本技术领域大体涉及数据收集,且更具体地涉及数据收集和保护从车辆收集的数据的隐私。
背景技术:
为了操作,车辆收集并存储与车辆有关的数据。在一些情况下,第三方实体对查看和评估此类数据感兴趣。举例来说,保险公司的第三方应用程序或服务可请求访问数据以基于驾驶行为自动调整保险费。在另一实例中,租赁公司的第三方应用程序或服务可请求访问数据以用于跟踪车辆使用和行驶里程。诚实但好奇的第三方实体可违反保护车辆数据隐私的某些法律或服务条款。
因此,期望提供用于保护从车辆收集的数据的隐私同时能够与第三方实体共享数据的方法及系统。此外,从随后的实施方式和所附的权利要求,结合附图和前述技术领域和背景技术,本发明的其它期望特征和特性将变得显而易见。
技术实现要素:
提供用于保护从车辆收集的数据的隐私的方法和设备。在一个实施例中,方法包含:通过处理器接收由车辆的用户输入的隐私偏好;通过处理器接收从车辆收集的数据;通过处理器使数据失真;通过处理器基于隐私偏好对失真数据进行降采样;以及通过处理器将降采样的失真车辆数据传送到第三方实体。
在各种实施例中,隐私偏好包含与第三方实体相关联的应用程序的评级。
在各种实施例中,隐私偏好包含与数据相关联的存储时间。
在各种实施例中,方法包含从车辆制造商接收隐私偏好,且其中降采样是基于来自车辆制造商的隐私偏好。在各种实施例中,方法包含基于来自用户的隐私偏好和由车辆制造商所规定的评级来计算与第三方实体相关联的应用程序的可信度得分,且其中降采样是基于可信度得分。
在各种实施例中,方法包含从车辆接收与若干数据源相关联的风险因子,且其中降采样是基于风险因子。
在各种实施例中,失真是基于差分隐私方法。
在各种实施例中,差分隐私方法是拉普拉斯(laplace)机制。
在各种实施例中,方法包含启用和禁用用户可用于基于隐私偏好收集数据的应用程序中的至少一个。
在各种实施例中,传送是传送到与第三方实体相关联的启用的应用程序。
在另一实施例中,提供一种用于保护从车辆收集的数据的隐私的服务器系统。系统包含:第一非暂时性模块,经配置以通过处理器接收由车辆的用户输入的隐私偏好;和第二非暂时性模块,经配置以通过处理器接收从车辆收集的数据,使数据失真,基于隐私偏好对失真数据进行降采样,且将降采样的失真数据传送到第三方实体。
在各种实施例中,隐私偏好包含与第三方实体相关联的应用程序的评级。
在各种实施例中,隐私偏好包含与驻留在第三方服务器中的数据相关联的存储时间。
在各种实施例中,第一非暂时性模块从车辆制造商接收隐私偏好,且其中第二非暂时性模块基于来自车辆制造商的隐私偏好进行降采样。
在各种实施例中,第一非暂时性模块基于来自用户的隐私偏好和来自车辆制造商的隐私偏好来计算与第三方实体相关联的应用程序的可信度得分,且其中第二非暂时性模块基于可信度得分进行降采样。
在各种实施例中,第二非暂时性模块接收与车辆数据源相关联的风险因子,且基于风险因子进行降采样。
在各种实施例中,失真是基于差分隐私方法。
在各种实施例中,差分隐私方法是拉普拉斯机制。
在各种实施例中,第一非暂时性模块进行启用和禁用用户可用于基于隐私偏好收集数据的应用程序中的至少一个。
在各种实施例中,第二非暂时性模块传送到与第三方实体相关联的启用的应用程序。
附图说明
在下文中将结合以下附图描述示范性实施例,其中相同数字表示相同元件,且其中:
图1是说明根据各种实施例的包含隐私系统的车辆数据收集系统的功能框图。
图2和3是说明根据各种实施例的隐私系统的数据流图;和
图4和5是说明根据各种实施例的可由隐私系统执行的隐私保护方法的流程图。
具体实施方式
以下实施方式本质上仅是示范性的并不旨在限制应用和用途。此外,无意受前述技术领域、背景技术、发明内容或以下实施方式中提出的任何明示或暗示的理论的约束。如本文中所使用,术语模块指代专用集成电路(asic)、电子电路、处理器(共用、专用或组)和执行一或多个软件或固件程序的存储器、组合逻辑电路和/或提供所描述功能的其它合适组件。
参考图1,根据各种实施例展示与车辆12相关联的数据收集系统10。数据收集系统10包含收集数据并将数据存储于数据存储装置14中的数据收集模块13。从各种传感器16、来自通信总线18的数据和/或来自车辆12的其它数据源20的数据收集数据。对于示范性目的,将在从传感器16收集数据的背景下论述本发明。
在各种实施例中,数据收集系统10与隐私系统22相关联,该隐私系统使得第三方实体24能够访问所收集数据同时保护某些定义的隐私条件。通常,隐私系统22通过用两层隐私保护方案处理所收集的数据来实施隐私保护,该隐私保护方案在与第三方共享之前对所收集的数据进行清理。隐私系统22进一步基于用户输入的隐私设置来实施隐私保护。
在各种实施例中,举例来说,隐私系统22可在经配置以与车辆12、其它车辆(未展示)和第三方实体24通信的后端服务器26上与车辆10分开实施。举例来说,后端服务器26包含车辆接口28,该车辆接口经配置以从车辆12接收用户隐私设置,以从车辆12请求数据且以从车辆12接收所请求的数据。在另一实例中,后端服务器26包含实体接口30,该实体接口经配置以将数据传输到第三方实体24并将关于第三方应用程序的信息存储于应用程序商店32中。
在各种实施例中,隐私系统22包含隐私偏好模块34和隐私服务模块36。如将关于图2更详细论述,隐私偏好模块34允许用户根据隐私预设或个人定制配置来定义所期望的隐私级别,并将所期望的隐私级别存储于数据存储装置38的用户账户中。隐私偏好模块34允许车辆制造商(oem)提供通过后端服务器26的服务/应用程序40输入的应用程序中的每一个的隐私级别。针对用户车辆12禁用来自应用程序商店32的不满足这些所期望的隐私级别的应用程序。
如将关于图3更详细论述,隐私服务模块36处理来自车辆12的所收集数据,并根据用户所期望的隐私级别和/或oem所期望的隐私级别来改变数据的准确性和数据采样的频率。
现在参考图2,数据流图根据各种实施例更详细说明隐私偏好模块34。隐私偏好模块34可包含任何数量的子模块。如可了解,所展示的子模块可经组合和/或进一步划分以允许用户定义的隐私设置。在各种实施例中,隐私偏好模块34包含用户偏好确定模块50、oem偏好确定模块52、可信度得分确定模块54、隐私风险因子确定模块56、应用程序启用模块58和风险因子数据存储60。
用户偏好确定模块50接收用户隐私偏好数据62作为输入。用户隐私偏好数据62可从车辆12接收且基于用户与车辆12的接口的交互生成。用户偏好确定模块50基于用户隐私偏好数据62确定用户的隐私偏好,并将隐私偏好存储于数据存储装置38(图1)中。举例来说,在各种实施例中,用户隐私偏好数据62包含与特定第三方应用程序相关联的用户输入的评级。举例来说,评级可为1与10之间的整数值。用户偏好确定模块提取评级并提供用户评级数据66以用于进一步处理。
在另一实例中,用户隐私偏好数据62包含与第三方应用程序相关联的用户输入的存储时间。存储时间是定义用户允许第三方实体存储该用户的数据的时间量的度量。举例来说,在处理之后,第三方可能有义务删除所有用户数据。用户偏好确定模块50提取存储时间并提供存储时间数据68以用于进一步处理。
oem偏好确定模块52接收oem隐私偏好数据70作为输入。oem隐私偏好数据70可经由与后端服务器26的接口的交互从oem雇员处接收。oem偏好确定模块52基于oem隐私偏好数据70确定oem的隐私偏好,并将隐私偏好存储于数据存储装置38(图1)中。举例来说,在各种实施例中,oem隐私偏好数据70包含与特定的第三方应用程序相关联的oem所输入的评级。举例来说,评级可为1与3之间的整数值。举例来说,oem可基于与应用程序开发者的商业关系和信任,对应用程序商店32(图1)中可用的应用程序按照1到3进行评级。oem偏好确定模块52提取评级并提供oem评级数据74以用于进一步处理。
可信度得分确定模块54接收用户评级数据66和oem评级数据74作为输入。基于输入,可信度得分确定模块54确定与第三方应用程序相关联的可信度得分并将可信度得分作为可信度得分数据76存储于数据存储装置38(图1)中。举例来说,可信度得分确定模块54基于以下确定可信度得分:
其中β代表用户评级;且1、2或3代表oem评级。oem评级1表明通过背景检查的新应用程序或第三方服务提供商,同时2表明具有凭证的知名服务提供商且3表明与oem有特殊合同的服务提供商。
隐私风险因子确定模块56接收传感器信息数据78作为输入。传感器信息数据78表明由用于数据收集的应用程序选择的传感器(或其它数据源)。隐私风险因子确定模块56确定由传感器信息数据78表明的传感器的隐私风险因子。举例来说,隐私风险因子确定模块56与存储与车辆12的每个传感器(或其它数据源)相关联的预定义风险因子的风险因子数据存储60相关联。风险因子可为0到3的预定义值,该预定义值基于对某些攻击类别的传感器暴露来确定,这些攻击类别(attackcategory)例如但不限于驾驶员指纹识别、位置推断和驾驶员行为分析。举例来说,里程计可被分配这些攻击类别中的一个的风险因子,这是因为里程计的数据可用于驾驶员指纹识别。在另一实例中,速度传感器可被分配这些攻击类别中的三个的风险因子,这是因为速度传感器的数据可用于驾驶员指纹识别、位置推断和驾驶员行为分析。在又一个实例中,节气门位置传感器可被分配这些攻击类别中的两个的风险因子,这是因为节气门位置传感器的数据可用于驾驶员指纹识别和驾驶员行为分析。如可了解,在各种实施例中,可为其它传感器和其它数据源分配风险因子。隐私风险因子确定模块56提供风险因子作为风险因子数据80以用于进一步处理。
应用程序启用模块58接收可信度得分数据76和风险因子数据80作为输入。应用程序启用模块58禁用存储在应用程序商店32(图1)中不满足由可信度得分和风险因子或由用户输入的其它信息表明的用户隐私偏好的任何应用程序。应用程序启用模块58生成启用/禁用数据82,该启用/禁用数据可存储于山杨商店32(图1)中以用于为用户启用/禁用应用程序。
现在参考图3,数据流图根据各种实施例更详细说明隐私服务模块36。如可了解,隐私服务模块36可包含任何数量的子模块。当允许来自应用程序商店32(图1)的第三方应用程序访问车辆数据时,所展示的子模块可经组合和/或进一步划分以允许两层隐私保护方案。在各种实施例中,隐私服务模块36包含失真模块90、误差函数模块92、oem预算计算模块94、应用程序隐私预算计算模块96、应用程序样本计算模块98和采样频率模块100。
失真模块90接收从车辆12(例如,从车辆传感器16、总线16或其它数据源20)收集的作为数据的时间序列的车辆数据102作为输入。举例来说,失真模块90使用差分隐私方法例如但不限于拉普拉斯(laplace)机制失真收集的数据。失真模块90基于失真生成失真的车辆数据104。
误差函数模块92接收从车辆12(例如,从车辆传感器16、总线16或其它数据源20)收集的车辆数据102和失真车辆数据104作为输入。基于输入,误差函数模块92计算信息损失度量(γ)并基于此生成信息损失度量数据106。举例来说,信息损失度量(γ)测量数据的原始时间序列x={xk}与数据的失真时间序列r={rk}之间的平均相对误差,这些时间序列皆为n个样本长。在各种实施例中,误差函数模块92将信息损失度量(γ)计算为:
其中δ是减轻较小传感器值的影响的用户指定常数(例如,1或某个其它值)。
oem预算计算模块94接收信息损失度量数据106作为输入。oem预算计算模块94计算oem隐私预算,并基于此生成oem隐私预算数据18。oem隐私预算是oem可授予第三方应用程序的最大隐私预算。隐私预算是定义一第三方实体在其失去访问权限之前可对所收集的数据进行多少次查询的度量。最低oem隐私保障受数据准确性要求的限制,并在每次查询时从隐私预算中扣除。对于与第三方应用程序共享的给定数量的所允许数据点noem,oem隐私预算可计算为:
boem=noem∈oem。(3)
其中∈oem代表受由oem提供的传感器准确性要求限制的最低oem隐私保障。
应用程序隐私预算计算模块96接收通过例如图2的隐私偏好模块34生成的可信度得分数据76和隐私风险因子数据80以及oem隐私预算数据108作为输入。应用程序隐私预算计算模块96基于所接收数据的隐私因子(prf)和可信度得分(ts)来计算应用程序特定的隐私预算,并基于此生成应用程序隐私预算数据110。
举例来说,应用程序隐私预算计算为:
在各种实施例中,应用程序隐私预算(bapp)总是等于或小于oem隐私预算(boem)。
应用程序样本计算模块98接收oem隐私预算数据108和应用程序隐私预算数据110作为输入。应用程序样本计算模块98计算应用程序样本并基于此生成应用程序样本数据112。应用程序样本是允许第三方应用程序检索所选传感器的数据点/样本的数目。使用所允许的oem数据点noem计算:
因此,应用程序特定样本总是等于或小于oem样本,oem样本代表具有最低隐私风险的第三方应用程序的情况(prf=0,ts=1)
采样频率模块100接收应用程序样本数据112、失真数据104和存储时间数据68作为输入。存储时间数据68由用户输入并由隐私偏好模块34(图2)提供。采样频率模块100基于应用程序样本和存储时间计算采样频率(fs),例如为应用程序样本除以存储时间。采样频率计算模块100随后将采样频率应用于失真车辆数据104以提供降采样数据114。随后将降采样数据114提供给第三方实体或应用程序。
现在参考图4和5并继续参考图1到3,流程图说明根据各种实施例的可由图1到3的系统执行的保护车辆数据的隐私的方法。如根据本发明可以了解,方法内的操作顺序不限于如图4和5中说明的顺序执行但可以如适用的一或多个变化顺序并根据本发明来执行。
在一个实例中,方法500可在505开始。在510,接收用户隐私偏好数据62和oem隐私偏好数据70。在520,用户账户在数据存储装置38中创建并用用户隐私偏好64更新。在530,基于用户隐私偏好和oem隐私偏好确定可信度得分和风险因子,并将这些可信度得分和风险因子存储在数据存储装置38中。在540,基于用户隐私偏好数据62,启用/禁用存储在应用程序商店32中的应用程序以供用户使用。举例来说,启用/禁用过滤器作为元数据存储在应用程序商店32中。此后,方法可在550结束
在另一实例中,方法600在605开始。在610,基于用户请求,从应用程序商店32中启用的应用程序选择并安装第三方应用程序。此后,在620,基于与所安装的应用程序相关联的传感器(或其它数据源)从车辆12获得数据。举例来说,在各种实施例中,根据由第三方应用程序表明的所需传感器从车辆12请求数据。车辆12收集并打包数据以用于传输。使用蜂窝式连接将数据传输到后端服务器26形成实例。如可了解的,传输频率在很大程度上取决于请求数据的oem或第三方应用程序。如果多个应用程序正在从车辆12请求数据,则可对数据进行打包以同时传输以减少开销。如可进一步了解的,在各种实施例中,可使用其它架构和传输方法。
举例来说,如上所述,在630,随后使车辆数据102失真。在640,举例来说,如上所述,使用用户的用户隐私偏好随后对失真数据104进行降采样。在650,随后将失真的降采样数据传输到与应用程序相关联的第三方实体或应用程序本身。此后,方法在660结束。
虽然前述实施方式中已给出至少一个示范性实施例,但应当了解存在大量的变化。还应当了解,一或多个示范性实施例仅是实例并不旨在以任何方式限制本发明的范围、适用性或配置。相反,前述实施方式将为本领域技术人员提供用于实施一或多个示范性实施例的便利路线图。应当理解,在不脱离如所附权利要求及其法律等效物中所述的本发明的范围的情况下,可对元件的功能和布置进行各种改变。
1.一种保护从车辆收集的数据的隐私的方法,包括:
通过处理器接收由所述车辆的用户输入的隐私偏好;
通过所述处理器接收从所述车辆收集的所述数据;
通过所述处理器使所述数据失真;
通过所述处理器基于所述隐私偏好对所述失真数据进行降采样;和
通过所述处理器将所述降采样的失真车辆数据传送到第三方实体。
2.根据权利要求1所述的方法,其中所述隐私偏好包含与所述第三方实体相关联的应用程序的评级。
3.根据权利要求1所述的方法,其中所述隐私偏好包含与所述数据相关联的存储时间。
4.根据权利要求1所述的方法,进一步包括从车辆制造商接收隐私偏好,且其中所述降采样是基于来自所述车辆制造商的所述隐私偏好。
5.根据权利要求4所述的方法,进一步包括基于来自所述用户的所述隐私偏好和由所述车辆制造商所规定的评级来计算与所述第三方实体相关联的应用程序的可信度得分,且其中所述降采样是基于所述可信度得分。
6.根据权利要求1所述的方法,进一步包括接收与来自所述车辆的若干数据源相关联的风险因子,且其中所述降采样是基于所述风险因子。
7.根据权利要求1所述的方法,其中所述失真是基于差分隐私方法。
8.根据权利要求7所述的方法,其中所述差分隐私方法是拉普拉斯(laplace)机制。
9.根据权利要求1所述的方法,进一步包括启用和禁用所述用户可用于基于所述隐私偏好收集所述数据的应用程序中的至少一个。
10.一种用于保护从车辆收集的数据的隐私的服务器系统,包括:
第一非暂时性模块,经配置以通过处理器接收由所述车辆的用户输入的隐私偏好;和
第二非暂时性模块,经配置以通过处理器接收从所述车辆收集的所述数据,使所述数据失真,基于所述隐私偏好对所述失真数据进行降采样,以及将所述降采样的失真数据传送到第三方实体。
技术总结