CN114631092A - 隐私保护数据收集和分析 - Google Patents
隐私保护数据收集和分析 Download PDFInfo
- Publication number
- CN114631092A CN114631092A CN202180006062.1A CN202180006062A CN114631092A CN 114631092 A CN114631092 A CN 114631092A CN 202180006062 A CN202180006062 A CN 202180006062A CN 114631092 A CN114631092 A CN 114631092A
- Authority
- CN
- China
- Prior art keywords
- content
- user device
- content item
- content items
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/953—Querying, e.g. by the use of web search engines
- G06F16/9535—Search customisation based on user profiles and personalisation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/02—Marketing; Price estimation or determination; Fundraising
- G06Q30/0241—Advertisements
- G06Q30/0251—Targeted advertisements
- G06Q30/0255—Targeted advertisements based on user history
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/02—Marketing; Price estimation or determination; Fundraising
- G06Q30/0241—Advertisements
- G06Q30/0277—Online advertisement
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/06—Buying, selling or leasing transactions
- G06Q30/08—Auctions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Databases & Information Systems (AREA)
- Development Economics (AREA)
- Strategic Management (AREA)
- Health & Medical Sciences (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Economics (AREA)
- Entrepreneurship & Innovation (AREA)
- Marketing (AREA)
- General Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- Game Theory and Decision Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Medical Informatics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种方法包括由数据处理装置从内容分发系统接收消息,该消息包括表示不应该提供给用户设备的内容项集合的概率数据结构、可以提供的内容项的内容项数据以及对确定任何内容项数据是否无效的请求,确定因为给定内容项可能在由概率数据结构表示的内容项集合中,所以给定内容项的内容项数据无效,包括移除被确定为无效的给定内容项的内容项数据;以及阻止包括给定内容项的内容项的分发。
Description
背景技术
本说明书涉及当出于改善用户体验的目的收集和分析用户数据时的数据处理和保护用户隐私。
发明内容
一般而言,本说明书中描述的主题的一个创新方面可以体现在一种方法中,该方法包括由数据处理装置从内容分发系统接收消息,该消息包括表示不应该提供给用户设备的内容项集合的概率数据结构、将提供给用户设备的可用内容项的内容项数据、以及基于概率数据结构确定任何内容项数据是否无效的请求;对于内容项中的给定内容项,由数据处理装置使用概率数据结构确定因为给定内容项可能在由概率数据结构表示的不应该提供给用户设备的内容项集合中,所以给定内容项的内容项数据无效;该方法包括:由数据处理装置从内容项数据移除被确定为无效的给定内容项的内容项数据,并由数据处理装置响应于向用户设备提供内容的请求,阻止包括给定内容项的一个或多个内容项的集合的分发。
在一些实施方式中,确定因为给定内容项可能在由概率数据结构表示的不应该提供给用户设备的内容项集合中,所以给定内容项的内容项数据无效,还包括:由数据处理装置查询提供不应该呈现给用户设备的内容项集合以及可以呈现给用户设备的内容项的概率数据结构,并且数据处理装置是独立于内容分发系统和内容提供商的服务器,内容分发系统和内容提供商提供(i)不应提供给用户设备的内容项集合和(ii)可提供给用户设备的内容项。
在一些实施方式中,该方法还包括由数据处理装置使用仅由数据处理装置持有的私钥解密概率数据结构,其中概率数据结构使用对应于私钥的公钥加密。
在一些实施方式中,概率数据结构是布隆过滤器,其特定于以下之一:用户设备、网页、发布者的网站或向用户设备提供内容的请求。
在一些实施方式中,由概率数据结构表示的不应该提供给用户设备的内容项集合包括不应该提供给用户设备的第一内容项集合和随机选择的第二内容项集合的并集(union)。
在一些实施方式中,阻止内容项集合的分发包括避免向用户提供具有指定类型内容的内容项。
在一些实施方式中,内容项中的每一个的内容项数据包括使用散列函数基于以下至少一项生成的全局唯一标识符:内容提供商的域、在每个内容提供商内唯一的内容项标识符、内容提供商的秘密密钥、由信任令牌生成的浏览器的公钥。
该方面的其他实施例包括对应的系统、装置和计算机程序,其被配置为执行该方法的动作,并被编码在计算机存储设备上。
在改善用户体验的背景下,收集和分析用户数据对于内容提供商和分发系统可能是有益的。然而,提供商通常可能不能够以足以执行其分析同时又提供足够的隐私保护的形式保留数据。以下描述讨论了各种技术和系统,这些技术和系统用于在相对于从用户收集的数据保护用户隐私的同时仍然以允许提供商执行分析的形式来维护数据,该分析用于确定是否或如何调整向用户的内容分发或修改内容以提供定制的用户体验。
本说明书中描述的主题的特定实施例可以被实施以实现以下优点中的一个或多个。例如,系统可以发送屏蔽(mask)用户数据的概率数据结构,仅向被要求分发内容的内容提供商和分发者提供最少量的信息。本说明书中描述的解决方案还降低了与存储原始用户数据相关联的隐私风险(例如,数据泄露或对用户数据的未授权访问)。传统上,提供商可以以用户数据的原始形式存储用户数据,但是这种原始数据存储容易受到未经授权的访问。例如,如果恶意方获得对提供商系统的访问,存储在这种系统中的原始用户数据可能很容易被访问。这里描述的解决方案通过将用户数据的隐私增强表示(诸如用户数据的散列表示)插入到进一步屏蔽用户数据的概率数据结构中来降低这种风险。更具体地,结合概率数据结构使用用户数据的散列表示的组合不仅屏蔽了数据本身(例如,使用散列表示而不是实际的用户数据),还屏蔽了具有特定用户数据集的用户的数量,从而提供了增强的数据隐私保护。这是因为概率数据结构在被查询时可以识别实际匹配查询的多个条目(即,真阳性)以及不匹配查询的条目(即,假阳性)。因此,即使恶意方能够访问概率数据结构,恶意方也不能有把握地辨别存储在数据结构中的用户数据,或者甚至是具有指定用户属性组合的用户的实际数量。这是因为概率数据结构揭示了某些用户数据存在于概率数据结构中的可能性或概率。
另一方面,系统能够使用数据准确地执行其分析,而无需直接访问特定用户的数据。在一些实施方式中,独立服务器可以是内容提供商的服务器或内容分发系统的部分。例如,对于存储内容项已经向用户显示的次数的概率数据结构,独立服务器不知道哪些条目对应于特定用户。此外,因为概率数据结构允许独立服务器分析内容分发数据,所以独立服务器不需要访问或存储处于其原始格式中的用户数据,从而进一步降低了揭示可识别用户数据的数据泄露的可能性。相关地,本说明书中描述的创新通过允许提供商丢弃原始用户数据(其可能消耗大量资源)并代之以在概率数据结构中存储该数据的隐私增强表示(这需要少得多的资源),从而允许显著的资源节省(例如,减少的带宽使用和减少的存储器资源使用)。概率结构需要较少的资源,因为该结构存储比原始数据本身小得多的数据表示。因此,使用概率数据结构不仅减少了存储中所需的资源,还减少了传输数据所需的资源。例如,相对于传输或存储原始数据,概率结构需要传输或存储更少的数据,允许由概率结构表示的数据的传输和存储更快和更高效。
除了存储数据的概率结构之外,本文中描述的解决方案还对用户数据应用了进一步的保护层,包括在单独浏览器或操作系统(OS)级别处的公钥和私钥加密。通过为每个浏览器使用特定的密钥,本发明阻止了恶意方试图重新创建用户数据,这是由于恶意方推断加密数据所需操作的规模——每个浏览器需要在单独的级别上被作为目标来收集加密的概率数据,然后这些数据需要被解密和分析。此外,由于数据与特定的浏览器或OS相关联,通过流量分析可以轻松检测并阻止使用复制的浏览器特定密钥劫持多个浏览器的企图。
以下描述的隐私保护技术有助于提供跨平台的一致的用户体验,这些平台由能够访问不同类型的不同数据的独立实体维护和/或被指向不同类别的内容。通过允许提供商仅访问一致的浏览体验所需的最少量的数据,这些技术保护了用户的隐私,同时维持了用户所期望的内容交付体验。
通过减少或完全消除向已经看过内容或已经表示对呈现内容不感兴趣的实体分发内容,该方法减少了向不太可能参与内容的实体分发内容所花费的资源量,并且更高效地通过网络提供内容——该方法阻止向实际上没有观看内容的实体分发内容。换句话说,诸如网络带宽、处理器周期和/或分配的存储器的计算资源不会通过使用这些资源将内容分发给实际上对观看内容不感兴趣的实体而被浪费。
本说明书中描述的主题的一个或多个实施例的细节在附图和以下描述中阐述。根据说明书、附图和权利要求书,本主题的其他特征、方面和优点将变得显而易见。
附图说明
图1是用于隐私保护数据收集和分析的示例环境的框图。
图2是用于数据收集和分析的隐私保护方法的泳道流程图。
图3描绘了用于数据收集和分析的隐私保护方法的数据流。
图4是使用空间高效的概率数据结构进行数据收集和分析的隐私保护过程的示例过程的流程图。
图5是示例计算机系统的框图。
不同附图中相同的附图标记和名称表示相同的元件。
具体实施方式
本公开涉及在收集和分析用户数据时保护用户隐私的计算机实施的方法和系统。
通过用户和提供商之间的信息和交易的交换,提供商可以接收大量的用户数据,诸如用户访问的内容类型、用户最后一次访问提供商网站的时间,以及与用户和提供商和/或提供商网站的交互相关的其他信息。如果用户允许提供商收集这样的用户数据,则提供商可以分析这些数据来改进提供商的运营和/或改善用户体验。例如,提供商可以使用用户数据来识别用户查看最多的内容类型,并提供与这些内容类型相关的附加信息,同时防止分发关于用户尚未表现出兴趣的其他内容类型的信息。出于本文描述的目的,“内容”指的是数字内容,包括由内容提供商提供的第三方内容。内容项指的是特定的一段内容,并且包括用于与用户请求的其他内容一起呈现的数字组件。
越来越多希望保护其隐私的用户撤销提供商对此类活动数据的访问(例如,通过拒绝接受第三方cookies),但期望对其用户体验进行类似级别的控制(或个性化)。例如,当用户跨多个不同的网站上导航时,他们通常更喜欢不被连续地显示相同的第三方内容,使得跨多个不同的网站连续地将相同的第三方内容分发给相同的用户导致计算资源的浪费,该计算资源被用于分发用户不想看到并且可能会被忽略的内容。限制特定用户接触相同的第三方内容的次数的一种方法是利用频率控制技术,该频率控制技术阻止相同的用户接触相同的第三方内容超过指定的次数。
关于某些内容项被提供给用户的频率向用户提供对他们的浏览体验的控制的现有方法依赖于:用户提供对用户信息的访问,以便确定用户是否已经指示他们对某个内容项或内容类别不感兴趣,从而用户可以指示他们不希望再次看到该内容或内容类别,或者特定内容项是否已经被提供给用户阈值次数,使得用户可以指示他们已经看过该内容太多次,或者在一段时间内看过太多次。例如,频率上限的现有方法依赖于例如用户接受cookies、同意提供对设备ID的访问或者登录到账户。如果无法访问这些用户数据,一些频率控制方法可能无效,或者跨不同平台时可能无效。本说明书中描述的创新克服了实施频率控制的现有方法的问题,改善了用户体验,同时保护了用户隐私并减少了计算资源的浪费(例如,用于向用户分发不想要的内容)。
如本说明书中详细描述的,这些创新技术可以保护从用户收集的数据的用户隐私,同时以允许系统对用户数据执行分析的形式维护数据。在接收到指定一个或多个属性的用户数据时,用户设备上的浏览器、OS或其他软件使用例如一个或多个散列函数来生成用户数据的隐私增强表示。例如,诸如内容提供商服务器或独立服务器的服务器接收用户数据的隐私增强表示,并将其存储在接收其的概率数据结构中。在一些实施方式中,独立服务器可能永远不会接收原始数据而是接收概率数据结构,或者接收原始数据,构建概率数据结构,然后丢弃原始用户数据,从而阻止对该数据的直接访问,即使未授权的第三方获得了对系统的访问,并且以更紧凑和高效的形式维护来自原始用户数据的信息。
如本文通篇所使用的,短语“假阳性率”指的是标识与概率数据结构相关联的假阳性的预期率或数量的值。例如,假阳性率可以是插入概率数据结构的项目数量和概率数据结构大小的函数。
除了贯穿本文档的描述之外,可以向用户提供控制,该控制允许用户选择是否以及何时这里描述的系统、程序或特征能够收集用户信息(例如,关于用户的社交网络、社交动作或活动、职业、用户偏好或用户当前位置的信息),以及是否从服务器向用户发送内容或通信。此外,在存储或使用某些数据之前,可能会以一种或多种方式对其进行处理,以便删除个人可辨识信息。例如,可以处理用户的身份,从而不能确定用户的个人可辨识信息,或者可以在获得位置信息的地方概括用户的地理位置(诸如泛化到城市、邮政编码或州级别),从而不能确定用户的特定位置。因此,用户可以控制收集关于用户的什么信息、如何使用该信息以及向用户提供什么信息。
图1是用于隐私保护数据收集和分析的示例环境100的框图。示例环境100包括网络102,诸如局域网(LAN)、广域网(WAN)、互联网或其组合。网络102连接电子文档服务器104(“电子文档服务器”)、用户设备106、数字组件分发系统110(也称为DCDS 110)和隐私服务器120。示例环境100可以包括许多不同的电子文档服务器104和用户设备106。
用户设备106是能够通过网络102请求和接收资源(例如,电子文档)的电子设备。示例用户设备106包括个人计算机、可穿戴设备、智能扬声器、平板设备、移动通信设备(例如,智能电话)、智能电器以及可以通过网络102发送和接收数据的其他设备。在一些实施方式中,用户设备可以包括向用户输出听觉信息的扬声器,以及接受来自用户的听觉输入(例如,口头词语输入)的麦克风。用户设备还可以包括数字助理,该数字助理提供交互式语音界面,用于提交输入和/或接收响应于输入而提供的输出。用户设备还可以包括呈现视觉信息(例如,文本、图像和/或视频)的显示器。用户设备106通常包括用户应用,诸如web浏览器,以便于通过网络102发送和接收数据,但是由用户设备106执行的本地应用也可以便于通过网络102发送和接收数据。
用户设备106包括软件107。软件107可以是例如浏览器或操作系统。在一些实施方式中,软件107允许用户通过诸如网络102的网络访问信息,从服务器检索信息并在用户设备106的显示器上显示信息。在一些实施方式中,软件107管理用户设备106的硬件和软件资源,并为用户设备106上的其他程序提供公共服务。软件107可以充当程序和用户设备106的硬件之间的中介。
软件107特定于每个用户设备106。如下文详细描述的,隐私保护数据分析和收集创新提供了资源高效且安全的设备特定解决方案。
电子文档是在用户设备106处呈现内容集合的数据。电子文档的示例包括网页、文字处理文档、可移植文档格式(PDF)文档、图像、视频、搜索结果页面和提要源。本地应用(例如,“应用”),诸如安装在移动、平板或桌上型计算设备上的应用也是电子文档的示例。电子文档105(“电子文档”)可以由电子文档服务器104提供给用户设备106。例如,电子文档服务器104可以包括托管发布者网站的服务器。在该示例中,用户设备106可以发起对给定发布者网页的请求,并且托管给定发布者网页的电子文档服务器104可以通过发送启动给定网页在用户设备106处的呈现的机器超文本标记语言(HTML)代码来响应该请求。
电子文档可以包括各种内容。例如,电子文档105可以包括电子文档本身内和/或不随时间改变的静态内容(例如,文本或其他指定内容)。电子文档还可以包括动态内容,该动态内容可以随时间或者基于每个请求而改变。例如,给定电子文档的发布者可以维护用于填充电子文档部分的数据源。在该示例中,给定的电子文档可以包括标签或脚本,当用户设备106处理(例如,呈现或执行)给定的电子文档时,该标签或脚本使得用户设备106向数据源请求内容。用户设备106将从数据源获得的内容集成到给定电子文档的呈现中,以创建包括从数据源获得的内容的复合电子文档。
在一些情况下,给定的电子文档可以包括引用DCDS 110的数字内容标签或数字内容脚本。在这些情况下,当用户设备106处理给定的电子文档时,用户设备106执行数字内容标签或数字内容脚本。数字内容标签或数字内容脚本的执行将用户设备106配置为生成对数字内容的请求108,该请求108通过网络102被发送到DCDS 110。例如,数字内容标签或数字内容脚本可以使用户设备106能够生成包括报头和有效载荷数据的分组化数据请求。请求108可以包括数据,诸如正在向其请求数字内容的服务器的名称(或网络位置)、请求设备(例如,用户设备106)的名称(或网络位置)、和/或DCDS 110可以使用其来选择响应于请求而提供的数字内容的信息。用户设备106通过网络102(例如,电信网络)将请求108发送到DCDS 110的服务器。
请求108可以包括指定电子文档和可以呈现数字内容的位置的特征的数据。例如,指定对将在其中呈现数字内容的电子文档(例如,网页)的引用(例如,URL)、可用于呈现数字内容的电子文档的可用位置(例如,数字内容槽)、可用位置的大小、可用位置在电子文档的呈现中的定位、和/或有资格在位置中呈现的媒体类型的数据可以被提供给DCDS 110。类似地,指定为选择电子文档而选定的关键词(“文档关键词”)或电子文档所引用的实体(例如,人、地点或事物)的数据也可以被包括在请求108中(例如,作为有效载荷数据),并被提供给DCDS 110,以便于识别有资格与电子文档一起呈现的数字内容项。
请求108还可以包括与其他信息相关的数据,诸如用户已经提供的信息、指示提交请求的州或地区的地理信息、或者为将显示数字内容的环境提供上下文的其他信息(例如,将显示数字内容的设备类型,诸如移动设备或平板设备)。用户提供的信息可以包括用户设备106的用户的人口统计数据。例如,人口统计信息可以包括年龄、性别、地理位置、教育水平、婚姻状况、家庭收入、职业、爱好、社交媒体数据以及用户是否拥有特定物品等特性。
指定用户设备106的特性的数据也可以在请求108中提供,诸如标识用户设备106的型号、用户设备106的配置、或呈现电子文档的电子显示器(例如,触摸屏或桌面监视器)的大小(例如,物理大小或分辨率)的信息。请求108可以例如在分组网络上发送,并且请求108本身可以被格式化为具有报头和有效载荷数据的分组数据。报头可以指定分组的目的地,并且有效载荷数据可以包括上面讨论的信息中的任何一个。
响应于接收到请求108和/或使用请求108中包括的信息,DCDS 110选择将与给定电子文档一起呈现的数字内容。在一些实施方式中,DCDS 110在分布式计算系统(或环境)中实施,该分布式计算系统(或环境)包括例如服务器和多个计算设备的集合,这些服务器和多个计算设备的集合互连并响应于请求108来识别和分发数字内容。该多个计算设备的集合一起操作以从数百万或更多可用数字内容的语料库中识别有资格在电子文档中呈现的数字内容集合。例如,可以在数字组件数据库112中索引数百万或更多的可用数字内容。每个数字内容索引条目可以引用对应数字内容和/或包括调节对应数字内容的分发的分发参数(例如,选择标准)。
有资格的数字内容的识别可以被分割成多个任务,然后在多个计算设备的集合内的计算设备之间分配这些任务。例如,不同的计算设备可以各自分析数字组件数据库112的不同部分,以识别具有与包括在请求108中的信息相匹配的分发参数的各种数字内容。
DCDS 110聚合从多个计算设备的集合接收的结果,并使用与聚合的结果相关联的信息来选择将响应于请求108而提供的数字内容的一个或多个实例。反过来,DCDS 110可以生成并通过网络102发送回复数据114(例如,表示回复的数字数据),回复数据114使得用户设备106能够将所选择的数字内容集合集成到给定的电子文档中,以使得所选择的数字内容集合和电子文档的内容一起呈现在用户设备106的显示器上。
隐私服务器120是系统100的可选组件。隐私服务器120是独立于电子文档服务器104和/或DCDS 110的服务器。隐私服务器120向用户提供对其浏览体验的控制,同时保护用户的隐私。隐私服务器120对内容分发过程应用频率控制。在一些实施方式中,隐私服务器120是数字组件分发系统110的部分。在本文中,术语“频率控制”指的是控制向特定用户呈现内容的频率的一个或多个特征。
例如,频率控制可以指频率上限,这是一种允许内容提供商限制内容项被显示的次数的特征。频率上限可以部分由DCDS 110和/或隐私服务器120实施,部分由用户设备106的浏览器107实施。例如,DCDS 110和/或隐私服务器120可以维护每个内容项可以被显示的最大阈值次数和/或内容项可以被显示的时间段的记录,并且用户设备106的浏览器107可以维护特定内容项已经被显示的次数。如果浏览器107确定对于特定内容项已经达到最大阈值次数,则内容项可以被添加到不应该再次提供或者在一段时间内不应该提供的内容项列表中。频率上限对于用户的浏览体验和提高系统的效率是重要的,因为过多地看到相同的内容可能会使用户不愉快或烦恼,降低他们的体验,并且在向用户发送和呈现重复的内容项中浪费了内容提供商的资源。
在另一个例子中,频率控制可以指收集来自用户的输入的特征,该输入向内容提供商发信号通知他们对特定的内容项或内容类别不感兴趣和/或他们不想再看。例如,可以向用户呈现选项,以在该时刻停止向他们呈现内容项,并且阻止在将来向他们呈现内容项。用户可以与诸如按钮、复选框或其他元素的用户界面元素交互。例如,用户可以选择一个按钮来消除内容。此外,当停止向用户呈现内容时,用户可以提供关于内容的主观反馈。例如,用户可以输入诸如“我以前已经见过这个建议”、“我不喜欢这个”、“不要再向我显示这个”等反馈,以及其他类型的输入。在一些实施方式中,这种用户输入可以被称为“静音”内容项。在一些实施方式中,静音与时间段相关联。例如,用户可以选择他们不希望看到内容项的时间段。在一些实施方式中,当用户静音基于内容项的类型和/或用户提供的反馈的类型以及其他因素选择的内容项或时间段时,可以应用默认时间段。
在一些实施方式中,隐私服务器120在分布式计算系统(或环境)中实施,该分布式计算系统(或环境)包括例如服务器和互连的并且响应于请求应用频率控制的多个计算设备的集合。多个计算设备的集合一起操作以从数百万或更多可用数字内容的语料库中识别有资格在电子文档中呈现的数字内容集合。数百万或更多的可用数字内容可以例如在隐私服务器数据库122中根据内容已经被呈现给特定用户多少次和/或用户是否已经请求不被呈现该内容项而被索引。
作为初始步骤,每个内容项分发活动可以由在每个内容分发系统中唯一的活动ID来表示。“全局”唯一活动ID允许内容项分发活动在整个互联网上被唯一地标识,并且使用内容分发系统的域的eTLD+1(比有效顶级域多一级)和内容分发系统的域内的活动的活动ID的组合来生成。例如,全局唯一活动ID可以作为内容分发系统的域的eTLD+1和活动ID的加密散列来生成。一个这样的加密散列可以是使用诸如SHA-256的安全散列算法来创建32字节字的结果而实施的基于散列的消息认证码(HMAC)。计算全局唯一活动ID的示例函数由等式(1)表示:
Si=HMAC(campaign_ID,content_distribution_system_domain) 等式(1)。
内容项的有限离散集合由例如等式(2)所表示的集合来表示:
S={S1,S2,…,Sz} 等式(2)
使用HMAC定义每个全局唯一活动ID的一个好处是,在没有附加信息的情况下,不可能仅通过检查全局唯一活动ID来确定内容分发系统或活动ID的身份。因此,全局唯一活动ID保护机密信息,诸如当前正在运行的内容项分发活动的数量、停止的内容项分发活动的数量、以及已经开始的内容项分发活动的数量,以及其他信息。
当用户设备的用户导航和浏览互联网时,这些全局唯一活动ID被提供给正在每个用户设备上运行的软件。例如,软件107可以存储与全局唯一活动ID相关的数据。在一些实施方式中,全局唯一活动ID被本地存储在用户设备上。软件107可以包含用户设备上的各种软件;为了便于解释,以下描述是针对用户设备上的浏览器程序107提供的。
为了提供进一步的保护,每个内容分发系统可以生成秘密密钥。例如,DCDS 110可以生成秘密密钥DCDS_key。对于每个浏览器,内容分发系统可以使用其自己的秘密密钥和通过信任令牌API生成的用于浏览器的公钥来创建浏览器特定秘密密钥。例如,DCDS 110可以根据等式(3)通过散列浏览器的公钥browser_public_key和DCDS 110的秘密密钥DCDS_key来生成浏览器107的浏览器特定秘密密钥:
browser_specific_key=HMAC(browser_public_key,DCDS_key) 等式(3)。
内容分发系统然后可以为呈现给浏览器的内容项生成全局唯一活动ID。在一些实施方式中,内容分发系统可以使用确定性加密算法。例如,DCDS 110可以根据等式(4)使用确定性对称加密算法为呈现给浏览器107的内容项生成全局唯一活动ID:
Si=Encrypt(campaign_ID,browser_specific_key) 等式(4)。
接下来,内容分发系统对Si进行加密,并将密文作为与对应用频率控制的请求包括在一起的参数发送。在一些实施方式中,内容分发系统可以使用概率加密算法。例如,在调用频率控制时,DCDS 110可以根据等式(5)加密Si并且将结果发送到浏览器107:
Si=PubKeyEncrypt(Si,browser_public_key) 等式(5)。
在接收到调用频率控制的请求时,浏览器可以使用通过信任令牌API生成的浏览器特定私钥来解密请求和Si。只要内容分发系统的秘密密钥被保密,恶意方就不能确定由等式(3)计算的浏览器特定密钥,即使使用拦截的流量。此外,浏览器特定秘密密钥的浏览器特定的基本性质阻止了恶意方,因为对于恶意方来说,没有可扩展的或经济的方式来收集全局唯一活动ID Si以访问内容提供商信息。
为了实施频率控制技术,内容项内的脚本可以向例如正在显示内容项的用户设备上的浏览器通知(1)与内容项相关联的活动ID,以及(2)已经为活动定义的任何频率控制规则。例如,频率上限规则可以是每分钟内容项的呈现不超过2次,每小时不超过5次。浏览器可以为每个全局唯一活动ID维护数据结构,该数据结构指示(1)频率上限规则和(2)内容项何时已经被呈现的时间戳列表。在一些实施方式中,浏览器可以移除已经在超过在频率上限中定义的最长时间帧的过去的时间处发生的时间戳以减少存储和维护数据所需的存储器资源。例如,如果频率上限规定每小时不应有超过5个呈现,则浏览器可以移除超过一个小时之前已经发生的时间戳。浏览器可以通过找到最近事件的时间戳和所讨论事件的时间戳之间的差异来确定两次事件之间的时间帧。该数据允许浏览器确定或者便于确定活动是否已经达到其在浏览器上的频率上限。
此外,每个浏览器维护不应在浏览器上呈现的内容项集合D。集合D是内容项的有限离散集合的子集,并且由于频率控制规则或明确的用户请求而不应该被呈现。例如,集合D中的内容项不应该被提供,因为正在运行浏览器的用户设备的用户已经提供了指示他们对该内容项不感兴趣或者不希望再次看到该内容项的输入,或者因为根据频率控制规则,该内容项正在被过于频繁地呈现给用户。
当各种条件发生时,浏览器可以更新集合D。例如,当用户提供指示他们不希望看到内容项或对类似于该内容项的内容不感兴趣的反馈时,当正在呈现给用户的内容项已经达到由频率控制规则指定的频率上限时,以及当由用户的反馈和/或频率控制规则指定的时间段到期时,浏览器可以更新集合D。一般而言,集合D中的项目数量远小于集合S中的项目数量,使得由于用户偏好或频率控制规则而没有资格呈现给用户的内容项数量小于所有可用内容项的数量。
内容分发系统在选择内容项或数字组件以呈现给正在运行浏览器的用户设备的特定用户时,使用浏览器特定集合D。例如,内容分发系统可以从集合S中选择服从条件
的内容项Si,以使得所选择的内容项遵从由集合D表示的频率控制规则和用户偏好。
集合D是有利的,因为它允许内容分发系统遵从频率控制规则,并根据用户的期望提供用户体验。然而,如果向内容提供商或内容分发系统提供对集合D的直接访问,则集合D可以成为便于跟踪用户的信号。为了限制可以使用集合D执行的任何增量跟踪,同时遵从跨各种平台和域的频率控制规则,每个浏览器可以用随机选择的噪声来扩展集合D。例如,浏览器可以生成表示随机内容项的随机集合D',这些随机内容项也被识别为没有资格呈现,而不管根据频率控制规则或用户偏好这些项目是否有资格。然后,浏览器可以计算集合D和D'的并集(D∪D′),并在将该结果与内容项请求一起提供之前随机地重排元素。集合D'提供了随机噪声,该噪声模糊了没有资格的内容项的真实集合,使得很难或不可能将集合(D∪D′)与特定用户相关联。浏览器选择D'来提供特定级别的隐私保护,同时保持效率,使得计算资源方面的复杂性和采用成本不会高得令人望而却步。
浏览器可以基于情况适配集合D'。浏览器可以针对每个网页(web page)特定标识符的寿命、针对每个网页访问、针对每个内容项请求以及针对每个程序或平台等选择集合D'。例如,如果站点可以将集合D'与来自相同网页访问内的每个内容项请求相关联,则浏览器可以确定对于源自相同网页访问的多个内容项请求只生成一个集合D'是最高效的。为了阻止网页持续跟踪集合D',浏览器可以将(D∪D′)插入到内容项请求的报头中,或者使用特定服务器的公钥加密(D∪D′),使得只有该服务器可以解密消息。
除了随机生成的噪声,浏览器还可以为用户数据增加概率保护层。例如,浏览器可以选择并构建布隆过滤器,并将该过滤器与内容项请求一起发送,以进一步模糊可用于跟踪用户的集合D。布隆过滤器是空间高效的概率数据结构,可以快速检查元素是否属于某个集合。结果要么是“可能在集合中”,要么是“肯定不在集合中”
相比于散列集合的32字节,布隆过滤器可以使用例如每个元素少于10个比特,提供与集合中元素的大小或数量无关的假阳性率,在存储和带宽需求方面提供了巨大的节省。这种概率数据结构可以通过在概率数据结构中存储该数据的隐私增强表示(相对于原始数据需要很少的资源)并允许原始数据被丢弃,来显著减少数据处理资源和/或存储器资源的使用。因此,使用概率数据结构也减少了处理数据所需的资源量。相对于传输或存储原始数据,概率结构需要传输和/或存储更少的数据,从而允许由概率结构表示的数据的传输和存储更快和更高效。
此外,如果内容分发系统被限制为仅在布隆过滤器结果指示该项目对于没有资格的内容项集合(D∪D′)而言“肯定不在集合中”时才呈现内容项,则该过程保证遵从频率控制限制。浏览器可以使用布隆过滤器的变体或类似于布隆过滤器的其他概率数据结构。例如,浏览器可以使用布谷鸟过滤器。在一些实施方式中,浏览器可以评估许多类似于布隆过滤器的概率结构,并选择最合适的结构。
假阳性的概率实质上创建了表示内容项的附加集合的集合D″,这些内容项也被识别为没有资格呈现,而不管根据频率控制规则或用户偏好这些内容项是否有资格。因为在Si∈D∪D′∪D″时布隆过滤器回复“可能在集合中”,所以布隆过滤器进一步降低了将集合(D∪D′∪D″)与特定用户相关联的可能性。没有资格呈现的内容项集合已经被高效地随机扩展了两次。
图2是用于数据收集和分析的隐私保护方法200的泳道流程图。方法200的操作由系统100的各种组件执行。例如,方法200的操作可以由与用户设备106通信的隐私服务器120和DCDS 110来执行。
方法200封装了上述隐私和安全特征中的每一个,并且使得内容分发系统能够查询布隆过滤器,并且仅访问执行用于显示的内容项的最终选择所必需的最少量的信息。此外,方法200允许访问不同平台的用户具有关于内容项供应的一致体验,该不同平台具有对不同类型的数据或数据集的访问。例如,方法200允许遵从用户的隐私期望,无论用户正在访问由第一实体拥有和操作的用于浏览用户自制的待售物品的网站,还是由完全不同的第二实体拥有和操作的社交网络平台。
该方法开始于由用户设备的软件执行的步骤1-3。在步骤1中,用户设备的软件选择布隆过滤器并构建所选择的布隆过滤器。例如,用户设备106的浏览器107可以基于从用户设备106接收的交互数据来确定适当的布隆过滤器和布隆过滤器参数,以实施与特定用户相关联的频率控制规则。浏览器107可以选择例如布隆过滤器的假阳性率。在一些实施方式中,为了分摊布隆过滤器构建成本,浏览器可以可选地缓存所构建的布隆过滤器以用于以后适用的请求。浏览器107选择布隆过滤器的参数并构建布隆过滤器,而无需来自诸如DCDS 110或内容提供商等各方的输入。
该方法继续到步骤2,其中浏览器使用非对称加密算法对包含布隆过滤器的消息进行加密。浏览器107编写消息,该消息包括至少(1)所构建和/或缓存的布隆过滤器,以及(2)标识通过用户设备106请求内容项的时间的内容项请求时间戳。浏览器可以加密布隆过滤器并将加密的布隆过滤器包括在消息中。在一些实施方式中,浏览器107使用隐私服务器120的公钥加密布隆过滤器,使得只有隐私服务器120可以解密结果。
该方法继续到步骤3,其中浏览器生成对用于在用户设备上显示的数字组件的请求。例如,浏览器107可以生成对用于在用户设备106上显示的内容项的请求108。
该方法继续由DCDS 110执行的步骤4-6。在一些实施方式中,对于参与到DCDS 110中的每个内容提供商,步骤4和5并行发生。
在步骤4中,内容分发系统从浏览器接收对数字组件的请求,并生成投标请求,从内容提供商征求投标以向用户设备提供内容。例如,DCDS 110接收对要在用户设备106上显示的内容项的请求108。DCDS 110然后可以生成从内容提供商征求投标的投标请求。在一些实施方式中,DCDS 110执行拍卖过程来征求投标响应。例如,DCDS 110可以执行通常在内容分发系统中使用的标准拍卖过程。
在步骤5中,内容分发系统接收来自内容提供商的投标响应。例如,响应于其对向用户设备106提供内容的投标的请求,DCDS 110从内容提供商接收指示特定内容项和相关联投标价格的响应。在一些实施方式中,可以提供投标,例如,包括如上所述的全局唯一活动ID。
在一些实施方式中,内容提供商可以响应于投标请求返回多个投标,以避免失去购买机会,因为内容提供商不知道布隆过滤器,并且不能基于频率控制参数预过滤候选内容项,并且可能返回稍后将被阻止的内容项(例如,在步骤10中内容项可能被确定为没有资格)。
在步骤6中,内容分发系统从接收到的投标响应中选择多个最高投标。例如,DCDS110可以从标准拍卖过程中选择前三个最高投标。在一些实施方式中,DCDS 110可以基于接收到的响应的数量、频率控制参数和/或布隆过滤器参数等因素来调整所选择的最高投标的数量。
在步骤7中,内容分发系统可以通过查询独立的隐私服务器来应用内容频率上限。例如,DCDS 110可以通过发送消息来请求隐私服务器120对拍卖结果应用布隆过滤器,该消息包括至少(1)所选最高投标的有序列表和(2)具有内容项请求时间戳的加密的布隆过滤器。
该方法继续由内容分发系统和/或与其隐私服务器数据库通信的独立隐私服务器执行的步骤8-10。在一些实施方式中,独立隐私服务器120是内容分发系统的部分,并且限制内容分发系统的活动,使得内容分发系统不会重复查询相同的布隆过滤器来收集比执行内容分发所需更多的信息。
在步骤8中,内容分发系统和/或隐私服务器对接收到的布隆过滤器进行解密。例如,DCDS 110和/或隐私服务器120可以使用其私钥来解密浏览器107使用DCDS 110/隐私服务器120的公钥加密的布隆过滤器。
在可选的步骤9中,如果隐私服务器独立于内容分发系统,则隐私服务器通过使用布隆过滤器和内容请求时间戳咨询其隐私服务器存储来实施频率控制规则。时间戳可用于检测内容分发系统的潜在滥用。例如,隐私服务器120可以确定特定的布隆过滤器已经被内容分发系统查询超过阈值次数,并且确定该内容分发正在从事可疑或欺诈活动。
在步骤9中,内容分发系统或隐私服务器通过查询布隆过滤器来实施频率控制规则。例如,DCDS 110和/或隐私服务器120可以使用布隆过滤器来确定内容项是否有资格在用户设备106上显示。在一个示例中,频率控制规则包括限制特定内容项在过去M分钟内被提供超过N次。DCDS 110和/或隐私服务器120可以确定,例如,由来自DCDS 110提供的列表的投标所指示的特定内容项在过去25分钟内已经被提供少于2次,因此该特定内容项是有资格的。
在步骤10中,内容分发系统和/或隐私服务器选择在使用布隆过滤器咨询其数据库之后仍然有资格的排名最高的投标。例如,隐私服务器120可以根据应用于隐私服务器数据库122的布隆过滤器,从在步骤7中接收的列表中选择保持有资格的最高投标。
该方法继续由隐私服务器执行的可选步骤11。在步骤11中,隐私服务器将所选择的仍然有资格在用户设备上显示的排名最高的投标发送到内容分发系统。例如,隐私服务器120可以将所选择的仍然有资格在用户设备106上显示的排名最高的投标发送给DCDS110。
该方法继续由内容分发系统执行的步骤12。在步骤12中,内容分发系统向用户设备发送数据,该数据便于在用户设备处显示与由隐私服务器提供的所选择的排名最高的投标相关联的内容项。例如,DCDS 110向用户设备106发送数据,该数据有助于在用户设备106处在浏览器107中显示与由隐私服务器120提供的所选择的排名最高的投标相关联的内容项。
在一些实施方式中,可以有频率上限的分级应用,其中内容分发系统的不同级别可以应用频率上限。例如,可以在组级别、活动级别和活动组级别应用频率控制。在一些实施方式中,当特定内容项显示在用户设备处时,内容项脚本指示浏览器更新所有适用级别的频率计数。在一些实施方式中,内容项请求布隆过滤器可以将已经达到频率上限的所有组、活动和活动组包含为没有资格。
在一些实施方式中,可能存在频率控制规则的类别范围的应用。可以有一个行业范围的分类法,其自然的分级与特定行业中用户的期望相匹配。当用户表示对来自一个内容提供商的一个内容项不感兴趣时,浏览器可以将用户频率控制反馈编码在嵌入在提供给内容分发系统的内容项请求中的布隆过滤器中。例如,如果用户表示他们不想再看到任何与鸟类相关的内容项,所有内容提供商都可以被阻止向特定用户的浏览器提供与信天翁相关的内容项。因此,本文描述的创新过程减少了用于向不太可能参与或其用户体验可能被削弱的用户提供内容的资源。
用于用户数据收集和分析的创新技术提供了各种选项,以实现期望的隐私保护级别,同时对内容提供商和内容分发系统的影响最小。此外,该过程的高效特性为行业带来了合理的采用成本。这些技术适用于用户的隐私偏好和内容提供商的分发偏好。例如,在一个特定实施方式中,浏览器可以(1)确定何时以及如何随机扩展没有资格被提供的内容项的集合和/或该集合的大小,(2)为布隆过滤器选择适当的布隆过滤器算法和假阳性率,再次随机扩展没有资格被提供的内容项的集合,以及(3)选择是否采用独立的隐私服务器,例如隐私服务器120,来进一步模糊没有资格被提供的内容项的集合,从而进一步保护用户隐私。
图3描绘了图1的示例环境中的用于数据收集和分析的隐私保护方法的数据流300。数据流300的操作由系统100的各种组件执行。例如,数据流200的操作可以由与用户设备106通信的DCDS 110和隐私服务器120来执行。
该流程从步骤A开始,其中用户设备106接收交互数据,该交互数据指示由用户设备106的用户执行的交互并触发对内容项的请求。例如,用户设备106可以从浏览器107接收用户已经点击了提供与小动物相关的内容的网页的交互通知。
流程继续步骤B,其中浏览器107生成对内容的请求,并将该请求提供给DCDS 110。例如,浏览器107可以生成对要在用户设备106上显示的内容的请求108。如上所述,浏览器107还可以基于用户设备106的用户和网页的频率控制规则来生成布隆过滤器,并使用隐私服务器120的私钥来加密布隆过滤器。例如,浏览器107可以选择布隆过滤器的类型,选择布隆过滤器的假阳性率,并构建布隆过滤器。浏览器107还记录指示生成内容项请求的时间的时间戳。浏览器107可以将包括加密的布隆过滤器和时间戳的消息连同对内容的请求108一起发送给DCDS 110。
流程继续步骤C,在该步骤中,DCDS 110响应于对内容项的请求,执行内容项拍卖过程,以征求和接收对在用户设备106处提供内容的投标。例如,DCDS 110可以执行如上参考图2所述的步骤4-6。
流程继续步骤D,其中DCDS 110请求将频率控制规则应用于从拍卖过程中选择的最高投标响应。例如,DCDS 110可以向隐私服务器120发送应用频率控制的请求。该请求包括排名最高的投标的列表、加密的布隆过滤器和时间戳。例如,列表可以包括排名前3的投标。
流程继续步骤E,在该步骤中,DCDS 110将频率控制规则应用于排名最高的投标的列表。例如,DCDS 110可以使用其私钥解密由浏览器107使用DCDS 110的公钥加密的加密的布隆过滤器。然后,DCDS 110可以对排名最高的投标的列表应用频率控制。在一些实施方式中,隐私服务器120执行步骤E。隐私服务器120可以与DCDS 110分离。在一些实施方式中,隐私服务器120是DCDS 110的一部分,并且确保DCDS 110不会重复查询相同的布隆过滤器来收集比执行内容分发所需更多的信息。
流程继续步骤F,在该步骤中,隐私服务器120从未被确定为没有资格的剩余投标中选择最高投标,并将该投标返回给DCDS 110。例如,隐私服务器120可以从基于布隆过滤器的查询未被确定为没有资格的两个投标中识别最高投标,并将该投标返回给DCDS 110。
该流程以步骤G结束,在步骤G中,DCDS 110发送数据,该数据有助于在用户设备106处显示与由隐私服务器120所识别的投标相关联的内容项。例如,DCDS 110可以发送对用户设备106的请求108的回复114。回复114包括数据,该数据有助于在用户设备106处显示与由隐私服务器120所识别的投标相关联的内容项。例如,内容项可以是数字组件,在用户设备106的用户正在查看与小动物相关的网页的情况下,该数字组件是要在浏览器107中显示的可爱小狗的视频,。
图4是使用空间高效的概率数据结构进行数据收集和分析的隐私保护过程的示例过程的流程图。在一些实施方式中,过程400可以由一个或多个系统来执行。例如,过程400可以由图1-3的DCDS 110、隐私服务器120和/或(多个)用户设备106来实施。在一些实施方式中,过程400可以被实施为存储在非暂时性计算机可读介质上的指令,并且当这些指令被一个或多个服务器执行时,可以使得一个或多个服务器执行过程400的操作。
过程400开始于由数据处理装置从内容分发系统接收消息,该消息包括(i)表示不应该提供给用户设备的内容项集合的加密概率数据结构,(ii)可以提供给用户设备的内容项的内容项数据,以及(iii)对基于概率数据结构确定任何内容项数据是否无效的请求(402)。例如,隐私服务器120可以从DCDS110接收消息,该消息包括加密的布隆过滤器、投标的集合、以及对通过确定集合中的投标是否对应于频率超限或已经被用户静音的内容项来对内容分发过程应用频率控制的请求。
在一些实施方式中,消息包括内容请求何时被做出的时间戳。例如,消息可以包括浏览器107何时生成对内容108的请求的时间戳。
在一些实施方式中,由布隆过滤器表示的不应该提供给用户设备的内容项集合包括(1)不应该提供给用户设备的第一内容项集合和(2)随机选择的第二内容项集合的并集。例如,不应该提供给用户设备106的内容项集合D可以包括(1)频率超限或已经被用户静音的内容项,以及(2)随机选择以添加噪声的内容项。
在一些实施方式中,如上所述,布隆过滤器特定于用户设备、网页或对向用户设备提供内容的请求。在一些实施方式中,布隆过滤器特定于用户设备的浏览器或OS。
内容项集合中的每个内容项投标可以使用全局唯一标识符来标识内容项,全局唯一标识符基于内容提供商的域、在每个内容提供商内唯一的内容项标识符、内容提供商的秘密密钥、通过信任令牌生成的浏览器的公钥或上述信息的子集使用加密散列函数生成。例如,每个内容项投标可以包括与该投标相关联的内容项的全局唯一活动ID,其中该全局唯一活动ID基于内容提供商的域和对于内容提供商唯一的内容项标识符使用HMAC SHA-256生成。
过程400继续,由数据处理装置使用仅由数据处理装置持有的私钥来解密使用对应于私钥的公钥加密的加密概率数据结构(404)。例如,如果加密的布隆过滤器是使用隐私服务器120的公钥加密的,则隐私服务器120可以使用其私钥解密加密的布隆过滤器。
过程400继续,针对内容项中的给定内容项,由数据处理装置使用解密的概率数据结构确定因为给定内容项可能在由解密的概率数据结构表示的不应该提供给用户设备的内容项集合中,所以给定内容项的内容项数据无效(406)。例如,隐私服务器120可以基于布隆过滤器和查询隐私服务器数据库122来确定排名最高的投标的列表中的内容项投标与没有资格在用户设备106处显示的内容项相关联,因为该内容项可能在布隆过滤器所表示的集合中。
在一些实施方式中,确定因为给定内容项可能在由解密的概率数据结构表示的不应该提供给用户设备的内容项集合中,所以给定内容项的内容项数据无效,还包括,由数据处理装置使用布隆过滤器或其他概率来查询可由数据处理装置独占地访问的加密数据库,并且数据处理装置是独立于内容分发系统和内容提供商的服务器,内容提供商提供(i)不应该提供给用户设备的内容项集合和(ii)可以提供给用户设备的内容项。
在一些实施方式中,确定内容项投标无效包括基于时间戳确定布隆过滤器是陈旧的。例如,隐私服务器120可以基于时间戳来确定布隆过滤器是陈旧的,或者基于隐私服务器数据库122中的先前查询记录来确定内容分发系统已经过度查询了相同的布隆过滤器。隐私服务器120然后可以确定该内容项没有资格提供给用户。
过程400继续,由数据处理装置从内容项数据中移除被确定为无效的给定内容项的内容项数据(408)。例如,隐私服务器120可以移除针对被确定为没有资格提供给用户设备106的用户的内容项的投标。
过程400结束于响应于对向用户设备提供内容的请求,由数据处理装置阻止包括给定内容项的一个或多个内容项的集合的分发(410)。例如,隐私服务器120仅在与投标相关联的内容项没有被确定为没有资格时才选择内容项投标作为获胜投标。因此,隐私服务器120阻止由于频率上限、用户静音、随机噪声或布隆过滤器假阳性而被确定为没有资格的任何内容项的分发。在一些实施方式中,阻止内容集合的分发包括避免向用户提供指定类型的内容。在一些实施方式中,阻止内容项集合的分发包括避免向用户提供具有指定类型的内容的内容项,并且该内容项集合中的每个内容项由不同的内容提供商提供,使得来自不同内容提供商的具有共同类型的内容项可以各自被阻止分发给用户。例如,如果隐私服务器120确定与快餐食品相关的内容项由于频率上限而没有资格提供给用户,则隐私服务器120可以阻止与其他快餐食品相关的其他内容项被提供给用户设备106的用户,因为与快餐食品相关的更多内容项对于用户可能是令人厌烦的,并且用户可能不会与该内容交互或者甚至不会查看该内容。
图5是可用于执行上述操作的示例计算机系统500的框图。系统500包括处理器510、存储器520、存储设备530和输入/输出设备540。组件510、520、530和540中的每一个都可以例如使用系统总线550来互连。处理器510能够处理在系统500内执行的指令。在一个实施方式中,处理器510是单线程处理器。在另一实施方式中,处理器510是多线程处理器。处理器510能够处理存储在存储器520或存储设备530中的指令。
存储器520存储系统500内的信息。在一种实施方式中,存储器520是计算机可读介质。在一个实施方式中,存储器520是易失性存储器单元。在另一实施方式中,存储器520是非易失性存储器单元。
存储设备530能够为系统500提供大容量存储。在一个实施方式中,存储设备530是计算机可读介质。在各种不同的实施方式中,存储设备530可以包括例如硬盘设备、光盘设备、由多个计算设备通过网络共享的存储设备(例如,云存储设备)或一些其他大容量存储设备。
输入/输出设备540为系统500提供输入/输出操作。在一个实施方式中,输入/输出设备540可以包括一个或多个网络接口设备,例如以太网卡、串行通信设备,例如RS-232端口,和/或无线接口设备,例如802.11卡。在另一实施方式中,输入/输出设备可以包括被配置成接收输入数据并将输出数据发送到其他输入/输出设备(例如,键盘、打印机和显示设备560)的驱动设备。然而,也可以使用其他实施方式,诸如移动计算设备、移动通信设备、机顶盒电视客户端设备等。
尽管在图5中描述了示例处理系统,但是本说明书中描述的主题和功能操作的实施方式可以在其他类型的数字电子电路中,或者在计算机软件、固件或硬件(包括本说明书中公开的结构及其结构等同物)中,或者在它们中的一个或多个的组合中实施。
媒体不一定对应于文件。媒体可以存储在保存其他文档的文件的部分中,存储在专用于所讨论的文档的单个文件中,或者存储在多个协同文件中。
本说明书中描述的主题和操作的实施例可以在数字电子电路中,或者在计算机软件、固件或硬件(包括本说明书中公开的结构及其结构等同物)中,或者在它们中的一个或多个的组合中实施。本说明书中描述的主题的实施例可以被实施为一个或多个计算机程序,即一个或多个计算机程序指令模块,其被编码在计算机存储介质(或介质)上,用于由数据处理装置执行或控制数据处理装置的操作。替代地或附加地,程序指令可以被编码在人工生成的传播信号上,例如,机器生成的电、光或电磁信号,其被生成以编码信息以传输到合适的接收器装置,以由数据处理装置执行。计算机存储介质可以是或被包括在计算机可读存储设备、计算机可读存储基底、随机或串行存取存储器阵列或设备、或者它们中的一个或多个的组合中。此外,虽然计算机存储介质不是传播信号,但是计算机存储介质可以是编码在人工生成的传播信号中的计算机程序指令的源或目的地。计算机存储介质也可以是或被包括在一个或多个单独的物理组件或介质(例如,多个CD、盘或其他存储设备)中。
本说明书中描述的操作可以被实施为由数据处理装置对存储在一个或多个计算机可读存储设备上或从其他源接收的数据执行的操作。
术语“数据处理装置”包含用于处理数据的所有种类的装置、设备和机器,包括例如可编程处理器、计算机、片上系统或前述的多个或组合。该装置可以包括专用逻辑电路,例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)。除了硬件之外,该装置还可以包括为所讨论的计算机程序创建执行环境的代码,例如,构成处理器固件、协议栈、数据库管理系统、操作系统、跨平台运行时环境、虚拟机或它们中的一个或多个的组合的代码。该装置和执行环境可以实现各种不同的计算模型基础设施,诸如web服务、分布式计算和网格计算基础设施。
计算机程序(也称为程序、软件、软件应用、脚本或代码)可以用任何形式的编程语言编写,包括编译或解释语言、声明或过程语言,并且它可以以任何形式部署,包括作为独立程序或作为模块、组件、子例程、对象或适合在计算环境中使用的其他单元。计算机程序可以但不需要对应于文件系统中的文件。程序可以存储在保存其他程序或数据的文件的部分中(例如,存储在标记语言文档中的一个或多个脚本),存储在专用于所讨论的程序的单个文件中,或者存储在多个协作文件中(例如,存储一个或多个模块、子程序或代码部分的文件)。计算机程序可以被部署以在一台计算机或位于一个地点或跨多个地点分布并通过通信网络互连的多台计算机上执行。
本说明书中描述的过程和逻辑流程可以由执行一个或多个计算机程序的一个或多个可编程处理器来执行,以通过对输入数据进行操作并生成输出来执行动作。过程和逻辑流程也可以由专用逻辑电路来执行,并且装置也可以被实施为专用逻辑电路,例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)。
举例来说,适于执行计算机程序的处理器包括通用和专用微处理器。通常,处理器将从只读存储器或随机存取存储器或两者接收指令和数据。计算机的基本元件是用于根据指令执行动作的处理器和用于存储指令和数据的一个或多个存储器设备。通常,计算机还将包括或可操作地耦合到一个或多个用于存储数据的大容量存储设备,例如磁盘、磁光盘或光盘,以从该大容量存储设备接收数据或向其传送数据,或两者兼有。然而,计算机不需要有这样的设备。此外,计算机可以嵌入在另一个设备中,例如,移动电话、个人数字助理(PDA)、移动音频或视频播放器、游戏控制台、全球定位系统(GPS)接收器或便携式存储设备(例如,通用串行总线(USB)闪存驱动器)等等。适于存储计算机程序指令和数据的设备包括所有形式的非易失性存储器、介质和存储器设备,包括例如半导体存储器设备,例如EPROM、EEPROM和闪存设备;磁盘,例如内部硬盘或可移动磁盘;磁光盘;以及CD-ROM和DVD-ROM盘。处理器和存储器可以由专用逻辑电路来补充或并入其中。
为了提供与用户的交互,本说明书中描述的主题的实施例可以在计算机上实施,该计算机具有用于向用户显示信息的显示设备(例如CRT(阴极射线管)或LCD(液晶显示器)监视器)以及用户可以用来向计算机提供输入的键盘和定点设备(例如鼠标或轨迹球)。也可以使用其他类型的设备来提供与用户的交互;例如,提供给用户的反馈可以是任何形式的感觉反馈,例如视觉反馈、听觉反馈或触觉反馈;并且可以以任何形式接收来自用户的输入,包括声音、语音或触觉输入。此外,计算机可以通过向用户使用的设备发送文档和从用户使用的设备接收文档来与用户交互;例如,通过响应于从web浏览器接收的请求,向用户的客户端设备上的web浏览器发送网页。
本说明书中描述的主题的实施例可以在计算系统中实施,该计算系统包括后端组件(例如作为数据服务器),或者包括中间件组件(例如应用服务器),或者包括前端组件(例如具有用户通过其可以与本说明书中描述的主题的实施方式进行交互的图形用户界面或Web浏览器的客户端计算机),或者包括一个或多个这样的后端、中间件或前端组件的任何组合。该系统的组件可以通过任何形式或介质的数字数据通信(例如通信网络)来互连。通信网络的示例包括局域网(“LAN”)和广域网(“WAN”)、互联网(例如,因特网)和对等网络(例如,自组织对等网络)。
计算系统可以包括客户端和服务器。客户端和服务器通常彼此远离,并且通常通过通信网络进行交互。客户端和服务器的关系是由于在各自的计算机上运行的计算机程序而产生的,并且彼此具有客户端-服务器关系。在一些实施例中,服务器将数据(例如,HTML页面)发送到客户端设备(例如,为了向与客户端设备交互的用户显示数据并从其接收用户输入)。在客户端设备处生成的数据(例如,用户交互的结果)可以在服务器处从客户端设备接收。
虽然本说明书包含许多具体的实施细节,但是这些不应该被解释为对任何发明的范围或可能要求保护的范围的限制,而是对特定于特定发明的特定实施例的特征的描述。本说明书中在分离实施例的上下文中描述的某些特征也可以在单个实施例中组合实施。相反,在单个实施例的上下文中描述的各种特征也可以在多个实施例中单独或以任何合适的子组合来实施。此外,尽管特征可能在上面被描述为在某些组合中起作用,并且甚至最初被如此要求保护,但是来自所要求保护的组合的一个或多个特征在一些情况下可以从该组合中删除,并且所要求保护的组合可以被指向子组合或子组合的变体。
类似地,虽然在附图中以特定的顺序描述了操作,但是这不应该被理解为要求这些操作以所示的特定顺序或顺序执行,或者要求所有示出的操作都被执行,以获得期望的结果。在某些情况下,多任务和并行处理可能是有利的。此外,上述实施例中的各种系统组件的分离不应被理解为在所有实施例中都需要这样的分离,并且应该理解,所描述的程序组件和系统通常可以一起集成在单个软件产品中或者打包到多个软件产品中。
因此,已经描述了主题的特定实施例。其他实施例在所附权利要求的范围内。在某些情况下,权利要求中所述的动作可以以不同的顺序执行,并且仍能获得期望的结果。此外,附图中描绘的过程不一定需要所示的特定顺序或连续顺序来实现期望的结果。在某些实施方式中,多任务和并行处理可能是有利的。
Claims (20)
1.一种计算机实施的方法,包括:
由数据处理装置从内容分发系统接收消息,所述消息包括(i)表示不应该提供给用户设备的内容项集合的概率数据结构,(ii)可以提供给所述用户设备的内容项的内容项数据,以及(iii)对基于所述概率数据结构确定任何内容项数据是否无效的请求;
对于所述内容项中的给定内容项,由所述数据处理装置使用所述概率数据结构确定因为所述给定内容项可能在由所述概率数据结构表示的不应该提供给所述用户设备的内容项集合中,所以所述给定内容项的内容项数据无效,包括:
由所述数据处理装置从所述内容项数据中移除被确定为无效的所述给定内容项的内容项数据;和
响应于对向所述用户设备提供内容的请求,由所述数据处理装置阻止包括所述给定内容项的一个或多个内容项的集合的分发。
2.根据权利要求1所述的方法,其中确定因为所述给定内容项可能在由所述概率数据结构表示的不应该提供给所述用户设备的内容项集合中,所以所述给定内容项的内容项数据无效,还包括:
由所述数据处理装置查询所述概率数据结构,所述概率数据结构提供(i)不应给呈现给用户设备的内容项集合,以及(ii)可以呈现给所述用户设备的内容项;和
其中所述数据处理装置是独立于所述内容分发系统和内容提供商的服务器,所述内容提供商提供(i)不应该提供给用户设备的内容项集合和(ii)可以提供给所述用户设备的内容项。
3.根据任一前述权利要求所述的方法,还包括:
由所述数据处理装置使用仅由所述数据处理装置持有的私钥解密所述概率数据结构,
其中所述概率数据结构是使用对应于所述私钥的公钥加密的。
4.根据任一前述权利要求所述的方法,其中所述概率数据结构是布隆过滤器,所述布隆过滤器特定于以下之一:所述用户设备、网页、出版商网站或对向所述用户设备提供内容的请求。
5.根据任一前述权利要求所述的方法,其中由所述概率数据结构表示的不应该提供给用户设备的内容项集合包括以下的并集:(1)不应该提供给用户设备的第一内容项集合和(2)随机选择的第二内容项集合。
6.根据任一前述权利要求所述的方法,其中阻止内容项集合的分发包括避免向用户提供具有指定类型的内容的内容项。
7.根据任一前述权利要求所述的方法,其中所述内容项中的每一个的内容项数据包括使用散列函数基于以下至少一项生成的全局唯一标识符:所述内容提供商的域、在每个内容提供商内唯一的内容项标识符、所述内容提供商的秘密密钥、通过信任令牌生成的浏览器的公钥。
8.一种系统,包括:
一个或多个处理器;和
一个或多个存储器元件,包括当被执行时使所述一个或多个处理器执行操作的指令,所述操作包括:
由所述一个或多个处理器从内容分发系统接收消息,所述消息包括(i)表示不应该提供给用户设备的内容项集合的概率数据结构,(ii)可以提供给所述用户设备的内容项的内容项数据,以及(iii)对基于所述概率数据结构确定任何内容项数据是否无效的请求;
对于所述内容项中的给定内容项,由所述一个或多个处理器使用所述概率数据结构确定因为所述给定内容项可能在由所述概率数据结构表示的不应该提供给所述用户设备的内容项集合中,所以所述给定内容项的内容项数据无效,包括:
由所述一个或多个处理器从所述内容项数据中移除被确定为无效的所述给定内容项的内容项数据;和
响应于对向所述用户设备提供内容的请求,由所述一个或多个处理器阻止包括所述给定内容项的一个或多个内容项的集合的分发。
9.根据权利要求8所述的系统,其中确定因为所述给定内容项可能在由所述概率数据结构表示的不应该提供给所述用户设备的内容项集合中,所以所述给定内容项的内容项数据无效,还包括:
由所述一个或多个处理器查询可由数据处理装置独占地访问的加密数据库;和
其中所述一个或多个处理器是独立于所述内容分发系统和内容提供商的服务器,所述内容提供商提供(i)不应该提供给用户设备的内容项集合,以及(ii)可以提供给所述用户设备的内容项。
10.根据权利要求8或9所述的系统,还包括:
由所述一个或多个处理器使用仅由所述一个或多个处理器持有的私钥解密所述概率数据结构,
其中所述概率数据结构是使用对应于所述私钥的公钥加密的。
11.根据权利要求8至10中任一项所述的系统,其中所述概率数据结构是布隆过滤器,所述布隆过滤器特定于以下之一:所述用户设备、网页、出版商网站或对向所述用户设备提供内容的请求。
12.根据权利要求8至11中任一项所述的系统,其中由所述概率数据结构表示的不应该提供给用户设备的内容项集合包括以下的并集:(1)不应该提供给用户设备的第一内容项集合和(2)随机选择的第二内容项集合。
13.根据权利要求8至12中任一项所述的系统,其中阻止内容项集合的分发包括避免向用户提供具有指定类型的内容的内容项。
14.根据权利要求8至13中任一项所述的系统,其中所述内容项中的每一个的内容项数据包括使用散列函数基于以下至少一项生成的全局唯一标识符:所述内容提供商的域、在每个内容提供商内唯一的内容项标识符、所述内容提供商的秘密密钥、通过信任令牌生成的浏览器的公钥。
15.一种编码有指令的非暂时性计算机存储介质,当由分布式计算系统执行时,所述指令使得所述分布式计算系统执行操作,所述操作包括:
由一个或多个处理器从内容分发系统接收消息,所述消息包括(i)表示不应该提供给用户设备的内容项集合的概率数据结构,(ii)可以提供给所述用户设备的内容项的内容项数据,以及(iii)对基于所述概率数据结构确定任何内容项数据是否无效的请求;
对于所述内容项中的给定内容项,由所述一个或多个处理器使用所述概率数据结构确定因为所述给定内容项可能在由所述概率数据结构表示的不应该提供给所述用户设备的内容项集合中,所以所述给定内容项的内容项数据无效,包括:
由所述一个或多个处理器从所述内容项数据中移除被确定为无效的所述给定内容项的内容项数据;和
响应于对向所述用户设备提供内容的请求,由所述一个或多个处理器阻止包括所述给定内容项的一个或多个内容项的集合的分发。
16.根据权利要求15所述的非暂时性计算机存储介质,其中确定因为所述给定内容项可能在由所述概率数据结构表示的不应该提供给所述用户设备的内容项集合中,所以所述给定内容项的内容项数据无效,还包括:
由所述一个或多个处理器查询可由数据处理装置独占地访问的加密数据库;和
其中所述一个或多个处理器是独立于所述内容分发系统和内容提供商的服务器,所述内容提供商提供(i)不应该提供给用户设备的内容项集合,以及(ii)可以提供给所述用户设备的内容项。
17.根据权利要求15或16所述的非暂时性计算机存储介质,还包括:
由所述一个或多个处理器使用仅由所述一个或多个处理器持有的私钥解密所述概率数据结构,
其中所述概率数据结构是使用对应于所述私钥的公钥加密的。
18.根据权利要求15至17中任一项所述的非暂时性计算机存储介质,其中,所述概率数据结构是布隆过滤器,所述布隆过滤器特定于以下之一:所述用户设备、网页、出版商网站或对向所述用户设备提供内容的请求。
19.根据权利要求15至18中任一项所述的非暂时性计算机存储介质,其中由所述概率数据结构表示的不应该提供给用户设备的内容项集合包括以下的并集:(1)不应该提供给用户设备的第一内容项集合和(2)随机选择的第二内容项集合。
20.根据权利要求15至19中任一项所述的非暂时性计算机存储介质,其中阻止内容项集合的分发包括避免向用户提供具有指定类型的内容的内容项。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IL276076A IL276076A (en) | 2020-07-15 | 2020-07-15 | Maintaining privacy in data collection and analysis |
| IL276076 | 2020-07-15 | ||
| PCT/US2021/017069 WO2022015371A1 (en) | 2020-07-15 | 2021-02-08 | Privacy preserving data collection and analysis |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114631092A true CN114631092A (zh) | 2022-06-14 |
Family
ID=79555835
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180006062.1A Pending CN114631092A (zh) | 2020-07-15 | 2021-02-08 | 隐私保护数据收集和分析 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US12111950B2 (zh) |
| EP (1) | EP4022468A1 (zh) |
| JP (1) | JP7301223B2 (zh) |
| KR (1) | KR20220061239A (zh) |
| CN (1) | CN114631092A (zh) |
| IL (1) | IL276076A (zh) |
| WO (1) | WO2022015371A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117194803A (zh) * | 2023-11-07 | 2023-12-08 | 人民法院信息技术服务中心 | 一种用户隐私增强的序列推荐方法、装置及设备 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20240305448A1 (en) * | 2023-03-10 | 2024-09-12 | Verkada Inc. | Method and apparatus for improved video information security against unauthorized access |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7548908B2 (en) * | 2005-06-24 | 2009-06-16 | Yahoo! Inc. | Dynamic bloom filter for caching query results |
| US8560558B2 (en) * | 2010-04-28 | 2013-10-15 | Fujitsu Limited | Computer product, search apparatus, management apparatus, search method, and management method |
| WO2014020605A1 (en) * | 2012-07-31 | 2014-02-06 | Sqream Technologies Ltd | A method for pre-processing and processing query operation on multiple data chunk on vector enabled architecture |
| JP2014033256A (ja) | 2012-08-01 | 2014-02-20 | Soka Univ | 広告配信ネットワーク |
| US9535658B2 (en) * | 2012-09-28 | 2017-01-03 | Alcatel Lucent | Secure private database querying system with content hiding bloom filters |
| US9477635B1 (en) * | 2012-12-03 | 2016-10-25 | Google Inc. | Generating an identifier for a device using application information |
| US10445769B2 (en) | 2013-12-24 | 2019-10-15 | Google Llc | Systems and methods for audience measurement |
| US9742775B2 (en) * | 2014-07-01 | 2017-08-22 | Google Inc. | Wireless local area network access |
| US10108817B2 (en) | 2014-09-26 | 2018-10-23 | Microsoft Technology Licensing, Llc | Privacy-preserving cookies for personalization without user tracking |
| US10833847B2 (en) * | 2017-02-28 | 2020-11-10 | Google Llc | Cryptographic hash generated using data parallel instructions |
| US10587648B2 (en) * | 2017-04-13 | 2020-03-10 | International Business Machines Corporation | Recursive domain name service (DNS) prefetching |
| US20200027125A1 (en) * | 2018-07-18 | 2020-01-23 | Triapodi Ltd. | Real-time selection of targeted advertisements by target devices while maintaining data privacy |
| US11347808B1 (en) * | 2018-12-03 | 2022-05-31 | Amazon Technologies, Inc. | Dynamically-adaptive bloom-filter |
| FR3104296A1 (fr) * | 2019-12-06 | 2021-06-11 | Amadeus | Système de determination de produit optimisé |
-
2020
- 2020-07-15 IL IL276076A patent/IL276076A/en unknown
-
2021
- 2021-02-08 WO PCT/US2021/017069 patent/WO2022015371A1/en unknown
- 2021-02-08 JP JP2022523695A patent/JP7301223B2/ja active Active
- 2021-02-08 US US17/763,492 patent/US12111950B2/en active Active
- 2021-02-08 EP EP21708888.9A patent/EP4022468A1/en not_active Withdrawn
- 2021-02-08 KR KR1020227012623A patent/KR20220061239A/ko unknown
- 2021-02-08 CN CN202180006062.1A patent/CN114631092A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117194803A (zh) * | 2023-11-07 | 2023-12-08 | 人民法院信息技术服务中心 | 一种用户隐私增强的序列推荐方法、装置及设备 |
| CN117194803B (zh) * | 2023-11-07 | 2024-01-23 | 人民法院信息技术服务中心 | 一种用户隐私增强的序列推荐方法、装置及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20220061239A (ko) | 2022-05-12 |
| US20220374546A1 (en) | 2022-11-24 |
| IL276076A (en) | 2022-02-01 |
| US12111950B2 (en) | 2024-10-08 |
| EP4022468A1 (en) | 2022-07-06 |
| JP7301223B2 (ja) | 2023-06-30 |
| WO2022015371A1 (en) | 2022-01-20 |
| JP2023503802A (ja) | 2023-02-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8892685B1 (en) | Quality score of content for a user associated with multiple devices | |
| US20210336937A1 (en) | Domain specific browser identifiers as replacement of browser cookies | |
| JP7238213B2 (ja) | コンテンツ選択プロセスの完全性を改善するためのセキュアマルチパーティ計算の使用 | |
| US10460098B1 (en) | Linking devices using encrypted account identifiers | |
| US12111950B2 (en) | Privacy preserving data collection and analysis | |
| JP2023089216A (ja) | データ配布制限のセキュアな管理 | |
| JP7015400B2 (ja) | 自己認証ドメイン固有のブラウザ識別子 | |
| US11379604B2 (en) | Systems and methods for encryption of content request data | |
| US20220122121A1 (en) | Combating false information with crowdsourcing | |
| JP7279209B2 (ja) | 不正行為の検出のためのクロスドメイン頻度フィルタ | |
| US20230299960A1 (en) | Localized cryptographic techniques for privacy protection | |
| EP4022482B1 (en) | Protecting access to information in online interactions | |
| US20240320370A1 (en) | Enhancing user privacy using non-unique user identifiers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |