CN114911763A - 存储包含个人数据的媒体和擦除个人数据的设备和方法 - Google Patents

存储包含个人数据的媒体和擦除个人数据的设备和方法 Download PDF

Info

Publication number
CN114911763A
CN114911763A CN202210114247.0A CN202210114247A CN114911763A CN 114911763 A CN114911763 A CN 114911763A CN 202210114247 A CN202210114247 A CN 202210114247A CN 114911763 A CN114911763 A CN 114911763A
Authority
CN
China
Prior art keywords
personal data
identifier
file
item
memory
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210114247.0A
Other languages
English (en)
Inventor
丹尼尔·法尔克
拉尔夫·贝格尔·托雷斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Axis AB
Original Assignee
Axis AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Axis AB filed Critical Axis AB
Publication of CN114911763A publication Critical patent/CN114911763A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/17Details of further file system functions
    • G06F16/172Caching, prefetching or hoarding of files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/16File or folder operations, e.g. details of user interfaces specifically adapted to file systems
    • G06F16/162Delete operations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/17Details of further file system functions
    • G06F16/176Support for shared access to files; File sharing support
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0646Horizontal data movement in storage systems, i.e. moving data in between storage devices or systems
    • G06F3/0652Erasing, e.g. deleting, data cleaning, moving of data to a wastebasket
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • G06F3/0679Non-volatile semiconductor memory device, e.g. flash memory, one time programmable memory [OTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Medical Informatics (AREA)
  • Data Mining & Analysis (AREA)
  • Human Computer Interaction (AREA)
  • Storage Device Security (AREA)

Abstract

一种存储包含个人数据的媒体和擦除个人数据的设备和方法。用于存储包含个人数据的文件的方法包括:获取个人的临时匿名标识符(AnonID.m),该临时匿名标识符(AnonID.m)取决于文件的令牌(FileID.m);从该文件中提取与个人相关联的个人数据项;对于每个个人数据项,生成允许个人数据项被恢复到文件中的定位符(Loc.m.n)以及个人的特定项匿名标识符(AnonID.m.n),其中,特定项匿名标识符通过将预定义单向函数应用于临时匿名标识符(AnonID.m)和个人数据项的标识符(n)的组合来生成;将每个个人数据项与定位符和特定项匿名标识符一起存储在第一存储器(421)中;以及将文件的不具有个人数据项的匿名版本存储在第二存储器(422)中。

Description

存储包含个人数据的媒体和擦除个人数据的设备和方法
技术领域
本公开涉及用于安全存储和重新生成包含个人数据的媒体并根据请求可靠地擦除这样的个人数据的技术。
背景技术
本发明解决包含个人数据和其他数据的混合的媒体的存储,并且特别寻求提出这样的技术,该技术满足诸如关于在个人数据的处理方面保护自然人以及关于这样的数据的自由移动的条例(EU)2016/679(通用数据保护条例GDPR)、中国网络安全法、加利福尼亚州消费者隐私法案以及其他美国联邦和州法律的法律文书中规定的特征的隐私保护。根据GDPR,每个人都有权在任何时候要求完全删除他或她存储的个人数据。这被称为数据主体的擦除权,或者“被遗忘权”。然而,在现有技术中,被遗忘权可能与数据版本控制(长期管理大型数据集的几乎不可或缺的工具)不兼容。
与诸如文本、图像和视频数据的非离散媒体的存储有关的特定复杂性出现。在一个场景中,个人(数据主体)先前已经同意公司(数据接收者)存储视频,其中她出现在帧的一小部分中,她联系数据接收者,请求擦除她的个人数据。虽然数据接收者原则上有权保留除了该人出现的那些帧之外的所有帧,但是从数据保护的角度来看,存储用于每个视频帧的个人标识符将是非常有问题的。这是因为存储具有较高关联隐私风险的已识别的个人数据将需要技术布置以确保较高的安全等级,这实际上可能是不实用的。因此,为了满足个人的擦除请求,数据接收者可以选择盲目删除完整的视频序列,这意味着有用数据的大量和不合理的丢失。
发明内容
本公开的一个目的是提供用于存储包含个人数据的文件的方法和设备,使得可以执行数据主体对擦除其个人数据的请求,而不会不必要地删除文件中包含的其他数据。另一个目的是确保具有个人数据的文件被安全存储,直到提出这样的擦除请求,但其形式有利于自身的有效管理和处理。本公开要解决的特定安全方面是防止获得对存储的个人数据的未授权访问的一方识别其所属的数据主体(个人)。特别的效率方面是允许版本控制。本公开的另一个目的是提供用于有效重建具有已经使用本文中提出的技术进行安全存储的个人数据的文件的方法和设备。
根据独立权利要求的本发明实现了这些和其他方面。从属权利要求涉及本发明的有利的实施例。
在本发明的第一方面,提供了一种用于存储包含个人数据的文件的方法,该方法包括:获取个人的临时匿名标识符(AnonID.m),其中,临时匿名标识符(AnonID.m)取决于文件的令牌(FileID.m);从文件中提取与个人相关联的个人数据项;对于每个个人数据项,生成允许个人数据项被恢复到文件中的定位符(Loc.m.n)以及个人的特定项匿名标识符(AnonID.m.n),其中,特定项匿名标识符通过将预定义单向函数应用于临时匿名标识符(AnonID.m)和个人数据项的标识符(n)的组合来生成;将每个个人数据项与定位符和特定项匿名标识符一起存储在第一存储器中;以及将文件的不具有个人数据项的匿名版本存储在第二存储器中。
因为特定项匿名标识符是使用单向函数生成的,所以获得对第一存储器的未授权访问的一方无法容易地将存储的个人数据项归属于个人。未经授权的一方也无法收集与同一个人相关联的所有个人数据项。这可以被认为是文件的一种假名形式。因为文件在存储到第二存储器之前是匿名的,所以该存储器的安全要求可能不如第一存储器严格。因为个人由临时匿名标识符所标识,所以数据接收者可以执行用于存储文件的方法,而无需要求个人共享她自己的非匿名标识符。最后,因为每个个人数据项与特定项匿名标识符一起存储,所以根据请求可以详尽而精确地删除与特定个人相关的所有项。
在第二方面中,提供了一种用于从第一存储器中擦除与个人相关联的个人数据的方法,第一存储器存储个人数据项以及与个人数据项相关联的个人的对应的定位符(Loc.m.n)和特定项匿名标识符(AnonID.m.n),该方法包括:获取个人的私有标识符(PrivID);获取可能已经从中提取个人数据项的所有文件的令牌(FileID.m);对于文件中的每一个,获取与个人相关联并且可能已经从文件中提取的所有个人数据项的标识符(n);通过将预定义单向函数应用于所获取的私有标识符(PrivID)和所获取的文件令牌(FileID.m)的组合来生成个人的临时匿名标识符(AnonID.m);对于个人的每一个生成的临时匿名标识符(AnonID.m),通过将预定义单向函数应用于临时匿名标识符(AnonID.m)和个人数据项的所获取的标识符(n)的组合来生成个人的特定项匿名标识符(AnonID.m.n);以及从第一存储器中擦除与个人的所生成的特定项匿名标识符(AnonID.m.n)中的任何一个匹配的所有个人数据项。
每个个人数据项与特定项匿名标识符一起存储的事实使得可以详尽且精确地定位和擦除与特定个人相关的所有项。根据第二方面的擦除方法不需要修改或者删除从中提取个人数据项的文件的任何匿名版本。这使得数据接收者可以自由决定在个人的个人数据项被擦除之后如何挽回(salvaged)文件以及所挽回的程度。数据接收者可以根据适合于相关数据类型和手边用例的粒度程度决定在擦除之后重构和使用文件的子集。举几个示例,在从图像中擦除个人的面部之后,可以保留图像的裁剪版本以供进一步使用;在从视频序列中的某些帧中擦除个人的面部之后,所有剩余的视频帧(或者每个至少有N个剩余帧的连续视频子序列)可以被保留;在从数据库的行中擦除个人的姓名之后,可以保留数据库的其他行;在从文档中删除个人的凭证后,可以保留文档的其他部分,等。擦除方法本身不会对文件的挽回带来任何重大的技术限制。最后,为了验证该方法的执行已经完全擦除了与个人相关联的所有个人数据,确定没有一个生成的特定项匿名标识符与仍然存储在第一存储器中的任何个人数据项相匹配是足够的。
在第三方面中,提供了一种用于将个人数据恢复到文件中的方法,该方法包括:从存储已经从文件中提取的个人数据项以及与个人数据项相关联的个人的对应的定位符(Loc.m.n)和特定项匿名标识符(AnonID.m.n)的第一存储器中,检索已经从所述文件中提取的那些个人数据项和对应的定位符;从第二存储器中检索文件的不具有个人数据项的匿名版本;以及根据对应的定位符将个人数据项恢复成匿名版本。
因为个人数据项与对应的定位符和特定项匿名标识符一起存储,所以个人数据项可以被正确地恢复到文件的匿名版本中,而不会危及与其相关联的个人的隐私。恢复方法可以由数据接收者执行,而不需要个人共享其本人的非匿名标识符。进一步,因为恢复方法使用文件的匿名版本作为输入,所以即使当一些或者所有个人数据例如根据相关个人的请求而已经从第一存储器中擦除时,该方法也将鲁棒地执行。在这种情况下,更准确地说,该方法可以以这样的方式鲁棒地实现,即它终止以返回可用的(一致的、可读的、可编辑的等)文件版本,在该版本上,从其擦除被擦除的个人数据项的部分没有损坏效果。
当一起使用时,本发明的三个方面通过设计形成具有隐私性的数据存储生态系统。
进一步提供了一种通信地连接到第一存储器和第二存储器并且包括处理电路的设备,该处理电路被布置成执行第一方面、第二方面或者第三方面的方法。此外,本发明涉及一种包含指令的计算机程序,该指令用于使计算机或者特别是该设备执行第一方面、第二方面或者第三方面的方法。计算机程序可以存储或者分布在数据载体上。如本文中所使用的,“数据载体”可以是诸如调制的电磁波或者光波的暂时性的数据载体或者非暂时性的数据载体。非暂时性数据载体包括易失性和非易失性存储器,诸如磁、光或者固态类型的永久和非永久存储介质。这样的存储器可以是固定安装的或者便携式的,仍然在“数据载体”的范围内。
在本公开中,“文件”在广义上用于指代文件系统中任何可独立存储和/或处理的数据集,包括数据库、文件档案或者其他数据存储上下文。为了避免响应擦除请求而不必要地移除数据,数据接收者通常希望尽量小块地(即通常以每个文件的方式)处理包含个人数据的媒体。本发明符合这一期望,因为它在个人的个人数据被擦除之后,不仅允许挽回文件,而且允许挽回文件的子集。重新考虑上文所列出的示例,文件例如可以与图像、视频序列、数据库或者文档相对应。
本公开致力于使用与它们在GDPR的含义一致的术语“个人数据”、“数据主体”(即自然人)、“数据接收者”(即至少向其披露个人数据的一方)和“假名”。因此,“个人数据项”是“个人数据”的项,诸如包含个人的面部的图像的区域、私有拥有的汽车的牌照在其中可见的视频帧、包含个人的姓名的数据库行或者包含个人的凭证的文档的一部分。
通常,权利要求中使用的所有术语应当根据它们在技术领域中的普通含义来解释,除非在本文中另有明确定义。对“一个/该元件、装置、部件、手段、步骤等”的所有引用将被开放式地解释为指代元件、装置、部件、手段、步骤等的至少一个实例,除非另有明确说明。本文中公开的任何方法的步骤不一定以公开的确切顺序执行,除非明确说明。
附图说明
现在参考附图以示例的方式描述各方面和实施例,在附图中:
图1是用于存储包含个人数据的文件的方法的流程图;
图2是用于擦除与个人相关联的个人数据的方法的流程图;
图3是用于将个人数据恢复到存储文件中的方法的流程图;
图4是用于至少执行图1中所图示的方法的设备的功能框图;以及
图5示出了密钥推导结构,其中每个箭头表示单向映射。
具体实施方式
现在将在下文中参照附图更全面地描述本公开的各方面,在附图上示出了本发明的某些实施例。然而,这些方面可以以多种不同的形式实施,并且不应被解释为是限制的;相反,这些实施例是以示例的方式提供的,使得本公开将是彻底和完整的,并且向本领域技术人员充分传达本发明的所有方面的范围。在整个描述中,相同的编号指代相同的元件。
存储包含个人数据的文件
图1图示出用于存储包含个人数据的文件的方法100。方法100可以由已经接收或者生成文件并且已经进一步获取个人同意以将她的个人数据存储在文件中的数据接收者、自然人或者法人或者其代表来执行。同意不仅可以涵盖要存储的文件中的个人数据,还涵盖附加文件。方法100被构思为处理个人撤销她的同意的情况;撤销可以相当于请求完全删除个人的个人数据。
在初始的可选的步骤110中,配置有预定义单向函数的单向函数接口(参见图4,元件490)对个人可用,以允许她基于要存储的文件的私有标识符(PrivID)和令牌(FileID.m)的组合来生成临时匿名标识符(AnonID.m)。单向函数接口可作为本地安装的软件或者在线接口使用,其布局方式使得个人可以生成临时匿名标识符(AnonID.m),而不与数据接收者共享私有标识符(PrivID)。如下面参照图2所解释的,仅当个人希望擦除其个人数据时,才可能需要共享私有标识符(PrivID)。
作为单向函数,方法100的实现可以使用散列函数,特别是提供考虑到要存储的个人数据的敏感性而被认为足够的安全等级的密码散列函数。两个示例是SHA-256和SHA3-512。单向函数应当是预定义的(例如,它应当是可以再次产生的),使得在执行擦除请求时可以重新生成临时匿名标识符(AnonID.m)。
在步骤110中对个人可用的单向函数接口可以进一步允许个人基于个人标识符(ID)生成私有标识符(PrivID)。个人标识符(ID)可以是诸如身份证号码、社保号码、护照号码、姓名和出生日期的组合等的民间或者官方的标识符,其中个人无需主动将其归档即可重构。如果这一优点不被认为是重要的,个人可以向单向函数接口馈送任意的位模式作为私有标识符(PrivID),只要个人确信她可以结合未来的擦除请求来再现该位模式,并且该位模式对于第三方而言相当难以再现的。从个人标识符(ID)到私有标识符(PrivID)的映射可以是与用于将私有标识符(PrivID)映射到临时匿名标识符(AnonID.m)相同的单向函数;可替代地,可以使用不同的单向函数。无论哪种方式,除非个人已经可靠地存储了私有标识符(PrivID),否则她应当确保她将来能够访问相同的一个或多个单向函数,以保持能够命令擦除她的个人数据。
要存储的文件的令牌(FileID.m)是任意的,只要它可以基于关于存储在第二存储器中的文件的信息来重构。令牌(FileID.m)可以是运行的序列号。为了允许追溯枚举(例如,当已经请求擦除时),令牌优选地是离散的量。示例令牌包括文件创建日期、媒体记录数据、(文件的匿名版本的)文件尺寸、文件尺寸在预定义尺寸直方(bins)集合中所属的尺寸直方(例如,在范围[0,10),[10,20),[20,30),…中以MB为单位的尺寸)、文件内容的指纹/摘要、识别文件系统中的文件的文件名等。为了执行个人数据擦除,数据接收者可以通过查询文件系统关于存储在第二存储器中的所有文件来追溯地获取这些令牌的完整值集。如果文件创建日期被用作令牌,则完整值集与文件存储已经进行的数据范围相对应,其例如可以从工作日志中以数字或者非数字格式读取。虽然对本发明而言不是必需的,但是为每个文件使用唯一的令牌(即标识符)是有益的,因为这确保了特定项(item-specific)匿名标识符(AnonID.m.n)之间没有冲突;可替代地,相同的令牌(FileID.m)可以用于存储在相同或者附近时间点的多个文件的簇,使得不需要存储敏感的临时匿名标识符(AnonID.m)。然而,对所有文件使用不变的令牌是不可取的,因为这将意味着所有特定项匿名标识符将属于公共序列,并使存储的个人数据项目的总量的有效记账变得不可能;当请求完全擦除时,这样的记账非常方便。
在第二可选的步骤112中,如果要存储的文件的令牌(FileID.m)对于个人而言是未知的(比如说不同于今天的日期),则它的值可以与个人共享或者可以直接供给到单向函数接口。然后,可以基于私有标识符(PrivID)和令牌(FileID.m)的组合正确地生成临时匿名标识符(AnonID.m)。方法100可以包括步骤110或者步骤112,或者这两个步骤的组合,或者都不包括。
在方法100的下一步骤114中,获取个人的临时匿名标识符(AnonID.m)。临时匿名标识符(AnonID.m)随文件的令牌(FileID.m)而变化。获取临时匿名标识符(AnonID.m)的优选方式是从个人接收它;以这种方式,个人不需要与执行方法100的数据接收者共享私有或者个人标识符。
步骤116中,提取与个人相关联的个人数据项。
步骤118中,对于在步骤116中提取的每个个人数据项,生成个人的定位符(Loc.m.n)和特定项匿名标识符(AnonID.m.n)。
定位符(Loc.m.n)允许将个人数据项恢复到文件中。它的结构可以取决于文件所涉及的媒体类型。如果个人数据项是图像的区域,则定位符(Loc.m.n)可以例如根据它的边界框坐标指示图像中的该区域。对于视频数据,允许恢复帧中与个人的面部或者她的汽车牌照相对应的所提取的区域的定位符可以指示帧的序列号和所提取的区域的图像坐标。
在步骤118中,通过将预定义单向函数应用于临时匿名标识符(AnonID.m)和个人数据项的标识符(n)的组合来生成个人的特定项匿名标识符(AnonID.m.n)。单向函数可以与个人用于生成临时匿名标识符(AnonID.m)的函数相同,或者它可以是具有类似特征的不同的单向函数。个人数据项的标识符(n)可以是文件特定的序列号,即对于要存储的每个新文件,或者视情况而定,对于同时要存储的每个文件簇,序列计数器被重置,使得每个标识符在其文件(文件簇)内是唯一的,但是属于两个不同文件(文件簇)的个人数据项可以具有相同的标识符。标识符(n)还可以是全局序列号,或者它可以是操作系统或者另一相关命名空间等级上的个人数据项的完整标识符。代替数字计数器,可以等同地使用字母计数器或者在任何合适的离散集合或者空间中取值的计数器。计数器可以使用预定义枚举(或者递增)规则nk+1=f(nk)。
在方法100的进一步发展中,其中可以存储文件的连续版本,当要存储新版本时,重复步骤118,由此个人数据项的定位符进一步取决于文件的版本(或者提交(commit))v,Loc.m.n.v。这支持在第二存储器中实现版本控制。
参照图5,图5图示出标识符ID、PrivID、AnonID.m、AnonID.m.n是如何相关的。每个向下的箭头与单向函数的应用相对应。图5左侧的字母进一步指示哪个实体可以访问相关的标识符。
A:私有标识符(ID)保留在数据主体中;永远不需要与数据接收者共享。
B:数据主体存储私有标识符(PrivID),直到撤销对存储个人数据的同意。此时,根据方法200,数据主体与数据接收者共享私有标识符(PrivID)以允许数据接收者擦除她的个人数据。
C:数据主体与数据接收者共享临时匿名标识符(AnonID.m)中的一个相当于同意将文件与她的个人数据一起存储。根据方法100,数据接收者使用该标识符来执行文件的存储。
D:数据接收者将特定项匿名标识符(AnonID.m.n)与提取的个人数据项一起存储在第一存储器中。为了允许数据接收者根据方法200执行所请求的个人数据项的擦除,这些标识符不能被删除,直到个人数据项被删除。
回到图1,方法100进一步包括步骤120,其中每个个人数据项与定位符(Loc.m.n或者Loc.m.n.v)和特定项匿名标识符(AnonID.m.n)一起存储在第一存储器中(参见图4,元件421)。关系数据库可以用于该存储操作,它可以被可视化为具有以下总体外观的表:
Figure BDA0003495731740000081
在可选的步骤122中,个人的计数器条目被存储在例如第一存储器或者其他地方。计数器条目允许验证与个人相关联的所有个人数据项的枚举的穷尽性。为此,计数器条目可以指示:
-个人数据项的总数,在这种情况下,擦除方法应用预先约定的枚举规则和开始规则,
-第一个和最后一个个人数据项(例如,根据它们的特定项匿名标识符AnonID.m.n,或者根据它们的定位符Loc.m.n),在这种情况下,擦除方法应用枚举规则,
-所有个人数据项的列表,在这种情况下,擦除方法可以是不可知的,或者
-所有个人数据项的位置的列表或者它们的位置,在这种情况下,擦除方法可以是不可知的。
优选地,对于包含个人的个人数据的每个文件或者对于使用的每个新文件令牌(FileID.m),存储一个计数器条目。
在一些实施例中,计数器条目包括通过将单向函数应用于临时匿名标识符(AnonID.m)来生成的个人的可识别匿名标识符(RecAnonID.m),也如图5中的虚线箭头所指示。由于可识别匿名标识符(RecAnonID.m)是通过单向函数生成的,因此它不能归属于个人。然而,在结合执行擦除请求时,可识别匿名标识符(RecAnonID.m)确实允许验证是否定位到正确的个人的计数器条目。当计数器条目包括可识别匿名标识符(RecAnonID.m)时,它可以具有以下结构:
Figure BDA0003495731740000091
这可以理解如下:已经使用令牌FileID.1的一个或多个文件恰好包含与个人相关联的N1个个人数据项,已经使用令牌FileID.2的一个或多个文件恰好包含与个人相关联的N2个个人数据项,等。
在方法100的进一步可选的步骤124中,采取动作来防止临时匿名标识符(AnonID.m)的非易失性存储。这样的保护措施可以包括擦除运行时存储器中的标识符或者将它重写;可替代地,第一存储器和第二存储器以及任何可用的其他非易失性存储器被提供有拒绝存储具有临时匿名标识符(AnonID.m)的数据类型的数据的看门者功能。以这种方式,如果第二天要存储新文件(假设这段时间太久而无法在运行时存储器中维护标识符),则需要获取新的临时匿名标识符(AnonID.(m+1)),即重新执行步骤114。
此时,在步骤126中,评估要存储的文件是否包含与任何其他个人相关联的个人数据。如果是这种情况(“是”分支),则执行循环返回,以执行用于所述其他个人的步骤114、116、118和120(以及可选的步骤110和112,如果包括的话)。因此,获取其他个人的临时匿名标识符(AnonID’.m);提取与其他个人相关联的个人数据项;并且为每个个人数据项生成其他个人的定位符(Loc.m.n)和特定项匿名标识符(AnonID’.m.n)。注意,两个个人的定位符可以取决于属于同一序列的标识符(n)。
如果没有其他个人考虑要存储的文件(步骤126的“否”分支),则方法100的执行进行到可选的步骤128,其中文件中的个人数据项被移除以获取文件的匿名(或者审查)版本。移除可以通过移除(删除)个人数据项、消除个人数据项中可能的识别因素、隐藏、编辑、屏蔽、替换或者重写个人数据项,或者进一步应用合适的过滤或者图像处理中的至少一种来实现。合适的过滤和图像处理包括赋予模糊、像素化、变形或者其他倾向于使个人数据不可识别的效果的处理。这样的过滤或者图像处理通常是破坏数据的类型,并且会减少文件的信息内容。
在随后的步骤130中,文件的不具有个人数据项的匿名版本被存储在第二存储器中(参见图4,元件422)。第二存储器可以是与第一存储器相同的存储器。然而,在一些实施例中,第二存储器与第一存储器不同。
在步骤130中,所有提取的个人数据项的定位符(Loc.m.n)可以可选地与文件的匿名版本一起存储。换句话说,该选项意味着定位符(Loc.m.n)存储在第一存储器和第二存储器两者中。当在文件最初包含的个人数据中的一些已经被擦除的情况下重构文件并且该擦除通过删除与请求人相关联的表1的所有行(包括定位符)来执行时,访问定位符(Loc.m.n)的备用副本是有帮助的。然后,定位符(Loc.m.n)的备用副本允许将对应的位置标记为空/已修改/无效,尽管存在擦除。可替代地,如果擦除操作保留了定位符(即,保持表1的第一列不变),则可以实现相同的标记功能。
这完成了文件的第一版本的存储。
可选地,方法100可以扩展到第二文件的存储,第二文件还包含与个人相关联的个人数据。第二文件可以通过属于相同的时间、空间或者主题上下文而与第一文件相关。例如,文件可以表示在连续的时间点获得的图像,或者彼此接连的视频序列。文件可以进一步与被分区以获取可管理的文件尺寸或粒度等的成像空间的不同子区域相关。
因此,在步骤132中评估是否要存储第二文件,在这种情况下(“是”分支),从步骤114处开始执行循环返回。在该轮执行中,获取个人的第二临时匿名标识符(AnonID.(m+1)),该临时匿名标识符(AnonID.(m+1))取决于第二文件的令牌(FileID.(m+1))。从第二文件中提取与个人相关联的个人数据项。对于每个提取的个人数据项,生成个人的定位符(Loc.(m+1).n)和特定项匿名标识符(AnonID.(m+1).n)。每个个人数据项与定位符和特定项匿名标识符一起存储在第一存储器中。最后,第二文件的不具有个人数据项的匿名版本被存储在第二存储器中。
如果不再有要存储的文件(步骤132的“否”分支),方法100的执行可以终止。
在方法100的可选的附加步骤134中,文件的更新的匿名版本被存储在第二存储器中。更新的匿名版本可以在版本控制下存储,即不从第二存储器中删除先前的匿名版本。可以执行更新的匿名版本的存储,而不必更新第一存储器中的保持有效的信息;该事实有利地使得可以限制受信任处理个人数据的工作人员的范围。
可选地,步骤134影响第一存储器和第二存储器两者中的数据。假设期望增加视频序列中的亮度,该图像处理操作可以应用于视频序列的所有帧和第一存储器中的所有裁剪图像(即,提取的个人数据项)。匿名视频序列作为新版本保存在版本控制的第二存储器中,并且为新版本(v=2)生成存储在第一存储器的数据结构中的新行上的新的定位符(Loc.m.n.2)。每个新行包括修改后的(高亮的)裁剪图像,但与第一版本的AnonID.m.n相同。这在不损害个人隐私保护的情况下成为可能。
擦除与个人相关联的个人数据
图2以流程图形式图示出用于从第一存储器中擦除与个人相关联的个人数据的方法200。方法200在存储器将个人数据项以及与个人数据项相关联的个人的对应的定位符(Loc.m.n)和特定项匿名标识符(AnonID.m.n)一起存储的时间点开始;作为执行用于存储包含上述个人数据的文件的方法100的结果,该内容可以被加载到存储器中。
例如,方法200可以由先前已经接收或者生成一个或多个文件并且已经获取个人同意以存储包含在文件中的她的个人数据的数据接收者、自然人或者法人或者其代表来执行。用于擦除与个人相关联的个人数据的方法200可以在个人请求“被遗忘”(擦除她的个人数据)时执行,或者等同地在个人撤销先前给出的同意时执行。
在方法200的第一步骤210中,获取个人的私有标识符(PrivID)。由于在用于存储文件的方法100的正常执行实现期间,数据接收者不从个人接收任何私有标识符(PrivID)(这样的共享不会改善个人的隐私),因此步骤210通常需要从个人接收私有标识符(PrivID)或者从个人授权数据接收者读取访问的共享存储器中检索私有标识符(PrivID)。
在第二步骤212中,获取可能已经从中提取了个人数据项的所有文件的令牌(FileID.m)。在该步骤212中,数据接收者可以根据与包含个人数据的一个或多个文件的存储相关的规则和/或文档来重新生成令牌(FileID.m)。可替代地,令牌(FileID.m)是从存储器接收或者提取的。
原则上,个人可以维护她与数据接收者共享与请求擦除相关的她自己的令牌(FileID.m)的注册;这将允许个人将她的请求限制为部分擦除,例如,包含在特定日期记录的文件中的个人数据。然而,如果数据接收者是专业实体,则更方便的选项可以是让数据接收者存储足够的信息以允许其完全独立地重新生成令牌(FileID.m),而不需要除了私有标识符(PrivID)之外的来自个人的任何其他输入。该信息的存储应当至少与私有数据的存储一样可靠和/或持久,因为如果信息丢失,则不再存在任何方便的方式来基于与特定个人相关的私有数据的知识执行选择性删除。如果令牌(FileID.m)基于文件名、原始文件尺寸、创建日期或者其他文件属性,则可以实践的有吸引力的选项是让数据接收者查询存储已经提取个人数据项的文件的匿名版本的第二存储器。然后,在子步骤212.1中,查询可以包括向第二存储器的文件系统发出的ls或者dir命令,只要第二存储器存储相关的文件,该命令就会成功。由于在随后的步骤224中,从查询的输出中推导的令牌与生成的特定项匿名标识符(AnonID.m.n)相匹配,因此如果对第二存储器的查询返回作为副产品的与个人无关的附加文件的属性,这是很小的问题。
在下一步骤214中,对于文件令牌(FileID.m)中的每一个,获取与个人相关联并且可能已经从对应的一个或多个文件中提取的所有个人数据项的标识符(n)。这些标识符(n)的获取可以包括从存储器或者其他实体中检索它们,或者可以基于重新生成过程。重新生成过程可以由从个人接收的私有标识符(PrivID)控制,并且可以进一步取决于存储在由数据接收者维护的存储器中的信息。
例如,要擦除的个人数据项的标识符(n)可以通过执行子步骤214.1来获取,在子步骤214.1中读取个人的计数器条目。上文结合用于存储的方法100的步骤122引入了计数器条目的概念,以及可选地包括可识别匿名标识符(RecAnonID.m)的示例数据结构。为了在多个存储的计数器条目当中找到用于文件的正确的计数器条目,数据接收者通过首先将单向函数应用于文件的私有标识符(PrivID)和令牌(FileID.m)的组合,返回临时匿名标识符(AnonID.m),并且然后将单向函数应用于临时匿名标识符(AnonID.m),来重新生成可识别匿名标识符(RecAnonID.m)。数据接收者将该操作的输出与多个存储的计数器条目的相关字段(列)相匹配。匹配的计数器条目的另一字段表示个人数据项的总数、由预定义枚举规则确定的序列中的第一个个人数据项和最后一个个人数据项、所有个人数据项的列表或者在步骤122下列出的任何其他选项。因此,由于每个临时匿名标识符(AnonID.m)预期一个计数器条目,因此子步骤214.1返回用于每个临时匿名标识符(AnonID.m)的一组标识符(n)。
为了说明,假设计数器条目指示存储的第一个个人数据项的标识符(na)和最后一个个人数据项的标识符(nb)。本文中,“第一个”和“最后一个”指代标识符的枚举序列,不一定是存储个人数据项的时间点。在这种情况下,擦除方法200应用枚举规则nk+1=f(nk),其与存储方法100中使用的对应的枚举规则相同或者等同。通过将枚举规则应用于第一个个人数据项的标识符(na),并且然后递归地应用于连续的输出,直到到达最后一个个人数据项的标识符(nb),数据接收者可以重新生成所有标识符。存储在计数器条目中的最后一个个人数据项的标识符(nb)用于验证所枚举的标识符的穷尽性。在该重新生成过程的变型中,第一个个人数据项的标识符(na)可以是预先约定的或者预先指定的。进一步可替代地,指示标识符的总数的计数器条目与知道存储最后一个个人数据项的标识符(nb)一样有用。
在进一步的步骤216中,通过将预定义单向函数应用于所获取的私有标识符(PrivID)和所获取的文件令牌(FileID.m)的组合来生成个人的临时匿名标识符(AnonID.m)。单向函数是预定义的,它的作用相当于存储包含个人数据的一个或多个文件时用于生成临时匿名标识符(AnonID.m)的单向函数。
如本领域技术人员将理解的,步骤214和216可以以任何顺序或者并行执行。由于在步骤216中生成的临时匿名标识符(AnonID.m)可以在子步骤214.1中用作输入,因此并行执行可以减少必须评估单向函数的总次数。
接下来是生成个人的特定项匿名标识符(AnonID.m.n)的步骤218,步骤218通过对于每个生成的个人的临时匿名标识符(AnonID.m)将预定义单向函数应用于临时匿名标识符(AnonID.m)和个人数据项的获取的标识符(n)的组合而继续进行。为了确保完全擦除,步骤218应当生成已经用于存储与个人相关联的个人数据项的那些特定项匿名标识符(AnonID.m.n)的完整集合。如果已经使用子步骤214.1获取了标识符(n),则对于每个临时匿名标识符(AnonID.m),存在一组标识符(n);然后,将这些组中的一个中的标识符(n)与对应的临时匿名标识符(AnonID.m)组合应当是足够的,而与不同的临时匿名标识符(AnonID.m’)组合不太可能提供与任何存储的个人数据项匹配的进一步的特定项匿名标识符。
步骤220中评估是否还有任何更多生成的个人的临时匿名标识符(匿名标识符)需要在步骤218中处理。如果否(“否”分支),则在步骤222中评估是否存在已经被用于存储与个人相关联的个人数据项的任何其他文件令牌(FileID.m)。如果发现这样的其他文件令牌(FileID.m)存在(“是”分支),则对每个其他文件令牌(FileID.m)重新执行步骤214。
当所有文件令牌(FileID.m)已经被处理时,方法200前进到步骤224,在步骤224中,与个人的任何生成的特定项匿名标识符(AnonID.m.n)匹配的所有这样的个人数据项从第一存储器中被擦除。擦除可以仅针对个人数据项,或者可以联合地删除对应的定位符和/或特定项匿名标识符。后一个选项与删除上文表1所图示的数据结构的完整行相对应。如果期望定位文件的已经提取个人数据项(例如,用于标记的目的)的部分,则定位符应当保持完整或者以某种其他方式恢复,除非定位符的副本已经存储在其他地方。
将个人数据恢复到存储的文件中
图3是用于将个人数据恢复到文件中的方法300的流程图。方法300在第一存储器将个人数据项以及个人的与个人数据项相关联的对应的定位符(Loc.m.n)和特定项匿名标识符(AnonID.m.n)一起存储并且第二存储器存储文件的匿名版本的时间点开始。作为执行用于存储包含上述个人数据的文件的方法100的结果,存储器可能已经接收到该内容。此外,由于存储文件的时间,因此用于擦除与个人相关联的个人数据的方法200可能已经被执行,在这种情况下,第一存储器现在包含当存储方法100被执行时从文件中提取的个人数据项的不完整集合。
在方法300的第一步骤310中,从第一存储器中检索从所述文件和对应的定位符(Loc.m.n)中提取的那些个人数据项。如果定位符(Loc.m.n)也已经被存储在第一存储器之外的位置(诸如第二存储器),则可以从该位置等同地检索它们。
在第二步骤312中,从第二存储器中检索文件的不具有个人数据项的匿名版本。
然后,在步骤314,根据对应的定位符(Loc.m.n),将个人数据项恢复到文件的匿名版本中。例如,视频帧的与个人的面部相对应的裁剪区域可以被粘贴回视频帧中,如定位符(Loc.m.n)中所指示,这将视频帧恢复到类似于其原始状态的外观。如果存储了(例如,作为图像处理或者视频编辑的结果的)文件的较新版本,则恢复的视频帧可能与原始状态不同。步骤314可能需要文件的完全恢复,即,通过恢复所有个人数据项,而不管它们与哪些个人相关联。
子步骤314.1表示执行步骤314的有利方式。这里,顺序地遍历所有检索到的个人数据项,并且步骤314在最后一项之后终止。即便个人数据中的一些或全部例如根据关联的个人的请求而从第一存储器中已经被擦除,子步骤314.1也将鲁棒地(robustly)执行,并且它可以被配置成返回具有与被擦除的个人数据项相对应的一些剩余部分的可用的(未损坏的、可读的、可编辑的等)文件。剩余部分可以包含在存储方法100的执行中应用的移除、隐藏、编辑、屏蔽、替换、重写、过滤和图像处理中的任何一种的输出。
在可选的步骤316中,识别匿名版本中的个人数据项已经被提取但未被恢复的部分。
在进一步可选的步骤318中,下游实用程序处理步骤被通知在步骤316中识别的部分。与自然或者表示性数据相反,识别的部分可以被理解为无效或者人工修改的数据。例如,如果下游处理包括训练机器学习(ML)模型,则可以从馈送到ML模型的训练数据中排除所识别的部分。可替代地,ML模型从所识别的部分推导的任何更新(例如,由一组更新的权重、计算的梯度或者神经网络的推导误差来表示)被删除、无效或者回滚到(rolled backto)先前的值。
具有恢复的个人数据项的文件被保存在执行方法300的处理器的运行时存储器中。为了加强数据主体的隐私,方法300可以可选地包括采取动作以防止具有恢复的个人数据项的文件的非易失性存储的最终步骤320。这样的动作可以包括擦除运行时存储器中的文件,或者在文件被处理后重写它。可替换地,第一存储器和第二存储器以及任何可用的其他非易失性存储器被提供有防止文件的存储的看门者功能。进一步可替代地,可以执行基于依赖性跟踪技术的清理。
设备实现
图4示出了设备410,设备410通信地连接到第一存储器421和第二存储器422,并且包括被布置成执行存储方法100、擦除方法200和/或恢复方法300的处理电路411。处理电路411可以包含专用或者可编程电路,或者它们可以使用联网(“云”)资源以分布式方式实现。处理电路411可以包括易失性运行时存储器。可替代地,存储器可以是非易失性的,并且提供有看门者或者由依赖性跟踪覆盖。第一存储器421可以用于存储从文件中提取的个人数据项、定位符和特定项匿名标识符。由于第一存储器421用于相对敏感的内容,因此它应当优选地具有对入侵攻击的高抗性。类似地,例如通过网络与第一存储器421的通信连接应当被保护以免被窃听。第二存储器422可以用于存储文件的匿名版本(或者多个匿名版本)。存储器421、存储器422两者可以是非易失性存储器。第二存储器422可以受到版本控制。第一存储器421不需要版本控制。
图4利用图示出可以如何执行存储方法100的数据标签进行了注释。要存储的文件被供给在设备410的左上部处。在左下部处,供给了临时匿名标识符(AnonID.m)。可以使用单向函数接口490由或代表与私有数据相关联的个人生成临时匿名标识符(AnonID.m)。如图所指示,单向函数接口490接收个人的私有标识符(PrivID)作为输入,并且根据设备410供给的文件令牌(FileID.m)进一步修改。个人可以使用单向函数接口490(在图4中作为其另一实例图示出)来基于个人标识符(ID)生成私有标识符(PrivID)。基于这些输入,设备410从所供给的文件中提取个人数据项(在图4中用矩形和圆形表示),并且将它们与对应的定位符(Loc.m.n)和特定项匿名标识符(AnonID.m.n)一起存储在第一存储器421中。然后,第一存储器可以包含个人数据项、定位符和标识符的三元组。与此并行地,设备410将文件的匿名版本存储在第二存储器422中。
当设备410执行擦除方法200时,它可以接收请求个人的私有标识符(PrivID),并且它向第一存储器421发出删除命令。当设备410执行恢复方法300时,它从第一存储器421和第二存储器422检索数据,并且输出恢复的文件。
编号的实施例
实施例1。一种用于存储包含个人数据的文件的方法(100),该方法包括:
获取(114)个人的临时匿名标识符(AnonID.m),该临时匿名标识符(AnonID.m)取决于文件的令牌(FileID.m);
从文件中提取(116)与个人相关联的个人数据项;
对于每个个人数据项,生成(118)允许个人数据项被恢复到文件中的定位符(Loc.m.n)以及个人的特定项匿名标识符(AnonID.m.n),其中,特定项匿名标识符通过将预定义单向函数应用于临时匿名标识符(AnonID.m)和个人数据项的标识符(n)的组合来生成;
将每个个人数据项与定位符和特定项匿名标识符一起存储(120)在第一存储器中;以及
将文件的不具有个人数据项的匿名版本存储(130)在第二存储器中。
实施例2。根据实施例1的方法,用于进一步存储包含与个人相关联的个人数据的第二文件,该方法包括:
获取(114)个人的第二临时匿名标识符(AnonID.(m+1)),该临时匿名标识符(AnonID.(m+1))取决于第二文件的令牌(FileID.(m+1));
从第二文件中提取(116)与个人相关联的个人数据项;
对于每个个人数据项,生成(118)个人的定位符(Loc.(m+1).n)和特定项匿名标识符(AnonID.(m+1).n),其中,特定项匿名标识符通过将单向函数应用于第二临时匿名标识符(AnonID.(m+1))和个人数据项的标识符(n)的组合来生成;
将每个个人数据项与定位符和特定项匿名标识符一起存储(120)在第一存储器中;以及
将第二文件的不具有个人数据项的匿名版本存储(130)在第二存储器中。
实施例3。根据实施例1或2的方法,进一步包括:
获取(114)其他个人的临时匿名标识符(AnonID’.m),该临时匿名标识符(AnonID’.m)取决于文件的令牌(FileID.m);
从文件中提取(116)与其他个人相关联的个人数据项;
对于每个个人数据项,生成(118)其他个人的定位符(Loc.m.n)和特定项匿名标识符(AnonID’.m.n),其中,特定项匿名标识符通过将单向函数应用于临时匿名标识符(AnonID’.m)和个人数据项的标识符(n)的组合来生成;以及
将每个个人数据项与定位符和特定项匿名标识符一起存储(120)在第一存储器中,
其中,将文件的不具有与个人相关联的个人数据项以及与其他个人相关联的个人数据项的匿名版本存储在第二存储器中。
实施例4。根据前述实施例中任一项的方法,其中,第二存储器而不是第一存储器受到版本控制。
实施例5。根据前述实施例中任一项的方法,其中,第一存储器和第二存储器是非易失性的。
实施例6。根据前述实施例中任一项的方法,其中:
个人数据项中的至少一个是图像的区域;并且
定位符(Loc.m.n)指示图像中的区域。
实施例7。一种用于将个人数据恢复到文件中的方法(300),该方法包括:
从存储已经从文件中提取的个人数据项以及个人的与个人数据项相关联的对应的定位符(Loc.m.n)和特定项匿名标识符(AnonID.m.n)的第一存储器中,检索(310)已经从所述文件中提取的那些个人数据项和对应的定位符;
从第二存储器中检索(312)文件的不具有个人数据项的匿名版本;以及
根据对应的定位符将个人数据项恢复(314)到匿名版本中。
实施例8。根据实施例7的方法,其中,所述恢复包括:顺序地恢复(314.1)所检索的个人数据项,并且在最后一项之后终止。
实施例9。根据实施例7或者8的方法,进一步包括:
识别(316)匿名版本的个人数据项已经被提取但未被恢复的这样的部分;以及
向下游实用程序处理步骤通知(318)所识别的部分。
实施例10。根据实施例7至9中任一项的方法,进一步包括:
采取动作(320)以防止具有恢复的个人数据项的文件的非易失性存储。
本公开的方面已经在上文主要参考几个实施例进行了描述。然而,如本领域技术人员容易理解的,在由所附专利权利要求限定的本发明的范围内,除了上文公开的实施例之外的其他实施例同样是可能的。

Claims (15)

1.一种用于存储包含个人数据的文件的方法,所述方法包括:
获取个人的临时匿名标识符,所述临时匿名标识符取决于所述文件的令牌;
从所述文件中提取与所述个人相关联的个人数据项;
对于每个个人数据项,生成允许所述个人数据项被恢复到所述文件中的定位符和所述个人的特定项匿名标识符,其中,所述特定项匿名标识符通过将预定义单向函数应用于所述临时匿名标识符和所述个人数据项的标识符的组合来生成;
将每个个人数据项与所述定位符和所述特定项匿名标识符一起存储在第一存储器中;以及
将所述文件的不具有所述个人数据项的匿名版本存储在第二存储器中。
2.根据权利要求1所述的方法,进一步包括:
存储用于所述个人的计数器条目,所述计数器条目允许验证与所述个人相关联的所有个人数据项的枚举的穷尽性。
3.根据权利要求2所述的方法,其中,所述计数器条目包括所述个人的通过将所述单向函数应用于所述临时匿名标识符而生成的可识别匿名标识符。
4.根据权利要求1所述的方法,所述方法由数据接收者执行,并且进一步包括:
使配置有所述预定义单向函数的单向函数接口可用,以允许个人基于私有标识符和所述文件的所述令牌的组合生成所述临时匿名标识符,而不与所述数据接收者共享所述私有标识符;以及
与所述个人或者所述单向函数接口可选地共享所述文件的所述令牌。
5.根据权利要求4所述的方法,其中,所述单向函数接口进一步被配置成允许所述个人基于个人标识符生成所述私有标识符。
6.根据权利要求1所述的方法,进一步包括:
采取动作防止所述临时匿名标识符的非易失性存储。
7.根据权利要求1所述的方法,进一步包括:
通过匿名操作移除所述文件中的所述个人数据项,以获取所述文件的所述匿名版本,所述匿名操作包括移除、隐藏、编辑、屏蔽、替换、重写、过滤、图像处理中的至少一种。
8.根据权利要求1所述的方法,进一步包括:
将所述文件的更新的匿名版本存储在所述第二存储器中。
9.根据权利要求1所述的方法,其中:
所述个人数据项中的至少一个是视频序列中的帧的区域;并且
所述定位符指示所述视频序列中的所述帧,并且进一步指示所述帧中的所述区域。
10.一种用于从第一存储器中擦除与个人相关联的个人数据的方法,所述第一存储器存储个人数据项以及与所述个人数据项相关联的个人的对应的定位符和特定项匿名标识符,所述方法包括:
获取所述个人的私有标识符;
获取已经从中提取所述个人数据项的所有文件的令牌;
对于所述文件令牌中的每一个,获取与所述个人相关联并且已经从对应的文件中提取的所有个人数据项的标识符;
通过将预定义单向函数应用于所获取的私有标识符和所获取的文件令牌的组合来生成所述个人的临时匿名标识符;
对于所述个人的每个生成的临时匿名标识符,通过将所述预定义单向函数应用于所述临时匿名标识符和所述个人数据项的所获取的标识符的组合来生成所述个人的特定项匿名标识符;以及
从所述第一存储器中擦除与所述个人的所生成的特定项匿名标识符中的任何一个匹配的所有个人数据项。
11.根据权利要求10所述的方法,其中,通过查询第二存储器来获取已经从中提取所述个人数据项的所有文件的所述令牌,所述第二存储器存储所述文件的已经从中提取所述个人数据项的匿名版本。
12.根据权利要求10所述的方法,其中,所有个人数据项的所述标识符通过检索用于所述个人的计数器条目来获取。
13.根据权利要求12所述的方法,进一步包括:
枚举与所述个人相关联的所有个人数据项的标识符;以及
基于所检索的计数器条目来验证所枚举的标识符的所述穷尽性。
14.一种设备,所述设备通信地连接到第一存储器和第二存储器,并且包括被布置成执行根据权利要求1所述的方法的处理电路。
15.一种非暂时性计算机可读存储介质,其上存储有计算机程序,所述计算机程序用于当在具有处理能力的计算机上执行时实现根据权利要求1所述的方法。
CN202210114247.0A 2021-02-09 2022-01-30 存储包含个人数据的媒体和擦除个人数据的设备和方法 Pending CN114911763A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP21155892.9A EP4040319B1 (en) 2021-02-09 2021-02-09 Devices and methods for safe storage of media containing personal data and erasure of stored personal data
EP21155892.9 2021-02-09

Publications (1)

Publication Number Publication Date
CN114911763A true CN114911763A (zh) 2022-08-16

Family

ID=74572643

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210114247.0A Pending CN114911763A (zh) 2021-02-09 2022-01-30 存储包含个人数据的媒体和擦除个人数据的设备和方法

Country Status (6)

Country Link
US (1) US11809598B2 (zh)
EP (1) EP4040319B1 (zh)
JP (1) JP2022122266A (zh)
KR (1) KR102561492B1 (zh)
CN (1) CN114911763A (zh)
TW (1) TWI809704B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10685140B2 (en) * 2016-06-10 2020-06-16 OneTrust, LLC Consent receipt management systems and related methods

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020038296A1 (en) * 2000-02-18 2002-03-28 Margolus Norman H. Data repository and method for promoting network storage of data
US20130287204A1 (en) * 2011-09-07 2013-10-31 Elwha Llc Computational systems and methods for double-encrypting data for subsequent anonymous storage
CN103562851A (zh) * 2011-05-27 2014-02-05 国际商业机器公司 使用单向散列的数据扰乱和匿名化
US9202076B1 (en) * 2013-07-26 2015-12-01 Symantec Corporation Systems and methods for sharing data stored on secure third-party storage platforms
CN110446105A (zh) * 2019-09-20 2019-11-12 网易(杭州)网络有限公司 视频加密、解密的方法及装置
US20190377901A1 (en) * 2018-06-08 2019-12-12 Microsoft Technology Licensing, Llc Obfuscating information related to personally identifiable information (pii)
US20200311303A1 (en) * 2019-03-29 2020-10-01 Ruoyu Wang Methods, systems, apparatuses and devices for facilitating user privacy using encryption based pseudonymization
CN111919216A (zh) * 2018-03-30 2020-11-10 微软技术许可有限责任公司 计算机存储系统中的数据的按需去标识
CN112262379A (zh) * 2018-06-08 2021-01-22 微软技术许可有限责任公司 存储数据项并且标识存储的数据项
CN112262388A (zh) * 2018-06-08 2021-01-22 微软技术许可有限责任公司 使用个人身份信息(pii)的标记和持久性来保护pii

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8898164B1 (en) * 2011-11-17 2014-11-25 Quantcast Corporation Consumption history privacy
US11277412B2 (en) * 2018-05-28 2022-03-15 Royal Bank Of Canada System and method for storing and distributing consumer information
US9910902B1 (en) * 2013-02-22 2018-03-06 Facebook, Inc. Anonymizing user identifiable information
US9787687B2 (en) * 2013-04-10 2017-10-10 Spotify Ab Systems and methods for efficient and secure temporary anonymous access to media content
US9571785B2 (en) 2014-04-11 2017-02-14 International Business Machines Corporation System and method for fine-grained control of privacy from image and video recording devices
US11256792B2 (en) * 2014-08-28 2022-02-22 Facetec, Inc. Method and apparatus for creation and use of digital identification
US10963868B1 (en) * 2014-09-09 2021-03-30 Square, Inc. Anonymous payment transactions
TW201714113A (zh) * 2015-10-14 2017-04-16 Chunghwa Telecom Co Ltd 資料去識別化系統及其方法
WO2017129804A1 (en) 2016-01-29 2017-08-03 Kiwisecurity Software Gmbh Methods and apparatus for using video analytics to detect regions for privacy protection within images from moving cameras
US12118121B2 (en) * 2016-06-10 2024-10-15 OneTrust, LLC Data subject access request processing systems and related methods
US11151564B2 (en) * 2017-01-27 2021-10-19 Shawn Hutchinson Secure authentication and financial attributes services
US20220358216A1 (en) * 2017-05-18 2022-11-10 NeuShield, Inc. Computer-implemented methods and system for preventing and removing unauthorized file modification by malicious software and the like
US11455359B2 (en) * 2017-09-07 2022-09-27 Proof of Concept LLC Method and system for asynchronous correlation of data entries in spatially separated instances of heterogeneous databases
US10949564B2 (en) * 2018-05-07 2021-03-16 Apple Inc. Contact discovery service with privacy aspect
WO2019245680A1 (en) 2018-06-19 2019-12-26 Pelco, Inc. Automatic video privacy
US11184173B2 (en) * 2018-08-24 2021-11-23 Powch, LLC Secure distributed information system
EP3847657A1 (en) 2018-09-05 2021-07-14 Translational Imaging Innovations LLC Methods, systems and computer program products for retrospective data mining
US10956611B2 (en) * 2018-10-05 2021-03-23 John J. Reilly Methods, systems, and media for data anonymization
US10482281B1 (en) * 2018-10-08 2019-11-19 Capital One Services, Llc Protecting client personal data from customer service agents
US11803481B2 (en) * 2019-02-28 2023-10-31 Hewlett Packard Enterprise Development Lp Data anonymization for a document editor
US11514188B1 (en) * 2019-03-27 2022-11-29 Egnyte, Inc. System and method for serving subject access requests
TWI754811B (zh) * 2019-04-18 2022-02-11 臺灣網路認證股份有限公司 以裝置識別資料透過電信伺服器識別身份之系統及方法
PT115479B (pt) * 2019-04-29 2021-09-15 Mediceus Dados De Saude Sa Sistema de computador e método de operação para gerir dados pessoais anonimizados
US11423175B1 (en) * 2019-07-30 2022-08-23 NortonLifeLock Inc. Systems and methods for protecting users
US11296879B2 (en) * 2019-10-04 2022-04-05 Atakama LLC Encrypted search
TWM597905U (zh) * 2020-02-04 2020-07-01 合作金庫商業銀行股份有限公司 資料去識別化系統
RU2766134C2 (ru) * 2020-02-26 2022-02-08 Акционерное общество "Лаборатория Касперского" Способ анонимной отправки данных с устройства пользователя
US12079362B2 (en) * 2020-04-17 2024-09-03 Anonomatic, Inc. Data sundering
US20230043544A1 (en) * 2020-04-17 2023-02-09 Anonomatic, Inc. Secure database extensions
US11797698B2 (en) * 2020-06-15 2023-10-24 Concord Technologies Inc. Decentralized consent network for decoupling the storage of personally identifiable user data from user profiling data
US20220138347A1 (en) * 2020-10-29 2022-05-05 International Business Machines Corporation Risk evaluation of transmission of pathogens in a space
US20220191005A1 (en) * 2020-12-14 2022-06-16 Brandon E. D'Amore Stranded blockchain

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020038296A1 (en) * 2000-02-18 2002-03-28 Margolus Norman H. Data repository and method for promoting network storage of data
CN103562851A (zh) * 2011-05-27 2014-02-05 国际商业机器公司 使用单向散列的数据扰乱和匿名化
US20130287204A1 (en) * 2011-09-07 2013-10-31 Elwha Llc Computational systems and methods for double-encrypting data for subsequent anonymous storage
US9202076B1 (en) * 2013-07-26 2015-12-01 Symantec Corporation Systems and methods for sharing data stored on secure third-party storage platforms
CN111919216A (zh) * 2018-03-30 2020-11-10 微软技术许可有限责任公司 计算机存储系统中的数据的按需去标识
US20190377901A1 (en) * 2018-06-08 2019-12-12 Microsoft Technology Licensing, Llc Obfuscating information related to personally identifiable information (pii)
CN112262379A (zh) * 2018-06-08 2021-01-22 微软技术许可有限责任公司 存储数据项并且标识存储的数据项
CN112262388A (zh) * 2018-06-08 2021-01-22 微软技术许可有限责任公司 使用个人身份信息(pii)的标记和持久性来保护pii
US20200311303A1 (en) * 2019-03-29 2020-10-01 Ruoyu Wang Methods, systems, apparatuses and devices for facilitating user privacy using encryption based pseudonymization
CN110446105A (zh) * 2019-09-20 2019-11-12 网易(杭州)网络有限公司 视频加密、解密的方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
AHMED A. BAHJAT等: "Deleted file fragment dating by analysis of allocated neighbors" *
NIKOS FOTIOU: "Securing Content Sharing over ICN" *

Also Published As

Publication number Publication date
EP4040319A1 (en) 2022-08-10
TW202238411A (zh) 2022-10-01
US20220261499A1 (en) 2022-08-18
TWI809704B (zh) 2023-07-21
KR102561492B1 (ko) 2023-07-31
JP2022122266A (ja) 2022-08-22
EP4040319B1 (en) 2022-12-14
US11809598B2 (en) 2023-11-07
KR20220115061A (ko) 2022-08-17

Similar Documents

Publication Publication Date Title
EP3640832B1 (en) Consent-based data privacy management system
US9892278B2 (en) Focused personal identifying information redaction
US8601592B2 (en) Data management utilizing access and content information
US11687548B2 (en) Storage of backup data using a time-series data lake
CN106682186B (zh) 文件访问控制列表管理方法和相关装置和系统
US20150026462A1 (en) Method and system for access-controlled decryption in big data stores
CN108255638B (zh) 一种快照回滚方法及装置
KR101033511B1 (ko) 개인정보 보호 방법 및 이를 위한 프로그램을 기록한 컴퓨터로 판독 가능한 기록매체
US7912859B2 (en) Information processing apparatus, system, and method for managing documents used in an organization
JP2014178784A (ja) 情報処理装置、情報処理システム及び情報処理プログラム
TWI809704B (zh) 用於安全儲存含有個人資料之媒體及消除所儲存個人資料之裝置及方法
Garfinkel et al. An automated solution to the multiuser carved data ascription problem
US11783072B1 (en) Filter for sensitive data
CN107609419B (zh) 一种数字图书馆用户的浏览偏好隐私保护方法及系统
US11853451B2 (en) Controlled data access
US9141808B1 (en) Data loss prevention
US7647362B1 (en) Content-based file versioning
CN106126555A (zh) 一种文件管理方法及文件系统
US9436840B2 (en) System and method for securely storing information
CN115840957A (zh) 一种数据处理方法、装置及系统
US20210011826A1 (en) Flattened Historical Material Extracts
CN116089976A (zh) 关系型数据库的管理方法及装置
Drish iOS Device Forensics
WO2019119304A1 (zh) 一种数据文件及其访问方法、装置及设备
TW201535133A (zh) 使用保留系統及使用保留方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination