用于控制对用户的个人数据的访问的方法
【专利摘要】需要一种被设计为给予用户对他的数据的完全的、持续的控制,获取普通个人的信任的系统和方法,鼓励这样的个人成为该系统的思想开放的、信任的用户。提出了一种由受信任中心控制对用户的个人数据的访问的方法,该受信任中心包括至少一个数据库,对于特定用户,所述数据库包括个人数据的存储位置、与个人数据相关联的访问条件以及包括至少一个计数器的管理数据,-由用户向受信任中心的数据库载入其个人数据并且指派所述数据的访问条件,所述个人数据被分为具有两种不同访问条件的至少两个类别,每个类别与一个用户值关联,-由第三方向受信任中心提出对多个用户的个人数据的访问请求,所述请求包括搜索标准,-由受信任中心对用户的个人数据执行该搜索标准,以确定与该搜索标准匹配的第一集合的用户,-向该第三方返回显示与所述标准匹配的第一集合的用户的数量的信息以及第一集合中每个用户的用户值的总和,-由该第三方确认该总和的全部或一部分,从而定义第二集合的用户,该第二集合的用户包括第一集合的全部或一部分,-返回所述总和覆盖了摘选的用户的累加值的第二集合的用户的个人数据,-使用第二集合的用户各自的个人数据的值的内容更新第二集合的用户的计数器。
【专利说明】用于控制对用户的个人数据的访问的方法
[0001]介绍
[0002]随着通信网络的发展,这些网络的用户越来越多的被要求向服务提供商给出个人数据,以将这些个人数据送入到数据库中。
[0003]随着计算机化环境的重要性和性能的增长,普通用户对极不注重其隐私需要的低质量计算机引擎越来越失望。
【背景技术】
[0004]一些第三方非常看重个人放置到作为日常生活的一部分的各种连接的系统上的个人数据。这样的第三方能够进行的应用从市场研究到目标化广告、到数据挖掘等。
[0005]迄今为止,还没有框架或结构用于:
[0006]I)使得用户能够保持对他的个人数据的完全控制;
[0007]2)使用户确信他在给出这样的数据时不承担不相称的风险;
[0008]3)作为另外的可能的步骤,由于用户的信任,使提交的个人数据正式货币化,作为所述用户的直接收益。
[0009]数据库的质量可能受到个人的不信任的不利影响。例如在人口普查的情况中,一些想法随意的用户通过提供假数据采取反主流行为,只是因为他们不信任要求他们提供这些数据的政府实体。
[0010]当提供的数据显然超出了合理范围时,清理结果流是相对容易的并可以以自动的方式完成,例如通过在单个用户提供的响应之间进行简单的交叉检查。然而,当想法随意者更富有经验并知晓如何骗过自动检查时,则很难采取措施获取真实数据以及随之产生的高质量的聚合数据库。
[0011]因此,需要设计一种系统以给出用户对他的数据的完全和持续控制,获取普通个人的信任,鼓励这些个人成为该系统的思想开放的、信任的用户。
[0012]随着社交网络的愈发流行,尤其是在青年人之中,该问题变得更加尖锐。相对于社交网络的访问者可能遭遇的感知问题,多个这种社交网络的管理者往往不太考虑这些青年人缺乏经验所带来的任何未来的缺点。
[0013]例如,粗心的年轻人可能在由社交网络主办的他的个人存储中张贴一些视觉信息,再次考虑或几年以后,他宁愿限制对这些视觉信息的访问。这样的视觉信息例如可以是在摄取或吸入了酒精或能够改变意识状态的更一般的物质的私人骤会上拍摄的视频或照片。
[0014]当该粗心的年轻人成为寻找工作的毕业生时,社交网络向不受限制或不受足够限制的观众授权访问由上述视觉信息示出的所述生活方式的迹象这一事实在寻找想要的工作时可能成为缺陷。
[0015]如果该年轻人从事政治职业,消极后果可能更为严重,随着作为年轻男子或女子的过往生活的证据被媒体展现给广大公众,尤其是不易原谅的年老或年长公众,这破坏了当事人的可信性,即使这个人可能已经成长并且对他的作为年轻人的过往行为感到遗憾。因而,年轻人的帖子的摘录在不可企及的数据库中的持续存储有可能对他们的职业或政治
未来非常有害。
[0016]当社交网络的管理者意识到数据所有权问题时,有时通过修改应用于给定社交网络的个人成员的法律条款,倾向于过度保护他们的组织,这一事实使得问题更为严重。
[0017]在这种情况下,缺乏对这些个人成员的利益的考虑能够导致对所述利益的严重损害。例如,法律条件有时在不进行通知的情况下修改,声称该网络对在个人的个人存储上张贴的任意和全部数据的所有权。
[0018]即使关于法律条款的这种改变的信息被传达给订户,年轻用户的很大一部分很可能不会有所反应并且因此默许接受了这样的改变。即使有所反应并且要求删除控告的数据,他们还面对与该社交网络进行成本很高的法律行动的前景,且成功率不确定。对于这样的法律行动的个人而言,相比于作为被告的社交网络通常可用的不成比例的资源,该成本将完全阻碍个人启动这样的行动,就他而言蒙受挫败感。
[0019]个人的可信性、或个人生活、或职业未来被破坏、恶化或受损的案例数正在增长,这种事情的媒体覆盖率以及因此产生的公众意识也是如此。
[0020]随着这种案例数的急速增长,上述事实的后果在普通公众中成为对社交网络的增长的挑战。然而,社交网络在年轻公众中流行并获得动力。这使得他们很大程度上对于热切的个性是不可阻挡的,这些人并不会总是意识到它们对他们的未来社会生活所带来的危险。
【发明内容】
[0021]提出了一种由受信任中心控制对用户的个人数据的访问的方法,该中心包括至少一个数据库,对于特定用户,所述教据库包括个人数据的存储位置、与该个人数据相关联的访问条件、以及包括至少一个计数器的管理教据,
[0022]-由用户向受信任中心的数据库载入其个人数据并且指派所述数据的访问条件,所述个人数据被分为具有两种不同访问条件的至少两个类别,每个类别与一个用户值关联,
[0023]-由第三方向受信任中心提出对多个用户的个人数据的访问请求,所述请求包括搜索标准,
[0024]-由受信任中心对用户的个人数据执行该搜索标准,以确定与该搜索标准匹配的第一集合的用户,
[0025]-向该第三方返回显示与所述标准匹配的第一集合的用户的数量的信息、以及第一集合中每个用户的用户值的总和,
[0026]-由该第三方确认该总和的全部或一部分,从而定义第二集合的用户,该第二集合的用户包括第一集合的全部或一部分,
[0027]-返回所述总和覆盖了摘选的用户的累加值的第二集合的用户的个人数据,
[0028]-使用第二集合的用户各自的个人数据的值的内容更新第二集合的用户的计数器。
【专利附图】
【附图说明】[0029]由于附图将更好地理解本发明,在附图中:
[0030]-图1示出具有连接到互联网的受信任中心的系统;
[0031]-图2示出受信任中心起代理服务器作用的系统。
【具体实施方式】
[0032]本发明包括对普通公众的至少一部分开放的受信任中心TC的订阅系统,其中通过定义的系统特征来鼓励订阅成员一旦把个人数据送到系统上就保持对他的个人数据的完全控制。因此订阅成员被鼓励向受信任中心提供真实的数据。
[0033]这种定义的受信任中心TC特征可以包括处理所述提供的数据时的最低质量标准。例如,现存系统能够跟踪到互联网用户浏览了意大利的旅店网站的事实,并且立即向该用户提供到意大利的打折旅行报价。这种报价被认为是冒昧并且不受欢迎的广告。最低质量标准可以包括针对每一位个人用户定义在多大程度上可以产生并且显示这种自动报价。
[0034]另一种定义的系统特征还可以包括为个人用户提供真正且可靠地擦除数据历史的可能性。
[0035]在本发明的一个特定实施例中,系统特征被没计为向订阅用户提供完全的透明度。
[0036]在本发明的一个特定实施例中,系统向订阅用户提供对他送入到系统的数据的类型的差别化控制级别。
[0037]作为第一个例子,第一类控制级别被分配给用户对运动的偏好。这种偏好数据可以包括他在运动方面的个人排名。例如,用户A可以让系统知道比起足球他更喜好篮球,比起网球更喜好足球,以及比起风帆冲浪更喜好网球。这样的偏好数据还可以包括在给定运动中对不同竞技队伍的个人排名。作为另一个例子,用户B可以利用某种级别的所有权和控制揭示相对于另一支给定篮球队他更喜欢某支篮球队的信息。
[0038]作为第二个例子,第二类或级别的控制被分配给用户的爱好。
[0039]作为第三个例子,第二控制级别被分配给用户的政治取向。因此,关于政治取向的数据可能被用户认为比运动偏好或爱好更敏感,并且被给予针对外来的非用户访问的限制更严格的保护级别。
[0040]作为第四个例子,第三控制级别被分配给用户的性偏好、取向或习惯。
[0041]作为附加的例子,一控制级别被分配给用户的投资者的概要特性。这样的特性可以是财务保守性、风险容忍度、对备选方案投资的倾向、或者在投资选择中的公平贸易或自然保护偏好等。
[0042]在本发明的一个特定实施例中,系统提供对上述不同类型的数据的差别化控制级别。
[0043]这种控制可以通过不同的方式进行:
[0044]a)直接通过明示的选择,
[0045]b)间接地,例如通过定义访问规则,
[0046]c)通过代理服务器,即,通过向受信任第三方转包一定级别的控制。
[0047]对于每一类别,用户可以定义一个代表所述类别的这个信息的价值的用户值。可以应用不同的方式来填写这个值。[0048]-用户可以自由地定义该值
[0049]-系统提出预定义的值,并且用户选择一个
[0050]-该值由系统自动添加并由用户简单确认。
[0051]值得注意的是,用户可以决定不共享其个人数据的特定类别。
[0052]事实上,当一个类别匹配第三方的搜索标准时,发送回第三方的不是该类别而是用户标识。对于一个给定类别,例如运动,用户还可以决定其标识的哪个部分被发送。他可以选择电子邮件地址、名字、位置、twitter或facebook账号,即,可被用于允许第三方向所述用户提供服务或货物的信息。
[0053]上述的方法可以用于更抽象的级别和匿名方式中。第三方可能只是对特定搜索标准的命中数感兴趣。例如,一家公司在特定地点开设运动商店之前,可以请求受信任中心以获取在邻近该未来商店的地理区域内经常运动的人的数量。在这个情况中,受信任中心不发送回用户的标识。
[0054]对于这种情况,每一类别的个人数据可以事实上有两个用户值,一个允许访问用户的标识,另一个仅仅参与这种匿名搜索。
[0055]搜索的结果可以给出大量的命中。这就是为什么现有方法提出了一些优化特征。在用户值可以具有不同内容的情况下,即,对于一个用户为0.1分(cent),对于另一个用户为0.2分,受信任中心通过将具有相同量值的用户分成一组来组织发送到第三方的数据。受信任中心按(满足搜索标准的用户的)量值(例如,1200个0.1分的用户以及2300个
0.2分的用户)来给出信息。然后第三方可以决定通过添加额外的搜索标准来细化搜索并向受信任中心重新提出请求或者可以接受为第一集合的用户提出的协议。
[0056]在第三方发送的搜索标准中,后者可以包括限制值。这个值将定义受信任中心将向第三方返回多少命中。该限制值对应于直到达到该限制值的应计的用户值。
[0057]众所周知的是,如果个人数据是精确的,则对它们的兴趣更高。这是为什么受信任中心在有无用户的帮助下都能对个人数据执行各种检验。用户可能对他的数据被验证感兴趣,从而允许每个类别的更高值。检验将集中在年龄、性别、地址和其他个人数据。要检验例如偏爱的颜色、度假目的地等的偏好则更加困难。
[0058]当受信任中心检验了用户概况时,受信任中心可以增加该用户的值。第三方也可以在搜索标准中包括只访问经验证的用户(通常支付更多)或者访问所有用户的可能性。
[0059]在图2中,该实施例示出了受信任中心TC起代理服务器的作用的情况。不同的用户UT1、UT2首先连接到受信任中心TC,并且从该中心能够访问第三方网站TPWS1、TPWS2。在这种情况下,用户首先通过受信任中心TC连接到第三方网站TPWS。这时,TC的功能可以是透明的并且用户的识别和认证将在后续阶段进行。
[0060]在另一个实施例中,代理服务器在用户访问TPWS之前对用户进行认证。
[0061]然后TPWS请求用户的识别并且该清求被传递到TC。后者可以检查对于该TPWS而言该用户的个人数据(全部或者一部分)是否是可访问的。在肯定的情况下,个人数据被发送回该TPWS。此外,对于所述TPWS,可以通过唯一的标识符来识别用户,该标识符在用户每次连接到该TPWS时都相同但对于所述TPWS是咋一的。
[0062]在本发明的特定实施例中,系统经由应用在数据上的不同加密特征,提供差别化级别的控制。[0063]根据实现本发明的第一种方式,借助在用户和受信任中心之间的安全通信,用户经由其用户终端UT连接到受信任中心TC并载入其个人数据。
[0064]如上所述,个人数据被划分为多个类别并且每个类别被分配了特定访问权限。在访问权限中,可以定义几个数据,例如允许访问这些数据的第三方。这个设定可以是第三方网站(例如Facebooktm、Twittertm、Linkedlntm)的列表的形式,其中用户指出这一类别的数据是否对于该第三方网站是可访问的。个人数据还可以是图片、电影的文本等。
[0065]除此以外,还可以定义用于使用个人数据的规则,例如在个人数据被传送到第三方时定义经济补偿。对于每个类别的个人数据,可以定义特定金额。
[0066]第三方web服务TPWS也可以加入到受信任数据库TDB中。可以定义概况以及活动(如运动活动、信息)的类型的描述。该第三方可以定义其感兴趣的用户的类型,例如有宠物的年轻男子或人。
[0067]该web服务还可以定义该web服务对与感兴趣的类别匹配的用户个人数据的访问的补偿,该补偿可以与全部的用户的记录相关联,或者按照用户的数据类别分开。
[0068]在第二个步骤,用户访问第三方网站TPWS并被邀请识别他自己。为了使第三方网站获得个人数据,第三方网站发起与受信任中心的安全链路,并发送用户的身份以及该第三方网站的标识符。
[0069]随后受信任中心通过该链路对用户进行认证并将请求用户的凭证(credential)。这可以为口令的形式或基于涉及一次性口令(使用生成该一次性口令的个人卡)的更安全的操作。一旦用户被认证,受信任中心使用该第三方网站的标识符检查对个人数据的访问条件。鉴于该检验,个人数据被(或不被)返回给该第三方网站。
[0070]对受信任中心的请求还可以包括过滤信息。第三方网站可能只对一部分个人数据有兴趣(通过使用数据的描述符)或者还可以限制数据的大小或类型。在个人数据包括500兆字节的电影的情况下,第三方网站可以指定请求的数据的最大大小。替代地或者除了大小以外,第三方网站可以指定他感兴趣的数据的类型,例如偏好、图片等。
[0071]为了识别用户,第三方可以从受信任中心接收唯一的标识符,该标识符一方面识别用户,但另一方面对于该第三方是唯一的。在这种情况下,第三方在不知道用户的真实身份的情况下接收当前访问其服务的用户的个人数据。
[0072]在认证过程中,第三方还可以添加一些感兴趣的类别并将其发送到受信任中心。随后后者检验当前认证的用户是否与由第三方识别的类别匹配,在匹配的情况下,用户的个人教据可被发送给第三方。在用户定义了经济补偿并被第三方所接受的情况下,在用户的账号里产生由第三方提供的存款(credit)。随后用户的计数器将会递增。
[0073]如上所述,受信任中心能够起到代理服务器的作用。受信任中心数据库包括个人数据并且代理服务器首先识别用户。一旦被识别,受信任中心可以监视用户终端与网站之间的通信。如果用户屏蔽了某些个人数据,例如电话号码,受信任中心可以在电话号码被请求时警告用户。对于代理服务器模式,目的是捕捉将更以用户转移到网站的个人数据。很难阻止请求个人数据的站点,但容易屏蔽我们已知的数据(即,用户提供给受信任中心的数据)。在这种模式中,代理服务器担当DLP (Data Loss Prevention,数据丢失防止)装置。
[0074]在简化的版本中,可以向用户的计算机中载入小软件应用以存储其用户的用于受信任中心的标识。当用户访问第三方web服务时,如果自己具有该受信任中心的账号,用户可以授权第三方访问其个人数据(通常对应于补偿)。该授权可以是在第三方网页中点击受信任中心的图标的形式。为了保持用户的匿名性,第三方向用户的应用发送第三方的标识符(IDTP)。用户的应用存储该用户的标识符(IDU)、个人密钥(KUpr)、非对称密钥对的私钥、以及受信任中心密钥(KTpu)、受信任中心的公钥。
[0075]用户的应用生成两个密文,第一密文(IDU)ktpu通过使用受信任中心密钥KTpu加密用户的标识符IDU获得,第二密文(IDTP)kup,通过个人密钥KUpr加密第三方标识符IDTP获得。要注意的是,第二密文对于第三方代表允许检查该用户是否已经访问过该第三方的唯一标识符。在肯定的情况下,在前一次访问期间收集的数据以及该用户的可能的个人数据可以用来个性化web供给的呈现。
[0076]如果第二密文是新的,这意味着该用户是第一次连接到该第三方。第三方可以访问受信任中心并可以发送第一密文以及其自身标识。受信任中心可以解密第一密文以确定涉及哪个用户。受信任中心可以向第三方返回所述用户的个人数据,如果用户已经授权该发送并且补偿规则被履行的话。
[0077]替代非对称密钥,个人密钥可以是对称密钥。
[0078]根据本发明的实施例,在利用受信任中心的个人数据的初始化期间,或在后续的阶段中,用户可以接收电子证书或者一对非对称密钥的形式的密码材料。该密码材料被存储在用户设备上,例如存储在膝上型计算机、智能电话、平板计算机等上。该材料在由第三方网站执行的认证步骤期间被使用。在第三方网站发起与受信任中心的连接之后,在用户和受信任中心之间交换的数据使用该密码材料进行加密。结果,第三方网站不能干扰认证过程并且无法理解交换的数据。
[0079]根据另一个实施例,第三方网站可以发送获取用户个人数据的请求。在该请求中,该网站可以针对访问个人数据的补偿以及搜索标准,定义其主张。随后受信任中心将搜索其数据库以寻找匹配该搜索标准的用户的数据。一旦找到了用户,该中心检验与这些数据相关的访问条件允许发送这些数据。该检验可以考虑一般访问条件,例如是否该类别对于第三方是可访问的,或者是否该第三方明确地被允许访问这些数据。
[0080]在两种情况下,用户都可以定义访问其数据的经济标准,并且受信任中心比较用户的预期与第三方的提议。如果找到匹配,则用户的个人数据被传送到第三方,用户因第三方提供的补偿而获得存款。
[0081]在本发明的这一特定实施例中,系统提供了用户在预定义的条件下使得把某些他的个人数据传送给第三方货币化的可能性,该第三方已准备好为这种传送向他进行补偿。
[0082]这种预定义的条件可以包括许可或拒绝许可向受制于先前所述的控制级别的第三方再出售个人数据。
[0083]为了实施本发明的方法,受信任中心具有处理和存储能力以及电信装置。受信任中心优选地连接到互联网,从而用户能够张贴他们的个人数据。这些处理能力负责保护个人数据,组织个人数据以及执行由第三方请求的搜索。
【权利要求】
1.一种由受信任中心控制对用户的个人数据的访问的方法,该受信任中心包括至少一个数据库,对于特定用户,所述数据库包括个人数据的存储位置、与个人数据相关联的访问条件以及包括至少一个计数器的管理数据, -由用户向受信任中心的数据库载入其个人数据并且指派所述数据的访问条件,所述个人教据被分为具有两种不同访问条件的至少两个类别,每个类别与一个用户值关联, -由第三方向受信任中心提出对多个用户的个人教据的访问请求,所述请求包括搜索标准, -由受信任中心对用户的个人数据执行该搜索标准,以确定与该搜索标准匹配的第一集合的用户, -向该第三方返回显示与所述标准匹配的第一集合的用户的数量的信息以及第一集合中每个用户的用户值的总和, -由该第三方确认该总和的全部或一部分,从而定义第二集合的用户,该第二集合的用户包括第一集合的全部或一部分, -返回所述总和覆盖了摘选的用户的累加值的第二集合的用户的个人数据, -使用第二集合的用户各自的个人数据的值的内容更新第二集合的用户的计数器。
2.如权利要求1的方法,其中显示与所述标准匹配的第一集合的用户的数量的信息包括下列步骤: -将第一集合的用户中具有相同用户值的所有用户分成一组, -向第三方发送每组的用户的数量。
3.一种由受信任中心控制对用户的个人数据的访问的方法,该受信任中心包括至少一个数据库,对于特定用户,所述数据库包括个人数据的存储位置、与个人数据相关联的访问条件以及包括至少一个计数器的管理数据, -由用户向受信任中心的数据库载入其个人数据并且指派所述数据的访问条件,所述个人数据被分为具有两种不同访问条件的至少两个类别,每个类别与一个用户值关联, -由第三方向受信任中心提出对多个用户的个人数据的访问请求,所述请求包括搜索标准和第二方值, -由受信任中心对用户的个人数据执行该搜索标准,以确定与该搜索标准匹配的第一集合的用户,其中对于第一集合的用户,用户值等于或小于第三方值, -返回第一集合的用户的个人数据, -使用第一集合的用户各自的个人数据的值的内容更新第一集合的用户的计数器。
4. 权利要求书4缺失。
5.如权利要求4的方法,其中该第三方随其请求发送限制值,并且其中从第一集合的用户中选择第二集合的用户从而使第二集合中每个用户的用户值的总和不超过该限制值。
6.如权利要求1-5中任意一项的方法,其中第三方的请求包括过滤数据,发送个人数据的步骤包括在向第三方网站发送个人数据之前根据所述过滤数据过滤个人数据的步骤。
7.如权利要求1-6中任意一项的方法,其中该方法包括如下步骤: -检验至少一些所述个人数据, -如果个人数据已被成功检验,则指派一个不同的用户值。
【文档编号】G06F21/62GK103827883SQ201280042703
【公开日】2014年5月28日 申请日期:2012年8月30日 优先权日:2011年9月2日
【发明者】C·尼科拉斯 申请人:纳格拉影像股份有限公司