[发明专利]计算机存储系统中的数据的按需去标识

说明书

在本文中公开了用于对计算机存储系统中的数据进行按需去标识的计算设备。在一个实施例中，一种服务器能够包括处理器和存储器，所述存储器包含指令，所述指令被配置为经由计算机网络来接收电子消息。所述电子消息包含表示用户标识符的数据以及要删除数据库中与用户标识符相对应的任何数据记录的要求。所述服务器然后能够从所述数据库中提取与所述用户标识符相对应的记录，利用随机号码替换所提取的记录中的用户标识符和/或抑制或一般化来自所提取的记录的准标识符，并且然后在单独的表格中存储新记录。然后，能够从初始表格中删除所提取的记录的副本，并且由此实现对数据库中与用户标识符相对应的一个或多个数据记录的按需匿名化。

背景技术

公司、组织、教育机构以及其他实体会常常将大量数据保持在计算机存储系统中。例如，一家公司会保留当前和以前员工的数据以及客户的数据。这样的数据通常作为个体数据库记录而存储在内部存储服务器中。计算机存储服务器还能够提供设施，所述设施用于基于适合的标准来查询所存储的数据，以及经由汇集、模式识别或者其他适合的技术来分析所存储的数据。

发明内容

提供本发明内容是为了以简化的形式介绍一系列概念，在下文的具体实施方式中进一步描述这些概念。本发明内容并不旨在标识所要求保护的主题的关键特征或必要特征，也并不旨在用于限制所要求保护的主题的范围。

信息隐私或数据隐私通常指代对数据的收集、保留和散布以及围绕前述活动的法律和政治问题之间的关系。无论在哪里以数字形式收集、存储、使用并且最终销毁或删除个人标识信息或者其他敏感信息，都会存在对数据隐私的担忧。数据隐私问题可能响应于来自宽范围的源的信息而发生，所述源诸如是健康护理记录、刑事司法调查和诉讼、金融机构和交易、生物特性分析、居住和地理记录、基于位置的服务以及学术研究。

涉及数据隐私的挑战是利用数据，同时保护个人的隐私偏好和个人标识信息。用于去标识或匿名化个人标识信息的特定技术问题在于高的处理和/或维护成本。例如，能够利用通常被称为“盐(salt)”的额外随机数据对数据集中的个人标识信息(例如，员工编号、姓名、社保号码等)进行散列化。然后，能够在数据集中存储经散列化的个人标识信息，同时删除初始记录。这样，能够对数据集中的记录进行去标识。然而，如果散列函数未被正确地选择，这样的技术可能导致隐私的意外泄露。不正确地选择散列函数会将数据匿名化策略暴露给攻击者。攻击者然后能够使用散列函数对经匿名化的数据进行反向工程，以导出初始数据，并且因此导致隐私泄露。前述技术还可能具有高的维护成本，用于维护用于对记录进行散列化的适合的散列函数。例如，为了确保数据的匿名化，不能够对用户标识符简单地进行散列化，因为对于相同的用户标识符，散列值将是相同的。这样，一个独有的用户标识符被另一个替换，所述另一个可以被用于标识用户。为了防止这样的对应关系，可以向散列过程中注入随机盐，以确保经散列化的用户标识符不被链接到自然人。旋转或者以其他方式管理用于散列过程的随机盐会导致高的维护成本。

所公开的技术的若干实施例涉及一种按需去标识技术，其被配置为在有来自与记录相对应的用户的需求时，对存储系统中的数据集的特定记录来执行匿名化过程。与其他技术不同的是，经匿名化的记录能够作为保留的数据被存储在新的并且单独的去标识的数据集中。这样，能够保留来自初始数据集的数据中的至少一些数据，同时符合数据隐私法律和要求。然后，能够对保留的数据，经由例如汇集或模式识别执行适当的数据分析，同时保护数据隐私。

在一个实施例中，去标识服务器能够被配置为例如经由对请求队列的周期性查询来接收来自用户的一个或多个删除请求。所述删除请求能够包含表示可用于独有地标识用户的一个或多个用户标识符的数据。这样的用户标识符的示例能够包括员工编号、客户账户号码、护照号码、社保号码等。所述删除请求还能够向去标识服务器指示用户希望从计算机存储系统中删除数据集合或数据集中包含被链接到或可链接到在给定时期(例如，一天、日期范围等)内作为自然人的用户的特定记录。在特定实施方式中，所述数据集能够被存储在计算机存储系统中作为一组数据库记录，其跨计算机存储系统中的数据库或文件中的多个表格。在其他实施方式中，所述数据集能够被存储为被托管在不同存储节点上的分布式碎片或者以其他适合的方式来存储。