管理个人数据偏好的平台的制作方法

1.本发明涉及在线通信领域。更具体地说，它涉及对例如，通信网络(诸如互联网)的用户的个人数据的保护。


背景技术：

2.当用户访问(例如，在互联网上的)在线服务时，他或她面临着控制这些服务对他或她的个人数据进行使用的困难。
3.对这些数据的控制遇到了所使用的(例如，在每个受访网站上的)每个服务表达在这件事上的选择的繁琐任务。表达这种选择的可能性并不总是可用的。如果是这种情况，那么所述选择对快速且有效地理解而言可能是受限、表达不佳或复杂的。
4.为了解决这个问题，已经提出了若干方法。例如，web浏览器允许用户(通常或根据具体情况)授权或阻止缓存文件(cookie)。允许(或禁止)缓存文件的目的是准确控制受访网站进行的跟踪。然而，在实践中，这种方法很难使用。例如，通常阻止缓存文件会导致无法浏览许多网站。例如，根据具体情况阻止缓存文件需要高级别的专业知识并且非常繁琐，因为必须单独管理每个缓存文件并根据其目的做出选择。
5.例如，还有一些浏览器扩展旨在通过阻止看似跟踪用户的网站和缓存文件来限制对用户的在线跟踪。这些扩展使用各种启发式方法，这些启发式方法或多或少是有效的，但有时会干扰受访网站的功能。
6.此外，万维网联盟(w3c)已经定义了一些标准。2015年，w3c制定了一项标准，该标准允许浏览器用户向受访网站发出他们是否同意被跟踪的信号，从而提供了一种方式来表达准许在互联网上进行跟踪(无论使用何种技术)的形式。然而，这个标准不是很成功，并且现在被认为是废弃的。
7.在此之前，在2002年，w3c已经提出了另一项标准，其被称为“p3p”(“platform for privacy preferences project”的首字母缩写词)，该标准允许网站告知用户有关它们使用这些用户的个人数据的意图。然而，这种方法不允许用户表达关于数据处理的选择。它只是告知他们。该标准也被认为已过时。
8.由此可见，虽然对个人数据的保护和处理是当今网络电子通信领域的主要问题，但使用户能够有效控制个人数据的解决方案并不令人满意。
9.上述所有方法都只解决了一个问题，即在线跟踪问题，但并未解决其他类型的用户个人数据使用问题。
10.因此，有必要改进用户在使用在线服务时对其个人数据的控制。本发明就处在这种情况下。


技术实现要素：

11.本发明的第一方面涉及一种通过网络进行通信以供客户端系统访问远程系统上的服务的方法，所述方法包括以下步骤：
12.从用户个人数据的管理系统接收数据，所述数据包括用户的用于处理与所述用户相关联的个人数据的至少一个选择的至少一个定义，所述至少一个定义与所述用户的标识符相关联；
13.向所述远程服务器发送连接请求，所述连接请求至少包括与所述用户的所述标识符相关联的所述至少一个定义；
14.基于所述远程系统对所述至少一个定义的响应，建立所述客户端系统与所述远程系统之间的第一通信，以提供所述服务；以及
15.建立从所述远程系统到所述客户端系统的第二通信，所述第二通信是由所述管理系统基于所述至少一个定义来授权的。
16.根据实施方式，该方法还包括：从所述用户的所述标识符生成加密标识符，并且在到所述远程服务器的所述连接请求中，所述至少一个定义与所述加密标识符相关联。
17.根据实施方式，所述管理系统：
[0018]-生成所述标识符以及用于所述加密标识符的生成的密码式密钥；
[0019]-在与所述客户端系统通信时，从所述用户接收用于处理这些用户的个人数据的所述至少一个选择；以及
[0020]-记录所述至少一个定义。
[0021]
在实施方式中，所述远程系统向所述管理系统发送所提议的与所述加密标识符相关联的第二通信，并且所述管理系统根据所述加密标识符确定所述第二通信所针对的所述用户。
[0022]
根据实施方式，所述第二通信是在所述管理系统与所述客户端系统之间直接建立的。
[0023]
根据实施方式，所述第二通信是在所述远程系统与所述客户端系统之间建立的。
[0024]
根据实施方式，所述至少一个定义被存储在所述客户端系统能够访问的个人数据管理客户端模块内。
[0025]
根据实施方式，从所述管理系统接收所述至少一个偏好，并且其中，所述存储包括对所述至少一个偏好进行格式化，以供发送到所述远程系统。
[0026]
根据实施方式：
[0027]
所述远程系统分析所述连接请求，以接受或不接受所述至少一个定义并发送所述响应，以及
[0028]
所述个人数据管理模块向所述用户显示所述响应。
[0029]
本发明的第二方面涉及一种通信设备，所述通信设备包括被配置为执行根据根据第一方面的方法的步骤的处理单元。
[0030]
本发明的第三方面涉及一种通信系统，所述通信系统包括：
[0031]-客户端系统；
[0032]-远程系统；以及
[0033]-用于管理所述客户端系统的用户的个人数据的系统，所述用户使用所述客户端系统访问所述远程系统上的服务，
[0034]
其中，所述客户端系统、所述远程系统和所述管理系统被配置为实现根据第一方面的方法。
附图说明
[0035]
[图1]图1例示了对网络上的在线服务的标准访问。
[0036]
[图2]图2例示了对网络上的多个在线服务的标准访问。
[0037]
[图3]图3例示了根据实施方式的平台。
[0038]
[图4]图4例示了本发明的实施方式提供的优点。
[0039]
[图5]图5示意性地例示了根据实施方式的加密用户id。
[0040]
[图6]图6示意性地例示了根据实施方式实现的通信。
[0041]
[图7]图7示意性地例示了根据一些实施方式的设备。
具体实施方式
[0042]
在下文中，描述的实施方式为在线服务的用户提供了在使用电子通信时(例如，在访问网站或使用网络上的在线服务时)定义和传送他们有关其个人数据处理的选择的手段。
[0043]
这些实施方式还允许在线服务提供商或网站调整他们的通信以适应用户的选择。因此，它们可以向他们传送更相关并且更尊重他们的选择的信息，例如，商业/促销报价(offer)。
[0044]
如下文所述，平台充当用户与他们使用的服务之间的可信中介，以管理他们有关其个人数据处理的选择。
[0045]
该平台极大地简化了用户与其使用的服务提供商之间的通信。图1例示了对网络(例如，互联网)上的在线服务的标准访问。客户端系统的用户100(例如，个人计算机、平板计算机、智能手机或其他)经由网络(未示出)访问由远程系统101(例如，服务器)实现的在线服务。
[0046]
以标准方式进行大量不同的通信。首先，在线服务发起旨在确定用户有关个人数据的选择的数个通信(com data-priv)。例如，服务器提出由在线服务实现的有关缓存文件或跟踪站点导航等的策略。服务器可能会在接受某些条件的情况下使用服务，或要求用户在可能的浏览选项列表中做出选择。然后，远程系统101与客户端系统100之间的通信102(com usr)基于在第一通信阶段102中表达的选择来继续提供所请求的服务。在此第二通信阶段103期间或在此通信阶段之后，可以将第三通信阶段104(com adv)设置为例如旨在向用户提供商业报价(或其他)。该第三通信阶段也会根据用户在第一通信阶段102中做出的选择而发生。如果用户在第一阶段102期间没有注意做出相关选择，那么他或她可能会收到不充分的报价，并且这可以干扰他或她对远程系统101上的服务的使用。
[0047]
对于必须为每次访问设置对每个远程系统的使用的用户来说，这种操作模式既繁琐又复杂，如果他不这样做，就有看到他的个人数据以不期望的方式使用的风险。这种操作模式愈发繁琐，因为用户每次访问他使用的每个不同服务都必须经历相同的过程，如图2所示。
[0048]
图2例示了使用客户端系统的用户200经由网络(未示出)与提供相应服务(serv1、serv 2、serv 3、serv 4)的远程系统201、202、203、204(例如，服务器)的通信。然后，系统200将遵循上述过程来访问每个远程系统201、202、203、204。因此，在系统200与系统201之间实现三个通信阶段205(com data-priv)、206(com usr)、207(com adv)。在系统200与系
统202之间实现三个通信阶段208(com data-priv)、209(com usr)、210(com adv)。在系统200与系统203之间实现三个通信阶段211(com data-priv)、212(com usr)、213(com adv)。在系统200与系统204之间实现三个通信阶段214(com data-priv)、215(com usr)、216(com adv)。
[0049]
然后，要进行的设置会成倍增加，很容易理解为什么在个人数据保护方面的选择经常被忽视。这不仅对用户不利，而且对在使用其服务时无法确保良好的用户满意度的服务提供商也是不利的。
[0050]
因此，根据如下所述的实施方式，向用户提供对集中式可信平台(例如，网络服务器)的直接访问或(通过应用程序的)间接访问，该集中式可信平台的功能是允许他定义他有关在线使用其个人数据的选择。
[0051]
该平台提供了允许用户定义使用其在线数据的通常目的的接口。例如，他可以指定他是否接受基于他的在线行为的定向广告。例如，他可以指定他是否希望经由电子邮件、文本消息或其他形式的消息传递来接收个性化促销。例如，他可以指定他是否希望出于统计和/或研究目的而被在线跟踪。可以向他提供其他的可能性。
[0052]
该平台还可以具有为用户提供可能性的功能，如有必要，可以根据可能想要使用他或她的个人数据的公司来细化其选择。例如，这可能涉及允许某些特定标识的在线站点将用户的个人数据用于特定目的，以减损既定的一般规则，或者相反地，对特定标识的在线站点表达附加限制。
[0053]
因此，信任平台可以集中用户定义的所有选择。用户也可以在这个集中式平台上随时查阅、修改或删除他的选择。
[0054]
如下文所述，可以借助于用户特定的认证机制(例如，密码)来对这些数据的访问进行保护。
[0055]
图3例示了根据实施方式的平台。用户经由客户端系统300(usr)经由未示出的网络来访问由服务提供商经由远程系统301(例如，服务器(serv 1))提供的服务。
[0056]
与常规上发生的情况以及参照图1所呈现的情况相反，用户没有建立与远程系统301的如下通信：该通信旨在定义他有关其个人数据保护的选择。相反，他建立了与实现根据本发明的平台的另一远程系统303(例如，服务器)的这样一种通信302。
[0057]
在该通信期间，用户定义了他有关保护其个人数据的偏好。在返回中，他接收到一组数据304(+info)，该数据将允许他将他的偏好传送给服务提供商，如下所述。例如，该数据还可以包括向平台标识用户的标识符。例如，数据可以包括加密密钥以确保用户的标识和偏好的安全性，如下所述。
[0058]
然后，使用该信息304，用户可以发起与远程系统301的通信305(com usr)。在该通信期间，对用户的偏好进行编码，使得系统可以根据用户的选择建立通信，并且还使其可以与远程系统303建立通信306(com adv)。
[0059]
例如，该通信306允许服务提供商向用户提供报价。因此，该报价不是直接向用户提供的。该报价传递通过平台，该平台将首先询问用户或查阅用户为此目的输入并存储在系统303中的相关数据304。因为系统301已经接收到基于数据304的标识，所以平台将能够识别该报价所针对的用户，如下所述。如果平台通过消息307(ok)授权发送报价，则远程系统301然后与用户经由其客户端设备300进行直接通信308(offr)。
[0060]
根据用于实现上述过程的实施方式，用户对例如存在于他的客户端设备300(计算机、平板计算机、智能手机或其他)上的他的在线浏览模块(“浏览器”)的软件扩展进行安装。例如，用户通过他在通信302期间用于连接到平台的相同认证机制向该扩展标识他自己(例如，使用登录名和密码)。然后，该扩展可以连接到集中式平台，以上传用户在线使用其个人数据的选择(所述304数据)。
[0061]
根据实施方式，扩展还可以下载唯一的用户标识符(以下称为uiu)和密码式加密密钥(以下称为cc)。该数据可用于增强用户个人数据通信的安全性。
[0062]
当与服务提供商(网页或其他)通信时，客户端系统300(例如，经由软件扩展)可以更改发送的内容请求以插入附加元素。例如，可以添加用户有关在线使用其个人数据的选择的编码。例如，并且可选地，可以添加随着每个请求或每组请求而改变的用户的加密标识符。例如，该加密标识符由如下所述的ui和其他信息的密码式加密形成。
[0063]
例如，在经由http或https协议进行通信的情况下，可以通过添加专用于此功能的“http标头”(或https)或通过特定的缓存文件来完成此附加数据的传输。
[0064]
然后，所使用的服务(例如，受访网站)可以通过自动化过程读取用户有关在线使用其个人数据的选择。然后，该服务可以调整其行为，以便尊重这些选择(因为它已定义或更新它们)。例如，如果用户不希望他或她的浏览数据被用于定向广告，则所使用的服务可以立即阻止这种形式的个人数据处理，而无需额外且耗时地请求用户准许。
[0065]
例如，所使用的服务可以通过在对服务请求的响应中提供的接受标志来通知其接受用户的选择。例如，没有接受标志被视为服务提供商拒绝考虑用户的选择。
[0066]
例如，浏览器软件扩展可以检测此接受缓存文件在请求中的存在，并告知浏览器用户此接受缓存文件在请求中存在或不存在。
[0067]
因此，实施方式允许用户告知所有可以使用的在线服务他或她的个人数据处理选择(如先前存储在集中式信任平台中的)。
[0068]
此外，实施方式可以允许所使用的在线服务告知用户它们接受用户表达的选择。
[0069]
然后，与服务提供商的通信可以基于该服务提供商提供的对用户选择的响应。
[0070]
根据本发明的实施方式，因此可以提供信息(例如，加密标识符)，从而允许在线服务随后经由集中式信任平台向目标用户提供商业或促销报价，如下所述。
[0071]
图4例示了本发明的实施方式提供的优点。它描绘了使用客户端系统的用户(usr)400经由网络(未示出)与提供相应服务(serv 1、serv 2、serv 3、serv4)的远程系统401、402、403、404(例如，服务器)通信。根据本发明，用户将他的个人数据偏好配置到远程系统406(platfrom)，该远程系统实现用于管理这种通信405(com data-priv)中的数据的集中式平台。当它与远程系统401、402、403、404建立相应的通信408、409、410、411(com usr)时，它又接收与远程系统401、402、403、404通信所必需的信息407(+info)。在这些通信期间，客户端系统提供包括其偏好的数据412、413、414、415(+info)。可选地，它还可以提供允许远程系统向系统406传送个性化报价的加密标识符。
[0072]
因此，不是建立四个不同的通信来建立一者的个人数据偏好，而是只建立一个通信405。此外，由远程系统401、402、403、404发出的报价不会被发送到系统400；相反，这些远程系统在通信416、417、418、419(com adv)中向由系统406实现的平台进行查询。
[0073]
根据所示实施方式，假设只有系统401的报价与用户的偏好相匹配。在这种情况
下，平台发送消息420(ok)，从而授权它在通信421(offr)中直接联系用户。
[0074]
可选地，当客户端系统发起与远程系统的通信以访问其服务时，它可以形成加密标识符，该加密标识符在保证用户匿名的同时，允许远程系统在发送他们的报价时将这个用户定向(target)到平台。例如，该加密标识符可以由如上所述的扩展生成。
[0075]
加密的用户id可以按图5所示的方式形成。
[0076]
用户id 500(iuu)与密码式安全随机数501(rndm)串联(concatenated)，该随机数随着对在线服务的每个请求(或每组请求)而改变。它还可以与预定义的不变字符集合502(invr)串联。该随机数是从一个足够大的集合中选择的，因此在实践中，软件扩展在其使用期间极不可能两次选择相同的随机数(这在密码学中称为“随机数(nonce)”)。
[0077]
在步骤504中，使用只有用户和平台知道的加密密钥505(cc)，利用密码式加密算法对该集合进行加密。
[0078]
使用此过程计算用户的加密标识符(id*)506会产生以下属性。
[0079]
除非已知cc 505密钥，否则实际上已向其提供加密id*506的提供商不可能从加密id中检索到初始id iuu 500的值。
[0080]
此外，除非已知cc 505密钥，否则该服务提供商实际上不可能链接已提供给同一用户的两个有区别的加密标识符，即使这两个加密标识符已由同一用户浏览器的同一软件扩展生成。
[0081]
因此，加密id*506不能用作在线跟踪用户的工具。
[0082]
然而，加密id*506可以由服务提供商发送到平台，该平台能够找到与加密id相对应的用户。事实上，集中式平台维持一个cc 505密钥列表，该cc 505密钥列表是被分发给用户并由他们的浏览器扩展存储(例如，根据请求的日期)的。通过利用一个cc密钥505进行解密507(或尝试利用多个候选cc密钥进行少量解密)，平台因此可以对所应用的加密过程进行反转并检索用户的iuu 501标识符、随机数和不变的预定义字符集合。在若干cc密钥是用于解密的候选的情况下，解密消息中一系列不可改变的预定义字符的存在确认使用了正确的cc密钥。
[0083]
然后，平台可以向用户提供特定的报价(例如，商业报价、优惠券等)，从而充当受访站点与用户之间的中介。该中介角色允许平台维持用户相对于服务提供商的匿名性，尤其是在用户不希望利用该报价的情况下。
[0084]
为此，用户重新登录到集中式信任平台并读取发给他的报价。如果他接受报价，则集中式平台将在线站点连接到该用户。如果他拒绝该报价，他的匿名性将在在线站点上维持不变。
[0085]
下面参考图6描述该整个过程，图6示意性地例示了用于集中管理用户个人数据的远程系统600(platfrm)、用户的客户端系统601(usr)、用户的个人数据管理客户端模块602(brwsr)与服务提供商的远程系统603(serv)之间的通信。
[0086]
模块602可由客户端系统访问。例如，它是所描述的浏览器的扩展。它可以被集成到601系统中。它也可以是单独的系统。例如，如果用户在一个系统上配置了他的选择，并使用另一个系统访问服务提供商。图6中的配置纯粹是例示性的。
[0087]
该过程以从客户端系统601到远程系统600的请求604(req_id)开始，以在与服务提供商进行交换时记录他的个人数据选择。这可以是创建要求用户的登录名和密码的帐
户。
[0088]
响应于该请求，在步骤605中，远程系统特别地生成唯一的用户id标识符。系统600存储该id以识别用户。该系统还可以生成上述唯一的用户标识符以及可以允许保护交换的密码式密钥。
[0089]
接下来，用户在通信606期间定义他或她有关处理他或她的个人数据的选择。例如，用户可以填写由系统600提供的表格，就像他对常规服务提供商所做的那样。这个定义可能会更加细化和精确，以适应不同的场景。然后在步骤607中存储用户的选择。例如，用户可以通过登录到远程系统600来定期更新他或她的选择。
[0090]
用户的选择以可以与在线服务提供商通信的格式来存储，以避免用户每次连接到实现这种服务的远程系统时都被询问。
[0091]
当用户想要使用在线服务时，他可以配置他的通信工具。例如，这可能是软件扩展。这由模块602例示，他向该模块发送初始化请求608(req_init)。通过该请求，用户可以向模块602传送与远程系统600通信所需的信息，例如，他的登录名和密码。在步骤609中，该模块记录该信息。
[0092]
当该模块被第一次使用或定期使用时，用户可以请求模块连接到系统600以更新他的偏好。另选地，模块602可以自动查询模块600，并且可以定期联系它。它也可以在系统600的邀请下这样做，例如，当用户偏好的更新可用时。
[0093]
然后，模块602利用请求611(req_import)联系远程系统600，以便接收作为响应的包括用户选择的数据612。该数据612可以包括在步骤607中存储的选择。该信息还可以包括唯一标识符iuu。它还可以包括密码式密钥cc。
[0094]
然后在步骤613中，模块602存储偏好。在该存储期间，可以执行特定格式化，以允许将它们传送到远程系统603。可选地，它还可以进行到生成加密标识符id*的步骤614，如已参考例如图5所描述的。为此，例如，它使用接收到的唯一标识符和密码式密钥。
[0095]
当模块602从客户端系统601接收到到系统603的连接请求615(req_serv)时，该过程继续。例如，这是http请求，以连接到网站。如已经解释的，模块602更改该请求，以包括用户的个人数据处理选择和他的标识符(可选地，他的加密标识符)。然后，将该更改的请求616(req_serv(id*,pref))发送到系统603。
[0096]
在步骤617中，服务器603分析该请求并确定它是否接受用户的选择。然后在消息618中，它通知其响应，如上所述。然后在步骤619中，将该响应(例如，接受缓存文件)显示给用户，用户可以在步骤620中决定他是否继续与远程服务器通信。
[0097]
根据实施方式，系统603可以决定向系统600发送包含给用户的报价的消息621(offr(id*))。此报价附有用户的标识符。可选地，这是不允许系统603标识或跟踪用户但将允许系统600确定该报价所针对的用户的标识的加密标识符。
[0098]
在接收到消息621时，系统600在步骤622中确定该报价所针对的用户。如果已如上所述使用了加密标识符的话，这可以通过对这样的加密标识符进行解密来完成。
[0099]
如果报价与用户的选择匹配，则系统603与客户端系统601之间的通信被系统600授权发送给用户。该经授权通信可以采用由系统600直接发送或经由模块602发送到客户端系统601的消息623(offr)的形式。另选地，用户对该经授权通信进行查阅(由他自己通过连接到平台或应来自平台的邀请)。另选地，如图4所示，如果报价对应于用户的选择，则经授
权通信可以由系统603实现。在这种情况下，系统600可以向系统603发送授权它直接做出报价给用户的消息。为此，它可以将必要的数据发送到系统603。另选地，系统可以将报价作为已经在与用户进行的通信(步骤620)的一部分。
[0100]
图7是用于实现本发明的一个或更多个实施方式的系统700的框图。上述系统或服务器可以具有相同的结构。
[0101]
系统700包括通信总线，其连接到：
[0102]-处理单元701，例如，被称为cpu的微处理器；
[0103]-ram单元702，其用于存储根据本发明实施方式的方法的可执行代码，以及适于存储实现根据实施方式的方法所需的变量和参数的寄存器，其存储容量可以通过例如连接到扩展端口的可选ram来扩展；
[0104]-被称为rom的存储单元703，其用于存储用于实现本发明实施方式的计算机程序；
[0105]-连接到通信网络的网络接口单元704，通过该网络接口单元发送或接收要处理的数字数据。网络接口704可以是单个网络接口，或者包括不同的网络接口(例如，有线接口和无线接口，或者不同类型的有线接口和无线接口)的集合。在cpu 701中运行的软件应用程序的控制下，将数据写入网络接口用于发送或从网络接口读取用于接收；
[0106]-图形用户接口单元705，其用于接收来自用户的输入或向用户显示信息；
[0107]-硬盘驱动器hd 706；
[0108]-i/o模块707，其用于从/向外部系统(例如，视频源或显示器)接收/发送数据。
[0109]
可执行代码可以被存储在只读存储器703中、硬盘驱动器706上或诸如磁盘的可移动数字介质上。根据一个实施方式，程序的可执行代码可以在被执行之前借助于通信网络经由网络接口704来接收，以便被存储在通信系统700的存储装置中的一者(例如，硬盘706)中。
[0110]
中央处理单元701适于控制和引导根据本发明实施方式的程序的软件代码的指令或部分的执行，这样的指令被存储在上述存储装置中的一者中。例如，在上电之后，处理单元701能够在已经从rom程序703或硬盘(hd)706加载这样的指令之后执行来自主ram 702的与软件应用程序相关的指令。当由cpu 701执行时，这样的软件应用程序使得执行根据实施方式的方法的步骤。
[0111]
已经参照附图在此具体实施方式中描述和例示了本发明。然而，本发明不限于所示实施方式。本领域技术人员可以从本说明书和附图中推断和实现其他变型、实施方式和特征组合。
[0112]
为了满足特定需要，本发明领域的技术人员可以进行修改或调整。
[0113]
在权利要求中，术语“包括”不排除其他元素或步骤。不定冠词“一个”不排除复数。可以有利地组合所呈现和/或所要求保护的各种特征。它们在说明书或不同的从属权利要求中的存在并不排除将它们进行组合的可能性。附图标记不应被理解为限制本发明的范围。