CN116070185A - 用生物测定数据匹配处理数据主体权限请求的系统和方法 - Google Patents
用生物测定数据匹配处理数据主体权限请求的系统和方法 Download PDFInfo
- Publication number
- CN116070185A CN116070185A CN202211373598.XA CN202211373598A CN116070185A CN 116070185 A CN116070185 A CN 116070185A CN 202211373598 A CN202211373598 A CN 202211373598A CN 116070185 A CN116070185 A CN 116070185A
- Authority
- CN
- China
- Prior art keywords
- data
- database
- biometric
- person
- processing system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012545 processing Methods 0.000 title claims abstract description 86
- 238000000034 method Methods 0.000 title claims abstract description 65
- 238000010801 machine learning Methods 0.000 claims abstract description 69
- 230000009471 action Effects 0.000 claims description 24
- 230000004044 response Effects 0.000 claims description 4
- 238000012549 training Methods 0.000 description 81
- 238000004891 communication Methods 0.000 description 18
- 230000015654 memory Effects 0.000 description 16
- 230000008569 process Effects 0.000 description 15
- 230000001815 facial effect Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 238000013075 data extraction Methods 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 238000002372 labelling Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000005021 gait Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000013178 mathematical model Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000013175 transesophageal echocardiography Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/23—Updating
- G06F16/2379—Updates performed during online database operations; commit processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Artificial Intelligence (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biomedical Technology (AREA)
- Biodiversity & Conservation Biology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Molecular Biology (AREA)
- Biophysics (AREA)
- Automation & Control Theory (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Storage Device Security (AREA)
Abstract
公开了用生物测定数据匹配处理数据主体权限请求的系统和方法。该系统和方法有利地使得数据控制器能够在具有PII的未更改数据上训练机器学习模型,同时维护未更改数据的隐私,并且使得能够遵从相对于数据的数据主体权限请求。该系统和方法并入生物测定数据库,该数据库存储从具有PII的未更改数据中提取的生物测定数据。为了标识与数据主体权限请求相关的数据,从数据主体接收生物测定数据,并将其对照存储在生物测定数据库中的生物测定数据进行匹配。基于匹配的生物测定数据,出于行使一个或多个数据主体权限(诸如擦除、访问和拒绝处理)的目的,可以标识具有PII的原始未更改的源数据。
Description
技术领域
本文档中公开的设备和方法涉及数据主体权限,并且更特别地,涉及使用生物测定匹配来处理数据主体权限请求。
背景技术
除非本文另有指示,否则本节中描述的材料不因包含在本节中而被认为是现有技术。
在数据保护和数据隐私法规、诸如欧盟的通用数据保护法规(GDPR)下,数据主体(即,人)相对于他们的个人数据具有各种权限。这些数据主体权限包括例如访问权限、擦除权限和反对处理权限。访问权限赋予数据主体访问其个人数据和关于该个人数据如何被处理的信息的权限。擦除权限赋予数据主体以多种理由中的任何一种请求擦除与他们相关的个人数据的权限。最后,反对处理的权限赋予数据主体反对出于营销或非服务相关目的处理个人数据的权限。为了这些目的,数据控制器和数据处理器具有各种职责,包括响应来自试图行使前面提及数据主体权限之一的数据主体的数据主体权限请求。
在自动化驾驶中,包含个人信息的视频镜头通常由车辆处理,诸如由车辆的对象检测系统处理。该视频镜头还被发送到远程服务器后端,并进一步用于训练机器学习模型,以用于改进自动化驾驶中使用的算法(诸如对象检测系统的算法)的目的。然而,车辆捕获的视频镜头中捕捉的行人无法同意车辆的处理。此外,在实践中,这些行人也很难能够行使他们的权限来反对在远程服务器后端处进一步处理该个人信息以训练机器学习模型,或者行使他们的权限来访问和擦除。
这些问题可能给使用包含个人信息的视频镜头以用于训练机器学习模型的原始设备制造商(OEM)和供应商造成遵从性问题。然而,简单地从数据中去除个人信息并不是可行的解决方案。特别地,对数据的任何更改都危及到利用机器学习模型的车辆操作的安全性,这是因为训练机器学习模型对未更改的数据最有效。例如,如果行人的脸部通过模糊而被去除,那么机器学习模型(例如,神经网络)将学习将模糊的对象标识为脸部,并且一旦被呈现有在现场的未更改图像,将不能正确地标识行人。
因此,所需要的是如下方法:该方法用于收集和维护用于训练机器学习模型的未更改视频数据,同时维护具有个人可标识信息的那些视频数据的隐私,并且使得能够遵从相对于视频数据的数据主体权限请求。
发明内容
公开了一种用于处理数据权限请求的方法。该方法包括在第一数据库中存储具有多个人的个人可标识信息的多个数据。该方法进一步包括用处理系统从多个人中的第一人接收数据权限请求,该数据权限请求指示要对具有第一人的个人可标识信息的多个数据中的第一数据执行的请求动作。该方法进一步包括用处理系统接收第一人的生物测定数据。该方法进一步包括用处理系统搜索第一数据库,以通过将第一人的生物测定数据与第一数据库中的第一数据进行匹配来标识具有第一人的个人可标识信息的第一数据。
公开了一种用于处理数据权限请求的系统。该系统包括第一数据库,该第一数据库被配置为存储具有多个人的个人可标识信息的多个数据。该系统进一步包括可操作地与第一数据库连接的处理系统。该处理系统被配置为从多个人中的第一人接收数据权限请求,该数据权限请求指示要对具有第一人的个人可标识信息的多个数据中的第一数据执行的请求动作。该处理系统进一步被配置为接收第一人的生物测定数据。该处理系统进一步被配置为搜索第一数据库,以通过将第一人的生物测定数据与第一数据库中的第一数据进行匹配来标识具有第一人的个人可标识信息的第一数据。
附图说明
结合附图,在以下描述中解释了该系统和方法的前述方面和其他特征。
图1示出了用于收集和维护用于训练机器学习模型的数据以及用于处理相对于数据的数据主体权限请求的数据处理系统。
图2示出了用于处理数据主体权限请求的方法。
具体实施方式
为了促进对本公开原理的理解的目的,现在将参考附图中图示的和以下书面说明书中描述的实施例。应理解,并不由此意图对本公开的范围进行限制。应进一步理解,本公开包括对所图示实施例的任何更改和修改,并且包括本公开所属领域的技术人员通常将会想到的本公开原理的进一步应用。
系统概况
图1示出了数据处理系统100,其用于收集和维护用于训练机器学习模型的数据,以及用于处理相对于数据的数据主体权限请求。数据处理系统100可以例如由收集和维护具有个人可标识信息(PII)的现场数据的OEM、供应商或运营商操作。数据处理系统100有利地使得数据控制器能够在具有PII的未更改数据上训练机器学习模型,同时维护未更改数据的隐私,并且使得能够遵从相对于数据的数据主体权限请求。
如本文所使用的并且如本领域普通技术人员将认识到的,术语“个人可标识信息”或“PII”指代当单独使用或与其他相关数据一起使用时,准许通过直接或间接手段合理推断该信息所适用的个人的身份的任何信息表示。通常将包括在多媒体数据中的个人可标识信息的示例包括视频或图像中人的脸部和其他唯一可标识的视觉特征、音频剪辑中人的声音或其他唯一可标识的听觉特征、以及视频或音频剪辑中说出的某些单词或上下文信息。
数据处理系统100包括具有一个或多个可信执行环境的一个或多个计算设备,诸如服务器。如本领域普通技术人员将领会的,可信执行环境(TEE)是用于执行代码的隔离环境,在该隔离环境中,可信应用可以被安全地执行而不管系统的其余部分如何。TEE一般是设备的主处理器上的区域,该区域与系统的主操作系统分离,并且包括被配置为确保以安全的方式存储和处理数据的软件和硬件。这样的TEE的示例包括英特尔的SGX和ARM的TrustZone。
数据处理系统100包括至少一个组件,该组件存储和处理具有PII的现场数据110,诸如由大量车辆的自主驾驶系统捕获的并且包括车辆环境中行人脸部的视频镜头。特别地,在所图示的实施例中,数据处理系统100包括机器学习系统102,其使用具有PII的现场数据110作为训练数据。然而,应当领会,然而数据处理系统100可以包括利用具有PII的现场数据110的不同系统,并且机器学习系统102只是利用具有PII的现场数据110的系统的一个示例。
在所图示的实施例中,机器学习系统102至少包括(1)至少一个机器学习TEE 120,用于使用现场数据110训练至少一个机器学习模型128,以及(2)至少一个训练数据库130,其存储现场数据110作为训练数据。机器学习模型128可以例如包括自主驾驶视觉系统的对象检测组件。数据处理系统100接收现场数据110,并将其安全地传输到机器学习TEE 120。机器学习TEE 120接收现场数据110,并将其安全地存储在训练数据库130中。在至少一个实施例中,机器学习TEE 120将现场数据110分离成具有PII的训练数据子集132和没有PII的训练数据子集134。这使得机器学习系统102能够从隐私角度以比对于其不存在隐私问题的没有PII的训练数据134更高的小心程度来处理具有PII的训练数据132。
一般地,为了使得能够训练机器学习模型128,机器学习系统102将标注训练数据132、134,这通常使用并入人类标注者的过程。至少相对于具有PII的训练数据132,机器学习TEE 120使用保持具有PII的训练数据132的隐私的过程来执行标注。没有PII的训练数据134也可以由机器学习TEE 120标注,但是该数据的标注可以替代地外包给第三方,因为不存在隐私问题。
最后,机器学习系统102、特别是机器学习TEE 120使用训练数据132、134训练机器学习模型128。如本文所使用的,术语“机器学习模型”指代系统或程序指令和/或数据集,其被配置为实现基于给定的输入来预测或以其他方式提供期望输出的算法、过程或数学模型(例如,神经网络)。将领会,一般而言,机器学习模型的许多或大多数参数不是显式编程的,并且在传统意义上,机器学习模型不是显式设计成遵循指定的规则以便针对给定输入提供期望输出。取而代之,向机器学习模型提供训练数据的语料库,机器学习模型从该语料库中标识或“学习”数据中的模式和统计关系,这些模式和统计关系被一般化以相对于新数据输入做出预测或以其他方式提供输出。训练过程的结果体现在多个学习参数、内核权重和/或过滤器值中,这些学习参数、内核权重和/或过滤器值用于机器学习模型的各个组件中,以相对于新数据输入做出预测。
训练过程一般包括将机器学习模型128应用于训练输入数据,将模型输出与标注的正确输出进行比较,并基于该比较来优化机器学习模型128的参数。至少相对于具有PII的训练数据132,机器学习TEE 120执行机器学习模型128的训练,以便确保具有PII的训练数据132的隐私。
继续参考图1,作为存储和处理现场数据110(即,训练数据132、134)的结果,数据处理系统100的操作者可能在各种数据保护和数据隐私法规、诸如欧盟的通用数据保护法规(GDPR)的那些下具有某些法律职责。这些职责之一可以包括响应各种数据主体权限请求并对其采取行动,其中数据主体(即,具有由数据处理系统100存储的个人数据的人)相对于由数据处理系统100存储的现场数据110行使他或她的反对处理的权限、访问权限或擦除权限。为这些目的,数据处理系统100进一步包括数据控制系统104,用于响应各种数据主体权限请求并对其采取行动。
在图示的实施例中,数据控制系统104包括(1)至少一个数据控制服务器140,用于接收和响应数据主体权限请求,(2)至少一个数据控制TEE 150,用于安全地对数据主体权限请求采取行动,以及(3)至少一个生物测定数据库160,其存储具有PII的训练数据132的数据主体的生物测定数据。数据控制服务器140接收数据主体权限请求170,其中数据主体在适用的数据保护和数据隐私法规下行使他或她的权限之一。数据控制服务器140处理数据主体权限请求170,并且使得相对于具有PII的训练数据132执行适当的动作。
然而,在许多情况下,具有PII的训练数据132不包括元数据(诸如姓名或其他标识符),该元数据清楚地标识数据的特定数据主体,即训练数据132针对其包括PII的特定个人。取而代之,具有PII的训练数据132可以仅包括图像、音频和/或视频,这些图像、音频和/或视频包括可以从中推断出数据主体的身份的PII(例如,脸部、声音等)。为了使得能够确定具有PII的训练数据132中的哪些数据与数据主体权限请求170相关,数据控制服务器140进一步从特定数据主体请求并接收数据主体生物测定数据180。
数据主体生物测定数据180是可以与具有PII的训练数据132中的数据相匹配以标识哪些数据包括特定数据主体的PII的数据,并因此采取与生物测定数据库160中的生物测定数据相似的形式。在每种情况下,生物测定数据可以包括例如数据主体的脸部图像或数据主体的音频声音样本,以及可以从中推断出数据主体身份的其他信息、诸如步态信息。替代地,在一些实施例中,生物测定数据仅包括描述原始生物测定数据的特征集,而不是存储原始脸部图像或音频声音样本。
数据控制TEE 150被配置为结合机器学习系统102的机器学习TEE 120进行操作,以基于数据主体生物测定数据180来确定具有PII的训练数据132中的哪些数据与数据主体权限请求170相关。为了使能实现这种确定,数据控制TEE 150从具有PII的训练数据132中提取生物测定数据,并将提取的生物测定数据存储在生物测定数据库160中。数据控制TEE150将接收到的数据主体生物测定数据180与存储在生物测定数据库160中的生物测定数据进行匹配。基于该匹配,数据控制TEE 150与机器学习TEE 120通信,以使得机器学习TEE120相对于具有PII的训练数据132中的与生物测定数据库中的匹配生物测定数据相对应的数据执行请求动作。所执行的动作可以例如包括:擦除对应数据,提供对于对应数据的访问,以及将数据标示为“不处理”。
继续参考图1,描述了数据处理系统100的计算和存储设备的示例性硬件组件。在所图示的实施例中,数据控制服务器140包括处理器142、存储器144和网络通信模块146。将领会,数据控制服务器140的所图示实施例仅仅是服务器100的一个示例性实施例,并且仅仅是个人计算机、服务器或以本文阐述的方式操作的任何其他数据处理系统的各种方式或配置中任何一种的代表。
处理器142被配置为执行指令来操作数据控制服务器140,以使能实现如本文所述的特征、功能性、特性等。为此目的,处理器142可操作地连接到存储器144和网络通信模块146。处理器142一般包括一个或多个处理器,这些处理器可以并行操作或者以其他方式相互协作。本领域普通技术人员将认识到,“处理器”包括处理数据、信号或其他信息的任何硬件系统、硬件机构或硬件组件。因此,处理器142可以包括具有中央处理单元、图形处理单元、多个处理单元、用于实现功能性的专用电路、可编程逻辑或其他处理系统的系统。
存储器144被配置为存储程序指令,当由处理器142执行时,该程序指令使得数据控制服务器140能够执行本文描述的各种操作。特别地,存储器144存储与用于处理(一个或多个)数据主体权限请求170的数据主体权限请求处理应用148相对应的程序指令。存储器144可以是能够存储处理器142可访问的信息的任何类型的设备或设备组合,诸如存储卡、ROM、RAM、硬盘驱动器、磁盘、闪速存储器或本领域普通技术人员认识的各种其他计算机可读介质中的任何一种。
网络通信模块146提供允许与各种设备中的任何一个通信的接口。特别地,网络通信模块146可以包括局域网端口,该局域网端口允许与容纳在相同或附近设施中的各种本地计算机中的任何一个通信。一般地,数据控制服务器140经由局域网的独立调制解调器和/或路由器通过互联网与远程计算机通信。替代地,网络通信模块146可以进一步包括允许通过互联网通信的广域网端口。在一个实施例中,网络通信模块146配备有Wi-Fi收发器或其他无线通信设备。因此,将领会,与服务器100的通信可以经由有线通信或经由无线通信发生,并且可以使用各种已知的通信协议中的任何一种来实现。
训练数据库130和生物测定数据库160包括被配置为存储数据的数据存储设备。数据存储设备可以是能够存储可由机器学习TEE 120和/或数据控制TEE 150访问的信息的任何类型的长期非易失性存储设备,诸如硬盘驱动器或本领域普通技术人员认识的各种其他计算机可读存储介质中的任何一种。数据存储设备优选地以加密形式存储其数据,该加密形式致使数据仅可由机器学习TEE 120和/或数据控制TEE 150访问(例如,使用仅在TEE内生成和已知的秘密密钥)。
在所图示的实施例中,机器学习TEE 120和数据控制TEE 150包括各自的安全处理器122、172和各自的安全存储器124、174。然而,应当领会,取决于如何实现TEE,它们的组件可以是主机计算设备的对应硬件的子组件。例如,数据控制TEE 150可以由数据控制服务器140的启用TEE的硬件(例如,由处理器142)来实现。同样,机器学习TEE 120可以由机器学习服务器(未示出)的启用TEE的硬件来实现。此外,在一些实施例中,机器学习TEE 120和数据控制TEE 150可以是由同一主机计算设备实现的同一TEE。替代地,可以用与主机计算设备的硬件物理隔离的物理上不同的硬件来实现TEE。
在至少一些实施例中,安全存储器124、174是与主机计算设备(例如,机器学习服务器和/或数据控制服务器140)的物理存储器的定义部分相对应的私有安全包围区(enclave),其由主机计算设备的处理器的安全指令加密。安全存储器124、174被配置为存储程序指令,当由安全处理器122、172执行时,该程序指令使得数据控制服务器140能够执行本文描述的各种操作。特别地,安全存储器124存储用于可信应用的程序指令,所述可信应用包括(1)机器学习模型128,(2)PII数据分离应用127,用于将现场数据分离成具有PII的训练数据132和没有PII的训练数据134,以及(3)数据标注应用129,用于标注训练数据132、134。附加地,安全存储器174存储用于可信应用的程序指令,所述可信应用包括(1)生物测定数据提取应用177,用于从具有PII的训练数据132中提取生物测定数据,以及(2)生物测定数据匹配应用178,用于将数据主体生物测定数据180与生物测定数据库160中的生物测定数据进行匹配。最后,在至少一些实施例中,安全处理器122、172只是以安全方式在主机计算设备的物理处理器上执行的可信过程。
用于处理数据主体权限请求的方法
下面描述了用于操作数据处理系统100的各种方法和过程。在这些描述中,方法、处理器和/或系统正在执行某个任务或功能的陈述指代控制器或处理器(例如,数据控制服务器140的处理器142或TEE 120、150的安全处理器122、172)执行存储在操作性地连接到控制器或处理器的非暂时性计算机可读存储介质(例如,数据控制服务器140的存储器144或TEE 120、150的安全存储器124、174)中的编程指令,以操控数据或操作数据处理系统100中的一个或多个组件来执行该任务或功能。附加地,方法的步骤可以以任何可行的时间顺序执行,而不管图中所示的顺序或描述步骤的顺序如何。
图2示出了用于处理数据主体权限请求的方法200。方法200有利地使得能够遵从相对于不包括任何元数据或清楚地标识数据的特定数据主体的类似指示在内的数据的数据主体权限请求。特别地,方法200有利地利用由数据主体提供的生物测定数据来标识包括数据主体的PII的特定数据。
方法200开始于在第一数据库中存储具有多个数据主体的个人可标识信息的多个数据(块210)。特别地,数据处理系统100从多个远程计算设备接收现场数据110。在至少一个实施例中,多个远程计算设备包括多个车辆的车辆计算机,并且现场数据110包括由多个车辆(例如由车辆的对象检测系统)捕获的视频数据。数据处理系统100、特别是机器学习TEE 120将现场数据110作为训练数据存储在训练数据库130中。在一个实施例中,机器学习TEE 120从多个远程计算设备接收以加密形式的现场数据110,并且在将现场数据110存储在训练数据库130中之前,在机器学习TEE 120内对其进行解密。如上面所讨论的,训练数据包括具有PII的训练数据132和没有PII的训练数据134。在至少一个实施例中,机器学习TEE120将现场数据110分离成具有PII的训练数据子集132和没有PII的训练数据子集134。
附加地,数据处理系统100在生物测定数据库160中存储多个生物测定数据,该生物测定数据是提取的具有PII的训练数据132,并由数据控制系统104、特别是由数据控制TEE 150维护。为此目的,当新数据被添加到训练数据库130中具有PII的训练数据132时,数据控制TEE 150接收新的具有PII的训练数据132或至少其包含PII的部分。在一个实施例中,数据控制TEE 150从机器学习TEE 120接收以加密形式的新的具有PII的训练数据132,并且在从新的具有PII的训练数据132中提取生物测定数据之前,在数据控制TEE 150内对其进行解密。
对于每个新的具有PII的训练数据132,数据控制TEE 150从中提取相应的生物测定数据(例如,使用生物测定数据提取应用177),并将相应的生物测定数据存储在生物测定数据库160中。在替代实施例中,机器学习TEE 120取而代之地提取生物测定数据,并将其提供给数据控制TEE 150,以供存储在生物测定数据库160中。在其中生物测定数据包括从图像或视频数据中提取的面部图像的实施例中,生物测定数据提取应用177可以包括例如面部识别算法。在至少一个实施例中,数据控制TEE 150保存从哪个具有PII的训练数据132中提取了哪个生物测定数据的记录。这样的记录可以存储在生物测定数据库160中,例如作为提取的生物测定数据的个体片段的元数据。
方法200继续从第一数据主体接收数据主体权限请求(块220)。特别地,数据处理系统100、或者更特别地处理器142经由网络通信模块146接收相应数据主体(即,人)的数据主体权限请求170。在一些实施例中,数据主体权限请求170采取经由互联网从某个第三方设备或系统接收的消息的形式。在其他实施例中,数据处理系统100可以实现使得数据主体能够进行数据主体权限请求的基于web的接口,并且直接使用该基于web的接口提供必要的信息。
数据主体权限请求170至少标识要对具有数据主体的个人可标识信息的数据执行的请求动作。如上所讨论的,这些请求的动作可以例如包括:擦除对应数据,提供对于对应数据的访问,以及将数据标示为“不处理”。在至少一些实施例中,数据主体权限请求170进一步包括至少一个参数,该参数界定受制于该请求动作的数据的范围。该参数可以包括原始捕获数据的时间或地点,或者指定特定的数据类型。例如,数据主体权限请求170可能要求删除在特定时间或地点数据主体拍摄的所有图像(例如,“删除在01/01/2021与03/31/2021之间收集的我在斯图加特的所有图像”)。
在一些实施例中,数据控制服务器140采用身份认证措施,使得只有来自经认证的数据主体的数据主体权限请求170被采取行动。该身份认证措施保护数据控制器免受意图通过去除任意数据来破坏数据控制器的服务的恶意数据主体权限请求的影响。同样,该身份认证措施保护数据主体免受来自想要将数据用于邪恶目的的第三方的恶意数据主体权限请求的影响。
特别地,在一个实施例中,处理器142进一步使用证书或类似的密码数据来认证数据主体的身份。处理器142从诸如苹果的基础设施或某个政府身份基础设施之类的可信身份提供者接收证书或类似的密码数据,以认证数据主体的身份。这样的证书可以存储在(防篡改)设备中,或者(在防篡改设备不可用的情况下)可以以保持隐私的方式从可信身份提供者检索证书。在这样的实施例中,响应于接收到数据主体权限请求170和/或数据主体生物测定数据180,处理器142可以操作网络通信模块146从可信身份提供者请求证书,并且然后处理器142验证证书以认证数据主体的身份。
替代地,在另一个实施例中,利用适配的基于零知识的交互式协议来发布数据主体权限请求170,而不泄露证书(请求的证明)。当机器学习系统102和数据控制系统104不串通时,这有利地提供了合理的可否认性。
方法200继续接收第一数据主体的生物测定数据(块230)。特别地,数据处理系统100或者更特别地处理器142经由网络通信模块146接收相应数据主体的数据主体生物测定数据180。数据主体生物测定数据180可以包括在数据主体权限请求170,或者与其分离接收。如上所指出的,数据主体生物测定数据180是诸如数据主体脸部图像的数据,其可以与具有PII的训练数据132中的数据相匹配,以标识哪些数据包括特定数据主体的PII。
在至少一个实施例中,处理器142接收以加密形式的数据主体生物测定数据180。处理器142将加密的数据主体生物测定数据180传输到数据控制TEE 150。数据控制TEE 150从处理器142接收加密的数据主体生物测定数据180,将加密的数据主体生物测定数据180存储在安全存储器174中,并使用数据控制TEE 150的安全过程对安全存储器174内的加密的数据主体生物测定数据180进行解密。
方法200继续搜索第一数据库,以通过将第一数据主体的生物测定数据与第一数据库中的第一数据进行匹配来标识具有第一数据主体的个人可标识信息的第一数据(块240)。特别地,数据处理系统100搜索训练数据库130,以从训练数据库130中标识具有数据主体的PII的数据集。在至少一些实施例中,通过如下方式间接搜索训练数据库130:针对匹配数据主体生物测定数据180的生物测定数据来搜索生物测定数据库160,并且然后在训练数据库130中标识从中提取了匹配的生物测定数据的原始源数据。
在至少一个实施例中,数据处理系统100仅响应于使用上面讨论的身份认证措施认证数据主体的身份来执行搜索。在至少一个实施例中,数据处理系统100取决于包括在数据主体权限请求170中的至少一个参数来搜索训练数据库130,该参数界定受制于该请求动作的数据的范围(例如,时间、地点或数据类型)。
在本文描述的特定实施例中,数据控制TEE 150通过将数据主体的数据主体生物测定数据180与对应于数据主体的生物测定数据库160中的匹配生物测定数据进行匹配来搜索生物测定数据库160。接下来,数据控制TEE 150在训练数据库130中标识从中提取了生物测定数据库160中的匹配生物测定数据的数据集(特别地,在具有PII的训练数据132中)。如上所指出的,数据控制TEE 150可以保存记录或元数据,这些记录或元数据标识从哪个具有PII的训练数据132中提取了哪个生物测定数据。因此,数据控制TEE 150基于记录或元数据从训练数据库130中具有PII的训练数据132中标识数据集,所述记录或元数据指示从中提取了匹配生物测定数据的特定的具有PII的训练数据132。
方法200继续对第一数据执行至少一个请求动作(块250)。特别地,一旦标识出来自训练数据库130的具有特定数据主体的PII的数据集,处理系统100就相对于来自训练数据库130的具有数据主体的PII的所标识数据集执行数据主体权限请求170的(一个或多个)请求动作。更特别地,在一些实施例中,数据控制TEE 150与机器学习TEE 120通信,以使得机器学习TEE 120执行相对于训练数据库130中的所标识数据集的请求动作。例如,在一个实施例中,数据控制TEE 150以加密的方式将标识训练数据库130中具有数据主体的PII的原始数据集的记录或元数据传送给机器学习TEE 120。接下来,机器学习TEE 120对训练数据库130中具有数据主体的PII的数据集执行(一个或多个)请求动作。
所执行的动作可以包括例如擦除数据、提供对数据的访问以及将数据标示为“不处理”。特别地,在请求动作是擦除数据的情况下,处理系统100和/或机器学习TEE 120从训练数据库130中删除具有数据主体的PII的数据集。在请求动作是提供对数据的访问的情况下,处理系统100和/或机器学习TEE 120提供对具有数据主体的PII的数据集的访问。例如,可以通过对数据进行加密并将加密的数据传输到数据主体的计算设备来提供访问。
在请求动作是将数据标示为“不处理”的情况下,处理系统100和/或机器学习TEE120在数据库130中标记具有数据主体的PII的数据集,使得防止对数据的进一步处理,或者将具有数据主体的PII的数据集移动到用于这样的标记数据的另一个数据库。从那时起,在机器学习模型128的训练期间,训练过程排除被标记的任何训练数据以便防止进一步处理。
附加地,当处理系统100接收到新现场数据110时,机器学习TEE 120或数据处理系统100的另一个组件对照先前标记的数据或先前“不处理”请求的对应数据主体生物测定数据180自动检查新现场数据110。如果新现场数据110包括数据主体的PII,则机器学习TEE120或数据处理系统100的另一组件自动标记新现场数据110,以便以与上述相同的方式防止进一步处理。同样,如果数据主体先前请求擦除他们的数据,则机器学习TEE 120或数据处理系统100的另一组件自动删除新现场数据110。在一些实施例中,不是删除或标记具有数据主体的PII的数据,而是处理系统100被配置为用合成生成的替换数据代替具有数据主体的PII的数据集,或者模糊/掩盖数据主体的PII。
以此方式,数据主体不仅可以选择退出对已经存储在训练数据库130中的数据的处理,而且还可以选择退出对未来接收的新数据的处理。替代地,如果隐私法规更严格,则可以实现选择加入系统。在一些实施例中,进一步赋予数据主体对其请求的可否认性的选择,以使得以后不可能看到已经做出的请求。
本公开范围内的实施例还可以包括非暂时性计算机可读存储介质或机器可读介质,用于承载或在其上存储有计算机可执行指令(也称为程序指令)或数据结构。这样的非暂时性计算机可读存储介质或机器可读介质可以是可以由通用或专用计算机访问的任何可用介质。作为举例而非限制,这样的非暂时性计算机可读存储介质或机器可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储装置、磁盘存储装置或其他磁存储设备,或者可以用于承载或存储以计算机可执行指令或数据结构形式的期望程序代码构件的任何其他介质。上述的组合也应当包括在非暂时性计算机可读存储介质或机器可读介质的范围内。
计算机可执行指令包括例如使得通用计算机、专用计算机或专用处理设备执行特定功能或功能组的指令和数据。计算机可执行指令还包括由独立或网络环境中的计算机执行的程序模块。一般地,程序模块包括例程、程序、对象、组件和数据结构等,它们执行特定的任务或实现特定的抽象数据类型。计算机可执行指令、相关联数据结构和程序模块表示用于执行本文公开的方法的步骤的程序代码构件的示例。这样的可执行指令或相关联数据结构的特定序列表示用于实现这样的步骤中描述的功能的对应动作的示例。
虽然已经在附图和前述描述中详细说明和描述了本公开,但是其在性质上应当被认为是说明性的,而不是限制性的。应理解,仅呈现了优选实施例,并且在本公开的精神范围内的所有改变、修改和进一步的应用都期望受到保护。
Claims (20)
1.一种用于处理数据权限请求的方法,所述方法包括:
在第一数据库中存储具有多个人的个人可标识信息的多个数据;
用处理系统从所述多个人中的第一人接收数据权限请求,所述数据权限请求指示要对具有第一人的个人可标识信息的所述多个数据中的第一数据执行的请求动作;
用处理系统接收第一人的生物测定数据;以及
用处理系统搜索第一数据库,以通过将第一人的生物测定数据与第一数据库中的第一数据进行匹配来标识具有第一人的个人可标识信息的第一数据。
2.根据权利要求1所述的方法,进一步包括:
用处理系统对第一数据库中的第一数据执行请求动作。
3.根据权利要求2所述的方法,执行请求动作进一步包括:
从第一数据库中删除第一数据。
4.根据权利要求2所述的方法,执行请求动作进一步包括:
向第一人提供对第一数据的访问。
5.根据权利要求2所述的方法,执行请求动作进一步包括:
标记第一数据库中的第一数据,使得防止对第一数据的进一步处理。
6.根据权利要求5所述的方法,进一步包括:
用处理系统使用第一数据库中的所述多个数据来训练机器学习模型,从而排除第一数据库中已经被标记的任何数据。
7.根据权利要求5所述的方法,进一步包括:
用处理系统接收具有个人可标识信息的附加数据;以及
响应于所述附加数据具有第一人的个人可标识信息,用处理系统标记所述附加数据,使得防止对所述附加数据的进一步处理。
8.根据权利要求1所述的方法,其中,所述生物测定数据是第一人的脸部图像。
9.根据权利要求1所述的方法,进一步包括:
用处理系统接收认证第一人的身份的证书,
其中响应于接收到所述证书,执行搜索第一数据库以标识第一数据。
10.根据权利要求1所述的方法,进一步包括:
用处理系统从多个远程计算设备接收具有个人可标识信息的所述多个数据。
11.根据权利要求10所述的方法,接收所述多个数据进一步包括:
从多个车辆的车辆计算机接收所述多个数据,
其中所述多个数据包括由所述多个车辆捕获的视频数据。
12.根据权利要求10所述的方法,进一步包括:
用处理系统将所述多个数据分离成(i)具有个人可标识信息的所述多个数据的第一子集和(ii)没有任何个人可标识信息的所述多个数据的第二子集。
13.根据权利要求1所述的方法,接收第一人的生物测定数据进一步包括:
接收第一人的加密的生物测定数据;
将第一人的加密的生物测定数据传输到至少一个可信执行环境;以及
使用所述至少一个可信执行环境来对第一人的加密的生物测定数据进行解密。
14.根据权利要求1所述的方法,进一步包括:
用处理系统从第一数据库中的所述多个数据中提取所述多个人的多个生物测定数据;以及
将所述多个生物测定数据存储在第二数据库中。
15.根据权利要求14所述的方法,所述提取进一步包括:
在至少一个可信执行环境中,接收第一数据库中的所述多个数据的相应加密数据;
使用所述至少一个可信执行环境对相应加密数据进行解密;以及
使用所述至少一个可信执行环境从解密的数据中提取生物测定数据。
16.根据权利要求14所述的方法,所述搜索进一步包括:
将第一人的生物测定数据与第二数据库中的所述多个生物测定数据中的第一生物测定数据进行匹配;以及
标识从中提取了匹配的第一生物测定数据的第一数据库的所述多个数据中的第一数据。
17.根据权利要求1所述的方法,其中数据权限请求包括界定第一数据范围的至少一个参数,所述搜索进一步包括:
基于所述至少一个参数搜索数据库以标识第一数据。
18.根据权利要求17所述的方法,其中所述至少一个参数是原始捕获第一数据的时间和地点中的至少一个。
19.根据权利要求1所述的方法,所述搜索进一步包括:
使用至少一个可信执行环境搜索第一数据库。
20.一种用于处理数据权限请求的系统,所述系统包括:
第一数据库,被配置为存储具有多个人的个人可标识信息的多个数据;以及
与第一数据库可操作地连接的处理系统,所述处理系统被配置为:
从所述多个人中的第一人接收数据权限请求,所述数据权限请求指示要对具有第一人的个人可标识信息的所述多个数据中的第一数据执行的请求动作;
接收第一人的生物测定数据;以及
搜索第一数据库,以通过将第一人的生物测定数据与第一数据库中的第一数据进行匹配来标识具有第一人的个人可标识信息的第一数据。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/518,142 US20230133033A1 (en) | 2021-11-03 | 2021-11-03 | System and method for processing a data subject rights request using biometric data matching |
| US17/518142 | 2021-11-03 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116070185A true CN116070185A (zh) | 2023-05-05 |
Family
ID=85983977
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211373598.XA Pending CN116070185A (zh) | 2021-11-03 | 2022-11-03 | 用生物测定数据匹配处理数据主体权限请求的系统和方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20230133033A1 (zh) |
| CN (1) | CN116070185A (zh) |
| DE (1) | DE102022211513A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12045337B2 (en) * | 2021-05-21 | 2024-07-23 | Samsung Electronics Co., Ltd. | Apparatus and method for providing secure execution environment for NPU |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10079684B2 (en) * | 2015-10-09 | 2018-09-18 | Intel Corporation | Technologies for end-to-end biometric-based authentication and platform locality assertion |
| US11210420B2 (en) * | 2016-06-10 | 2021-12-28 | OneTrust, LLC | Data subject access request processing systems and related methods |
| US11196740B2 (en) * | 2018-12-21 | 2021-12-07 | Verizon Patent And Licensing Inc. | Method and system for secure information validation |
| US10990695B2 (en) * | 2019-09-05 | 2021-04-27 | Bank Of America Corporation | Post-recording, pre-streaming, personally-identifiable information (“PII”) video filtering system |
| CN113557701B (zh) * | 2019-09-09 | 2023-04-28 | 谷歌有限责任公司 | 面部认证嵌入迁移和偏移补偿 |
| CA3154285A1 (en) * | 2019-09-11 | 2021-03-18 | Selfiecoin, Inc. | Enhanced biometric authentication |
| US20210398676A1 (en) * | 2020-06-19 | 2021-12-23 | Neil Reza Shadbeh Evans | Machine learning algorithms for detecting medical conditions, related systems, and related methods |
| JP7462550B2 (ja) * | 2020-12-24 | 2024-04-05 | 株式会社日立製作所 | 通信監視対処装置、通信監視対処方法、及び通信監視対処システム |
| US11977660B2 (en) * | 2021-09-15 | 2024-05-07 | Citibank, N.A. | Machine learning modeling to identify sensitive data |
-
2021
- 2021-11-03 US US17/518,142 patent/US20230133033A1/en active Pending
-
2022
- 2022-10-31 DE DE102022211513.9A patent/DE102022211513A1/de active Pending
- 2022-11-03 CN CN202211373598.XA patent/CN116070185A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| DE102022211513A1 (de) | 2023-05-04 |
| US20230133033A1 (en) | 2023-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9202083B2 (en) | Systems and methods for verifying uniqueness in anonymous authentication | |
| US9961077B2 (en) | System and method for biometric authentication with device attestation | |
| KR100800371B1 (ko) | 데이터 처리 방법 및 컴퓨터 판독 가능 매체 | |
| EP4009278A1 (en) | Method for producing labeled image from original image while preventing private information leakage of original image and server using the same | |
| KR102079952B1 (ko) | 얼굴 인식 출입 방법 및 장치 | |
| US20150242607A1 (en) | Anonymous authentication using backup biometric information | |
| US11658978B2 (en) | Authentication using blockchains | |
| CN108959884B (zh) | 人证核验装置和方法 | |
| US11652804B2 (en) | Data privacy system | |
| CN112613051A (zh) | 数据加密存储方法、装置、计算机设备和存储介质 | |
| US20200278948A1 (en) | Method, apparatus and system for managing electronic fingerprint of electronic file | |
| CN116070185A (zh) | 用生物测定数据匹配处理数据主体权限请求的系统和方法 | |
| CN113764062B (zh) | 一种患者数据信息处理方法、装置、系统和存储介质 | |
| US11874752B1 (en) | Methods and systems for facilitating cyber inspection of connected and autonomous electrical vehicles using smart charging stations | |
| CN115051816B (zh) | 基于隐私保护的云计算方法、金融数据云计算方法及装置 | |
| US11507686B2 (en) | System and method for encrypting electronic documents containing confidential information | |
| CN114006735B (zh) | 一种数据保护方法、装置、计算机设备和存储介质 | |
| US11853451B2 (en) | Controlled data access | |
| Sokolova et al. | Security of the telemedicine system information infrastructure | |
| CN112863652A (zh) | 一种医学影像数据存证系统 | |
| CN114726541B (zh) | 电子证照读取方法、装置、设备及存储介质 | |
| CN117195295B (zh) | 一种基于属性加密的数据访问权限验证方法及系统 | |
| US20230195928A1 (en) | Detection and protection of personal data in audio/video calls | |
| CN112182628B (zh) | 一种隐私信息安全访问方法及装置 | |
| US20240098064A1 (en) | Service server capable of performing internet access management services according to grades and the operating method thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |