CN114270391A - 量化隐私影响 - Google Patents
量化隐私影响 Download PDFInfo
- Publication number
- CN114270391A CN114270391A CN202080057469.2A CN202080057469A CN114270391A CN 114270391 A CN114270391 A CN 114270391A CN 202080057469 A CN202080057469 A CN 202080057469A CN 114270391 A CN114270391 A CN 114270391A
- Authority
- CN
- China
- Prior art keywords
- data
- privacy
- score
- privacy impact
- impact
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/08—Insurance
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/048—Interaction techniques based on graphical user interfaces [GUI]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/048—Interaction techniques based on graphical user interfaces [GUI]
- G06F3/0484—Interaction techniques based on graphical user interfaces [GUI] for the control of specific functions or operations, e.g. selecting or manipulating an object, an image or a displayed text element, setting a parameter value or selecting a range
- G06F3/04842—Selection of displayed objects or displayed text elements
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Human Computer Interaction (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- General Business, Economics & Management (AREA)
- Technology Law (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Strategic Management (AREA)
- Marketing (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本文涉及评定隐私影响以用于组织风险管理。例如,可量化方法通过隐私影响模型被提供,以计算可以用于计算风险和优先化风险减轻、以及采取校正动作的针对隐私影响相对值。
Description
背景技术
在遍及全世界的组织内,信息安全风险管理已变得日益重要,并且是所有信息安全活动的组成部分。信息安全风险管理活动考虑外部和内部上下文,标识和评估相关联的风险,并且使用风险处理计划来处理风险以实现基于组织的可接受风险水平所确定的建议和决策。成功地分析对组织构成的信息安全风险的部分是为确定对潜在不良事件对组织的影响(后果)。这样的影响确定在信息安全风险管理过程内是众所周知的,并且可以包括财务、声誉和法律影响等。
然而,尽管在许多情况下,这样的组织可能从事详细信息安全风险管理,但组织可能不具有精确地确定对个体的隐私影响的能力且从而错失隐私风险管理的关键方面。例如,由组织产生的软件或服务可以从软件/服务的用户收集个人信息,但组织可能缺乏用于评定对收集这样的个人信息对用户的影响的任何可量化方法。
因此,尽管组织通常专注于信息安全风险,但针对这样的组织,仍然存在量化确定风险所必需的、可以用于优先化风险减轻和校正动作的隐私影响的困难。
发明内容
提供本发明内容以通过简化形式引入在下文详细描述中进一步描述的一系列概念。本发明内容即不意图标识所要求主题的关键特征或本质特征,也不意图用于限制所要求主题的范围。
本说明书总体涉及用于量化隐私影响的技术。一个示例包括一种系统,该系统包括处理器和存储指令的计算机可读存储介质,该指令在由处理器执行时使系统:从数据源接收表示隐私数据的元数据;利用隐私模型处理元数据以确定与数据源相关联的隐私影响得分;以及在系统的用户界面上生成描绘隐私影响得分的视觉报告。
另一示例包括一种可以在计算设备上被执行的方法或技术。该方法可以包括从数据库提取表示由数据源利用的隐私数据的元数据,该元数据定义数据类型、数据类型的数据使用和数据类型的去标识(de-identification)水平。该方法还可以包括:至少基于元数据来计算隐私影响得分;根据所计算的隐私影响得分将数据源分箱到隐私评级箱中;以及根据隐私评级箱来在图形用户界面上显示所计算的隐私影响得分的视觉描绘。
另一示例包括一种系统,该系统包括:系统的显示器,被配置为描绘图形用户界面;处理器;以及存储计算机可读指令的存储存储器,该指令在由处理器执行时使处理器:经由图形用户界面显示与一个或多个数据源的隐私评级相关联的数据;接收对表示图形用户界面上的隐私影响得分的至少一个标绘点的选择;确定对与隐私影响得分相关联的元数据的修改是否引起隐私影响得分的降低;以及在图形用户界面上显示关于修改的建议。
以上所列示例意图提供快速参考以帮助读者并且不意图限定本文中所描述概念的范围。
附图说明
参考附图描述具体实施方式。在附图中,附图标记的最左边数位标识附图标记首次出现的附图。说明书和附图中的不同实例中的类似附图标记的使用可以指示类似或相同项目。
图1说明与本发明概念的一些实现一致的示例系统。
图2说明与本发明概念的一些实现一致的示例方法或技术。
图3说明与本发明概念的一些实现一致的示例图形用户界面。
图4说明与本发明概念的一些实现一致的示例方法或技术。
具体实施方式
概述
对解决信息安全风险管理与隐私风险管理之间的差异的兴趣日益增长。信息安全风险管理和相关风险评估可以通常集中于对组织的风险,其中这样的组织可以使用各种方法来给影响和可能性指派相对值,并且然后可以计算组织风险的、可以用于优先化风险减轻和校正动作的相对值。即,通常,信息安全风险管理集中于组织和用于减小组织的风险的一般技术。
相比而言,由组织进行的隐私评估通常集中于对个体的影响,诸如经由隐私影响评估(PIA)标识的那些风险。PIA是由组织(通常是具有对关于其中或流经其系统的个体的大量敏感、隐私数据的政府机构或公司)进行的影响评估的类型。组织可以审查其自己的过程并且查看这些过程如何影响或可能破解个体的隐私,该组织保持、收集或处理这些个体的数据。通常,PIA被设计来确保符合针对隐私的适用法律、规章和政策要求,确定风险和影响,以及评定保护和备选过程以减轻潜在隐私风险。
然而,在大组织中,在任何时间的使用中可以存在许多PIA,并且使用针对潜在问题的许多评估来执行详细分析和确定那些问题的减轻结果可以是困难且耗时的。此外,针对这样的大组织,收集和保持的数据的量可能太大而不能由隐私团队充分地处理,并且因此,可能意外地错失某些隐私考虑或确定。最后,相比与组织相关联的隐私关注,PIA可以通常优先化个体的隐私关注。因此,需要以高效方式考虑随总体组织风险而变化的个体的隐私影响。如下文所阐述,计算机化隐私影响框架可以通过利用隐私影响模型来对某些数据(诸如与PIA相关联的数据)进行加权来提供上述问题的技术解决方案,作为以可以是针对组织高效的方式来计算总体组织隐私风险的部分。
通常用于计算风险的示例公式是:风险=影响×可能性,其中影响为对业务的影响,并且可能性是可能发生风险的可能性。此计算可以用于帮助提供针对组织的定性视角以帮助确定其风险情形和最高优先级风险。可以用于安全特定风险评估的更具体的公式为风险=威胁×漏洞×影响,其中威胁和漏洞的组合类似于简单公式中的可能性。更复杂的公式还可以包括用于风险减轻的计算,或者基于组织的特定上下文指派数值,以使得风险评级可以被量化。
然而,对个体的隐私影响相比对组织的安全影响的概念可以是显著不同的。提供针对组织的信息安全风险管理引导的ISO/IEC 27005指定影响标准应当关于由信息安全事件对组织的损害程度或成本来开发和指定。针对数据保护和隐私,影响标准可能需要考虑超过对组织的影响,并且对个体隐私的影响可以被视为附加于对组织的影响。此外,尽管安全影响可以由组织主观地确定,但是对个体的隐私影响可以涉及更客观的方式。为了充分地将对个体的影响整合到总体组织隐私和数据保护风险中,利用可调谐隐私影响模型的隐私影响框架可以建立测量潜在隐私影响的可量化或可定性方式。
尽管某些标准(诸如ISO/IEC 29134)可以提供针对估计影响水平的引导,但是这样的标准倾向于仅分析数据的一个维度,即所使用的可个人标识信息(PII)的性质。PII通常指代单独地、或在与链接到或可链接到特定个体的信息其他个人或标识信息组合时,可以用于区分或跟踪个体的身份的信息。然而,在某些情况下,所使用的PII的类型可以在使用的总体上下文结合组织的总体风险被考虑时不呈现充分隐私风险。因此,可以增强隐私影响测量的准确度和特异性的附加的和更细微的标准可以被使用,并且可以引起组织水平的更精细的风险评估,从而提供对大组织内的隐私风险分析的困难的技术解决方案。
用于增强隐私影响测量的准确度的开始基础可以经由隐私影响模型,该隐私影响模型可以利用数据类型和数据使用的分类法,其中分类法可以用于将数据分类为类别和子类别。基于特定组织的风险考虑以及组织操作的规章和法律环境,模型中所使用的各种分类法可以被指派可调谐权重。使用这些分类法以及诸如数据的去标识水平的附加标准,可以允许组织通过考虑依据多个因素变化的潜在隐私影响来获取特定数据处理活动可能影响个体和组织总体的更好看法。
可以因此提供方法技术,该技术诸如通过数据的分类法描述来分析系统中数据的使用,诸如处理中涉及的数据类型、数据的特定使用和与数据相关联的任何去标识水平。此数据分析可以通过隐私影响模型来提供用于更客观地评估和量化软件服务或计算上下文中的一组数据的隐私影响的框架。
因此,本文中公开的系统可以通过使用有效隐私影响模型向隐私风险管理提供系统性的技术方法,其可以用于标识关于个人数据保护要求的组织需要。该系统可以适用于特定组织的环境并且可以被配置有用于评定数据的适当隐私权重,以使得隐私影响评定与组织的总体企业风险管理一致,同时提供关于个体隐私风险的客观确定。
示例系统
图1描绘用于执行组织的隐私风险管理的示例系统100。如图1中所描绘,一个或多个数据源102可以由数据处理器104接收,该数据处理器104可以执行对数据源的解析以标识元数据,该元数据描述数据源内的具体数据类型和相关联的使用。数据处理器104还可以包括数据库,该数据库可以存储从数据源102解析的一系列数据,诸如用于允许在时间段内对已有数据的分析以确定对组织的隐私影响。例如,用户可以确定隐私风险是否已经由于某些数据的持续收集而增加,其可以涉及评估被存储在数据处理器104的数据库内的历史数据。
数据源102可以是例如手动创建的PIA,其可以被馈送到用于解析的数据处理器104中以如PIA所指定的提取隐私信息和数据使用。备选地,在一种实现中,数据源102还可以包括可以被馈送到数据处理器104中的软件应用或软件代码,其中软件可以被解析以提取与软件相关联的隐私信息和数据使用。在另一实现中,数据源102可以包括可以经由图形用户界面输入的信息,该图形用户被呈现在位于以通信方式耦合到数据处理器104的互联网或内联网上的网页或其他这样的软件上,其中终端用户可以在图形用户界面上输入某些数据类型和其相关联使用。
例如,图形用户界面可以允许用户从组织内的常用数据类型和使用的下拉菜单选择具体的分类法数据类型和分类法数据使用。在这样的实现中,图形用户界面的下拉菜单可以自动地填充有组织发现特定重要性的某些数据类型和/或数据使用,而非允许选择所有数据类型。例如,与组织相关联的隐私官可以预选择某些数据类型和/或数据使用,并且图形用户界面可以过滤下拉菜单以仅允许选择预选择的数据,其可以帮助避免由包括不需要作为审查的部分被考虑的数据而被引入的隐私审查过程中的错误。
在由数据处理器104接收后,数据源可以被解析以提取各种类型的信息,并且在一种实现中,数据处理器104可以提取与项目106相关联的元数据。例如,项目106可以是由组织开发的软件开发项目,并且软件可以利用在软件的一般操作中的某些数据。所提取元数据可以包括可以由项目使用的数据类型、那些数据类型的数据使用、以及与数据类型相关联的数据去标识水平的列表。
在一种实现中,由数据处理器104提取的数据类型可以是在整个组织内通用的数据类型的分类法,并且可以基于ISO/IEC 19944数据类型。例如,这样的数据类型可以是反映用户名称、用户位置、遥测技术、账户数据等的数据。类似地,数据使用可以是也可以基于ISO/IEC 19944的数据使用的分类,其可以在整个组织内使用。例如,这样的数据使用可以用于营销、用于做广告、训练用于AI/机器学习的示例等。最后,数据去标识水平可以针对根据数据使用而被使用的数据类型提供是否任何去标识被应用于数据,诸如被假名化、被匿名化等。
数据类型、数据使用和数据去标识水平中的每一项可以具有相关联的标识符、名称和隐私敏感度得分,其可以提供反映与具体类型的数据相关联的隐私水平的基础得分。例如,数据类型可以是PII,诸如数据的“名称”类型,并且与此数据类型相关联的数据使用可以指定“名称”数据由软件使用以使用用户的个人名称向用户显示欢迎消息。在该上下文中,隐私敏感度得分可以由于PII的基础使用而较低,并且如果此PII是公共的,则将不向个体或向组织呈现主要隐私影响。
然而,在其他一些情况下,数据类型可以是诸如“社会安全号码”等PII,软件应用可以使用其来认证用户用于验证目的,如由数据使用所反映的。在此情况下,在此数据使用上下文中与此特定PII相关联的隐私敏感度得分可以为高,这是因为PII可以被视为如果对公众发布则可能对个体和组织作为整体两者都有损害的非常敏感的数据。另外,在一些情况下,“社会安全号码”数据类型与“名称”数据类型的组合可以展现极端隐私敏感度得分,这是因为这两种数据类型的组合如果公开可以是损害巨大的。
应了解,由数据处理器104提取的信息可以包括其他类型的数据,诸如数据的年龄、数据集的种群大小、数据集的种群多样性,数据被收集和/或被刷新的频率等。该附加数据可以用于提供隐私计算的附加精化。例如,使非常大的种群的数据被存储在数据处理器104内可以对组织产生更大总体影响,这是因为给定数据种群的大小,潜在的黑客可能重新标识匿名化的数据。因此,如果模型确定某些类型的数据具有大种群,那么隐私影响得分可以被提高。
在提取与项目106相关联的数据时,数据处理器104可以将所提取的数据传输给隐私评级设备108。隐私评级设备108可以包括处理器110和存储器112,并且存储器112可以存储隐私影响模型114。隐私影响模型可以由各种软件模块制成,该软件模块可以由处理器110可执行以作为总体隐私模型的部分用于分析针对隐私风险的数据。
例如,隐私影响模型114可以包括各种模块,诸如隐私影响模块116、敏感度标准化模块118、隐私分箱模块120和可视化模块122。尽管示例系统100将各种模块图示为在隐私评级设备108上执行,但应理解,模块的所有或部分可以备选地在数据处理器104上执行。此外,应了解,数据处理器104或隐私评级设备108可以位于远程并且经由网络可访问,诸如位于提供所公开的隐私分析的云平台上。
存储器112可以包括持久存储资源(诸如磁性或固态驱动器)和易失性存储装置(诸如一个或多个随机存取存储器设备)。在一些情况下,上述模块被提供为可执行指令,该指令被存储在持久存储设备上,被加载到随机存取存储器(RAM)中、并且由处理器110从RAM读取以供执行。
隐私影响模块114可以用于计算经解析的数据源的隐私影响得分,其中隐私影响得分可以单独与经解析的数据源相关联,或者可以考虑可以被存储在例如与数据处理器104相关联的数据库中的附加数据。根据参考图2描述的过程,隐私影响得分的计算可以由隐私影响模块116计算。
图2描绘示例处理方法200,其根据一种实现可以由隐私影响模块116执行。在步骤202处,该方法可以接收经解析的隐私数据,诸如来自数据处理器104的数据,其中经解析的数据可以包含数据类型、数据使用和数据去标识水平、以及其相关联的隐私敏感度得分值。在步骤204处,方法可以聚合隐私数据类型评级。即,贯穿所分析程序被使用的数据类型的敏感度得分可以被聚合以实现聚合隐私数据类型评级。在用于描述方法200的等式中,以下记号可以适用:
DTR:数据类型评级
DTRAgg:数据类型评级聚合
ILR:去标识水平评级
ILRAgg:去标识水平聚合
DTRTotalAgg:数据类型总聚合
DUTSR:数据使用类型敏感度评级
DUTSRAgg:数据使用类型敏感度评级聚合
DPIR:数据隐私影响评级得分
x:数据集并集的单个元素
i:迭代序列中的当前索引
n:集合中的元素的最大计数
A:评估的左索引的数据集合集
B:数据类型值的右索引的数据集合集
在一种实现中,各种数据类型评级可以根据对评级值的求和而被聚合:
其中{x:x∈A∧x∈B}
接着,在步骤206处,方法可以聚合与去标识水平相关联的敏感度得分值。类似地,可以根据求和执行此聚合:
其中{x:x∈A∧x∈B}
在步骤208处,方法可以根据以下求和将与数据类型评级对应的聚合的值与去标识水平组合:
其中{x:x∈A∧x∈B}
在步骤210处,方法可以根据以下求和来聚合数据使用敏感度得分:
其中{x:x∈A∧x∈B}
在步骤212处,可以根据在步骤204到210期间计算的值来计算隐私影响得分。具体地,可以根据以下来计算数据隐私影响得分:
其中{x:x∈A∧x∈B}
最后,在步骤214处,所计算的隐私影响得分可以由隐私影响模块116返回,诸如用于由隐私影响模型114的剩余模块进行的附加处理。下文如表1包括用于执行方法200的一种示例技术:
尽管表1提供用于执行方法200的示例技术,但应了解,也考虑到其他示例技术,诸如经由备选编程语言。
隐私影响模块116可以附加地包括生成用于最小化针对服务或项目的隐私影响的建议的功能性。例如,在聚合数据类型和数据使用得分时,隐私影响模块116可以确定降低的隐私影响得分可以通过修改所使用的数据中的一些数据(诸如通过匿名化特定数据类型)来实现。这样的数据匿名化然后可以引起与该数据相关联的敏感度得分的降低,并且总体隐私影响得分可以降低到阈限制内。另外,隐私影响模块116可以确定特定数据类型具有太高的敏感度得分,但备选数据类型可以具有足够低的敏感度得分且可以代替地使用。在此情况下,隐私影响模块116可以建议改变使用的数据类型,以在总体上努力最小化隐私影响得分。
再次参考图1,在接收计所算的隐私影响得分时,模型可以通过敏感度标准化模块118来处理隐私影响得分,以努力确保利用较早的数据或先前所计算的隐私影响得分来将隐私得分标准化、以及防止聚合的值展现零水平线。在一些实现中,被指派给数据的敏感度得分值(诸如与项目106相关联的敏感度得分值)可以由例如组织的隐私官或主题专家手动指派。然而,由于可以存在由不同隐私官或主题专家应用的不同评级,标准化过程可以用于确保隐私影响得分反映常见敏感度得分。
隐私分箱模块120还可以用于将所得隐私评估分箱到高、中和低维度的集群中,其可以允许评级结果的容易分组,并且还可以允许与组织环境内的其他系统的对齐。例如,安全风险管理系统可以将安全风险分类为关键/高、中和低风险类别,并且因此,隐私分箱模块120可以用于类似地将隐私风险分箱到常见维度中,以使得隐私和安全风险可以在常见通道内被考虑。下文如表2包括用于执行隐私评估的分箱的一个示例技术:
尽管表2提供用于执行隐私评估的并入的示例技术,但应了解,也考虑到其他示例技术,诸如经由备选编程语言。
在通过各种模块处理输入数据时,可视化模块122可以利用所计算的隐私影响得分来通过输出124向系统的终端用户生成隐私影响得分的视觉描绘。在一些情况下,输出124可以是由系统生成并且向用户提供的隐私报告,或输出124可以是通过具有图形用户界面(GUI)的显示器126(诸如以通过可视化模块122在显示器126上产生的输出的方式)呈现的隐私影响的可视化。
作为处理与项目106相关联的数据的结果,隐私影响元数据128可以被生成,隐私影响元数据128提供所处理的各种数据类型以及其使用和去标识水平的记录,该记录可以与特定处理ID相关联。处理ID可以用于将隐私影响元数据128与用于稍后访问的特定项目相关联,并且隐私影响元数据可以被存储以供安全保管(诸如通过存储在数据处理器104的数据库中)。例如,在某些情况下,组织的隐私官可能想要重访与项目106相关联的隐私数据,并且可以容易地通过使用与项目106相关联的处理ID来访问这样的数据。
最后,可以存在可以由隐私影响模型114利用的一个或多个外部源130。例如,在计算隐私影响得分时,隐私影响模块116可以访问可以与项目106相关联的某些第三方数据。例如,(多个)外部源130可以包括关于可以由项目106使用的PII的某些类型的保护的属于合同义务的信息。在此情况下,隐私影响模块116可以访问这样的合同义务数据,其由于需要合同义务所施加的PII数据的附加处置而引起对最终隐私影响得分的修改。备选地,在一些实现中,敏感度标准化模块118可以提供标准化值,该标准化值可以基于可以针对特定组织而被定制的多个法律、规章和/或合规因素或者组织操作的权限。在该情况下,敏感度标准化模块118可以访问(多个)外部源130以选择要作为标准化过程的一部分而被应用的适当相对敏感度得分。
示例用户体验
图3描绘示例GUI 300,其可以使得出于基于通过可视化模块122的处理来将来自隐私影响模型114的结果可视化而在显示器上被示出。GUI 300说明与隐私影响模型相关的各种可视化示例。然而,GUI 300本质上是说明性的,并且本文中描述的特征可以利用超越GUI 300所描绘的可视化的备选可视化。
具体地,GUI 300描绘示例用户界面,该示例用户界面可以由用户使用以将针对某些项目的隐私影响可视化、以及跨组织内的多个项目和分部比较隐私得分。GUI 300可以包括组织分部选择菜单302,其中用户可以选择组织的各种分部以视觉地比较针对所选分部内的特定服务或项目的隐私评估。在一些实现中,GUI 300可以从与数据处理器104相关联的数据库检索数据,诸如用于访问历史隐私评估以将新评估与较旧评估进行比较,或者与其他项目或服务进行比较。GUI 300还可以包括搜索工具304,该搜索工具可以允许GUI 300的用户搜索可能已经在过去被创建的特定隐私评估,或者针对与组织内的特定项目或组相关联的隐私评估。
GUI 300还可以包括一个或多个视觉图,诸如隐私影响分析图306,其中针对与组织的一个或多个分部相关联的各种服务或项目的隐私评估可以被描绘以供视觉比较。具体地,隐私影响分析图306可以利用由隐私影响模块116计算以标绘隐私影响的聚合得分,其中聚合的数据类型影响得分可以在X轴上被标绘,并且聚合的数据使用影响得分可以在Y轴上被标绘。此外,在一些实现中,隐私分析结果可以影响视觉描绘,诸如通过影响隐私影响分析图306上标绘点的大小。例如,如GUI 300中所描绘,“个人助理”的隐私影响远高于“视频聊天”的隐私影响,并且因此,对应于“个人助理”的标绘点作为较大标绘点被生成。
此外,在一些实现中,GUI 300还可以在隐私影响分析图306上突出显示特定标绘点,诸如由标绘点308所描绘的。标绘点308可以在例如数据使用影响得分和/或数据类型影响得分超出由组织针对隐私影响设置的某个阈值水平时被突出显示。标绘点308可以附加地由GUI 300的用户可选择,诸如通过以经由GUI 300使用光标的用户选择的方式选择标绘点308。在选择标绘点308时,GUI 300可以显示关于针对由标绘点表示的服务或项目的隐私影响的信息,诸如通过匿名化数据类型中的一些数据类型减小隐私影响的意见或建议。
GUI 300还可以包括一个或多个可选可视化,诸如图310和图312,其可以提供用于所计算的隐私影响得分的附加组织可视化。例如,在图310中,条形图可以用于视觉地比较按组织内的服务的数据隐私影响得分,并且取决于给定得分是否在高或低影响类别(诸如根据隐私分箱模块120限定的类别)内,得分可以不同地被描绘。另外,在图312中,条形图可以用于视觉地比较组织内的各种服务或项目之间的组合数据使用得分和数据类型得分。
示例隐私影响计算方法
以下讨论呈现可以提供针对给定数据源的隐私影响得分的计算的功能性的概述。图4说明与本发明概念一致的示例方法400。方法400可以由单个设备(例如隐私评级设备108)实现,或者可以分布在一个或多个服务器、客户端设备等之上。此外,方法400可以由一个或多个模块执行,诸如隐私影响模块116、敏感度标准化模块118、隐私分箱模块120和可视化模块122。
在框402处,与一个或多个数据源相关联的元数据可以被提取。例如,数据处理器104可以解析数据源(诸如软件应用),并且可以提取与所解析的软件应用相关联的元数据。这样的元数据可以包括关于软件中使用的数据类型、数据类型的数据使用和与数据类型相关联的去标识水平的信息。数据类型和使用可以基于所建立的分类学结构,如先前所阐述的。元数据然后可以被存储在例如与数据处理器104相关联的数据库中。
在框404处,隐私影响模块116可以至少基于所提取的元数据来计算隐私影响得分。可以使用先前描述的示例技术使用所提取的元数据来计算隐私影响得分。
在框406处,敏感度标准化模块118可以将所计算的隐私影响得分标准化,以解释与元数据相关联的敏感度得分的变化。此外,敏感度标准化模块118可以访问(多个)外部源130以进一步基于法律或规章框架的变化来将隐私影响得分标准化。
在框408处,隐私分箱模块120可以根据所计算的隐私影响得分将数据源分箱到特定隐私评级箱中。例如,隐私分箱模块120可以取决于隐私影响得分来在高/中/低箱之间将数据源分箱。数据源的分箱可以提供用于跨组织内的多个系统分组和对齐风险结果的高效方式。
最后,在框410处,可视化模块122可以在图形用户界面上显示隐私影响得分的视觉描绘。在一些实现中,视觉描绘可以是向用户所生成和显示的隐私影响报告。备选地,视觉描绘可以是描绘多个图的界面,其可以标绘与一个或多个数据源相关联的隐私影响得分,以允许用户快速探明多个数据源对组织的总体风险。
设备实现
如上文关于图1所述,系统100可以包括多个设备,包括数据处理器104和隐私评级设备108。又如所述,并非所有设备实现可以被说明,并且根据以上和以下描述,其他设备实现应对所属领域的技术人员是明显的。
如本文中可能使用的术语“设备”、“计算机”、“计算设备”、“客户端设备”、“服务器”和/或“服务器设备”可以意指具有某个量的硬件处理能力和/或硬件存储/存储器能力的任何类型的设备。处理能力可以由一个或多个硬件处理器(例如硬件处理单元/核心)提供,该硬件处理器可以执行计算机可读指令以提供功能性。计算机可读指令和/或数据可以被存储在持久存储装置或易失性存储器中。如本文中使用的术语“系统”可以指代单个设备、多个设备等。例如,“隐私影响系统”可以包括执行隐私影响处理(诸如由数据处理器104或隐私评级设备108执行的处理)的一个或多个设备。
存储器112可以是在与其相关联的任何相应设备内部或外部的存储资源。存储器112可以包括易失性或非易失性存储器、硬盘驱动器、闪存设备和/或光学存储设备(例如CD、DVD等)以及其他中的任何一项或多项。如本文中所使用,术语“计算机可读介质”可以包括信号。相比而言,术语“计算机可读存储介质”不包括信号。计算机可读存储介质包括“计算机可读存储设备”。计算机可读存储设备的示例包括可以构成存储器112的易失性存储介质(诸如RAM)和非易失性存储介质(诸如硬盘驱动器、光盘和闪速存储器以及其他)。
在一些情况下,设备被配置有通用硬件处理器和存储资源。在其他一些情况下,设备可以包括片上系统(SOC)类型设计。在SOC设计实现中,由设备提供的功能性可以集成在单个SOC或多个耦合的SOC上。一个或多个相关联的处理器可以被配置为与共享资源(诸如存储器、存储装置等)和/或一个或多个专用资源(诸如被配置为执行某特性功能性的硬件块)配合。因此,如本文中使用的术语“处理器”、“硬件处理器”或“硬件处理单元”还可以指代中央处理单元(CPU)、图形处理单元(GPU)、控制器、微控制器、处理器核心或适用于实现常规计算架构以及SOC设计的其他类型的处理设备。
备选地或附加地,本文中描述的功能性可以至少部分地由一个或多个硬件逻辑组件执行。例如而非限制,可以使用的硬件逻辑组件的说明类型包括场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统系统(SOC)、复杂可编程逻辑器件(CPLD)等。
在一些配置中,本文中讨论的模块/代码中的任何模块/代码可以在软件、硬件和/或固件中实现。在任何情况下,模块/代码可以在设备的制造期间被提供或者由准备设备以供向终端用户销售的中介提供。在其他情况下,终端用户可以稍后安装这些模块/代码,诸如通过下载可执行代码和在对应设备上安装可执行代码来安装。
还应注意设备通常可以具有输入和/或输出功能性。例如,计算设备可以具有各种输入机构,诸如键盘、鼠标、触摸板、语音识别、手势识别(例如使用深度摄影机,诸如立体或飞行时间相机系统、红外线相机系统、RGB相机系统或使用加速度计/陀螺仪、面部标识等)。设备还可以具有各种输出机制,诸如打印机、监视器等。
还应注意,本文中描述的设备可以以独立或协作方式运作以实现所描述技术。例如,本文中描述的方法可以对单个计算设备执行和/或跨多个计算设备(诸如经由一个或多个网络通信的IoT设备)分配。在无限制的情况下,这样的一个或多个网络可以包括一个或多个局域网(LAN)、广域网(WAN)、互联网等。
附加示例
上文描述各种设备示例。下文描述附加示例。一个示例包括一种系统,该系统包括处理器和存储指令的计算机可读存储介质,该指令在由处理器执行时使系统:从数据源接收表示隐私数据的元数据;利用隐私模型处理元数据以确定与数据源相关联的隐私影响得分;以及在系统的用户界面上生成描绘隐私影响得分的视觉报告。
另一示例可以包括以上和/或以下示例中的任何示例,其中数据源是软件应用,并且元数据是从软件应用被提取的。
另一示例可以包括以上和/或以下示例中的任何示例,其中数据源是隐私影响评估,并且元数据是从隐私影响评估被提取的。
另一示例可以包括以上和/或以下示例中的任何示例,其中元数据包括指定数据类型、数据类型的数据使用和数据类型的去标识水平的分类法。
另一示例可以包括以上和/或以下示例中的任何示例,其中元数据还包括与数据类型、数据类型的数据使用和数据类型的去标识水平相关联的隐私敏感度得分。
另一示例可以包括以上和/或以下示例中的任何示例,其中敏感度得分是由组织提供的加权得分。
另一示例可以包括以上和/或以下示例中的任何示例,其中敏感度得分是根据法律或规章框架进行加权的加权得分。
另一示例可以包括以上和/或以下示例中的任何示例,其中视觉报告在用户界面的图上描绘与一个或多个数据源相关联的隐私评估。
另一示例可以包括以上和/或以下示例中的任何示例,其中图上的标绘点与聚合的数据类型影响得分和聚合的数据使用影响得分对应。
另一示例可以包括以上和/或以下示例中的任何示例,其中计算机可读指令在由处理器执行时还使处理器:接收对图上的至少一个标绘点的用户选择;以及显示关于与根据用户选择而被选择的标绘点相关联的数据源的信息。
另一示例可以包括以上和/或以下示例中的任何示例,其中计算机可读指令在由处理器执行时还使处理器提供关于降低与数据源相关联的隐私影响得分的建议。
另一示例包括一种方法,该方法包括:从数据库提取表示由数据源利用的隐私数据的元数据,该元数据定义数据类型、数据类型的数据使用和数据类型的去标识水平;至少基于元数据来计算隐私影响得分;根据所计算的隐私影响得分将数据源分箱到隐私评级箱中;以及根据隐私评级箱来在图形用户界面上显示所计算的隐私影响得分的视觉描绘。
另一示例可以包括以上和/或以下示例中的任何示例,其中该方法还包括至少基于先前所计算的隐私影响得分来将隐私影响得分标准化。
另一示例可以包括以上和/或以下示例中的任何示例,其中所计算的隐私影响的视觉描绘是具有描绘一个或多个数据源的隐私影响得分的标绘点的视觉图。
另一示例可以包括以上和/或以下示例中的任何示例,其中该方法还包括:接收对与在视觉图上描绘的数据源中的一个数据源相关联的标绘点的选择;以及显示与所选择的标绘点相关联的信息。
另一示例可以包括以上和/或以下示例中的任何示例,其中隐私影响得分是基于聚合与数据类型相关联的得分和聚合与数据类型的数据使用相关联的得分而被计算的。
另一示例包括一种系统,该系统包括:系统的显示器,被配置为描绘图形用户界面;处理器;以及存储计算机可读指令的存储存储器,该指令在由处理器执行时使处理器:经由图形用户界面显示与针对一个或多个数据源的隐私评级相关联的数据;接收对图形用户界面上的表示隐私影响得分的至少一个标绘点的选择;确定对与隐私影响得分相关联的元数据的修改是否引起隐私影响得分的降低;以及在图形用户界面上显示关于修改的建议。
另一示例可以包括以上和/或以下示例中的任何示例,其中隐私影响得分是至少基于聚合与数据源中所使用的数据类型相关联的敏感度得分、以及聚合与数据源中所使用的数据类型的数据使用相关联的敏感度得分而被计算的。
另一示例可以包括以上和/或以下示例中的任何示例,其中隐私影响得分是至少基于与数据源中所使用的数据类型相关联的去标识水平。
另一示例可以包括以上和/或以下示例中的任何示例,其中图形用户界面上所显示的标绘点的大小受隐私影响得分影响。
结论
尽管已经以特定于结构特征和/或方法动作的语言来描述主题,但应理解,随附权利要求中定义的主题不必限于上文描述的特定特征或动作。确切地说,上文描述的具体特征和动作被公开为实现权利要求的示例形式,并且所述领域的技术人员会意识到的其他特征和动作意图在权利要求的范围内。
Claims (15)
1.一种系统,包括:
处理器;以及
存储指令的计算机可读存储介质,所述指令在由所述处理器执行时使所述系统:
从数据源接收表示隐私数据的元数据;
利用隐私模型处理所述元数据,以确定与所述数据源相关联的隐私影响得分;以及
在所述系统的用户界面上生成描绘所述隐私影响得分的视觉报告。
2.根据权利要求1所述的系统,其中所述数据源是软件应用,并且所述元数据是从所述软件应用被提取的。
3.根据权利要求1所述的系统,其中所述数据源是隐私影响评估,并且所述元数据是从所述隐私影响评估被提取的。
4.根据权利要求1所述的系统,其中所述元数据包括指定以下项的分类法:数据类型、所述数据类型的数据使用和所述数据类型的去标识水平。
5.根据权利要求4所述的系统,其中所述元数据还包括与所述数据类型、所述数据类型的所述数据使用和所述数据类型的所述去标识水平相关联的隐私敏感度得分。
6.根据权利要求5所述的系统,其中所述敏感度得分是由组织提供的加权得分。
7.根据权利要求5所述的系统,其中所述敏感度得分是根据法律或规章框架进行加权的加权得分。
8.根据权利要求1所述的系统,其中所述视觉报告在所述用户界面的图上描绘与一个或多个数据源相关联的隐私评估。
9.根据权利要求8所述的系统,其中所述图上的标绘点与聚合的数据类型影响得分和聚合的数据使用影响得分相关联。
10.根据权利要求9所述的系统,其中计算机可读指令在由所述处理器执行时还使所述处理器:
接收对所述图上的至少一个标绘点的用户选择;以及
显示信息,所述信息关于根据所述用户选择而被选择的所述标绘点相关联的所述数据源。
11.根据权利要求10所述的系统,其中计算机可读指令在由所述处理器执行时还使所述处理器:提供关于降低与所述数据源相关联的所述隐私影响得分的建议。
12.一种方法,包括:
从数据库提取表示由数据源利用的隐私数据的元数据,所述元数据定义数据类型、所述数据类型的数据使用和所述数据类型的去标识水平;
至少基于所述元数据来计算隐私影响得分;
根据所计算的所述隐私影响得分,来将所述数据源分箱到隐私评级箱中;以及
根据所述隐私评级箱,来在图形用户界面上显示对所计算的所述隐私影响得分的视觉描绘。
13.根据权利要求12所述的方法,还包括:至少基于先前所计算的隐私影响得分来将所述隐私影响得分标准化。
14.根据权利要求12所述的方法,其中所计算的所述隐私影响的所述视觉描绘是具有标绘点的视觉图,所述标绘点描绘一个或多个数据源的隐私影响得分。
15.根据权利要求14所述的方法,还包括:
接收对与在所述视觉图上所描绘的所述数据源中的一个数据源相关联的标绘点的选择;以及
显示与所选择的所述标绘点相关联的信息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/550,072 | 2019-08-23 | ||
| US16/550,072 US11507674B2 (en) | 2019-08-23 | 2019-08-23 | Quantifying privacy impact |
| PCT/US2020/039407 WO2021040871A1 (en) | 2019-08-23 | 2020-06-24 | Quantifiying privacy impact |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114270391A true CN114270391A (zh) | 2022-04-01 |
Family
ID=71614956
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080057469.2A Pending CN114270391A (zh) | 2019-08-23 | 2020-06-24 | 量化隐私影响 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11507674B2 (zh) |
| EP (1) | EP3997657A1 (zh) |
| CN (1) | CN114270391A (zh) |
| WO (1) | WO2021040871A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11531703B2 (en) * | 2019-06-28 | 2022-12-20 | Capital One Services, Llc | Determining data categorizations based on an ontology and a machine-learning model |
| US11430809B2 (en) | 2020-08-04 | 2022-08-30 | Micron Technology, Inc. | Integrated assemblies, and methods of forming integrated assemblies |
| CN113220949B (zh) * | 2021-05-12 | 2022-05-17 | 支付宝(杭州)信息技术有限公司 | 一种隐私数据识别系统的构建方法及装置 |
| US11308359B1 (en) * | 2021-10-27 | 2022-04-19 | Deeping Source Inc. | Methods for training universal discriminator capable of determining degrees of de-identification for images and obfuscation network capable of obfuscating images and training devices using the same |
| US11620390B1 (en) * | 2022-04-18 | 2023-04-04 | Clearwater Compliance LLC | Risk rating method and system |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080288330A1 (en) * | 2007-05-14 | 2008-11-20 | Sailpoint Technologies, Inc. | System and method for user access risk scoring |
| JP5559306B2 (ja) * | 2009-04-24 | 2014-07-23 | アルグレス・インコーポレイテッド | 対話的グラフを用いた予測モデリングのための企業情報セキュリティ管理ソフトウェア |
| US9668137B2 (en) * | 2012-03-07 | 2017-05-30 | Rapid7, Inc. | Controlling enterprise access by mobile devices |
| US20140278730A1 (en) * | 2013-03-14 | 2014-09-18 | Memorial Healthcare System | Vendor management system and method for vendor risk profile and risk relationship generation |
| US9626515B2 (en) * | 2014-12-30 | 2017-04-18 | Samsung Electronics Co., Ltd. | Electronic system with risk presentation mechanism and method of operation thereof |
| US10963571B2 (en) * | 2015-11-17 | 2021-03-30 | Micro Focus Llc | Privacy risk assessments |
| US9892441B2 (en) | 2016-04-01 | 2018-02-13 | OneTrust, LLC | Data processing systems and methods for operationalizing privacy compliance and assessing the risk of various respective privacy campaigns |
| US20180200575A1 (en) * | 2017-01-16 | 2018-07-19 | Seiko Epson Corporation | Motion analyzing apparatus, motion analyzing system, and motion analyzing method |
| US11036884B2 (en) * | 2018-02-26 | 2021-06-15 | International Business Machines Corporation | Iterative execution of data de-identification processes |
-
2019
- 2019-08-23 US US16/550,072 patent/US11507674B2/en active Active
-
2020
- 2020-06-24 WO PCT/US2020/039407 patent/WO2021040871A1/en unknown
- 2020-06-24 CN CN202080057469.2A patent/CN114270391A/zh active Pending
- 2020-06-24 EP EP20740456.7A patent/EP3997657A1/en not_active Withdrawn
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021040871A1 (en) | 2021-03-04 |
| US20210056213A1 (en) | 2021-02-25 |
| EP3997657A1 (en) | 2022-05-18 |
| US11507674B2 (en) | 2022-11-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11295034B2 (en) | System and methods for privacy management | |
| US11818136B2 (en) | System and method for intelligent agents for decision support in network identity graph based identity management artificial intelligence systems | |
| US11757938B2 (en) | Method, apparatus, and computer-readable medium for data protection simulation and optimization in a computer network | |
| CN114270391A (zh) | 量化隐私影响 | |
| US11734233B2 (en) | Method for classifying an unmanaged dataset | |
| US20130290067A1 (en) | Method and system for assessing risk | |
| US11860905B2 (en) | Scanning for information according to scan objectives | |
| Beretta et al. | Detecting discriminatory risk through data annotation based on bayesian inferences | |
| Zhang et al. | Adaptive fairness improvement based on causality analysis | |
| Wijnhoven et al. | Value-based file retention: File attributes as file value and information waste indicators | |
| US20130198147A1 (en) | Detecting statistical variation from unclassified process log | |
| CN114626366A (zh) | 数据词汇表的维护 | |
| US10867249B1 (en) | Method for deriving variable importance on case level for predictive modeling techniques | |
| CN112733897A (zh) | 确定多维样本数据的异常原因的方法和设备 | |
| US12099836B2 (en) | Source code analysis apparatus and source code analysis method | |
| WO2012053041A1 (ja) | セキュリティポリシーに基づくセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラム | |
| US20160048781A1 (en) | Cross Dataset Keyword Rating System | |
| TW201539217A (zh) | 文件分析系統、文件分析方法、以及文件分析程式 | |
| JP6142617B2 (ja) | 情報処理装置、情報処理方法及び情報処理用プログラム | |
| Lin et al. | Mitigating subgroup unfairness in machine learning classifiers: A data-driven approach | |
| KR102395550B1 (ko) | 기밀정보 분석 방법 및 장치 | |
| JP7339152B2 (ja) | 損益分析装置、及び損益分析方法 | |
| CN112926816B (zh) | 供应商评价方法、装置、计算机设备和存储介质 | |
| US20240012864A1 (en) | Multi-platform detection and mitigation of contentious online content | |
| US11977987B2 (en) | Automatic hypothesis generation using geospatial data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |