DE102016207468A1

DE102016207468A1 - A system, method and program for storing anonymous behavior data and controlling access to such data

Info

Publication number: DE102016207468A1
Application number: DE102016207468.7A
Authority: DE
Inventors: David Snelling
Original assignee: Fujitsu Ltd
Current assignee: Fujitsu Ltd
Priority date: 2016-04-29
Filing date: 2016-04-29
Publication date: 2017-11-02

Abstract

Ein System zum Speichern von personalisierten Daten und zum Kontrollieren des Zugriffs auf personalisierte Daten, wobei das System eine Datenmaschine umfasst, die einen Datenspeicher und eine Zugriffskontrolleinheit umfasst und dafür konfiguriert ist, anonymisierte personalisierte Verhaltensdaten zu empfangen und die empfangenen anonymisierten personalisierten Verhaltensdaten in dem Datenspeicher zu speichern, wobei der Zugriff auf die gespeicherten anonymisierten personalisierten Verhaltensdaten durch die Zugriffskontrolleinheit gesteuert wird, wobei die anonymisierten personalisierten Verhaltensdaten Verhaltensdaten sind, die das Verhalten eines Nutzers repräsentieren, wobei die Verhaltensdaten mit einer anonymen Nutzer-ID anonym personalisiert werden; wobei die Zugriffskontrolleinheit dafür konfiguriert ist, den Dienstanbietern gespeicherte anonymisierten personalisierte Verhaltensdaten konfigurierbar zugänglich zu machen, wenn von einem der Dienstanbieter eine Anforderung für Daten erhalten wird, in der die anonyme Nutzer-ID spezifiziert ist, mit der die angeforderten Daten anonym personalisiert wurden, wobei die Dienstanbieter von der Datenmaschine getrennte Entitäten sind; einen Kontrollanbieter, als eine von der Datenmaschine getrennte Entität, der dafür konfiguriert ist, von einem identifizierten Nutzer eine Zugriffskontrolleinheit-Konfigurationsanforderung zu empfangen, die einen der Dienstanbieter und eine Zugriffskonfigurationseinstellung spezifiziert, und die Zugriffskontrolleinheit-Konfigurationsanforderung an die Datenmaschine mit der anonymen Nutzer-ID des identifizierten Nutzers zu senden; wobei die Zugriffskontrolleinheit dafür konfiguriert ist, die Zugriffskontrolleinheit-Konfigurationsanforderung zu empfangen und den Zugriff durch den spezifizierten der Dienstanbieter auf die personalisierten Verhaltensdaten, die mit der anonymen Nutzer-ID personalisiert wurden, gemäß der Zugriffskonfigurationseinstellung zu konfigurieren.A system for storing personalized data and controlling access to personalized data, the system comprising a data engine including a data store and an access control unit configured to receive anonymized personalized behavior data and to receive the received anonymized personalized behavior data in the data store wherein access to the stored anonymized personalized behavior data is controlled by the access control unit, the anonymized personalized behavior data being behavioral data representing a user's behavior, the behavioral data being anonymously personalized with an anonymous user ID; wherein the access control unit is configured to make configurable anonymized personalized behavior data configurably accessible to service providers when a request is received from one of the service providers for data specifying the anonymous user ID with which the requested data was personalized anonymously, wherein the service providers are entities separate from the data engine; a control provider, as an entity separate from the data engine, configured to receive from an identified user an access control unit configuration request specifying one of the service providers and an access configuration setting, and the access control unit configuration request to the data engine having the anonymous user ID to send the identified user; wherein the access control unit is configured to receive the access control unit configuration request and to configure the access by the specified one of the service providers to the personalized behavior data that has been personalized with the anonymous user ID according to the access configuration setting.

Description

Die vorliegende Erfindung betrifft das Gebiet von Systemen zum Speichern von personalisierten Daten und zum Kontrollieren des Zugriffs auf solche Daten. Genauer gesagt, betrifft die Erfindung die Kontrolle des Zugriffs auf anonymisierte personalisierte Verhaltensdaten und die Bereitstellung von Diensten, die diese Daten nutzen, für einen Nutzer.The present invention relates to the field of systems for storing personalized data and controlling access to such data. More particularly, the invention relates to controlling access to anonymized personalized behavioral data and providing services utilizing that data to a user.

Es gibt Protokolle und Regimes zum Generieren, Personalisieren, Speichern von, und Zugreifen auf Daten, die Handlungen einer Person im täglichen Leben repräsentieren. Ein Nutzer ist in der Lage, sich für einen Dienst bei einem Dienstanbieter anzumelden. Der Dienstanbieter verarbeitet dann Daten, die durch den Nutzer oder im Namen des Nutzers generiert wurden, als einen Dienst. Die Ergebnisse können an den Nutzer oder an einen Dritten übermittelt werden.There are protocols and regimes for generating, personalizing, storing, and accessing data representing a person's actions in daily life. A user is able to log in to a service provider for a service. The service provider then processes data generated by the user or on behalf of the user as a service. The results may be transmitted to the user or to a third party.

Solche Regimes sind dafür ausgelegt, jedem die sichere Nutzung der Vorteile zunehmender Computerfähigkeiten zu erlauben, indem zum Beispiel gestattet wird, dass Mobilgeräte auf einen Dienst zugreifen können, der durch Cloud-Netze bereitgestellt wird, wenn Verhaltensdaten verarbeitet werden.Such regimes are designed to allow anyone to safely benefit from the benefits of increasing computing capabilities, for example, by allowing mobile devices to access a service provided by cloud networks when handling behavioral data.

Weil die Speicherung dieser Art überaus detaillreicher personenbezogener Informationen hochsensibel ist, ist es wünschenswert, dem Nutzer die Möglichkeit zu geben, anonym zu bleiben. Darum beinhalten die Arbeitsrahmen mehrere Parteien, damit personalisierte Daten durch eine Partei gespeichert werden können, der die Identität der Person, deren Verhalten (oder Aktivität) die Daten repräsentieren, unbekannt ist, während andere Parteien die Daten abfragen können und die Daten als einen Dienst für die Person verarbeiten können.Because storing this type of highly detailed personal information is highly sensitive, it is desirable to allow the user to remain anonymous. Therefore, the work frames include multiple parties so that personalized data can be stored by a party that is unknown to the identity of the person whose behavior (or activity) the data represents, while other parties can query the data and use the data as a service for can handle the person.

In solchen Arbeitsrahmen werden Daten in einer Datenmaschine gespeichert, und ein Dienstnutzer, über den personalisierte Daten in der Datenmaschine gespeichert werden, kann nicht durch die Datenmaschine identifiziert werden. Das ist vorteilhaft, weil die so gespeicherten Daten nicht dem Dienstnutzer zugeordnet werden können, weshalb die Daten in ihrem gespeicherten Zustand anonym sind. Jedoch steht dem Dienstnutzer kein anderes Mittel zur Verfügung, mit dem er eine Kontrolle darüber ausüben kann, wie auf Verhaltensdaten, die auf den Nutzer personenbezogen sind, zugegriffen wird, außer dass er sich für Dienste an- und abmeldet, die durch die dienstanbietenden Entitäten angeboten werden. Die Datenmaschine wird durch eine Partei betrieben, die von den dienstanbietenden Entitäten getrennt ist.In such work frames, data is stored in a data engine, and a service user who stores personalized data in the data engine can not be identified by the data engine. This is advantageous because the data thus stored can not be assigned to the service user, which is why the data are anonymous in their stored state. However, the service user has no other means of exercising control over how to access behavioral data relating to the user's personal, except that he logs on and logs off for services offered by the service providing entities become. The data engine is operated by a party separate from the serving entities.

In existierenden Arbeitsrahmen fungieren die dienstanbietenden Entitäten als ein Vermittler zwischen dem Nutzer und dem oder den Dienstanbietern bzw. der oder den Datenmaschinen. Der Datenmaschine ist es nicht erlaubt zu wissen, wer der Nutzer ist (d. h. der Datenmaschine ist es untersagt, den Nutzer, über den Verhaltensdaten gespeichert werden, zu kennen). Darum ist der einzige Weg, wie der Nutzer mit der Datenmaschine und den in ihr gespeicherten Daten interagieren kann, über den Dienstanbieter, dem es selbst gestattet ist, die durch die Datenmaschine gespeicherten Daten abzufragen.In existing work frames, the serving entities act as an intermediary between the user and the service provider (s). The data engine is not allowed to know who the user is (i.e., the data engine is prohibited from knowing the user about whom behavior data is being stored). Therefore, the only way the user can interact with the data engine and the data stored in it is through the service provider, which is itself allowed to query the data stored by the data engine.

Ausführungsformen enthalten ein System zum Speichern von personalisierten Daten und zum Kontrollieren des Zugriffs auf personalisierte Daten, wobei das System eine Datenmaschine umfasst, der einen Datenspeicher und eine Zugriffskontrolleinheit umfasst und dafür konfiguriert ist, anonymisierte personalisierte Verhaltensdaten zu empfangen und die empfangenen anonymisierten personalisierten Verhaltensdaten in dem Datenspeicher zu speichern, wobei der Zugriff auf die gespeicherten anonymisierten personalisierten Verhaltensdaten durch die Zugriffskontrolleinheit gesteuert wird, wobei die anonymisierten personalisierten Verhaltensdaten Verhaltensdaten sind, die das Verhalten eines Nutzers repräsentieren, wobei die Verhaltensdaten mit einer anonymen Nutzer-ID anonym personalisiert werden; wobei die Zugriffskontrolleinheit dafür konfiguriert ist, den Dienstanbietern gespeicherte anonymisierte personalisierte Verhaltensdaten konfigurierbar zugänglich zu machen, wenn von einem der Dienstanbieter eine Anforderung für Daten erhalten wird, in der die anonyme Nutzer-ID spezifiziert ist, mit der die angeforderten Daten anonym personalisiert wurden, wobei die Dienstanbieter von der Datenmaschine getrennte Entitäten sind. Das System umfasst des Weiteren einen Kontrollanbieter, als eine von der Datenmaschine getrennte Entität, der dafür konfiguriert ist, von einem identifizierten Nutzer eine Zugriffskontrolleinheit-Konfigurationsanforderung zu empfangen, die einen der Dienstanbieter und eine Zugriffskonfigurationseinstellung spezifiziert, und die Zugriffskontrolleinheit-Konfigurationsanforderung an die Datenmaschine mit der anonymen Nutzer-ID des identifizierten Nutzers zu übertragen; wobei die Zugriffskontrolleinheit dafür konfiguriert ist, die Zugriffskontrolleinheit-Konfigurationsanforderung zu empfangen und den Zugriff durch den spezifizierten der Dienstanbieter auf die personalisierten Verhaltensdaten, die mit der anonymen Nutzer-ID personalisiert wurden, gemäß der Zugriffskonfigurationseinstellung zu konfigurieren.Embodiments include a system for storing personalized data and controlling access to personalized data, the system including a data engine including a data store and an access control unit configured to receive anonymized personalized behavior data and receive the anonymized personalized behavior data received in the computer Storing data storage, the access to the stored anonymized personalized behavior data being controlled by the access control unit, the anonymized personalized behavior data being behavioral data representing a user's behavior, the behavioral data being anonymously personalized with an anonymous user ID; wherein the access control unit is configured to make configurable anonymized personalized behavior data accessible to the service providers when a request is received from one of the service providers for data specifying the anonymous user ID that anonymously personalizes the requested data, wherein the service providers are separate entities from the data engine. The system further comprises a control provider, as an entity separate from the data engine, configured to receive an access control unit configuration request from an identified user specifying one of the service providers and an access configuration setting, and the access control unit configuration request to the data engine transmit the anonymous user ID of the identified user; wherein the access control unit is configured to receive the access control unit configuration request and to configure the access by the specified one of the service providers to the personalized behavior data that has been personalized with the anonymous user ID according to the access configuration setting.

Vorteilhafterweise gibt der Kontrollanbieter die Funktionalität eines Arbeitsrahmens für die Bereitstellung von Diensten auf der Basis gespeicherter anonymisierter personalisierter Verhaltensdaten an Nutzer weiter. Der Kontrollanbieter ist eine Vorrichtung, die eine technische Funktionalität bereitstellt, um Nutzern (Dienstnutzern) die Kontrolle über ihre in der Datenmaschine gespeicherten personalisierten Verhaltensdaten zu gewähren.Advantageously, the control provider forwards the functionality of a work framework for the provision of services on the basis of stored anonymous personalized behavioral data to users. The control provider is a device that provides a technical functionality to give users (service users) control of their users to provide personalized behavioral data stored in the data engine.

Der Kontrollanbieter ist eine von den Dienstanbietern und der Datenmaschine getrennte Entität, die ein Mittel für den Nutzer darstellt, die Zugreifbarkeit auf die in der Datenmaschine gespeicherten anonymisierten personalisierten Verhaltensdaten des Nutzers zu konfigurieren. Durch Einbinden einer weiteren Partei (der Kontrollanbieter) zusätzlich zu dem Nutzer, der Datenmaschine und den Dienstanbietern kann die Anonymität der personalisierten Verhaltensdaten in der Datenmaschine gewahrt werden, während ein Mechanismus, eine Schnittstelle, ein Tool, ein Mittel oder eine Vorrichtung bereitgestellt wird, worüber der Nutzer mit der Datenmaschine interagieren und Änderungen an der Zugreifbarkeit auf gespeicherte Daten anweisen kann.The control provider is an entity separate from the service providers and the data engine, which provides a means for the user to configure the accessibility of the user's anonymized personalized behavior data stored in the data engine. By incorporating another party (the control provider) in addition to the user, the data engine, and the service providers, the anonymity of the personalized behavior data in the data engine can be preserved while providing a mechanism, interface, tool, means, or device the user can interact with the data engine and direct changes to the accessibility of stored data.

Das System der Ausführungsformen umfasst eine Anzahl getrennter Entitäten oder Parteien, die miteinander in Datenkommunikation stehen. Die Datenmaschine kann durch eine erste Partei bereitgestellt werden, der Dienstanbieter durch eine zweite Partei, und die Kontrolle kann durch eine dritte Partei erbracht werden. Wo Entitäten als getrennte Parteien oder Entitäten spezifiziert sind, können die Entitäten auch als getrennte Rechtspersonen, unabhängige Entitäten und/oder unabhängige Rechtspersonen angesehen werden. Die Vorrichtungen (Kontrollanbieter, Dienstanbieter, Datenmaschine) befinden sich in voneinander unabhängigen Computerumgebungen, wenn auch in Datenkommunikation miteinander über das Internet oder eine sonstige Datenverbindung, wobei diese Datenverbindungen verschlüsselte Verbindungen sein können. Jede getrennte Entität kann eine eigenständige Sicherheitsinfrastruktur haben, so dass sich eine Sicherheitsverletzung in einer Entität nicht auf die übrigen Entitäten auswirkt.The system of embodiments includes a number of separate entities or parties in data communication with each other. The data engine may be provided by a first party, the service provider by a second party, and the control may be provided by a third party. Where entities are specified as separate parties or entities, the entities may also be considered separate legal entities, independent entities, and / or independent legal entities. The devices (control providers, service providers, data machines) are located in mutually independent computer environments, albeit in data communication with each other via the Internet or other data connection, which data connections may be encrypted connections. Each separate entity can have its own security infrastructure so that a security breach in one entity does not affect the other entities.

Die anonyme Nutzer-ID kann durch eine ID-Generierungsvorrichtung bereitgestellt werden, wie zum Beispiel eine Identitätsausstellungsstelle, die eine von dem Kontrollanbieter, der Datenmaschine, der Person und dem Dienstanbieter getrennte Entität ist.The anonymous user ID may be provided by an ID generation device, such as an identity issuing agency, which is an entity separate from the control provider, the data engine, the person, and the service provider.

Aus Sicht des Nutzers können Verhaltensdaten, die das eigene Verhalten des Nutzers repräsentieren, mit einer nicht-identifizierenden (d. h. anonymen) Nutzer-ID personalisiert werden, die verhindert, dass die physische oder rechtliche Identität, die der Nutzer ist, identifiziert wird. Darum kann der Nutzer jene Verhaltensdaten zu einer Datenmaschine hochladen, die für mehrere Dienstanbieter zugänglich ist, ohne Risiko, dass die Verhaltensdaten dem Nutzer zugeordnet werden können (d. h. durch namentliche Nennung). Somit kann der Nutzer in den Genuss der Dienste eines oder mehrerer Dienstanbieter kommen, die die Verhaltensdaten, die auf den Nutzer personenbezogen sind, nutzen, ohne dass der Nutzer identifizierbar ist.From the user's perspective, behavioral data representing the user's own behavior may be personalized with a non-identifying (i.e., anonymous) user ID that prevents the physical or legal identity that the user is from being identified. Therefore, the user may upload that behavior data to a data engine that is accessible to multiple service providers without risking that the behavioral data may be associated with the user (i.e., by name naming). Thus, the user can enjoy the services of one or more service providers who use the behavioral data pertaining to the user personally, without the user being identifiable.

Verhaltensdaten können eine gemessene physische Eigenschaft des Nutzers repräsentieren, oder können eine Interaktion des Nutzers mit Infrastruktur repräsentieren, die als eine Quelle von Verhaltensdaten dienen. Zum Beispiel können Verhaltensdaten eine Interaktion des Nutzers mit einer Vorrichtung repräsentieren, die dafür konfiguriert ist, Daten, die die Interaktion darstellen, an die Datenmaschine zu übergeben, zum Beispiel in einer Datenstruktur, die die Daten, die die Interaktion darstellen, mit der anonymen Nutzer-ID des Nutzers verknüpft. Die Verhaltensdaten sind personalisiert, indem sie mit einer Person verlinkt oder verknüpft sind, wobei die Person der Nutzer ist, der durch die anonyme Nutzer-ID repräsentiert wird. Darum sind die durch den Datenspeicher gespeicherten Verhaltensdaten insofern personalisiert, als sie mit einer Person verlinkt oder verknüpft oder ihr zuordnungsfähig sind, wenn auch einer Person, die nur durch eine anonyme Nutzer-ID repräsentiert wird, und somit einer Person, die mit einem einzelnen Nutzer nur durch eine Entität verlinkt werden kann, die die Abbildung einer anonymen Nutzer-ID auf die Nutzer-ID kennt.Behavioral data may represent a measured physical characteristic of the user, or may represent a user interaction with infrastructure that serves as a source of behavioral data. For example, behavioral data may represent an interaction of the user with a device configured to pass data representing the interaction to the data engine, for example, in a data structure representing the data representing the interaction with the anonymous user ID of the user linked. The behavioral data is personalized by being linked or linked to a person, the person being the user represented by the anonymous user ID. Therefore, the behavioral data stored by the data store is personalized insofar as it is linked to or linked to or assignable to a person, albeit a person who is represented only by an anonymous user ID, and thus a person with a single user can only be linked by an entity that knows the mapping of an anonymous user ID to the user ID.

Die Zugriffskontrolleinheit ist dafür konfiguriert, dem Dienstanbieter die gespeicherten personalisierten Verhaltensdaten konfigurierbar zugänglich zu machen, wenn von einem der Dienstanbieter eine Anforderung für Daten erhalten wird, in der die anonyme Nutzer-ID spezifiziert ist, mit der die angeforderten Daten anonym personalisiert wurden. „Konfigurierbar zugänglich” meint zugänglich gemäß konfigurierbaren Beschränkungen. In Ausführungsformen sind die Beschränkungen durch den Kontrollanbieter bei Erhalt von Zugriffskontrolleinheit-Konfigurationsanforderungen von dem Nutzer konfigurierbar. Die Beschränkungen sind durch den Kontrollanbieter konfigurierbar und werden durch die Zugriffskontrolleinheit durchgesetzt oder implementiert.The access control unit is configured to make the stored personalized behavior data configurably accessible to the service provider when a request is received from one of the service providers for data specifying the anonymous user ID with which the requested data has been personalized anonymously. "Configurable Accessible" means accessible according to configurable restrictions. In embodiments, the restrictions are configurable by the control provider upon receipt of access control unit configuration requests from the user. The restrictions are configurable by the control provider and enforced or implemented by the access control unit.

Es kann sein, dass die Datenmaschine Datenschreibanforderungen von Dienstanbietern nicht akzeptiert. Zum Beispiel kann es sein, dass die Datenmaschine dafür konfiguriert ist, nur Datenleseanforderungen als Datenzugriffsanforderungen zu empfangen. Zum Beispiel kann die Datenmaschine Dienstanbietern eine Schnittstelle zum Empfangen von Datenzugriffsanforderungen bieten, die auf Datenleseanforderungen beschränkt ist. Somit können in Ausführungsformen Datenzugriffsanforderungen einfach als Datenleseanforderungen bezeichnet werden.It may be that the data engine does not accept data write requests from service providers. For example, the data engine may be configured to receive only data read requests as data access requests. For example, the data engine may provide service providers with an interface for receiving data access requests that is limited to data read requests. Thus, in embodiments, data access requests may simply be referred to as data read requests.

Optional dient die Zugriffskonfigurationseinstellung dem Aktivieren oder Deaktivieren des Zugriffs durch den spezifizierten der Dienstanbieter auf die personalisierten Verhaltensdaten, die mit der erhaltenen anonymen Nutzer-ID personalisiert wurden.Optionally, the access configuration setting serves to enable or disable access by the specified one of the service providers the personalized behavioral data that has been personalized with the received anonymous user ID.

Vorteilhafterweise gibt der Kontrollanbieter dem Nutzer einen Mechanismus in die Hand, mit dem er den Zugriff auf die in der Datenmaschine gespeicherten anonymisierten personalisierten Verhaltensdaten des Nutzers für jeden Dienstanbieter einzeln deaktivieren und aktivieren kann, ohne die Erlaubnis, die Einwilligung oder das Zutun des Dienstanbieters zu benötigen.Advantageously, the control provider provides the user with a mechanism by which he can individually disable and activate access to the user's anonymized personalized behavior data stored in the data machine for each service provider without requiring the service provider's permission, consent or intervention ,

Optional spezifiziert die Zugriffskonfigurationskontrollanforderung eine Einstellungsanwendungsbedingung, wobei die Zugriffskontrolleinheit dafür konfiguriert ist, die spezifizierte Zugriffskonfigurationseinstellung selektiv in Abhängigkeit davon anzuwenden, ob die angeforderten Daten die Einstellungsanwendungsbedingung erfüllen.Optionally, the access configuration control request specifies a setting application condition, wherein the access control unit is configured to selectively apply the specified access configuration setting depending on whether the requested data satisfies the setting application condition.

In Ausführungsformen, in denen die Zugriffskontrolleinheit dafür konfiguriert ist, Zugriffskonfigurationseinstellungen in einer selektiven Weise über Einstellungsanwendungsbedingungen anzuwenden, die von dem Nutzer kommend über den Kontrollanbieter empfangen wurden, erhält der Nutzer vorteilhafterweise die Kontrolle darüber, welche datenspezifischen Konfigurationseinstellungen gelten sollen. Oder anders ausgedrückt: Die Zugriffskonfigurationseinstellung weist die Zugriffskontrolleinheit an, den Zugriff in einer bestimmten Weise einzuschränken, und die Anwendungsbedingung weist die Zugriffskontrolleinheit an, auf welche Daten die Einschränkung anzuwenden ist.In embodiments in which the access control unit is configured to apply access configuration settings in a selective manner via settings application conditions received from the user via the control provider, the user advantageously gains control over which data specific configuration settings should apply. In other words, the access configuration setting instructs the access control unit to restrict the access in a certain way, and the application condition instructs the access control unit to which data the restriction is to be applied.

Optional werden die Verhaltensdaten gemäß einer hierarchischen Taxonomie kategorisiert; und die Einstellungsanwendungsbedingung spezifiziert einen Bereich der hierarchischen Taxonomie.Optionally, the behavioral data is categorized according to a hierarchical taxonomy; and the setting application condition specifies a range of the hierarchical taxonomy.

Eine hierarchische Taxonomie ist eine Struktur von Kategorien, in die die Verhaltensdaten kategorisiert werden. Die gleichen Verhaltensdaten können in mehr als eine Kategorie innerhalb der hierarchischen Taxonomie kategorisiert werden. Die hierarchische Taxonomie kann in Klassen unterteilt sein, wobei jede Klasse eine oder mehrere Unterklassen umfasst. Eine solche Taxonomie kann mehrere Ebenen haben, beispielsweise Sub-Unterklassen.A hierarchical taxonomy is a structure of categories into which the behavioral data is categorized. The same behavioral data can be categorized into more than one category within the hierarchical taxonomy. The hierarchical taxonomy may be divided into classes, each class comprising one or more subclasses. Such a taxonomy can have multiple levels, such as sub-subclasses.

Optional dient die Zugriffskonfigurationseinstellung dazu, den Zugriff zu deaktivieren, bis Verhaltensdaten entfernt wurden, die die Einstellungsanwendungsbedingung erfüllen.Optionally, the access configuration setting is used to disable access until behavior data that meets the setting application condition has been removed.

Vorteilhafterweise erlauben solche Ausführungsformen es einem Nutzer, selektiv vergessen zu werden. Das heißt, weil die Zugriffskonfigurationseinstellung für eine spezifizierte Teilmenge von Daten gilt (jene, die die Einstellungsanwendungsbedingung erfüllen), kann ein Nutzer eine Zugriffskonfigurationseinstellung über den Kontrollanbieter übermitteln, die angibt, dass eine Teilmenge aus anonymisierten personalisierten Verhaltensdaten, die mit einer bestimmten anonymen Nutzer-ID verknüpft sind, aus der Datenmaschine entfernt werden sollen.Advantageously, such embodiments allow a user to be selectively forgotten. That is, because the access configuration setting applies to a specified subset of data (those that satisfy the settings application condition), a user may submit an access configuration setting via the control provider indicating that a subset of anonymized personalized behavior data associated with a particular anonymous user ID are to be removed from the data engine.

Optional werden die Verhaltensdaten durch die Datenmaschine in Verbindung mit Metadaten gespeichert, die einen Wert von einer oder mehreren Eigenschaften unter Datenempfangszeit, Datengenerierungszeit, Datengenerierungsort, Datentyp, Aktivität und Datengenerierungsvorrichtungsmodell-Informationen spezifizieren; und die Einstellungsanwendungsbedingung ist ein spezifizierter Bereich von Werten einer der einen oder mehreren Eigenschaften.Optionally, the behavioral data is stored by the data engine in association with metadata that specifies a value of one or more of data reception time, data generation time, data generation location, data type, activity, and data generation device model information; and the adjustment application condition is a specified range of values of one of the one or more properties.

Vorteilhafterweise verleihen solche Ausführungsformen dem Nutzer noch größere Kontrolle darüber, welche Zugriffskonfigurationseinstellungen auf welche anonymisierten personalisierten Verhaltensdaten, die in der Datenmaschine gespeichert sind, anzuwenden sind.Advantageously, such embodiments give the user even greater control over which access configuration settings to apply to which anonymized personalized behavior data stored in the data engine.

Optional ist der Kontrollanbieter dafür konfiguriert, Identifizierungsinformationen zu empfangen, welche die Identität eines Nutzers identifizieren, eine Identitätsanforderung, die den empfangenen Identifizierungsinformationen entspricht, an eine ID-Generierungsvorrichtung zu übermitteln, im Gegenzug eine anonyme Nutzer-ID zu empfangen, und die anonyme Nutzer-ID an den Nutzer auszugeben.Optionally, the control provider is configured to receive identification information identifying a user's identity, transmitting an identity request corresponding to the received identification information to an ID generation device, in return receiving an anonymous user ID, and the anonymous user ID. ID to the user.

Des Weiteren kann das System eine ID-Generierungsvorrichtung enthalten, die dafür konfiguriert ist, die anonyme Nutzer-ID durch Ausführen eines unumkehrbaren Prozesses als Antwort auf das Empfangen der Anforderung zu erzeugen und die anonyme Nutzer-ID an den Nutzer über den Kontrollanbieter auszugeben.Further, the system may include an ID generation device configured to generate the anonymous user ID by executing an irreversible process in response to receiving the request and output the anonymous user ID to the user via the control provider.

Die Entitäten, die die Fähigkeit besitzen, den Nutzer mit personenbezogenen Identifizierungsinformationen zu verknüpfen, welche die Identität des Nutzers offenbaren (wobei „Identität des Nutzers” die konkrete physische Daseinsform oder Rechtsperson meint, die der Nutzer ist), sind im Prinzip der Kontrollanbieter, eventuell die ID-Generierungsvorrichtung und der Nutzer selbst. Je nach der Implementierung kann der Kontrollanbieter gegebenenfalls eine Liste von Verknüpfungen zwischen personenbezogenen Identifizierungsinformationen und anonymen Nutzer-IDs speichern. Die Anforderung, die den empfangenen Identifizierungsinformationen entspricht, die durch den Kontrollanbieter an die ID-Generierungsvorrichtung übermittelt werden, können einige oder alle der empfangenen Identifizierungsinformationen enthalten, eventuell in einer verarbeiteten Form. Alternativ kann die Anforderung, die den empfangenen Identifizierungsinformationen entspricht, einfach eine nicht-identifizierende Anforderung sein, die keine der empfangenen Identifizierungsinformationen enthält, sondern durch den Empfang der Identifizierungsinformationen ausgelöst wird. Im letzteren Fall besteht die Entsprechung zwischen den Identifizierungsinformationen und der Anforderung darin, dass die Anforderung durch den Empfang der Identifizierungsinformationen ausgelöst wurde. Die ID-Generierungsvorrichtung kann als eine zustandslose Entität realisiert werden und bewahrt in diesem Fall keine empfangenen Identifizierungsinformationen auf, die die Identität eines Nutzers offenbaren. Es kann sogar sein, dass in gar keinem Fall Identifizierungsinformationen durch die ID-Generierungsvorrichtung empfangen werden. Der Kontrollanbieter kann gegebenenfalls (je nach der Implementierung) Identifizierungsinformationen aufbewahren, die die Identität eines Nutzers offenbaren, kann aber in keinem Fall auf die Datenmaschine zugreifen, die die anonymisierten personalisierten Verhaltensdaten speichert, so dass er in der Praxis nicht in der Lage ist, anonymisierte personalisierte Verhaltensdaten mit einem bestimmten Nutzer zu verknüpfen. Der Nutzer kann seine eigenen personalisierten Verhaltensdaten mit seiner eigenen Identität verknüpfen. Personenbezogene Identifizierungsinformationen, personalisierte Identifizierungsinformationen und Identifizierungsinformationen werden in diesem Dokument untereinander austauschbar verwendet.The entities that have the ability to associate the user with personal identification information that reveals the identity of the user (where "user's identity" means the particular physical entity or entity that the user is) are, in principle, the control providers, possibly the ID generation device and the user himself. Depending on the implementation, the control provider may optionally store a list of links between personal identification information and anonymous user IDs. The request corresponding to the received identification information transmitted by the control provider to the ID generation device may include some or all of the received identification information, possibly in a processed form. Alternatively, the request that received the Identification information, simply be a non-identifying request that does not contain any of the received identification information, but is triggered by the receipt of the identification information. In the latter case, the correspondence between the identification information and the request is that the request was triggered by the receipt of the identification information. The ID generation device can be realized as a stateless entity and, in this case, does not retain any received identification information revealing the identity of a user. It may even be that under no circumstances will identification information be received by the ID generation device. The control provider may, as appropriate, retain (depending on the implementation) identifying information that reveals the identity of a user, but in no case can access the data engine storing the anonymized personalized behavior data so that it is unable to anonymize in practice to associate personalized behavioral data with a specific user. The user can associate his own personalized behavioral data with his own identity. Personal identification information, personalized identification information, and identification information are used interchangeably in this document.

Dass der Kontrollanbieter die anonyme Nutzer-ID im Gegenzug empfängt, meint den Empfang der anonymen Nutzer-ID im Gegenzug für die übermittelte Anforderung. Folglich ist die Reaktion der ID-Generierungsvorrichtung auf den Empfang der Anforderung das Generieren einer anonymen Nutzer-ID und das Ausgeben der generierten anonymen Nutzer-ID an den Kontrollanbieter. ID und Identität meinen in diesem Dokument das gleiche.The control provider receiving the anonymous user ID in return means receiving the anonymous user ID in return for the submitted request. Thus, the response of the ID generation device to receiving the request is generating an anonymous user ID and issuing the generated anonymous user ID to the control provider. ID and identity mean the same in this document.

Die anonyme Nutzer-ID ist einmalig, so dass keine zwei Nutzer die gleiche anonyme Nutzer-ID zugeteilt bekommen. Die ID-Generierungsvorrichtung kann dafür konfiguriert sein, eine unumkehrbare Hash-Funktion auszuführen, um die übermittelten Identifizierungsinformationen auf einen viel größeren anonymen Nutzer-ID-Raum abzubilden (d. h. keine zwei verschiedenen Versionen von Identifizierungsinformationen führen zur selben anonymen Nutzer-ID). Die Identifizierungsinformationen sind Informationen, die ausreichen, um den Nutzer aus einer Population potenzieller Systemnutzer zu identifizieren. Ein Zufallselement kann in die Generierung der anonymen Nutzer-ID aus den übermittelten Identifizierungsinformationen eingebunden werden.The anonymous user ID is unique, so no two users are assigned the same anonymous user ID. The ID generation device may be configured to perform an irreversible hash function to map the communicated identification information to a much larger anonymous user ID space (i.e., no two different versions of identification information result in the same anonymous user ID). The identifying information is information sufficient to identify the user from a population of potential system users. A random element can be included in the generation of the anonymous user ID from the transmitted identification information.

In Ausführungsformen, in denen die Anforderung von dem Kontrollanbieter an die ID-Generierungsvorrichtung nicht-identifizierend ist, was als eine anonymisierte Anforderung bezeichnet werden kann, kann es sein, dass die ID-Generierungsvorrichtung Zeit- und/oder Datumsinformationen von einer Systemuhr zum Zeitpunkt der Generierung der anonymen Nutzer-ID als Antwort auf die empfangene Anforderung extrahiert und dass eine unumkehrbare Hash-Funktion verwendet wird, die verhindert, dass jeweils zwei verschiedene Instanzen extrahierter Zeit- und/oder Datumsinformationen auf dieselbe anonyme Nutzer-ID abgebildet werden.In embodiments in which the request from the control provider to the ID generation device is non-identifying, which may be referred to as an anonymized request, the ID generation device may receive time and / or date information from a system clock at the time of Extraction of the anonymous user ID in response to the received request and that an irreversible hash function is used, which prevents two different instances of extracted time and / or date information are mapped to the same anonymous user ID.

Optional kann jeder der mehreren Dienstanbieter mit der ID-Generierungsvorrichtung angemeldet werden. Die Datenmaschine kann dafür konfiguriert sein, Dienstanbieter zu zertifizieren, dass Datenzugriffsanforderungen an die ID-Generierungsvorrichtung stellen. Optional kann es sein, dass keine solche Zertifizierung erforderlich ist.Optionally, each of the multiple service providers may be enrolled with the ID generation device. The data engine may be configured to certify service providers that provide data access requests to the ID generation device. Optionally, no such certification may be required.

Optional ist die spezifizierte Zugriffskonfigurationseinstellung eine oder mehr Zugriffsbestimmungen. Die Zugriffskontrolleinheit konfiguriert den Zugriff durch den spezifizierten der Dienstanbieter auf die personalisierten Verhaltensdaten, die mit der anonymen Nutzer-ID personalisiert wurden, gemäß der Zugriffskonfigurationseinstellung durch Ermöglichen des Zugriffs durch den spezifizierten der Dienstanbieter unter der Bedingung der Zustimmung durch den spezifizierten der Dienstanbieter zu der einen oder den mehreren Zugriffsbestimmungen. Des Weiteren kann es sein, dass eine der einen oder mehreren Zugriffsbestimmungen eine Geldzahlung von dem spezifizierten Dienstanbieter an den Nutzer ist.Optionally, the specified access configuration setting is one or more access policies. The access control unit configures the access by the specified one of the service providers to the personalized behavior data personalized with the anonymous user ID according to the access configuration setting by allowing access by the specified one of the service providers on the condition of the approval of the specified one of the service providers or the multiple access provisions. Furthermore, one of the one or more access policies may be a cash payment from the specified service provider to the user.

Vorteilhafterweise ermöglichen solche Ausführungsformen es dem Nutzer, einen Nutzen (einen anderen als den Dienst, der durch den Dienstanbieter erbracht wird) daraus zu ziehen, dass dem spezifizierten Dienstanbieter die Nutzerdaten (oder eine bestimmte Teilmenge davon durch eine entsprechende oder zugehörige Einstellungsanwendungsbedingung) verfügbar gemacht werden. Der Nutzen kann zum Beispiel darin liegen, dass beim Zugriff auf angeforderte Daten eine Geldgebühr von dem Dienstanbieter an den Nutzer fällig wird. Die eine oder die mehren Bestimmungen können sich auf bestimmte Daten (die durch eine entsprechende oder zugehörige Einstellungsanwendungsbedingung spezifiziert wird) und/oder auf einen bestimmten Zeitraum beziehen, während dem sie auf Datenzugriffsanforderungen durch den Dienstanbieter anzuwenden sind. Die eine oder die mehren Bestimmungen können sein einen Einschränkung auf Verwendung von Daten durch den Dienstanbieter. Die eine oder die mehren Bestimmungen können eine Zustimmung durch den Dienstanbieter sein, einen Dienst für den Nutzer zu erbringen. Die eine oder die mehren Bestimmungen können eine Zustimmung durch den Dienstanbieter sein, ein eine spezifizierte Dienststufe für den Nutzer zu erbringen. Die eine oder die mehren Bestimmungen können für einen spezifizierten Zeitraum gelten.Advantageously, such embodiments allow the user to derive a benefit (other than the service provided by the service provider) from making available to the specified service provider the user data (or a particular subset thereof by a corresponding or associated setting application condition) , The benefit may be, for example, that when accessing requested data, a fee is payable by the service provider to the user. The one or more determinations may relate to particular data (specified by a corresponding or associated settings application condition) and / or to a particular period of time during which they are to be applied to data access requests by the service provider. The one or more determinations may be a limitation on the use of data by the service provider. The one or more destinations may be an approval by the service provider to provide a service to the user provide. The one or more determinations may be an approval by the service provider to provide a specified service level to the user. The one or more provisions may apply for a specified period of time.

Optional ist die Datenmaschine dafür konfiguriert, für jede anonyme Nutzer-ID eine Aufzeichnung von Datenzugriffsanforderungen zu führen, die durch die Zugriffskontrolleinheit für anonymisierte personalisierte Verhaltensdaten zugelassen wird, die mit der anonymen Nutzer-ID von jedem der Dienstanbieter anonymisiert wurden, und die Aufzeichnung periodisch und/oder als Antwort auf ein Auslöseereignis an den Kontrollanbieter zu übertragen.Optionally, the data engine is configured to maintain, for each anonymous user ID, a record of data access requests permitted by the anonymized personalized behavior data access control unit anonymized by the anonymous user ID of each of the service providers and the record periodically and / or to the control provider in response to a triggering event.

Datenzugriffsanforderungen, die durch die Zugriffskontrolleinheit zugelassen werden, sind jene durch die Zugriffskontrolleinheit empfangenen Datenzugriffsanforderungen, auf deren Veranlassung dem Dienstanbieter (von dem die Datenzugriffsanforderung empfangen wurde) durch die Zugriffskontrolleinheit einige oder alle angeforderten Daten verfügbar gemacht werden. Der Kontrollanbieter kann die Aufzeichnung dafür verwenden, Gebühren zu bestimmen, die dem Dienstanbieter im Auftrag des Nutzers, der der anonymen Nutzer-ID entspricht, in Rechnung zu stellen sind. Die Aufzeichnung kann dem Nutzer, der der anonymen Nutzer-ID entspricht, durch den Kontrollanbieter bereitgestellt werden. Zum Beispiel wird der Nutzer auf diese Weise darüber informiert, wie seine personalisierten Verhaltensdaten genutzt werden.Data access requests permitted by the access control unit are those data access requests received by the access control unit at the request of which the service provider (from which the data access request was received) is made available by the access control unit some or all of the requested data. The control provider may use the record to determine fees to be charged to the service provider on behalf of the user corresponding to the anonymous user ID. The record may be provided to the user corresponding to the anonymous user ID by the control provider. For example, the user will be informed in this way how his personalized behavioral data will be used.

Optional ist die Zugriffskontrolleinheit dafür konfiguriert, von einem der Dienstanbieter eine Anforderung für Daten, die eine oder mehrere anonyme Nutzer-IDs spezifiziert, mit denen die angeforderten Daten anonym personalisiert wurden, und einen Datenbereich zu empfangen und auf die Anforderung damit zu reagieren, dass für jede der einen oder mehreren anonymen Nutzer-IDs aus dem Datenspeicher anonymisierte personalisierte Verhaltensdaten, die in Verbindung mit der anonymen Nutzer-ID gespeichert wurden, aus dem spezifizierten Datenbereich gemäß Zugriffskontrolleinstellungen abgerufen werden, die für den Dienstanbieter in Zugriffskontrolleinheit-Konfigurationsanforderungen empfangen wurden, die mit der anonymen Nutzer-ID übertragen wurden, und die abgerufenen Daten an den anfordernden Dienstanbieter als ein vereinte Ausgabe ausgegeben werden.Optionally, the access control unit is configured to receive from a service provider a request for data specifying one or more anonymous user IDs that anonymously personalize the requested data and a data area, and to respond to the request that retrieving each of the one or more anonymous user IDs from the data store anonymized personalized behavior data stored in association with the anonymous user ID from the specified data area according to access control settings received for the service provider in access control unit configuration requests associated with of the anonymous user ID, and the retrieved data is output to the requesting service provider as a unified output.

In solchen Ausführungsformen können Daten, die sich auf einen einzelnen Nutzer beziehen, aber mit mehr als einer anonymen Nutzer-ID anonym personalisiert wurden, vereint werden, wenn die mehr als eine anonyme Nutzer-ID bei dem Dienstanbieter angemeldet wird. Für jede anonyme Nutzer-ID können eigenständige Zugriffskontrolleinstellungen spezifiziert werden.In such embodiments, data relating to a single user but anonymously personalized with more than one anonymous user ID may be merged when the more than one anonymous user ID is registered with the service provider. Independent access control settings can be specified for each anonymous user ID.

Optional spezifiziert die Zugriffskontrolleinheit-Konfigurationsanforderung mehr als einen Dienstanbieter unter den Dienstanbietern, und die Zugriffskonfigurationseinstellung gilt für jeden der spezifizierten mehr als einen Dienstanbieter.Optionally, the access control unit configuration request specifies more than one service provider among the service providers, and the access configuration setting applies to each of the specified more than one service provider.

Ausführungsformen enthalten außerdem ein Verfahren zum Speichern von personalisierten Daten und zum Kontrollieren des Zugriffs auf personalisierte Daten, wobei das Verfahren Folgendes umfasst: in einer Datenmaschine, Empfangen anonymisierter personalisierter Verhaltensdaten, Speichern der empfangenen anonymisierten personalisierten Verhaltensdaten in einem Datenspeicher, wobei die anonymisierten personalisierten Verhaltensdaten Verhaltensdaten sind, die das Verhalten eines Nutzers repräsentieren, wobei die Verhaltensdaten mit einer anonymen Nutzer-ID anonym personalisiert werden; Kontrollieren des Zugriffs auf die gespeicherten anonymisierten personalisierten Verhaltensdaten, indem die gespeicherten anonymisierten personalisierten Verhaltensdaten dem Dienstanbieter konfigurierbar zugänglich gemacht werden, wenn von einem der Dienstanbieter eine Anforderung für Daten erhalten wird, in der die anonyme Nutzer-ID spezifiziert ist, mit der die angeforderten Daten anonym personalisiert wurden, wobei die Dienstanbieter von der Datenmaschine getrennte Entitäten sind; in einem Kontrollanbieter, einer von der Datenmaschine getrennten Entität, Empfangen, von einem identifizierten Nutzer, einer Zugriffskontrolleinheit-Konfigurationsanforderung, die einen der Dienstanbieter und eine Zugriffskonfigurationseinstellung spezifiziert, und Übertragen der Zugriffskontrolleinheit-Konfigurationsanforderung an die Datenmaschine mit der anonymen Nutzer-ID des identifizierten Nutzers; und in der Datenmaschine, Empfangen der Zugriffskontrolleinheit-Konfigurationsanforderung und Konfigurieren des Zugriffs durch den spezifizierten der Dienstanbieter auf die personalisierten Verhaltensdaten, die mit der anonymen Nutzer-ID personalisiert wurden, gemäß der Zugriffskonfigurationseinstellung.Embodiments also include a method of storing personalized data and controlling access to personalized data, the method comprising: at a data engine, receiving anonymized personalized behavior data, storing the received anonymized personalized behavior data in a data store, wherein the anonymized personalized behavior data includes behavioral data are that represent the behavior of a user, the behavioral data being anonymously personalized with an anonymous user ID; Controlling access to the stored anonymized personalized behavioral data by the stored anonymized personalized behavior data is made configurable to the service provider when one of the service providers receives a request for data specifying the anonymous user ID that anonymously personalizes the requested data, the service providers being separate entities from the data engine; in a control provider, an entity separate from the data machine, receiving, from an identified user, an access control unit configuration request specifying one of the service providers and an access configuration setting, and transmitting the access control unit configuration request to the data engine with the anonymous user ID of the identified user ; and in the data engine, receiving the access control unit configuration request and configuring the access by the specified one of the service providers to the personalized behavior data that has been personalized with the anonymous user ID according to the access configuration setting.

Ausführungsformen enthalten außerdem ein Computerprogramm, das, wenn es durch untereinander verbundene Computervorrichtungen ausgeführt wird, bewirkt, dass die untereinander verbundenen Computervorrichtungen ein Verfahren zum Speichern von personalisierten Daten und zum Kontrollieren des Zugriffs auf personalisierte Daten auszuführen, wobei das Verfahren Folgendes umfasst: in einer Datenmaschine, Empfangen anonymisierter personalisierter Verhaltensdaten, Speichern der empfangenen anonymisierten personalisierten Verhaltensdaten in einem Datenspeicher, wobei die anonymisierten personalisierten Verhaltensdaten Verhaltensdaten sind, die das Verhalten eines Nutzers repräsentieren, wobei die Verhaltensdaten mit einer anonymen Nutzer-ID anonym personalisiert werden; Kontrollieren des Zugriffs auf die gespeicherten anonymisierten personalisierten Verhaltensdaten, indem die gespeicherten anonymisierten personalisierten Verhaltensdaten dem Dienstanbieter konfigurierbar zugänglich gemacht werden, wenn von einem der Dienstanbieter eine Anforderung für Daten erhalten wird, in der die anonyme Nutzer-ID spezifiziert ist, mit der die angeforderten Daten anonym personalisiert wurden, wobei die Dienstanbieter von der Datenmaschine getrennte Entitäten sind; in einem Kontrollanbieter, einer von der Datenmaschine getrennten Entität, Empfangen, von einem identifizierten Nutzer, einer Zugriffskontrolleinheit-Konfigurationsanforderung, die einen der Dienstanbieter und eine Zugriffskonfigurationseinstellung spezifiziert, und Übertragen der Zugriffskontrolleinheit-Konfigurationsanforderung an die Datenmaschine mit der anonymen Nutzer-ID des identifizierten Nutzers; und in der Datenmaschine, Empfangen der Zugriffskontrolleinheit-Konfigurationsanforderung und Konfigurieren des Zugriffs durch den spezifizierten der Dienstanbieter auf die personalisierten Verhaltensdaten, die mit der anonymen Nutzer-ID personalisiert wurden, gemäß der Zugriffskonfigurationseinstellung.Embodiments also include a computer program that, when executed by interconnected computing devices, causes the interconnected computer devices to perform a method of storing personalized data and controlling access to personalized data, the method comprising: in a data engine , Receiving anonymized personalized behavioral data, storing the received anonymized personalized behavioral data in a data store, the anonymized personalized behavioral data being behavioral data representing a user's behavior, the behavioral data being anonymously personalized with an anonymous user ID; Controlling access to the stored anonymized personalized behavior data by making the stored anonymized personalized behavior data configurable to the service provider when one of the service providers obtains a request for data specifying the anonymous user ID with which the requested data is requested anonymized, the service providers being separate entities from the data engine; in a control provider, an entity separate from the data machine, receiving, from an identified user, an access control unit configuration request specifying one of the service providers and an access configuration setting, and transmitting the access control unit configuration request to the data engine with the anonymous user ID of the identified user ; and in the data engine, receiving the access control unit configuration request and configuring the access by the specified one of the service providers to the personalized behavior data that has been personalized with the anonymous user ID according to the access configuration setting.

Es folgt nun eine detaillierte Beschreibung konkreter Ausführungsformen mit Bezug auf die begleitenden Zeichnungen, in denen Folgendes zu sehen ist:There now follows a detailed description of specific embodiments with reference to the accompanying drawings, in which:

1 veranschaulicht ein System, das die vorliegende Erfindung verkörpert; 1 Fig. 10 illustrates a system embodying the present invention;

2 veranschaulicht ein System, das die vorliegende Erfindung verkörpert, und einen beispielhaften Datenfluss in dem System; 2 FIG. 12 illustrates a system embodying the present invention and an exemplary data flow in the system; FIG.

3 veranschaulicht beispielhafte Hardware. 3 illustrates example hardware.

1 veranschaulicht ein System einer Ausführungsform. Das System umfasst einen Kontrollanbieter 14 und eine Datenmaschine 20. Optional kann das System auch eine ID-Generierungsvorrichtung 12 („ID” wird in diesem Dokument als Kurzform für „Identität”) umfassen (in 1 nicht gezeigt). Des Weiteren sind mehrere Dienstanbieter 30 und ein Nutzer 40 veranschaulicht, um die Nutzung des Systems zu demonstrieren. Je nach der Implementierung können die Dienstanbieter als Teil des Systems angesehen werden. 1 illustrates a system of one embodiment. The system includes a control provider 14 and a data engine 20 , Optionally, the system may also include an ID generation device 12 ("ID" in this document is short for "identity") (in 1 Not shown). Furthermore, there are several service providers 30 and a user 40 illustrated to demonstrate the use of the system. Depending on the implementation, the service providers may be considered part of the system.

Die Datenmaschine 20 umfasst einen Datenspeicher 22 und eine Zugriffskontrolleinheit 24.The data engine 20 includes a data store 22 and an access control unit 24 ,

Die Datenmaschine 20 kann durch einen einzelnen Server oder durch ein Netzwerk von Servern realisiert werden. Genauer gesagt, kann die Zugriffskontrolleinheit 24 ein einzelner Server sein, wobei der Datenspeicher 22 durch mehrere untereinander verbundene Speichereinheiten gebildet wird. Alternativ kann die Zugriffskontrolleinheit 24 ein Dienst sein, der durch mehrere Datenspeicherserver erbracht wird, die im Zusammenwirken miteinander arbeiten, so dass die mehreren Datenspeicherserver die Datenmaschine 20 sind, die die Funktion sowohl des Datenspeichers 22 als auch der Zugriffskontrolleinheit 24 ausführen.The data engine 20 can be realized by a single server or by a network of servers. More specifically, the access control unit 24 be a single server, with the data store 22 is formed by a plurality of interconnected memory units. Alternatively, the access control unit 24 a service that is provided by multiple data storage servers that work in concert so that the multiple data storage servers are the data engine 20 that are the function of both the data store 22 as well as the access control unit 24 To run.

Der Datenaustausch über das Internet oder ein anderes Netzwerk zwischen Entitäten des Systems und/oder Entitäten außerhalb des Systems kann verschlüsselt werden.The exchange of data over the Internet or other network between entities of the system and / or entities outside the system may be encrypted.

Der Kontrollanbieter 14 ist ein Server oder eine andere vernetzte Computervorrichtung, auf die Personen an unterschiedlichen geografischen Orten zum Beispiel über das Internet zugreifen können. Der Server hat Netzwerk-E/A-Funktionalität, einen Speicher, einen Prozessor, der dafür konfiguriert ist, ein Programm zum Realisieren der ID-Abrufvorrichtungsfunktionalität auszuführen, und eine Speichereinheit, die mindestens dafür konfiguriert ist, das Programm (in codierter Form) zu speichern. Der Kontrollanbieter 14 ist eine von der Datenmaschine 20 getrennte Entität. Der Kontrollanbieter 14 und die Datenmaschine 20 sind Teil eigenständiger Computerumgebungen, so dass jede eine unabhängige Sicherheitsinfrastruktur besitzt.The control provider 14 is a server or other networked computing device that people at different geographic locations can access, for example, over the Internet. The server has network I / O functionality, a memory, a processor configured to execute a program for implementing the ID retrieval device functionality, and a storage unit configured at least to associate the program (in coded form) to save. The control provider 14 is one of the data engine 20 separate entity. The control provider 14 and the data engine 20 are part of stand-alone computing environments, so each one has an independent security infrastructure.

Die Dienstanbieter 30 sind Vorrichtungen, die Dienste für Nutzer des Systems erbringen. Die Dienstanbieter sind gegenüber der Datenmaschine 20 und dem Kontrollanbieter 14 eigenständige Entitäten. Die Dienstanbieter 30 sind Vorrichtungen, die Daten-basierte Dienste für Nutzer erbringen. Die Dienstanbieter besitzen jeweils Mechanismen zum Anmelden von Nutzern (über eine anonyme Nutzer-ID und optional auch einige personenbezogene Identifizierungsinformationen), zum Zugreifen auf die in dem Datenspeicher 22 gespeicherten Daten, zum Verarbeiten der abgerufenen Daten und zum Ausgeben des Ergebnisses der Verarbeitung entweder an einen anderen Dienstanbieter, den Nutzer oder an einen anderen Bestimmungsort.The service providers 30 are devices that provide services to users of the system. The service providers are opposite the data engine 20 and the control provider 14 independent entities. The service providers 30 are devices that provide data-based services to users. The service providers each have mechanisms for logging in users (via an anonymous user ID and optionally also some personal identification information) to access the data store 22 stored data, for processing the retrieved data and outputting the result of the processing either to another service provider, the user or to another destination.

Der Dienstanbieter 30 ist eine Partei mit einer Diensterbringungsvorrichtung wie zum Beispiel einem Server, mit dem anonymisierte personalisierte Verhaltensdaten einer bestimmten Person verarbeitet werden und die Ergebnisse dieser Verarbeitung, verwendet werden, um einen Dienst für den Nutzer zu erbringen, zu dem die Person gehört (wobei die Person durch eine anonyme Nutzer-ID repräsentiert wird). Der Dienstanbieter 30 kann ein Server sein, der mit der Datenmaschine 20 über ein Netzwerk, zum Beispiel das Internet, über eine Verbindung verbunden werden kann, die verschlüsselt werden kann. Ein PKI(Public Key Infrastructure)-System oder eine Alternative kann im Auftrag der Datenmaschine 20 betrieben werden, um die Identität des Dienstanbieters 30 zu authentifizieren.The service provider 30 is a party to a service providing device, such as a server, which processes anonymized personalized behavioral data of a particular person and uses the results of that processing to provide a service to the user to which the person belongs (the person being referred to) an anonymous user ID is represented). The service provider 30 can be a server running the data machine 20 via a network, such as the Internet, can be connected via a connection that can be encrypted. A Public Key Infrastructure (PKI) system or an alternative may be on behalf of the data engine 20 operated to the identity of the service provider 30 to authenticate.

Der Nutzer 40 ist eine Person, die durch personenbezogene Identifizierungsinformationen als ein bestimmter Mensch oder eine bestimmte Rechtsperson identifizierbar ist. Der Nutzer 40 ist ein Systemnutzer, und im Kontext dieses Dokuments ist der Begriff „Nutzer” mit dem Begriff „Person” (Individual) oder dem Begriff „Systemnutzer” gegeneinander austauschbar. The user 40 is a person identifiable by personal identifying information as a particular person or entity. The user 40 is a system user, and in the context of this document, the term "user" is interchangeable with the term "individual" or the term "system user".

In 1 sind konkrete Zwischenverbindungen veranschaulicht. Die Zwischenverbindungen sind eine nicht-ausschließliche Darstellung beispielhafter Datenaustauschprozesse innerhalb und unter Einbeziehung des Systems.In 1 concrete interconnections are illustrated. The interconnections are a non-exclusive illustration of exemplary data exchange processes within and involving the system.

Eine Zwischenverbindung ist zwischen dem Nutzer 40 und dem Datenspeicher 22 veranschaulicht. Die Datenmaschine 20 ist dafür konfiguriert, anonymisierte personalisierte Verhaltensdaten von einem Nutzer (über eine oder mehrere Vorrichtungen) zu empfangen und diese anonymisierten personalisierten Verhaltensdaten in dem Datenspeicher 22 zu speichern. Obgleich als eine direkte Zwischenverbindung zwischen dem Nutzer 40 und dem Datenspeicher 22 veranschaulicht, können die anonymisierten personalisierten Verhaltensdaten auch durch eine Quellenvorrichtung generiert werden, das heißt eine Vorrichtung, die mit dem Nutzer interagiert, um Verhaltensdaten zu generieren. Die Zwischenverbindung kann zum Beispiel über das Internet realisiert werden.An interconnect is between the user 40 and the data store 22 illustrated. The data engine 20 is configured to receive anonymized personalized behavior data from a user (via one or more devices) and that anonymized personalized behavior data in the data store 22 save. Although as a direct interconnection between the user 40 and the data store 22 1, the anonymized personalized behavior data may also be generated by a source device, that is, a device that interacts with the user to generate behavioral data. The interconnection can be realized, for example, over the Internet.

Die Quellenvorrichtung kann Daten generieren, die eine Interaktion mit dem Nutzer darstellen. Die Daten können durch die Quellenvorrichtung an die Datenmaschine 20 übertragen werden. Zum Beispiel kann die Quellenvorrichtung die Funktionalität haben, die anonyme Nutzer-ID mit den Daten zu verknüpfen, die diese Interaktion repräsentieren, und die Daten, die die Interaktion mit der zugehörigen anonymen Nutzer-ID in der Datenmaschine 20 repräsentieren, als anonymisierte personalisierte Verhaltensdaten zu übertragen.The source device may generate data representing interaction with the user. The data may be passed through the source device to the data engine 20 be transmitted. For example, the source device may have the functionality to associate the anonymous user ID with the data representing that interaction and the data that interacts with the associated anonymous user ID in the data engine 20 represent as anonymized to transfer personalized behavioral data.

Alternativ können die durch die Quellenvorrichtung generierten Daten, die die Interaktion mit dem Nutzer repräsentieren, auf eine Nutzer-Zwischenvorrichtung (wie zum Beispiel ein Mobiltelefon, ein Personalcomputer, ein Tablet oder eine andere Datenkommunikationsvorrichtung) heruntergeladen werden. In der Nutzer-Zwischenvorrichtung können die Daten, die die Interaktion mit dem Nutzer repräsentieren, mit der anonymen Nutzer-ID verknüpft werden, und die Daten, die die Interaktion mit der zugehörigen anonymen Nutzer-ID repräsentieren, können zu der Datenmaschine 20 übertragen werden.Alternatively, the data generated by the source device that represents the interaction with the user may be downloaded to a user intermediate device (such as a mobile phone, a personal computer, a tablet, or other data communication device). In the user intermediate device, the data representing the interaction with the user may be linked to the anonymous user ID, and the data representing the interaction with the associated anonymous user ID may be sent to the data engine 20 be transmitted.

Die Datenmaschine 20 kann einen speziellen Mechanismus zur Verarbeitung empfangener anonymisierter personalisierter Verhaltensdaten haben. Zum Beispiel kann es sein, dass die Datenmaschine Metadaten-Tags, wie zum Beispiel die Datenempfangszeit, an die anonymisierten personalisierten Verhaltensdaten anhängt. Andere Metadaten-Tags kann bereits in den anonymisierten personalisierten Verhaltensdaten vorhanden sein, wenn sie in der Datenmaschine 20 empfangen werden, zum Beispiel Datengenerierungszeit, Datengenerierungsort, Datentyp, Aktivität und Datengenerierungsvorrichtungsmodell-Informationen.The data engine 20 may have a special mechanism for processing received anonymized personalized behavioral data. For example, the data engine may attach metadata tags, such as the data receipt time, to the anonymized personalized behavior data. Other metadata tags may already be present in the anonymized personalized behavioral data when they are in the data engine 20 receive, for example, data generation time, data generation location, data type, activity, and data generation device model information.

Eine Zwischenverbindung ist zwischen dem Nutzer 40 und dem Kontrollanbieter 14 veranschaulicht. Der Kontrollanbieter 14 ist dafür konfiguriert, von einem identifizierten Nutzer eine Zugriffskontrolleinheit-Konfigurationsanforderung zu empfangen, die einen der Dienstanbieter und eine Zugriffskonfigurationseinstellung spezifiziert, und die Zugriffskontrolleinheit-Konfigurationsanforderung an die Datenmaschine mit der anonymen Nutzer-ID des identifizierten Nutzers zu übertragen. Der Kontrollanbieter 14 ist eine Vorrichtung, zum Beispiel ein Server, auf der Software wie zum Beispiel eine Web-Anwendung arbeitet, die für einen Nutzer 40 über das Internet zugänglich ist. Der Kontrollanbieter 14 kann eine Schnittstelle (wie zum Beispiel eine GUI oder eine API) zum Empfangen von Zugriffskonfigurationskontrollanforderungen von Nutzern bereitstellen. Eine solche Schnittstelle kann eine Struktur für Zugriffskonfigurationskontrollanforderungen bereitstellen.An interconnect is between the user 40 and the control provider 14 illustrated. The control provider 14 is configured to receive from an identified user an access control unit configuration request specifying one of the service providers and an access configuration setting, and to transmit the access control unit configuration request to the data engine with the anonymous user ID of the identified user. The control provider 14 is a device, for example a server, on which software such as a web application works for a user 40 accessible via the Internet. The control provider 14 may provide an interface (such as a GUI or API) for receiving user access configuration control requests. Such an interface may provide a structure for access configuration control requests.

Der identifizierte Nutzer kann gegenüber dem Kontrollanbieter identifiziert werden, indem die anonyme Nutzer-ID in die Zugriffskontrolleinheit-Konfigurationsanforderung eingebunden wird. Der identifizierte Nutzer kann gegenüber dem Kontrollanbieter durch personenbezogene Identifizierungsinformationen identifiziert werden, und der Kontrollanbieter ist dafür konfiguriert, diese mit einer anonymen Nutzer-ID zu verknüpfen (zum Beispiel durch Zugreifen auf eine gespeicherte Liste von Verknüpfungen, die durch den Kontrollanbieter gespeichert wird). Der identifizierte Nutzer kann gegenüber dem Kontrollanbieter durch personenbezogene Identifizierungsinformationen identifiziert werden, und der Kontrollanbieter ist dafür konfiguriert, diese an eine ID-Generierungsvorrichtung (eine von dem Kontrollanbieter, der Datenmaschine und dem Dienstanbieter getrennte Entität) im Austausch für eine anonyme Nutzer-ID, die den Nutzer eindeutig identifiziert, zu übermitteln. Die so durch den Kontrollanbieter erhaltene anonyme Nutzer-ID kann an den Nutzer zur Verwendung beim Anmelden für Dienste bei den Dienstanbietern, zum Übermitteln personalisierter Verhaltensdaten in die Datenmaschine (über eine oder mehrere Vorrichtungen) und/oder zum Einbinden in an den Kontrollanbieter übermittelte Zugriffskontrolleinheit-Konfigurationsanforderungen übermittelt werden.The identified user may be identified to the control provider by including the anonymous user ID in the access control unit configuration request. The identified user may be identified to the control provider by personal identification information, and the control provider is configured to associate it with an anonymous user ID (for example, by accessing a stored list of links stored by the control provider). The identified user may be identified to the control provider by personal identification information, and the control provider is configured to send it to an ID generation device (an entity separate from the control provider, the data engine, and the service provider) in exchange for an anonymous user ID uniquely identifies the user. The anonymous user ID thus obtained by the control provider may be sent to the user for use in registering for services with the service providers, transmitting personalized behavior data to the data engine (via one or more devices), and / or incorporating access control units communicated to the control provider. Configuration requirements are transmitted.

Der Kontrollanbieter 14 kann eine Schnittstelle umfassen, um Zugriffskontrolleinheit-Konfigurationsanforderungen zu empfangen, und kann ein Register umfassen, um empfangene Anforderungen zu speichern, bis sie an die Datenmaschine 20 (genauer gesagt, an die Zugriffskontrolleinheit 24) ausgegeben werden können. Der Kontrollanbieter 14 kann auch einen Sender umfassen, der dafür konfiguriert ist, empfangene Zugriffskontrolleinheit-Konfigurationsanforderungen an die Datenmaschine 20 zu übertragen. Der Kontrollanbieter 14 kann dafür konfiguriert sein, einen Teil der Verarbeitung von empfangenen Zugriffskontrolleinheit-Konfigurationsanforderungen vor dem Übertragen an die Datenmaschine 20 auszuführen. Zum Beispiel müssen jegliche Identifizierungsinformationen aus den Zugriffskontrolleinheit-Konfigurationsanforderungen herausgezogen werden, bevor sie an die Datenmaschine 20 übertragen werden. Bestimmte Details können extrahiert und in dem Kontrollanbieter 14 gespeichert werden. Wenn zum Beispiel die Zugriffskontrolleinheit-Konfigurationsanforderung spezifiziert, dass auf Daten zugegriffen werden kann, sobald eine Geldgebühr durch den Dienstanbieter 30 anfällt, so können Bankverbindungsdetails oder Details zu einem Konto mit einem Zahlungsmechanismus, wie zum Beispiel einer Paypal-ID des Nutzers 40, durch den Kontrollanbieter 14 aufbewahrt und mit der anonymen Nutzer-ID, für die die Zugriffskontrolleinheit-Konfigurationsanforderung ausgegeben wurde, verknüpft werden. The control provider 14 may include an interface to receive access control unit configuration requests, and may include a register to store received requests until they are sent to the data engine 20 (more precisely, to the access control unit 24 ) can be issued. The control provider 14 may also include a transmitter configured to receive received access control unit configuration requests to the data engine 20 transferred to. The control provider 14 may be configured to perform a portion of the processing of received access control unit configuration requests prior to transmission to the data engine 20 perform. For example, any identification information must be extracted from the access control unit configuration requests before it is sent to the data engine 20 be transmitted. Certain details can be extracted and stored in the control provider 14 get saved. For example, if the access control unit configuration request specifies that data can be accessed as soon as a toll is charged by the service provider 30 bank details or details about an account with a payment mechanism, such as a user's Paypal ID 40 , by the control provider 14 and associated with the anonymous user ID for which the access control device configuration request was issued.

Eine Zwischenverbindung ist zwischen dem Kontrollanbieter 14 und der Zugriffskontrolleinheit 24 veranschaulicht. Die Zwischenverbindung repräsentiert die Übertragung von Zugriffskontrolleinheit-Konfigurationsanforderungen an die Zugriffskontrolleinheit 24 durch den Kontrollanbieter 14. Eine spezielle Beziehung wird zwischen der Zugriffskontrolleinheit 24 und dem Kontrollanbieter 14 insofern definiert, als die Zugriffskontrolleinheit 24 dafür konfiguriert ist, die Zugriffskontrolleinheit-Konfigurationsanforderungen von dem Kontrollanbieter 14 zu empfangen und den Zugriff durch den in der Anforderung spezifizierten Dienstanbieter auf die personalisierten Verhaltensdaten, die mit der anonymen Nutzer-ID personalisiert wurden, gemäß einer in der Anforderung enthaltenen Zugriffskonfigurationseinstellung zu konfigurieren. Oder anders ausgedrückt: Die Zugriffskontrolleinheit 24 ist dafür konfiguriert, Einstellungen von dem Kontrollanbieter 14 zu akzeptieren, obwohl sie voneinander getrennte Entitäten sind. Darum kann die Zugriffskontrolleinheit 24 einen Mechanismus umfassen, um den Kontrollanbieter 14 bei einer Autorisierungsentität als die Quelle der empfangenen Zugriffskontrolleinheit-Konfigurationsanforderungen zu authentifizieren.An interconnect is between the control provider 14 and the access control unit 24 illustrated. The interconnect represents the transmission of access control unit configuration requests to the access control unit 24 through the control provider 14 , A special relationship is made between the access control unit 24 and the control provider 14 defined as the access control unit 24 is configured for the access control unit configuration requests from the control provider 14 and to configure access by the service provider specified in the request to the personalized behavior data personalized with the anonymous user ID according to an access configuration setting included in the request. In other words: the access control unit 24 is configured to receive settings from the control provider 14 although they are separate entities. That is why the access control unit 24 include a mechanism to the control provider 14 at an authorization entity, to authenticate as the source of the received access control unit configuration requests.

Die eine oder mehreren Speichereinheiten, die den Datenspeicher 22 bilden, sind eine Umgebung mit kontrolliertem Zugriff. Das heißt, dass Parteien, die auf die darin gespeicherten Daten zugreifen wollen, sich zum Beispiel unter Verwendung von Passwörtern, Authentifizierungscodes oder anderen Techniken authentifizieren müssen. In der gleichen Weise kann der Kontrollanbieter 14 gezwungen sein, sich gegenüber der Zugriffskontrolleinheit 24 zu authentifizieren, um Zugriffskonfigurationseinstellungen aufzuerlegen.The one or more storage devices that store the data 22 form an environment with controlled access. That is, parties wishing to access the data stored therein must authenticate using, for example, passwords, authentication codes, or other techniques. In the same way, the control provider 14 be forced to face the access control unit 24 to authenticate to impose access configuration settings.

Die Zugriffskontrolleinheit 24 stellt einen Mechanismus für die Datenmaschine 20 bereit, um zu kontrollieren, welche Parteien auf die personalisierten Verhaltensdaten zugreifen können, die in dem Datenspeicher 22 gespeichert sind, und kann insbesondere den Zugriff allein auf autorisierte Dienstanbieter beschränken. Des Weiteren ist die Zugriffskontrolleinheit 24 dafür konfiguriert, den Zugriff so zu beschränken, dass selbst autorisierte Dienstanbieter, die die Authentifizierung bestanden haben, nur auf bestimmte anonymisierte personalisierte Verhaltensdaten zugreifen dürfen, wenn die anonyme Nutzer-ID, mit der jene bestimmten personalisierten Verhaltensdaten personalisiert wurden, dem Dienstanbieter bekannt ist und in einer Datenzugriffsanforderung übermittelt wurde. Des Weiteren ist der Zugriff durch die Zugriffskontrolleinheit gemäß Zugriffskonfigurationseinstellungen konfigurierbar, die über die Zugriffskontrolleinheit-Konfigurationsanforderungen von dem Kontrollanbieter 14 empfangen wurden. Jeder der mehreren Dienstanbieter 30 kann nur auf die personalisierten Verhaltensdaten von Personen zugreifen, die sich bei dem Dienstanbieter angemeldet haben (die Anmeldung ist ein Prozess, bei dem der Nutzer eine anonyme Nutzer-ID an den Dienstanbieter übermitteln muss).The access control unit 24 provides a mechanism for the data engine 20 ready to control which parties can access the personalized behavior data stored in the data store 22 In particular, it may restrict access to authorized service providers only. Furthermore, the access control unit 24 configured to restrict access so that even authorized service providers that have passed the authentication may access only certain anonymized personalized behavior data if the anonymous user ID with which that particular personalized behavioral data has been personalized is known to the service provider, and was submitted in a data access request. Furthermore, the access by the access control unit is configurable according to access configuration settings made through the access control unit configuration requests from the control provider 14 were received. Each of the several service providers 30 can only access the personalized behavioral data of people who have signed up with the service provider (signing up is a process where the user has to submit an anonymous user ID to the service provider).

Die Zwischenverbindung zwischen der Zugriffskontrolleinheit 24 und dem Datenspeicher 22 repräsentiert das Abrufen von Daten aus dem Datenspeicher 22 durch die Zugriffskontrolleinheit 24 als Antwort auf eine Datenzugriffsanforderung von einem Dienstanbieter 30. Es kann sogar sein, dass die Zugriffskontrolleinheit lediglich einen Bereich von Daten aus dem in der empfangenen Datenzugriffsanforderung spezifizierten Bereich bestimmt, der mit den Zugriffskonfigurationseinstellungen übereinstimmt, und eine andere Komponente anweist, den bestimmten Bereich von Daten aus dem Datenspeicher 22 abzurufen und die abgerufenen Daten an den Dienstanbieter 30 zu übertragen.The interconnection between the access control unit 24 and the data store 22 represents the retrieval of data from the data store 22 through the access control unit 24 in response to a data access request from a service provider 30 , It may even be that the access control unit only determines a range of data from the range specified in the received data access request that matches the access configuration settings and instructs another component to retrieve the particular range of data from the data memory 22 and retrieve the retrieved data to the service provider 30 transferred to.

Die Zugriffskontrolleinheit 24 speichert zum Beispiel in einer Datenbank, wie zum Beispiel einem Register oder einem Datagrafen, empfangene Zugriffskonfigurationseinstellungen (bis sie durch eine neue relevante Zugriffskonfigurationseinstellung ersetzt wird oder aus einem anderen Grund keine Gültigkeit mehr hat). Bei Empfang einer Anforderung für Daten (einer Datenzugriffsanforderung) von einem der Dienstanbieter 30, die einen Bereich von Daten und eine anonyme Nutzer-ID spezifiziert, ist die Zugriffskontrolleinheit 24 dafür konfiguriert zu bestimmen, ob Zugriffskontrolleinheit-Konfigurationsanforderungen empfangen wurden (gespeichert sind), die den Dienstanbieter, von dem die Anforderung empfangen wurde, und die in der Anforderung enthaltene anonyme Nutzer-ID spezifizieren, und wenn ja, so ist die Zugriffskontrolleinheit 24 dafür konfiguriert, die Zugriffskonfigurationseinstellung der Zugriffskontrolleinheit-Konfigurationsanforderung bei der Bestimmung anzuwenden, welche Daten aus dem Bereich aus dem Datenspeicher 22 abzurufen und an den Dienstanbieter 30 zu übertragen sind. Oder anders ausgedrückt: Die Zugriffskontrolleinheit 24 ist dafür konfiguriert zu bestimmen, ob es gespeicherte, aktive oder aktuelle Zugriffskonfigurationseinstellungen gibt, die für die empfangene Anforderung relevant sind, und beim Reagieren auf die Anforderung diese Zugriffskonfigurationseinstellungen zu befolgen.The access control unit 24 For example, it stores access configuration settings received in a database, such as a register or a datagraph (until it is replaced with a new relevant access configuration setting or becomes invalid for some other reason). Upon receiving a request for data (a data access request) from one of the service providers 30 specifying a range of data and anonymous user ID is the access control unit 24 configured to determine whether access control unit configuration requests have been received (stored) that specify the service provider from which the request was received and the anonymous user ID included in the request, and if so, the access control unit 24 configured to apply the access configuration setting of the access control unit configuration request in determining which data from the area from the data store 22 and call the service provider 30 to be transferred. In other words: the access control unit 24 is configured to determine if there are stored, active or current access configuration settings that are relevant to the received request and to respond to the request to follow these access configuration settings.

Gemeinsame Bezugszahlen bezeichnen gemeinsame Komponenten, so dass die obige Beschreibung in Bezug auf 1 auch für die entsprechend nummerierten Komponenten in den anderen Figuren gilt.Common reference numerals designate common components, so the description above with respect to 1 also applies to the corresponding numbered components in the other figures.

2 veranschaulicht ein System einer Ausführungsform. Außerdem ist ein beispielhafter Datenfluss, der die Schritte S1 bis S12 umfasst, in 2 veranschaulicht. 2 illustrates a system of one embodiment. In addition, an exemplary data flow including steps S1 through S12 is shown in FIG 2 illustrated.

Das System von 2 ist eine beispielhafte Implementierung des Systems von 1. Zusätzlich zu den Komponenten, die in dem System von 1 enthalten sind, umfasst das System von 2 eine ID-Generierungsvorrichtung 12, eine Quellenvorrichtung 42 und einen Nutzer-Zwischenvorrichtung 44.The system of 2 is an exemplary implementation of the system of 1 , In addition to the components used in the system of 1 are included in the system of 2 an ID generation device 12 , a source device 42 and a user intermediate device 44 ,

Die ID-Generierungsvorrichtung 12 ist dafür konfiguriert, eine Anforderung von einem Kontrollanbieter 14 zu empfangen. Die Anforderung kann personenbezogene Identifizierungsinformationen eines Nutzers enthalten, oder die Anforderung kann eine anonymisierte Anforderung für eine ID von dem Kontrollanbieter 14 sein. Die ID-Generierungsvorrichtung 12 ist dafür konfiguriert, auf die empfangene Anforderung mit der Erzeugung einer anonymen Nutzer-ID zu reagieren, die der empfangenen Anforderung entspricht, indem sie einen unumkehrbaren Prozess an der empfangenen Anforderung ausführt, und die anonyme Nutzer-ID über den Kontrollanbieter 14 an den Nutzer auszugeben.The ID generation device 12 is configured to receive a request from a control provider 14 to recieve. The request may include a user's personal identification information, or the request may be an anonymized request for an ID from the control provider 14 be. The ID generation device 12 is configured to respond to the received request with the creation of an anonymous user ID corresponding to the received request by performing an irreversible process on the received request and the anonymous user ID via the control provider 14 to the user.

Die ID-Generierungsvorrichtung 12 ist ein Server oder eine andere vernetzte Computervorrichtung, auf die nur der Kontrollanbieter 14 (oder andere Kontrollanbieter) zum Beispiel über das Internet oder über ein sicheres Netzwerk zugreifen kann. Der Kontrollanbieter 14 kann durch die ID-Generierungsvorrichtung 12 zertifiziert sein. Die ID-Generierungsvorrichtung 12 kann für mehr als einen Kontrollanbieter 14 zugänglich sein, so dass mehr als eine verschiedene Entität die Rolle des Kontrollanbieters übernehmen kann. Der Server, der die Rolle der ID-Generierungsvorrichtung 12 inne hat, hat eine Netzwerk-E/A-Funktionalität, einen Speicher, einen Prozessor, der dafür konfiguriert ist, ein Programm zum Realisieren der Funktionalität der ID-Generierungsvorrichtung auszuführen, und eine Speichereinheit, die mindestens dafür konfiguriert ist, das Programm (in codierter Form) zu speichern. Das Programm kann ein Algorithmus sein, der eine Kurzmitteilung (die empfangene Anforderung) auf einen viel größeren Mitteilungsplatz (der die anonymen Nutzer-IDs repräsentiert) unter Verwendung einer kryptografischen Hash-Funktion abbildet. Alternativ braucht die Anforderung von dem Kontrollanbieter 14 keine Identifizierungsinformationen zu enthalten, aber die Kurzmitteilung kann aus Informationen wie zum Beispiel Zeit- oder Datumsinformationen bestehen, die aus einer Systemuhr oder einem externen Zeitmesser ausgelesen wurden. Somit führen keine zwei empfangenen Anforderungen zur selben anonymen Nutzer-ID, so dass Kollisionen vermieden werden. In einigen Ausführungsformen kann ein randomisiertes Element eingebunden werden, so dass das Abbilden der Anforderung auf eine bestimmte anonyme Nutzer-ID mindestens teilweise randomisiert wird und folglich nicht zuverlässig reproduzierbar ist. Die ID-Generierungsvorrichtung 12 speichert keine personenbezogenen Identifizierungsinformationen (in einigen Ausführungsformen empfängt sie nicht einmal welche) und keine Aufzeichnung ausgegebener anonymer Nutzer-IDs. Die ID-Generierungsvorrichtung 12 kann dafür konfiguriert sein, ihre Funktionalität als ein zustandsloses Verfahren auszuführen.The ID generation device 12 is a server or other networked computing device that is only the control provider 14 (or other control providers), for example over the Internet or over a secure network. The control provider 14 can by the ID generation device 12 be certified. The ID generation device 12 Can for more than one control provider 14 be accessible, so that more than one different entity can take on the role of the control provider. The server that is the role of the ID generation device 12 has a network I / O functionality, a memory, a processor configured to execute a program for realizing the functionality of the ID generation device, and a storage unit configured at least to configure the program (in FIG coded form). The program may be an algorithm that maps a short message (the received request) to a much larger message slot (representing the anonymous user IDs) using a cryptographic hash function. Alternatively, the request needs from the control provider 14 contain no identification information, but the text message may consist of information such as time or date information read from a system clock or an external timer. Thus, no two requests received will result in the same anonymous user ID, thus avoiding collisions. In some embodiments, a randomized element may be included such that the mapping of the request to a particular anonymous user ID is at least partially randomized and therefore not reliably reproducible. The ID generation device 12 does not store personal identification information (in some embodiments, it does not even receive any) and does not record issued anonymous user IDs. The ID generation device 12 may be configured to perform its functionality as a stateless procedure.

Der Kontrollanbieter 14 kann dafür konfiguriert sein, bestimmte Identifizierungsinformationen und optional entsprechende anonyme Nutzer-IDs zu speichern. Wenn jene Daten durch den Kontrollanbieter 14 gespeichert werden, dann werden sie in einer sicheren Weise gespeichert, zum Beispiel passwortgeschützt, so dass eine Person bei Übermittlung personenbezogener Identifizierungsinformationen ein Passwort angibt und dieses Passwort dann eingegeben werden muss, um Zugriff auf gespeicherte personenbezogene Identifizierungsinformationen oder entsprechende anonyme Nutzer-IDs zu erhalten.The control provider 14 may be configured to store certain identification information and optionally corresponding anonymous user IDs. If those data by the control provider 14 are stored, then they are stored in a secure manner, for example password protected, such that when a person transmits personal identification information, a password is provided and that password must then be entered to gain access to stored personal identification information or corresponding anonymous user IDs.

Die Quellenvorrichtung 42 ist eine Vorrichtung, mit der der Nutzer interagiert, und Daten, die die Interaktion repräsentieren, werden durch die Quellenvorrichtung 42 generiert. Jene Daten sind Verhaltensdaten, die ein Element des Verhaltens des Nutzers entweder durch Messen physischer Eigenschaften des Nutzers oder durch Repräsentieren einer Interaktion zwischen der Person und der Quellenvorrichtung 42 repräsentieren. Die Quellenvorrichtung 42 kann eine Vorrichtung sein, die entweder dem Nutzer gehört oder für den Nutzer zugänglich ist. Die Quellenvorrichtung 42 kann auch als eine Verhaltensdaten-Quellenvorrichtung oder eine Nutzervorrichtung bezeichnet werden, und in bestimmten Implementierungen stammen die Verhaltensdaten von einer Verhaltensdaten-Quellenvorrichtung, die dafür konfiguriert ist, mit dem Nutzer zu interagieren, um Verhaltensdaten zu generieren, die Verhalten der Person repräsentieren.The source device 42 is a device that the user interacts with, and data representing the interaction is provided by the source device 42 generated. That data is behavioral data that is an element of the user's behavior, either by measuring the physical characteristics of the user or by representing a user Interaction between the person and the source device 42 represent. The source device 42 may be a device that either belongs to the user or is accessible to the user. The source device 42 may also be referred to as a behavioral data source device or user device, and in certain implementations, the behavioral data is derived from a behavioral data source device configured to interact with the user to generate behavioral data representing the person's behavior.

Die Quellenvorrichtung 42 kann mit der Datenmaschine 20 über ein Netzwerk, wie zum Beispiel das Internet, verbunden sein oder kann mit einer Nutzer-Zwischenvorrichtung 44 verbunden sein, die selbst mit der Datenmaschine 20 über ein Netzwerk verbunden sein kann. Die Quellenvorrichtung 42 kann selbst generierte Verhaltensdaten mit der anonymen Nutzer-ID einer Person kennzeichnen, oder Verhaltensdaten können nicht-personalisiert sein, bis sie die Nutzer-Zwischenvorrichtung 44 erreichen, in der sie durch Verknüpfung mit der anonymen Nutzer-ID eines Nutzers personalisiert werden.The source device 42 can with the data machine 20 via a network, such as the Internet, or may be connected to a user intermediary device 44 be connected to the self-data machine 20 can be connected via a network. The source device 42 may identify self-generated behavioral data with the anonymous user ID of a person, or behavioral data may be non-personalized until it reaches the user intermediary device 44 in which they are personalized by linking to the anonymous user ID of a user.

Die Nutzer-Zwischenvorrichtung 44 ist eine Vorrichtung, wie zum Beispiel ein Personalcomputer, ein Tablet oder ein Mobiltelefon, auf die der Nutzer 40 zugreifen kann und die dafür konfiguriert ist, Daten mit einer Quellenvorrichtung 42 und mit einer Datenmaschine 20 auszutauschen. Die Nutzer-Zwischenvorrichtung 44 kann dafür konfiguriert sein, von einer Quellenvorrichtung 42 empfangene Daten umzuformatieren, zum Beispiel in ein Format, in dem sie zu der Datenmaschine 20 übertragen werden können. Die Nutzer-Zwischenvorrichtung 44 kann dafür konfiguriert sein, die Daten mit einer anonymen Nutzer-ID zu verknüpfen, die durch den Nutzer 40 in die Nutzer-Zwischenvorrichtung 44 eingegeben wurde und darin gespeichert ist. Die anonyme Nutzer-ID kann mit Verhaltensdaten verknüpft werden, indem sie den Verhaltensdaten als Metadaten hinzugefügt wird. Eine einzelne Vorrichtung kann sowohl als eine Quellenvorrichtung 42 als auch als eine Nutzer-Zwischenvorrichtung 44 fungieren.The user intermediate device 44 is a device, such as a personal computer, a tablet or a mobile phone, to which the user 40 and that is configured to share data with a source device 42 and with a data engine 20 exchange. The user intermediate device 44 may be configured from a source device 42 reformat received data, for example, into a format in which it is sent to the data engine 20 can be transmitted. The user intermediate device 44 may be configured to associate the data with an anonymous user ID provided by the user 40 in the user intermediate device 44 has been entered and stored therein. The anonymous user ID can be associated with behavioral data by adding it to the behavioral data as metadata. A single device may function both as a source device 42 as well as a user intermediate device 44 act.

Zu Beispielen von Quellenvorrichtungen 42 gehören sogenannte intelligente Vorrichtungen, die selbst vernetzt und dafür konfiguriert sind, Daten über ein Netzwerk zu übertragen und/oder zu empfangen. Quellenvorrichtungen 42 können Informationen aufzeichnen, die Interaktionen mit einem Nutzer repräsentieren, wobei diese Informationen mit einer Person über eine anonyme Nutzer-ID verknüpft sind (die bei ihrer Erzeugung mit Verhaltensdaten verknüpft werden kann oder durch den Nutzer oder durch eine Zwischenvorrichtung 44 im Namen des Nutzers bei ihrer Übermittlung an die Datenmaschine 20 hinzugefügt werden kann). Jene Interaktionen können eine Messung einer physischen Eigenschaft des Nutzers sein, so dass die Quellenvorrichtung 42 als eine Sensorvorrichtung bezeichnet werden kann. Zum Beispiel kann die Quellenvorrichtung 42 eine Sensorvorrichtung sein, die dafür konfiguriert ist, eine Reihe von Messungen einer physischen Eigenschaft des Nutzers als Verhaltensdaten aufzuzeichnen und die aufgezeichnete Reihe von Messungen an die Datenmaschine 20 als anonymisierte personalisierte Verhaltensdaten zu übermitteln, entweder durch anonymes Personalisieren der Verhaltensdaten mit der anonymen Nutzer-ID der Person in der Sensorvorrichtung oder über eine Nutzer-Zwischenvorrichtung 44, in der die Verhaltensdaten, anonym mit der anonymen Nutzer-ID der Person personalisiert, empfangen werden und an die Datenmaschine 20 als anonymisierte personalisierte Verhaltensdaten übertragen werden. Eine Quellenvorrichtung kann als eine Verhaltensdaten-Quellenvorrichtung bezeichnet werden.Examples of source devices 42 include so-called intelligent devices that are self-networked and configured to transmit and / or receive data over a network. source devices 42 may record information representing interactions with a user, which information is associated with a person via an anonymous user ID (which may be linked to behavioral data when created, or by the user or by an intermediary device 44 on behalf of the user in their transmission to the data engine 20 can be added). Those interactions may be a measurement of a physical property of the user, such that the source device 42 may be referred to as a sensor device. For example, the source device 42 a sensor device configured to record a series of measurements of a physical characteristic of the user as behavioral data and the recorded series of measurements to the data engine 20 as anonymized personalized behavioral data, either by anonymously personalizing the behavioral data with the anonymous user ID of the person in the sensor device or via a user intermediary device 44 in which the behavioral data, anonymously personalized with the anonymous user ID of the person, are received and sent to the data engine 20 be transmitted as anonymized personalized behavioral data. A source device may be referred to as a behavioral data source device.

Eine Quellenvorrichtung kann Verhaltensdaten generieren, die eine oder eine Reihe von Interaktionen mit dem Nutzer repräsentieren. In einem anderen Beispiel kann eine einzelne Messung oder eine Reihe von Messungen aufgezeichnet und als Verhaltensdaten übermittelt werden. Eine physische Eigenschaft des Nutzers kann zum Beispiel als physischer Standort gemessen werden, oder kann eine bewegungsbasierte physische Eigenschaft sein, wie zum Beispiel eine Anzahl von gegangenen Schritten. Zu anderen Beispielen gehören Gewicht, Herzrate, Temperatur oder Atemfrequenz. Eine Nutzer-Zwischenvorrichtung 44 und/oder eine Quellenvorrichtung 42 können durch eine Partei bereitgestellt werden, oder können Software ausführen, die von einer Partei heruntergeladen wurde, die auch ein Dienstanbieter 30 ist.A source device may generate behavioral data representing one or a series of interactions with the user. In another example, a single measurement or a series of measurements may be recorded and transmitted as behavioral data. For example, a physical property of the user may be measured as a physical location, or may be a motion-based physical property, such as a number of steps taken. Other examples include weight, heart rate, temperature or respiratory rate. A user intermediate device 44 and / or a source device 42 may be provided by a party, or may execute software that has been downloaded by a party who is also a service provider 30 is.

In den Schritten S1 bis S3 wird eine Verbraucher-ID (als Beispiel einer anonymen Nutzer-ID) durch die ID-Generierungsvorrichtung 12 als Antwort auf eine Anforderung von dem Kontrollanbieter 14 generiert. Die Anforderung von dem Kontrollanbieter 14 wird initiiert, indem ein Nutzer 40 personenbezogene Identifizierungsinformationen in den Kontrollanbieter 14 eingibt und im Gegenzug eine Verbraucher-ID anfordert. Die Verbraucher-ID ist eine anonyme Nutzer-ID. Eine anonyme Nutzer-ID ist einmalig, über eine Signatur verifizierbar und kann nicht zum Nutzer (Verbraucher) zurückverfolgt werden. Die anonyme Nutzer-ID wird für alle Interaktionen mit der Datenmaschine 20 verwendet. Die anonyme Nutzer-ID fungiert als ein Schlüssel, mit dem Verhaltensdaten anonym personalisiert werden und mit dem Daten in einer Datenzugriffsanforderung (Datenleseanforderung) von einem Dienstanbieter identifiziert werden.In steps S1 to S3, a consumer ID (as an example of anonymous user ID) by the ID generation device 12 in response to a request from the control provider 14 generated. The request from the control provider 14 is initiated by a user 40 personal identification information in the control provider 14 enter and in turn request a consumer ID. The consumer ID is an anonymous user ID. An anonymous user ID is unique, verifiable via a signature and can not be traced back to the user (consumer). The anonymous user ID will be used for all interactions with the data engine 20 used. The anonymous user ID acts as a key that anonymously personalizes behavioral data and identifies data in a data access request (data read request) from a service provider.

Die Verbraucher-ID wird bei Schritt S6 an den Nutzer ausgegeben. Die Ausgabe kann durch Anzeigen in einem Nutzerbereich einer Website erfolgen. The consumer ID is output to the user at step S6. The output can be made by ads in a user area of a website.

Obgleich optional in einem anderen Datenaustausch als dem, durch den die personenbezogenen Identifizierungsinformationen an den Kontrollanbieter 14 übermittelt werden, überträgt der Nutzer 40 in Schritt S1 außerdem Kontrollen und eine Dienstanbieter-ID an den Kontrollanbieter 14. Die Kontrollen und die Dienstanbieter-ID sind Beispiele einer Zugriffskontrolleinheit-Konfigurationsanforderung, die einen der Dienstanbieter und eine Zugriffskonfigurationseinstellung spezifiziert. Die Kontrollen sind eine Zugriffskonfigurationseinstellung, die vorschreiben, wie Verhaltensdaten, die mit der anonymen Nutzer-ID des Nutzers personalisiert wurden (wobei diese anonyme Nutzer-ID auch in der Zugriffskontrolleinheit-Konfigurationsanforderung enthalten sein kann), für den identifizierten Dienstanbieter 30 zugänglich gemacht werden.Although optional in a data exchange other than that by which the personal identification information is sent to the control provider 14 transmitted, transmits the user 40 In step S1, controls and a service provider ID are also sent to the control provider 14 , The controls and the service provider ID are examples of an access control unit configuration request specifying one of the service providers and an access configuration setting. The controls are an access configuration setting that dictates how behavior data that has been personalized with the user's anonymous user ID (which anonymous user ID may also be included in the access control unit configuration request) for the identified service provider 30 be made accessible.

Bei Schritt S4 meldet der Kontrollanbieter 14 die Verbraucher-ID bei der Datenmaschine 20 an und konfiguriert, wie die Zugriffskontrolleinheit 24 der Datenmaschine 20 den Zugriff durch den identifizierten Dienstanbieter auf Verhaltensdaten kontrolliert, die mit der Verbraucher-ID personalisiert wurden. Optional verifiziert die Datenmaschine 20, dass der identifizierte Dienstanbieter durch die Stelle unterstützt wird, die für das Generieren der anonymen Nutzer-ID zuständig ist. Der Nutzer 40 kann jederzeit aktualisierte Kontrollen (eine neue Zugriffskontrolleinheit-Konfigurationsanforderung) über den Kontrollanbieter 14 an die Datenmaschine 20 ausgeben.At step S4, the control provider reports 14 the consumer ID at the data engine 20 and configured as the access control unit 24 the data engine 20 controls access by the identified service provider to behavioral data that has been personalized with the consumer ID. Optionally verifies the data engine 20 in that the identified service provider is supported by the entity responsible for generating the anonymous user ID. The user 40 can always have updated controls (a new access control unit configuration request) through the control provider 14 to the data engine 20 output.

Bei Schritt S5 validiert die Datenmaschine 20 die anonyme Nutzer-ID mit einem Validierungsdienst, der durch die ID-Generierungsvorrichtung erbracht wird. Dieser Schritt braucht nicht wiederholt zu werden, wenn Kontrollen oder Dienstanbieter zu einem späteren Datum geändert werden.At step S5, the data engine validates 20 the anonymous user ID with a validation service provided by the ID generation device. This step does not need to be repeated if controls or service providers are changed at a later date.

Bei Schritt S6 erhält der Nutzer 40 die generierte anonyme Nutzer-ID zur Verwendung beim Anmelden bei einem Dienstanbieter 30 in Schritt S7. Optional kann der Kontrollanbieter 14 den Nutzer bei einem (durch den Nutzer in Schritt S1) identifizierten Dienstanbieter 30 anmelden, so dass die Schritte S6 und S7 für den Nutzer 40 transparent sind.In step S6, the user receives 40 the generated anonymous user ID for use when logging in to a service provider 30 in step S7. Optionally, the control provider 14 the user at a service provider (identified by the user in step S1) 30 log in, so that steps S6 and S7 for the user 40 are transparent.

Der Dienstanbieter 30, der für den Nutzer 40 anonyme Dienste erbringen will, stellt einen Mechanismus zum Anmelden der Person 40 als einen anonymen Nutzer durch Bereitstellung einer anonymen Nutzer-ID (Verbraucher-ID) anstelle personenbezogener Identifizierungsinformationen bereit. Eine Schnittstelle wird durch den Dienstanbieter 30 bereitgestellt, wobei die Anmeldung nur das Bereitstellen der anonymen Nutzer-ID als Informationen, die den Nutzer identifizieren, erfordert. Das heißt, der Nutzer kann als ein Nutzer des Dienstes identifiziert werden, weil die anonyme Nutzer-ID für den Nutzer personalisiert ist, aber die Identität des Nutzers nicht durch die Anmeldung preisgegeben wird. Somit weiß der Dienstanbieter 30, dass sich ein Nutzer für den Dienst angemeldet hat und dass der Nutzer eine Identität hat, die durch die ID-Generierungsvorrichtung ausgestellt wurde, aber er ist nicht in der Lage, den Nutzer als eine physische Person oder Rechtsperson zu identifizieren.The service provider 30 that for the user 40 provide anonymous services, provides a mechanism for logging in the person 40 as an anonymous user by providing an anonymous user ID (consumer ID) instead of personal identification information. An interface is provided by the service provider 30 wherein the application only requires providing the anonymous user ID as information identifying the user. That is, the user may be identified as a user of the service because the anonymous user ID is personalized to the user but the user's identity is not revealed by the login. Thus, the service provider knows 30 in that a user has signed up for the service and that the user has an identity issued by the ID generation device, but he is unable to identify the user as a physical person or legal entity.

Optional wird bei Schritt S8 durch den Nutzer Software zu einer Nutzer-Zwischenvorrichtung 44 heruntergeladen. Die Software wird mit der anonymen Nutzer-ID personalisiert, so dass, wenn die Software durch die Nutzer-Zwischenvorrichtung 44 ausgeführt wird, alle bei Schritt S9 empfangenen oder generierten Verhaltensdaten mit der anonymen Nutzer-ID personalisiert und an die Datenmaschine 20 übermittelt werden können. Bei Schritt S10 werden die anonymisierten personalisierten Verhaltensdaten durch die Nutzer-Zwischenvorrichtung 44 zu der Datenmaschine 20 übertragen.Optionally, at step S8, the user makes software a user intermediate device 44 downloaded. The software is personalized with the anonymous user ID, so that when the software through the user intermediary device 44 is executed, all of the behavior data received or generated at step S9 is personalized with the anonymous user ID and sent to the data engine 20 can be transmitted. At step S10, the anonymized personalized behavior data is acquired by the user intermediate device 44 to the data engine 20 transfer.

Bei Schritt S11 nimmt der Dienstanbieter 30 eine datenschützende eingeschränkte Abfrage nach Verhaltensdaten bezüglich des Nutzers 40 vor, indem ein Bereich von angeforderten Daten und die anonyme Nutzer-ID des Nutzers 40 spezifiziert werden. Die anonyme Nutzer-ID ist in der Abfrage enthalten und wird als ein Schlüssel durch die Datenmaschine 20 verwendet, um sowohl die angeforderten Daten zu identifizieren als auch den Zugriff durch den Dienstanbieter 30 zu autorisieren. Ein Teil der Authentifizierung des Dienstanbieters 30 kann durch die Datenmaschine 20 ausgeführt werden. Des Weiteren ist die Datenmaschine 20 dafür konfiguriert, die in Schritt S4 empfangenen Kontrollen bei der Bestimmung zu implementieren, ob ein Zugriff durch den Dienstanbieter 30 erlaubt werden soll und welche Daten als Antwort auf die Abfrage gelesen werden dürfen. Die Kontrollen sind Einstellungen, die vorschreiben, auf welche Daten, die mit der anonymen Nutzer-ID verknüpft sind, der Dienstanbieter 30 zugreifen darf. Zum Beispiel können die Kontrollen spezifizieren, dass der Dienstanbieter nur auf Verhaltensdaten zugreifen darf, die in einem bestimmten Datumsbereich oder durch eine bestimmte Quellenvorrichtung 42 generiert wurden. Bei Schritt S12 gibt die Datenmaschine 20 an den Dienstanbieter 30 die Daten aus dem angeforderten Bereich gemäß den Kontrollen aus.At step S11, the service provider takes 30 a privacy-limited query for behavioral data regarding the user 40 by adding a range of requested data and the user's anonymous user ID 40 be specified. The anonymous user ID is included in the query and is considered a key by the data engine 20 used to identify both the requested data and the access by the service provider 30 to authorize. Part of the service provider's authentication 30 can through the data machine 20 be executed. Furthermore, the data engine 20 configured to implement the controls received in step S4 in determining whether access by the service provider 30 should be allowed and which data may be read in response to the query. The controls are settings that dictate what data associated with the anonymous user ID is the service provider 30 may access. For example, the controls may specify that the service provider may access only behavioral data that is within a particular date range or by a particular source device 42 were generated. At step S12, the data engine issues 20 to the service provider 30 the data from the requested area according to the controls.

Bei Schritt S13 wird der Dienst (zum Beispiel ein Kalorienzählwert) dem Nutzer allein auf der Basis der anonymen Nutzer-ID anonym bereitgestellt.At step S13, the service (for example, a calorie count) is provided anonymously to the user based solely on the anonymous user ID.

Ein einzelner Schritt oder eine Kombination von Schritten aus S2, S3, S1, S11, S12 und S10 kann über eine PKI abgesichert werden. Alternativ oder zusätzlich kann ein einzelner Schritt oder eine Kombination von Schritten aus S1, S6, S11, S9 und S10 über ein Passwort abgesichert werden.A single step or a combination of steps from S2, S3, S1, S11, S12 and S10 may be secured via a PKI. Alternatively or additionally, a single step or a combination of steps from S1, S6, S11, S9 and S10 can be secured via a password.

Optional kann die Ausführungsform als eine erweiterte Version des Coelition-Anbieters realisiert werden. In einer solchen Ausführungsform ist die ID-Generierungsvorrichtung 12 eine Coeltion IDA, die anonymisierten personalisierten Verhaltensdaten sind Atome, die anonyme Nutzer-ID ist eine ConsumerID, die Dienstanbieter 30 werden durch die Coelition-Stelle als Coelition-kompatible Dienstanbieter registriert, und die Datenmaschine ist eine Coelition-kompatible Datenmaschine.Optionally, the embodiment may be implemented as an enhanced version of the coelition provider. In such an embodiment, the ID generation device is 12 a Coeltion IDA, the anonymized personalized behavioral data are atoms, the anonymous user ID is a ConsumerID, the service provider 30 are registered by the Coelition agency as Coelition-compatible service providers, and the data engine is a Coelition-compatible data engine.

Als ein konkretes Nutzungsszenario des Systems der 1 und 2 stellen wir uns einen Nutzer vor, der im Gegenzug für das Gestatten, dass ein Dienstanbieter auf seine Daten zugreifen darf, einen Nutzen erhalten will. Die Datenmaschine 20 hat Kontrolle über die anonymisierten personalisierten Verhaltensdaten des Nutzers, aber keine Möglichkeit, den Nutzer 40 zu identifizieren. Der Kontrollanbieter 14 wird durch eine andere Partei als die Datenmaschine 20 betrieben. Darum kann der Kontrollanbieter 14 die anonyme Nutzer-ID mit personenbezogenen Identifizierungsinformationen des Nutzers (wie zum Beispiel eine Paypal-ID oder Bankdetails) verknüpfen, ohne die Anonymität des Nutzers in der Datenmaschine 20 zu opfern. Der Kontrollanbieter 14 stellt ein Mittel bereit, mit dem der Nutzer 40 eine Bestimmung (d. h. eine Zugriffsgebühr) spezifizieren kann, der ein Dienstanbieter 30 zustimmen muss, um Zugriff auf Daten zu bekommen, die mit der anonymen Nutzer-ID des Nutzers anonym personalisiert wurden. Zum Beispiel kann der Kontrollanbieter 14 Berichte von der Datenmaschine über Lesezugriffe empfangen, die auf Daten gewährt wurden, die durch die Datenzugriffskontrolleinheit mit einer bestimmten anonymen Nutzer-ID anonymisiert wurden. Auf der Basis dieser Daten kann der Kontrollanbieter 14 dann dem Dienstanbieter 30 eine Rechnung stellen und die Vergütung auf der Basis eines vereinbarten Vertrages an den Nutzer 40 überweisen.As a concrete use scenario of the system of 1 and 2 Imagine a user who wants to get value in return for allowing a service provider to access his data. The data engine 20 has control over the anonymized personalized behavioral data of the user, but no way the user 40 to identify. The control provider 14 is by a party other than the data engine 20 operated. That's why the control provider 14 associate the anonymous user ID with the user's personal identification information (such as a Paypal ID or bank details) without the anonymity of the user in the data engine 20 to sacrifice. The control provider 14 Provides a means by which the user 40 may specify a destination (ie, an access fee) that a service provider 30 to access data that has been anonymously personalized with the user's anonymous user ID. For example, the control provider 14 Receive reports from the data engine about read accesses granted on data that has been anonymized by the data access control unit with a particular anonymous user ID. On the basis of this data, the control provider 14 then the service provider 30 make an invoice and the compensation on the basis of an agreed contract to the user 40 transfer.

3 ist ein Blockschaubild einer Computervorrichtung, wie zum Beispiel eines Datenspeicherservers, die die vorliegende Erfindung verkörpert und die dafür verwendet werden kann, ein Verfahren einer Ausführungsform des Systems zu implementieren. Die Computervorrichtung umfasst einen Prozessor 993 und einen Speicher 994. Optional enthält die Computervorrichtung außerdem eine Netzwerkschnittstelle 997 für eine Kommunikation mit anderen Computervorrichtungen, zum Beispiel mit anderen Computervorrichtungen erfindungsgemäßer Ausführungsformen. 3 FIG. 12 is a block diagram of a computing device, such as a data storage server, embodying the present invention that may be used to implement a method of one embodiment of the system. The computing device includes a processor 993 and a memory 994 , Optionally, the computing device also includes a network interface 997 for communication with other computing devices, for example, with other computing devices of embodiments of the invention.

Die Datenmaschine 20, der Dienstanbieter 30, die ID-Generierungsvorrichtung 12 und/oder der Kontrollanbieter 14 können als Computervorrichtungen wie zum Beispiel die, die in 3 veranschaulicht sind, verkörpert sein.The data engine 20 , the service provider 30 , the ID generation device 12 and / or the control provider 14 can be used as computer devices such as the ones in 3 be embodied, be embodied.

Zum Beispiel kann eine Ausführungsform aus einem Netzwerk solcher Computervorrichtungen bestehen. Optional enthält die Computervorrichtung außerdem einen oder mehrere Eingabemechanismen wie zum Beispiel Tastatur und Maus 996 und eine Anzeigeeinheit, wie zum Beispiel einen oder mehrere Monitore 995. Die Komponenten können über einen Bus 992 miteinander verbunden werden.For example, one embodiment may consist of a network of such computing devices. Optionally, the computing device also includes one or more input mechanisms, such as keyboard and mouse 996 and a display unit, such as one or more monitors 995 , The components can be over a bus 992 be connected to each other.

Der Speicher 994 kann ein computerlesbares Medium enthalten. Dieser Begriff kann sich auf ein einzelnes Medium oder mehrere Medien beziehen (zum Beispiel eine zentralisierte oder dezentralisierte Datenbank und/oder zugehörige Cachespeicher und Server), die dafür konfiguriert ist, computerausführbare Befehle zu transportieren oder mit gespeicherten Datenstrukturen versehen zu sein. Zu computerausführbaren Befehlen können zum Beispiel Befehle und Daten gehören, auf die ein Allzweckcomputer, ein Spezialcomputer oder eine Spezialverarbeitungsvorrichtung (zum Beispiel ein oder mehrere Prozessoren) zugreifen können und die einen Allzweckcomputer, einen Spezialcomputer oder eine Spezialverarbeitungsvorrichtung (zum Beispiel einen oder mehrere Prozessoren) veranlassen können, eine oder mehrere Funktionen oder Operationen auszuführen. Somit kann der Begriff „computerlesbares Speichermedium” auch ein Medium enthalten, das in der Lage ist, einen Satz Befehle zur Ausführung durch die Maschine zu speichern, zu codieren oder zu transportieren und die Maschine zu veranlassen, eines oder mehrere der Verfahren der vorliegenden Offenbarung auszuführen. Der Begriff „computerlesbares Medium” kann dementsprechend so verstanden werden, dass er Festkörperspeicher, optische Medien und magnetische Medien enthält. Zu solchen computerlesbaren Medien können beispielsweise gehören: nicht-transitorische computerlesbare Speichermedien, einschließlich Direktzugriffsspeicher (RAM), Nurlesespeicher (ROM), Elektrisch Löschbarer Programmierbarer Nurlesespeicher (EEPROM), Compact-Disc-Nurlesespeicher (CD-ROM) oder andere optische Disk-Speicher, Magnetdiskspeicher oder andere magnetische Speichervorrichtungen, Flash-Speichervorrichtungen (zum Beispiel Festkörperspeichervorrichtungen).The memory 994 may contain a computer-readable medium. This term may refer to a single medium or multiple media (eg, a centralized or decentralized database and / or associated caches and servers) configured to carry computer-executable instructions or to be provided with stored data structures. Computer-executable instructions may include, for example, instructions and data that may be accessed by a general purpose computer, a special purpose computer or special processing device (eg, one or more processors), and that will cause a general purpose computer, special purpose computer, or special processing device (eg, one or more processors) can perform one or more functions or operations. Thus, the term "computer-readable storage medium" may also include a medium capable of storing, encoding, or transporting a set of instructions for execution by the machine and causing the machine to perform one or more of the methods of the present disclosure , Accordingly, the term "computer readable medium" may be understood to include solid state memory, optical media, and magnetic media. Such computer readable media may include, for example: non-transitory computer readable storage media, including random access memory (RAM), read only memory (ROM), electrically erasable programmable read only memory (EEPROM), compact disc read only memory (CD-ROM), or other optical disk storage; Magnetic disk storage or other magnetic storage devices, flash memory devices (for example, solid state storage devices).

Der Prozessor 993 ist dafür konfiguriert, die Computervorrichtung zu steuern und Verarbeitungsoperationen auszuführen, zum Beispiel Code auszuführen, der in dem Speicher gespeichert ist, um die verschiedenen Funktionen von Funktionskomponenten zu implementieren, die hier und in den Ansprüchen beschrieben sind. Der Speicher 994 speichert Daten, die durch den Prozessor 993 gelesen und geschrieben werden. Wie im vorliegenden Text angesprochen, kann ein Prozessor eine oder mehrere Allzweckverarbeitungsvorrichtungen wie zum Beispiel einen Mikroprozessor, eine zentrale Verarbeitungseinheit oder dergleichen enthalten. Der Prozessor kann einen Complex Instruction Set Computing(CISC)-Mikroprozessor, einen Reduced Instruction Set Computing(RISC)-Mikroprozessor, einen Very Long Instruction Word(VLIW)-Mikroprozessor oder einen Prozessor, der andere Befehlssätze implementiert, oder Prozessoren die eine Kombination von Befehlssätzen implementieren, enthalten. Der Prozessor kann außerdem eine oder mehrere Spezialverarbeitungsvorrichtungen wie zum Beispiel einen Anwendungsspezifischen Integrierten Schaltkreis (ASIC), eine Feldprogrammierbares Gate-Array (FPGA), einen Digitalsignalprozessor (DSP), einen Netzwerkprozessor oder dergleichen enthalten. In einer oder mehreren Ausführungsformen ist ein Prozessor dafür konfiguriert, Befehle zum Ausführen der im vorliegenden Text besprochenen Operationen und Schritte auszuführen.The processor 993 is configured to control the computing device and perform processing operations, for example, to execute code stored in the memory to implement the various functions of functional components described herein and in the claims. The memory 994 stores Data by the processor 993 be read and written. As discussed herein, a processor may include one or more general purpose processing devices such as a microprocessor, a central processing unit, or the like. The processor may include a Complex Instruction Set Computing (CISC) microprocessor, a Reduced Instruction Set Computing (RISC) microprocessor, a Very Long Instruction Word (VLIW) microprocessor, or a processor that implements other instruction sets, or a combination of processors Implement instruction sets. The processor may also include one or more special processing devices such as an application specific integrated circuit (ASIC), a field programmable gate array (FPGA), a digital signal processor (DSP), a network processor, or the like. In one or more embodiments, a processor is configured to execute instructions for performing the operations and steps discussed herein.

Die Anzeigeeinheit 997 kann eine Darstellung von Daten anzeigen, die durch die Computervorrichtung gespeichert werden, und kann außerdem einen Cursor und Dialogfelder und Schirmbilder anzeigen, die die Interaktion zwischen einem Nutzer und den in der Computervorrichtung gespeicherten Programmen und Daten ermöglichen. Die Eingabemechanismen 996 können es einem Nutzer ermöglichen, Daten und Befehle in die Computervorrichtung einzugeben.The display unit 997 may display a representation of data stored by the computing device and may also display a cursor and dialog boxes and screens that facilitate the interaction between a user and the programs and data stored in the computing device. The input mechanisms 996 may allow a user to enter data and commands into the computing device.

Die Netzwerkschnittstelle (Netzwerk-SS) 997 kann mit einem Netzwerk, wie zum Beispiel dem Internet, verbunden sein und kann mit anderen solchen Computervorrichtungen über das Netzwerk verbunden sein. Die Netzwerk-SS 997 kann die Dateneingabe und -ausgabe in bzw. von anderen Vorrichtungen über das Netzwerk steuern. Es können noch weitere Peripherievorrichtungen wie zum Beispiel Mikrofon, Lautsprecher, Drucker, Stromversorgungseinheit, Lüfter, Gehäuse, Scanner, Trackerball usw. in der Computervorrichtung enthalten sein.The network interface (network SS) 997 may be connected to a network, such as the Internet, and may be connected to other such computing devices via the network. The network SS 997 can control data input and output to or from other devices over the network. There may be other peripheral devices such as microphone, speakers, printer, power supply, fan, housing, scanner, trackball, etc. included in the computing device.

Ein Kontrollanbieter 14 der 1 bis 2 kann ein Prozessor 993 sein (oder kann einen Prozessor 993 betreiben), der Verarbeitungsbefehle (ein Programm, Script oder kompiliertes Programm) ausführt, die in dem Speicher 994 gespeichert sind, und Daten über eine Netzwerk-SS sendet. Beispielsweise kann der Prozessor 993 Verarbeitungsbefehle ausführen, um über die Netzwerk-SS 997 Daten eines Nutzer bei Schritt S1 von 2 zu empfangen, eine Anforderung an die ID-Generierungsvorrichtung 12 bei Schritt S2 zu senden und eine Antwort von der ID-Generierungsvorrichtung 12 über die Netzwerk-SS bei Schritt S3 zu empfangen, und Daten über die Netzwerk-SS 997 zu der Datenmaschine 20 bei Schritt S4 von 2 zu senden. Des Weiteren kann der Prozessor 993 Verarbeitungsbefehle ausführen, um bei Schritt S6 die anonyme Nutzer-ID über die Netzwerk-SS 997 an den Nutzer zu senden.A control provider 14 of the 1 to 2 can be a processor 993 be (or can be a processor 993 operate) that executes processing instructions (a program, script, or compiled program) stored in the memory 994 are stored and sends data over a network SS. For example, the processor 993 Execute processing commands to pass through the network SS 997 Data of a user at step S1 of FIG 2 to receive a request to the ID generation device 12 at step S2 and a response from the ID generation device 12 via the network SS at step S3, and data over the network SS 997 to the data engine 20 at step S4 of FIG 2 to send. Furthermore, the processor 993 Processing instructions to execute the anonymous user ID via the network SS at step S6 997 to send to the user.

Eine Datenmaschine 20 der 1 bis 2 kann ein Prozessor 993 (oder mehrere davon) sein, der Verarbeitungsbefehle (ein Programm) ausführt, die in einem Speicher 994 gespeichert sind, und Daten über eine Netzwerk-SS 997 mit einem Datenspeicher 22 austauscht, der durch die Speicher 994 gebildet wird. Genauer gesagt, führt der Prozessor 993 Verarbeitungsbefehle aus, um über die Netzwerk-SS Daten von dem Kontrollanbieter bei Schritt S4 von 2 zu empfangen. Des Weiteren kann der Prozessor 993 Verarbeitungsbefehle ausführen, um über die Netzwerk-SS 997 die anonyme Nutzer-ID an die ID-Generierungsvorrichtung 12 zum Validieren bei Schritt S5 von 2 zu senden. Der Prozessor 993 kann auch Verarbeitungsbefehle ausführen, um die Abfrage bei Schritt S11 von 2 zu empfangen, eine Antwort auf die Abfrage durch Zugreifen auf den Datenspeicher des Speichers 994 zu generieren, optional die abgerufenen Daten im Prozessor 993 verarbeiten und das Ergebnis als eine Antwort auf die Abfrage über die Netzwerk-SS bei Schritt S12 von 2 senden.A data machine 20 of the 1 to 2 can be a processor 993 (or more of them) executing processing instructions (a program) stored in a memory 994 are stored, and data over a network SS 997 with a data store 22 exchanges that through the store 994 is formed. More precisely, the processor performs 993 Processing commands to retrieve data about the network SS from the control provider at step S4 of FIG 2 to recieve. Furthermore, the processor 993 Execute processing commands to pass through the network SS 997 the anonymous user ID to the ID generation device 12 for validation in step S5 of 2 to send. The processor 993 may also execute processing instructions to complete the query at step S11 of FIG 2 to receive an answer to the query by accessing the memory of the memory 994 optionally generate the retrieved data in the processor 993 and process the result as a response to the query over the network SS at step S12 of FIG 2 send.

Ein Dienstanbieter 30 der 1 bis 2 kann ein Prozessor 993 (oder mehrere davon) sein, der Verarbeitungsbefehle (ein Programm) ausführt, die in einem Speicher 994 gespeichert sind, und Daten über eine Netzwerk-SS 997 austauscht. Genauer gesagt, führt der Prozessor 993 Verarbeitungsbefehle aus, um die Datenaustauschprozesse der Schritte S7 und S8 über die Netzwerk-SS 997 auszuführen. Der Prozessor kann auch Verarbeitungsbefehle ausführen, um die Abfrage über die Netzwerk-SS 997 an die Datenmaschine 20 bei Schritt S11 von 2 zu senden und die Antwort bei Schritt S12 zu empfangen. Der Dienstanbieter kann auch Verarbeitungsbefehle ausführen, um die Verhaltensdatenverarbeitung als einen Dienst für den Nutzer 40 bereitzustellen und die Ergebnisse bei Schritt S13 auszugeben.A service provider 30 of the 1 to 2 can be a processor 993 (or more of them) executing processing instructions (a program) stored in a memory 994 are stored, and data over a network SS 997 exchanges. More precisely, the processor performs 993 Processing commands to the data exchange processes of steps S7 and S8 over the network SS 997 perform. The processor may also execute processing instructions to poll over the network SS 997 to the data engine 20 at step S11 of FIG 2 and to receive the answer at step S12. The service provider may also execute processing instructions to perform behavioral data processing as a service to the user 40 to provide and output the results in step S13.

Eine Verhaltensdaten-Quellenvorrichtung 42 von 2 kann ein Prozessor 993 sein, der Verarbeitungsbefehle (ein Programm, Script oder kompiliertes Programm) ausführt, die in einem Speicher 994 gespeichert sind, und Daten über eine Netzwerk-SS austauscht. Insbesondere kann der Prozessor 993 Verarbeitungsbefehle ausführen, um den Schritt S9 von 2 ausführen, mit dem über die Netzwerk-SS an die Nutzer-Zwischenvorrichtung Daten gesendet werden, die eine Interaktion mit dem Systemnutzer repräsentieren.A behavioral data source device 42 from 2 can be a processor 993 which executes processing instructions (a program, script, or compiled program) stored in memory 994 stored and exchanges data over a network SS. In particular, the processor can 993 Execute processing instructions to complete step S9 of FIG 2 to send data to the user intermediate device via the network SS that represents an interaction with the system user.

Eine Nutzer-Zwischenvorrichtung 44 von 2 kann ein Prozessor 993 sein, der Verarbeitungsbefehle (ein Programm, Script oder kompiliertes Programm) ausführt, die in einem Speicher 994 gespeichert sind, und Daten über eine Netzwerk-SS 997 austauscht, und einem Systemnutzer Informationen über eine Anzeigen 995 anzeigt, und Eingaben von dem Systemnutzer über einen Eingang 996 entgegennimmt. Genauer gesagt, kann der Prozessor 993 Verarbeitungsbefehle ausführen, um den Schritt S10 von 2 der anonymen Personalisierung der Verhaltensdaten und des Sendens der Verhaltensdaten über eine Netzwerk-SS 997 an die Datenmaschine 20 auszuführen.A user intermediate device 44 from 2 can be a processor 993 which executes processing instructions (a program, script, or compiled program) stored in memory 994 are stored, and data over a network SS 997 exchanges, and a system user information about an ad 995 and inputs from the system user via an input 996 answers. More precisely, the processor can 993 Processing instructions to execute step S10 of FIG 2 the anonymous personalization of the behavioral data and the transmission of the behavioral data over a network SS 997 to the data engine 20 perform.

Verfahren, die die vorliegende Erfindung verkörpern, können auf einer Computervorrichtung wie zum Beispiel der, die in 3 veranschaulicht ist, ausgeführt werden. Eine solche Computervorrichtung braucht nicht jede Komponente aufzuweisen, die in 3 veranschaulicht ist, und kann aus einer Teilmenge dieser Komponenten bestehen. Ein Verfahren, das die vorliegende Erfindung verkörpert, kann durch eine einzelne Computervorrichtung ausgeführt werden, die mit einer oder mehreren Datenspeicherservern über ein Netzwerk kommuniziert.Methods embodying the present invention may be applied to a computing device, such as those disclosed in U.S. Patent Nos. 4,766,701; 3 is illustrated. Such a computing device need not have every component included in 3 is illustrated, and may consist of a subset of these components. A method embodying the present invention may be performed by a single computing device communicating with one or more data storage servers over a network.

Ein Verfahren, das die vorliegende Erfindung verkörpert, kann durch mehrere Computervorrichtungen ausgeführt werden, die im Zusammenwirken miteinander arbeiten. Eine oder mehrere der mehreren Computervorrichtungen kann ein Datenspeicherserver sein, der mindestens einen Teil der anonymisierten personalisierten Verhaltensdaten speichert.A method embodying the present invention may be performed by a plurality of computing devices that operate in concert with each other. One or more of the multiple computing devices may be a data storage server that stores at least a portion of the anonymized personalized behavior data.

Claims

A system for storing personalized data and controlling access to personalized data, the system comprising: a data engine comprising a data store and an access control unit and configured to receive anonymized personalized behavior data and to store the received anonymized personalized behavior data in the data store, the access to the stored anonymized personalized behavior data being controlled by the access control unit, the anonymized personalized behavioral data is behavioral data that represents a user's behavior, the behavioral data being anonymously personalized with an anonymous user ID; wherein the access control unit is configured to make configurable anonymized personalized behavior data configurably accessible to service providers when a request is received from one of the service providers for data specifying the anonymous user ID with which the requested data was personalized anonymously, wherein the service providers are entities separate from the data engine; a control provider, as an entity separate from the data engine, configured to receive from an identified user an access control unit configuration request specifying one of the service providers and an access configuration setting, and the access control unit configuration request to the data engine having the anonymous user ID to send the identified user; wherein the access control unit is configured to receive the access control unit configuration request and to configure the access by the specified one of the service providers to the personalized behavior data that has been personalized with the anonymous user ID according to the access configuration setting.

The system of claim 1, wherein the access configuration setting is to enable or disable access by the specified one of the service providers to the personalized behavior data personalized with the received anonymous user ID.

A system according to claim 1 or 2, wherein the access configuration control request specifies a setting application condition; and the access control unit is configured to selectively apply the specified access configuration setting depending on whether the requested data satisfies the setting application condition.

The system of claim 3, wherein the behavioral data is categorized according to a hierarchical taxonomy; and the setting application condition specifies a range of the hierarchical taxonomy.

The system of claim 4, wherein the access configuration setting is to disable the access until the behavior data that satisfies the setting application condition has been removed.

A system according to claims 1 to 5, wherein the behavioral data is stored by the data engine in association with metadata specifying a value of one or more of data reception time, data generation time, data generation location, data type, activity, and data generation device model information; and the setting application condition is a specified range of values of one of the one or more properties.

The system of claims 1 to 6, wherein the control provider is configured to: Receive identification information that identifies a user's identity, transmits an identity request corresponding to the received identification information to an ID generation device, in return receives an anonymous user ID, and outputs the anonymous user ID to the user.

The system of claim 7, further comprising an ID generation device configured to generate the anonymous user ID by performing an irreversible process in response to receiving the request and the anonymous user ID to the user via the control provider issue.

The system of claim 7 or 8, wherein each of the plurality of service providers is registered with the ID generation device.

A system according to any one of the preceding claims, wherein: the specified access configuration setting is one or more access policies; and the access control unit accesses, by the specified one of the service providers, to the personalized behavioral data personalized with the anonymous user ID according to the access configuration setting by allowing access by the specified one of the service providers to one or more of the conditions specified by the specified one of the service providers configured according to multiple access rules.

The system of claim 10, wherein: one of the one or more access provisions is a cash payment from the specified service provider to the user.

The system of any one of the preceding claims, wherein the data engine is configured to: for each anonymous user ID, maintaining a record of data access requests permitted by the anonymized personalized behavior data access control unit anonymized by the anonymous user ID of each of the service providers; and to transmit the record to the control provider periodically and / or in response to a triggering event.

System according to one of the preceding claims, wherein the access control unit is configured to receive from a service provider a request for data specifying one or more anonymous user IDs that anonymously personalize the requested data and a data area, and to respond to the request that for each of the one or more anonymous user IDs retrieves from the data store anonymized personalized behavior data stored in association with the anonymous user ID from the specified data area according to access control settings received for the service provider in access control unit configuration requests associated with be transmitted to the anonymous user ID; and output the retrieved data to the requesting service provider as a unified output.

The system of any one of the preceding claims, wherein the access control unit configuration request specifies more than one service provider among the service providers, and the access configuration setting is for each of the specified more than one service provider.

A method of storing personalized data and controlling access to personalized data, the method comprising: storing in a data engine, anonymized personalized behavior data, storing the received anonymized personalized behavior data in a data store, the anonymized personalized behavior data being behavioral data representing a user's behavior, the behavior data being anonymously personalized with an anonymous user ID; Controlling access to the stored anonymized personalized behavior data by making the stored anonymized personalized behavior data configurable to the service provider when one of the service providers obtains a request for data specifying the anonymous user ID with which the requested data is requested anonymized, the service providers being separate entities from the data engine; in a control provider, an entity separate from the data machine, receiving, from an identified user, an access control unit configuration request specifying one of the service providers and an access configuration setting, and transmitting the access control unit configuration request to the data engine with the anonymous user ID of the identified user ; and in the data engine, receiving the access control unit configuration request and configuring the access by the specified one of the service providers to the personalized behavior data that has been personalized with the anonymous user ID according to the access configuration setting.

Computer program that, when connected by interconnected computer devices is executed causes the interconnected computer devices to carry out a method according to claim 15.