ES2967335T3 - Sistema y método para el análisis consciente de la privacidad de flujos de vídeo - Google Patents
Sistema y método para el análisis consciente de la privacidad de flujos de vídeo Download PDFInfo
- Publication number
- ES2967335T3 ES2967335T3 ES21155627T ES21155627T ES2967335T3 ES 2967335 T3 ES2967335 T3 ES 2967335T3 ES 21155627 T ES21155627 T ES 21155627T ES 21155627 T ES21155627 T ES 21155627T ES 2967335 T3 ES2967335 T3 ES 2967335T3
- Authority
- ES
- Spain
- Prior art keywords
- privacy
- body region
- anonymized
- images
- training
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 88
- 238000004458 analytical method Methods 0.000 title description 54
- 210000000746 body region Anatomy 0.000 claims abstract description 109
- 230000033001 locomotion Effects 0.000 claims abstract description 89
- 238000012545 processing Methods 0.000 claims description 155
- 230000002123 temporal effect Effects 0.000 claims description 44
- 238000012217 deletion Methods 0.000 claims description 2
- 230000037430 deletion Effects 0.000 claims description 2
- 238000012549 training Methods 0.000 description 234
- 238000010801 machine learning Methods 0.000 description 35
- 230000033228 biological regulation Effects 0.000 description 34
- 238000010586 diagram Methods 0.000 description 33
- 230000008569 process Effects 0.000 description 33
- 238000000605 extraction Methods 0.000 description 18
- 238000003860 storage Methods 0.000 description 17
- 238000007781 pre-processing Methods 0.000 description 14
- 238000013528 artificial neural network Methods 0.000 description 13
- 230000000875 corresponding effect Effects 0.000 description 13
- 238000001514 detection method Methods 0.000 description 12
- 230000000873 masking effect Effects 0.000 description 11
- 230000001815 facial effect Effects 0.000 description 10
- 230000009471 action Effects 0.000 description 8
- 230000006399 behavior Effects 0.000 description 7
- 238000013500 data storage Methods 0.000 description 7
- 230000000670 limiting effect Effects 0.000 description 7
- 230000000717 retained effect Effects 0.000 description 7
- 230000014759 maintenance of location Effects 0.000 description 6
- 239000013598 vector Substances 0.000 description 6
- 230000003542 behavioural effect Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000000007 visual effect Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 239000011521 glass Substances 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000001105 regulatory effect Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 208000032443 Masked facies Diseases 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 2
- 230000015556 catabolic process Effects 0.000 description 2
- 238000004140 cleaning Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000005021 gait Effects 0.000 description 2
- 230000002427 irreversible effect Effects 0.000 description 2
- 238000000275 quality assurance Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 210000001525 retina Anatomy 0.000 description 2
- 208000009119 Giant Axonal Neuropathy Diseases 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000013481 data capture Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 210000000887 face Anatomy 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 201000003382 giant axonal neuropathy 1 Diseases 0.000 description 1
- 238000011065 in-situ storage Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000036961 partial effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000001629 suppression Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/70—Information retrieval; Database structures therefor; File system structures therefor of video data
- G06F16/73—Querying
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/70—Information retrieval; Database structures therefor; File system structures therefor of video data
- G06F16/78—Retrieval characterised by using metadata, e.g. metadata not derived from the content or metadata generated manually
- G06F16/783—Retrieval characterised by using metadata, e.g. metadata not derived from the content or metadata generated manually using metadata automatically derived from the content
- G06F16/7837—Retrieval characterised by using metadata, e.g. metadata not derived from the content or metadata generated manually using metadata automatically derived from the content using objects detected or recognised in the video content
- G06F16/784—Retrieval characterised by using metadata, e.g. metadata not derived from the content or metadata generated manually using metadata automatically derived from the content using objects detected or recognised in the video content the detected or recognised objects being people
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/02—Marketing; Price estimation or determination; Fundraising
- G06Q30/0201—Market modelling; Market analysis; Collecting market data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V20/00—Scenes; Scene-specific elements
- G06V20/40—Scenes; Scene-specific elements in video content
- G06V20/48—Matching video sequences
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V20/00—Scenes; Scene-specific elements
- G06V20/50—Context or environment of the image
- G06V20/52—Surveillance or monitoring of activities, e.g. for recognising suspicious objects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V40/00—Recognition of biometric, human-related or animal-related patterns in image or video data
- G06V40/10—Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
- G06V40/16—Human faces, e.g. facial parts, sketches or expressions
- G06V40/161—Detection; Localisation; Normalisation
- G06V40/167—Detection; Localisation; Normalisation using comparisons between temporally consecutive images
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/18—Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
- H04N7/181—Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast for receiving images from a plurality of remote sources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/029—Location-based management or tracking services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/20—Image preprocessing
- G06V10/22—Image preprocessing by selection of a specific region containing or referencing a pattern; Locating or processing of specific regions to guide the detection or recognition
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Multimedia (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Strategic Management (AREA)
- Finance (AREA)
- Development Economics (AREA)
- Accounting & Taxation (AREA)
- Signal Processing (AREA)
- Library & Information Science (AREA)
- Entrepreneurship & Innovation (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computational Linguistics (AREA)
- Medical Informatics (AREA)
- Human Computer Interaction (AREA)
- Oral & Maxillofacial Surgery (AREA)
- Economics (AREA)
- Game Theory and Decision Science (AREA)
- Marketing (AREA)
- General Business, Economics & Management (AREA)
- Image Analysis (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Image Processing (AREA)
- Testing, Inspecting, Measuring Of Stereoscopic Televisions And Televisions (AREA)
Abstract
Un método y sistema para el seguimiento del movimiento consciente de la privacidad incluye recibir una serie de imágenes de un campo de visión, como las capturadas por una cámara. Las imágenes que contienen movimiento de una persona no identificada dentro del campo de visión. Dentro de las imágenes se detecta una región del cuerpo correspondiente a la persona. Se genera un conjunto de datos de movimiento para la persona no identificada basándose en el seguimiento del movimiento de la región del cuerpo a lo largo de la vista dentro de las imágenes. Para la persona no identificada se determina un conjunto de rasgos característicos. El conjunto está asociado dentro del conjunto de datos de movimiento para formar una primera entrada de seguimiento. La anonimización de la región del cuerpo se puede aplicar para eliminar rasgos de identificación mientras o antes de determinar el conjunto de rasgos característicos. Se puede generar una segunda entrada de pista a partir de una segunda serie de imágenes y se puede determinar la coincidencia entre las entradas de pista. También se contempla un método y sistema para la operación y el aprendizaje conscientes de la privacidad de un módulo de clasificación implementado por computadora. (Traducción automática con Google Translate, sin valor legal)
Description
DESCRIPCIÓN
Sistema y método para el análisis consciente de la privacidad de flujos de vídeo
Solicitud de patente relacionada
La presente solicitud reclama prioridad de la solicitud provisional de patente de los Estados Unidos número.
62/970,482, presentada el 5 de febrero de 2020 y titulada "SYSTEM AND METHOD FOR PRIVACY-AWARE ANALYSIS O<f>VIDEO STREAMS" y de la solicitud provisional de patente de EE. UU. número. 63/085,515, presentada el 30 de septiembre de 2020 y titulada "SYSTEM AND METHOD FOR PRIVACY-AWARE OPERATION AND LEARNING OF A COMPUTER-IMPLEMENTED CLASSIFICATION MODULE".
Campo técnico
La presente descripción se refiere, en un aspecto, a un método y sistema para la clasificación consciente de la privacidad mediante el análisis de flujos de vídeo. Dicha clasificación puede incluir el procesamiento consciente de la privacidad de imágenes (por ejemplo, flujos de vídeo) de personas capturadas por cámaras que cubren un espacio rastreado para determinar, de manera consciente de la privacidad, el movimiento de las personas dentro del espacio rastreado, como para llevar a cabo análisis de tráfico peatonal y comportamiento y/o clasificación demográfica. La presente descripción se refiere, en otro aspecto, a un método y sistema para la operación consciente de la privacidad de un módulo de clasificación implementado por ordenador, y más particularmente, al aprendizaje automático del módulo de clasificación implementado por ordenador de manera restringida para garantizar el cumplimiento de al menos una regulación relacionada con la privacidad.
Antecedentes
En un número creciente de aplicaciones, la generación de datos relacionados con el comportamiento de los usuarios está adquiriendo cada vez más importancia. Por ejemplo, comprender el comportamiento del usuario puede ser útil para entender cómo mejorar y/o proporcionar servicios personalizados a los usuarios.
En una aplicación de análisis de tráfico peatonal y/o clasificación demográfica, se capturan imágenes de usuarios en un espacio (normalmente un espacio público) (ejemplo: tal como por sistemas de cámara de vigilancia) y se analizan. Este análisis puede determinar ciertas tendencias que pueden ser utilizadas para ofrecer servicios mejorados y/o personalizados en el futuro. Un ejemplo particular puede ser el análisis del tráfico de personas y/o la clasificación demográfica en un centro comercial o una tienda en particular para analizar las tendencias de comportamiento de compra. Otros ejemplos de análisis de tráfico peatonal y/o clasificación demográfica pueden incluir análisis en espacios de infraestructura (por ejemplo, aeropuertos, estaciones de metro) o edificios de oficinas. Los problemas de privacidad en la captura de datos relacionados con el comportamiento del usuario se han convertido en una preocupación especialmente importante. Estos problemas incluyen cómo diversas organizaciones (organizaciones públicas o privadas) pueden recopilar, almacenar, analizar y compartir dichos datos. También se han establecido diversas leyes y regulaciones para definir los límites relacionados con la recopilación de datos privados.
El documento JP 2019/149006 describe un programa de procesamiento de imágenes para mejorar la precisión de determinación al determinar una coincidencia de una persona utilizando una pluralidad de imágenes fotografiadas por diferentes aparatos de cámara. Desafortunadamente, el programa descrito no es suficiente para respetar al menos algunas leyes y regulaciones que rigen la recopilación de datos privados.
El documento US 2014/184803 discute una técnica para el seguimiento de objetos con múltiples cámaras que tiene como objetivo preservar la privacidad de las imágenes de cada cámara o grupo de cámaras. La técnica implica el uso de computación segura de múltiples partes para calcular una métrica de distancia a través de datos de múltiples cámaras sin revelar información a los operadores de las cámaras, excepto si un objeto fue observado por ambas cámaras o no.
El documento US 2019/042851 discute un mecanismo para facilitar la protección y recuperación de identidades en entornos de cámaras de vigilancia. El mecanismo incluye lógica de reconocimiento y aplicación para reconocer una actividad anormal y una o más personas asociadas con la actividad anormal en una trama de vídeo del flujo de vídeo. El mecanismo también incluye lógica de recuperación de identidad para recuperar una o más identidades de una o más personas en respuesta a la actividad anormal, donde las una o más identidades se recuperan a partir de datos enmascarados y residuos encriptados asociados con las una o más personas.
Resumen
Según un aspecto, se proporciona un método para el seguimiento de movimiento consciente de la privacidad, el método que comprende:
recibir una primera serie de imágenes que contienen el movimiento de una primera persona no identificada; generar un primer conjunto de datos de movimiento para la primera persona no identificada basado en el seguimiento del movimiento de la primera persona no identificada dentro de la primera serie de imágenes; determinar un primer conjunto de características distintivas para la primera persona no identificada; asociar el primer conjunto de características caracterizadoras con el primer conjunto de datos de movimiento, formando de esta manera una primera entrada de seguimiento;
recibir una segunda serie de imágenes que contienen el movimiento de una segunda persona no identificada; generar un segundo conjunto de datos de movimiento para la segunda persona no identificada basado en el seguimiento del movimiento de la segunda persona no identificada dentro de la segunda serie de imágenes; determinar un segundo conjunto de características distintivas para la segunda persona no identificada; asociar el segundo conjunto de características distintivas con el segundo conjunto de datos de movimiento, formando de esta manera una segunda entrada de pista; y
determinar una coincidencia entre la primera entrada de pista y la segunda entrada de pista.
Según otro aspecto, se proporciona un sistema para realizar un seguimiento de movimiento consciente de la privacidad, el sistema que comprende:
al menos un procesador;
al menos una memoria acoplada al procesador y que almacena instrucciones ejecutables por el procesador y que dicha ejecución hace que el procesador realice operaciones que comprenden:
recibir una primera serie de movimientos que contienen de una primera persona no identificada; generar un primer conjunto de datos de movimiento para la primera persona no identificada basado en el seguimiento del movimiento de la primera persona no identificada dentro de la primera serie de imágenes; determinar un primer conjunto de características distintivas para la primera persona no identificada; asociar el primer conjunto de características distintivas con el primer conjunto de datos de movimiento, formando de esta manera una primera entrada de seguimiento.
recibir una segunda serie de imágenes que contienen el movimiento de una segunda persona no identificada; generar un segundo conjunto de datos de movimiento para la segunda persona no identificada basado en el seguimiento del movimiento de la segunda persona no identificada dentro de la segunda serie de imágenes; determinar un segundo conjunto de características distintivas para la segunda persona no identificada; asociar el segundo conjunto de características distintivas con el segundo conjunto de datos de movimiento, formando de esta manera una segunda entrada de pista; y
determinar una coincidencia entre la primera entrada de pista y la segunda entrada de pista.
Según una modalidad de ejemplo, determinar una coincidencia entre la primera entrada de pista y la segunda entrada de pista implica determinar un nivel de coincidencia entre el primer conjunto de rasgos característicos y el segundo conjunto de rasgos característicos.
Según una modalidad de ejemplo, se capturan una primera serie de imágenes de un primer campo de visión y una segunda serie de imágenes de un segundo campo de visión.
Según una modalidad de ejemplo, la primera serie de imágenes se captura por una primera cámara que tiene el primer campo de visión y la segunda serie de imágenes se captura por una segunda cámara que tiene el segundo campo de visión.
Según una modalidad de ejemplo, determinar la coincidencia incluye determinar si la primera entrada de seguimiento y la segunda entrada de seguimiento satisfacen un conjunto de restricciones predeterminadas de acuerdo con una relación física entre el primer campo de visión y el segundo campo de visión.
Según una modalidad de ejemplo, determinar la coincidencia entre la primera entrada de pista y la segunda entrada de pista se basa en una o más de las siguientes restricciones: restricciones físicas/temporales, restricciones demográficas y coincidencia de color/accesorios.
Según una modalidad de ejemplo, determinar la coincidencia entre la primera entrada de seguimiento y la segunda entrada de seguimiento indica que la primera persona no identificada y la segunda persona no identificada son la misma persona real en el mundo.
Según una modalidad de ejemplo, si se determina una coincidencia entre la primera entrada de seguimiento y la segunda entrada de seguimiento, se vincula el primer conjunto de datos de movimiento y el segundo conjunto de datos de movimiento.
Según una modalidad ilustrativa, el método o sistema incluye además: para al menos una imagen dada de la primera serie de imágenes, anonimizar una primera región del cuerpo correspondiente a la primera persona no identificada mediante la aplicación de al menos una eliminación de características de identificación dentro de la primera región del cuerpo, generando de esta manera una primera región del cuerpo anonimizada; y para al menos una imagen dada de la segunda serie de imágenes, anonimizar una segunda región del cuerpo correspondiente a la segunda persona no identificada mediante la aplicación de al menos una eliminación de características de identificación dentro de la segunda región del cuerpo, generando de esta manera una segunda región del cuerpo anonimizada, en donde el primer conjunto de rasgos característicos para la primera persona no identificada se determina en base al procesamiento de la primera región del cuerpo anonimizada, el primer conjunto de rasgos característicos basado en la primera región del cuerpo anonimizada se asocia con el primer conjunto de datos de movimiento para formar la primera entrada de seguimiento, el segundo conjunto de rasgos característicos para la segunda persona no identificada se determina en base al procesamiento de la segunda región del cuerpo anonimizada, el segundo conjunto de rasgos característicos basado en la segunda región del cuerpo anonimizada se asocia con el segundo conjunto de datos de movimiento para formar la segunda entrada de seguimiento.
Según una modalidad de ejemplo, la al menos una eliminación de características de identificación dentro de la primera región del cuerpo comprende la eliminación de al menos una característica biométrica de identificación única y la al menos una eliminación de características de identificación dentro de la segunda región del cuerpo comprende la eliminación de al menos una característica biométrica de identificación única.
Según una modalidad de ejemplo, la al menos una eliminación de características de identificación dentro de la primera región del cuerpo comprende la eliminación de cualquier característica biométrica única identificativa, y la al menos una eliminación de características de identificación dentro de la segunda región del cuerpo comprende la eliminación de cualquier característica biométrica única identificativa.
Según una modalidad de ejemplo, al menos una eliminación de características de identificación dentro de la primera región del cuerpo incluye detectar una subregión de cara primera dentro de la primera región del cuerpo y enmascarar la subregión de cara primera detectada; y la al menos una eliminación de características de identificación dentro de la segunda región del cuerpo incluye detectar una subregión de cara segunda dentro de la segunda región del cuerpo y enmascarar la subregión de cara segunda detectada.
Según una modalidad de ejemplo, la al menos una eliminación de características de identificación dentro del primer cuerpo comprende distorsionar aleatoriamente la primera región del cuerpo para eliminar una silueta de la primera región del cuerpo como una característica de identificación única, y la al menos una eliminación de características de identificación dentro del segundo cuerpo comprende distorsionar aleatoriamente la segunda región del cuerpo para eliminar una silueta de la segunda región del cuerpo como una característica de identificación única.
Según una modalidad de ejemplo, la distorsión aleatoria de la primera región del cuerpo incluye modificar la primera región del cuerpo mediante una primera relación de aspecto aleatoria, y la distorsión aleatoria de la segunda región del cuerpo implica modificar la segunda región del cuerpo mediante una segunda relación de aspecto aleatoria. Según una modalidad de ejemplo, el primer conjunto de rasgos característicos comprende un patrón de color y un conjunto de características accesorias.
Según una modalidad ilustrativa, el primer conjunto de rasgos característicos comprende una o más características de color, características de ropa y características de accesorios personales.
Según una modalidad ilustrativa, el primer conjunto de rasgos característicos es insuficiente para determinar una identidad única de la primera persona no identificada y el segundo conjunto de rasgos característicos es insuficiente para determinar una identidad única de la segunda persona no identificada.
Según una modalidad ilustrativa, el primer conjunto de rasgos característicos se determina sin aplicar ninguna generación de plantilla biométrica y el segundo conjunto de rasgos característicos se determina sin aplicar ninguna generación de plantilla biométrica.
Según una modalidad de ejemplo, la anonimización de la primera región del cuerpo y la anonimización de la segunda región del cuerpo se llevan a cabo en una ubicación de red segura.
Según una modalidad de ejemplo, la ubicación de red segura se comparte con un sistema de vigilancia que tiene una pluralidad de cámaras, que incluye la primera cámara y la segunda cámara.
Según otro aspecto, se proporciona un método para procesar un conjunto de al menos una corriente de vídeo, el método que comprende:
para un primer intervalo de tiempo del flujo de vídeo, dividiendo el flujo de vídeo del primer intervalo de tiempo en una pluralidad de segmentos de vídeo, cada segmento de vídeo tiene una duración menor que una duración umbral;
determinar aleatoriamente un primer tiempo de inicio de procesamiento;
para cada segmento de vídeo del primer intervalo de tiempo posterior al tiempo de inicio de procesamiento determinado al azar:
ajustar la marca de tiempo de la porción mediante un desplazamiento de tiempo aleatorio asociado al primer intervalo de tiempo, el mismo desplazamiento de tiempo aleatorio se aplica a cada porción de vídeo; y procesar la porción de vídeo para determinar características de una o más personas capturadas en la porción de vídeo.
Según otro aspecto, se proporciona un sistema para procesar un conjunto de al menos una corriente de vídeo, el sistema que comprende:
al menos un procesador;
al menos una memoria acoplada al procesador y que almacena instrucciones ejecutables por el procesador y que dicha ejecución hace que el procesador realice operaciones que comprenden:
para un primer intervalo de tiempo del flujo de vídeo, dividir el flujo de vídeo del primer intervalo de tiempo en una pluralidad de segmentos de vídeo, cada segmento de vídeo tiene una duración menor que una duración umbral.
determinar aleatoriamente un primer tiempo de inicio de procesamiento;
para cada segmento de vídeo del primer intervalo de tiempo posterior al tiempo de inicio de procesamiento determinado al azar:
ajustar la marca de tiempo de la porción mediante un desplazamiento de tiempo aleatorio asociado al primer intervalo de tiempo, el mismo desplazamiento de tiempo aleatorio se aplica a cada porción de vídeo; y
procesar la porción de vídeo para determinar características de una o más personas capturadas en la porción de vídeo.
Según una modalidad de ejemplo, el tiempo dedicado al procesamiento de la porción es menor que la duración de la porción de vídeo.
Según una modalidad de ejemplo, la duración del umbral está definida legislativamente.
Según una modalidad de ejemplo, determinar aleatoriamente un primer tiempo de inicio de procesamiento implica seleccionar aleatoriamente un segmento de vídeo de inicio de entre la pluralidad de porciones de vídeo.
Según una modalidad de ejemplo, la porción de vídeo inicial se selecciona al azar de un subconjunto de porciones de vídeo que caen dentro de un subintervalo del primer intervalo de tiempo.
Según una modalidad de ejemplo, el subintervalo corresponde a la primera hora del primer intervalo de tiempo. Según una modalidad ilustrativa, el conjunto de al menos un flujo de vídeo comprende una pluralidad de flujos capturados por una pluralidad de cámaras; cada flujo de vídeo se divide en la pluralidad de segmentos de vídeo; se aplica el mismo tiempo de inicio de procesamiento determinado al azar para cada uno de los flujos de vídeo; y se ajustan las marcas de tiempo de cada uno de los segmentos de cada uno de los flujos de vídeo mediante el mismo desplazamiento de tiempo inicial aleatorio.
Según una modalidad ilustrativa, el sistema o método incluye además, para un segundo intervalo de tiempo del flujo de vídeo, dividir el flujo de vídeo del segundo intervalo de tiempo en una pluralidad de segmentos de vídeo, cada segmento de vídeo tiene una duración menor que la duración umbral; determinar aleatoriamente un segundo tiempo de inicio de procesamiento, el segundo tiempo de inicio de procesamiento se determina de forma independiente del primer tiempo de inicio de procesamiento; para cada segmento de vídeo del segundo intervalo de tiempo posterior al segundo tiempo de inicio de procesamiento determinado aleatoriamente: ajustar la marca de tiempo del segmento mediante un desplazamiento de tiempo aleatorio asociado al segundo intervalo de tiempo, el mismo desplazamiento de tiempo se aplica a cada segmento de vídeo del segundo intervalo de tiempo; y procesar el segmento de vídeo para determinar características de una o más personas capturadas en el segmento de vídeo.
Según una modalidad de ejemplo, el procesamiento de la porción de vídeo comprende llevar a cabo la clasificación consciente de la privacidad de las imágenes capturadas de personas según el método de seguimiento consciente de la privacidad descrito aquí según varias modalidades de ejemplo.
Según otro aspecto, se proporciona un método de análisis consciente de la privacidad de flujos de vídeo, el método que comprende:
recibir, en una primera ubicación de red, una pluralidad de flujos de vídeo capturados cada uno por una respectiva de una pluralidad de cámaras, cada cámara teniendo un respectivo campo de visión;
procesando, en la primera ubicación de la red, los flujos de vídeo para determinar, para cada una de una pluralidad de personas no identificadas capturadas en los flujos de vídeo, una entrada de seguimiento que tenga un conjunto de datos de movimiento que indique el movimiento de la persona y un conjunto de características que caracterice a la persona;
almacenando la pluralidad de entradas de seguimiento;
procesar la pluralidad de entradas de seguimiento para generar un informe que representa el movimiento de la pluralidad de personas;
hacer que el informe esté disponible en una ubicación de red secundaria remota de la primera ubicación de red. Según otro aspecto, se proporciona un sistema para el análisis consciente de la privacidad de flujos de vídeo, el sistema que comprende:
una primera ubicación de red que tiene un primer procesador y al menos una memoria acoplada al primer procesador y que almacena instrucciones ejecutables por el primer procesador y que dicha ejecución hace que el procesador realice operaciones que comprenden:
recibir una pluralidad de flujos de vídeo capturados cada uno por una respectiva de una pluralidad de cámaras, cada cámara teniendo un respectivo campo de visión;
procesar, en la primera ubicación de la red, los flujos de vídeo para determinar, para cada una de una pluralidad de personas no identificadas capturadas en los flujos de vídeo, una entrada de seguimiento que tenga un conjunto de datos de movimiento que indique el movimiento de la persona y un conjunto de características que caracterice a la persona;
almacenar la pluralidad de entradas de seguimiento; y
una segunda ubicación de red remota de la primera ubicación de red, que tiene un segundo procesador y al menos una memoria acoplada al segundo procesador y que almacena instrucciones ejecutables por el segundo procesador y que dicha ejecución hace que el procesador realice operaciones que comprenden:
hacer que el informe esté disponible desde la red de la segunda ubicación;
en donde al menos uno de los primeros procesadores y el segundo procesador está configurado para procesar la pluralidad de entradas de seguimiento para generar el informe que representa el movimiento de la pluralidad de personas.
Según una modalidad de ejemplo, el procesamiento de la pluralidad de entradas de seguimiento para generar un informe que representa el movimiento de la pluralidad de personas se lleva a cabo en la segunda ubicación de la red.
Según una modalidad de ejemplo, las entradas de seguimiento recibidas no están disponibles cuando el informe se pone a disposición desde la segunda ubicación de red.
Según una modalidad de ejemplo, el flujo de vídeo de cada cámara se procesa primero de forma individual para determinar la pluralidad de entradas de seguimiento; y las entradas de seguimiento para cada flujo de vídeo se almacenan de forma independiente de las entradas de seguimiento de cualquier otro flujo de vídeo de la pluralidad de flujos de vídeo.
Según una modalidad de ejemplo, el procesamiento de la pluralidad de entradas de seguimiento comprende: determinar una correspondencia entre un conjunto dado de entradas de seguimiento de al menos dos flujos de vídeo basado en una coincidencia de los conjuntos de rasgos característicos almacenadas en el conjunto dado de entradas de seguimiento; fusionar las entradas de seguimiento coincidentes como una entrada de recorrido; y el informe se genera en base a la entrada de recorrido.
Según una modalidad de ejemplo, el procesamiento del flujo de vídeo comprende, para cada serie, realizar el seguimiento de movimiento consciente de la privacidad descrito aquí según varias modalidades de ejemplo.
Según una modalidad de ejemplo, los flujos de vídeo se procesan de acuerdo con el método para procesar un conjunto de al menos un flujo de vídeo descrito aquí según varias modalidades de ejemplo.
Según otro aspecto, se proporciona un método para la operación consciente de la privacidad de un módulo de clasificación implementado en un ordenador, el método que comprende:
recibir una pluralidad de elementos de datos capturados para una o más personas no identificadas presentes en una ubicación geográfica monitoreada;
entrenar el módulo de clasificación implementado por ordenador mediante aprendizaje automático utilizando un primer conjunto de los elementos de datos, al menos una restricción de procesamiento se aplica al entrenamiento para garantizar el cumplimiento de al menos una regulación relacionada con la privacidad.
Según otro aspecto, se proporciona un sistema de análisis habilitado para el entrenamiento consciente de la privacidad que comprende uno o más nodos informáticos que implementan un módulo de clasificación implementado por ordenador, la operación del módulo de clasificación implementado por ordenador comprende:
recibir una pluralidad de elementos de datos capturados para una o más personas no identificadas presentes en una ubicación geográfica monitoreada;
entrenar el módulo de clasificación implementado por ordenador mediante aprendizaje automático utilizando un primer conjunto de los elementos de datos, al menos una restricción de procesamiento se aplica al entrenamiento para garantizar el cumplimiento de al menos una regulación relacionada con la privacidad.
Según una modalidad de ejemplo, al menos una regulación relacionada con la privacidad comprende regulaciones, legislaciones y/o protocolos aplicables para la ubicación geográfica monitoreada.
Según una modalidad de ejemplo, al menos una regulación relacionada con la privacidad comprende el Reglamento General de Protección de Datos (GDPR).
Según una modalidad de ejemplo, la al menos una restricción de procesamiento comprende una restricción temporal aplicada al entrenamiento.
Según una modalidad de ejemplo, la al menos una restricción de procesamiento comprende una restricción geográfica aplicada al entrenamiento.
Según una modalidad de ejemplo, la pluralidad de elementos de datos son imágenes capturadas de las personas no identificadas.
Según una modalidad de ejemplo, las imágenes se toman de los flujos de vídeo capturados de las personas no identificadas.
Según una modalidad de ejemplo, el método o sistema incluye además operar el módulo de clasificación implementado por ordenador para procesar un segundo conjunto de elementos de datos, aplicándose al menos una restricción de procesamiento a la operación del módulo de clasificación implementado por ordenador.
Según una modalidad ilustrativa, el primer conjunto de elementos de datos se utiliza como elementos de datos de entrenamiento, y en donde el entrenamiento comprende: para cada uno de los elementos de datos de entrenamiento dados del primer conjunto, entrenar el módulo de clasificación implementado por ordenador mediante aprendizaje automático utilizando los elementos de datos de entrenamiento dados en al menos una ubicación geográfica de aprendizaje que tiene una comunidad geográfica con la ubicación geográfica monitoreada.
Según una modalidad ilustrativa, un segundo conjunto de los elementos de datos recibidos se utilizan como elementos de datos operativos y el método o sistema además incluye, para cada uno de los elementos de datos operativos dados, operar el módulo de clasificación implementado por ordenador para procesar el elemento de datos operativo dado y determinar un conjunto de datos contextuales respectivo, el módulo de clasificación implementado por ordenador se opera en al menos una ubicación geográfica operativa que tiene la comunidad geográfica con la ubicación geográfica monitoreada.
Según una modalidad de ejemplo, el módulo de clasificación implementado por ordenador determina el conjunto de datos contextual basado en características biométricas de una persona capturadas en el elemento de datos operativo.
Según una modalidad de ejemplo, el procesamiento de la pluralidad de elementos de datos recibidos por el módulo de clasificación implementado por ordenador durante el entrenamiento se restringe en cualquier ubicación que carezca de una comunidad geográfica común con la ubicación geográfica monitoreada.
Según una modalidad ilustrativa, el entrenamiento del módulo de clasificación implementado por ordenador mediante aprendizaje automático comprende consultar a un experto humano y recibir una anotación para el elemento de datos de entrenamiento, el cual se muestra al experto humano en al menos una ubicación geográfica de anotación que tiene una comunidad geográfica en común con la ubicación geográfica monitoreada.
Según una modalidad de ejemplo, los límites de la comunalidad geográfica se definen por al menos una regulación relacionada con la privacidad.
Según una modalidad ilustrativa, para cada uno de los elementos de datos de entrenamiento dados: se completa el entrenamiento del módulo de clasificación implementado por ordenador mediante aprendizaje automático utilizando el elemento de datos de entrenamiento dentro de un intervalo de tiempo de entrenamiento después de recibir el elemento de datos de entrenamiento, siendo el intervalo de tiempo de entrenamiento más corto que una duración de umbral temporal predeterminada.
Según una modalidad ilustrativa, el entrenamiento del módulo de clasificación implementado por ordenador mediante aprendizaje automático comprende consultar a un experto humano y recibir una anotación para el elemento de datos de entrenamiento por parte del experto humano, siendo mostrado el elemento de datos de entrenamiento al experto humano, recibir la anotación y completando el entrenamiento de la clasificación implementada por ordenador mediante aprendizaje automático con el elemento de datos de entrenamiento anotado dentro del intervalo de tiempo de entrenamiento después de recibir el elemento de datos de entrenamiento.
Según una modalidad ilustrativa, la duración del umbral temporal predeterminado está definida por al menos una regulación relacionada con la privacidad.
Según una modalidad ilustrativa, para cada uno de los elementos de datos operativos dados: el procesamiento del elemento de datos operativo por el módulo de clasificación implementado por ordenador para determinar el conjunto de datos contextual se completa dentro de un intervalo de tiempo de funcionamiento después de recibir el elemento de datos operativo dado, siendo el intervalo de tiempo de funcionamiento más corto que una duración de umbral temporal predeterminada.
Según una modalidad ilustrativa, el módulo de clasificación implementado por ordenador se entrena inicialmente con un conjunto de datos de entrenamiento inicial capturado en ubicaciones distintas a la ubicación geográfica monitoreada.
Según una modalidad ilustrativa, el primer conjunto de elementos de datos se utiliza como elementos de datos de entrenamiento y en donde el entrenamiento comprende: para cada uno de los elementos de datos de entrenamiento del primer conjunto, entrenar el módulo de clasificación implementado por ordenador mediante aprendizaje automático utilizando el elemento de datos de entrenamiento dado, el entrenamiento se completa dentro de un intervalo de tiempo de entrenamiento después de recibir el elemento de datos de entrenamiento, el intervalo de tiempo de entrenamiento es más corto que una duración de umbral temporal predeterminada.
Según una modalidad ilustrativa, en donde un segundo conjunto de los elementos de datos recibidos se utilizan como elementos de datos operativos, el método o sistema además incluye: para cada uno de los elementos de datos operativos dados, operar el módulo de clasificación implementado por ordenador para procesar el elemento de datos operativo y determinar un conjunto de datos contextual respectivo, el procesamiento se completa dentro de un intervalo de tiempo de procesamiento después de recibir el elemento de datos operativo dado, el intervalo de tiempo de procesamiento es más corto que la duración de umbral temporal predeterminada.
Según una modalidad ilustrativa, el módulo de clasificación implementado por ordenador determina el conjunto de datos contextual basado en características biométricas de una persona capturadas en el elemento de datos operativo.
Según una modalidad ilustrativa, el entrenamiento del módulo de clasificación implementado por ordenador mediante aprendizaje automático comprende consultar a un experto humano y recibir una anotación para el elemento de datos de entrenamiento, el cual es mostrado al experto humano. La anotación se recibe y el entrenamiento de la clasificación implementada por ordenador mediante aprendizaje automático con el elemento de datos de entrenamiento anotado se completa dentro del intervalo de tiempo de entrenamiento después de recibir el elemento de datos de entrenamiento.
Según una modalidad ilustrativa, la duración de umbral temporal predeterminada está definida por al menos una regulación relacionada con la privacidad.
Según una modalidad ilustrativa, el primer conjunto de elementos de datos se utiliza como elementos de datos de entrenamiento y el entrenamiento comprende:
para cada uno de los elementos de datos de entrenamiento de un primer subconjunto, entrenar el primer módulo de clasificación implementado por ordenador mediante aprendizaje automático utilizando el elemento de datos de entrenamiento dado del primer conjunto en al menos una primera ubicación geográfica de aprendizaje que tiene una comunidad geográfica con la ubicación geográfica monitoreada, y el entrenamiento del primer módulo de clasificación implementado por ordenador mediante aprendizaje automático utilizando el elemento de datos de entrenamiento del primer subconjunto se completa dentro de un primer intervalo de tiempo de entrenamiento después de recibir el elemento de datos de entrenamiento del primer subconjunto, siendo el primer intervalo de tiempo de entrenamiento más corto que una duración de umbral temporal predeterminada;
para cada uno de los elementos de datos de entrenamiento de un segundo subconjunto dados, anonimizar el elemento de datos de entrenamiento dado del segundo subconjunto, de modo que una persona capturada en el elemento de datos de entrenamiento anonimizado sea irreconocible; y
entrenar el segundo módulo de clasificación implementado por ordenador mediante aprendizaje automático utilizando el elemento de datos de entrenamiento anonimizado, el entrenamiento del segundo módulo de clasificación implementado por ordenador no está restringido a ninguna ubicación que tenga la similitud geográfica con la ubicación geográfica monitoreada.
Según una modalidad ilustrativa, un segundo conjunto de los elementos de datos recibidos se utiliza como elementos de datos operativos y el método o sistema además incluye, para cada uno de los elementos de datos operativos dados:
operar un primer módulo de clasificación implementado por ordenador para procesar el elemento de datos operativos dado y determinar un conjunto de datos contextúales respectivo, el módulo de clasificación implementado por ordenador se opera en al menos una ubicación geográfica operativa que tiene la similitud geográfica con la ubicación geográfica monitoreada y el procesamiento del elemento de datos operativos por el primer módulo de clasificación implementado por ordenador para determinar el conjunto de datos contextuales se completa dentro de un primer intervalo de tiempo de procesamiento después de recibir el elemento de datos operativos dado, el intervalo de tiempo de procesamiento es más corto que la duración de umbral temporal predeterminada;
anonimizar el elemento de datos operativo dentro del primer intervalo de tiempo de procesamiento, mediante el cual una persona capturada en el elemento de datos operativo anonimizado es no identificable;
operar un segundo módulo de clasificación implementado por ordenador para procesar el elemento de datos operativos anonimizados dado y determinar un conjunto de características respectivo, el funcionamiento del segundo módulo de clasificación implementado por ordenador no está restringido a ninguna ubicación que tenga la misma ubicación geográfica que la ubicación geográfica monitoreada.
Según una modalidad ilustrativa, el segundo módulo de clasificación implementado por ordenador se opera en al menos una segunda ubicación geográfica operativa, cada una de las cuales se encuentra fuera de los límites de la comunalidad geográfica con la ubicación geográfica monitoreada, y en donde el segundo módulo de clasificación implementado por ordenador se entrena en al menos una segunda ubicación geográfica de entrenamiento, cada una de las cuales se encuentra fuera de los límites de la comunalidad geográfica con la ubicación geográfica monitoreada.
Según una modalidad ilustrativa, el procesamiento del elemento de datos operativos anonimizados por el segundo módulo de clasificación implementado por ordenador para determinar el conjunto de rasgos característicos se completa dentro de un segundo intervalo de tiempo de procesamiento después de recibir el elemento de datos operativos, siendo este segundo intervalo de tiempo de procesamiento más largo que la duración de umbral temporal predeterminada.
Según una modalidad ilustrativa, el primer módulo de clasificación implementado por ordenador determina el conjunto de datos contextual basado en características biométricas del elemento de datos operativo; y el segundo módulo de clasificación implementado por ordenador determina el conjunto de rasgos característicos basado en características no biométricas del elemento de datos operativo anonimizado.
Según una modalidad ilustrativa, el entrenamiento del segundo módulo de clasificación implementado por ordenador mediante aprendizaje automático utilizando el elemento de datos de entrenamiento del segundo subconjunto se completa dentro de un segundo intervalo de tiempo de entrenamiento después de la captura del elemento de datos de entrenamiento, siendo el segundo intervalo de tiempo de entrenamiento más largo que la duración de umbral temporal predeterminada.
Según una modalidad ilustrativa, el entrenamiento del primer módulo de clasificación implementado por ordenador mediante aprendizaje automático comprende consultar a un primer experto humano y recibir una anotación para el elemento de datos de entrenamiento del primer subconjunto, el cual se muestra al experto humano en al menos una ubicación geográfica de anotación, teniendo en común geográficamente con la ubicación geográfica monitoreada, y el elemento de datos de entrenamiento del primer subconjunto se muestra al experto humano. La anotación se recibe y el entrenamiento del primer módulo de clasificación implementado por ordenador mediante aprendizaje automático con el elemento de datos de entrenamiento anotado del primer subconjunto se completa dentro del primer intervalo de tiempo de entrenamiento después de recibir la imagen de entrenamiento del primer subconjunto; y el entrenamiento del segundo módulo de clasificación implementado por ordenador mediante aprendizaje automático comprende consultar a un segundo experto humano y recibir una anotación para el elemento de datos de entrenamiento del segundo subconjunto, el cual se muestra al segundo experto humano en al menos una ubicación geográfica de anotación, sin restricciones de tener en común geográficamente con la ubicación geográfica monitoreada.
Según un aspecto, se proporciona un medio legible por ordenador no transitorio que almacena instrucciones ejecutables por ordenador que, cuando son ejecutadas por un procesador, realiza los pasos de los métodos descritos aquí según varias modalidades de ejemplo.
Breve descripción de las figuras
Para una mejor comprensión de las modalidades descritas en este documento y para mostrar de manera más clara cómo pueden llevarse a cabo, se hará referencia, únicamente a modo de ejemplo, a los dibujos adjuntos que muestran al menos una modalidad ilustrativa, y en los cuales:
La Figura 1 ilustra un diagrama esquemático de un sistema de análisis de flujo de vídeo consciente de la privacidad según una modalidad ilustrativa;
Las Figuras 2 y 3 ilustran cada una un diagrama esquemático de varios subsistemas del sistema de análisis de flujo de vídeo consciente de la privacidad según una modalidad ilustrativa;
La Figura 4a muestra un diagrama esquemático de los submódulos operativos de un módulo de seguimiento consciente de la privacidad según una modalidad ilustrativa;
La Figura 4b ilustra un diagrama esquemático que muestra la recuperación de un flujo de vídeo por parte del módulo de seguimiento consciente de la privacidad desde un servidor de un subsistema de cámara según una modalidad ilustrativa;
La Figura 4c ilustra un diagrama esquemático que muestra la aleatorización de la información de sincronización en una secuencia de vídeo según una modalidad ilustrativa;
La Figura 4d ilustra un diagrama esquemático que muestra los pasos operativos de un método para el procesamiento consciente de la privacidad de al menos un flujo de vídeo según una modalidad ilustrativa;
La Figura 5a ilustra un diagrama esquemático que muestra gráficamente los pasos de procesamiento aplicados a una serie de imágenes por el submódulo de preprocesamiento y el submódulo de extracción de características según una modalidad ilustrativa;
La Figura 5b ilustra un diagrama esquemático que muestra los pasos operativos de un método para el seguimiento de movimiento consciente de la privacidad según una modalidad ilustrativa;
La Figura 5c ilustra un diagrama esquemático que muestra gráficamente los pasos de procesamiento para generar datos contextuales junto con la generación del conjunto de rasgos característicos según una modalidad ilustrativa;
La Figura 6 ilustra un diagrama esquemático que muestra las entradas de pista almacenadas según una modalidad ilustrativa;
La Figura 7a ilustra un campo de visión ilustrativo de una cámara y las acciones que una persona puede realizar dentro del espacio cubierto por el campo de visión;
La Figura 7b ilustra una representación de un espacio monitoreado simple y sus campos de visión según una modalidad ilustrativa;
La Figura 7c muestra una representación de una red de gráficos que define el conjunto de reglas de restricción aplicables al espacio de la Figura 7b;
La Figura 7d ilustra otro espacio rastreado y su red de gráficos representativa según otra modalidad ilustrativa; La Figura 8 ilustra un plano de planta de un espacio monitoreado en el que también se muestra una entrada de recorrido;
La Figura 9a ilustra un informe generado consciente de la privacidad ilustrativo;
La Figura 9b ilustra ejemplos de informes generados conscientes de la privacidad para dos ubicaciones rastreadas;
La Figura 9c muestra detalles de un informe generado consciente de la privacidad;
La Figura 9d muestra detalles de otro informe generado consciente de la privacidad que muestra los recorridos populares;
La Figura 10 ilustra un diagrama esquemático de un sistema de análisis habilitado para entrenamiento consciente de la privacidad según una modalidad ilustrativa;
La Figura 11 ilustra un diagrama esquemático de la actividad de procesamiento implementada por ordenador del análisis habilitado para el entrenamiento consciente de la privacidad según una modalidad ilustrativa;
La Figura 12 ilustra un diagrama esquemático de los submódulos operativos de las operaciones conscientes de la privacidad llevadas a cabo en los nodos informáticos de un sistema habilitado para el entrenamiento, según una modalidad ilustrativa;
La Figura 13 ilustra un diagrama esquemático que muestra gráficamente los pasos de procesamiento para generar el conjunto de datos contextual y los datos de rasgos característicos con aprendizaje en línea según una modalidad ilustrativa;
La Figura 14 es una tabla que muestra un desglose de los tipos de imágenes y su almacenamiento permitido según una modalidad ilustrativa;
La Figura 15 ilustra un diagrama esquemático de una modalidad ilustrativa del sistema habilitado para el entrenamiento consciente de la privacidad que tiene la red generativa antagónica, el aseguramiento de calidad supervisado y el aprendizaje federado según una modalidad ilustrativa.
Se agradecerá que, para simplificar y clarificar la ilustración, los elementos mostrados en las figuras no necesariamente se han dibujado a escala. Por ejemplo, las dimensiones de algunos de los elementos pueden estar exageradas en relación a otros elementos para mayor claridad.
Descripción detallada
Se agradecerá que, para simplificar y clarificar la ilustración, cuando se considere apropiado, los números de referencia se puedan repetir entre las figuras para indicar elementos o pasos correspondientes o análogos. Además, se establecen numerosos detalles específicos con el fin de proporcionar una comprensión completa de las modalidades ejemplares descritas en este documento. Sin embargo, se entenderá por aquellos con habilidades ordinarias en el arte, que las modalidades descritas aquí pueden ser practicadas sin estos detalles específicos. En otros casos, no se han descrito en detalle los métodos, procedimientos y componentes conocidos para no oscurecer las modalidades descritas aquí. Además, esta descripción no debe considerarse como limitante del alcance de las modalidades descritas aquí de ninguna manera, sino más bien como una mera descripción de la implementación de las diversas modalidades descritas aquí.
Como se debe apreciar, varias modalidades descritas aquí también pueden ser implementadas como métodos, aparatos, sistemas, dispositivos informáticos, entidades informáticas y/o similares. Como tal, las modalidades pueden adoptar la forma de un aparato, sistema, dispositivo informático, entidad informática y/o similares que ejecutan instrucciones almacenadas en un medio de almacenamiento legible por ordenador para realizar ciertos pasos u operaciones. Sin embargo, las modalidades de la presente invención también pueden adoptar la forma de una modalidad completamente de hardware que realiza ciertos pasos u operaciones. Tales dispositivos pueden comprender cada uno al menos un procesador, un sistema de almacenamiento de datos (que incluye elementos de memoria y/o almacenamiento volátiles y no volátiles). Por ejemplo, y sin limitación, el ordenador programable puede ser una unidad lógica programable, un ordenador de gran tamaño, un servidor, un ordenador personal, un programa o sistema basado en la nube, un ordenador portátil, un asistente personal de datos, un teléfono celular, un teléfono inteligente, un dispositivo portátil, un dispositivo de tableta, dispositivos de realidad virtual, dispositivos de visualización inteligente (por ejemplo, TV inteligente), un decodificador, una consola de videojuegos o dispositivos de videojuegos portátiles.
Se describen a continuación modalidades de la presente con referencia a diagramas de bloques e ilustraciones de diagramas de flujo. Por lo tanto, se debe entender que cada bloque de los diagramas de bloques y las ilustraciones de diagramas de flujo, respectivamente, se puede implementar en forma de un producto de programa informático, una modalidad completamente de hardware, una combinación de productos de hardware y programa informático, y/o aparatos, sistemas, dispositivos informáticos, entidades informáticas y/o similares que llevan a cabo instrucciones en un medio de almacenamiento legible por ordenador para su ejecución. Tales modalidades pueden producir máquinas específicamente configuradas que realizan los pasos u operaciones especificados en los diagramas de bloques e ilustraciones de diagramas de flujo. En consecuencia, los diagramas de bloque y las ilustraciones de diagramas de flujo respaldan varias combinaciones de modalidades para llevar a cabo los pasos u operaciones especificados.
El término "consciente de la privacidad" se utiliza aquí para describir de manera general los métodos y sistemas que procesan información sensible a la privacidad de una manera que considera especialmente los problemas relacionados con la privacidad, como garantizar el cumplimiento de la legislación, protocolos o regulaciones relacionadas con la privacidad aplicables (por ejemplo, el Reglamento General de Protección de Datos (RGPD)). El término "persona no identificada" aquí se refiere a una persona capturada dentro de imagen(es) de un flujo de vídeo para la cual no se han aplicado pasos de procesamiento para identificar de manera única a esa persona. El término "identificar de manera única" o variantes del mismo se refiere aquí a aplicar pasos de procesamiento a imagen(es) de una persona capturada dentro de un flujo de vídeo con el objetivo de determinar un identificador único para la persona. De esta manera, la persona puede ser identificada de manera única y distinguirse de cualquier otra persona que pudiera ser capturada en cualquier flujo de vídeo o en otro lugar.
El término "característica de identificación única" o variantes del mismo se refiere aquí a una característica encontrada en una secuencia de vídeo u otros datos capturados que permitiría la identificación única de una persona capturada dentro de los datos. En varias modalidades de ejemplo, una característica de identificación única puede incluir características biométricas de la persona.
El término "anonimizar" aquí se refiere a aplicar un paso activo para eliminar al menos una característica dentro de los datos capturados que permitiría la identificación de una persona encontrada dentro de los datos capturados. Haciendo referencia ahora a la Figura 1, se muestra en ella un diagrama esquemático de los módulos operativos de un sistema de análisis de flujo de vídeo consciente de la privacidad 1, de acuerdo con una modalidad ilustrativa. Se entenderá que el sistema de análisis de flujo de vídeo consciente de la privacidad 1 puede incluir infraestructura existente, así como módulos adicionales (hardware y/o software). El sistema de análisis de flujo de vídeo consciente de la privacidad 1 también puede incluir módulos de hardware y/o módulos de software que se encuentran en diferentes ubicaciones, como en diferentes ubicaciones de red. Se entenderá que las referencias a sistemas, subsistemas y/o módulos aquí pueden referirse tanto a módulos adicionales por sí solos como a una combinación de módulos adicionales con infraestructuras existentes. Además, las referencias a sistemas, subsistemas y/o módulos aquí también pueden referirse a subsistemas o módulos ubicados en la misma ubicación de red o a subsistemas o módulos ubicados en más de una ubicación de red.
Continuando con la Figura 1, el sistema de análisis de flujo de vídeo consciente de la privacidad 1 incluye un subsistema de cámara 8. El subsistema de cámara 8 incluye una pluralidad de cámaras 16, cada una que genera una corriente de vídeo capturada respectiva, y un servidor 24 operable para recibir las corrientes de vídeo capturadas, almacenar las corrientes y poner las corrientes a disposición para su visualización o análisis. El servidor 24 puede incluir uno o más grabadores de vídeo en red 32 para almacenar los flujos. Las cámaras 16 pueden ser cámaras IP que graban flujos de vídeo en formato digital. El subsistema de cámara 8, y en particular el servidor 24 y los grabadores de vídeo en red 32 están asegurados, lo cual incluye seguridad física (el acceso físico a las cámaras y servidores físicos está restringido) y seguridad de red (el acceso digital a los datos en los flujos de vídeo también está restringido). Se entenderá que el servidor puede incluir, o consistir en, la infraestructura de red y servidor de TI (la colección de interruptores, enrutadores y servidores que ejecutan sistemas operativos y configuraciones de red, etc., por ejemplo, que soportan un sistema de cámaras de vigilancia local).
Como se sabe en el arte, cada cámara 16 tiene un campo de visión respectivo y se despliega en una ubicación respectiva dentro de un espacio físico monitoreado (por ejemplo, un centro comercial, un aeropuerto, un edificio de oficinas, etc.). El flujo de vídeo de cada cámara incluye imágenes de objetos que pasan a través de su campo de visión dado a lo largo del tiempo. La agregación de los campos de visión de las cámaras 16 dentro de los subsistemas de cámaras debería proporcionar cobertura del espacio físico monitoreado. Según varias modalidades ilustrativas, el subsistema de cámara 8 representa una infraestructura existente en el sentido de que ya están desplegados y en uso (por ejemplo, un sistema de cámaras de vigilancia preexistente), y las capacidades de análisis de flujo de vídeo conscientes de la privacidad se instalan posteriormente.
Continuando con la Figura 1, el sistema de análisis de flujo de vídeo consciente de la privacidad 1 incluye además un subsistema de procesamiento consciente de la privacidad 40 que está configurado para llevar a cabo el procesamiento consciente de la privacidad de los flujos de vídeo. Los flujos de vídeo pueden ser flujos de vídeo capturados por las cámaras 16 del subsistema de cámara 8. El subsistema de procesamiento consciente de la privacidad 40 incluye un módulo de seguimiento consciente de la privacidad 48, un módulo de almacenamiento consciente de la privacidad 56 y un módulo de análisis de tráfico 64.
El módulo de seguimiento consciente de la privacidad 48 está configurado para llevar a cabo un seguimiento consciente de la privacidad de personas no identificadas capturadas dentro de las corrientes de vídeo y para generar datos intermedios anonimizados a un primer nivel de granularidad, referidos en adelante como entradas de seguimiento. Los datos generados por el módulo de seguimiento consciente de la privacidad 48 se almacenan en el módulo de almacenamiento consciente de la privacidad 56 y se ponen a disposición del módulo de análisis de tráfico 64 para su posterior procesamiento. El módulo de análisis de tráfico 64 puede generar datos analizados anonimizados que describen el movimiento de las personas capturadas en los flujos de vídeo a un segundo nivel de granularidad. Los datos analizados y anonimizados describen los movimientos de las personas de manera agregada, de modo que el movimiento de cualquier individuo en particular no se informa dentro de los datos analizados y anonimizados. Se entenderá que separar el procesamiento del análisis de los flujos de vídeo proporciona un primer nivel de conciencia de privacidad. Por ejemplo, y como se describe en otro lugar aquí, los flujos de vídeo no se comparten en una ubicación de red que no sea la ubicación segura del servidor 24. De manera similar, los flujos de vídeo no están directamente disponibles para una parte que no está controlada por, o no tiene las mismas credenciales de seguridad que, la parte que es administradora del subsistema de la cámara 8.
Haciendo referencia ahora a las Figuras 2 y 3, se muestra en ellas un diagrama esquemático que muestra los diversos subsistemas del sistema de análisis de flujo de vídeo consciente de la privacidad 1 que han sido segregados por ubicación de red y acceso autorizado según una modalidad ilustrativa. Según esta modalidad ilustrativa, el módulo de seguimiento consciente de la privacidad 48 recibe los flujos de vídeo capturados por las cámaras 16 y realiza un procesamiento consciente de la privacidad de las imágenes capturadas contenidas en los flujos de vídeo.
En el ejemplo ilustrado, el módulo de seguimiento consciente de la privacidad 48 se encuentra en la misma ubicación de red que el subsistema de cámara 8. Por ejemplo, el subsistema de cámara 8 puede ser un subsistema de cámara de vigilancia. El módulo de seguimiento consciente de la privacidad 48 puede ser un componente de hardware conectado al servidor 24 y ubicado en el mismo sitio que el servidor 24. Alternativamente, el módulo de seguimiento consciente de la privacidad 48 se puede instalar como un módulo de software dentro del servidor 24. En ambos casos, el acceso al módulo de seguimiento consciente de la privacidad 48 está restringido una vez que se implementa para evitar manipulaciones o acceso no autorizado a los datos procesados por el módulo. Dicho acceso de otra manera no cumpliría con las legislaciones, regulaciones y/o protocolos de privacidad aplicables. Por ejemplo, una vez desplegado, el módulo de seguimiento consciente de la privacidad 48 es administrado por la misma entidad que administra el sistema de cámaras de vigilancia. Se apreciará que el acceso a datos sensibles a la privacidad, como los flujos de vídeo capturados en bruto, está restringido. En consecuencia, el módulo de seguimiento consciente de la privacidad 48 se encuentra en una ubicación de red segura.
Continuando con las Figuras 2 y 3, las entradas de seguimiento intermedio anonimizadas son emitidas por el módulo de seguimiento consciente de la privacidad 48 y almacenadas en el módulo de almacenamiento consciente de la privacidad 56. Según el ejemplo ilustrado, el módulo de almacenamiento consciente de la privacidad 56 se encuentra en una ubicación de red que es diferente a la del subsistema de cámara 8 y al módulo de seguimiento consciente de la privacidad 48 (ilustrado como estando en un sombreado de fondo diferente que representa diferentes ubicaciones de red). Se entenderá que la ubicación de la red siendo diferente puede referirse a las credenciales de acceso al módulo de almacenamiento consciente de la privacidad 56 que son diferentes de las del módulo de seguimiento consciente de la privacidad 48, aunque los dos módulos puedan estar ubicados en el mismo lugar o red física. Al separar el acceso al módulo de almacenamiento consciente de la privacidad 56, las entradas de seguimiento intermedio anonimizadas pueden ser accedidas por otro módulo o por otra parte sin proporcionar acceso a los flujos de vídeo en bruto generadas por el subsistema de cámara 8.
Las entradas de seguimiento intermedio anonimizadas que tienen el primer nivel de granularidad almacenado en el módulo de almacenamiento consciente de la privacidad 56 están disponibles para el módulo de análisis de tráfico 64. El módulo de análisis de tráfico 64 además recibe las entradas de seguimiento intermedio anonimizadas, procesa las entradas de seguimiento según varios criterios de análisis y genera los datos de tráfico anonimizados. Según el ejemplo ilustrado, el módulo de análisis de tráfico 64 se encuentra en una ubicación de red adicional que es distinta a la del subsistema de cámara 8 y el módulo de seguimiento consciente de la privacidad 48. El módulo de análisis de tráfico 64 puede ser administrado por una entidad distinta de la entidad que administra el subsistema de cámaras 8 y/o el módulo de seguimiento consciente de la privacidad 48. Por ejemplo, varios algoritmos aplicados para el análisis de las entradas de seguimiento anonimizadas pueden ajustarse según sea necesario en el módulo de análisis de tráfico 64 sin afectar las preocupaciones de privacidad aplicables al módulo de seguimiento consciente de la privacidad 48.
Los datos de tráfico anonimizados generados por el módulo de análisis de tráfico 64 están disponibles para un cliente externo 72. Por ejemplo, los datos de tráfico anonimizados pueden ser preparados en el módulo de análisis de tráfico 64 de acuerdo a los criterios de consulta definidos por el cliente externo 72. Los datos de tráfico anonimizados permiten al cliente obtener información sobre tendencias, como las tendencias de tráfico peatonal, de una manera consciente de la privacidad. Se apreciará que el cliente externo 72 recibe los datos de tráfico anonimizados de manera estructurada, como según los criterios de consulta, sin tener acceso a los flujos de vídeo en bruto ni a las entradas de seguimiento intermedio anonimizadas. Es decir, las entradas de la pista no se ponen a disposición cuando se pone a disposición los datos de tráfico anonimizados. En consecuencia, el cliente externo 72 recibe datos de tráfico relevantes cumpliendo con las legislaciones, protocolos o regulaciones de privacidad aplicables.
Según una modalidad ilustrativa, la parte que recibe los datos de tráfico clasificados y anonimizados puede ser la misma que opera el sistema de cámaras 8, pero los usuarios que acceden al sistema de cámaras 8 y los usuarios que reciben los datos de tráfico clasificados y anonimizados tienen credenciales relacionadas con la privacidad diferentes. Por ejemplo, el personal de seguridad de un centro comercial que tenga credenciales de seguridad (o relacionadas con la privacidad) más altas puede acceder directamente al subsistema de cámaras 8 y a los flujos de vídeo en bruto, lo cual es necesario para garantizar la seguridad del centro comercial. Por ejemplo, puede ser necesario identificar de manera única a una persona para garantizar medidas de seguridad. El personal relacionado con el negocio, como el personal de marketing, luego recibe los datos de tráfico anonimizados de manera compatible con la privacidad. En este último caso, la identificación única de las personas ya no cumpliría con las normas de privacidad.
Haciendo referencia ahora a la Figura 4a, se muestra en ella un diagrama esquemático de los submódulos operativos del módulo de seguimiento consciente de la privacidad 48 llevando a cabo diversas funciones de procesamiento consciente de la privacidad según una modalidad ilustrativa. Como se describe anteriormente, el módulo de clasificación consciente de la privacidad 48 opera en los flujos de vídeo recibidos del subsistema de la cámara, y en particular del servidor 24 del mismo. El módulo de clasificación consciente de la privacidad 48 emite las entradas de seguimiento intermedio anonimizadas con el primer nivel de granularidad al módulo de almacenamiento consciente de la privacidad 56. Generalmente, el módulo de seguimiento consciente de la privacidad 48 procesa flujos de vídeo que capturan una pluralidad de personas no identificadas, este procesamiento determina, para cada una de las personas no identificadas, una entrada de seguimiento que tiene un conjunto de datos de movimiento y un conjunto de rasgos característicos anonimizado. El conjunto de datos de movimiento indica el movimiento de la persona dentro de un flujo de vídeo y el conjunto de rasgos característicos y anonimizadas permite la identificación no única de la persona en un entorno localizado.
El módulo de seguimiento consciente de la privacidad 48 según el ejemplo de modalidad ilustrado incluye un submódulo de aleatorización de tiempo 80, un submódulo de procesamiento de segmentos de vídeo 88, un submódulo de procesamiento de tramas 96, un submódulo de extracción de personas 104, un submódulo de preprocesamiento 112, un submódulo de extracción de características 120 y un módulo de limpieza de datos 128. Se entenderá que el módulo de seguimiento consciente de la privacidad 48 ilustrado según la Figura 4a incluye una pluralidad de funciones y submódulos de análisis conscientes de la privacidad, pero que, en otros ejemplos de modalidades, solo se pueden implementar un subconjunto de una o más de estas funciones y submódulos.
El submódulo de aleatorización de tiempo 80 está configurado para aleatorizar el tiempo del contenido encontrado en los flujos de vídeo cuando se están analizando. Se apreciará que, en algunas circunstancias, es posible obtener datos personalizados sobre una persona capturada en un flujo de vídeo o identificarla de manera única basándose en información de tiempo. Esto puede ser el caso incluso si las características de identificación únicas de la persona capturada en el flujo de vídeo no son procesadas. Por ejemplo, la información de tiempo puede correlacionarse con información externa (por ejemplo, datos de puntos de venta, acceso a datos de ubicación, etc.) para identificar de manera única a esa persona si la información externa contiene identificadores únicos (por ejemplo, una tarjeta de crédito, una tarjeta de acceso, etc.). En un ejemplo más detallado, si se correlaciona un flujo de vídeo que muestra a una persona realizando un pago en una caja registradora con datos de punto de venta, al igualar la marca de tiempo en el flujo de vídeo con la marca de tiempo de esa venta, es posible obtener la identidad única de esa persona. El seguimiento posterior de esa persona en varios flujos de vídeo después de haber obtenido la identidad única de esa persona puede representar la generación de información individualizada de una manera que no cumple con las legislaciones, protocolos o regulaciones relacionadas con la privacidad. Se apreciará además que al aleatorizar el tiempo de un flujo de vídeo que está siendo analizado, se restringiría o se impediría la capacidad de identificar de manera única a la persona basándose en la información de tiempo.
Como se ilustra en las Figuras 4a, 4b y 4c, los flujos de vídeo 136 se almacenan dentro del subsistema de la cámara 8 y típicamente dentro de los grabadores de vídeo en red 32. El flujo de vídeo 136 almacenado para cada cámara 16 puede dividirse en una pluralidad de segmentos de vídeo. Alternativamente, el flujo de vídeo 136 puede ser dividido en la pluralidad de segmentos de vídeo al ser recibido por el módulo de seguimiento consciente de la privacidad 48. La segmentación de los flujos de vídeo cumple un primer propósito de permitir parcialmente la aleatorización del tiempo. La segmentación de los flujos de vídeo también puede servir para cumplir con legislaciones, protocolos o regulaciones relacionadas con la privacidad que limitan la cantidad de tiempo que ciertos usuarios, como aquellos con menor autorización de seguridad, pueden retener información de vídeo en bruto. Por ejemplo, un segmento puede tener una duración que sea menor que una duración umbral. Esta duración de umbral puede ser definida legislativamente (es decir, definida por la legislación, protocolo o regulación relacionada con la privacidad). Además, al procesar el segmento tan pronto como se recibe de manera en tiempo real o más rápido, y luego descartarla inmediatamente al completar el procesamiento del segmento, se cumplirán los límites de retención.
La Figura 4c es un diagrama esquemático que muestra varios aspectos de la aleatorización temporal llevada a cabo por el módulo de tráfico consciente de la privacidad 48. La Figura 4c muestra la aleatorización aplicada al primer intervalo de tiempo del flujo de vídeo. En el ejemplo ilustrado, el primer intervalo de tiempo corresponde a un día. Los intervalos de tiempo subsiguientes corresponderán a los días subsiguientes. El flujo de vídeo se genera a partir de una única cámara dada, pero se entenderá que la aleatorización del tiempo se puede aplicar a cada uno de los flujos de vídeo del subsistema de la cámara 8.
Como se describe anteriormente, el flujo de vídeo se divide en una pluralidad de segmentos de vídeo. Además, cada segmento de vídeo puede tener una duración menor que una duración umbral. La duración del umbral puede ser seleccionada de acuerdo con la legislación, regulación o protocolo aplicable relacionado con la privacidad, que define la cantidad de tiempo que se puede retener un flujo de vídeo para fines no relacionados con la seguridad. En el ejemplo ilustrado, la duración del umbral se establece en menos de 5 minutos (por ejemplo, 4 minutos y 59 segundos). Además, se ilustran fragmentos de las primeras dos horas del flujo de vídeo del día.
Se determina aleatoriamente un primer tiempo de inicio de procesamiento. Este tiempo de inicio de procesamiento aleatorio define un punto de partida dentro del flujo de vídeo desde el cual comenzará el procesamiento del flujo de vídeo. Más particularmente, cualquier flujo de vídeo que preceda al punto de inicio determinado al azar dentro del intervalo de tiempo del flujo de vídeo se descarta y no se procesa más. Además, el punto de partida para cada intervalo de tiempo (por ejemplo, para un segundo día, un tercer día, y así sucesivamente) se determina de forma aleatoria de manera independiente del tiempo de inicio del primer procesamiento y de manera independiente entre sí. En consecuencia, el tiempo de inicio del procesamiento para cada intervalo de tiempo diferente (por ejemplo, cada día diferente) no está relacionado.
Se apreciará que seleccionar aleatoriamente un tiempo de inicio de procesamiento para cada intervalo de tiempo del flujo de vídeo proporciona un primer nivel de conciencia de privacidad en el sentido de que ya no es posible rastrear hasta el comienzo de un intervalo de tiempo. Esto de otra manera habría sido una solución alternativa donde no está disponible o ha sido alterada una marca de tiempo, como se describe en otro lugar aquí.
Según un ejemplo, y como se ilustra, el tiempo de inicio del primer procesamiento se determina de forma aleatoria dentro de un primer subintervalo del intervalo de tiempo. Este primer subintervalo puede corresponder a la primera hora del primer intervalo de tiempo.
Según un ejemplo, y como se ilustra, determinar de manera aleatoria un primer tiempo de inicio de procesamiento implica seleccionar de manera aleatoria un segmento de vídeo de inicio de entre la pluralidad de porciones de vídeo. Por lo tanto, se descartan las porciones de vídeo anteriores a la porción de vídeo inicial y se procesan las porciones de vídeo posteriores a las porciones de vídeo iniciales. La porción inicial del vídeo puede ser seleccionada al azar del primer subintervalo del intervalo de tiempo. En el ejemplo ilustrado, se selecciona de forma aleatoria la cuarta sección de vídeo (correspondiente al tiempo de inicio 00:19:56; siendo la primera sección la sección 0) como la sección de vídeo de inicio.
Además de determinar aleatoriamente un tiempo de inicio de procesamiento para cada flujo de vídeo, el módulo de seguimiento consciente de la privacidad 48 está configurado adicionalmente para ajustar las marcas de tiempo del flujo de vídeo. Más particularmente, para una corriente de vídeo dada, para cada segmento de vídeo de un intervalo de tiempo dado posterior al tiempo de inicio de procesamiento determinado al azar para ese intervalo de tiempo, se ajusta la marca de tiempo del segmento de vídeo mediante un desplazamiento de tiempo aleatorio. Este desplazamiento de tiempo es particular para el intervalo de tiempo dado. Es decir, el desplazamiento de tiempo para el intervalo de tiempo se determina de forma aleatoria e independiente del desplazamiento de tiempo para otros intervalos de tiempo (por ejemplo, para un segundo día, un tercer día, y así sucesivamente).
En el ejemplo ilustrado de la Figura 4c, el desfase de tiempo se determina al azar como 89 minutos. En consecuencia, la primera sección después de la hora de inicio del procesamiento que originalmente tenía una marca de tiempo de 00:19:56 ha sido cambiada a una marca de tiempo de 01:48:56.
Se apreciará que aplicar aleatoriamente un desplazamiento de tiempo a las marcas de tiempo del segmento de vídeo proporciona un segundo nivel de conciencia de privacidad, ya que ya no es posible determinar el tiempo real en el mundo real de cualquier información (por ejemplo, cualquier trama) de un flujo de vídeo simplemente mirando la marca de tiempo. Además, en combinación con el primer aspecto de seleccionar aleatoriamente un tiempo de inicio de procesamiento, la capacidad de determinar el tiempo real para cualquier información de una secuencia de vídeo se vuelve más restringida o completamente impedida.
Donde un subsistema de cámara 8 incluye una pluralidad de cámaras, cada una emitiendo una corriente de vídeo respectiva, y la pluralidad de cámaras tiene campos de visión respectivos que cubren un mismo espacio físico, se aplica el mismo tiempo de inicio de procesamiento determinado al azar para cada una de las corrientes de vídeo durante un intervalo de tiempo dado y los sellos de tiempo de cada una de las porciones de las corrientes de vídeo para el intervalo de tiempo dado se ajustan por el mismo desplazamiento de tiempo determinado al azar. Elegir la misma hora de inicio de procesamiento determinada al azar y el mismo desplazamiento de tiempo para cada una de las corrientes de vídeo durante un intervalo de tiempo dado garantiza que las marcas de tiempo de las corrientes de vídeo permanezcan alineadas en el tiempo. En consecuencia, un segmento de vídeo de cualquiera de las corrientes de vídeo que tiene una marca de tiempo determinada y otra porción de vídeo de otra de las corrientes de vídeo que tiene la misma marca de tiempo tendrán una correspondencia en tiempo en el mundo real. En otras palabras, las acciones capturadas en el segmento de vídeo de la primera transmisión y las acciones capturadas en el segmento de vídeo de la otra transmisión ocurrieron al mismo tiempo en el mundo real si los sellos de tiempo en ambas flujos de vídeo son iguales.
El procesamiento adicional de los flujos de vídeo puede ser realizado por el módulo de seguimiento consciente de la privacidad 48 aplicado a las porciones de vídeo que tienen las marcas de tiempo ajustadas.
Para mayor claridad, se entenderá que el mismo tiempo de inicio de procesamiento y el mismo desplazamiento de tiempo se determinan al azar para cada una de una o más flujos de vídeo para un mismo intervalo de tiempo (por ejemplo, un mismo día). Para un intervalo de tiempo posterior (por ejemplo, segundo) de uno o más flujos de vídeo, se determina de manera aleatoria otro tiempo de inicio de procesamiento (por ejemplo, segundo) de forma independiente de los tiempos de inicio de cualquier otro intervalo de tiempo y se determina otro desplazamiento de tiempo (por ejemplo, segundo) de forma independiente de los desplazamientos de tiempo de cualquier otro intervalo de tiempo. El otro tiempo de inicio de procesamiento y el otro desplazamiento de tiempo se aplican a las secciones de una o más corrientes de vídeo del otro intervalo de tiempo de la misma manera que se describe aquí para el intervalo de tiempo dado como se describe anteriormente.
Haciendo referencia ahora a la Figura 4d, se muestra en ella un diagrama esquemático que muestra los pasos operativos de un método 140 para el procesamiento consciente de la privacidad de un conjunto de al menos un flujo de vídeo según una modalidad ilustrativa.
En el paso 144, se reciben uno o varios flujos de vídeo de un subsistema de cámara 8 durante un intervalo de tiempo determinado para su procesamiento (por ejemplo, clasificación consciente de la privacidad). Como se describe aquí, los flujos de vídeo pueden estar divididos en una pluralidad de segmentos de vídeo, cada uno con una duración menor que una duración umbral. Alternativamente, los flujos de vídeo pueden descomponerse en segmentos en el momento de recibir los flujos de vídeo.
En el paso 152, se determina de forma aleatoria un tiempo de inicio de procesamiento para el intervalo de tiempo dado. El mismo tiempo de inicio será aplicable para cada flujo de vídeo durante ese intervalo de tiempo dado.
En el paso 160, se determina aleatoriamente un desplazamiento de tiempo. El mismo desplazamiento de tiempo será aplicable para cada flujo de vídeo durante ese intervalo de tiempo dado.
En el paso 168, para cada segmento de vídeo de cada una de las una o más corrientes de vídeo, se ajusta la marca de tiempo del segmento de vídeo mediante el desplazamiento de tiempo determinado al azar. Este ajuste se aplica a todas las porciones de vídeo que son posteriores al tiempo de inicio de procesamiento determinado al azar.
En el paso 176, los flujos de vídeo del intervalo de tiempo dado con las marcas de tiempo ajustadas se procesan adicionalmente. Este procesamiento puede incluir análisis consciente de la privacidad según varios métodos descritos aquí.
Haciendo referencia de nuevo a la Figura 4a, el módulo de clasificación consciente de la privacidad incluye tanto un aspecto de procesamiento segmento a segmento 88 como un aspecto de procesamiento trama a trama 96. Como se describe en otro lugar aquí, el procesamiento de segmento a segmento 88 se aplica para generar información a lo largo del tiempo, como el seguimiento del movimiento de una persona en un espacio correspondiente a un campo de visión de una cámara determinada. El procesamiento trama a trama 96 se aplica para instancias de tareas más intensivas en computación, como caracterizar o clasificar a una persona dentro de una trama de un flujo de vídeo. Como se sabe en el arte, el flujo de vídeo para una cámara determinada contiene una serie de imágenes de un campo de visión asociado con esa cámara. Una o más personas pueden ser capturadas dentro de la serie de imágenes mientras se mueven en un espacio correspondiente al campo de visión. Dentro de la serie de imágenes que forman el flujo de vídeo sin procesar, las personas no están identificadas porque aún no se ha aplicado un procesamiento adicional para determinar la identidad única de estas personas.
Según varias modalidades de ejemplo descritas aquí, cada flujo de vídeo puede ser procesado para rastrear el movimiento de las personas capturadas dentro del flujo de vídeo de una manera consciente de la privacidad. El movimiento rastreado puede ser emitido como un conjunto de datos de movimiento dentro de una o más entradas de seguimiento, las cuales pueden ser entradas de seguimiento anonimizadas.
Según una modalidad ilustrativa y como se ilustra en la Figura 4a, el submódulo de extracción de personas 104 está configurado para detectar, dentro de la serie de imágenes de un campo de visión para una cámara determinada, a una persona no identificada capturada dentro de la serie de imágenes. Esto puede incluir detectar una región del cuerpo que corresponda a la persona no identificada. La región del cuerpo puede ser detectada según las técnicas de detección de cuerpo conocidas en el arte. Por ejemplo, se puede aplicar un algoritmo de detección de cuerpos en una trama dado (una imagen) del flujo de vídeo para realizar una detección inicial de la región del cuerpo y se puede aplicar un proceso de seguimiento a las tramas posteriores (imágenes posteriores dentro de la serie) para continuar el seguimiento de la región del cuerpo detectada.
El movimiento de la persona no identificada sobre el campo de visión puede ser rastreado dentro de la primera serie de imágenes para generar un primer conjunto de datos de movimiento. El seguimiento de la región del cuerpo se puede utilizar para rastrear el movimiento de la persona en el espacio físico correspondiente al campo de visión capturado dentro de la serie de imágenes. El movimiento rastreado del cuerpo se utiliza además para generar el conjunto de datos de movimiento para esa persona, describiendo el movimiento rastreado. Se apreciará que el conjunto de datos de movimiento por sí solo no es suficiente para identificar de manera única a la persona. Por ejemplo, el seguimiento del movimiento (por ejemplo, mediante el procesamiento para aplicar la detección y seguimiento de la región del cuerpo) no incluye el procesamiento para extraer características de la persona no identificada (por ejemplo, desde dentro de la región del cuerpo), como características biométricas, que permitirían identificar de manera única a la persona. Más particularmente, el seguimiento del movimiento (por ejemplo, mediante la detección y seguimiento de la región del cuerpo) no aplica la identificación única de la persona basada en información biométrica, ya sea física, fisiológica y/o conductual. Por ejemplo, la detección y seguimiento de la región del cuerpo se realiza sin aplicar una identificación única de la persona basada en información biométrica física que incluye una o más características visuales en la imagen, como el rostro, la marcha, la silueta y/o la retina/iris. Por ejemplo, la detección y seguimiento de la región del cuerpo se realiza sin aplicar una identificación única de la persona basada en información biométrica fisiológica que incluye uno o más de, pero no se limita a, el ritmo cardíaco, la voz, etc. Por ejemplo, la detección y seguimiento de la región del cuerpo se realiza sin aplicar una identificación única de la persona basada en información biométrica del comportamiento que incluye uno o más de, pero no se limita a, la marcha.
Continuando con la Figura 4a, un submódulo de preprocesamiento 112 está configurado para aplicar un conjunto de pasos de preprocesamiento a la serie de imágenes antes de ser procesadas posteriormente por el submódulo de extracción de caracterización 120. El preprocesamiento y el procesamiento adicional se pueden aplicar a un subconjunto de la serie de imágenes, como se aplica de forma intermitente, de modo que algunas imágenes no se procesan en absoluto. El submódulo de preprocesamiento 112 se puede aplicar solo a las regiones del cuerpo detectadas de la serie de imágenes, tal como se detecta mediante el submódulo de extracción de personas 104. En particular, el submódulo de preprocesamiento 112 está configurado para anonimizar una imagen dada de la serie mediante la aplicación de al menos una eliminación de características de identificación de esa imagen dada de la serie (o de la región corporal detectada de esa imagen). La eliminación de características de identificación puede ser irreversible, de tal manera que una vez que las características son eliminadas de una imagen dada, no pueden ser añadidas nuevamente a esa imagen de ninguna manera. La eliminación de las características de identificación puede incluir la eliminación de al menos una información biométrica única de identificación de la imagen proporcionada (o de la región corporal detectada de esa imagen). Esta eliminación puede incluir la eliminación de características visibles. En consecuencia, el submódulo de preprocesamiento 112 genera una imagen anonimizada y/o una región del cuerpo anonimizada de la imagen para su posterior procesamiento.
En una modalidad ilustrativa, todas y cada una de las características que serían necesarias para identificar de manera única a la persona son eliminadas por el submódulo de preprocesamiento 112. En consecuencia, solo la información no biométrica permanecería dentro de la imagen preprocesada cuando sea emitida por el submódulo de preprocesamiento 112. En consecuencia, la imagen preprocesada (o la región del cuerpo detectada preprocesada) por sí sola no sería suficiente para permitir identificar de manera única a la persona dentro de la imagen.
El módulo de extracción de características 120 recibe al menos una imagen de una serie de imágenes de la persona no identificada y además está configurado para procesar la al menos una imagen para determinar un conjunto de rasgos característicos a la persona no identificada. El submódulo de extracción de características 120 puede recibir la imagen anonimizada (o la región del cuerpo detectada anonimizada) del submódulo de preprocesamiento 112 y además está configurado para procesar la imagen anonimizada (o la región del cuerpo detectada) para determinar un conjunto de características anonimizadas que caracterizan a la persona basado en el procesamiento. Este conjunto de rasgos característicos, que puede ser anonimizado, no incluye ningún dato biométrico que identifique de manera única a la persona capturada en la serie de imágenes. Por ejemplo, cuando todas las características que se requerirían para identificar de manera única a la persona son eliminadas por el submódulo de preprocesamiento 104, el conjunto de rasgos característicos anonimizados no podría incluir ningún dato biométrico que identifique de manera única a la persona. Además, la determinación del conjunto de rasgos característicos anonimizados también está libre de aplicar cualquier identificación única de la persona basada en información biométrica, ya sea física (por ejemplo, características visuales en la imagen como el rostro, la silueta, la retina/iris, etc.), fisiológica (por ejemplo, el ritmo cardíaco, la voz, etc.) y/o conductual (por ejemplo, la forma de caminar, etc.).
Haciendo referencia a la Figura 5a, se muestra esquemáticamente un diagrama que ilustra los pasos de procesamiento aplicados a una serie de imágenes por el submódulo de preprocesamiento 112 y el submódulo de extracción de características 120 para generar el conjunto de características de anonimización según una modalidad ilustrativa. Se reciben una serie de imágenes 138 de una persona no identificada. Por ejemplo, se ha aplicado la detección y seguimiento de la región del cuerpo de manera que la serie de imágenes solo comprende la región del cuerpo de la persona, lo cual es el caso en el ejemplo ilustrado en la Figura 5a. Durante la detección y seguimiento de la región del cuerpo, si no se detecta una región del cuerpo en ninguna imagen de la serie, esa imagen se descarta por completo y no se utiliza para procesamientos posteriores, como la extracción del conjunto de características anonimizadas que caracterizan. Esto asegura que la información biométrica de identificación única no esté disponible para su procesamiento adicional.
Se selecciona una imagen dada de la serie de imágenes para su posterior procesamiento. Como se describe en otro lugar aquí, se aplica al menos una eliminación de características de identificación dentro de la imagen o la región del cuerpo. Esta eliminación puede incluir la eliminación de una o más características biométricas de identificación únicas.
Según una modalidad ilustrativa y como se ilustra en la Figura 5a, al menos una eliminación de características de identificación incluye enmascarar una subregión del rostro 146 de la región del cuerpo, de modo que se elimina el rostro y las características faciales. Se apreciará que esto resulta en que el rostro y las características faciales ya no estén disponibles como características biométricas de identificación única para su posterior procesamiento. El enmascaramiento de la subregión del rostro 146 puede llevarse a cabo mediante la detección de la subregión del rostro dentro de la imagen o la región del cuerpo de la imagen. La máscara se aplica luego a esa subregión del rostro. En el ejemplo ilustrado, la subregión del rostro se reemplaza por un recuadro negro (por ejemplo, ajustando el valor de píxel de cada píxel dentro de la subregión del rostro a un mismo valor, como el valor de píxel '0'). Esta enmascarado puede ser un paso irreversible. En otras modalidades de ejemplo, se recorta la parte superior de la imagen que contiene la subregión del rostro de la imagen.
Según una modalidad ilustrativa, y como se ilustra en la Figura 5a, al menos una eliminación de características de identificación incluye distorsionar la región del cuerpo. Se apreciará que esto resulta en la eliminación de la silueta de la persona como una característica biométrica de identificación única que de otro modo estaría disponible para su procesamiento adicional. La distorsión de la región del cuerpo puede llevarse a cabo cambiando aleatoriamente la relación de aspecto de la región del cuerpo de la persona. Esto tiene el efecto de cambiar la apariencia visual de la altura 149 y el ancho 150 de la persona dentro de la región distorsionada del cuerpo. Esto representa otro aspecto de anonimización ya que la apariencia visual de la altura y el ancho ya no coincidiría con la silueta real de la persona en el mundo real, evitando así la identificación basada en esta característica biométrica.
Para cada imagen dada de la serie de imágenes 138, se puede determinar de forma independiente la relación de aspecto aleatoria por la cual se distorsiona la región del cuerpo dentro de la imagen dada. En consecuencia, de una imagen a otra de la serie 138, la relación de aspecto de las regiones del cuerpo será variable una vez distorsionada, lo que limita aún más la capacidad de la red neuronal para extraer información de silueta de las imágenes.
La distorsión de la región del cuerpo se puede llevar a cabo en combinación con el enmascaramiento de la subregión del rostro. En el ejemplo ilustrado, la imagen de la región del cuerpo anonimizada 148 tiene tanto una región de cara enmascarada 146 como una silueta distorsionada.
La imagen de la región del cuerpo anonimizada 148 se procesa adicionalmente para extraer un conjunto de rasgos característicos anonimizados. Este procesamiento puede ser llevado a cabo por una red neuronal entrenada 151, la cual puede ser implementada dentro del submódulo de extracción de características 120. Como se describe en otro lugar aquí, la eliminación de las características de identificación única para generar la región del cuerpo anonimizada evita que el submódulo de extracción de características 120 genere datos que identifiquen de manera única a la persona. Por ejemplo, el reconocimiento facial o el análisis de siluetas para identificar a la persona no están disponibles porque esta información ha sido eliminada dentro de la región corporal anonimizada. En consecuencia, el conjunto de características de anonimización se genera en base a la información no biométrica restante contenida en la región del cuerpo anonimizada.
Según una modalidad ilustrativa, el conjunto de rasgos característicos anonimizados incluye un patrón de color caracterizador y elementos accesorios extraídos de la región del cuerpo anonimizada. Estos elementos se pueden extraer de la información de la ropa (por ejemplo: parte superior, parte inferior, zapatos, sombrero, etc.) y/o información de los accesorios (por ejemplo: bolso, joyas, etc.) encontrados en la región del cuerpo anonimizada. Se apreciará que esta información es insuficiente para determinar la identidad única de la persona. Por ejemplo, dos personas diferentes pueden ser dueñas del mismo abrigo, bolso o zapatos. Sin embargo, esta información puede ser útil para distinguir a la persona en un contexto localizado (por ejemplo, temporal y geográficamente). Por ejemplo, dentro de un intervalo de tiempo y/o espacio localizado, hay una baja probabilidad de que otra persona tenga la misma combinación de ropa y accesorios.
Donde se aplica una red neuronal para generar el conjunto de características de anonimización, la red neuronal puede ser entrenada utilizando entrenamiento supervisado. Además, se puede utilizar un conjunto de entrenamiento formado por una pluralidad de imágenes de regiones corporales anonimizadas para entrenar la red neuronal. El conjunto de entrenamiento puede incluir imágenes de la misma persona vistiendo la misma ropa y accesorios, pero habiendo sido distorsionadas a diferentes relaciones de aspecto, en donde estas imágenes están anotadas para representar una coincidencia. Tener una imagen distorsionada de manera diferente que se anota para representar una coincidencia hace que la red neuronal aprenda coincidencias a pesar de la distorsión de las proporciones de la región del cuerpo. En consecuencia, se pueden generar conjuntos de rasgos característicos y anonimizados por la red neuronal con menor o ninguna consideración por la relación de aspecto.
El conjunto de datos de movimiento y el conjunto de rasgos característicos y anonimizadas (por ejemplo, el patrón de color y los elementos de accesorios) para una determinada región del cuerpo están asociados entre sí. El conjunto de datos de movimiento asociado y los conjuntos de rasgos característicos anonimizados pueden ser almacenados de manera lógicamente vinculada o lógicamente asociada dentro del submódulo de almacenamiento consciente de la privacidad 56. Cada conjunto de datos de movimiento asociado y conjunto de rasgos característicos anonimizados forma una entrada de seguimiento. Se apreciará que la entrada de la pista contiene datos oscurecidos en el sentido de que estos datos son insuficientes para permitir la identificación única de la persona del mundo real cuyo movimiento fue capturado inicialmente y utilizado para generar la entrada de la pista. El conjunto de datos de movimiento está oculto ya que simplemente indica el movimiento de la región del cuerpo de una persona capturada en un espacio físico, lo cual por sí solo es insuficiente para identificar de manera única a la persona. El conjunto de rasgos característicos anonimizados se genera a partir de imágenes a las que se les aplica la eliminación de características de identificación, por lo tanto, el conjunto también es insuficiente para permitir la identificación única de la persona.
Haciendo referencia ahora a la Figura 6, se muestra en ella un diagrama esquemático que muestra las entradas de pistas almacenadas formadas por conjuntos de datos de movimiento y conjuntos de rasgos característicos anonimizados según una modalidad ilustrativa. Las entradas de pista almacenadas ilustradas se generan a partir de un único flujo de vídeo (es decir, una cámara). Se puede observar que cada entrada de pista incluye una marca de tiempo, la primera entrada de trama, la última entrada de trama, la velocidad y el tiempo de permanencia. Estas entradas juntas forman el conjunto de datos de movimiento que describe el momento en que una persona correspondiente a una región corporal detectada estuvo presente dentro del campo de visión, cuánto tiempo estuvo presente la persona, la velocidad del movimiento y si la persona permaneció en un lugar durante el movimiento. Cada entrada de pista también incluye el conjunto de rasgos característicos anonimizados almacenadas en forma de un vector de color/accesorio.
Haciendo referencia ahora a la Figura 5b, se muestra en ella un diagrama esquemático que muestra los pasos operativos de un método 180 para el seguimiento de movimiento consciente de la privacidad según una modalidad ilustrativa. El método puede ser llevado a cabo por el submódulo de extracción de personas 104, el submódulo de preprocesamiento 112 y el submódulo de extracción de características 120 del módulo de seguimiento consciente de la privacidad 48.
Después de recibir la serie de imágenes del primer campo de visión, en el paso 182, se detecta una región del cuerpo de una persona no identificada capturada dentro de la serie de imágenes.
En el paso 184, se realiza un seguimiento del movimiento de la región del cuerpo sobre el campo de visión para generar un conjunto de datos de movimiento.
En el paso 188, la región del cuerpo detectada se anonimiza al eliminar al menos una característica identificativa. La eliminación se puede aplicar a al menos una imagen de la región del cuerpo. Como se describe en otro lugar aquí, la eliminación puede incluir enmascarar una subregión del rostro y distorsionar aleatoriamente la silueta.
En el paso 192, se determina un conjunto de rasgos característicos anonimizados a partir del procesamiento de la región del cuerpo anonimizada.
En el paso 200, el conjunto de datos de movimiento y el conjunto de rasgos característicos anonimizados se asocian para formar una entrada de seguimiento.
La descripción proporcionada anteriormente se refiere a la generación de una entrada de pista única para una única instancia de detección de una región del cuerpo, que representa una única instancia de una persona presente dentro del campo de visión. Se entenderá que se puede generar una trayectoria para cada instancia de una región del cuerpo que se detecte dentro de la serie de imágenes de un flujo de vídeo. Además, se pueden generar dos o más pistas al mismo tiempo dentro de la serie de imágenes (por ejemplo, detectar dos o más regiones del cuerpo para dos o más personas que están siendo capturadas al mismo tiempo dentro de la serie de imágenes).
Se entenderá además que la generación de pistas se repite también para cada flujo de vídeo generado por cada cámara 16 de un subsistema de cámaras 8. Por ejemplo, para la segunda serie de imágenes para el segundo campo de visión correspondiente a una segunda cámara, se puede detectar a una segunda persona no identificada (como al detectar la segunda región del cuerpo para la segunda persona no identificada). El movimiento de la segunda persona no identificada también puede ser rastreado (por ejemplo, mediante el seguimiento de la segunda región del cuerpo) para generar un segundo conjunto de datos de movimiento para la segunda persona no identificada. Además, para al menos una imagen de la segunda serie, la segunda región del cuerpo también puede ser anonimizada mediante la aplicación de al menos una eliminación de características de identificación. Esta eliminación puede incluir enmascarar una subregión del rostro de la segunda región corporal detectada y/o distorsionar aleatoriamente la segunda región corporal detectada. Se genera además un conjunto de rasgos característicos (que pueden ser rasgos característicos anonimizados) para la segunda persona basado en el procesamiento de la segunda región del cuerpo anonimizada. El conjunto de datos de movimiento generado y el conjunto de rasgos característicos a la segunda persona también pueden asociarse para formar una segunda entrada de seguimiento. Repetir este proceso para todas las detecciones de las personas no identificadas (por ejemplo, regiones del cuerpo de las personas no identificadas) dentro de la segunda serie de imágenes para la segunda cámara genera otras series de trayectorias para esta cámara de la misma manera que se ilustra en la Figura 6.
Según varias modalidades ilustrativas, el procesamiento de una corriente de vídeo respectiva para generar el conjunto de datos de movimiento y el conjunto de rasgos característicos para una persona capturada puede llevarse a cabo sustancialmente en tiempo real, es decir, en el momento en que se está capturando la corriente de vídeo. En consecuencia, el módulo de seguimiento consciente de la privacidad 48 no necesita almacenar el flujo de vídeo. Según estas modalidades, se permite llevar a cabo un seguimiento consciente de la privacidad en tiempo real, el módulo de seguimiento consciente de la privacidad 48 puede estar libre de, es decir, no incluir, el submódulo de aleatorización de tiempo 80. Dado que el submódulo de aleatorización de tiempo 80 sirve para aleatorizar el momento en que se almacena el vídeo, se puede omitir cuando el procesamiento del flujo de vídeo se realiza sustancialmente en tiempo real y el propio flujo de vídeo no se almacena.
En consecuencia, para un sistema de cámaras 8 que tiene una pluralidad de cámaras 16 que cada una emite una corriente de vídeo respectiva, el procesamiento consciente de la privacidad de las corrientes de vídeo de cada una de las cámaras emite un conjunto respectivo de entradas de seguimiento para cada cámara. El conjunto de entradas de seguimiento para una cámara determinada corresponde a cada instancia de detección y seguimiento de una persona no identificada capturada de la manera descrita anteriormente. Esto resulta en una pluralidad de conjuntos de pistas almacenados dentro del módulo de almacenamiento consciente de la privacidad 56, cada conjunto correspondiendo a una cámara. Se apreciará que cuando los conjuntos de entradas de seguimiento se almacenan en esta etapa, los datos en cualquier conjunto de entradas de seguimiento aún no se han asociado o vinculado con los datos de cualquier otro conjunto de entradas de seguimiento.
El conjunto de entradas de seguimiento para cualquier cámara y el conjunto de entradas de seguimiento para cualquier otra cámara están vinculados por al menos dos factores. Un primer factor son las características físicas de los campos de visión de las cámaras. En una situación, si los campos de visión de las cámaras se superponen, entonces es posible que la misma persona aparezca en los campos de visión de ambas cámaras al mismo tiempo. En consecuencia, una entrada de pista dada en el conjunto para la primera cámara y una segunda entrada de pista dada en el conjunto para la segunda cámara, donde ambas entradas de pista tienen marcas de tiempo superpuestas, pueden corresponder a la misma persona del mundo real que se representa en estas dos entradas de pista de diferentes conjuntos.
En una segunda situación, si los campos de visión de las cámaras están ubicados cerca uno del otro, pero no se superponen, una primera entrada de seguimiento en el conjunto de entradas de seguimiento para la primera cámara y una segunda entrada de seguimiento en el conjunto de entradas de seguimiento para la segunda cámara pueden representar a la misma persona del mundo real si las dos entradas de seguimiento ocurrieron con poco tiempo de diferencia entre sí (es decir, las primeras y segundas entradas de seguimiento tienen marcas de tiempo respectivas que están cerca una de la otra). Las entradas de seguimiento que tienen marcas de tiempo demasiado distantes (por ejemplo, por encima de un umbral de brecha de tiempo determinado) no pueden representar posiblemente a la misma persona del mundo real.
De manera similar, el conjunto de entradas de seguimiento para una cámara dada en un tiempo dado y el conjunto de entradas de seguimiento para la misma cámara en otro período de tiempo dado también pueden ser vinculados por un factor similar. Una primera entrada de seguimiento para la cámara y una segunda entrada de seguimiento para la misma cámara pueden representar a la misma persona si las dos entradas de seguimiento ocurrieron con poco tiempo de diferencia entre sí (es decir, las primeras y segundas entradas de seguimiento tienen marcas de tiempo respectivas que están cerca una de la otra). Las entradas de seguimiento que tienen marcas de tiempo demasiado distantes (por ejemplo, por encima de un umbral de brecha de tiempo determinado) no pueden representar posiblemente a la misma persona del mundo real. Además, las entradas de seguimiento que tienen marcas de tiempo superpuestas dentro del mismo campo de visión no pueden ser la misma persona en el mundo real.
Las características físicas de los campos de visión de las cámaras 16 dentro de un subsistema de cámara unificado 8 pueden ser representadas por un conjunto de reglas de restricción que definen la vinculación permitida de pares de entradas de seguimiento. En particular, se aplican un conjunto de reglas de restricción para asegurar que una única persona real no sea interpretada como dos o más personas separadas al analizar las pistas (las pistas permanecen sin enlazar cuando representan a la misma persona). De manera similar, se aplican un conjunto de reglas de restricción para asegurar que dos personas diferentes en el mundo real no sean interpretadas como la misma persona (vinculando dos pistas que no deberían estar vinculadas).
Según varias modalidades ilustrativas, se pueden definir el siguiente conjunto de restricciones:
• un umbral máximo de tiempo permitido: si la diferencia en los intervalos de tiempo de dos pistas supera este umbral de tiempo permitido, las pistas no pueden ser vinculadas.
• entradas de seguimiento etiquetadas (un seguimiento puede ser etiquetado cuando cruza un umbral espacial o se mide que ha activado un punto de análisis, por ejemplo, se supera un umbral de tiempo de permanencia o un seguimiento cruza a un área específica de un campo de visión - esta etiqueta es útil para vincular pares de entradas de seguimiento y para otros datos)
• se definen bordes/caminos permitidos entre dos cámaras: solo se pueden vincular pares de entradas de seguimiento que pertenezcan a estos bordes/caminos permitidos;
• se definen los bordes/caminos permitidos entre dos cámaras: solo se pueden vincular pares de entradas de seguimiento que pertenezcan a estos bordes/caminos permitidos y que tengan la dirección permitida;
• al mismo tiempo y con la misma cámara no están permitidos: no se permiten dos pistas que ocurran al mismo tiempo en la misma cámara, de lo contrario, esto representaría a dos personas existiendo en dos lugares al mismo tiempo;
• al mismo tiempo, a veces se permite diferentes cámaras: dos pistas que ocurren al mismo tiempo en dos cámaras diferentes no están permitidas si los campos de visión de esas cámaras no se superponen (la cantidad de superposición - superposición completa, superposición parcial o sin superposición - también se puede definir para ajustar aún más esta restricción);
• tiempo secuencial, mismo espacio: dos pistas que ocurren de forma secuencial no pueden ser vinculadas si los campos de visión de las dos cámaras se superponen completamente - en tales situaciones, las pistas deben ocurrir al mismo tiempo;
• límites de velocidad superior e inferior: una región del cuerpo detectada no puede moverse más lento que el límite de velocidad inferior (por ejemplo, 0,00278 metros/segundo), ni más rápido que el límite de velocidad superior (por ejemplo, 1,946 metros/segundo);
• agujero de gusano: una persona no puede reaparecer en la misma cámara sin haber aparecido en ninguna otra cámara.
Las restricciones pueden ser definidas por una red de grafos, en donde cada nodo del grafo corresponde a una cámara/flujo de vídeo y las aristas de los nodos definen las restricciones aplicables entre cada par de nodos. Por ejemplo, cada borde define condiciones que permiten la conexión de dos pistas pertenecientes a esos nodos, mientras que la falta de un borde entre dos nodos indica que las dos pistas no pueden ser conectadas. Algunos bordes pueden tener además una característica direccional para definir la dirección permitida a lo largo de ese borde.
Haciendo referencia ahora a la Figura 7a, en ella se ilustra un campo de visión ilustrativo de una cámara y las acciones que una persona puede realizar dentro del espacio cubierto por el campo de visión. Estas acciones definen conexiones de borde con otras cámaras (nodos). Por ejemplo, el campo de visión incluye un pasillo 208 (que permite una velocidad de desplazamiento a lo largo del pasillo), una salida superior 216, una salida inferior 224 y una entrada/salida 232 a la tienda X. El campo de visión está representado por el nodo ABC 236, la salida superior 216 está representada por el borde hacia la cámara CDE y la salida inferior 224 está representada por el borde hacia la cámara LMN. Para el comercio minorista X, una persona debe salir del campo de visión del comercio minorista X antes de volver a entrar en el campo de visión desde el comercio minorista X. Esto se representa mediante el borde direccional curvado 240 en la red de gráficos. La cantidad de tiempo entre la salida al comercio minorista X y el reingreso desde el comercio minorista X se puede determinar como tiempo de permanencia.
La Figura 7b ilustra una representación de un espacio monitoreado simple y los campos de visión contenidos en él. Se apreciará que se están rastreando 5 campos de visión. La Figura 7c muestra una representación de una red de gráficos que define el conjunto de reglas de restricción aplicables a ese espacio. Se apreciará que varios bordes son direccionales. Por ejemplo, al entrar en la habitación cerrada (EN), las únicas acciones permitidas son moverse al espacio de permanencia (3), al espacio de permanencia (4) o salir de la habitación (Ex).
La Figura 7d ilustra otro espacio rastreado que tiene 5 campos de visión y la red de gráficos que representa la relación entre los campos de visión que definen el conjunto de restricciones.
Un segundo factor que vincula los conjuntos de pistas para cualquier cámara y el conjunto de pistas son las relaciones definidas en el conjunto de rasgos característicos anonimizados para cada pista. A medida que una persona real se mueve a través de los campos de visión de múltiples cámaras, se generarán una pluralidad de entradas de seguimiento para esa persona dentro de los conjuntos de seguimientos de esas cámaras. Debido a que la información no biométrica de la persona no cambia dentro de un entorno localizado (por ejemplo, dentro de un intervalo de tiempo corto y dentro de una pequeña área geográfica), los conjuntos de características de identificación anonimizados para estas pistas deben tener valores bastante consistentes. Este es el caso, aunque la persona no haya sido identificada de manera única basándose en la información biométrica de la persona. Por el contrario, los conjuntos de características de anonimización en las entradas de seguimiento para diferentes personas en la vida real tendrán valores de conjunto de características de anonimización sustancialmente diferentes (por ejemplo, porque las personas en la vida real llevaban diferentes atuendos, lo que genera diferentes patrones de color y accesorios).
Un método para combinar múltiples entradas de pistas para construir un recorrido de múltiples cámaras incluye, para un par dado de pistas de dos cámaras/flujos de vídeo, determinar si las pistas cumplen con los conjuntos de restricciones que vinculan las dos cámaras/flujos de vídeo. Si los conjuntos de restricciones no se cumplen, entonces el par de pistas se descarta para formar un enlace.
Si las entradas de la pista cumplen con el conjunto de restricciones definidas, se determina además si los conjuntos de rasgos característicos anonimizados para las pistas muestran una coincidencia suficiente. Donde haya una coincidencia suficiente, las pistas son un par candidato para formar un enlace como pertenecientes a un recorrido realizado por la misma persona en el mundo real.
Por ejemplo, donde el conjunto de rasgos característicos anonimizados para cualquier pista se define como un vector (como se ilustra en la Figura 6), el nivel de coincidencia entre dos conjuntos de características para cualquier par de pistas se puede determinar calculando una distancia entre los vectores.
Según una modalidad ilustrativa, para una pista dada, se determina cada otra pista que cumpla con el conjunto de restricciones definidas. Los niveles de coincidencia de los conjuntos de rasgos característicos anonimizados entre la pista dada y cada una de las pistas satisfactorias se determinan a continuación. La pista entre estas pistas satisfactorias que tiene el nivel de coincidencia más alto (por ejemplo, el valor de vector más cercano al valor de vector de la pista dada) se selecciona luego para formar el enlace con la pista dada. Los otros candidatos de pistas son descartados para formar un enlace con la pista dada.
Donde la pista dada ya está vinculada con otra pista, la vinculación adicional de una pista adicional puede llevar a la formación de una cadena de pistas que tienen más de dos pistas. Las entradas de las pistas enlazadas de la cadena se agregan para formar una entrada de recorrido. La vinculación de las entradas de seguimiento y la formación de las entradas de recorrido se pueden llevar a cabo en el módulo de análisis de tráfico 64 utilizando los datos de las entradas de seguimiento de múltiples cámaras almacenados en el módulo de almacenamiento consciente de la privacidad 56.
La Figura 8 ilustra un plano de planta 248 de un espacio monitoreado en el que también se muestra una entrada de recorrido 249. La entrada del recorrido se genera mediante la vinculación de las entradas de seguimiento generadas para una pluralidad de cámaras desplegadas dentro del espacio monitoreado. Las entradas de seguimiento utilizadas para generar la entrada del recorrido fueron generadas inicialmente en base al movimiento de la misma persona del mundo real capturada individualmente por cada una de las cámaras. Una vez formada mediante la vinculación de estas entradas de seguimiento, la entrada de recorrido proporciona información sobre cómo esa persona viajó a través del espacio monitoreado en múltiples campos de visión.
Generalmente, en el análisis de tráfico peatonal, la información sobre cómo las personas se desplazan en un espacio monitoreado puede ser de particular interés. Esta información puede ser útil para fines operativos, comerciales, de marketing, seguridad y/o otros fines. En particular, el recorrido de una persona en el espacio monitoreado se caracteriza por cómo la persona se movió entre diferentes áreas del espacio monitoreado e incluso las acciones realizadas por la persona. Por ejemplo, en un entorno minorista, el recorrido de una persona puede incluir entrar a un centro comercial, pasar por una secuencia de tiendas, detenerse en un escaparate de una tienda, entrar y salir de una tienda, ir a secciones de una tienda, pasar por un punto de venta, etc. La creación de una entrada de recorrido mediante la vinculación de entradas de seguimiento permite obtener información relacionada con el recorrido. Por ejemplo, la Figura 9d ilustra dos redes de gráficos que representan los recorridos populares realizados por clases demográficas particulares. Estos recorridos pueden generarse mediante la agregación de recorridos individuales de personas no identificadas dentro de la clase demográfica dada.
Según varias modalidades ilustrativas, se puede aplicar al menos una extracción adicional de clasificador contextual a la serie de imágenes de una persona no identificada. La extracción adicional del clasificador contextual genera un conjunto de datos contextuales sobre la persona no identificada sin identificarla de manera única. En particular, el conjunto de datos contextual sobre la persona no identificada es insuficiente para identificar de manera única a esa persona. La extracción adicional del clasificador contextual se puede aplicar a una de las series de imágenes dadas o a una región del cuerpo detectada.
El conjunto de datos contextuales puede incluir una o más informaciones demográficas de la persona no identificada. La información demográfica es lo suficientemente general como para que la persona no pueda ser identificada de manera única. Los datos contextuales pueden ser almacenados dentro de la entrada de la pista. Por ejemplo, las entradas de la pista ilustradas en la Figura 6 muestran datos contextuales como género, edad y gafas.
En una modalidad, la subregión del rostro detectada puede ser procesada para extraer características que permitan la clasificación contextual. La clasificación se aplica luego a las características para generar los datos contextuales, como los datos demográficos. Después de generar los datos contextuales, se eliminan cualquier dato de identificación único, que incluye la subregión del rostro sin procesar. Esta eliminación se puede llevar a cabo inmediatamente después de la generación de los datos contextuales. Solo se almacenan los datos contextuales.
Haciendo referencia ahora a la Figura 5c, se muestra en ella un diagrama esquemático que muestra gráficamente los pasos de procesamiento para generar los datos contextuales. Se apreciará que los datos contextuales también se generan a partir de la serie de imágenes 138. En el ejemplo ilustrado, se extrae la subregión del rostro 256 de la región corporal detectada. Esta subregión del rostro 256 se extrae de forma independiente de la región corporal anonimizada. La subregión del rostro 256 se alimenta adicionalmente en un segundo clasificador 264, que puede ser una segunda red neuronal 264. Se apreciará que la segunda red neuronal 264 opera de forma independiente a la red neuronal 152 que procesa la región del cuerpo anonimizada 144. La segunda red neuronal 264 realiza la clasificación a partir de la subregión del rostro y determina los datos contextuales, como la edad, el género y las gafas. La clasificación puede incluir la extracción de características que permitan la clasificación, la aplicación de una clasificación anonimizada de las características, seguida inmediatamente por la eliminación de cualquier dato de identificación única (por ejemplo, la imagen de la subregión del rostro en bruto), de manera que no se aplique ninguna identificación única, ni ninguna plantilla o vector de características dentro de la clasificación. Los datos contextuales se almacenan en asociación con el conjunto de datos de movimiento y el conjunto de rasgos característicos a la persona no identificada dentro de una entrada de seguimiento. La segunda red neuronal 264 puede aplicar una combinación de extracción de características de clasificación y clasificación demográfica según varios métodos de reconocimiento facial conocidos en el arte, pero la eliminación de los datos de identificación única debe realizarse una vez que se haya completado la clasificación demográfica.
Las entradas de recorrido construidas a partir de las entradas de pista pueden ser analizadas aún más para generar datos de tráfico anonimizados. Este análisis se puede llevar a cabo en el submódulo de análisis de tráfico, que puede estar ubicado en una ubicación de red que está alejada del módulo de almacenamiento consciente de la privacidad 56. Como se describe en otro lugar aquí, los datos de tráfico anonimizados pueden ser entregados a un cliente externo 72. Estos datos son útiles para que el cliente externo comprenda el flujo de tráfico dentro del espacio monitoreado por el subsistema de cámaras 8. La información contenida en los datos de tráfico anonimizados puede ser estructurada según los criterios de consulta definidos por el cliente externo. Por ejemplo, los criterios de consulta pueden incluir uno o más de los siguientes:
- conteo de entrada;
- conteo de salida;
- tiempo de permanencia en una ubicación determinada;
- cualquier conteo basado en el tiempo;
- cualquier conteo basado en la edad;
- cualquier conteo basado en el género;
- transiciones entre áreas o zonas específicamente definidas del área monitoreada;
- tasa de conversión y secuencia entre cada una de las dos ubicaciones segmentadas por clase demográfica; - El recorrido popular fue realizado por clases demográficas específicas (mujeres de 18-25 años, representadas por la ruta mostrada en la Figura 9d).
Se apreciará que cuando se disponga de datos contextúales, como información demográfica, también se podrán tener en cuenta dichos datos contextuales al generar datos de flujo de tráfico.
Se entenderá además que, si bien los datos de tráfico de peatones anonimizados generados provienen del análisis de las entradas de recorrido, que a su vez se construyen a partir de la vinculación de las entradas de seguimiento, los datos de tráfico anonimizados generados no contienen en sí mismos ninguna entrada de recorrido individual ni ninguna entrada de seguimiento individual. Esto asegura que el cliente externo no pueda identificar de manera única a ninguna persona al realizar una correlación de datos de tráfico anonimizados con otra información disponible para ellos, como información de punto de venta o información de control de acceso.
Según una modalidad ilustrativa, la generación de los datos de tráfico peatonal anonimizados incluye un paso de anonimizar los datos de tráfico peatonal anonimizados. Como se describe anteriormente, las entradas de recorrido pueden agruparse según los criterios de consulta y se genera un recuento para cada grupo. Esta información puede ser aún más anonimizada al determinar cualquier grupo que tenga un valor de conteo menor que un umbral de conteo predeterminado. Cualquier grupo que tenga un valor de conteo menor que el umbral de conteo predeterminado es suprimido. Esta supresión puede llevarse a cabo cambiando el valor de conteo para ese grupo dado a un valor de '0'. Por ejemplo, el umbral de conteo se puede establecer en '1' y cualquier grupo que tenga un valor de conteo de '1' será suprimido. Se apreciará que cualquier grupo que tenga un valor de conteo bajo, como tener solo una entrada de recorrido perteneciente a ese grupo (por ejemplo, si solo hay una mujer mayor de 65 años entre las 3PM y las 4PM), proporciona una mayor posibilidad de identificar de manera única a esa persona. La supresión del valor de conteo asegura que esta información no esté disponible dentro de los datos de tráfico peatonal anonimizados entregados.
Otros pasos de anonimización pueden incluir la eliminación de toda la información de entrada de seguimiento y la información de entrada de recorrido para cualquier persona identificada como menor de una edad umbral, como 18 años o menos.
Además, la agrupación de los recorridos no se realiza en el conjunto de rasgos característicos anonimizados. De esta manera, no se pueden generar métricas basadas en la ropa. Esto asegura que no haya agrupamiento basado en uniformes de empleados, lo cual de otra manera permitiría señalar a esta clase.
Haciendo referencia ahora a las Figuras 9a, 9b, 9c y 9d, se ilustran cuatro salidas gráficas que muestran los datos de tráfico anonimizados que pueden estar disponibles para un cliente externo. Se apreciará que esta información proporciona métricas útiles de tráfico peatonal para que el cliente comprenda el comportamiento del tráfico peatonal, pero la información está suficientemente anonimizada para que el cliente no pueda identificar de manera única a ninguna persona considerada al generar los datos.
operación consciente de la privacidad de un módulo de clasificación implementado por ordenador
Un módulo de clasificación implementado por ordenador basado en inteligencia artificial, como uno construido sobre la arquitectura de redes neuronales, generalmente se entrena previamente en un entorno sin conexión antes de su implementación. El entrenamiento sin conexión del módulo de clasificación implementado por ordenador se lleva a cabo utilizando un conjunto de datos de entrenamiento. El conjunto de datos de entrenamiento típicamente incluye muestras de entrenamiento que son capturadas en un entorno generalizado. Es decir, las muestras de entrenamiento se obtienen en un entorno de prueba que es relevante para el entorno de funcionamiento real donde se implementará el módulo de clasificación preentrenado implementado por ordenador, pero existen suficientes diferencias entre el entorno de prueba y el entorno de funcionamiento real, de modo que el rendimiento del módulo de clasificación preentrenado implementado por ordenador puede ser inferior en el entorno de funcionamiento real debido a tales diferencias. Para adaptarse a las diferencias entre el entorno de prueba y el entorno de funcionamiento real y contrarrestar la posible disminución en el rendimiento, se utiliza el aprendizaje continuo mediante el módulo de clasificación implementado por ordenador, mediante el cual el módulo de clasificación implementado por ordenador se entrena aún más mediante aprendizaje automático utilizando nuevas muestras capturadas del entorno de funcionamiento real mientras el módulo de clasificación implementado por ordenador está en funcionamiento. Este tipo de entrenamiento/aprendizaje por el módulo de clasificación implementado por ordenador se conoce comúnmente como "aprendizaje en línea".
Se identificó que debido a que el aprendizaje en línea por el módulo de clasificación implementado por ordenador utiliza muestras de la vida real capturadas en el entorno operativo real, las muestras contienen información sensible a la privacidad. Tal información sensible a la privacidad puede incluir información biométrica de personas capturadas en las muestras de la vida real. Por ejemplo, cuando se utiliza el módulo de clasificación implementado en el ordenador para rastrear acciones y/o comportamiento de personas (por ejemplo, rastrear el movimiento de personas dentro del espacio rastreado) a partir de flujos de vídeo capturados, las muestras reales en bruto capturadas en el entorno de funcionamiento real se presentan en forma de imágenes capturadas de personas, que pueden incluir las características biométricas de las personas, como los rostros de las personas, que permiten identificar de manera única a estas personas. Dado que las muestras de la vida real contienen información sensible de privacidad, también deben ser manejadas de manera consciente de la privacidad cuando se utilizan para el aprendizaje en línea de un módulo de clasificación implementado por ordenador. Como se define anteriormente, esta forma "consciente de la privacidad" significa el procesamiento de las muestras de la vida real con especial consideración de los problemas relacionados con la privacidad, como garantizar el cumplimiento de la legislación, protocolos o regulaciones relacionadas con la privacidad aplicables (por ejemplo, el GDPR). Se observó que existe una necesidad de soluciones para llevar a cabo el aprendizaje en línea de módulos de clasificación implementados por ordenador de manera consciente de la privacidad.
Ampliamente descrito, la solución para la operación consciente de la privacidad de al menos un módulo de clasificación implementado por ordenador incluye limitar el acceso y/o procesamiento de datos que permitirían identificar de manera única a una persona capturada en un elemento de datos. El acceso/procesamiento de estos datos puede tener restricciones temporales, como estar limitado en el tiempo en relación al momento en que cada elemento de datos es capturado y/o en relación al tiempo en que el elemento de datos es recibido de una fuente segura. Además, o alternativamente, el acceso/procesamiento de estos datos también puede tener una restricción geográfica, como estar limitado en ubicación en relación a la ubicación geográfica donde cada elemento de datos es capturado realmente. La limitación de acceso/procesamiento de datos que incluye información sensible de privacidad, como características biométricas de una persona (por ejemplo, imagen facial) y/o que permitiría la identificación única de una persona, también se aplica cuando los datos se utilizan para entrenar al menos una clasificación implementada por ordenador. Esta limitación de acceso/proceso de los datos sensibles a la privacidad incluye aplicarse a cualquier compartición o transmisión de los datos a otros dispositivos informáticos o nodos informáticos que no sean dispositivos que implementen el módulo de clasificación, lo cual puede ser necesario como parte del entrenamiento (por ejemplo, transmitir muestras capturadas a otros dispositivos de usuario para entrenamiento supervisado). La limitación de acceso/procesamiento de datos puede ser escalonada dependiendo de si los datos han sido procesados para anonimizar los datos capturados. Es decir, los datos en bruto que contienen información sensible de privacidad están sujetos a limitaciones diferentes de las aplicadas a los datos que han sido procesados para su anonimización.
Se describen a continuación varias modalidades ilustrativas de un método y/o un sistema para la operación consciente de la privacidad de al menos un módulo de clasificación implementado por ordenador que tiene aprendizaje en línea, con referencia a un sistema de análisis de flujo de vídeo consciente de la privacidad 1 discutido anteriormente (pero con modificaciones realizadas a ese sistema), pero se entenderá que la operación consciente de la privacidad del al menos un módulo de clasificación implementado por ordenador puede ser generalmente aplicable a cualquier módulo de clasificación que requiera operación consciente de la privacidad y no debe entenderse como limitado únicamente al sistema de análisis de flujo de vídeo 1. Para mayor claridad, se aplican varias modalidades de ejemplo para la operación consciente de la privacidad a cualquier tipo de elementos de datos capturados para una o más personas no identificadas presentes en una ubicación geográfica monitoreada. Un ejemplo de un elemento de datos no relacionado con imágenes y sensible a la privacidad incluye la dirección MAC de los dispositivos electrónicos que se utilizan en la ubicación geográfica monitoreada.
El sistema y método para la operación consciente de la privacidad de un módulo de clasificación implementado por ordenador con aprendizaje en línea consciente de la privacidad, según varias modalidades de ejemplo, incluyen la captura de una pluralidad de elementos de datos de una o más personas no identificadas presentes en una ubicación geográfica monitoreada.
Como se describe anteriormente, cuando los elementos de datos son imágenes capturadas, un espacio físico monitoreado (por ejemplo, un centro comercial, un aeropuerto, un edificio de oficinas, etc.) puede tener una pluralidad de cámaras 16 que capturan imágenes de objetos que pasan a través de su respectivo campo de visión a lo largo del tiempo. Las cámaras 16 pueden formar parte de un subsistema de cámaras de vigilancia 8 desplegado en el espacio monitoreado. Las imágenes pueden ser tomadas de los flujos de vídeo capturados de personas no identificadas por las cámaras 16. Otras formas de sensores de captura de datos sin cámara también pueden ser utilizadas en la ubicación geográfica monitoreada.
La ubicación geográfica monitoreada es la ubicación geográfica real del espacio físico monitoreado, que también corresponde a la ubicación geográfica de cada persona en el momento en que son capturadas por una de las cámaras 16 y/o sensores no relacionados con cámaras. La ubicación geográfica monitoreada puede ser definida por la dirección del espacio monitoreado o por sus coordenadas longitudinales y latitudinales. Cuando se define por su dirección, la ubicación geográfica monitoreada puede ser definida en base al territorio donde se encuentra, como a nivel de pueblo/ciudad/municipio, a nivel de provincia/estado, a nivel de país y/o a nivel de un área económica común (por ejemplo, la Unión Europea).
A los fines de la operación consciente de la privacidad de un módulo de clasificación implementado por ordenador con aprendizaje en línea consciente de la privacidad, cada uno de los múltiples elementos de datos capturados (por ejemplo, imágenes capturadas) se utiliza como un elemento de datos operativo (por ejemplo, imagen operativa) que debe ser clasificado y/o se utiliza como un elemento de datos de entrenamiento (por ejemplo, imagen de entrenamiento) para entrenar el módulo de clasificación implementado por ordenador mediante aprendizaje en línea. Un elemento de datos capturado puede ser utilizado tanto como un elemento de datos operativo como un elemento de datos de entrenamiento. En consecuencia, un primer conjunto de los elementos de datos capturados se utiliza como elementos de datos de entrenamiento y un segundo conjunto de los elementos de datos capturados se utiliza como elementos de datos operativos. Para mayor claridad, según varias modalidades, solo se utiliza una parte de los elementos de datos capturados como elementos de datos de entrenamiento para el aprendizaje en línea mediante el módulo de clasificación implementado por ordenador.
Para cada uno de los elementos de datos operativos de los elementos de datos capturados, el módulo de clasificación implementado por ordenador se opera para procesar el elemento de datos operativo dado y determinar un conjunto de datos procesados respectivo. El conjunto de datos procesado que es determinado (es decir, producido) por el módulo de clasificación implementado por ordenador puede ser un conjunto de datos contextual. Como se describe anteriormente, el conjunto de datos contextual proporciona información contextual sobre una persona no identificada capturada sin identificarla de manera única. Donde los elementos de datos operativos son imágenes capturadas de personas, el conjunto de datos contextual puede incluir información como género, edad y el uso de accesorios, como gafas. Se apreciará que esto corresponde a la operación normal del módulo de clasificación implementado por ordenador para clasificar la imagen operativa capturada. Esta clasificación se puede llevar a cabo de manera consciente de la privacidad, de modo que el conjunto de datos resultante sea solo contextual y no identifique de manera única a la persona.
Como se describe en otro lugar en este documento, el procesamiento de los elementos de datos capturados por el módulo implementado por ordenador incluye determinar el conjunto de datos contextual basado en las características biométricas de una persona capturada en los elementos de datos operativos. Dado que estas características biométricas son sensibles a la privacidad (estas características pueden ser utilizadas para identificar de manera única a una persona), el procesamiento debe llevarse a cabo de manera consciente de la privacidad. El módulo de clasificación implementado por ordenador se opera en al menos una ubicación geográfica operativa que tiene una comunidad geográfica común con la ubicación geográfica monitoreada. Se entenderá que el módulo de clasificación implementado por ordenador puede ser encarnado en uno o más dispositivos informáticos que se encuentren físicamente en uno o más lugares geográficos físicos, que son los lugares geográficos operativos del módulo de clasificación implementado por ordenador (por ejemplo, uno o más dispositivos informáticos/nodos operados conjuntamente a través de una red conectada). Cada una de estas ubicaciones geográficas físicas donde se encuentran los dispositivos informáticos tiene la similitud geográfica con la ubicación geográfica monitoreada. La similitud geográfica entre cualquier ubicación geográfica donde se encuentra un dispositivo informático dado y la ubicación geográfica monitoreada aquí se refiere a las dos ubicaciones geográficas que tienen una localidad suficiente para que la información sensible a la privacidad pueda transmitirse al dispositivo informático de manera compatible con la privacidad. Se apreciará que la legislación, los protocolos y/o las regulaciones que definen el manejo permitido de información sensible a la privacidad aplicable se basan en la ubicación donde se capturó esa información. La legislación, los protocolos y/o las regulaciones definirán aún más los límites territoriales o geográficos dentro de los cuales la información sensible a la privacidad puede ser transmitida mientras se mantiene el cumplimiento de la privacidad. La regulación relacionada con la privacidad puede ser el Reglamento General de Protección de Datos (GDPR).
Por ejemplo, cuando un determinado régimen regulatorio se aplica a un territorio dado (por ejemplo, un país), ese régimen puede restringir la transmisión de cualquier información sensible a la privacidad solo dentro de ese territorio (por ejemplo, dentro del mismo país). En tal caso, si la ubicación geográfica monitoreada se encuentra en ese territorio, entonces cualquier dispositivo informático (por ejemplo, aquellos que implementan el módulo de clasificación) ubicado dentro de ese mismo territorio tendrá una coincidencia geográfica con la ubicación geográfica monitoreada. En cambio, cuando la información sensible a la privacidad se transmite a otro dispositivo informático ubicado físicamente fuera de ese territorio, ese otro dispositivo informático no tiene una ubicación geográfica común con la ubicación geográfica monitoreada.
La comunalidad geográfica puede definirse en función de diferentes niveles de territorialidad, como a nivel de pueblo/ciudad/municipio, a nivel de provincia/estado, a nivel de país y/o a nivel de una zona económica común (por ejemplo, la Unión Europea), dependiendo del régimen legislativo/regulatorio aplicable.
La similitud geográfica también puede definirse en función de la distancia, como la distancia entre la ubicación geográfica monitoreada y el dispositivo informático de procesamiento debe estar dentro de una distancia especificada entre sí.
Se entenderá que un módulo de clasificación implementado por ordenador dado que tiene una comunidad geográfica con la ubicación geográfica monitoreada aquí se refiere a una configuración específica de los dispositivos informáticos que implementan el módulo de clasificación de manera que esos dispositivos informáticos tienen la comunidad geográfica. Es decir, existe una consideración deliberada en el diseño de la implementación del módulo de clasificación implementado por ordenador para asegurar que se cumpla el criterio de comunalidad geográfica. Según varias modalidades ilustrativas, la implementación informática del módulo de clasificación, ya sea en funcionamiento o en entrenamiento, implica restringir o prevenir el procesamiento de cualquier elemento de datos capturado en cualquier ubicación que carezca de una comunidad geográfica común con la ubicación geográfica monitoreada. Por ejemplo, puede haber un paso de definir los límites de la comunalidad geográfica basado en la ubicación geográfica monitoreada, verificar la ubicación actual de cada dispositivo informático utilizado para implementar el módulo de clasificación, y prevenir cualquier procesamiento del elemento de datos capturado por ese dispositivo informático si la ubicación actual se encuentra fuera de los límites.
Para cada uno de los elementos de datos de entrenamiento dados de los elementos de datos capturados, el módulo de clasificación implementado por ordenador se entrena mediante aprendizaje en línea utilizando el elemento de datos de entrenamiento dado. El entrenamiento del módulo de clasificación implementado por ordenador mediante aprendizaje en línea utilizando el elemento de datos de entrenamiento está limitado por tener al menos una restricción de procesamiento aplicada al entrenamiento para garantizar el cumplimiento de al menos una regulación relacionada con la privacidad. La regulación relacionada con la privacidad incluye la(s) regulación(es), legislación(es) y/o protocolo(s) aplicable(s) para la ubicación geográfica monitoreada donde se captura el elemento de datos de entrenamiento. La regulación relacionada con la privacidad puede ser el GDPR.
La restricción de procesamiento puede ser una restricción temporal aplicada al aprendizaje en línea.
La restricción de procesamiento puede ser una restricción geográfica aplicada al aprendizaje en línea.
Según una modalidad ilustrativa, el entrenamiento de la clasificación implementada por ordenador mediante aprendizaje en línea utilizando el elemento de datos de entrenamiento dado tiene lugar en al menos una ubicación geográfica de aprendizaje que tiene la misma ubicación geográfica común con la ubicación geográfica monitoreada. Se entenderá que el aprendizaje en línea del módulo de clasificación puede llevarse a cabo en dispositivos informáticos que se encuentren físicamente en ubicaciones geográficas diferentes de las ubicaciones geográficas de los dispositivos informáticos que implementan el módulo de clasificación en su modo operativo. Por ejemplo, una copia operativa del módulo de clasificación se puede implementar en un primer conjunto de uno o más dispositivos informáticos ubicados en ubicaciones geográficas que tienen una comunidad geográfica con la ubicación geográfica monitoreada. Al mismo tiempo, se puede implementar una copia de entrenamiento del módulo de clasificación en un segundo conjunto de uno o más dispositivos informáticos ubicados en ubicaciones geográficas diferentes de las ubicaciones del primer conjunto de dispositivos informáticos, pero que también tienen una comunidad geográfica con la ubicación geográfica monitoreada. La copia operativa del módulo de clasificación puede ser actualizada intermitentemente con la copia de entrenamiento del módulo de clasificación.
Se entenderá que el aprendizaje en línea del módulo de clasificación puede implicar que los dispositivos informáticos accedan a elementos de datos de entrenamiento en los cuales esos dispositivos informáticos no implementan el módulo de clasificación ellos mismos. Según una modalidad ilustrativa, los elementos de datos de entrenamiento pueden ser enviados a dispositivos informáticos utilizados por expertos humanos para que los expertos humanos puedan proporcionar anotaciones de los elementos de datos de entrenamiento, que pueden ser utilizados para el aprendizaje supervisado del módulo de clasificación. Este aprendizaje supervisado incluye consultar al experto humano mediante la transmisión del elemento de datos de entrenamiento (por ejemplo, una imagen de entrenamiento) al dispositivo informático utilizado por el experto humano, mostrar el elemento de datos de entrenamiento en el dispositivo informático del experto y recibir una anotación para el elemento de datos de entrenamiento por parte del experto que interactúa con el dispositivo informático. El elemento de datos de entrenamiento anotado recibido se utiliza luego para entrenar el módulo de clasificación mediante aprendizaje automático (que puede ser aprendizaje en línea o aprendizaje fuera de línea dependiendo de si el elemento de datos ha sido anonimizado). El uso de estos dispositivos informáticos para la anotación supervisada por humanos también se considera como parte del entrenamiento de la clasificación implementada por ordenador y estos dispositivos informáticos también tienen una comunidad geográfica común con la ubicación geográfica monitoreada.
Haciendo referencia ahora a la Figura 10, se muestra en ella un diagrama esquemático de un sistema de análisis habilitado para el entrenamiento consciente de la privacidad 300 que implementa uno o más módulos de clasificación conscientes de la privacidad con aprendizaje en línea según una modalidad ilustrativa. El sistema 300 describe un sistema de análisis de flujo de vídeo consciente de la privacidad modificado 1 descrito aquí, pero es aplicable a un sistema más generalizado que tiene módulos de clasificación con entrenamiento en línea.
El sistema de análisis habilitado para el entrenamiento y consciente de la privacidad 300 incluye un subsistema de cámara 8 que comprende una pluralidad de cámaras 16 desplegadas en un espacio monitoreado con una ubicación geográfica monitoreada. Cada cámara 16 genera una corriente de vídeo capturada respectiva y el servidor 24 recibe las corrientes de vídeo capturadas, almacena las corrientes y pone las corrientes a disposición para su visualización o análisis. El servidor 24 se considera una fuente segura de almacenamiento de datos capturados.
El sistema de análisis habilitado para el entrenamiento consciente de la privacidad 300 incluye además un conjunto de uno o más nodos informáticos 332 para implementar el módulo de clasificación implementado por ordenador. Los nodos informáticos 332 reciben imágenes capturadas contenidas en los flujos de vídeo capturados del servidor 24. El módulo de clasificación implementado por ordenador implementado en los nodos de cómputo 332 procesa características biométricas de una persona capturadas en imágenes operativas de las imágenes capturadas recibidas. Como se describe en otro lugar aquí, cada uno de los uno o más nodos informáticos 332 tiene una comunidad geográfica con la ubicación geográfica monitoreada. Sin embargo, se entenderá que uno o más nodos informáticos 332 pueden estar, pero no necesariamente, ubicados en el mismo sitio físico que el espacio monitoreado, el servidor local 24 o el sistema de cámaras 16.
Continuando con la Figura 10, la línea de límite 340 representa esquemáticamente los límites de la comunión geográfica con la ubicación geográfica monitoreada donde se encuentra el sistema de cámaras 8. Los elementos a la izquierda de la línea de límite 340 representan dispositivos de computación/nodos que están físicamente ubicados fuera de los límites de la comunalidad geográfica con la ubicación geográfica monitoreada. Los elementos a la derecha de la línea de límite 340 representan dispositivos de computación/nodos que están físicamente ubicados dentro de los límites de la comunidad geográfica con la ubicación geográfica monitoreada. Se apreciará que uno o más nodos informáticos 332 se encuentran a la derecha de la línea de límite 340 y tienen una comunidad geográfica con la ubicación geográfica monitoreada.
Continuando con la Figura 10, se ilustra que uno o más nodos informáticos 332 están formados por nodos en el sitio (borde) 356 y nodos fuera del sitio 360. Los nodos in situ 356 se despliegan en una ubicación geográfica sustancialmente igual que el espacio monitoreado, como dentro de las instalaciones físicas del espacio (por ejemplo, en el mismo centro comercial). Los nodos en el sitio 356 pueden ser dispositivos informáticos ubicados en las instalaciones de los espacios monitoreados. Los nodos fuera del sitio 360 se despliegan en una o más ubicaciones geográficas que están alejadas del espacio monitoreado, como en una o más ubicaciones externas. Los nodos fuera del sitio 360 se comunican con los nodos internos 356 y/o con el servidor 24 a través de una red de comunicaciones adecuada. Los nodos fuera del sitio 360 pueden ser servidores remotos o unidades de computación basadas en la nube. La línea 348 representa la división entre los nodos en el sitio 356 y los nodos fuera del sitio 360.
Los nodos en el sitio 356 implementan una primera parte de los pasos de procesamiento relacionados con la operación del módulo de clasificación implementado por ordenador para generar el conjunto de datos contextual y/o relacionados con el entrenamiento del módulo de clasificación implementado por ordenador mediante aprendizaje en línea. Los nodos fuera del sitio 360 implementan una segunda parte de los pasos de procesamiento relacionados con la operación de la clasificación implementada por ordenador para generar el conjunto de datos contextual y/o relacionados con el entrenamiento del módulo de clasificación implementado por ordenador mediante aprendizaje en línea. Dado que tanto los nodos en el sitio, 356, como los nodos fuera del sitio, 360, están ubicados geográficamente para tener una comunión geográfica con la ubicación geográfica monitoreada, ambos conjuntos de nodos pueden recibir y procesar información sensible a la privacidad, como imágenes operativas capturadas que contienen características biométricas y/o imágenes de entrenamiento capturadas que contienen características biométricas.
Según un ejemplo no limitante, la operación del módulo de clasificación implementado por ordenador para procesar la imagen operativa dada y determinar un conjunto de datos contextual respectivo es llevada a cabo por los nodos en el sitio 356, mientras que el entrenamiento del módulo de clasificación implementado por ordenador mediante aprendizaje en línea utilizando la imagen de entrenamiento es realizado por los nodos fuera del sitio 360 (por ejemplo, en una copia del módulo de clasificación implementado por ordenador).
Según otro ejemplo no limitante, los nodos en el sitio 356 implementan tanto el procesamiento de las imágenes operativas para determinar conjuntos de datos contextuales como el entrenamiento del módulo de clasificación implementado por ordenador mediante aprendizaje en línea utilizando la imagen de entrenamiento. Los nodos fuera del sitio 360 incluyen los dispositivos informáticos utilizados por expertos humanos para revisar una o más imágenes de entrenamiento no anotadas, mediante las cuales las anotaciones realizadas por los expertos humanos en los nodos fuera del sitio 360 producen imágenes de entrenamiento anotadas. Las imágenes de entrenamiento anotadas se devuelven a los nodos en el sitio 352 para su uso en el entrenamiento del módulo de clasificación implementado por ordenador mediante aprendizaje automático. Se apreciará que esta configuración permite una mayor flexibilidad en el sentido de que los expertos humanos supervisores pueden estar ubicados fuera del sitio vigilado en lugar de tener que acudir físicamente al lugar vigilado (siempre y cuando los expertos humanos y los nodos fuera del sitio 360 estén ubicados en una ubicación geográfica de entrenamiento que tenga una similitud geográfica con la ubicación geográfica vigilada).
El ejemplo ilustrado de la Figura 10 muestra los nodos informáticos 332 que tienen tanto los nodos en el sitio 356 como los nodos fuera del sitio 360, pero se entenderá que en otros ejemplos los nodos informáticos 332 pueden consistir completamente en (es decir, incluir solo) los nodos en el sitio 356 o consistir completamente en (es decir, incluir solo) los nodos fuera del sitio 360.
Haciendo referencia ahora a la Figura 11, se muestra en ella un diagrama esquemático de la actividad de procesamiento implementada por ordenador del sistema de análisis habilitado para el entrenamiento consciente de la privacidad 300, que ha sido segregado por límites de comunidad geográfica y ubicación en el sitio o fuera de él, según una modalidad ilustrativa. La Figura 11 es similar a la representación esquemática de las Figuras 2 y 3, pero muestra la similitud geográfica y la ubicación en el sitio en comparación con la ubicación en la red y el acceso autorizado. La Figura 11 muestra un sistema modificado de análisis de flujo de vídeo consciente de la privacidad, pero también es aplicable a un sistema más generalizado que tiene un módulo de clasificación con entrenamiento en línea.
La infraestructura de vigilancia segura para clientes 368 está formada por el sistema de cámaras 8 y el servidor de vídeo 24. El vídeo capturado almacenado en el servidor de vídeo 24 se transmite a los nodos informáticos 332. El vídeo capturado incluye la pluralidad de imágenes capturadas que forman las imágenes operativas y/o las imágenes de entrenamiento. Una primera parte (ejemplo: parte 1) del procesamiento de las imágenes capturadas se lleva a cabo en el sitio por los nodos en el sitio 356. Una segunda parte del procesamiento de las imágenes capturadas se lleva a cabo fuera del sitio por los nodos fuera del sitio 360. La línea 348 denota la separación entre los nodos en el sitio 356 y los nodos fuera del sitio 360. Como se describe anteriormente, los nodos en el sitio 356 y los nodos fuera del sitio 360 llevan a cabo las respectivas partes de procesamiento de vídeo/imagen (ilustradas como partes 1 y partes 2) que juntas implementan la operación del módulo de clasificación implementado por ordenador y el aprendizaje en línea del módulo de clasificación implementado por ordenador.
La operación del módulo de clasificación aplicado a las imágenes operativas produce conjuntos de datos contextuales respectivos. Como se describe en otro lugar en este documento, el conjunto de datos contextual para cualquier persona capturada puede incluir una o más informaciones demográficas a un nivel suficientemente alto para que la persona no pueda ser identificada de manera única. En consecuencia, el conjunto de datos contextual se considera anonimizado para que pueda ser enviado a nodos informáticos que no tienen una ubicación geográfica común con la ubicación geográfica monitoreada.
Los nodos en el sitio 356 y/o los nodos fuera del sitio 360 también pueden llevar a cabo un paso de anonimización de las imágenes capturadas para generar imágenes capturadas anonimizadas respectivas. Estas imágenes capturadas anonimizadas también pueden ser enviadas a nodos informáticos que no tienen una ubicación geográfica común con la ubicación geográfica monitoreada. Como se describe con mayor detalle en otro lugar de este documento, la anonimización de las imágenes capturadas incluye eliminar o enmascarar una subregión del rostro de la imagen y distorsionar la subregión corporal restante de manera que esté libre de cualquier información sensible a la privacidad.
La línea límite 340 también denota los límites de la comunidad geográfica en la Figura 11, en donde los nodos de cómputo ubicados a la izquierda y/o debajo de la línea límite 340 tienen una comunidad geográfica con la ubicación geográfica monitoreada y los nodos de cómputo ubicados a la derecha y/o arriba de la línea límite 340 se consideran ubicados fuera de los límites de la comunidad geográfica. Los datos anonimizados (por ejemplo, conjunto de datos contextual y/o imágenes capturadas anonimizadas) pueden ser transmitidos a través de la línea de límite 340 a nodos informáticos ubicados fuera de los límites de la comunidad geográfica común con la ubicación geográfica monitoreada.
Como se describe anteriormente con referencia al sistema de análisis consciente de la privacidad 1, la legislación, regulación o protocolo relacionado con la privacidad aplicable define la duración máxima de tiempo en la que los elementos de datos capturados, como un flujo de vídeo (incluyendo imágenes capturadas del flujo de vídeo), pueden ser retenidos para fines no relacionados con la seguridad si ese elemento de datos capturado contiene información sensible a la privacidad (por ejemplo, información biométrica). La retención con fines no relacionados con la seguridad incluye el procesamiento del elemento de datos. Se observó que cualquier procesamiento de cualquier elemento de datos, ya sea procesando un elemento de datos operativo para determinar el conjunto de datos contextual o procesando un elemento de datos de entrenamiento como parte del aprendizaje en línea del módulo de clasificación, debe completarse dentro de la duración máxima para que el elemento de datos capturado pueda descartarse a tiempo (es decir, ya no se retenga). Este descarte del elemento de datos capturado que incluye información sensible a la privacidad del elemento de datos capturado garantiza el cumplimiento del régimen legislativo y/o regulatorio aplicable.
Según varias modalidades ilustrativas, para garantizar el cumplimiento de la legislación relacionada con la privacidad, para un elemento de datos capturado dado que es un elemento de datos operativo, la operación del módulo de clasificación implementado por ordenador para procesar el elemento de datos operativo dado y determinar un conjunto de datos contextual correspondiente se completa dentro de un intervalo de tiempo de funcionamiento después de recibir el elemento de datos operativo dado. La recepción del elemento de datos operativos dado corresponde al momento en que se recibe el elemento de datos operativos dado de una fuente segura que almacena el elemento de datos capturado.
En el ejemplo de las Figuras 10 y 11 relacionadas con imágenes capturadas (incluyendo imágenes de flujos de vídeo capturados), el servidor de vídeo 24 de la infraestructura de vigilancia de la cámara se considera una fuente segura y el momento de recepción de la imagen operativa dada corresponde al momento en que uno de los nodos informáticos 332 (nodo en el sitio 356 y/o nodo fuera del sitio 360) recibe por primera vez el flujo de vídeo o la imagen capturada del servidor de vídeo 24 para comenzar el procesamiento de la imagen operativa.
El intervalo de tiempo de funcionamiento durante el cual el módulo de clasificación implementado por ordenador se opera para procesar el elemento de datos operativos dado es más corto que una duración de umbral temporal predeterminada. La duración de umbral temporal predeterminada corresponde a la duración de retención permitida según lo definido por la legislación y/o regulación aplicable (también llamada en este documento la "duración de umbral temporal" en referencia al sistema de análisis consciente de la privacidad 1 o el "límite de tiempo de retención"). Según una modalidad ilustrativa, la duración del umbral temporal predeterminado es de 4 minutos 59 segundos. La finalización del procesamiento del elemento de datos operativo dentro del intervalo de tiempo de operación incluye el descarte del elemento de datos después del procesamiento dentro de ese intervalo de tiempo de operación.
De manera similar, para garantizar el cumplimiento de la legislación relacionada con la privacidad, para un elemento de datos capturado dado que es un elemento de datos de entrenamiento, el entrenamiento de la clasificación implementada por ordenador mediante aprendizaje en línea utilizando el elemento de datos de entrenamiento se completa dentro de un intervalo de tiempo de entrenamiento después de recibir el elemento de datos de entrenamiento dado. La recepción del elemento de datos de entrenamiento dado corresponde al momento en que se recibe el elemento de datos de entrenamiento dado de una fuente segura que almacena el elemento de datos capturado.
En el ejemplo de las Figuras 10 y 11 relacionadas con imágenes capturadas (incluyendo imágenes de flujos de vídeo capturados), el servidor de vídeo 24 de la infraestructura de vigilancia de cámaras se considera una fuente segura y el momento de recibir la imagen de entrenamiento dada corresponde al momento en que uno de los nodos de cómputo 332 (nodo en el sitio 356 y/o nodo fuera del sitio 360) recibe el flujo de vídeo o la imagen capturada del servidor de vídeo 24 para comenzar el aprendizaje en línea del módulo de clasificación implementado por ordenador utilizando la imagen de entrenamiento.
Cuando un elemento de datos de entrenamiento también es un elemento de datos operativo (en el sentido de que el elemento de datos capturado también se utiliza para determinar el conjunto de datos contextual), la recepción del elemento de datos de entrenamiento dado corresponde al primer momento en que se recibe el elemento de datos capturado desde la fuente segura.
El intervalo de tiempo de entrenamiento durante el cual el módulo de clasificación implementado por ordenador se está entrenando mediante aprendizaje en línea utilizando el elemento de datos de entrenamiento es más corto que la duración de umbral temporal predeterminada. Esta es la misma duración de umbral temporal predeterminada en comparación con la cual el intervalo de tiempo operativo también es más corto. Dado que el intervalo de tiempo de entrenamiento y el intervalo de tiempo de operación tienen ambos un límite superior correspondiente a la duración de umbral temporal predeterminada, los dos intervalos de tiempo pueden tener la misma duración, pero se entenderá que sus duraciones pueden ser diferentes si la duración del tiempo necesario para completar el aprendizaje en línea difiere del tiempo necesario para completar el procesamiento del elemento de datos operativo. La finalización del aprendizaje en línea del módulo de clasificación implementado por ordenador dentro del intervalo de tiempo de entrenamiento incluye el descarte del elemento de datos de entrenamiento después del aprendizaje en línea del módulo de clasificación implementado por ordenador utilizando el elemento de datos de entrenamiento. Para mayor claridad, el procesamiento del elemento de datos dado por el módulo de clasificación en su modo operativo y el aprendizaje en línea de la clasificación utilizando el mismo elemento de datos se pueden llevar a cabo en paralelo, en donde el tiempo de procesamiento más largo (intervalo de tiempo operativo) y el aprendizaje en línea (intervalo de tiempo de entrenamiento) deben completarse dentro de la duración de umbral temporal predeterminada.
Como se describe en otro lugar en este documento, el entrenamiento del módulo de clasificación implementado por ordenador mediante aprendizaje automático puede incluir que un experto humano revise el elemento de datos de entrenamiento y lo anote para que el aprendizaje en línea se lleve a cabo en base al elemento de datos de entrenamiento anotado. Según tales modalidades de ejemplo, el proceso de anotar el elemento de datos de entrenamiento y el entrenamiento del módulo de clasificación mediante aprendizaje en línea utilizando el elemento de datos de entrenamiento anotado se completan dentro del intervalo de tiempo de entrenamiento que es más corto que la duración temporal predeterminada. Más específicamente, el proceso de consultar al experto humano, recibir una anotación para el elemento de datos de entrenamiento por parte del experto humano (lo cual incluye mostrar la imagen del elemento de datos al experto humano y recibir la anotación), el entrenamiento de la clasificación implementada por ordenador mediante aprendizaje en línea con el elemento de datos de entrenamiento anotado y el descarte del elemento de datos de entrenamiento anotado se completan todos dentro del intervalo de tiempo de entrenamiento.
Haciendo referencia ahora a la Figura 12, se muestra en ella un diagrama esquemático de los submódulos de operación de las operaciones conscientes de la privacidad llevadas a cabo en nodos informáticos que tienen una comunidad geográfica con la ubicación geográfica monitoreada. Estas operaciones pueden ser sustancialmente similares a las operaciones del módulo de seguimiento consciente de la privacidad 48 descritas aquí con referencia a la Figura 4a, pero con la adición del modelo de inteligencia artificial 372, que forma parte del módulo de clasificación implementado por ordenador, y el módulo de entrenamiento 380 para el aprendizaje en línea del módulo de clasificación implementado por ordenador. Se apreciará que el modelo 372 actúa sobre imágenes operativas mediante el módulo de clasificación implementado por ordenador y/o el entrenamiento mediante el módulo de entrenamiento 380 del módulo de clasificación y la eliminación de las imágenes capturadas (por el módulo de limpieza de datos 128) se completan antes de que expire la duración temporal predeterminada después de recibir la imagen capturada (o el flujo de vídeo que incluye la imagen capturada). En el ejemplo ilustrado de la Figura 12, esta duración temporal predeterminada es inferior a 5 minutos, como por ejemplo 4 minutos 59 segundos.
Según varias modalidades ilustrativas, la limitación temporal del procesamiento del elemento de datos operativos dado por el módulo de clasificación implementado por ordenador al intervalo de tiempo operativo y la limitación temporal del aprendizaje en línea del módulo de clasificación implementado por ordenador al intervalo de tiempo de entrenamiento se pueden implementar como una medida independiente consciente de la privacidad. Según otros ejemplos de modalidades, esta medida de limitación de tiempo consciente de la privacidad se puede implementar en combinación con la restricción del procesamiento del elemento de datos operativos y el aprendizaje en línea del módulo de clasificación a la ubicación geográfica operativa y la ubicación geográfica de entrenamiento que tienen una comunidad geográfica con la ubicación geográfica monitoreada.
La descripción proporcionada hasta ahora se refiere al procesamiento de elementos de datos operativos por parte de la clasificación y el aprendizaje en línea del módulo de clasificación utilizando elementos de datos de entrenamiento en los que los elementos de datos incluyen información de sensibilidad a la privacidad para la totalidad del procesamiento y el aprendizaje en línea. Según varios ejemplos adicionales de modalidades, el sistema de entrenamiento consciente de la privacidad 300 incluye al menos un módulo adicional configurado para generar elementos de datos anonimizados. En consecuencia, el módulo de clasificación descrito anteriormente que actúa sobre elementos de datos sensibles a la privacidad para determinar conjuntos de datos contextuales representa un primer módulo de clasificación del sistema 300. Según estas modalidades, el sistema de análisis habilitado para el entrenamiento consciente de la privacidad 300 incluye además al menos un segundo módulo de clasificación implementado por ordenador que está configurado para operar en elementos de datos capturados anonimizados y que no está restringido a ser implementado en ninguna ubicación con una geolocalización común con la ubicación geográfica monitoreada.
El segundo módulo de clasificación implementado por ordenador también utiliza elementos de datos capturados en la ubicación geográfica monitoreada. Cada uno de los múltiples elementos de datos capturados se utiliza como un elemento de datos operativo que debe ser clasificado y/o se utiliza como un elemento de datos de entrenamiento. De los elementos de datos de entrenamiento, se puede utilizar un primer subconjunto de los elementos de datos de entrenamiento para entrenar el primer módulo de clasificación implementado por ordenador y un segundo subconjunto de los elementos de datos de entrenamiento se puede utilizar para entrenar el segundo módulo de clasificación implementado por ordenador. Un elemento de datos de entrenamiento puede ser utilizado tanto para entrenar el primer módulo de clasificación implementado por ordenador como para entrenar el segundo módulo de clasificación implementado por ordenador. Por lo tanto, el primer subconjunto de elementos de datos de entrenamiento y el segundo subconjunto de elementos de datos de entrenamiento pueden tener algunas superposiciones antes de anonimizar el segundo subconjunto de elementos de datos de entrenamiento.
Para cada uno de los elementos de datos operativos de los elementos de datos capturados que serán procesados por el segundo módulo de clasificación implementado por ordenador, los elementos de datos operativos son anonimizados antes de ser procesados por el segundo módulo de clasificación implementado por ordenador. La anonimización de los elementos de datos operativos se lleva a cabo por uno o más nodos informáticos ubicados físicamente en al menos una ubicación geográfica, cada una de las cuales tiene una comunidad geográfica en común con la ubicación geográfica monitoreada donde se capturaron los elementos de datos operativos dados. Esto representa una primera medida consciente de la privacidad en el paso de anonimización. Además, o alternativamente, la anonimización de los elementos de datos operativos se completa dentro de un intervalo de tiempo de procesamiento desde la recepción de los elementos de datos operativos de una fuente segura. Este intervalo de tiempo de procesamiento puede ser el mismo intervalo de tiempo que toma el primer módulo de clasificación para procesar los elementos de datos operativos y determinar el conjunto de datos contextual. Esto representa una segunda medida consciente de la privacidad en el paso de anonimización. La anonimización produce un elemento de datos operativos anonimizado.
Como se describe en otro lugar en este documento, la anonimización de los elementos de datos incluye aplicar un paso activo para eliminar al menos una característica dentro del elemento de datos capturado que de otro modo permitiría la identificación de la persona capturada en el elemento de datos. La al menos una característica puede ser una característica biométrica que permitiría identificar de manera única a la persona.
Donde el elemento de datos capturado es una imagen de una persona, como también se describe en otro lugar aquí, la eliminación de al menos una característica biométrica puede incluir detectar una subregión del rostro de la imagen operativa y enmascarar la subregión del rostro, de modo que se eliminen el rostro y las características faciales. La eliminación de características biométricas también puede incluir la detección de una subregión del cuerpo de la imagen operativa y distorsionar aleatoriamente la subregión del cuerpo. En consecuencia, la imagen operativa anonimizada incluye una imagen de la persona capturada, pero con la subregión del rostro eliminada (o enmascarada) y la subregión del cuerpo distorsionada. La persona capturada en la imagen operativa anonimizada es irreconocible.
El segundo módulo de clasificación implementado por ordenador recibe el elemento de datos operativos anonimizado y procesa el elemento de datos operativos anonimizado para determinar un conjunto de características respectivas que lo caracterizan.
A diferencia del primer módulo de clasificación implementado por ordenador que opera en elementos de datos capturados sensibles a la privacidad, el segundo módulo de clasificación implementado por ordenador solo procesa elementos de datos que han sido anonimizados y, por lo tanto, son sustancialmente menos sensibles a la privacidad. El elemento de datos anonimizado puede estar libre de cualquier información sensible de privacidad. En consecuencia, no es necesario tomar las mismas medidas de protección de la privacidad para el funcionamiento del segundo módulo de clasificación implementado por ordenador. Notablemente, el funcionamiento de la segunda clasificación implementada por ordenador no está restringido a ninguna ubicación que tenga la similitud geográfica con la ubicación geográfica monitoreada. Para mayor claridad, el segundo módulo de clasificación implementado por ordenador puede ser implementado en nodos informáticos que se encuentren fuera de los límites de la comunalidad geográfica con la ubicación geográfica monitoreada.
Además, o alternativamente, el funcionamiento de la segunda clasificación implementada por ordenador para procesar el elemento de datos operativos anonimizados no está restringido a completarse dentro de un intervalo de tiempo después de recibir inicialmente el elemento de datos operativos de la fuente segura, en el cual el intervalo de tiempo es más corto que la duración de umbral temporal. Para mayor claridad, el procesamiento del elemento de datos operativos anonimizados no está sujeto a la duración del umbral temporal impuesto por la legislación o regulaciones aplicables, y el elemento de datos operativos anonimizados puede ser retenido más allá de esa duración del umbral temporal. Por lo tanto, el procesamiento del elemento de datos operativos anonimizados puede completarse después de superar el límite de tiempo de retención. Según varias modalidades ilustrativas, se pueden recibir y retener una pluralidad de elementos de datos operativos anonimizados más allá de la duración del umbral temporal y la pluralidad de elementos de datos operativos anonimizados pueden ser procesados en un solo lote por el segundo módulo de clasificación implementado por ordenador.
La operación del segundo módulo de clasificación implementado por ordenador se aplica a las salidas de elementos de datos operativos anonimizados respectivos conjuntos de características de anonimización. Como se describe en otro lugar aquí, cuando el elemento de datos capturado es una imagen de una persona, el conjunto de datos de características anonimizadas no incluye ninguna característica biométrica que identifique de manera única a la persona capturada en la imagen operativa utilizada para generar ese conjunto de datos. En particular, la determinación del conjunto de rasgos característicos anonimizados se realiza sin aplicar ninguna identificación única de la persona capturada basada en información biométrica, ya sea física, fisiológica y/o conductual. El conjunto de datos de rasgos característicos anonimizados puede incluir un patrón de color caracterizador y elementos accesorios extraídos de la subregión del cuerpo anonimizado. Estos elementos se pueden extraer de la información de la ropa (por ejemplo: parte superior, parte inferior, zapatos, sombrero, etc.) y/o información de los accesorios (por ejemplo: bolso, joyas, etc.) encontrados en la región del cuerpo anonimizada.
Para cada uno de los elementos de datos de entrenamiento dados del segundo subconjunto, el elemento de datos de entrenamiento dado se anonimiza antes de ser utilizado como un elemento de datos de entrenamiento anonimizado para entrenar el segundo módulo de clasificación implementado por ordenador mediante aprendizaje automático. Al igual que la anonimización del elemento de datos operativos, la anonimización del elemento de datos de entrenamiento se lleva a cabo por uno o más nodos informáticos ubicados físicamente en una ubicación geográfica cada uno con una comunidad geográfica en común con la ubicación geográfica monitoreada donde se capturó el elemento de datos de entrenamiento dado. Esto representa una primera medida consciente de la privacidad en la anonimización del elemento de datos de entrenamiento. Además, o alternativamente, la anonimización del elemento de datos de entrenamiento se completa dentro de un intervalo de tiempo de entrenamiento desde la recepción del elemento de datos de entrenamiento de una fuente segura. Este intervalo de tiempo de entrenamiento puede ser el mismo intervalo de tiempo que toma el primer módulo de clasificación para completar el entrenamiento del primer módulo mediante aprendizaje automático utilizando el elemento de datos de entrenamiento, en el cual el intervalo de tiempo es más corto que la duración de umbral temporal. Esto representa una segunda medida consciente de la privacidad en el paso de anonimización de la imagen de entrenamiento. La anonimización produce una imagen de entrenamiento anonimizada.
Como se describe en otro lugar en este documento, la anonimización de los elementos de datos de entrenamiento incluye aplicar un paso activo para eliminar al menos una característica dentro del elemento de datos capturado que de otro modo permitiría la identificación de la persona capturada en el elemento de datos. La al menos una característica puede ser una característica biométrica que permitiría identificar de manera única a la persona.
Donde el elemento de datos capturado es una imagen de una persona, como también se describe en otro lugar aquí, la eliminación de al menos una característica biométrica puede incluir detectar una subregión del rostro de la imagen de entrenamiento y enmascarar la subregión del rostro, de modo que se eliminen el rostro y las características faciales. La eliminación de características de identificación también puede incluir la detección de una subregión del cuerpo de la imagen de entrenamiento y distorsionarla aleatoriamente. En consecuencia, la imagen de entrenamiento anonimizada incluye una imagen de la persona capturada, pero con la subregión del rostro eliminada (o enmascarada) y la subregión del cuerpo distorsionada. La persona capturada en la imagen de entrenamiento anonimizada es irreconocible.
El elemento de datos de entrenamiento anonimizado se utiliza para entrenar el segundo módulo de clasificación implementado por ordenador mediante aprendizaje automático. A diferencia del primer módulo de clasificación implementado por ordenador que se entrena utilizando elementos de datos capturados sensibles a la privacidad, el segundo módulo de clasificación implementado por ordenador solo procesa elementos de datos que han sido anonimizados y, por lo tanto, son sustancialmente menos sensibles a la privacidad. El elemento de datos anonimizado puede estar libre de cualquier información sensible de privacidad. Por lo tanto, no es necesario tomar las mismas medidas de privacidad para el entrenamiento del segundo módulo de clasificación implementado por ordenador mediante aprendizaje automático. Notablemente, el entrenamiento del segundo módulo de clasificación implementado por ordenador mediante aprendizaje automático utilizando el elemento de datos de entrenamiento anonimizado no está restringido a ninguna ubicación que tenga la similitud geográfica con la ubicación geográfica monitoreada. Para mayor claridad, el segundo módulo de clasificación implementado por ordenador puede ser implementado en nodos informáticos que se encuentren fuera de los límites de la comunalidad geográfica con la ubicación geográfica monitoreada.
Además, o alternativamente, el uso del elemento de datos de entrenamiento anonimizado para entrenar el segundo módulo de clasificación implementado por ordenador mediante aprendizaje automático no está restringido a completarse dentro de un intervalo de tiempo después de recibir inicialmente el elemento de datos de entrenamiento de la fuente segura, en el cual el intervalo de tiempo es más corto que la duración de umbral temporal. Para mayor claridad, el uso del elemento de datos de entrenamiento no está limitado por la duración del umbral temporal impuesto por la legislación o regulaciones aplicables, y la imagen operativa anonimizada puede ser retenida más allá de esa duración del umbral temporal. Por lo tanto, el entrenamiento de la segunda clasificación implementada por ordenador utilizando el elemento de datos de entrenamiento anonimizado puede completarse después de superar la duración del umbral temporal. Según varias modalidades ilustrativas, se pueden recibir y retener una pluralidad de elementos de datos de entrenamiento anonimizados más allá de la duración del umbral temporal y se pueden utilizar una pluralidad de imágenes de entrenamiento anonimizadas como un solo lote para entrenar el segundo módulo de clasificación implementado por ordenador mediante aprendizaje automático. Esto puede ser aprendizaje sin conexión del segundo módulo de clasificación implementado por ordenador.
Según varias modalidades ilustrativas, el entrenamiento del segundo módulo de clasificación implementado por ordenador mediante aprendizaje automático incluye consultar a un segundo experto humano para que anote los elementos de datos de entrenamiento anonimizados del segundo subconjunto que se utilizarán para el entrenamiento. Para este paso de anotación, se transmiten al menos los elementos de datos de entrenamiento del segundo subconjunto que han sido anonimizados a al menos un dispositivo informático utilizado por el al menos un segundo experto humano y se muestran en el dispositivo informático al segundo experto humano. La transmisión y la visualización de los elementos de datos de entrenamiento anonimizados del segundo subconjunto en al menos un dispositivo informático del segundo experto humano no están restringidas a tener una comunidad geográfica común con la ubicación geográfica monitoreada donde se capturaron inicialmente los elementos de datos de entrenamiento. Para mayor claridad, los dispositivos informáticos utilizados por el segundo experto humano para anotar los elementos de datos de entrenamiento anonimizados pueden estar ubicados fuera de los límites de la comunidad geográfica común con la ubicación geográfica monitoreada.
La anotación de los elementos de datos de entrenamiento anonimizados en el proceso de entrenamiento de la segunda clasificación implementada por ordenador mediante aprendizaje automático no está restringida a completarse únicamente dentro de un intervalo de tiempo de entrenamiento después de recibir inicialmente los elementos de datos de entrenamiento de la fuente segura, en el cual el intervalo de tiempo es más corto que la duración de umbral temporal. Donde este proceso incluye consultar al segundo experto humano para anotar el elemento de datos de entrenamiento anonimizado, la anotación tampoco necesita ser completada dentro del intervalo de tiempo de entrenamiento. Para mayor claridad, la anotación del elemento de datos de entrenamiento anonimizado puede completarse después de la expiración de la duración del umbral temporal después de recibir el elemento de datos de entrenamiento. Como se menciona anteriormente, esto permite el aprendizaje sin conexión del segundo módulo de clasificación.
Haciendo referencia a la Figura 10, el sistema de análisis habilitado para el entrenamiento consciente de la privacidad ilustrado y ejemplificado 300 incluye uno o más nodos informáticos sin restricciones geográficas 400 que están configurados para implementar el segundo módulo de clasificación implementado por ordenador. Los nodos informáticos 400 pueden implementar tanto la operación del segundo módulo de clasificación para determinar conjuntos de datos de características respectivas a partir de elementos de datos operativos anonimizados, como el aprendizaje automático del segundo módulo de clasificación utilizando elementos de datos de entrenamiento anonimizados. Se apreciará que los nodos informáticos 400 sin restricciones geográficas se colocan a la izquierda de la línea de límite 340 para indicar que se encuentran fuera de los límites de la comunalidad geográfica con la ubicación geográfica monitoreada correspondiente al sistema de vigilancia por cámara 8. Los nodos informáticos geográficamente no restringidos 400 pueden ser un sistema de computación basado en la nube. Dado que no está limitado a tener una comunidad geográfica común con la ubicación geográfica monitoreada, la implementación de los nodos informáticos no restringidos 400 puede aprovechar la flexibilidad de los sistemas de computación basados en la nube al desplazar los recursos de computación de la nube a diferentes territorios geográficos a lo largo del tiempo de manera sustancialmente no restringida.
Como se describe anteriormente, la anonimización de los elementos de datos operativos y de los elementos de datos de entrenamiento del segundo subconjunto se lleva a cabo en nodos informáticos que tienen una comunidad geográfica común con la ubicación geográfica monitoreada. Según el ejemplo ilustrado en la Figura 10, tanto el nodo informático en el sitio (356) como los nodos informáticos fuera del sitio (360) de los nodos informáticos (332) pueden ser utilizados para llevar a cabo la anonimización de los elementos de datos operativos y de los elementos de datos de entrenamiento. Los elementos de datos operativos y los elementos de datos de entrenamiento, después de ser anonimizados por el nodo informático en el sitio 356 y/o el nodo informático fuera del sitio 360, son luego transmitidos a través de la línea de límite 340 a los nodos geográficamente no restringidos 400.
Haciendo referencia de nuevo a la Figura 11, se muestra el sistema 300 habilitado para el entrenamiento consciente de la privacidad, el cual cuenta con un almacenamiento de datos anonimizados 408 que almacena elementos de datos operativos anonimizados y elementos de datos de entrenamiento anonimizados. Como se ilustra, estos elementos de datos anonimizados son recibidos tanto de uno como de ambos nodos en el sitio 356 y nodos fuera del sitio 360. Como se describe con más detalle anteriormente, la duración del umbral temporal definido legislativamente sobre la retención de información sensible a la privacidad (por ejemplo, imágenes que permiten la identificación única de personas capturadas) no se aplica a los elementos de datos anonimizados. En consecuencia, los elementos de datos operativos anonimizados y los elementos de datos de entrenamiento anonimizados pueden ser almacenados durante un período de tiempo que es más largo que la duración del umbral temporal. En cualquier momento, que puede ser después de la expiración de la duración del umbral temporal, las imágenes operativas anonimizadas y las imágenes de entrenamiento anonimizadas pueden ser recibidas en los nodos sin restricciones geográficas 400 que implementan el segundo módulo de clasificación implementado por ordenador para llevar a cabo el procesamiento de las imágenes operativas anonimizadas para generar conjuntos de datos de rasgos característicos y entrenar el segundo módulo de clasificación implementado por ordenador mediante aprendizaje automático, como se describe anteriormente.
Los nodos geográficamente no restringidos 400 se colocan por encima de la línea de límite 340 en la Figura 11 para indicar que pueden estar ubicados fuera de los límites de la comunidad geográfica común con la ubicación geográfica monitoreada.
El almacenamiento de datos anonimizados 408 se coloca en la Figura 11 a la derecha y por encima de la línea de límite 340 para indicar también que el almacenamiento de datos 408 puede estar ubicado fuera de los límites de la comunalidad geográfica con la ubicación geográfica monitoreada. Sin embargo, se entenderá que, en otras modalidades de ejemplo, el almacenamiento de datos 408 puede estar ubicado dentro de los límites de la comunidad geográfica común con la ubicación geográfica monitoreada, como en el sitio del espacio monitoreado. Se entenderá que, a pesar de tener una similitud geográfica con la ubicación geográfica monitoreada, el almacenamiento de datos 408 puede almacenar los elementos de datos anonimizados (por ejemplo, flujos de vídeo e imágenes) más allá de la duración del umbral temporal.
Haciendo referencia ahora a la Figura 13, se muestra en ella un diagrama esquemático que ilustra gráficamente los pasos de procesamiento para generar el conjunto de datos contextual y el conjunto de datos de rasgos característicos, al mismo tiempo que se implementa el aprendizaje en línea de los módulos de clasificación según una modalidad ilustrativa. Esta configuración puede ser una modificación del procesamiento ilustrado en la Figura 5c con referencia al sistema de análisis consciente de la privacidad 1, pero con la adición de aprendizaje continuo aplicado a los módulos de clasificación utilizados en ella.
Se capturan una serie de imágenes 138 en una ubicación monitoreada. Se extrae la subregión del rostro 256, que serán las imágenes operativas e imágenes de entrenamiento procesadas por el primer módulo de clasificación implementado por ordenador de acuerdo a su modelo de IA 372. Las imágenes operativas 384 que tienen las subregiones faciales se alimentan a un modelo de inteligencia artificial biométrica 372 del primer módulo de clasificación implementado por ordenador, mediante el cual el módulo determina conjuntos de datos contextuales respectivos. Se alimentan al módulo de aprendizaje automático 380 388 imágenes de entrenamiento de estas subregiones faciales 256 para entrenar el modelo de inteligencia artificial biométrica 372 del primer módulo de clasificación implementado por ordenador. El conjunto de datos contextual que se genera como salida, y que ha sido anonimizado, se almacena en el almacenamiento de datos 408. Se apreciará que esta pista de datos opera en imágenes sensibles a la privacidad y que la(s) medida(s) consciente(s) de la privacidad descrita(s) aquí se aplican.
Continuando con la Figura 13, las imágenes capturadas también se anonimizan para producir imágenes anonimizadas 144. En el ejemplo ilustrado, las imágenes anonimizadas 144 están en forma de imágenes que tienen una imagen de rostro enmascarada y una subregión de cuerpo distorsionada. Estas imágenes anonimizadas 144 se almacenan en el almacenamiento de datos 408, donde pueden ser utilizadas en un momento futuro por un segundo módulo de clasificación implementado por ordenador para generar conjuntos de datos de rasgos característicos y entrenar el módulo de clasificación implementado por ordenador mediante aprendizaje automático.
La Figura 14 muestra un desglose de los tipos de imágenes que se almacenan y/o reciben en diferentes ubicaciones. En particular, se muestran diferentes tipos de imágenes (anonimizadas o no) en relación a si el dispositivo informático que procesa o almacena un determinado tipo de imagen tiene una coincidencia geográfica con la ubicación geográfica monitoreada. Esto se representa mediante la línea de límite 340, en donde los dispositivos a la izquierda de la línea de límite 340 tienen una comunidad geográfica con la ubicación geográfica monitoreada y los dispositivos a la derecha de la línea de límite 340 no tienen una comunidad geográfica con la ubicación geográfica monitoreada.
Varias modalidades de ejemplo de módulos de clasificación implementados por ordenador descritos aquí permiten el aprendizaje en línea utilizando elementos de datos capturados del entorno operativo real. Se apreciará que el aprendizaje en línea utilizando los elementos de datos de entrenamiento capturados del entorno operativo debería mejorar el rendimiento del módulo de clasificación con el tiempo, porque las características y filtros aplicados en el módulo de clasificación se adaptarán más a las características del entorno operativo. Esto proporciona una optimización al rendimiento del módulo de clasificación aplicado al entorno operativo específico. Además, las soluciones descritas en este documento permiten el aprendizaje en línea al mismo tiempo que se toman medidas para proteger la privacidad.
Por ejemplo, donde diferentes espacios monitoreados pueden tener diferentes parámetros y configuraciones de cámaras, iluminación y presencia de objetos de fondo que son particulares para cada espacio. El aprendizaje en línea de un módulo de clasificación después de haber sido implementado en un espacio rastreado optimiza el módulo para el espacio monitoreado.
Los ejemplos de modalidades descritos anteriormente se refieren al aprendizaje en línea de uno o más módulos de clasificación para un único entorno operativo. Según varias modalidades ilustrativas, múltiples módulos de clasificación del mismo tipo pueden ser desplegados al mismo tiempo, o con el tiempo, en diferentes entornos operativos. Los módulos de clasificación son del mismo tipo en que realizan el mismo tipo de procesamiento, como procesar elementos de datos operativos para determinar el conjunto de datos contextual para los elementos de datos capturados. Según estas modalidades que tienen múltiples módulos de clasificación y múltiples entornos de funcionamiento, se puede aplicar un proceso de aprendizaje federado a los múltiples módulos de clasificación que han pasado por un aprendizaje en línea para sus respectivos entornos de funcionamiento.
Según varias modalidades ilustrativas, el entrenamiento de un módulo de clasificación mediante aprendizaje en línea utilizando elementos de datos de entrenamiento capturados puede llevarse a cabo de manera semisupervisada. En particular, esta forma de entrenamiento se puede aplicar al primer módulo de clasificación que procesa elementos de datos operativos que contienen información sensible de privacidad. Según una modalidad ilustrativa, se puede utilizar una red generativa antagónica (GAN) en una parte no supervisada del entrenamiento. El experto humano luego participa para proporcionar una supervisión de calidad asegurada del progreso de la red generativa adversaria. El uso de GAN puede ampliar los límites conscientes de privacidad (restricciones temporales y/o restricciones geográficas) que se imponen a la información sensible a la privacidad en que se requiere menos intervención humana. Esto puede hacer que los sistemas conscientes de la privacidad sean menos costosos de operar.
La Figura 15 ilustra un diagrama esquemático de una modalidad ilustrativa del sistema habilitado para el entrenamiento consciente de la privacidad que tiene la red generativa adversaria, el aseguramiento de calidad supervisado y el aprendizaje federado.
Si bien la descripción anterior proporciona ejemplos de las modalidades, se apreciará que algunas características y/o funciones de las modalidades descritas son susceptibles de modificación. En consecuencia, lo que se ha descrito anteriormente ha sido con la intención de ser ilustrativo y no limitante, y se entenderá por personas expertas en el campo que se pueden realizar otras variantes y modificaciones sin apartarse del alcance de la invención tal como se define en las reivindicaciones adjuntas.
Claims (13)
1. Un método para el seguimiento de movimiento consciente de la privacidad realizado por un módulo de seguimiento consciente de la privacidad (48), el método que comprende:
recibir una primera serie de imágenes (138) que contienen el movimiento de una primera persona no identificada;
generar un primer conjunto de datos de movimiento para la primera persona no identificada basado en el seguimiento del movimiento de la primera persona no identificada dentro de la primera serie de imágenes (184);
para al menos una imagen dada de la primera serie de imágenes, detectar una primera región del cuerpo que corresponda a la primera persona no identificada (182), y anonimizar la primera región del cuerpo aplicando al menos una eliminación de al menos una característica biométrica de identificación única o cualquier característica biométrica de identificación única desde dentro de la primera región del cuerpo (188), generando de esta manera una primera región del cuerpo anonimizada (148);
determinar un primer conjunto de rasgos característicos para la primera persona no identificada basado en el procesamiento de la primera región del cuerpo anonimizada (192);
asociar el primer conjunto de rasgos característicos basado en la primera región del cuerpo anonimizada con el primer conjunto de datos de movimiento, formando de esta manera una primera entrada de seguimiento (200);
recibir una segunda serie de imágenes (138) que contienen el movimiento de una segunda persona no identificada;
generar un segundo conjunto de datos de movimiento para la segunda persona no identificada basado en el seguimiento del movimiento de la segunda persona no identificada dentro de la segunda serie de imágenes (184);
para al menos una imagen dada de la segunda serie de imágenes, detectar una segunda región del cuerpo que corresponda a la segunda persona no identificada (182) y anonimizar la segunda región del cuerpo aplicando al menos una eliminación de al menos una característica biométrica de identificación única o cualquier característica biométrica de identificación única desde dentro de la segunda región del cuerpo, generando de esta manera una segunda región del cuerpo anonimizada (188);
determinar un segundo conjunto de rasgos característicos para la segunda persona no identificada basado en el procesamiento de la segunda región del cuerpo anonimizada (192);
asociar el segundo conjunto de rasgos característicos basado en la segunda región del cuerpo anonimizada con el segundo conjunto de datos de movimiento, formando de esta manera una segunda entrada de seguimiento (200); y
determinar una coincidencia entre la primera entrada de pista y la segunda entrada de pista.
2. El método de la reivindicación 1, en donde determinar una coincidencia entre la primera entrada de pista y la segunda entrada de pista comprende determinar un nivel de coincidencia entre el primer conjunto de rasgos característicos y el segundo conjunto de rasgos característicos; y
preferiblemente en donde determinar la coincidencia entre la primera entrada de seguimiento y la segunda entrada de seguimiento indica que la primera persona no identificada y la segunda persona no identificada son la misma persona en el mundo real.
3. El método de las reivindicaciones 1 o 2, en donde la primera serie de imágenes se captura de un primer campo de visión.
en donde la segunda serie de imágenes se capturan de un segundo campo de visión;
preferiblemente en donde la primera serie de imágenes se captura por una primera cámara que tiene el primer campo de visión.
preferiblemente, en donde la segunda serie de imágenes se captura por una segunda cámara que tiene el segundo campo de visión.
4. El método de la reivindicación 3, en donde determinar la coincidencia comprende:
determinar si la primera entrada de pista y la segunda entrada de pista cumplen con un conjunto de restricciones predeterminadas de acuerdo con una relación física entre el primer campo de visión y el segundo campo de visión.
5. El método de cualquiera de las reivindicaciones 1 a 4, en donde determinar la coincidencia entre la primera entrada de pista y la segunda entrada de pista se basa en uno o más de los siguientes: restricciones físicas/temporales, restricciones demográficas y coincidencia de color/accesorios.
6. El método de cualquiera de las reivindicaciones 1 a 5, en donde si se determina una coincidencia entre la primera entrada de seguimiento y la segunda entrada de seguimiento, se vincula el primer conjunto de datos de movimiento y el segundo conjunto de datos de movimiento.
7. El método de la reivindicación 1, en donde al menos una eliminación de al menos una característica biométrica de identificación única o cualquier característica biométrica de identificación única comprende:
detectar una primera subregión del rostro (146) dentro de la primera región del cuerpo; y
enmascarar la primera subregión del rostro detectada (146); y
en donde al menos una eliminación de características de identificación dentro de la segunda región del cuerpo comprende:
detectar una segunda subregión del rostro (146) dentro de la segunda región del cuerpo; y enmascarar la segunda subregión del rostro detectada (146).
8. El método de la reivindicación 1, en donde al menos una eliminación de al menos una característica biométrica de identificación única o cualquier característica biométrica de identificación única comprende distorsionar aleatoriamente la primera región del cuerpo para eliminar una silueta de la primera región del cuerpo como una característica de identificación única; y
en donde al menos una eliminación de características de identificación dentro del segundo cuerpo comprende distorsionar aleatoriamente la segunda región del cuerpo para eliminar una silueta de la segunda región del cuerpo como una característica de identificación única;
preferiblemente en donde distorsionar aleatoriamente la primera región del cuerpo comprende modificar la primera región del cuerpo mediante una primera relación de aspecto aleatoria.
preferiblemente distorsionar aleatoriamente la segunda región del cuerpo comprende modificar la segunda región del cuerpo mediante una segunda relación de aspecto aleatoria.
9. El método de cualquiera de las reivindicaciones 1 a 8, en donde el primer conjunto de rasgos característicos comprende uno o más de un patrón de color y conjunto de características de accesorios, características de color, características de ropa y características de accesorios personales.
10. El método de cualquiera de las reivindicaciones 1 a 9, en donde el primer conjunto de rasgos característicos es insuficiente para determinar una identidad única de la primera persona no identificada; y
en donde el segundo conjunto de rasgos característicos es insuficiente para determinar una identidad única de la segunda persona no identificada.
11. El método de cualquiera de las reivindicaciones 1 a 10, en donde el primer conjunto de rasgos característicos se determina sin aplicar ninguna generación de plantilla biométrica; y
en donde el segundo conjunto de rasgos característicos se determina sin aplicar ninguna generación de plantilla biométrica.
12. El método de las reivindicaciones 7 u 8, en donde la anonimización de la primera región del cuerpo y la anonimización de la segunda región del cuerpo se llevan a cabo en una ubicación de red segura; y
en donde la ubicación de la red segura se comparte con un sistema de vigilancia que tiene una pluralidad de cámaras, que incluye la primera cámara y la segunda cámara.
13. Un sistema para realizar un seguimiento de movimiento consciente de la privacidad, el sistema que comprende:
al menos un procesador;
al menos una memoria acoplada al procesador y que almacena instrucciones ejecutables por el procesador y que dicha ejecución hace que el procesador realice el método de cualquiera de las reivindicaciones 1 a 12.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202062970482P | 2020-02-05 | 2020-02-05 | |
| US202063085515P | 2020-09-30 | 2020-09-30 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2967335T3 true ES2967335T3 (es) | 2024-04-29 |
Family
ID=74556837
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES21155627T Active ES2967335T3 (es) | 2020-02-05 | 2021-02-05 | Sistema y método para el análisis consciente de la privacidad de flujos de vídeo |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US12008115B2 (es) |
| EP (2) | EP4274268A3 (es) |
| CA (2) | CA3169565A1 (es) |
| ES (1) | ES2967335T3 (es) |
| WO (1) | WO2021155473A1 (es) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11443515B2 (en) | 2018-12-21 | 2022-09-13 | Ambient AI, Inc. | Systems and methods for machine learning enhanced intelligent building access endpoint security monitoring and management |
| WO2021072645A1 (en) * | 2019-10-15 | 2021-04-22 | Motorola Solutions, Inc. | Video analytics conflict detection and mitigation |
| US11645730B2 (en) * | 2020-11-16 | 2023-05-09 | Here Global B.V. | Method, apparatus, and computer program product for identifying privacy risks in datasets |
| US11308359B1 (en) * | 2021-10-27 | 2022-04-19 | Deeping Source Inc. | Methods for training universal discriminator capable of determining degrees of de-identification for images and obfuscation network capable of obfuscating images and training devices using the same |
| US11423643B1 (en) * | 2021-11-29 | 2022-08-23 | Deeping Source Inc. | Method for generating obfuscated image to be used in training learning net work and labeling device using the same |
| WO2023164069A1 (en) * | 2022-02-24 | 2023-08-31 | Leela AI, Inc. | Methods and systems for training and execution of improved learning systems for identification of components in time-based data streams |
| WO2023201392A1 (en) * | 2022-04-20 | 2023-10-26 | Muthiah Annamalai | Privacy preserving safety risk detection system and method |
| WO2023225746A1 (en) * | 2022-05-25 | 2023-11-30 | C2Ro Cloud Robotics Inc. | System and method for real-time analysis of anonymous video images |
| US12069363B2 (en) * | 2022-08-08 | 2024-08-20 | Verkada Inc. | Approaches to obfuscating biometric data for privacy reasons in a browser environment and surveillance systems for accomplishing the same |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009111499A2 (en) * | 2008-03-03 | 2009-09-11 | Videoiq, Inc. | Dynamic object classification |
| US20140184803A1 (en) * | 2012-12-31 | 2014-07-03 | Microsoft Corporation | Secure and Private Tracking Across Multiple Cameras |
| US9904852B2 (en) | 2013-05-23 | 2018-02-27 | Sri International | Real-time object detection, tracking and occlusion reasoning |
| US20150006376A1 (en) * | 2013-06-27 | 2015-01-01 | Ebay Inc. | Conductive payment device |
| US20180124047A1 (en) * | 2016-10-31 | 2018-05-03 | David L Fisher | High Assurance Remote Identity Proofing |
| US20180129900A1 (en) | 2016-11-04 | 2018-05-10 | Siemens Healthcare Gmbh | Anonymous and Secure Classification Using a Deep Learning Network |
| US10681024B2 (en) * | 2017-05-31 | 2020-06-09 | Konica Minolta Laboratory U.S.A., Inc. | Self-adaptive secure authentication system |
| US10740617B2 (en) | 2017-12-19 | 2020-08-11 | Intel Corporation | Protection and recovery of identities in surveillance camera environments |
| JP6973175B2 (ja) | 2018-02-27 | 2021-11-24 | 富士通株式会社 | 画像選択プログラム、情報処理装置、システム、および画像選択方法 |
-
2021
- 2021-02-05 ES ES21155627T patent/ES2967335T3/es active Active
- 2021-02-05 WO PCT/CA2021/050131 patent/WO2021155473A1/en active Application Filing
- 2021-02-05 EP EP23199127.4A patent/EP4274268A3/en active Pending
- 2021-02-05 US US17/168,654 patent/US12008115B2/en active Active
- 2021-02-05 CA CA3169565A patent/CA3169565A1/en active Pending
- 2021-02-05 CA CA3169538A patent/CA3169538C/en active Active
- 2021-02-05 EP EP21155627.9A patent/EP3862902B1/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP4274268A3 (en) | 2024-01-10 |
| US20210240851A1 (en) | 2021-08-05 |
| CA3169565A1 (en) | 2021-08-05 |
| EP4274268A2 (en) | 2023-11-08 |
| WO2021155473A1 (en) | 2021-08-12 |
| EP3862902C0 (en) | 2023-11-01 |
| CA3169538A1 (en) | 2021-08-05 |
| EP3862902A1 (en) | 2021-08-11 |
| EP3862902B1 (en) | 2023-11-01 |
| CA3169538C (en) | 2024-03-12 |
| US12008115B2 (en) | 2024-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2967335T3 (es) | Sistema y método para el análisis consciente de la privacidad de flujos de vídeo | |
| CN108256459A (zh) | 基于多摄像机融合的安检门人脸识别和人脸自动建库算法 | |
| BR112015026374B1 (pt) | Sistema de reconhecimento analítico | |
| US11288954B2 (en) | Tracking and alerting traffic management system using IoT for smart city | |
| EP4160527A1 (en) | Information processing device, information processing method, and program | |
| JP2024041796A (ja) | 情報処理装置 | |
| Singh et al. | A robust anti-spoofing technique for face liveness detection with morphological operations | |
| Eyiokur et al. | A survey on computer vision based human analysis in the COVID-19 era | |
| Di Benedetto et al. | An embedded toolset for human activity monitoring in critical environments | |
| Han et al. | Complementary-view co-interest person detection | |
| Qaraqe et al. | PublicVision: A Secure Smart Surveillance System for Crowd Behavior Recognition | |
| Kaur et al. | Violence detection in videos using deep learning: A survey | |
| CA3123805C (en) | System and method for privacy-aware analysis of video streams and operation and learning of computer-implemented classification module | |
| Yanakova et al. | Facial recognition technology on ELcore semantic processors for smart cameras | |
| Jeny et al. | Deep Learning Framework for Face Mask Detection | |
| Teja et al. | Man-on-man brutality identification on video data using Haar cascade algorithm | |
| Prezioso et al. | Integrating Object Detection and Advanced Analytics for Smart City Crowd Management | |
| Agrawal | De-identification for privacy protection in surveillance videos | |
| Agarwal | Automated system for preventing suicides by train | |
| Wang et al. | Visual bubble: Protecting privacy in wearable cameras | |
| Mehra et al. | Artificial Intelligence Enabled Identification and Mapping of Criminals using Live Footage on Google Maps | |
| Kumar et al. | An AI Powered Threat Detector for Banking Sector Using Intelligent Surveillance Cameras | |
| Manohari | Face Mask and Social Distance Detection Using Artificial Intelligence. | |
| Akin | Efficacy and Ethical Implications of Mass Surveillance Systems Using Convolutional Neural Networks | |
| WO2023225746A1 (en) | System and method for real-time analysis of anonymous video images |