提供了数据隐私系统。描述了一种后端计算机和使用该后端计算机的方法。该方法可以包括:在第一后端计算机处接收与车辆相关联的传感器数据;确定传感器数据的标注,包括:确定个人数据并确定与个人数据分离的非个人数据,其中个人数据和非个人数据中的每一个包括标注数据,其中个人数据包括与至少一个标识的或可标识自然人相关的信息;以及在第一后端计算机处,经由个人数据和与个人数据分离的非个人数据,执行与收集关联于车辆的传感器数据相关联的数据处理。的数据处理。的数据处理。
【技术实现步骤摘要】
数据隐私系统
[0001]本公开总地涉及数据安全和数据隐私。
技术介绍
[0002]私有和/或公共(例如,政府)实体可能期望将相机等收集的数据用于各种目的。在一些情况下,该数据可能包含个人可标识信息(PII)。对该数据的不当处理可能违反本地、区域或全球隐私法——诸如通用数据保护条例(GDPR)或加州消费者隐私法(CCPA)。
技术实现思路
[0003]根据一实施例,公开了一种管理与车辆相关联的个人数据的方法。所述方法可以包括:在第一后端计算机处接收与车辆相关联的传感器数据;确定传感器数据的标注,包括:确定个人数据并确定与个人数据分离的非个人数据,其中个人数据和非个人数据中的每一个包括标注数据,其中个人数据包括与至少一个标识的或可标识自然人相关的信息;以及在第一后端计算机处,经由个人数据和与个人数据分离的非个人数据,执行与收集关联于车辆的传感器数据相关联的数据处理。
[0004]根据另一实施例,公开了第一后端计算机,其可以包括:一个或多个处理器;以及存储可由所述一个或多个处理器执行的多个指令的存储器,其中所述多个指令包括:在第一后端计算机处接收与车辆相关联的传感器数据;确定传感器数据的标注,包括:确定个人数据并确定与个人数据分离的非个人数据,其中个人数据和非个人数据中的每一个包括标注数据,其中个人数据包括与至少一个标识的或可标识自然人相关的信息;以及在第一后端计算机处,经由个人数据和与个人数据分离的非个人数据,执行与收集关联于车辆的传感器数据相关联的数据处理。
[0005]根据另一实施例,公开了一种非暂时性计算机可读介质。所述介质可以包括存储在其上的多个指令,其中所述多个指令可由第一后端计算机的一个或多个处理器执行,其中所述多个指令包括:在第一后端计算机处接收与车辆相关联的传感器数据;确定传感器数据的标注,包括:确定个人数据并确定与个人数据分离的非个人数据,其中个人数据和非个人数据中的每一个包括标注数据,其中个人数据包括与至少一个标识的或可标识自然人相关的信息;以及在第一后端计算机处,经由个人数据和与个人数据分离的非个人数据,执行与收集关联于车辆的传感器数据相关联的数据处理。
附图说明
[0006]图1是图示了包括数据收集系统和多个数据保护系统的数据隐私系统的示例的示意图。
[0007]图2A、2B、2C是图示了使用数据隐私系统的过程的流程图。
[0008]图3是图示了使用数据隐私系统的另一过程的流程图。
[0009]图4A、4B、4C是图示了使用数据隐私系统的另一过程的流程图。
[0010]图5A、5B、5C是图示了使用数据隐私系统的另一过程的流程图。
[0011]图6A、6B是图示了使用数据隐私系统的另一过程的流程图。
[0012]图7是图示了使用数据隐私系统的另一过程的流程图。
[0013]图8图示了数据收集系统的另一个实施例。
具体实施方式
[0014]本文中描述了本公开的实施例。然而,应理解的是,所公开的实施例仅仅是示例,并且其他实施例可以采取各种和替代的形式。各图不一定是按比例的;一些特征可以被放大或缩小以示出特定组件的细节。因此,本文中公开的具体结构和功能细节不应被解释为限制性的,而仅仅是作为用于教导本领域技术人员以各种方式来采用实施例的代表性基础。如本领域普通技术人员将理解的,参考任一图所图示和描述的各种特征可以与一个或多个其他图中图示的特征相组合,以产生未被明确图示或描述的实施例。所图示的特征的组合提供了典型应用的代表性实施例。然而,对于特定的应用或实现方式,可能期望与本公开的教导一致的特征的各种组合和修改。
[0015]现在转到各图,其中相同的参考标号指示相同或相似的功能或特征,示出了数据隐私系统10,其可以包括数据收集系统12(例如,这里体现在车辆14内)和一个或多个数据保护系统16、18、20(也称为“后端计算机16、18、20”)(例如,这里,示出了三个后端计算机;然而,可以取而代之使用更多或更少)。现代计算系统在其操作过程期间收集对象——包括人类(例如,自然人)——的大量数据。该数据可以用于各种原因——例如,在一些情况下,工程师可以使用数据来改进后端设施处的车辆计算系统(例如,诸如使能实现部分或完全自主驾驶模式——例如,根据如汽车工程师协会(SAE)定义的1级、2级、3级、4级和5级——的高级驾驶系统)。例如,当使用现实生活场景作为输入时,可以更好地实现开发软件的模拟和训练。然而,当前的数据隐私法可能阻止使用该数据中的一些——例如,如果数据包括个人数据(例如,诸如个人可标识信息(PII))。系统10使得能够收集和保护个人和非个人数据两者——例如,遵从发展中的隐私法,诸如通用数据保护条例(GDPR)和加州消费者隐私法(CCPA)。更特别地,除了其他事物之外,系统10还使用多方计算(MPC)框架、可信执行环境(TEE)或两者来便于保护个人数据。应当领会,尽管下面的公开内容使用车辆14(其可以在以至少一种自主驾驶模式操作的同时收集数据)来说明数据收集系统12,但是其他数据收集系统也是可能的——例如,诸如安装到基础设施的相机或其他传感器的其他使用(例如,无论传感器是否正在与自主驾驶结合使用)。
[0016]在描述附图(图)1之前,描述了个人数据、非个人数据、多方计算(MPC)框架和可信执行环境(TEE),因为这些术语可能在书面说明书和权利要求中使用。
[0017]个人数据可以指代以下各项中的一个或多个:与标识的或可标识自然人相关的任何信息;可标识自然人是可以直接或间接地标识——特别是通过参考诸如姓名、标识号、位置数据、在线标识符之类的标识符或参考该自然人的身体、生理、遗传、精神、经济、文化或社会身份所特有的一个或多个因素——的人。个人可标识信息(PII)是个人数据的非限制性示例。自然人可以指代具有他或她自己的法律人格的个人(然而,例如本文的法人可以指代个人、私人组织(例如,商业实体或非政府组织)或公共组织(例如,政府实体))。因此,例如,个人数据可以指代与特定标识的或可标识自然人相关联的地址信息、与特定标识的或
可标识自然人相关联的邻居或地点信息、与至少一个标识的或可标识自然人相关联的地址号、与特定标识的或可标识自然人相关联的生物测定信息、至少一个标识的或可标识自然人的身体特征、与特定标识的或可标识自然人相关联的车辆信息(例如,牌照信息)、与特定标识的或可标识自然人相关联的图像数据或视频数据(例如,其中视频数据包括图像序列)等等。
[0018]非个人数据可以指代不是个人数据的数据。继续车辆14的示例,车辆14的传感器可以接收个人和非个人数据的组合(例如,本文称为未分隔数据)。例如,车辆14的相机传感器可能不从图像中过滤掉所有个人数据,而是取而代之地,个人和非个人元素通常可以一起被捕获——例如,当对前导车辆(车辆14前方)成像时,通常同时捕获前导车辆的牌照标识符;前导车辆可能不是个人数据,而牌照标识符可能是个人数据。
[0019]多方计算(MPC)框架可以指代个人数据本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种管理与车辆相关联的个人数据的方法,包括:在第一后端计算机处接收与车辆相关联的传感器数据;确定传感器数据的标注,包括:确定个人数据并确定与个人数据分离的非个人数据,其中个人数据和非个人数据中的每一个包括标注数据,其中个人数据包括与至少一个标识的或可标识自然人相关的信息;以及经由个人数据和与个人数据分离的非个人数据,执行与收集关联于车辆的传感器数据相关联的数据处理。2.根据权利要求1所述的方法,其中,在车辆以自主驾驶模式操作的同时由车辆收集所述传感器数据,或者由与以自主驾驶模式操作的车辆相关联的基础设施收集所述传感器数据。3.根据权利要求1所述的方法,其中所述个人数据包括所述至少一个标识的或可标识自然人的图像数据,其中所述图像数据由车辆中的至少一个传感器捕获,其中所述图像数据包括以下各项中的一个或多个:所述至少一个标识的或可标识自然人的人类生物测定信息、所述至少一个标识的或可标识自然人的身体特征、与所述至少一个标识的或可标识自然人相关联的地址号、与所述至少一个标识的或可标识自然人相关联的牌照号或其他车辆信息、或者与所述至少一个标识的或可标识自然人相关联的邻居信息。4.根据权利要求1所述的方法,其中所述传感器数据包括图像数据,所述图像数据包括所述至少一个标识的或可标识自然人的个人可标识信息(PII)。5.根据权利要求1所述的方法,进一步包括:向车辆提供一个或多个随机掩码;响应于提供所述一个或多个随机掩码,接收第一部分掩蔽份额和第二部分掩蔽份额,其中第一和第二部分各自包括个人数据;以及在接收到第一和第二部分之后,通过根据多方计算(MPC)框架与第二后端计算机通信来执行数据处理,使得第一或第二部分掩蔽份额都不在第一和第二后端计算机之间共享。6.根据权利要求1所述的方法,其中接收与车辆相关联的传感器数据进一步包括接收掩蔽的传感器数据,其中掩蔽的传感器数据包括个人数据和非个人数据两者。7.根据权利要求1所述的方法,其中确定传感器数据的标注进一步包括向第三方服务器提供传感器数据的至少一部分;以及响应于向第三方服务器提供传感器数据的所述至少一部分,接收被标注的传感器数据作为回报。8.根据权利要求1所述的方法,进一步包括:在第一后端计算机处接收传感器数据之前,向车辆提供来自可信执行环境(TEE)的密码密钥;响应于向车辆提供所述密码密钥,接收用所述密码密钥加密的传感器数据的至少一部分;并且然后,在TEE内,确定解密的传感器数据。9.根据权利要求8所述的方法,进一步包括:在确定传感器数据的标注之前,在TEE内将个人数据与非个人数据分离。10.根据权利要求8所述的方法,进一步包括:将非个人数据存储在数据库中;在确定解密的传感器数据之后,用密封密钥加密个人数据;以及然后将用密封密钥加密的个人数据存储在数据库中。11.根据权利要求10所述的方法,进一步包括:证明从属飞地,使得从属飞地可以使用存储在其TEE内的密封密钥的副本结合从属飞地的独有的签名来检索个人数据。
12.根据权利要求8所述的方法,进一步包括:从第二后端计算机请求一个或多个随机掩码;从第三后端计算机请求一个或多个随机掩码;执行解密的传感器数据的第一掩蔽;执行解密的传感器数据的第二掩蔽;以及将解密的传感器数据的第一掩蔽提供给第二后端计算机,并将解密的传感器数...
【专利技术属性】
技术研发人员:S,
申请(专利权)人:罗伯特,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。