辑blockchain破坏了blockchain的概念，因为它使blockchain可变，从而保证不了blockchain完整性。

GDPR是根据假设数据保管人继续是中央实体而设计的。GDPR 没有考虑像区块链这样的分散系统。由于以下几个原因，本文描述的 BigPrivacy技术大大增加了底层区块链技术的功能。例如， BigPrivacy可用于使区块链对数据保持不可变，同时使数据符合 GDPR的“删除权/被遗忘权”标准。本文描述的BigPrivacy技术(例如，DDIDs的使用)也可以应用于分散存储系统的新背景(其新颖性，例如，GDPR本身没有考虑的问题是使用不可变的分散分类账来存储用户数据会影响实现其要求)。BigPrivacy允许进一步使用区块链以多种方式处理GDPR下数据控制器和处理器的其他义务，下文将对此进行详细讨论。

删除权/被遗忘权

现在转到图1Z-1，根据一个或多个实施例，说明了一个典型的基于blockchain技术的分散网络，其中可以使用匿名隐私控制。图1Z- 1(185)的顶部显示了当前的情况，其中数据主体的名称可能被加密 (例如，使用所需的加密算法)，或者在存储在区块链之前替换为静态标识。在本例中，缩写词“ABCD”用作此类加密或标记化过程结果的说明性表示。通过访问适当的密钥，可以确定“ABCD”的加密/标记值是“John Smith”。如上文所述，这种知识是不可改变的，并且与 GDPR向用户提供″删除权/被遗忘权″的要求相冲突。之所以如此，是因为″John Smith″虽然以加密形式存储，但包含在blockchain185 本身中。

图1Z-1(187)的底部显示了一个Dynamic De-Identifier(DDID)，在本例中为“DDID652”，可以在blockchain中使用，即，以代替“ABCD”的加密/标记值。如本文其他部分所述，DDID(″DDID652″) 可用作数据主体“John Smith”基础名称的“指标”，除非数据主体行使其“删除权/被遗忘权”，此时DDID可以指向“空”条目。通过这种方式，可以保证blockchain的不可变本质和引用完整性，同时使Data Subject能够灵活行使其“删除权/被遗忘权”。还必须注意，DDID可以指向任何其他内容，即不仅指向″JohnSmith″或″null″或值0，还可以指向包含任何其他所需值的任何其他位置。在支持Big Privacy示例 (187)中，与传统的blockchain示例(185)相比，″John Smith″的值实际上并不包含在blockchain本身中；相反，暂时指向包含值″JohnSmith″的位置的DDID(″DDID652″)包含在blockchain中。DDID值在blockchain187中保持不变，但是DDID指向的值可以在不改变blockchain本身的情况下改变。

在另一个实施例中，BigPrivacy可在双方履行的″智能合同″中实施同样的“删除权/被遗忘权”(或双方履行的若干条款中至少一项独立条款)。BigPrivacy能够提供这种级别的隐私/匿名性的原因是，一旦每个交易双方都履行了合同，就不再需要交易双方的记录(即，每个交易双方已经履行了对另一方的义务)。例如，这种想删除或忘记智能合约所涉一个或多个当事人身份的想法，可能出现在金融工具的交易或交换中。

RedHat首席安全架构师Mike Bursell指出，保密性、完整性和可用性是智能合约履行的主要问题，如下所示：

″一旦交易(或′智能合约′)完成并进入区块链或分布式账本，就定义来说，它是不可变的。但在完成之前呢？那么，本文开头描述的简单事务是原子的——它们发生或者没有发生，用行话来表示，它们是″不可分割和不可还原的″。在大多数情况下，它们是瞬时的。

“智能合约”则不是这样。它们需要处理，因此必须随着时间的推移而存在。这意味着，在处理它们时，它们会受到任何系统都可能受到的各种攻击。标准清单的[两个相关组成部分][包括]：

●保密性：″智能合同″的状态可能会受到窥探，这可能导致知识不对称或泄露给未经批准的当事人。

●诚信：对于许多″智能合约″来说，这是一个噩梦般的例子。如果实体(无论是否作为基础合同的一方)能够(有意或无意地)更改执行″智能合同″的代码的内部状态，则该″智能合同″的结果将不符合预期，并且任何当事人可能有正当理由对结果提出异议。此外，可能这样的争议不依据于诚信损失相关的证据，而仅是依据怀疑。在执行上下文中，要证明运行时的完整性是极其困难的，更不用说在显示已丢失时的缓解过程。

本文所披露的BigPrivacy技术也可以使此类窥探问题变得无关紧要，例如，通过保护交易对手方的身份，以及有关智能合同要素的交易条款和条件的信息。换句话说，BigPrivacy假定窥探可以通过任何方式发生，但它确保通过这种窥探获得的任何数据对窥探者没有价值，因为这些数据只是一个DDID，而不是窥探者想要的数据的底层“真实”价值。关于完整性，BigPrivacy通过使窥探者无法使用条款本身(包括智能合约双方的身份)来确保各方不会有意或无意地更改代码，因为在不了解代码实现内容的情况下，对代码的任何更改都会产生完全随机的结果。

数据保护的设计和默认

GDPR第25条要求数据控制者″在确定处理手段时和处理本身时″实施适当的保障措施。第25条进一步说明，这样做的一个方法是″将个人数据化名″。

按设计和默认的数据保护必须尽早应用，因此，默认情况下，数据使用仅限于支持数据主体授权的特定使用所需的最小范围和时间。现在的默认值是数据可供使用，必须采取措施和努力来保护数据。 GDPR要求必须更改此默认值。无论是假名化、GDPR第25条中具体提及的一个项目，还是通过其他某种方式，GDPR都需要尽早显示保护，而且使用范围和时间都仅限于特别授权的Data Subjects。

GDPR第78条规定：“为保护自然人在处理个人资料方面的权利和自由，必须采取适当的技术和组织措施，以确保满足本条例的要求。为了能够证明遵守本法规，控制器应采取内部策略，并实施特别符合设计数据保护原则和默认数据保护措施的措施。这些措施包括尽快对个人数据进行假名化。

GDPR第4条第5项将“假名化”定义为要求将数据的信息价值与重新识别的风险分离。为了从GDPR的法定/监管激励和假名奖励中受益，这种分离是必要的。将同一个人数据元素(例如，Data Subject 的名称)的多个匹配项替换为″静态″(或持久)标识，无法将数据的信息值与重新识别的风险分开，因为重新识别相关和链接攻击(又称″Mosaic Effect″)可能是由于使用″静态″(或持久)标识符而不是动态去标识符。

如上所述，″静态″标识化方法使用持久标识符来保护数据。通过搜索在数据库内或跨数据库重复自身的特定标记化字符串，恶意执行组件或交互器可以获得足够的信息来揭开数据主体的标识的身份。对于合并和混合内部和外部数据源的分析和其他流程来说，这是一个范围越来越大的问题。相反，如果每次使用不同的假名DDID存储数据元素时替换该数据元素，其中每个不同的DDID与其他数据元素没有算法关系，则相同的恶意参与者或穿插器无法再确定DDIDs属于或与同一数据主体相关，更不用说发现数据主体的名称或其他标识信息了。

现在转至图1Z-2，根据一个或多个实施例，演示了基于 blockchain技术构建的另一个示范性分散网络。图1Z-2显示了数据主体的名称被加密(例如，使用加密算法)或替换为静态标识的情况。出于这些目的，首字母缩写词″ABCD″再次用作此类加密或标识化过程结果的示例表示。在多个区块链中使用相同的加密/标记化值“ABCD”来表示“JohnSmith”。这在图1Z-2中由块#1(190)和#2 (192)表示，每个块都存储数据“ABCD”在其各自的块之一中如上所述，持续(或静态)使用相同的加密/标记化值(在本例中为“ABCD”)最终可以重新标识John Smith-不需要访问任何密钥或映射来显示“ABCD”＝“John Smith”。如上所述，无法保护John Smith的身份可能违反了数据控制者根据GDPR第25条和第78条所履行的义务。

现在转到图1Z-3，根据一个或多个实施例，说明了另一个典型的基于blockchain技术的分散网络，其中可以使用匿名隐私控制。图 1Z-3显示了不同的DDIDs如何在不同的区块链中使用(在本例中，区块#1(195)使用“DDID652”，区块#2(196)使用“DDID971”)，其中每个 DDIDs都可以作为指向“John Smith”名称值的“指标”。通过这种方式，区块链的不可变本质和参照完整性得以保持，同时仍可提供必要的动力，以满足GDPR第4条第5项规定的假名要求和GDPR第25条规定的数据保护要求。

因此，BigPrivacy不需要改变底层的blockchain算法来进行验证。相反，AnonosBigPrivacy首先指出，当前实现的区块链无法：(i) 遵守GDPR的关键要素(这规定了保护单个数据主体隐私的技术要求)；同时(ii)保持不可变。除非此处的发明适用于blockchain实施，否则无法满足GDPR所强加的这些技术要求(例如，前述的被遗忘权和设计默认情况下的数据保护)以及blockchain的不变性要求。此外，BigPrivacy可用于在执行此类“智能合同”之前，之中和之后将原始交易对手的身份屏蔽为“智能合同”。

本发明所公开的技术的其他实施例，如应用于分布式账本技术，如blockchain，可能包括但不限于：对版权注册进行认证；跟踪数字使用和向版权内容创建者(如无线用户、音乐家、艺术家、摄影师和作者) 支付的款项；跟踪高价值零部件在供应链中的流动；确保无线网络的频谱共享；支持在线投票；启用“治理的权利”；实施病案信息系统；确认和验证数字艺术的所有权；取得游戏资产(数字资产)的所有权；为保险业提供新的分配方式，例如对等保险、参数保险和微观保险；促进共享经济和物联网等领域的合作伙伴。

图2显示了隐私服务器的抽象模块可能采取的过程操作或步骤的示例，例如，如图1和图1A所示的抽象模块52，根据本发明的一个实施例。在一个示例中，在步骤1中，关联方ZZ(显示为″RP ZZ″) 通过隐私客户端发送请求，该客户端可能驻留在Data Subject设备上、服务提供商设备上、可通过云网络访问并驻留在云网络中，或驻留在与隐私相同的计算设备上与所需的操作、活动、流程或特征有关的隐私服务器。请求启动可以是可配置的，以便可以预测、随机、自动或手动启动。例如，关联方RP ZZ发起请求，请求进行所需的Web浏览在线操作。

在步骤2中，在一个示例中，隐私服务器的抽象模块确定对所需操作、活动、流程或特征执行所需的属性组合，并将其作为属性组合 A(″AC A″)从数据库中检索。在系统的此示例实现中，隐私服务器的抽象模块配置为添加或删除属性、检索属性组合以及修改任何给定组合中的属性。

在涉及销售运动器材的电子商务网站的例子中，隐私服务器的抽象模块可以确定与DataSubject’s高度、重量和预算相关的属性对于执行所需的操作是必要的，活动、过程或特征，因此可以从数据库中检索指定DataSubject的高度、重量和预算属性，以形成由其组成的属性组合。在另一个涉及医生请求血压信息的示例中，隐私服务器的抽象模块可能会确定，由最近记录的收缩压和舒张压值组成的属性对于所需的动作、活动、过程或特征，因此可以检索指定Data Subject最近记录的收缩压和舒张压值，以形成其组成的属性组合。另一个例子可能涉及到一个互联网用户，他去了一个跑步鞋的在线零售商。在线零售商可能不知道用户是谁，甚至不知道用户在过去访问过该站点一次或多次。用户可能希望访问的站点知道他一直在购买跑鞋，也可能希望访问的站点知道用户在过去几周在其他站点上看过哪些鞋。用户可以通知隐私服务器只向访问站点发布最近的购物信息和其他用户定义的信息。另一个例子可能涉及到一个互联网用户，他访问了一个跑步鞋的在线零售商。在线零售商可能不知道用户是谁，甚至不知道用户在过去访问过该站点一次或多次。用户可能希望访问的站点知道他一直在购买跑鞋，也可能希望访问的站点知道用户在过去几周在其他站点上看过哪些鞋。用户可以通知隐私服务器只向访问站点发布最近的购物信息和其他用户定义的信息。因此，在这个例子中，隐私服务器可以选择以下属性：鞋码＝9，最近在其他网站看的鞋子＝耐克X，亚瑟士Y，新百伦Z，平均价格的鞋子＝109美元，购物者的邮政编码＝80302，购物者的性别＝男，购物者的体重＝185磅。隐私服务器可以收集这些属性，生成一个惟一的DDID或接受或修改一个临时惟一的、动态变化的值作为DDID，并将DDID分配给属性，并将相同的值作为TDR发送到访问的网站。如果用户查看索康尼123型号，则网站可能会将此属性追加到与所查看的鞋子相关的属性的信息中，并将此信息作为增强的 TDR的一部分发送回隐私服务器。

还有一个例子可能是一家银行的一位个人银行家，他正与一位客户合作，该客户希望将储蓄账户添加到她原本在银行开立的账户中。个人银行家可能不需要知道有关客户的所有信息，只需要打开账户所需的信息。利用本发明，银行家可以通过隐私客户端查询银行的隐私服务器，请求为客户开立新的储蓄账户。银行的隐私服务器可以确定请求者的数据授权限制和所需操作。银行的隐私服务器可能会收集客户上的以下属性：姓名＝JaneDoe，当前帐号＝12345678，当前帐户类型＝支票，客户地址＝123主街，博尔德，CO 80302，其他签署人检查帐户＝Bill Doe，客户和丈夫的签字关系。银行的隐私服务器收集这些属性后，会为这些属性分配一个DDID，并通过隐私客户端将信息作为增强的TDR发送给个人银行。

例如，控制实体可以选择在属性组合A中包含数据属性，使 TDR的接收者能够在产生的TDR存在期间使用现有的跟踪技术匿名地跟踪关联方ZZ。控制实体还可以选择包含比现有跟踪技术提供的数据更准确的数据，以便为关联方ZZ提供个性化和自定义服务。

在步骤3中，在一个示例中，对DDID的隐私服务器(″PS″) 发出请求。这可能包括请求指定抽象级别，以及生成唯一的DDID或接受或修改时间上唯一、动态更改的值，以用作与所要求的特定活动、行动、流程或特征。在分配DDID之前，PS可能会验证DDID值是否未被另一个TDR主动使用，其中可能包括缓冲期，以解决潜在的中断和系统停机时间。

在步骤4中，在一个示例中，PS的抽象模块分配并存储DDID，以响应与操作、活动、进程或特征有关的请求。步骤4还可在一个示例中包括为关联方ZZ请求的Web浏览分配DDIDX的操作。

在步骤5，在一个示例中，PS的抽象模块组合检索到的适用属性组合并分配DDID X以创建TDR。TDR本身可能不包括有关关联方 ZZ的真实标识的信息，但是隐私服务器的维护模块可以保留将TDR 与关联方ZZ重新关联所必需的信息。操作5还可以包括将属性组合请求与与属性组合关联的DataSubject关联的安全数据库，从而在 DataSubject的聚合数据配置文件中提供内部记录将关联方ZZ与特定属性组合A相关联，认为该组合对于所需的操作、活动、流程或特征执行是必要的。

图3显示了根据本发明的一个实施例，隐私服务器的抽象模块可以采取的附加步骤的示例。在步骤6中，在一个示例中，为关联方 ZZ的Web浏览请求创建的TDR通过可能驻留在Data Subject设备上的隐私客户端、服务提供商设备上、通过云网络访问或驻留在同一计算中传输设备作为适用于服务提供商、供应商或商家的隐私服务器。隐私客户端还可以通过服务提供者、供应商或商家获取与所需的浏览活动相关的数据。

一旦满足了TDR的目的或达到了预定的时间限制，则在一个示例中，可以通过隐私客户端将TDR发送回隐私服务器，在步骤7中，可以使用新的属性组合来增强返回的TDR为其创建TDR的所需动作，活动，过程或特质。在图3所示的示例中，关联方ZZ与服务提供商、商家或供应商执行所需的Web浏览，并生成反映与所需Web关联的属性组合的属性组合(″AC Q″)执行浏览。当Web浏览完成或TDR 的时间限制到期时，带有TDR的隐私客户端(现在已添加了属性组合 Q来反映与Web浏览相关的数据)将数据从服务提供商，卖方或商人传输到隐私服务器。当数据在隐私服务器上接收回时，一个时间周期/ 戳记通过时间键(TKs)或其他方式在一个示例中与TDR相关联，并且从服务提供商、供应商或商家返回的相关属性组合可能会更新并存储在DataSubject的聚合数据配置文件中的安全数据库中。

图4显示了根据本发明实施例的一个示例，在图3的操作之后可能采取的附加步骤的示例。当隐私服务器接收到每个扩展的TDR时，隐私服务器的维护模块可以通过时间键(TKs)或其他方式，DDID，以及与适用的数据主体的属性组合来关联时间段/戳记，从而更新源数据。如图4所示，隐私服务器可以通过时间键(TKs)或其他方式(DDID、属性组合A和属性组合Q)记录和关联时间段/戳记，并在安全数据库中与请求相关方ZZ相关联。在隐私服务器的维护模块中，时间段/戳记、 DDIDs、属性组合、数据主体和相关配置文件之间的关系信息可根据需要进行存储、更新或删除。这可能包括，在一个示例中，存储或更新所有时间段/戳记、DDIDs、属性组合、数据主体和数据主体的聚合数据概要中的安全数据库中的配置文件之间的所有关系信息。在完成了与属性组合中所需的操作、活动、流程或特征相关的新数据的关联后，在一个示例中，可以重新分配DDID，使其与新的TDRs一起使用，方法与前面描述的相同。

图5突出显示了系统的单层抽象实现示例之间的差异，与一个系统的多层抽象实现示例相比，根据本发明的一个实施例。图5中所示的示例1显示了具有单一抽象层的系统示例，如图2-4中有关Web浏览活动的讨论中所述。图5中的示例1显示了由图2-4的Web浏览活动导致的最终处置的示例，其中安全数据库更新时，通过时间键 (TKs)或其他属性组合A、属性组合Q和DDID X与请求关联方 ZZ相关联的时间周期/戳记。应当指出，就示例1而言，系统外部的各方将无法访问与属性组合或Data Subjects相关的标识信息。但是，在系统中，虽然本文描述了替换密钥(RK)的用户，但是在一个示例中可以识别关联方ZZ的身份，以及关联方ZZ、属性组合A、属性组合 Q、时间段/戳记和DDID X之间的关系。

图5中的示例2反映了系统多层抽象实现的一个潜在实现，符合本发明的一个实施例。提供的抽象是系统的多个应用程序的函数，而不是完全不同的部分。TDRs的动态特性允许在抽象级别之间使用相同的基线原则，同时仍然提供关于所请求的数据的可用交互。在此示例中，具有对隐私服务器A和相关安全数据库的授权访问权限的实体将有权访问DDIDX、DDID P、DDID TS和DDID YY之间的关联，以及与DDID关联的每个属性组合和时间段/戳。但是，在一个示例中，实体将无法访问所公开的不同DDIDs之间的关联的任何信息。只有在访问了隐私服务器B和相关的安全数据库之后，才能揭示关于 DDID X和DDID以及DDID TS和DDID YY之间关系的第二层抽象。如图5所示，第二层抽象可以是主体DD与DDIDs X、P的关系，也可以是主体CV与DDIDsTS、YY的关系。

如果主体CV和主体DD反映了所讨论的Data Subjects的身份，则例2将反映系统两层抽象实现的一个潜在实现。然而，如果主体 CV和主体DD的值都被分配了可动态更改的DDIDs，那么示例2将反映系统三层抽象实现的一个潜在实现。应该认识到，系统的任何和所有元素都可以在多个层次上进行抽象，以实现所需的安全性和隐私/ 匿名性。

在系统的一个示例实现中，图5中的示例1和示例2可以表示经过身份验证的数据结构，允许隐私服务器的验证模块通过循环冗余检查(″CRC″)、消息身份验证代码、数字水印和基于链接的时间戳方法，随时验证TDR和/或数据配置文件中体现的属性组合和DDID。这些方法通过确认隐私服务器中在不同时间点包含的每个Data Subject、属性、属性组合、聚合数据概要和其他元素的组成，从而在不同时间点验证数据的状态和组成。

此外，在本发明实施例的一个示例实现中，图5中的示例1和示例2均可包括访问日志模块所需的数据，以便在发生系统相关错误或误用时启用事件后取证分析。

图6显示了根据本发明的一个实施例提供数据安全和数据隐私/匿名的过程的一个示例。图6在一个示例中显示了控制方或系统可能实现的流程步骤。图6-10中概述的操作可以通过已知的编程技术加以促进，包括但不限于简单对象访问协议(SOAP)、表示状态传输 (REST)应用程序编程接口(API)或面向服务的体系结构(SOA) 技术，以及规范的行业标准数据模型，如用于医疗保健的HL7、电信的SID、零售的ARTS、保险的ACORD、多商品型号的M3、用于制造和供应的OAGIS。用于石油和天然气/公用事业等的PPDM。

在图6中的步骤1中，数据属性作为输入接收或创建为系统输入。如前所述，为了本公开的目的，数据属性是指可以单独或与其他数据元素结合使用的任何数据元素，以识别DataSubject，如人员、地点或事物，或相关操作、活动、过程或特征。数据属性的一个示例可能是街道地址，该地址由科罗拉多州博尔德市80302号第6街1777号街道地址组成。

在图6的步骤2中，数据属性与适用主体相关联。在上面的示例中，数据属性地址与主体科罗拉多市法院大楼相关联。

在图6的步骤3，与每个数据属性相关联的元素被链接到该数据属性或与该数据属性绑定，并且确定包括适用的类别。与属性有关的值和分类，以利于就所需动作，活动，过程或特质使用属性。例如，与上述数据属性地址相关的元素可以是：(a)分类为街道地址；(b)值为：1；7；7；7；第6次；S；t；r；e；e；t；B；o；u；l；d；e；r；C；o；l；o；r；a；d；o； 8；0；3；0；2；1777；第6街；博尔德；科罗拉多州；80302或上述任何组合；(c) 由于建筑物是固定的，因此在性质上被归类为常数。与主体建筑物相关的数据属性的另一个示例可能是建筑物的状况(a)被归类为建筑物的状况；(b)具有良好条件的价值；和(c)被归类为可变性质，因为建筑物的条件可能会随着时间的推移而退化。与主体大楼相关的数据属性的另一个示例可能是：(a)被归类为在大楼内设有办事处的组织；(a)与主体大楼有关的组织。(b)具有博尔德科罗拉多州替代判刑方案的价值；(c)被归类为可变性质，因为CASP将来可能会更改其办公室的位置。应该注意的是，外生信息可能包含与Data Subject相关的属性。例如，就上述建筑物而言，如果有人知道博尔德科罗拉多州替代量刑计划(CASP)在科罗拉多州法院大楼设有办事处，并且发现John Smith在CASP工作，平日约翰·史密斯出现在博尔德第6街1777号，以前人们可能使用这种外生信息来辨别博尔德科罗拉多市法院大楼的地址。因此，John Smith在CASP工作的事实可能是Data Subject的一个属性，潜在地揭示了Data Subject，即，就在这个地址。

在图6的步骤4中，输入到系统的每个数据属性都被添加到一个聚合的数据概要中(参见图1和1A)。在上面的例子中，记录的数据属性将被添加到科罗拉多州市政法院大楼的聚合数据概要中。

在第5步，识别并形成属性组合，以便为所需的活动、操作、流程或特性提供支持。此步骤可能包括创建或加载模板，这些模板指定一个或多个与特定操作、活动、流程或特征相关的必要属性。例如，对于电子商务操作，模板可以请求与Data Subject的年龄、性别、大小和首选颜色相关的信息作为属性。在另一个涉及旅行预订功能的示例中，模板可能会请求与Data Subject首选的航空旅行方式相关的信息，如长途汽车、商务舱或头等舱作为属性。隐私服务器可以加载或访问多个此类模板，以支持各种不同的操作、活动、流程和/或特性。此外，如果控制实体需要，可以配置隐私服务器来方便手动覆盖已建立的模板，并创建与所需的新操作、活动、流程和/或特征相关的新模板。例如，可以通过在Data Subject的移动设备上运行的隐私客户端的图形用户界面来实现这种手动覆盖。例如，一个DataSubject可以使用图形用户界面来覆盖要求的Data Subject有关的信息的首选方式，空气乘车旅行，商务舱或头等舱，因为在一个例子Data Subject可能乘坐游轮旅行，因此DataSubject可能希望指定是否他/她想要套房、阳台客房、外部状态室或州室内作为属性。在本例中，图形用户界面可能允许Data Subject选择从Data Subject的聚合数据配置文件传输的最小属性。

在步骤6中，隐私服务器从隐私客户端接收请求，这些客户端可能驻留在DataSubject设备上、服务提供商设备上、通过云网络访问和驻留在云网络中，或驻留在与隐私服务器相同的计算设备上。具体的行动、活动、过程或特质。隐私服务器可能从隐私客户端接收的请求的性质和实质内容可能会有所不同，具体取决于多种因素，包括系统是否以DRMI、DRMD或其他方式实现，无论请求是否与医疗保健相关，教育、移动、金融、网络、物联网或其他应用等。

在步骤7中，确定了与特定操作、活动、流程或特性所需的安全、匿名性、隐私和相关性级别相适应的抽象级别。例如，系统可以通过连接相关的数据属性来引入一个初始的抽象层，将相关的数据属性分隔成一个或多个TDR，这些TDR是根据给定的动作、活动、流程或特征而确定的。除了将数据属性分离到一个或多个TDR之外，还可以引入其他抽象层，方法是抽象单个属性、属性组合，或者将它们替换为DDIDs，如果不访问替换键(RKs)，就无法理解这些DDIDs。通过使用已知的保护技术(如加密、标记、假名化和流化以及进一步的抽象层)，可以进一步改善或增强TDR中包含的属性的隐私、匿名性和安全性。通过使用附加的DDID来指可能与本发明的一个或多个实施例集成或通信的网络、互联网、内联网和第三方计算机。

在步骤8中，控制实体根据与适用模板相关的属性从隐私服务器中选择所需的属性组合，这些属性可能与所需的操作、活动、流程或特性相关。抽象模块可以确定可能由控制实体控制或作为授权方委派给另一个实体的所需属性，授权方可以选择使用抽象模块来选择基于建立模板、动态选择属性，或智能检测适当的输入等方法。

在第8步的一个例子，一个电子商务网站销售体育器材，一个互联网浏览器提供商作为控制实体可以使用抽象模块信息的隐私服务器来确定数据对象的身高、体重和预算需要接收网站给选择合适的运动器材，如kayAKs和paddles。

在第9步，隐私服务器的抽象模块生成惟一的DDID，或者接受或修改临时惟一的、动态更改的值，将其作为DDIDs，并将DDIDs 分配给操作8的每个属性组合，形成TDRs。这些DDIDs可以用于各种功能，包括但不限于替换或简单的关联。例如，如果作为控制实体的internet浏览器提供者指示抽象模块创建一个具有单层抽象的TDR，那么它可以为同一个数据主题分配一个DDID，该DDID与其他TDR 没有明显关联，并且不能访问关联键(AKs)。作为另一个示例，如果充当控制实体的互联网浏览器提供商指示抽象模块创建具有两层抽象的TDR，则它可以(i)分配DDID以在TDR的持续时间内与数据属性相关联，并且(ii)通过为数据主体的重量分配Ab5的DDID，为数据主体的高度分配67h的DDID和为数据主体的预算分配Gw2的 DDID来进一步抽象数据属性，如果不使用替换键(RKs)则无法理解。步骤9还包括从一个或多个数据库中获取一个或多个属性，即与数据主体相关的属性。第9步中使用的DDIDs可以被确认为当前未使用，也可以从过期的、以前使用过的DDIDs中选择。

在第10步中，由属性组合和DDIDs组成的TDRs由隐私服务器通过隐私客户端传输到接收方实体，供接收方实体用于与接收方实体相关的所需操作、活动、流程或特征。例如，在上面的示例中，作为控制实体的internet浏览器提供商可以作为接收实体向电商网站交付由DDID组成的TDR和由Ab5、67h和Gw2组成的二级抽象数据属性。

在第11步，接收实体通过隐私客户端接收TDRs(可能由属性组合和DDIDs组成，与所需操作、活动、流程或特征有关)。如果系统的预期用途是能够创建大数据分析的输出，则接收TDRs可能是最后一步(例如，请参阅图Z中讨论的发明潜在实施例示例，为大数据分析提供私有化/匿名数据，以便适用的数据主体具有″被遗忘的权利″)，但是，TDR的更多交互式使用可能涉及可选步骤12到17。

在可选步骤12中，收件人实体通过隐私客户端解释TDRs(可能由属性组合和DDIDs组成，用于所需的在线操作、活动、流程或特征)，并根据需要提供使用AKs和/或RKs的访问权限，以了解 TDRs的内容。例如，在上面的示例中，作为接收实体的电子商务站点将访问RK信息，以了解DataSubject’s权重归因于Ab5的值、 DataSubject’s高度归属为67h的值以及归入Gw2的值到 DataSubject’s预算。

在可选步骤13中，隐私客户端可以获得与所需的在线操作、活动、流程或特征相关的新数据属性，这些操作、活动、流程或特征将原始TDR数据属性作为新的TDR格式的信息进行增强。

在可选的第14步，隐私客户端可以获得与离线活动相关的新数据属性(如果有的话)，这些数据属性与所需的在线操作、活动、流程或特征相关，这些在线操作、活动、流程或特征以TDR格式补充原始 TDR数据属性为新信息。

在可选的步骤15中，隐私客户端将包含DDIDs和与联机/脱机会话相关的属性组合组成的TDRs传输回隐私服务器。

在步骤14和15中，由于TDRs通过隐私客户端传输到隐私服务器，而没有AKs或RKs，因此，它们以分类和匿名格式传输，因此，如果有人拦截TDRs，他们将不会收到适用于DataSubject、所需操作、活动、流程或特征。

在可选步骤16，在一个示例中，属性组合的重新聚合是由维护模块通过应用程序执行的，该模块使用的位于隐私服务器上的关联键 (AKs)和(DKs)在DDIDs和属性组合之间的关系信息。在此示例中，这意味着原始或修改的TDRs将返回到隐私服务器，然后该服务器可能会修改或添加有关建议的kayAKs的新信息，并将paddles添加到DataSubject的聚合数据配置文件中。

在完成上述关于属性组合中所需操作、活动、过程或特性的新数据的重新聚合后，在一个示例中，DDID可被视为过期，并在可选步骤17中重新引入系统，重新分配并与其他属性、属性组合、 DataSubjects、操作、活动、流程、特征或数据一起使用，以上述方式形成新的TDRs。

例如，可以用以类似案例跃点或远程案例跳跃的方式，分配给上述步骤9中的属性的DDIDs Ab5、67h和Gw2可以分配给与其他DataSubjects相关的数据属性。例如，类似情况的跃点可能包括将 Ab5重新关联到与初始数据主体具有相同或相似权重的第二个DataSubject，或者将一个权重数据或涉及相同数字的某物重新关联，但不与同一Data Subject关联，而远程案例跳跃可能涉及将Ab5重新分配给DDID的不相关数据属性。

在图6的第二个示例中，医生可以请求与指定的Data Subject(患者)相关的血压信息，由护士离线收集，并在线输入到Data Subject的聚合数据配置文件中。该请求可以使隐私服务器的抽象模块作为上述步骤8的一部分，提取由Data Subject最近记录的收缩压和舒张压值组成的属性组合。作为步骤9的一部分，代替指定Data Subject的身份，隐私服务器可以将这些属性组合与隐私服务器分配的DDID相结合，以形成TDR。作为步骤10的一部分，血压属性可以通过可能驻留在DataSubject设备上的隐私客户端与指定的DDID一起传达给医生，这些客户端可能驻留在DataSubject设备上、服务提供商设备上、可通过云网络访问和驻留在云中，或驻留在与隐私服务器相同的计算设备。此时，DDID和与血压相关的属性组合将构成TDR。作为步骤 12的一部分，医生作为接收实体，可以通过RKs的方式读取血压值，并且作为步骤13和14的一部分，可以记录与血压读数相关的在线和离线观察、建议或注释作为新数据属性。作为步骤15的一部分，增强在线/离线信息的TDR可通过隐私客户端返回到隐私服务器。作为步骤16的一部分，隐私服务器可以使用该信息更新DataSubject的聚合数据配置文件。这样，TDR的意外接收者将无法关联DataSubject的身份，并且只会看到DDID，该DDID在医生使用后可能以类似案例跃点或远程案例跳跃的方式重新分配到另一个Data Subject。

图6A显示了根据本发明涉及与外部数据库交互的一个实施例提供数据安全性、数据隐私和匿名性的过程的示例。图6A在一个示例中显示了控制方或系统可能实现的流程步骤。

在图6A中的步骤1中，第三方数据源将包含与一个或多个Data Subject相关的一个或多个数据属性的数据作为输入到系统。需要注意的是，在图6A所代表的本发明实施例中，在提交包含与一个或多个 Data Subject输入系统相关的一个或多个数据属性的数据之前，第三方数据源将已经创建每个DataSubject的聚合数据配置文件(参见图 1A)，第三方数据源将在一个或多个数据库中直接或间接维护该配置文件。

在步骤2中，隐私服务器从隐私客户端接收请求，这些客户端可能驻留在DataSubject设备上、服务提供商设备上、通过云网络访问和驻留在云网络中，或驻留在与隐私服务器相同的计算设备上。具体的行动、活动、过程或特质。隐私服务器可能从隐私客户端接收的请求的性质和实质内容可能会有所不同，具体取决于多种因素，包括系统是否以DRMI、DRMD或其他方式实现，无论请求是否与医疗保健相关，教育、移动、金融、网络、物联网或其他应用等。

通过使用已知的保护技术(如加密、标记、假名化和流化以及进一步的抽象层)，可以进一步改善或增强TDR中包含的属性的隐私、匿名性和安全性。通过使用附加的DDIDs来指可能与本发明的一个或多个实施例集成或通信的网络、互联网、内联网和第三方计算机。

在步骤3中，确定了与所需的安全级别、匿名性、隐私级别以及特定操作、活动、流程或特性的相关性相关的抽象级别。例如，系统可以通过抽象单个属性、属性组合或两者来引入抽象，这些属性都使用DDID表示，如果不访问替换键(RKs)，就无法理解这些属性。通过使用已知的保护技术(如加密、标记化、假名化和回用)以及进一步的抽象层，可以使用其他DDIDs来指代网络、互联网、Intranet 和第三方计算机，这些计算机可以与本发明的一个或多个实施例集成或通信，从而进一步改善或增强TDR中包含的属性的隐私/匿名性和安全性。

在步骤4中，控制实体根据与适用模板相关的属性从隐私服务器中选择所需的属性组合，这些属性可能与所需的操作、活动、流程或特性相关。抽象模块可能决定所需的属性，可以由控制实体控制或委托给另一个实体作为一个授权，授权方可以选择使用抽象模块选择属性基础上建立模板，选择属性，或适当智能检测输入等方法。

在步骤4的一个示例中，在医疗保健研究的背景下，充当控制实体的医院可以使用隐私服务器的抽象模块来混淆有关Data Subject’s 身高，体重和姓名的信息，然后再将其发送给医疗机构。

在步骤5，隐私服务器的抽象模块将DDID分配给操作4的每个属性组合，以形成TDR。这些DDIDs可以提供各种功能，包括但不限于替换或简单关联。例如，如果作为控制实体的医院指示抽象模块创建具有两个抽象层的TDR，它可以通过将Ab5的DDID分配给DataSubject’s权重、DataSubject高度为67h的DDID和 DataSubject名称Gw2的DDID来抽象数据属性，而如果没有对替换密钥(RK)的访问，就无法理解。步骤5还包括从一个或多个数据库中获取一个或多个属性，即与Data Subject相关的属性。步骤5中使用的DDIDs可以被确认为当前没有使用，也可以从过期的、以前使用过的DDIDs中选择。

在第6步中，由属性组合和DDIDs组成的TDRs由隐私服务器通过隐私客户端传输到接收方实体，供接收方实体用于与接收方实体相关的所需操作、活动、流程或特征。在上述示例中，作为控制实体的医院可以作为接收实体向研究机构交付由Ab5、67h和Gw2抽象数据属性组成的TDR。

在步骤7中，接收实体通过隐私客户端接收TDRs(可能由与所需操作、活动、流程或特征相关的属性组合和DDIDs组成)。例如，在上面的例子中，研究机构作为接收实体将接收用于分析的信息，但不会泄露有关体重、身高的个人识别信息。相反，研究设施将接收Ab5、67h和Gw2，如果不允许访问相关的RK信息，就无法破译它们。如果预期的目的是进行大数据分析，那么接收TDRs可能是最后一步，然而，更交互式地使用TDRs可能涉及可选的步骤8到13。

在可选步骤8中，收件人实体通过隐私客户端解释TDRs(可能由属性组合和DDIDs组成，与所需操作、活动、流程或特征有关)，并根据需要提供使用AKs和/或RKs的访问权限，以了解TDRs的内容。

在可选的第9步，隐私客户端可以获得与所需的在线操作、活动、流程或特征相关的新数据属性，这些操作、活动、流程或特征增强作为新的TDR格式的信息的原始TDR数据属性。

在可选步骤10中，隐私客户端可以获得与离线活动相关的新数据属性(如果有的话)，这些数据属性与所需的在线操作、活动、流程或特征相关，这些在线操作、活动、流程或特征以TDR格式补充原始 TDR数据属性为新信息。

在可选步骤11中，隐私客户机将由属性组合和与联机/脱机会话相关的DDIDs组成的TDRs传输回隐私服务器。由于TDRs是通过隐私客户端传输到隐私服务器的，没有AKs和/或RKS，所以它们是以分离和匿名的格式传输的，因此如果有人截获了TDRs，他们将不会收到适用于数据主体或所需的操作、活动、流程或特征的所有数据。

在可选步骤12中，在一个示例中，通过DDID之间和DDID之间的关系信息维护模块通过驻留在隐私服务器的关联键(AKs)和/ 或替换密钥(RKs)执行属性组合的重新聚合。在本例中，这意味着原始的或修改后的TDRs将返回到隐私服务器，隐私服务器修改或添加关于推荐的kayAKs和paddles的新信息到Data Subject的聚合数据配置文件中。

在完成上述关于属性组合中所需操作、活动、过程或特性的新数据的重新聚合后，在一个示例中，DDID可被视为过期，并在可选步骤13中重新引入系统。重新分配并与其他属性、属性组合、 DataSubject、操作、活动、流程、特征或数据一起使用，以与上述相同的方式形成新的TDRs。

图6B显示了本发明的潜在实施例如何为一个或多个数据库中包含的数据元素提供动态匿名性(如图1A所示和/或系统外部的一个或多个数据库是否属于系统内部，如图1B所示)，这些元素被认为过于敏感，无法以组织外部的可识别方式显示，例如，当与其他数据(准标识符)结合使用时，直接识别DataSubject或敏感操作、活动、流程和/或特征(直接标识符)的数据，或间接识别DataSubject或敏感操作、活动、流程和/或特征的数据，当与其他数据(准标识符)结合使用时。.

在本发明的一个潜在实施例中，上述敏感数据的隐匿可能只针对某个计算机应用程序，该应用程序通过拦截敏感数据库的请求，从主体请求数据来自上述计算机应用程序的表示层的一个或多个数据库的数据，并将敏感数据替换为上述一个或多个DDIDs。在本发明的另一种潜在实施例中，敏感数据可能针对一个或多个计算机应用程序进行模糊化，这些应用程序通过拦截一个或多个数据库的敏感数据请求，从主体一个或多个数据库请求数据数据库连接级别，并用一个或多个 DDIDs替换敏感数据，如上所述。

图6B在一个示例中显示了由控制方或系统实现的隐藏敏感数据的流程步骤。

在图6B中的步骤1中，隐私服务器从隐私客户端接收请求，这些客户端可能驻留在Data Subject设备上、服务提供商设备上、通过云网络访问和驻留在云网络中，或者与隐私服务器位于同一计算设备上，涉及一个或多个数据库中包含的数据元素(无论一个或多个数据库是否位于系统内部，如图1A和/或系统外部，如图1B所示)，这些请求被认为过于敏感，无法在可识别中显示。组织外部方式-例如，直接识别数据主体或敏感操作、活动、流程和/或特征(直接标识符) 的数据，或间接识别数据主体或敏感操作、活动、流程和/或特征的数据，当与其他数据(准标识符)结合使用时。隐私服务器可能从隐私客户端接收的请求的性质和实质可能因多种因素而异，包括系统是否以DRMI、DRMD或其他方式实施，以及请求是否与医疗保健、教育、移动、金融、Web、物联网或其他应用程序相关等。

在步骤2中，抽象模块确定适合与DataSubject或受信任方建立的PERMS一致的敏感数据元素所需的安全、隐私、匿名和相关性级别的抽象级别，DDID关联策略针对敏感数据元素而开发，这些敏感数据元素与上述PERMS允许的数据使用/分析范围一致。

在第3步，由抽象模块决定的一个或多个DDIDs被发送到隐私客户端，以动态地隐藏敏感的数据元素。

在步骤4中，通过将上述数据元素替换为由抽象模块确定的一个或多个DDIDs，一个或多个敏感数据元素被动态遮盖，所得的DDIDs 用于替换外部通信的数据中的敏感数据元素组织。在步骤3的一个示例中，敏感数据元素的隐匿，通过在所述计算机应用程序的表示层拦截来自一个或多个数据库的敏感数据的请求，并利用抽象模块确定的一个或多个DDIDs替换敏感数据，发生在从主体一个或多个数据库请求数据的特定计算机应用程序中。

在步骤5中，为了了解一个或多个DDIDs与被隐藏的敏感数据元素之间的关联，需要将密钥安全地存储在一个信任圈(CoT)中。

在步骤6中，了解一个或多个DDIDs与安全存储在信任圈 (CoT)中的模糊敏感数据元素之间的关联所需的密钥仅提供给授权方。在DataSubject或受信任方授权接收和/或使用基础敏感数据的一个或多个方请求密钥之前，不会披露由一个或多个DDIDs表示的敏感数据。

在本公开的一个示例中，图7示出了可以由接收者实体实现的处理步骤的示例。

在步骤1中，由控制实体选择的属性组合与DDID结合使用，在TDR期间与数据属性关联的TDR由收件人客户端通过驻留在Data Subject上的隐私客户端接收设备，通过云网络访问和驻留在云网络中，或驻留在与隐私服务器相同的计算设备上，指示有关所需操作、活动、流程或特征的请求。例如，在上面的皮划艇示例中，电子商务站点接收实体可能会收到Data Subject的TDR请求，该请求与所需的操作、活动、流程或特征有关。

在步骤2中，收件人实体通过提供访问AKs和/或AKs使用权限的隐私客户端来解释TDRs(可能由所需的在线操作，活动，过程或特质的属性组合和DDID组成)根据需要了解TDRs的内容。例如，在上面的示例中，电子商务站点将访问驻留在DataSubject’s设备上、服务提供商设备上的RK信息、通过云网络访问和驻留在云网络中，或与隐私服务器驻留在同一计算设备上的RK信息。了解 DataSubject’s的权重归因于Ab5的值、DataSubject’s高度归纳为 67h的值以及归因于到Data Subject’s的预算Gw2的值。

在步骤3中，在一个示例中，接收实体可以使用它所接收到的 TDR信息来定制对Data Subject’s所传输属性的响应。在kayak的例子中，这将允许电子商务网站使用这些信息，为Data Subject’s提供关于购买kayak和paddle的建议。

在步骤4中，在一个示例中，隐私客户端获得在收件人实体执行的在线活动的数据，通过访问可能驻留在Data Subject设备上的隐私客户端(在服务提供商上)与属性组合相关联的数据设备，可通过云网络访问和驻留在云网络中，或驻留在与隐私服务器相同的计算设备上。

在步骤5中，在一个示例中，收件人实体获得与属性组合关联的脱机活动(如果有)的数据，并将其转换为联机数据。在kayak等实例中，如果数据主体也是由电子商务网站运营的实体商店位置的会员奖励会员，并且选择让其他首选项知晓，则接收实体可以通过此联机组件。

在步骤5中，在一个示例中，隐私客户端以分类和匿名格式将与属性组合和DDIDs相关的联机会话，传输脱机活动相关数据到隐私服务器。

在步骤6中，由于TDRs的DDID组件被重新引入系统，以便重新分配并与其他属性、属性组合、数据主体、操作、活动、流程、特征或数据一起使用，以与所述相同的方式形成新的TDRs上文，接收实体可能在以后看到相同的DDID，但DDID可能与与DataSubject 关联的任何其他TDRs或其他先前关联的TDRs没有连接。例如，当天或一周后，电子商务网站可能会再次看到相同的DDID，但附加到与完全不同的DataSubject相关的不同信息。

在图7的第二个示例中，请求血压信息的医生可能通过隐私客户端接收一个TDR，作为步骤1的一部分，该TDR由最近记录的收缩压和舒张压值以及由隐私服务器分配的DDID到DataSubject。作为步骤2和步骤3的一部分，医生能够读取血压信息。作为步骤4和5 的一部分，医生可以添加与血压相关的观察、建议或注释，作为步骤 6的一部分，该观察、建议或意见将通过可能驻留在Data Subject设备上的隐私客户端发送到隐私服务器，在服务提供商设备上，通过云网络访问并驻留在云网络中，或与隐私服务器位于同一计算设备上。

图8举例说明了根据本发明的一个实施例，验证在特定时间和/或地点就某一行动、活动、过程或特性进行处理的过程。

在步骤1中，在一个示例中，收件人实体通过可能驻留在Data Subject设备上的隐私客户端、服务提供商设备上、通过云网络访问或驻留在与隐私服务器相同的计算设备上，以确认未公开的DataSubject 或与TDR关联的关联方是否有权在特定时间和地点参与行动、活动、流程或特征的隐私客户端，从而将请求传输到隐私服务器。例如，在浏览电子商务网站上推荐的kayAKs和paddle后，关联方准备进行购买时，电子商务网站可以查询隐私服务器的认证模块，以确定关联方是否授权完成请求的交易。

在步骤2中，在一个示例中，隐私服务器的身份验证模块将 TDR中包含的DDID与数据库中包含的授权DDIDs列表进行比较，以确定DataSubjec或关联方在指定时间和/或地点参与所需操作、活动、流程或特征的授权。在皮划艇示例中，隐私服务器的身份验证模块可以确保正在使用的DDIDs仍然处于活动状态且经过授权，从而表明DataSubject或关联方有权完成所需的交易。

或者，在步骤3中，在一个示例中，隐私服务器可能会请求控制可能驻留在DataSubject设备上的隐私客户端的一方，在服务提供商设备上，可以通过云网络访问并驻留在其中，或者与隐私服务器(在本例中为电子商务站点)位于同一计算设备上，以确认他们有权参与所需交易。

如果调用了可选的步骤3，则在一个示例中，步骤4进行检查以确定控制隐私客户端的一方是否已被验证为已授权。例如，为了避免通过伪装成可信赖的实体(也称为“网络钓鱼”)来进行欺骗性尝试，以获取诸如用户名，密码或信用卡详细信息之类的信息，步骤4可能需要电子商务网站进行验证，该kayak设备授权经销商已知技术已通过认证。

在步骤5中，在一个示例中，如果获得验证，隐私服务器的身份验证模块会将授权状态信息传输到隐私客户端控制的一方。

在步骤6中，在一个示例中，授权状态信息用于允许或拒绝处理所需的操作、活动、流程或特征。

在步骤7中，一旦执行身份验证功能并完成可选的附加验证步骤，隐私服务器将通过隐私客户端发送解释TDR内容所需的AK和/或 RK信息，以便相关方可以购买所需的产品，交易可能由接收实体处理，例如电子商务网站。

在图8的第二个示例中，医生可以通过隐私客户端将TDR发送到隐私服务器，以验证作为患者的Data Subject是否被授权参与探索性研究。这将导致隐私服务器的身份验证模块(作为步骤2的一部分) 将TDR中的Data Subject的DDID与数据库中包含的授权DDIDs列表进行比较，以确定该Data Subject是否被授权参与研究。或者，在步骤3中，隐私服务器的身份验证模块可以请求提交请求的医生确认他们有权请求DataSubject是探索性研究的参与者。如果调用可选步骤3，步骤4会检查医生是否通过已知的确认技术(如密码确认或多重身份验证)获得授权。在步骤5中，如果获得验证，隐私服务器的身份验证模块可能通过隐私客户端传输授权状态信息，在步骤6中，授权状态可用于允许或拒绝DataSubject参与探索性研究的请求，步骤7将提供对解释TDR内容所需的AK和/或RK密钥信息的访问，以便继续操作。

图9说明了一个预扣替换密钥(RK)或关联密钥(AK)信息或其他保护性信息的过程示例，除非根据本发明的一个实施例进行了验证。如步骤1所示，在一个示例中，控制隐私客户端(包括TDR) 的一方通过隐私客户端传输到隐私服务器的身份验证模块，该客户端可能驻留在数据主体设备上、服务提供商设备上、通过云网络访问或驻留在与隐私服务器相同的计算设备上，请求AK和/或RK，以及/或密钥以解锁使用其他技术(如加密、标记、假名)等其他技术保护的 TDR数据属性。

在kayak的例子中，数据可能使用各种附加步骤发送，以保护其传输过程中，但是，接收实体电子商务网站可能需要密钥来解锁和/或关联隐私客户端最初发送给它的有关身高、体重和预算的三条信息。在步骤2中，在一个示例中，隐私服务器的身份验证模块将TDR收件人属性组合与授权收件人属性组合进行比较，以确定TDR收件人是否是授权收件人。如果隐私服务器的身份验证模块验证TDR收件人属性组合是否与授权收件人属性组合匹配，则隐私服务器的身份验证模块将作为步骤3的一部分通过隐私客户端(例如，解锁TDR所需的密钥)传输到TDR收件人。

在图8的第二个示例中，在步骤1中，医生可能需要接收包含请求的血压信息的加密、标记或省略的TDR，才能通过隐私客户端将 TDR发送到隐私服务器的身份验证模块，以验证医生有权查看所请求的信息。在步骤2中，隐私服务器的身份验证模块可能会将医生的TDR信息与授权收件人属性组合进行比较，以确定医生是否是授权接收者。如果隐私服务器的身份验证模块验证医生的TDR信息是否与授权的收件人属性组合匹配，则隐私服务器的身份验证模块可能通过隐私客户端将密钥传输给医生解锁包含请求的血压信息的加密、标记或省略的TDR的适用保护技术所必需的。

图10展示了根据本发明的一个实施例以匿名方式分析相关方利益的示例。在第1步，在一个例子中，相关方(RPs)选择通过移动和/ 或可穿戴设备上的隐私客户端与商家/服务提供商共享的属性组合 (ACs)。例如，与其利用电子商务网站，相关方可以去户外运动商店的物理位置，通过移动或可穿戴设备共享关于身高、体重和预算的相同信息。

在步骤2中，在一个示例中，隐私服务器可以将DDID(s)分配给位于移动/可穿戴/便携设备上的隐私客户端的属性组合，以形成 TDR(s)。

在第3步，在一个示例中，通过驻留在移动/可穿戴/便携设备上的隐私客户端将TDR(s)传输给商家/服务提供商接收实体。例如，对于kayAKs，存储可以通过存储设备、信标等从Data Subject的移动/ 可穿戴/便携设备接收三个独立的TDR启用数据属性。

在步骤4中，在一个示例中，商户/服务提供商接收实体可以查看相关方授权的属性组合，并由移动/可穿戴/便携设备上的隐私客户端传输给商户/服务提供商接收实体。例如，商店可以查看相关方的身高、体重和预算。

在步骤5中，在一个示例中，商家/服务提供商接收实体可以匿名向DataSubjects和/或关联方提供报价，而尚不知道DataSubjects 和/或关联方的身份。

在步骤6中，在一个示例中，DataSubjects和/或关联方可以选择响应他们认为理想且完美的交易的商户/服务提供商接收实体的优惠。

此处描述的系统和方法可能为关联方提供一种在利用一个或多个通信网络时实现更高的匿名性以及提高数据隐私/匿名性和安全性的方法。如果没有这些系统和方法，第三方可能能够根据Data Subjects或关联方在通信网络上的活动，通过网络服务和/或技术提供商获得 DataSubjects或关联方在网络上或网络之间的活动相关的识别信息的真实身份。

本发明公开了提供数据安全和数据隐私/匿名的其他各种方法。例如，一种方法可以包括在计算设备上接收电子数据元素的步骤或操作；使用电子数据元素标识一个或多个数据属性；通过计算设备选择一个 DDID；将所选DDID与一个或多个数据属性关联；以及至少从所选的唯一DDID和一个或多个数据属性创建一个TDR。

在一个示例中，选择一个数据元素的步骤包括生成惟一的DDID，或者在另一个示例中接受或修改一个临时惟一的、动态更改的值来充当DDID。在一个示例中，该方法还可能包括导致所选DDID与一个或多个数据属性之间的关联过期。在另一个示例中，该方法可能包括在计算设备可访问的数据库中存储有关所选唯一DDID与不同数据属性或属性组合关联的时间段的信息。在另一个实施例中，该方法还可以包括在DDID与一个或多个数据属性之间的关联过期后，将所选的唯一DDID与一个或多个数据属性重新关联。在一个示例中，DDID 的过期发生在预定的时间，或者在完成预定的事件或活动之后可能会出现过期。在另一个示例中，TDR可能仅在给定时间段内或在预定地点被授权使用。在另一个示例中，该方法可能包括更改分配给一个或多个数据属性的唯一DDID，其中唯一DDID的更改可能随机或计划地发生，或者可能在完成预定活动或事件后发生.

本文公开了另一种促进网络交易的方法。在一个示例中，该方法可能包括在隐私服务器上从客户端设备接收请求以通过网络进行活动的操作；确定数据库中需要哪些数据属性来完成请求的活动；创建DDID；将DDID与确定的数据属性相关联，以创建组合的TDR；使组合的 TDR可于至少一个网络设备访问，以进行或启动请求活动；接收修改后的TDR，其中包含与所执行活动相关的其他信息；并将修改后的 TDR存储在内存数据库中。在另一种方法实现中，本文公开的是一种提供受控电子信息分发的方法。在一个示例中，该方法可能包括在隐私控制模块接收通过网络执行活动的请求；选择数据主体的属性，这些属性位于隐私控制模块可访问的位置，该模块确定为满足请求所必需的，其中未选择未确定为必要的数据主体的其他属性；使用隐私控制模块的抽象模块为其应用的选定属性和数据主体或数据主体分配DDID，其中DDID不会显示未选择的属性；记录分配唯一DDID的时间；收到请求的活动已完成的指示；接收唯一的DDID和确定的属性以及它们在隐私控制模块中应用的数据主体或数据主体，其中对属性进行修改，以包含有关所执行活动的信息；记录所执行活动的完成时间，并在隐私控制模块接收唯一的DDID及其应用的DataSubject或Data Subject。

在一个示例中，该方法还可能包括将一个额外的DDID分配给一个或多个选定的属性或Data Subject。在另一个示例中，该方法可能包括使用记录的时间、惟一的DDID和数据属性与Data Subject的真实身份重新关联。该方法还可以包括将惟一的DDID重新分配给其他数据属性，以及记录重新分配惟一的DDID的时间。

本文还公开了另一种提高数据安全性的方法。在一个示例中，该方法可以包括将Data Subject与至少一个属性相关联；并将DDID与至少一个属性相关联以创建TDR；其中，TDR将对Data Subject属性的访问限制为仅对执行给定操作所需的属性的访问。在一个示例中，该方法可能包括将一个关联键(AK)和/或替换键(RK)分配给TDR，其中对AK和/或RK的访问是对TDR的授权访问所必需的。在另一个示例中，该方法还可能包括导致DDID和至少一个属性之间的关联过期，其中过期在预定的时间发生，并且/或在预定的事件或活动完成后过期。在另一个实施例中，该方法可以包括在DDID与至少一个属性之间的关联过期后，将该DDID与至少一个不同属性重新关联。该方法还可以包括在数据库中存储关于DDID与不同数据属性或属性组合关联的一个或多个时间段的信息。

可以使用各种方法将DDIDs与不同的属性组合关联起来形成 TDRs。DDIDs可以具有特定的或可变的长度，并且可以由各种代码组成元素(例如数字、字符、大小写和/或特殊字符)组成。此外，DDIDs还可以由随机的或者是相同的间隔来组成。举一个例子，只有具有访问维护模块维护的关联键(AKs)和/或替换键(RKs)的权限的授权方才能确定哪些属性组合与其他属性组合正确关联，还包括 Data Subjects、关联方或汇总的数据配置文件。然而，站点仍然可以实时跟踪和利用TDRs中包含的属性组合，但必须认识到它们的存在时间有限，并且相关的DDIDs可以在以后用于不同的操作、活动、流程、特性、属性组合、DataSubjects和/或相关方。

传输的属性组合可以包括显式数据，个人识别信息(PII)，行为数据，派生数据，丰富数据或其他数据的单个或各种组合。

示例A.

在第一个例子中，可以对系统进行配置，授权关联方去指定将释放哪些其他方属性组合的控制实体。示例A说明了系统如何处理由关联方(关联方X或“RP X”)生成的信息，该关联方通过三个不同的通信网络(“CN”s)与来自不同行业的两个不同服务提供商(“SP”s)进行四个不同的在线会话。图11-20展示了此例，并于第一个示例中阐释了如何在不同阶段以及不同情况下管理信息。据了解，图11-20仅以示例的方式提供，并且本发明的实施例可能以与图11-20示例不同的方式实现。

在图11展示的示例中，关联方X通过在线互联网接入(“通信网络1”或“CN1”)将属性组合A(显式数据)发送给网站服务提供商，例如Pandora Radio(“SP1”)。属性组合A由隐私服务器(“PS”) 的抽象模块分配DDID 1的标识符代码(在有限的时间段内)。在图 11中，DDID 1和属性组合A的组合表示关联方X在有限的时间段内的TDR。

在图12展示的示例中，当与SP1进行交互时，关联方X生成了由SPl跟踪的活动信息(行为数据)，该活动信息由可能驻留在Data Subject设备上，服务提供商设备上的隐私客户端作为属性组合A1发送，可通过云网络访问并驻留在云网络中，或与隐私服务器驻留在同一计算设备上，然后再返回到隐私服务器。隐私服务器的维护模块可以维护关于在不同时间点分配给每个属性组合的各种DDID码的信息，以及与每个属性组合相关联的CN和SP。在图12中，DDID 1、属性组合A、属性组合A1的组合表示关联方X在DDID 1、属性组合A、属性组合A1有限时间内的TDR。在属性组合中所计划的动作、活动或过程的新数据关联完成后，DDID 1可能被重新分配用于新的TDR。图13到20中所示的DDIDs和属性组合的组合也代表了DDIDs和属性组合之间关联的时间段的TDR。

在图13展示的示例中，关联方X通过在线互联网访问(“CN1”) 向Pandora Radio(“SP1”)发送另一个属性组合E(显式数据)。属性组合E由隐私服务器(“PS”)在有限的时间段内分配给DDID 4 的标识符代码，并且标识符代码连同属性组合E经由安全客户端经由CN1传送到SPt。

在图14展示的示例中，当与SPt交互时，相关方X生成了SP1 跟踪的活动信息(行为数据)，该活动信息作为属性组合E1经由隐私客户端(可能位于Data Subject设备上)发送回隐私服务器的抽象模块，其在服务提供商设备上，可通过云网络访问并驻留其中，或者与隐私服务器驻留在同一计算设备上。

在图15展示的示例中，关联方X以移动应用形式将属性组合Q (显式数据)传输到另一版本的SP1 Pandora Radio，此过程可通过移动设备接入通信(“通信网络2”或“CN2”)访问。隐私服务器在有限的时间段内为属性组合Q分配了DDID 9的标识符代码，并且标识符代码连同属性组合Q作为TDR通过安全客户端经由CN2传递给 SPt。

在图16展示的示例中，当与SP1交互时，相关方X生成了SP1 跟踪的活动信息(行为数据)，该活动信息作为属性组合E1经由隐私客户端(可能位于Data Subject设备上)发送回隐私服务器的抽象模块，其在服务提供商设备上，可通过云网络访问并驻留其中，或者与隐私服务器驻留在同一计算设备上。

在图17展示的示例中，关联方X可驻留在Data Subject设备以及服务提供商设备上，并可以经由云网访问并通过云网中的隐私客户端发送属性组合P(行为数据)，或与隐私服务器位于同一计算设备上，该服务提供商(“SP2”)通过可穿戴设备访问通信(“通信网络3”或“CN3”)提供诸如FitBit等与运动活动相关的监控服务。在有限的时间段内，属性组合P由PS分配给DDID 7的标识符代码，并且标识符代码连同属性组合P通过安全客户端经由CN3作为TDR传送到 SP2。

在图18展示的示例中，即当与SP2交互时，SP2会计算出由关联方X完成的所需每日卡路里消耗(衍生数据)的百分比，并且该信息通过可能位于Data Subject设备、服务提供商设备上、可通过和驻留的隐私客户端传输在云网络中，或与隐私服务器位于同一计算设备上，作为返回到隐私服务器的属性组合P1。

在图19展示的示例中，每个SP可以访问的属性组合可以驻留在 Data Subject设备上、服务提供商设备上，以及可以通过云网络访问并经由其中的隐私客户端重新传输，或是驻留在与隐私服务器相同的计算设备上。图19着重强调，在SPs相互之间的会话是子集关系，因此如果不访问维护模块的安全关联密钥，SPs在一个示例中不具有确定属性组合之间的关联所需的信息。但是，在一种情况下，他们确实有权访问在每个有限时间段内创建的属性组合，这些属性组合是通过更改DDIDs确定的。例如，SP1不知道DDID 1和DDID 9都属于关联方X，后者访问了SP1维护的网站的两个不同版本-一个通过在线互联网访问，另一个通过移动设备访问。

在图20展示的示例中，关联方X可访问的数据包括发送到SPs 和从SPs重新传输的所有信息。图19强调，通过访问由维护模块维护着的安全关联密钥，作为控制实体的关联方X在一个示例中可能具有确定属性组合之间的关联所需的信息，以用于聚合和规范化目的。另外，关联方X可以拥有要使用的信息，或者可以拥有数据辅助者的维护模块，以便在安全环境中执行数据的进一步分析和处理工作。新的属性组合Z表示，维护模块应关联方X的请求通过比较与DDID 1、DDID 9相关的所有数据而生成的新数据(“富数据”)，DDID 4和 DDID7预测相关方X可能喜欢的其他音乐选择，这将有助于实现所需的每日卡路里消耗。属性组合Z可以囊括该预测产生的其他音乐选择的列表，以及与其他各种DDIDs关联的数据。除非作为控制实体的关联方X需要，属性组合Z不会与任何一方(SP1、SP2或其他方) 通信。当关联方X希望共享属性组合Z时，在一个示例中，它将在被分配到一个DDID代码后传输给由关联方X指定的接收方。这种新的属性组合在关联方X决定是否分发给接收方实体时，将更加全面和新颖。

示例

在图21-22展示的第二示例中，系统被配置成使得服务提供商 (“SP3”)是被授权指定与SP3客户端相关的选择属性组合的参与方的控制实体。SP3可能会使用该系统为其客户的身份和隐私/匿名性提供更好的保护。这包括减少由于潜在的隐私或匿名性损失而引起的消费者或政府反对的可能性，以及提高SP3产品的市场渗透率、使用率和接受度。据了解，图21-22仅以示例的方式提供，并且本发明的实施例可能以与图21-22示例不同的方式实现。

在图21和22展示的示例中，SP3提供了每个输入技术供应商，例如帮助捕获订单信息的网站公司(“ITV”)，过程技术供应商，例如在线电子支付处理器(“PTV”)和输出技术供应商，例如以电子方式向客户交付选定产品(“OTV”)的一方，仅具有执行分配给每个供应商的服务所需的属性组合。没有一家供应商能够获得个人识别信息 (“PII”)来显示SP3客户的身份。

图23说明了在互联网行为广告服务领域中动态创建，可更改和可重新分配的DDIDs的实现示例。在没有本发明的某些实施例的情况下，互联网行为广告服务主要基于广告网络，该广告网络将cookie 放置在用户的Web浏览器中，并通过跟踪用户访问的网站来承载来自同一广告网络的广告，从而建立该用户的个人资料。通过这种方式，网络可以构建用户访问的网站的个人资料，并可以使用来自其他来源的数据进行扩充，从而获得具有cookie信息的用户的详细个人资料。

通常，当用户首次访问图23中的网站(“Websitel”)时，该网站：(i)将内容从该网站传递到用户的浏览器；(ii)将Cookie发送到用户的浏览器；(iii)将用户的浏览器定向到网址，以从广告网络(“广告网络1”)中检索要在网站上投放的广告内容。上述(ii)中传递的Cookie被称为“第一方Cookie”，因为它涉及用户选择的网站。第一方Cookies有助于用户保存“状态”信息，如登录进度、购物篮中的项目和其他可改善用户体验的相关信息。当用户的浏览器从作为上述(iii)的一部分的广告网络1请求广告信息时，广告网络1会将广告发送到用户的浏览器，并显示为网站1的一部分。如果这是用户的浏览器第一次从广告网络1请求广告内容，则广告网络1还将向用户的浏览器发送cookie。该Cookie被称为“第三方Cookie”，因为它不是来自用户打算访问的网页。如果广告网络1之前未跟踪用户，则广告网络1将基于传统的广告投放技术来进行投放(例如，可能会投放网站1上内容的性质)。随着用户使用广告网络1投放的广告访问越来越多的网站时，广告网络1(通过广告网络1发送到用户浏览器的第三方Cookie)会根据访问的页面来构建用户行为数据的资料，在每个页面上花费的时间以及其他变量，例如来自用户社交网络的信息，在线或离线购买行为，心理和人口统计信息，以及通过广告网络1的操作或整合第三方数据提供商提供的信息收集的更多用户信息。基于由广告网络1创建和管理的用户的个人资料，广告网络1可以根据其确定的用户最感兴趣的内容来显示针对该用户的广告。

这种由第三方广告网络跟踪用户从一个网站到另一个网站、从一个页面到另一个页面的传统方式引起了人们对隐私/匿名性的担忧。作为回应，“禁止追踪”(DNT)活动是通过万维网联盟(W3C)发起的。 W3C是一个国际组织，其成员组织、全职工作人员和公众共同制定 Web标准，供监管机构、民间社会和商业实体的各个部门采用。现在，主要的浏览器(即IE，Chrome，Firefox，Safari)提供了DNT选项；但是，在收件人网站应如何响应DNT偏好方面，尚无共识。

尽管如此，一些提供商已经认识到DNT适用于第三方网站跟踪，而不是第一方的网站跟踪。根据W3C标准草案，如果第一方收到 DNT：1信号，则第一方可以正常收集和使用数据。这包括根据第一方的经验定制内容、服务和广告的能力。根据本建议，第一方不得与无法自行收集数据的第三方共享有关该网络交互的数据；但是，有关事务的数据可以与代表第一方的服务提供者共享。在“禁止追踪”情况下，当用户访问网站(“网站1”)时，用户的浏览器会向网站1发送通知，告知该用户将不会被追踪；网站1向用户的浏览器发送第一方Cookie 和内容，以及浏览器应请求从广告网络(“广告网络1”)在网站1上投放广告的地址。广告网络1接收不被跟踪的请求并将广告内容发送到用户的浏览器，但是在用户的浏览器上没有放置第三方Cookie。根据传统的定位方法向用户提供广告，该方法可以包括但不限于将广告定位到页面的内容(即上下文定位)。根据不跟踪的实现方式，如上所述，对于第一方，共识对第一方几乎没有限制(除了第一方不得与无法自行收集数据的第三方共享有关DNT用户网络交互的数据)。

相反，与本发明的实施例相比，可以实现不跟踪以保护相关方的用户的隐私/匿名性，同时仍然传送内容和目标广告以支持因特网的主要收入模型。图23阐释了本发明用于广告服务的许多潜在实现方法之一。

在图23的步骤1中，Data Subject或相关方第一次访问网站1，并且浏览器向网站1发送“请勿追踪”标题。如果Data Subject或相关方需要，浏览器还可以向网站1发送TDR，从而使其能够包括用于改进数据主体或相关方在那里的体验的“状态”信息。然后，网站1将内容发送到Data Subject或相关方的浏览器。

在第2步中，在一个示例中，Data Subject或关联方的浏览器从广告网络1(带有或不带有TDR)向网站1请求广告。如果未发送 TDR，则Data Subject或关联方将根据页面内容从广告网络1接收传统定位的广告。发送TDR后，广告网络1便可以根据Data Subject 或关联方的相关属性向Data Subject或关联方的浏览器投放高度针对性的广告。在这方面，由广告网络1投放的基于TDR的广告可能与 Data Subject或关联方更相关，特别是比起传统上投放的广告或通过广告网络汇总的(根据一般推断)行为概况信息投放的广告会有更高的精准度。

在步骤3中，当Data Subject或关联方访问其他站点(“网站N”) 时，将发生类似于步骤1和2的过程。包含TDR时，网站内容和广告内容将具有高度针对性；但是，广告网络1至少没有能力收集有关 Data Subject或关联方的信息或对其进行跟踪。此外，通过驻留在浏览器上的隐私客户端或通过其他机制，TDR可以包含在发送到网站或广告网络1的信息中。

总而言之，根据现有的广告定位技术，可以在用户上线的任何地方跟踪用户，但仍会根据汇总数据向他们投放广告，广告网络会根据这些数据推断出特定用户的偏好。这将导致没有用户隐私/匿名和低到中等的广告相关性。通过结合本发明的各个方面与“请勿追踪”相结合，用户被授权决定哪些信息被发送到哪些网站和广告网络。这不仅增强了隐私性/匿名性，还增强了广告相关性(对用户而言)，提高了商家的销售和投资回报率。

图24和25展示了本发明的一些实施例在医疗保健领域的潜在益处。图24突出展示了如何在本发明的一种潜在实施方式中使用时间唯一和目的受限的数据表示(TDRs)，以保护用户和患者个人可识别信息(PII)和/或个人健康信息(PHI)的机密性和隐私/匿名性。在医疗保健信息系统中。受益于本发明的一个实施例，医疗系统可以生成在不丢失此类信息的上下文或访问的情况下不会泄露敏感的PII/ PHI的实时TDRs。在步骤1.0中，可以接收包括与注册过程有关的 PII/PHI的信息作为对系统的输入。为了保护敏感的PII/PHI信息的隐私/匿名性，注册过程中的输出可以用TDRs(包含动态更改和可重新分配的DDIDs和PII/PHI信息)替换PII/PHI用户信息[A]。而不暴露敏感的PII/PHI数据。然后，该用户数据(包括代替PII/ PHI信息的TDRs)将被输入以创建，扩充或更改D1处的用户数据文件，而不会泄露PII/PHI信息[B]。类似地，从步骤2.0保留过程中输出的PII/PHI信息可以替换为TDRs(包含动态更改和可重新分配的DDIDs和PII/PHI信息)，而无需透露PII/PHI信息，因此不会泄露敏感的PII/PHI数据。然后，该临床数据(包括代替TII/PHI 信息的TDRs)将被输入以创建，扩充或更改D2处的临床数据文件，而不会泄露PII/PHI信息[C]。然后，来自D2的临床数据(在步骤 3.0中进行临床信息搜索处理之后)可以与来自D1的用户数据组合，作为对步骤4.0用户简档搜索处理的输入，而不仅通过访问和使用时间唯一和目的受限的TDRs来揭示PII/PHI信息。可将步骤4.0用户简档搜索过程产生的输出的PII/PHI用户信息分量替换为TDRs(由动态变化和可重新分配的DDIDs和PII/PHI信息组成)，而不暴露 PII/PHI信息，因此不会泄露敏感的PII/PHI数据。最后，D1处的用户数据(包括代替PII/PHI信息的TDRs)可以用作步骤5.0预约记录浏览过程的输入，而不仅通过访问和使用时间唯一和目的有限的TDR 来揭示PII/PHI信息。当授权医疗保健或辅助服务需要从用户数据文件和/或临床数据文件访问详细信息时，可以使用关联密钥(AKs)和/ 或替换密钥(RKs)来识别与适用的TDRs和DDIDs相关联的相关敏感PII/PHI数据。

在图25展示的示例中，动态创建、可更改和可重新分配的TDRs (由动态更改和可重新分配的DDIDs和PII/PHI信息组成)可用于保护患者病历中包含的PII/PHI的机密性和隐私/匿名性。图25展示了使用多个抽象级别来实现本发明建立“隐私环”，从而仅提供执行所需服务或允许功能所需的识别信息级别。在本例中，提供者、州、多州和国家级别中的每一个都将接收适合其各自允许用途的属性组合。时间唯一且用途受限的数据形式(TDRs)来保护用户和患者个人识别信息(PII)和/或个人健康信息(PHI)的机密性和隐私/匿名性。受益于本发明的一个实施例，与医疗保健相关的信息可以使用在不丢失此类信息的上下文或访问的情况下不会泄露敏感的PII/PHI的TDRs。可以为每个连续的级别(从最低级别的提供者级别开始，直到最高级别的国家级别)提供信息，其中PII/PHI信息已被TDRs(由动态更改和可重新分配的DDIDs以及PII/PHI信息)仅由时间唯一且用途受限的DDIDs表示(不显示PII/PHI信息)，因此不会暴露敏感的 PII/PHI数据。当需要访问PII/PHI信息以在特定级别上进行适当的授权使用时，可以使用关联密钥(AKs)和/或替换密钥(RKs)来识别与适用TDR相关的相关敏感PII/PHI数据和DDIDs。此外，由于DDIDs随时间变化，并且与新DDIDs相关的信息可以反映新的和附加的信息而无需透露Data Subject/患者的身份，因此DDIDs可以帮助促进自我调节以改善纵向研究。这可以通过使用DDIDs从执行分析所需的数据中分离“上下文”或“元”来实现。可以与受信方/代理共享分析结果，该受信方/代理将“上下文”或“元”应用于分析所得的数据。医疗保健行业中有众多参与者，其中许多参与者使用不同的数据结构。 Dynamic Anonymity可以支持以不同的格式收集来自不同来源的不同数据，将信息规范化为一个通用结构，并通过动态分配，重新分配和跟踪DDIDs来实现“上下文”或“元”与“内容”的分离，从而实现有效的研究且进行分析而不会泄露识别信息。这种方法可以允许将来自不同来源的单个Data Subject/患者的数据链接在一起，因为流程中无法识别到个人，因此无需担心授权问题。只有在图1C-1中确定的信任圈 (“CoT”)内，才能通过访问与个人相关的映射引擎来访问标识信息。通过适当的监督和监管，受信任方/代理可以通过信任圈((CoT)提供控制，以帮助协调可识别和功能性信息之间的紧张关系。例如，当前在医疗保健/生命科学研究中，由于对重新识别个人的潜在风险，正在进行大量的“数据最小化”工作以确保仅将最小量的可识别信息用于研究。通过Dynamic Anonymity，监管机构在执法方面的负担以及与隐私/匿名审查和工程相关的公司的负担可以大大减轻，同时，可以为医疗保健相关的研究和开发提供更完整的数据集。HIPAA规定了取消识别个人健康信息(PHI)的方法；一旦取消识别PHI，就不再受 HIPAA法规的约束，可以用于任何目的。然而，人们对现有HIPAA 识别方法的充分性、未经授权的重新鉴定未经识别的数据的法律责任以及对未识别的数据使用的公众透明度不足提出了关注。此外，根据 HIPAA/HITECH最终规则，自2014年9月22日起生效，除涵盖的实体外，业务伙伴还直接负责遵守HIPAA。本发明提供了一种在不降低信息价值的情况下实现HIPAA的信息隐私目标的方法。通过本发明的应用，大多数数据可以是能够适用于HIPAA的。

图26的实例展示了本发明在移动/可穿戴/便携式设备通信领域中的一些潜在益处。实现本文所公开的系统或其方面的移动/可穿戴/便携式应用程序可提供对参与位置和时间敏感应用程序的定时和水平的实体控制。控制实体可以使用隐私服务器的抽象模块的功能来控制与第三方共享属性组合的程度，以匿名与个人可识别的方式进行。例如，与现有系统中的移动/可穿戴/便携设备相关联的静态标识符可以使移动 /可穿戴/便携应用提供商和其他第三方聚集与移动/可穿戴/便携设备的使用有关的属性组合数据。本发明的使用可以防止应用提供商和其他第三方聚合与移动/可穿戴/便携式设备的使用有关的属性组合，并且可以进一步使移动/可穿戴/便携式设备使用需要访问地理位置信息的移动应用(例如，方向或地图应用)，而无需通过实现使用TDRs和/或 DDIDs而非静态标识符来揭示移动/可穿戴/便携式设备或用户的身份。

图27是一个简化的功能框图示例，说明了实例的可编程设备 2700可以实现本文描述的一个或多个过程、方法、步骤、特征或方面。可编程设备2700可以包括一个或多个通信电路2710、存储器2720、存储设备2730、处理器2740、控制实体接口2750、显示器2760和通信总线2770。处理器2740可以是任何合适的可编程控制设备或其它处理单元，并且可以控制由可编程设备2700执行的许多功能的操作。处理器2740可以驱动显示器2760，并且可以从控制实体接口2750接收控制实体输入。嵌入式处理器提供了一种多用途和耐用的可编程控制设备，可用于执行所公开的技术。

存储设备2730可以存储属性组合、软件(例如，用于在设备 2700上实现各种功能)、偏好信息、设备简档信息和任何其它合适的数据。存储设备2730可以包括一个或多个存储介质，用于有形地记录数据和程序指令，包括例如硬盘驱动器或固态存储器、诸如ROM的永久存储器、诸如RAM的半永久存储器或高速缓存。程序指令可以包括以任何期望的计算机编程语言编码的软件实现。

存储器2720可以包括可用于执行设备功能的一种或多种不同类型的存储模块。例如，存储器2720可以包括高速缓存、ROM和/或 RAM。通信总线2770可提供用于向、从或在至少存储器2720、存储设备2730和处理器2740之间传输数据的路径。

尽管称为总线，但通信总线2770不限于任何特定的数据传输技术。控制实体接口2750可以允许控制实体与可编程设备2700交互。例如，控制实体接口2750可以采用多种形式，例如按钮、键盘、拨号盘、点击轮、鼠标、触摸或语音命令屏幕，或者任何其他形式的输入或用户接口。

在一个实施例中，可编程设备2700可以是能够处理数据的可编程设备。例如，可编程设备2600可以是诸如具有通信能力并且嵌入有传感器、识别设备或机器可读标识符(“智能设备”)的任何可识别设备(不包括智能电话、平板电脑、笔记本电脑和台式机)、智能电话、平板电脑，笔记本电脑、台式电脑或其他合适的个人设备。

图28展示了用于实现本文所述的一个或多个过程、方法、步骤、特征或方面的网络设备的系统2800的框图。例如，可以在任何智能设备(即，可穿戴，可移动或不可移动智能设备)2810，智能电话 2820，平板电脑2830，笔记本2840或台式计算机2850上实现上述隐私客户端。这些设备中的每一个都通过一个或多个网络2860连接到隐私服务器2870，隐私服务器2870耦合到数据库2880，用于存储有关属性组合，TDRs，Data Subjects，聚合的DataSubjects概要文件，通过时间键(TKs)或其他方式的时间段/戳、关联键(AKs)、替换键(RKs)和他们的相关信息。数据库2880可以是期望的任何数据存储形式，包括结构化数据库和非结构化平面文件。隐私服务器2870 还可以通过时间密钥(TKs)或其它方式，为属性组合、TDRs、Data Subjects、聚合Data Subject简档、时间段/戳、关联密钥(AKs)提供远程存储，已在或将要在设备2810、2820、2830、2840、2850或数据库2880或不同数据库(未示出)中的其他适当设备上传递给隐私客户端的替换密钥(RKs)及其相关信息。

尽管在图28中示出了单个网络2860，但是网络2860可以是多个互连的网络，并且隐私服务器2870可以通过以下方式连接到2810、 2820、2830、2840、2850或其他合适的设备上的每个隐私客户端。不同的网络2860。网络2860可以是任何类型的网络，包括局域网，广域网或全球互联网。

本发明的实施例可以为各种行业，环境和技术提供隐私和安全应用，包括但不限于在线交易，医疗保健，教育，卡支付或处理，信息安全，运输，供应链管理，制造资源。规划，地理位置，移动或蜂窝系统，能源和智能电网技术，互联网以及国防和情报技术和计划。

当在在线交易环境中使用时，本发明的实施例可以向消费者提供控制其数据的收集或使用的能力，赋予数据保管人以能力，以确保参与数据通信或传播的第三方只接收履行其特定职能所必需的信息。由此增强消费者的信心，可能使人们能够继续享受上述“物联网”的好处，而不会放弃主体或相关方的权利，也不会使该行业受到不适当的监管。

在医疗领域，本发明的实施例可以通过改进去识别来帮助保持现有医疗法律的效力。此外，本发明的实施例可使个人消费者和整个社会受益于医疗大数据分析，其方法是由于增加了对数据机密性的保护而提高患者同意进行研究的可能性。

作为另一示例，当在教育环境中使用时，本发明的实施例可以向教育者和管理者提供安全工具来访问和使用与学生相关的分区数据，以此单独或是总体分析学校系统中的学生数据，在不损害学生隐私权/ 匿名权的情况下，学校能够从增强的数据分析中获益。

在国家安全设置领域，本发明可以用于例如由政府国家安全组织分析由单个电信用户聚合的有限电话记录，而不要求向安全组织提供任何个人识别信息。例如，通话时间、“被叫至”和“被叫自”号码、“通话持续时间”和“被叫至”和“被叫自”号码的邮政编码可以被公开，而无需公开拨打或接听电话的电话号码或与拨打或接听方有关的个人信息。在本例中，安全组织可分析有限的电话记录，以确定是否发生任何可疑活动，此时可签发搜查令或其他司法批准，以接收电话记录的其他更详细的属性。以这种方式，本发明的实施例可用于进一步的国家安全利益，同时保持电话用户的隐私/匿名性，直到司法审查要求披露附加的、更详细的属性为止。

示例

以下示例涉及进一步的实施例。示例1为一个系统，包括：通信接口，用于通过网络发送数据；以及具有存储在其中的计算机程序代码的存储器；一个或多个处理单元可操作地耦合到存储器，并被配置为执行计算机程序代码中的指令，该指令使一个或多个处理单元：生成一个或多个动态变化的，时间上唯一的标识符；通过网络从第一客户端接收对与第一数据主体相关的所生成的标识符的第一请求；响应于第一请求，将第一生成的标识符与第一数据主体相关联；产生第一时间段数据，其中第一时间段数据包括定义第一时间段的信息，在该第一时间段中可以使用第一产生的标识符来识别第一数据主体；在存储器中存储第一生成的标识和第一时间段数据；并通过网络将生成的第一标识符发送给第一客户端。

示例2包括示例1的主题，其中计算机程序代码中的指令进一步导致一个或多个处理单元执行以下操作：将一个或多个数据属性与第一生成的标识符相关联。

示例3包括示例2的主题，其中，与第一生成的标识符相关联的一个或多个数据属性中的至少一个与第一数据主题的操作、活动、过程、目的、标识或特征相关。

示例4包括示例3的主题，其中，计算机程序代码中的指令还使一个或多个处理单元执行以下操作：通过网络从第二客户端接收一个及以上的第二请求。在第一时间段内与第一生成的标识符相关联的数据属性；确定第二请求被授权；并通过网络授予第二客户端确定与第一个时间段内第一个生成的标识符。

示例5包括示例1的主题，其中计算机程序代码中的指令进一步导致一个或多个处理单元执行以下操作：在第一时间段或第二时间段中将第一生成的标识符与第二数据主题相关联。

示例6包括示例的主题，其中计算机程序代码中的指令进一步导致一个或多个处理单元执行以下操作：响应第一请求，将第二生成的标识符与第一数据主题相关联；生成第二时间段数据，其中第二时间段数据包括信息定义第二时间段，在此期间，第二生成的标识符可用于标识第一数据主体；将第二生成的标识符和第二时间段数据存储在存储器中；并通过网络将第二生成的标识符发送到第一客户端。

示例7包括示例6的主题，其中计算机程序代码中的指令进一步导致一个或多个处理单元执行以下操作：将一个或多个数据属性与第二生成的标识符相关联，其中，与第二生成的标识符相关联的一个或多个数据属性中的至少一个与第一数据主体的动作、活动、过程、目的、标识或特征相关。

示例8包括示例7的主题，其中与第一生成的标识符相关联的一个或多个数据属性中的至少一个不同于与第二生成的标识符相关联的一个或多个数据属性中的至少一个。

示例9包括示例3的主题，其中，计算机程序代码中的指令还使一个或多个处理单元执行以下操作：在第二时间段内将第一生成的标识符与第二数据主题相关联，其中，至少一个在第一时间段期间与第一产生的标识符相关联的一个或多个数据属性与在第二时间段期间与第一产生的标识符相关联的一个或多个数据属性中的一个相同。

示例10包括示例1的主题，其中计算机程序代码中的指令还使一个或多个处理单元执行以下操作：通过网络从第二客户端接收与第二数据主题相关的第二标识符；以及将第二标识符与第二数据主体相关联；产生第二时间段数据，其中第二时间段数据包括定义第二时间段的信息，在第二时间段中可以使用第二标识符来识别第二数据主体；并将第二标识符和第二时间段数据存储在存储器中。

示例11包括示例4的主题，其中计算机程序代码中的指令还使一个或多个处理单元执行以下操作：通过网络撤消第二客户端确定所请求的一个或多个数据属性相关联的能力。在第二时间段内使用第一个生成的标识符。

示例12是一种非临时性计算机可读介质，包括存储在其上的计算机可执行指令，以使一个或多个处理单元执行以下操作：生成一个或多个动态变化的临时唯一标识符；通过网络从第一客户端接收对与第一数据主体有关的所生成的标识符的第一请求；响应于第一请求，将第一生成的标识符与第一数据主体相关联；产生第一时间段数据，其中第一时间段数据包括定义第一时间段的信息，在该第一时间段中可以使用第一产生的标识符来识别第一数据主体；在存储器中存储第一生成的标识和第一时间段数据；并通过网络将生成的第一标识符发送给第一客户端。

示例13包括示例12的主题，其中，指令还使一个或多个处理单元将以下内容执行以下操作：将一个或多个数据属性与第一生成的标识符相关联。

示例14包括示例13的主题，其中与第一生成的标识符相关联的一个或多个数据属性中的至少一个与第一数据主题的动作，活动，过程，目的，身份或特性有关。

示例15包括示例14的主题，其中，指令进一步导致一个或多个处理单元执行以下操作：在第一时间段内，通过网络从第二客户端接收与第一生成的标识符相关联的一个或多个数据属性中的至少一个的第二请求；确定请求被授权；并且通过网络授予第二客户端在第一时间段内确定与第一生成的标识符相关联的所请求的一个或多个数据属性的能力。

示例16包括示例12的主题，其中，指令进一步导致一个或多个处理单元执行以下操作：在第二时间段中将第一生成的标识符与第二数据主题相关联。

示例17包括示例12的主题，其中，指令进一步导致一个或多个处理单元执行以下操作：在第一时间段内将第一生成的标识符与第二数据主题相关联。

示例18包括示例12的主题，其中，指令还使一个或多个处理单元执行以下操作：响应于第一请求，将第二生成的标识符与第一数据主题相关联；以及产生第二时间段数据，其中第二时间段数据包括定义第二时间段的信息，在该时间段中可以使用第二产生的标识符来识别第一数据主体；在存储器中存储第二生成的标识和第二时间段数据；并通过网络将第二生成的标识发送给第一客户端。

示例19包括示例18的主题，其中第一时间段和第二时间段不重叠。

示例20包括示例18的主题，其中第一时间段和第二时间段至少部分重叠。

示例21包括示例18的主题，其中，指令还使一个或多个处理单元执行以下操作：将一个或多个数据属性与第二生成的标识符相关联，生成的标识符与第一数据主体的动作，活动，过程，目的，身份或特性有关。

示例22包括示例21的主题，其中与第一生成的标识符相关联的一个或多个数据属性中的至少一个不同于与第二生成的标识符相关联的一个或多个数据属性中的至少一个。

示例23包括示例14的主题，其中，指令进一步导致一个或多个处理单元执行以下操作：在第二时间段中将第一生成的标识符与第二数据主题相关联，其中，在第一时间段内与第一生成的标识符相关联的一个或多个数据属性中的至少一个与在第二时间段内与第一生成的标识符相关联的一个或多个数据属性中的一个相同。

示例24包括示例12的主题，其中，指令进一步导致一个或多个处理单元执行以下操作：通过网络从第二客户端接收与第二数据主体相关的第二标识符；将第二标识符与第二数据主体相关联；生成第二时间段数据，其中，第二时间段数据包括定义第二时间段的信息，在此期间，第二标识符可用于识别第二数据主体；并且在存储器中存储第二标识符和第二时间段数据。

示例25包括示例24的主题，其中第二标识符包括HTTP cookie。

示例26包括示例12的主题，其中，指令进一步导致一个或多个处理单元执行以下操作：在第一时间段内，通过网络接收来自第二客户端的关于与第一生成的标识符相关联的第一数据主题的标识的第二请求；确定第二请求被授权；并通过网络授予第二客户端在第一时间段内确定第一数据主体的身份的能力。

示例27包括示例26的主题，其中，这些指令还使一个或多个处理单元执行以下操作：通过网络撤消第二客户端在第一时间段内确定第一数据主题的身份的能力。

示例28包括示例15的主题，其中，指令进一步导致一个或多个处理单元执行以下操作：通过网络撤销第二客户端在第二时间段内确定与第一生成的标识符相关联的请求的一个或多个数据属性的能力。

示例29包括示例13的主题，其中，第一生成的标识符不是从数学上从与第一生成的标识符相关联的一个或多个数据属性中的任何一个派生的。

示例30包括示例12的主题，其中，第一生成的标识符包括第一数据主题的主要标识符。

示例31是一个系统，包括：一个通信接口，用于通过网络发送数据；具有存储在其中的计算机程序代码的存储器；一个或多个处理单元可操作地耦合到存储器，并被配置为执行计算机程序代码中的指令，该指令使一个或多个处理单元执行以下操作：生成第一时间上唯一的标识符；将第一时间唯一标识符与第一数据主体相关联；将一个或多个数据属性与第一时间唯一标识符相关联；生成第一时间段数据，其中，第一时间段数据包括定义第一时间段的信息，在该时间段中，可以使用第一时间唯一标识符来识别第一数据主体并检索关联的一个或多个数据属性；在存储器中存储第一时间唯一标识符，一个或多个数据属性以及第一时间段数据；并通过网络将第一时间唯一标识符和一个或多个数据属性发送给第一客户端。

示例32包括示例31的主题，其中用于生成第一时间唯一标识符的指令是基于以下至少之一来执行的：时间，目的和位置。

示例33包括示例31的主题，其中计算机程序代码中的指令还使一个或多个处理单元执行以下操作：终止第一时间唯一标识符的能力，以识别第一数据主题并检索关联的一个或多个数据属性。

示例34包括示例33的主题，其中，基于以下至少一项来执行终止第一时间唯一标识符识别第一数据主题和检索关联的一个或多个数据属性的能力的指令：时间、目的和位置。

示例35包括示例31的主题，其中，与第一时间唯一标识符相关联的一个或多个数据属性中的至少一个与第一数据主题的动作、活动、过程、目的、标识或特征相关。

示例36包括示例31的主题，其中计算机程序代码中的指令进一步导致一个或多个处理单元执行以下操作：在第二时间段中将第一时间唯一标识符与第二数据主题相关联。

示例37包括示例31的主题，其中计算机程序代码中的指令还使一个或多个处理单元执行以下操作：在第一时间段内将第一时间唯一标识符与第二数据主题相关联。

示例38包括示例31的主题，其中计算机程序代码中的指令进一步导致一个或多个处理单元执行以下操作：在第一时间段内通过网络接收来自第二客户机的第一请求，请求与第一临时唯一标识符相关联的第一数据主题的标识；确定第一请求被授权；并通过网络授予第二客户端在第一时间段内确定第一数据主体的身份的能力。

示例39包括示例38的主题，其中计算机程序代码中的指令进一步导致一个或多个处理单元执行以下操作：通过网络撤销第二客户端在第一时间段内确定第一数据主题的身份的能力。

示例40包括示例31的主题，其中计算机程序代码中的指令还使一个或多个处理单元执行以下操作：通过网络接收来自第二客户端的一个或多个请求。在第一时间段内与第一时间唯一标识符相关联的数据属性；确定第一个请求被授权；并且在网络上授予第二客户端确定在第一时间段内与第一时间唯一标识符相关联的所请求的一个或多个数据属性的能力。

示例41包括示例40的主题，其中计算机程序代码中的指令还使一个或多个处理单元执行以下操作：通过网络撤消第二客户端确定所请求的一个或多个数据的能力。在第一时间段内与第一时间唯一标识符相关联的属性。

示例42包括示例31的主题，其中所述第一时间唯一标识符不是从数学上从与所述第一时间唯一标识符相关联的一个或多个数据属性中的任何一个派生的。

示例43包括示例31的主题，其中第一时间唯一标识符包括第一数据主题的主要标识符。

示例44是包括存储在其上的计算机可执行指令的非临时计算机可读介质，其使得一个或多个处理单元执行以下操作：生成第一时间唯一标识符；将第一时间唯一标识符与第一数据主体相关联；将一个或多个数据属性与第一个临时唯一标识符相关联；生成第一时间段数据，其中，第一时间段数据包括定义第一时间段的信息，在此期间，第一时间唯一标识符可用于识别第一数据主体并检索相关联的一个或多个数据属性；在存储器中存储第一时间唯一标识符，一个或多个数据属性以及第一时间段数据；并通过网络将第一时间唯一标识符和一个或多个数据属性发送给第一客户端。

示例45包含示例44的主题，其中基于以下至少一项执行生成第一时间唯一标识符的指令：时间，目的和位置。

示例46包括示例44的主题，其中，指令还使一个或多个处理单元执行以下操作：终止第一时间唯一标识符的能力，以识别第一数据主题并检索关联的一个或多个数据属性。

示例47包括示例46的主题，其中，终止第一个临时惟一标识符识别第一个数据主题和检索关联的一个或多个数据属性的能力的指令是根据以下至少一个执行的：时间、目的和位置。

示例48包括示例44的主题，其中，与第一时间唯一标识符相关联的一个或多个数据属性中的至少一个与第一数据主题的动作、活动、过程、目的、标识或特征相关。

示例49包括示例44的主题，其中，指令进一步导致一个或多个处理单元：在第二时间段中将第一时间唯一标识符与第二数据主题相关联。

示例50包括示例44的主题，其中指令进一步导致一个或多个处理单元执行以下操作：在第一时间段内将第一时间唯一标识符与第二数据主题相关联。

示例51包括示例44的主题，其中，指令进一步导致一个或多个处理单元执行以下操作：在第一时间段内，通过网络接收来自第二客户端的第一请求，请求与第一时间唯一标识符相关联的第一数据主题的标识；确定第一请求被授权；并通过网络授予第二客户端在第一时间段内确定第一数据主体的身份的能力。

示例52包括示例51的主题，其中指令进一步导致一个或多个处理单元执行以下操作：通过网络撤销第二客户端在第一时间段内确定第一数据主题的身份的能力。

示例53包括示例44的主题，其中指令进一步导致一个或多个处理单元执行以下操作：在第一时间段内，通过网络从第二客户端接收与第一时间唯一标识符相关联的一个或多个数据属性的第一请求；确定第一请求被授权；并且通过网络授予第二客户端在第一时间段内确定与第一临时唯一标识符相关联的所请求的一个或多个数据属性的能力。

示例54包括示例53的主题，其中，指令进一步导致一个或多个处理单元执行以下操作：通过网络撤销第二客户端在第一时间段内确定与第一时间唯一标识符相关联的请求的一个或多个数据属性的能力。

示例55包括示例44的主题，其中所述第一时间唯一标识符不是从数学上从与所述第一时间唯一标识符相关联的一个或多个数据属性中的任何一个派生的。

示例56包括示例44的主题，其中第一时间唯一标识符包括第一数据主题的主要标识符。

示例57是一种设备，包括：用户界面；通信接口，用于通过网络发送数据；具有存储在其中的计算机程序代码的存储器；一个或多个处理单元可操作地耦合到存储器，并被配置为执行计算机程序代码中的指令，该指令使一个或多个处理单元通过网络从第一隐私服务器请求第一时间上唯一的标识符；将第一时间唯一标识符与作为设备用户的第一数据主体相关联；将一个或多个数据属性与第一时间唯一标识符相关联；生成第一时间段数据，其中，第一时间段数据包括定义第一时间段的信息，在该时间段内，第一时间唯一标识符可用于识别第一数据主体并检索相关联的一个或多个数据属性；在存储器中存储第一时间唯一标识符，一个或多个数据属性以及第一时间段数据；并响应于确定满足第一条件的确定，通过网络将第一时间上唯一的标识符，第一时间段数据以及一个或多个数据属性发送到第一隐私服务器。

示例58包括示例57的主题，其中确定第一条件已满足包括以下至少一种情形：已经过了预定的时间量；已经过了灵活的时间量；第一时间唯一标识符的目的已经过期；或者第一个数据主体的位置已更改。

示例59包括示例57的主题，其中计算机程序代码中的指令还使一个或多个处理单元执行以下操作：修改与第一时间唯一标识符关联的一个或多个数据属性。

示例60包括示例57的主题，其中计算机程序代码中的指令还使一个或多个处理单元执行以下操作：跟踪第一时间唯一标识符的使用。

示例61包括示例57的主题，其中计算机程序代码中的指令进一步导致一个或多个处理单元执行以下操作：撤销第一时间唯一标识符识别第一数据主题和检索关联的一个或多个数据属性的能力。

示例62包括示例57的主题，其中设备与隐私服务器位于同一计算设备上。

示例63包括示例57的主题，其中计算机程序代码中的指令进一步导致一个或多个处理单元执行以下操作：响应于第一时间唯一标识符的改变，发送第一时间段数据或一个或多个数据属性，第一时间唯一标识符、第一时间段数据和网络上的一个或多个数据属性中的至少一个发送到一个或多个客户端设备，这些客户端设备已向要与设备同步的第一隐私服务器注册。

示例64包括示例57的主题，其中第一时间唯一标识符、第一时间段数据和一个或多个数据属性以HTTP cookie的形式通过网络发送到第一隐私服务器。

示例65包括示例57的主题，其中所述第一时间唯一标识符不是从数学上从与所述第一时间唯一标识符相关联的一个或多个数据属性中的任何一个派生的。

示例66包括示例57的主题，其中第一时间唯一标识符包括第一数据主题的主要标识符。

示例67是一种非临时性计算机可读介质，包括存储在其上的计算机可执行指令，以使一个或多个处理单元执行以下操作：通过网络从第一隐私服务器请求第一时间唯一标识符；将第一时间唯一标识符与作为第一客户端设备的用户的第一数据主体相关联；将一个或多个数据属性与第一时间唯一标识符相关联；生成第一时间段数据，其中，第一时间段数据包括定义第一时间段的信息，在该时间段中，可以使用第一时间唯一标识符来识别第一数据主体并检索关联的一个或多个数据属性；在第一客户端设备的存储器中存储第一时间唯一标识符，一个或多个数据属性以及第一时间段数据；并响应于确定满足第一条件的确定，通过网络将第一时间上唯一的标识符，第一时间段数据以及一个或多个数据属性发送到第一隐私服务器。

示例68包括示例67的主题，其中确定第一条件已满足包括以下至少一个情形：已经过了预定的时间量；已经过了灵活的时间量；第一时间唯一标识符的目的已经过期；或者第一个数据主体的位置已更改。

示例69包括示例67的主题，其中指令进一步导致一个或多个处理单元执行以下操作：修改与第一时间唯一标识符相关联的一个或多个数据属性。

示例70包括示例67的主题，其中，指令进一步导致一个或多个处理单元执行以下操作：跟踪第一时间唯一标识符的使用。

示例71包括示例67的主题，其中，指令进一步导致一个或多个处理单元执行以下操作：撤销第一时间唯一标识符识别第一数据主题和检索关联的一个或多个数据属性的能力。

示例72包括示例67的主题，其中第一客户端设备与隐私服务器位于同一计算设备上。

示例73包括示例67的主题，其中，指令进一步使一个或多个处理单元执行以下操作：响应于第一时间唯一标识符、第一时间段数据或一个或多个数据属性的变化，发送至少一个：第一时间唯一标识符，第一时间段数据，以及网络上的一个或多个数据属性到一个或多个客户机设备，这些客户机设备已在要与第一客户机设备同步的第一隐私服务器上注册。

示例74包括示例67的主题，其中第一时间唯一标识符、第一时间段数据和一个或多个数据属性以HTTP cookie的形式通过网络发送到第一隐私服务器。

示例75包括示例67的主题，其中所述第一时间唯一标识符不是从数学上从与所述第一时间唯一标识符相关联的一个或多个数据属性中的任何一个派生的。

示例76包括示例67的主题，其中第一时间唯一标识符包括第一数据主题的主要标识符。

示例77是一种设备，包括：用户界面；通信接口，用于通过网络发送数据；具有存储在其中的计算机程序代码的存储器；和一个或多个处理单元，可操作地耦合到所述存储器，并被配置为执行所述计算机程序代码中的指令，所述指令使所述一个或多个处理单元执行以下操作：通过网络从第一隐私服务器获得第一时间唯一标识符，其中，在第一时间段期间，第一时间唯一标识符在第一隐私服务器处与作为设备用户的第一数据主体相关联；将一个或多个数据属性与第一时间唯一标识符相关联；生成第一时间段数据，其中，第一时间段数据包括定义第一时间段的信息，在该时间段中，可以使用第一时间唯一标识符来识别第一数据主体并检索关联的一个或多个数据属性；在存储器中存储第一时间唯一标识符，一个或多个数据属性以及第一时间段数据；通过网络将第一时间上唯一的标识符，第一时间段数据以及一个或多个数据属性发送给第一隐私服务器；并通过网络从第一隐私服务器接收第二时间唯一标识符，其中第二时间唯一标识符在第二时间段期间在第一隐私服务器处与第一数据主体和一个或多个数据属性相关联。

示例78包括示例77的主题，其中，响应于已满足第一条件的确定，执行导致一个或多个处理单元通过网络接收、来自第一隐私服务器的第二临时唯一标识符的计算机程序代码中的指令。

示例79包括示例78的主题，其中确定第一条件已满足包括以下至少一个情形：已经过了预定的时间量；已经过了灵活的时间量；第一时间唯一标识符的目的已经过期；或者第一个数据主体的位置已更改。

示例80包括示例77的主题，其中计算机程序代码中的指令进一步导致一个或多个处理单元执行以下操作：修改与第一时间唯一标识符相关联的一个或多个数据属性。

示例81包括示例77的主题，其中计算机程序代码中的指令进一步导致一个或多个处理单元执行以下操作：跟踪第一时间唯一标识符的使用。

示例82包括示例77的主题，其中计算机程序代码中的指令进一步导致一个或多个处理单元执行以下操作：撤销第一时间唯一标识符识别第一数据主题和检索关联的一个或多个数据属性的能力。

示例83包括示例77的主题，其中计算机程序代码中的指令进一步导致一个或多个处理单元执行以下操作：从第一隐私服务器请求确认第一数据主题的身份或一个或多个数据属性是否可以向第一请求方揭示；并且响应于从第一隐私服务器接收到第一数据主体的身份或一个或多个数据属性可以被揭示给第一请求方的确认，将第一数据主体的身份或一个或多个数据属性发送给第一请求方。

示例84包括示例83的主题，其中，所请求的确认还包括关于是否可以针对特定请求向第一请求方透露第一数据主体的身份或一个或多个数据属性以及时间段或位置。

示例85包括示例83的主题，其中，所请求的确认还包括关于是否可以针对特定请求向第一请求方透露第一数据主体的身份或一个或多个数据属性以及时间段或位置。

示例86包括示例84的主题，其中，所请求的确认还包括关于是否可以针对特定请求向第一请求方透露第一数据主体的身份或一个或多个数据属性以及时间段或位置。

示例87是一个系统，包括：一个通信接口，用于通过网络发送数据；以及具有存储在其中的计算机程序代码的存储器；一个或多个处理单元可操作地耦合到存储器，并被配置为执行计算机程序代码中的指令，该指令使一个或多个处理单元执行以下操作：生成一个或多个动态变化的，时间上唯一的标识符；通过网络，从第一数据主体接收对所生成的动态变化的，时间上唯一的标识符的第一请求，该标识符与第一数据主体的属性有关；响应于第一请求，将第一生成的动态变化的，时间上唯一的标识符与第一数据主体的属性相关联；将第一生成的动态变化的，时间上唯一的标识符的值转换为第一不可解密的形式，其中第一键可用于将第一形式转换回第一的生成的动态变化的上位时间唯一的标识符的第一视图，其中第二键可用于将第一形式转换回第一生成的动态变化的，时间上唯一的标识符的第二视图，其中第一键与第二键不同，并且其中第一视图与第二键不同第二种观点在存储器中存储第一生成的动态变化的，时间上唯一的标识符，第一密钥，第二密钥和第一形式；并通过网络将第一个表格发送给第一个数据主体。

示例88包括示例87的主题，其中第一视图比第二视图提供更多的细节。

示例89包括示例87的主题，其中以不可解密的形式展现加密文本。

示例90包括示例87的主题，其中计算机程序代码中的指令还包括使一个或多个处理单元也将第一生成的动态变化的、临时唯一的标识符与第二数据主题的属性相关联的指令。

示例91包括示例90的主题，其中计算机程序代码中的指令使得一个或多个处理单元也关联第一个生成的动态变化，时间上唯一的标识符与第二数据主题的属性相关联的指令。以下情况中的至少一种：与第一生成的动态变化的，时间上唯一的标识符不同的时间与第一数据主体的属性相关联；在与第一生成的动态变化的，时间上唯一的标识符不同的物理或虚拟位置处，该标识符与第一数据主体的属性相关联；并且出于与第一生成的动态变化的目的不同的目的，时间上唯一的标识符与第一数据主体的属性相关联。

示例92包括示例87的主题，其中计算机程序代码中的指令还包括使一个或多个处理单元执行以下操作的指令：将第二个生成的动态变化的时间上唯一的标识符与第一数据主题的属性相关联。

示例93包括示例92的主题，其中，使计算机程序代码中的使一个或多个处理单元将第二个生成的动态变化的，时间上唯一的标识符与第一数据主题的属性相关联的指令。以下情况中的至少一种：在与第一生成的动态变化的，时间上唯一的标识符不同的时间与第一数据主体的属性相关联；在与第一生成的动态变化的，时间上唯一的标识符不同的物理或虚拟位置处，该标识符与第一数据主体的属性相关联；并且出于与第一生成的动态变化的目的不同的目的，时间上唯一的标识符与第一数据主体的属性相关联。

示例94是一种非临时性计算机可读介质，包括存储在其上的计算机可执行指令，以使一个或多个处理单元执行以下操作：生成一个或多个动态变化的临时唯一标识符；通过网络从第一数据主体接收对于所生成的动态变化的，时间上唯一的标识符的第一请求，该标识符与第一数据主体的属性有关；响应于第一请求，将第一生成的动态变化的，时间上唯一的标识符与第一数据主体的属性相关联；将第一生成的动态变化的，时间上唯一的标识符的值转换为第一不可解密的形式，其中第一键可用于将第一不可解密的形式转换回第一的生成的动态变化的上位时间唯一的标识符的第一视图，其中第二键可用于将第一难以解密的形式转换回第一生成的动态变化的，时间上唯一的标识符的第二视图，其中第一键与第二键不同，并且其中第一视图与第二键不同第二种观点在存储器中存储第一生成的，动态变化的，时间上唯一的标识符，第一密钥，第二密钥和第一难以解密的形式；并通过网络将第一个难以解密的表格发送给第一个数据主体。

示例95包括示例94的主题，其中，第一视图比第二视图提供更多的细节。

示例96包括示例94的主题，其中不可解密的形式包括非加密文本。

示例97包括示例94的主题，其中，指令还包括使一个或多个处理单元还将第一生成的动态变化的，时间上唯一的标识符与第二数据主题的属性相关联的指令。

示例98包括示例97的主题，其中使一个或多个处理单元还将第一生成的动态变化的，时间上唯一的标识符与第二数据主题的属性相关联的指令至少执行下列情况之一：与第一生成的动态变化的时间不同，时间上唯一的标识符与第一数据主体的属性相关联；在与第一生成的动态变化的，时间上唯一的标识符不同的物理或虚拟位置处，该标识符与第一数据主体的属性相关联；并且出于与第一生成的动态变化的目的不同的目的，时间上唯一的标识符与第一数据主体的属性相关联。

示例99包括示例94的主题，其中指令还包括使一个或多个处理单元执行以下操作的指令：将第二个生成的动态变化的时间上唯一的标识符与第一数据主体的属性相关联。

示例100包括示例99的主题，其中使一个或多个处理单元将第二生成的动态变化的，时间上唯一的标识符与第一数据主题的属性相关联的指令至少执行下列情况之一：与第一个生成的动态变化的时间不同的是，时间上唯一的标识符与第一个数据主体的属性相关联；在与第一生成的动态变化的，时间上唯一的标识符不同的物理或虚拟位置处，该标识符与第一数据主体的属性相关联；并且出于与第一生成的动态变化的目的不同的目的，时间上唯一的标识符与第一数据主体的属性相关联。

示例101是一种计算机实现的方法，包括：生成一个或多个动态变化的，时间上唯一的标识符；以及通过网络从第一数据主体接收对所生成的动态变化的，时间上唯一的标识符的第一请求，该标识符与第一数据主体的属性有关；响应于第一请求，将第一生成的动态变化的，时间上唯一的标识符与第一数据主体的属性相关联；将第一生成的动态变化的，时间上唯一的标识符的值转换为第一不可解密的形式，其中第一键可用于将第一不可解密的形式转换回第一的生成的动态变化的，时下唯一的标识符的第一视图，其中第二键可用于将第一难以解密的形式转换回第一生成的动态变化的，时间上唯一的标识符的第二视图，其中第一键与第二键不同，并且其中第一视图与第二键不同第二种观点在存储器中存储第一生成的动态变化的时间唯一标识符，第一密钥，第二密钥和第一难以解密的形式；并通过网络将第一难以解密的表格发送给第一数据主体。

示例102包括示例101的主题，其中第一视图比第二视图提供更多的细节。

示例103包括示例101的主题，该主题还包括将第一生成的动态变化的时间上唯一的标识符与第二数据主题的属性相关联。

示例104包括示例103的主题，其中在以下至少一种情况下执行将第一个生成的动态变化的，时间上唯一的标识符与第二个数据主题的属性相关联的动作：第一生成的动态变化的，时间上唯一的标识符与第一数据主体的属性相关联；在与第一生成的动态变化的，时间上唯一的标识符不同的物理或虚拟位置处，该标识符与第一数据主体的属性相关联；并且出于与第一生成的动态变化的目的不同的目的，时间上唯一的标识符与第一数据主体的属性相关联。

示例105包括示例101的主题，该主题还包括：将第二个生成的动态变化的时间上唯一的标识符与第一数据主题的属性相关联。

示例106包括示例105的主题，其中，在以下至少一种情况下执行将第二生成的动态改变的、临时唯一的标识符与第一数据主题的属性相关联的动作：在与第一生成的动态改变不同的时间，临时唯一标识符与第一数据主体的属性相关联；在与第一生成的动态变化不同的物理或虚拟位置，临时唯一标识符与第一数据主体的属性相关联；并且为了与第一生成的动态变化不同的目的，临时唯一标识符与第一数据主体的属性相关联。

示例107是一个系统，其特征包括：用于通过网络发送数据的通信接口；存储在其中的具有计算机程序代码的存储器；一个或多个数据源；以及一个或多个处理单元，操作地耦合到存储器并被配置成执行计算机程序代码中的指令，该指令使得一个或多个处理单元：从属于第一多个数据主体的一个或多个数据源中的每一个获取数据；生成第一动态改变，第一数据主体在第一多个数据主体中的第一数据主体的时间唯一标识符，其中第一数据主体在一个或多个数据源的第一数据源和第二数据源中的每一个中；生成一个或多个动态变化的第二数据主体，对应于第一数据源和第二数据源中的每一个中的一个或多个准标识符的临时唯一标识符，其中每个准标识符具有值；通过网络接收对第一数据源中的一个或多个准标识符的值的第一请求；通过网络接收对第二数据源中一个或多个准标识符的值；将从第一个请求获得的值转换为一个或多个动态改变时间唯一标识符的第三个；将从第二个请求获得的值转换为一个或多个动态改变时间唯一标识符的第四个；存储，在存储器中：第一动态变化的、时间上唯一的标识符；第二动态变化的、时间上唯一的标识符；一个或多个第三动态变化的、时间上唯一的标识符；以及一个或多个第四动态变化的、时间上唯一的标识符；并且发送第一动态变化的标识符，时间唯一标识符；第二动态变化的时间唯一标识符；一个或多个第三动态变化的时间唯一标识符；以及通过网络的一个或多个第四动态变化的时间唯一标识符。

示例108包括示例107的主题，其中，第一动态改变的时间上唯一的标识符包括替换Replacement DDID(R-DDID)。

示例109包括示例108的主题，其中一个或多个第三动态变化的，时间上唯一的标识符包括关联Association DDIDs(A-DDIDs)。

示例110包括示例107的主题，其中R-DDID包括特定值。

示例111包括示例107的主题，其中每个A-DDIDs包括特定值。

示例112包括示例109的主题，其中，指令还使一个或多个处理单元执行以下操作：使用第一键将R-DDID转换为R-DDID的第一视图；并使用第二密钥将R-DDID转换为R-DDID的第二视图，其中第一密钥与第二密钥不同。

示例113包括示例109的主题，其中指令进一步使一个或多个处理单元执行以下操作：使用第三密钥将A-DDIDs中的第一个转换为 A-DDIDs中的第一个的第三视图；并使用第四密钥将第一个A-DDIDs 转换为第一个A-DDIDs的第四视图，其中第三密钥与第四密钥不同，并且第三视图不同于第四视图。

示例114包括示例107的主题，其中第二个动态变化的时间唯一标识符中的第一个在第一数据源和第二数据源中具有相同的值。

示例115包括示例107的主题，其中一个或多个第三动态变化的时间唯一标识符中的至少一个包括第一不可解密形式。

示例116包括示例107的主题，其中一个或多个第四动态变化的时间唯一标识符中的至少一个包括第二难以解密形式。

示例117包括示例115的主题，其中，第一不可解密形式包括加密数据。

示例118包括示例116的主题，其中第一不可解密形式包括加密数据。

示例119包括示例107的主题，其中至少一个或多个数据源包括数据主题的特定子集，总体或同类。

示例120包括示例107的主题，其中一个或多个数据源中的每一个都在特定时间段内属于特定的多个数据主题。

示例121包括示例109的主题，其中一个或多个A-DDIDs中的至少一个包括以下之一：数字分组或分类分组。

示例122包括示例109的主题，其中一个或多个A-DDIDs至少包括以下之一：离散值或一组离散值。

示例123是一种非临时性计算机可读介质，包括存储在其上的计算机可执行指令，以使一个或多个处理单元执行以下操作：从一个或多个数据源中的每一个获取与第一组多个数据主体有关的数据；为所述第一多个数据主体中的第一数据主体生成第一动态变化的，时间上唯一的标识符，其中，所述第一数据主体在所述一个或多个数据源的第一数据源和第二数据源的每一个中；在第一数据源和第二数据源的每一个中生成与一个或多个准标识符相对应的一个或多个第二动态改变的时间上唯一的标识符，其中每个准标识符具有一个值；通过网络接收对第一数据源中的一个或多个准标识符的值的第一请求；通过网络接收对第二数据源中的一个或多个准标识符的值的第二请求；从第一请求获得的值转换为一个或多个第三动态改变的时间唯一标识符；从第二请求获得的值转换为一个或多个第四动态变化的时间唯一标识符；在存储器中存储：第一动态变化的，时间上唯一的标识符；第二个动态变化的，时间上唯一的标识符；一个或多个第三动态变化的，时间上唯一的标识符；一个或多个第四动态变化的，时间上唯一的标识符；并发送第一动态变化的时间唯一标识符；第二个动态变化的，时间上唯一的标识符；一个或多个第三动态变化的，时间上唯一的标识符；网络上的一个或多个动态变化的，时间上唯一的标识符。

示例124包括示例123的主题，其中，第一动态变化的、临时唯一的标识符包括替换Replacement DDID(R-DDID)。

示例125包括示例124的主题，其中一个或多个动态变化的、时间唯一的第三标识符包括关联Association DDIDs(A-DDIDs)。

示例126包括示例123的主题，其中R-DDID包括特定值。

示例127包括示例123的主题，其中每个A-DDIDs包括特定值。

示例128包括示例125的主题，其中，所述指令还使所述一个或多个处理单元执行以下操作：使用第一密钥将所述R-DDID转换为所述R-DDID的第一视图；并使用第二密钥将R-DDID转换为R-DDID 的第二视图，其中第一密钥与第二密钥不同。

示例129包含示例125的主题，其中，指令进一步使一个或多个处理单元执行以下操作：使用第三密钥将A-DDIDs中的第一个转换为 A-DDIDs中的第一个的第三视图；并使用第四密钥将第一个A-DDIDs 转换为第一个A-DDIDs的第四视图，其中第三密钥与第四密钥不同，并且第三视图与第四密钥不同视图。

示例130包括示例123的主题，其中第二个动态变化的时间唯一标识符中的第一个在第一数据源和第二数据源中具有相同的值。

示例131包括示例123的主题，其中一个或多个第三动态变化的时间上唯一标识符中的至少一个包括第一不可解密形式。

示例132包括示例123的主题，其中一个或多个第四动态变化的时间唯一标识符中的至少一个包括第二难以解密形式。

示例133包括示例131的主题，其中第一不可解密形式包括加密数据。

示例134包括示例132的主题，其中第一不可解密形式包括加密数据。

示例135包括示例123的主题，其中一个或多个数据源中的至少一个包含特定的数据主题子集、总集或队列。

示例136包括示例123的主题，其中一个或多个数据源中的每一个在特定时间段内属于特定多个数据主题。

示例137包括示例125的主题，其中一个或多个A-DDIDs至少包括以下之一：数字分组或分类分组。

示例138包括示例125的主题，其中一个或多个A-DDIDs至少包括以下之一：离散值或一组离散值。

示例139是一种计算机实现的方法，包括：从与第一多个数据主体有关的一个或多个数据源中的每一个获取数据；为所述第一多个数据主体中的第一数据主体生成第一动态变化的，时间上唯一的标识符，其中，所述第一数据主体在所述一个或多个数据源的第一数据源和第二数据源的每一个中；在第一数据源和第二数据源的每一个中生成与一个或多个准标识符相对应的一个或多个第二动态改变的时间上唯一的标识符，其中每个准标识符具有一个值；通过网络接收对第一数据源中的一个或多个准标识符的值的第一请求；通过网络接收对第二数据源中的一个或多个准标识符的值的第二请求；从第一请求获得的值转换成一个或多个第三动态变化的时间唯一标识符；从第二请求获得的值转换为一个或多个第四动态变化的时间唯一标识符；在存储器中存储：第一动态变化的，时间上唯一的标识符；第二个动态变化的，时间上唯一的标识符；一个或多个第三动态变化的，时间上唯一的标识符；一个或多个第四动态变化的，时间上唯一的标识符；发送第一动态变化的时间唯一标识符；第二个动态变化的，时间上唯一的标识符；一个或多个第三动态变化的，时间上唯一的标识符；网络上的一个或多个动态变化的，时间上唯一的标识符。

示例140包括示例139的主题，其中，第一动态变化的，时间上唯一的标识符包括Replacement DDID(R-DDID)。

示例141包括示例140的主题，其中一个或多个第三动态改变的，时间上唯一的标识符包括Association DDIDs(A-DDIDs)。

示例142包括示例139的主题，其中R-DDID包括特定值。

示例143包括示例139的主题，其中每个A-DDIDs包括特定值。

示例144包括示例141的主题，该主题还包括下列行为：使用第一密钥将R-DDID转换为R-DDID的第一视图；使用第二密钥将R- DDID转换为R-DDID的第二视图，其中，第一密钥与第二密钥不同。

示例145包括示例141的主题，该主题还包括下列行为：使用第三密钥将第一个A-DDIDs转换为第一个A-DDIDs的第三视图；使用第四密钥将所述第一A-DDIDs转换为所述第一A-DDIDs的第四视图，其中所述第三密钥不同于所述第四密钥，并且其中所述第三视图不同于所述第四视图视图。

示例146包括示例139的主题，其中第二动态变化的、时间唯一的标识符中的第一个在第一数据源和第二数据源中具有相同的值。

示例147包括示例139的主题，其中一个或多个动态改变时间唯一标识符的第三个中的至少一个包含第一不可解密形式。

示例148包括示例139的主题，其中一个或多个动态地改变时间唯一标识符中至少一个包含第二不可解密形式。

示例149包括示例147的主题，其中第一不可解密的形式包括加密数据。

示例150包括示例148的主题，其中第一不可解密的形式包括加密数据。

示例151包括示例139的主题，其中一个或多个数据源中的至少一个包含特定的数据主题子集、总体或队列。

示例152包括示例139的主题，其中一个或多个数据源在特定时间段内皆属于特定多个数据主题。

示例153包括示例141的主题，其中一个或多个A-DDIDs中的至少一个包含以下内容之一：数字分组或分类分组。

示例154包括示例141的主题，其中一个或多个A-DDIDs至少包含以下内容之一：离散值或离散值集。

示例155是一个系统，包括：一个通信接口，用于通过网络发送数据；具有存储在其中的计算机程序代码的存储器；一个或多个数据存储；一个或多个处理单元，可操作地耦合到存储器，并被配置为执行计算机程序代码中的指令，该指令使一个或多个处理单元：从第一用户获得提供隐私策略的请求；基于请求确定第一隐私策略(至少部分地)；从第一用户获得与第一多个数据主体有关的数据；为第一多个数据主体中的第一数据主体生成第一动态变化的时间唯一标识符 (DDID)，其中，第一动态变化的时间唯一标识符配置为：替换与第一数据主体有关的第一值；并遵守确定的第一隐私政策；将第一动态变化的，时间上唯一的标识符存储在一个或多个数据存储中；通过网络接收对与第一数据主体有关的第一值的第一请求；当根据所述第一隐私策略，所述第一请求未被授权接收所述第一值时，响应于所述第一请求，通过网络发送所述第一动态变化的，时间上唯一的标识符。当根据第一隐私策略，第一请求被授权接收第一值时，响应于第一请求在网络上发送第一值。

示例156包括示例155的主题，其中第一动态变化的、时间上唯一的标识符包括替换Replacement DDID(R-DDID)。

示例157包括示例155的主题，其中，第一动态变化的、临时唯一的标识符包括Association DDID(A-DDID)。

示例158包括示例156的主题，其中R-DDID包括用于替换第一值的特定值。

示例159包括示例157的主题，其中A-DDID包括特定值。

示例160包括示例159的主题，其中特定值还包括用于替换第一值的类别、队列或范围。

示例161包括示例155的主题，其中满足下列至少一个情形：第一用户提供隐私策略的请求；与第一多个数据主题相关的数据；以及通过垫片接收第一值的第一请求。

示例162包括示例155的主题，其中第一值包括准标识符。

示例163包括示例162的主题，其中准标识符包括非结构化数据。

示例164包括示例162的主题，其中准标识符包括值的类别、队列或范围。

示例165包括示例155的主题，其中隐私策略指定合成数据的生成。

示例166包括示例165的主题，其中隐私策略进一步指定了生成合成数据的DDIDs。

示例167包括示例155的主题，其中从第一用户获得的数据中至少一些包括合成数据。

示例168包括示例155的主题，其中从第一用户获得的数据仅包括合成数据。

示例169是一种计算机实现的方法，包括：从第一用户获得提供隐私策略的请求；至少部分地基于请求确定第一隐私策略；从第一用户获得与第一多个数据主体有关的数据；为所述第一多个数据主体中的第一数据主体生成第一动态变化的时间唯一标识符(DDID)，其中，所述第一动态变化的时间唯一标识符配置为：替换与所述第一数据主体有关的第一值；并遵守确定的第一隐私政策；将第一动态变化的，时间上唯一的标识符存储在一个或多个数据存储中；通过网络接收对与第一数据主体有关的第一值的第一请求；当根据第一隐私策略，第一请求未被授权接收第一值时，响应于第一请求，通过网络发送第一动态变化的，时间上唯一的标识符。当根据第一隐私策略，第一请求被授权接收第一值时，响应于第一请求而通过网络发送第一值。

示例170包括示例169的主题，其中，第一动态变化的，时间上唯一的标识符包括Replacement DDID(R-DDID)。

示例171包括示例169的主题，其中，第一动态改变的，时间上唯一的标识符包括关联Association DDID(A-DDID)。

示例172包括示例169的主题，其中R-DDID包括用于替换第一值的特定值。

示例173包括示例171的主题，其中A-DDID包括特定值。

示例174包括示例173的主题，其中特定值还包括用于替换第一值的值的类别、队列或范围。

示例175包括示例169的主题，其中，满足下列至少一种情形：来自第一用户的提供隐私策略的请求；与第一多个数据主体有关的数据；通过垫片接收对第一值的第一请求。

示例176包括示例169的主题，其中第一值包括准标识符。

示例177包括示例176的主题，其中准标识符包括非结构化数据。

示例178包括示例176的主题，其中准标识符包括值的类别、队列或范围。

示例179包括示例169的主题，其中隐私策略指定合成数据的生成。

示例180包括示例179的主题，其中隐私策略进一步指定生成合成数据的DDIDs。

示例181包括示例169的主题，其中从第一用户获得的数据中的至少一些包括合成数据。

示例182包含示例169的主题，其中从第一用户获得的数据仅包括合成数据。

示例183是可编程控制设备可读的非暂时性程序存储设备，包括存储在其上的指令，其在执行时使可编程控制设备：从第一用户获取用于提供隐私策略的请求；基于该请求确定第一隐私策略(至少部分地)；从第一用户处获取与第一多个数据主体相关的数据；为第一多个数据主体中的第一数据主体生成第一动态变化的时间唯一标识符 (DDID)，其中第一动态变化，临时唯一标识符被配置为：替换与第一数据主体相关的第一值；并且遵守所确定的第一隐私策略；将第一动态变化的临时唯一标识符存储在一个或多个数据存储中；通过网络接收对与第一数据主体相关的第一值的第一请求；当根据第一隐私策略，第一请求未被授权接收第一值时，响应于第一请求在网络上发送第一个动态变化的、临时唯一的标识符；并且当根据第一隐私策略，当第一个请求被授权接收第一个值。

示例184包括示例183的主题，其中第一个动态变化的、时间上唯一的标识符包括替换Replacement DDID(R-DDID)。

示例185包括示例183的主题，其中第一动态变化的、时间上唯一的标识符包括Association DDID(A-DDID)。

示例186包括示例185的主题，其中R-DDID包括用于替换第一值的特定值。

示例187包括示例185的主题，其中A-DDID包括特定值。

示例188包括示例187的主题，其中特定值还包括用于替换第一值的值的类、队列或范围。

示例189包括示例183的主题，其中，满足下列至少一个情形：来自第一用户的提供隐私策略的请求；关于第一多个数据主题的数据；并且通过垫片接收第一值的第一请求。

示例190包括示例183的主题，其中第一值包括准标识符。

示例191包括示例190的主题，其中准标识符包括非结构化数据。

示例192包括示例190的主题，其中准标识符包括值的类、队列或范围。

示例193包含示例183的主题，其中隐私策略指定合成数据的生成。

示例194包括示例193的主题，其中隐私策略进一步指定用于生成合成数据的DDIDs。

示例195包括示例183的主题，其中从第一用户获得的数据中的至少一些包括合成数据。

示例196包括示例183的主题，其中从第一用户获得的数据仅包括合成数据。

示例197为一个系统，包括：一个通信接口，用于通过网络发送数据；以及一种存储器，其中存储有计算机程序代码和一个或多个能够记录数据记录的分布式分类帐；一个或多个处理单元，可操作地耦合到存储器，并被配置为执行计算机程序代码中的指令，该指令使一个或多个处理单元执行以下操作：从第一用户获取与第一数据主体有关的数据；为第一数据主体生成第一动态变化的时间唯一标识符 (DDIDs)，其中，第一DDIDs被配置为替换与第一数据主体有关的第一值；将第一DDIDs存储在一个或多个分布式账本中的第一个的第一元素中；通过网络从第一请求方接收对与第一数据主体有关的第一值的第一请求；当第一请求方未被授权接收第一值时，响应于第一请求，通过网络将第一DDIDs发送给第一请求方；当第一请求方被授权接收第一值时，响应于第一请求，通过网络将与第一数据有关的第一值通过网络发送给第一请求方。

示例198包括示例197的主题，网络呈分散装，并包括多个节点，每个节点存储一个或多个分布式账本中的第一个的副本。

示例199包括示例198的主题，其中一个或多个分布式账本中的第一个包括blockchain，并且其中第一元素包括第一区块。

示例200包括示例197的主题，其中，所述一个或多个处理单元进一步配置为执行计算机程序代码中的指令，所述指令进一步导致一个或多个处理单元：从所述第一用户获取用于提供隐私策略的请求；并且基于所述第一隐私策略确定其中第一DDID进一步配置为符合确定的方案。

示例201包括示例197的主题，其中第一DDID指向包含与第一数据主题相关的第一值的存储位置。

示例202包括示例201的主题，其中，所述一个或多个处理单元进一步被配置为执行计算机程序代码中的指令，所述指令进一步导致一个或多个处理单元：从第一用户获得修改与数据相关的第一值的请求，第一值是第一修改值；并将第一个修改后的值存储在包含与数据主题相关的第一个值的存储位置中.

示例203包括示例197的主题，其中第一数据主题包括智能合约的第一可执行条款。

示例204是计算机实现的方法，其包括：从第一用户获取与第一数据主体相关的数据；为第一数据主体生成第一动态变化的时间唯一标识符(DDID)，其中第一DDID被配置为替换与第一数据主体相关的第一值；将第一DDID存储在一个或多个分布式账本中的第一个的第一元素中；通过网络接收第一请求方对与第一数据主体相关的第一值的第一请求；在第一请求时响应第一请求通过网络向第一请求方发送第一DDID当第一请求方被授权接收第一值时，一方无权接收第一值；并且当第一请求方被授权接收第一值时，应第一请求方的请求，通过网络向第一请求方发送与第一数据相关的第一值。

示例205包括示例204的主题，网络呈分散装，并包括多个节点，每个节点存储一个或多个分布式账本中的第一个的副本，一个或多个分布式账本中的第一个账本包含blockchain，第一元素包括第一区块。

示例206包括示例204的主题，进一步包括：从第一用户获取用于提供隐私策略的请求；并且至少部分地基于该请求确定第一隐私策略，其中第一DDID进一步配置为符合所确定的第一隐私策略。

示例207包括示例204的主题，其中第一DDID指向包含与第一数据主题相关的第一值的存储位置。

示例208包括示例207的主题，其进一步包括：从第一用户获得修改与数据主题相关的第一值的请求以作为第一修改值；并且将第一修改值存储在包含与数据主题相关的第一值的存储位置。

示例209包括示例204的主题，其中第一数据主题包括智能合约的第一可执行条款。

示例210是可编程控制装置可读的非临时程序存储装置，包括存储在其上的指令，其使可编程控制装置执行以下操作：从与第一数据主体有关的第一用户获取数据；为第一数据主体，其中，第一DDID 被配置为替换与第一数据主体相关的第一值；将第一DDID存储在一个或多个分布式账本中的第一个元素中；通过网络接收来自第一请求方的第一请求，请求与第一数据主体相关的第一值；发送第一当第一请求方未被授权接收第一值时，通过网络向第一请求方发送DDID以响应第一请求方的第一请求；当第一请求方被授权时，通过网络向第一请求方发送与第一数据相关的第一值以响应第一请求方的第一请求接收第一个值。

示例211包括示例210的主题，网络呈分散装，并包括多个节点，每个节点存储一个或多个分布式账本中的第一个的副本。

示例212包括示例210的主题，其中一个或多个分布式分类帐中的第一个包括blockchain，并且其中第一元素包括第一区块。

示例213包括示例210的主题，其中，指令还包括在执行时还使可编程控制设备执行以下操作的指令：从第一用户获得提供隐私策略的请求；并且至少部分地基于所述请求确定第一隐私策略的指令，其中，第一DDID进一步配置为符合确定的第一隐私策略。

示例214包括示例210的主题，其中第一DDID指向包含与第一数据主题相关的第一值的存储位置。

示例215包括示例214的主题，其中该指令还包括在执行时进一步导致可编程控制设备：从第一用户获得修改与要修改的数据主题相关的第一值的请求的指令；并将第一个修改后的值存储在包含与数据主题相关的第一个值的存储位置中。

示例216包括示例210的主题，其中第一数据主题包括智能合约的第一可执行条款。

虽然本文所公开的方法已经参考以特定顺序执行的特定操作来描述和示出，请知悉，可以组合、子划分或重新排序这些操作以形成等效方法，而不脱离本发明的引导。因此，除非在此特别指出，否则操作的顺序和分组不是本发明的限制。例如，作为非限制性示例，在替代实施例中，可以按照不同于本文所述的顺序重新安排和执行本文所述的部分操作。

请知悉，在本说明书中对“一个实施例”或“一个事例”或“一个示例”或“一个例子”的引用意味着，如果需要，可以在本发明的至少一个实施例中包括结合该例描述的特定特征、结构或特性。因此，请知悉，在本说明书的各个部分中，对“一个实施例”或“一个事例”或“一个示例”或“一个例子”或“一个代替实施例”的两个或多个引用不一定都是对同一实施例的引用。此外，可以在本发明的一个或多个实施例中根据需要组合特定特征、结构或特征。

请知悉，如本文所使用的，术语“浏览器”不仅可以指用于网络的浏览器，而且可以指例如诸如在X-Windows中使用的可编程显示引擎。远程显示工具，例如用于桌面虚拟化的工具；或设备上应用程序的用户界面，其中此类界面可与其他方(例如FacebookMessenger， WhatsApp，Snapchat，Wickr，Cyberdust或提供此类功能的任何其他用户或企业应用程序)进行文本和/或多媒体消息传递。如本文所使用的，术语“网络”不仅指万维网(WWW)，而且还可以指例如纯文本链接的文档或互连的设备，其可以散布在多个实体上或在单个实体内。实体(例如Intranet)。如本文所使用的，“设备”可以指物理设备或“虚拟”设备，例如，虚拟机(VM)或是nodeJS托管的微服务。还请知悉，服务器可以由不同计算机或设备上的多个组件和/或同一计算机或设备内的多个组件组成。类似地，客户端可以由不同计算机或设备上的多个组件和/或同一计算机或设备内的多个组件组成。尽管服务器和客户端可以通过诸如互联网的信道进行通信，但是它们也可以使用例如远程过程调用(RPC)和/或操作系统应用程序编程接口 (API)进行通信。

我们知道，在本发明的示例性实施例的前述描述中，本发明的各种特征有时在单个实施例、图或其描述中被组合在一起，以简化本发明的讲解，并有助于展现发明内容的各个方面。然而，这种阐释方法不应被解释为反映如下意图，即所被保护的发明所要求的特征多于每项权利要求中明确陈述的特征。相反，发明方面存在于单个前述公开实施例的不到所有特征中，并且本文所描述的每个实施例可以包含一个以上的发明特征。

虽然本发明已经特别针对其实例进行了展示和描述，但本领域的技术人员将同意并理解，在不背离本发明的精神和范围的情况下，可以对形式和细节进行各种其他更改。

Claims (20)

1.一种用于实施集中式隐私控制的系统，包括:

用于通过网络发送数据的通信接口；

存储器，其中存储有计算机程序代码和能够记录数据记录的一个或多个分布式账本；以及

一个或多个处理单元，与存储器操作耦合，并配置为执行计算机程序代码中的指令，该指令使一个或多个处理单元执行以下操作：

从第一用户获取与第一数据主体有关的数据；

为第一数据主体生成第一动态变化的时间唯一标识符DDID，其中，第一DDID被配置为替换与第一数据主体相关的第一值；

将第一DDID存储在所述一个或多个分布式账本中的第一分布式账本中的第一元素中，其中所述第一DDID指向包含与第一数据主体相关的第一值的存储位置；

为第一数据主体生成第二DDID，其中第二DDID不同于第一DDID，并且其中第二DDID也被配置为替换与第一数据主体相关的第一值；

将第二DDID存储在所述一个或多个分布式账本中的第二分布式账本中的第二元素中，其中所述第二DDID也指向包含与第一数据主体相关的第一值的存储位置；

通过网络从第一请求方接收对与第一数据主体相关的第一值的第一请求；

当第一请求方未被授权接收第一值时，通过网络向第一请求方发送第一DDID以响应第一请求；以及

当第一请求方被授权接收第一值时，通过网络向第一请求方发送与第一数据主体相关的第一值以响应第一请求。

2.根据权利要求1所述的系统，其中所述网络是分散的，其中所述网络包括多个节点，并且其中网络中的每个节点存储所述一个或多个分布式账本中的第一分布式账本的副本。

3.根据权利要求2所述的系统，其中所述一个或多个分布式账本中第一分布式账本包含区块链，且其中第一元素包含第一区块。

4.根据权利要求1所述的系统，其中，所述一个或多个处理单元还被配置为执行所述计算机程序代码中的指令，所述指令进一步使所述一个或多个处理单元执行以下操作：

从第一用户获得对提供隐私策略的请求；以及

至少部分地根据请求确定第一隐私策略，

其中，第一DDID进一步被配置为符合所确定的第一隐私策略。

5.根据权利要求1所述的系统，其中所述一个或多个处理单元进一步配置为执行计算机程序代码中的指令，所述指令进一步导致所述一个或多个处理单元执行以下操作：

通过网络从第二请求方接收对与第一数据主体相关的第一值的第二请求；

当第二请求方未被授权接收第一值时，通过网络向第二请求方发送第二DDID以响应第二请求；以及

当第二请求方被授权接收第一值时，通过网络向第二请求方发送与第一数据主体相关的第一值以响应第二请求。

6.根据权利要求1所述的系统，其中所述一个或多个处理单元进一步配置为执行计算机程序代码中的指令，所述指令进一步导致所述一个或多个处理单元执行以下操作：

从第一用户获取将与数据主体相关的第一值修改为第一修改后的值的请求；以及

将第一修改后的值存储在包含与数据主体相关的第一值的存储位置中。

7.根据权利要求1所述的系统，其中所述第一数据主体包括智能合约的第一可执行条款。

8.一种用于实施集中式隐私控制的计算机实现的方法，包括：

从第一用户获得与第一数据主体相关的数据；

为第一数据主体生成第一动态变化的时间唯一标识符DDID，其中，第一DDID被配置为替换与第一数据主体有关的第一值；

将第一DDID存储在一个或多个分布式账本中的第一分布式账本中的第一元素中，其中所述第一DDID指向包含与第一数据主体相关的第一值的存储位置；

为第一数据主体生成第二DDID，其中第二DDID不同于第一DDID，并且其中第二DDID也被配置为替换与第一数据主体相关的第一值；

将第二DDID存储在所述一个或多个分布式账本中的第二分布式账本中的第二元素中，其中所述第二DDID也指向包含与第一数据主体相关的第一值的存储位置；

通过网络从第一请求方接收对与第一数据主体相关的第一值的第一请求；

当第一请求方未被授权接收第一值时，通过网络向第一请求方发送第一DDID以响应第一请求；以及

当第一请求方被授权接收第一值时，通过网络向第一请求方发送与第一数据主体相关的第一值以响应第一请求。

9.根据权利要求8所述的计算机实现的方法，其中所述网络是分散的，其中所述网络包括多个节点，其中所述网络中的每个节点存储所述一个或多个分布式账本中的第一分布式账本的副本，其中所述一个或多个分布式账本中的第一分布式账本包含区块链，且其中第一元素包含第一区块。

10.根据权利要求8所述的计算机实现的方法，还包括：

从第一用户获得对提供隐私策略的请求；以及

至少部分地根据请求确定第一隐私策略，

其中，第一DDID进一步被配置为符合所确定的第一隐私策略。

11.根据权利要求8所述的计算机实现的方法，还包括：

通过网络从第二请求方接收对与第一数据主体相关的第一值的第二请求；

当第二请求方未被授权接收第一值时，通过网络向第二请求方发送第二DDID以响应第二请求；以及

当第二请求方被授权接收第一值时，通过网络向第二请求方发送与第一数据主体相关的第一值以响应第二请求。

12.根据权利要求8所述的计算机实现的方法，还包括：

从第一用户获取将与数据主体相关的第一值修改为第一修改后的值的请求；以及

将第一修改后的值存储在包含与数据主体相关的第一值的存储位置中。

13.根据权利要求8所述的计算机实现的方法，其中，所述第一数据主体包括智能合约的第一可执行条款。

14.一种用于实施集中式隐私控制的、可编程控制装置能够读取的非临时程序存储装置，包括存储在其上的指令，所述指令在被执行时使可编程控制装置执行以下操作：

从第一用户获得与第一数据主体有关的数据；

为第一数据主体生成第一动态变化的时间唯一标识符DDID，其中，第一DDID被配置为替换与第一数据主体相关的第一值；

将第一DDID存储在一个或多个分布式账本中的第一分布式账本中的第一元素中，其中所述第一DDID指向包含与第一数据主体相关的第一值的存储位置；

为第一数据主体生成第二DDID，其中第二DDID不同于第一DDID，并且其中第二DDID也被配置为替换与第一数据主体相关的第一值；

将第二DDID存储在所述一个或多个分布式账本中的第二分布式账本中的第二元素中，其中所述第二DDID也指向包含与第一数据主体相关的第一值的存储位置；

通过网络从第一请求方接收对与第一数据主体相关的第一值的第一请求；

当第一请求方未被授权接收第一值时，通过网络向第一请求方发送第一DDID以响应第一请求；以及

当第一请求方被授权接收第一值时，通过网络向第一请求方发送与第一数据主体相关的第一值以响应第一请求。

15.根据权利要求14所述的非临时程序存储装置，其中所述网络是分散的，其中所述网络包括多个节点，并且其中所述网络中的每个节点存储所述一个或多个分布式账本中的第一分布式账本的副本。

16.根据权利要求15所述的非临时程序存储装置，其中所述一个或多个分布式账本中的第一分布式账本包含区块链，且其中第一元素包含第一区块。

17.根据权利要求14所述的非临时程序存储装置，其中，所述指令还包括在被执行时进一步使所述可编程控制装置执行以下操作的指令：

从第一用户获得对提供隐私策略的请求；以及

至少部分地根据请求确定第一隐私策略，

其中，第一DDID进一步被配置为符合所确定的第一隐私策略。

18.根据权利要求14所述的非临时程序存储装置，其中，所述指令还包括在被执行时进一步使所述可编程控制装置执行以下操作的指令：

通过网络从第二请求方接收对与第一数据主体相关的第一值的第二请求；

当第二请求方未被授权接收第一值时，通过网络向第二请求方发送第二DDID以响应第二请求；以及

当第二请求方被授权接收第一值时，通过网络向第二请求方发送与第一数据主体相关的第一值以响应第二请求。

19.根据权利要求14所述的非临时程序存储装置，其中，所述指令还包括在被执行时进一步使所述可编程控制装置执行以下操作的指令：

从第一用户获取将与数据主体相关的第一值修改为第一修改后的值的请求；以及

将第一修改后的值存储在包含与数据主体相关的第一值的存储位置中。

20.根据权利要求14所述的非临时程序存储装置，其中第一数据主体包括智能合约的第一可执行条款。

Images