存储包含个人数据的媒体和擦除个人数据的设备和方法

技术领域

本公开涉及用于安全存储和重新生成包含个人数据的媒体并根据请求可靠地擦除这样的个人数据的技术。

背景技术

本发明解决包含个人数据和其他数据的混合的媒体的存储，并且特别寻求提出这样的技术，该技术满足诸如关于在个人数据的处理方面保护自然人以及关于这样的数据的自由移动的条例(EU)2016/679(通用数据保护条例GDPR)、中国网络安全法、加利福尼亚州消费者隐私法案以及其他美国联邦和州法律的法律文书中规定的特征的隐私保护。根据GDPR，每个人都有权在任何时候要求完全删除他或她存储的个人数据。这被称为数据主体的擦除权，或者“被遗忘权”。然而，在现有技术中，被遗忘权可能与数据版本控制(长期管理大型数据集的几乎不可或缺的工具)不兼容。

与诸如文本、图像和视频数据的非离散媒体的存储有关的特定复杂性出现。在一个场景中，个人(数据主体)先前已经同意公司(数据接收者)存储视频，其中她出现在帧的一小部分中，她联系数据接收者，请求擦除她的个人数据。虽然数据接收者原则上有权保留除了该人出现的那些帧之外的所有帧，但是从数据保护的角度来看，存储用于每个视频帧的个人标识符将是非常有问题的。这是因为存储具有较高关联隐私风险的已识别的个人数据将需要技术布置以确保较高的安全等级，这实际上可能是不实用的。因此，为了满足个人的擦除请求，数据接收者可以选择盲目删除完整的视频序列，这意味着有用数据的大量和不合理的丢失。

发明内容

本公开的一个目的是提供用于存储包含个人数据的文件的方法和设备，使得可以执行数据主体对擦除其个人数据的请求，而不会不必要地删除文件中包含的其他数据。另一个目的是确保具有个人数据的文件被安全存储，直到提出这样的擦除请求，但其形式有利于自身的有效管理和处理。本公开要解决的特定安全方面是防止获得对存储的个人数据的未授权访问的一方识别其所属的数据主体(个人)。特别的效率方面是允许版本控制。本公开的另一个目的是提供用于有效重建具有已经使用本文中提出的技术进行安全存储的个人数据的文件的方法和设备。

根据独立权利要求的本发明实现了这些和其他方面。从属权利要求涉及本发明的有利的实施例。

在本发明的第一方面，提供了一种用于存储包含个人数据的文件的方法，该方法包括：获取个人的临时匿名标识符(AnonID.m)，其中，临时匿名标识符(AnonID.m)取决于文件的令牌(FileID.m)；从文件中提取与个人相关联的个人数据项；对于每个个人数据项，生成允许个人数据项被恢复到文件中的定位符(Loc.m.n)以及个人的特定项匿名标识符(AnonID.m.n)，其中，特定项匿名标识符通过将预定义单向函数应用于临时匿名标识符(AnonID.m)和个人数据项的标识符(n)的组合来生成；将每个个人数据项与定位符和特定项匿名标识符一起存储在第一存储器中；以及将文件的不具有个人数据项的匿名版本存储在第二存储器中。

因为特定项匿名标识符是使用单向函数生成的，所以获得对第一存储器的未授权访问的一方无法容易地将存储的个人数据项归属于个人。未经授权的一方也无法收集与同一个人相关联的所有个人数据项。这可以被认为是文件的一种假名形式。因为文件在存储到第二存储器之前是匿名的，所以该存储器的安全要求可能不如第一存储器严格。因为个人由临时匿名标识符所标识，所以数据接收者可以执行用于存储文件的方法，而无需要求个人共享她自己的非匿名标识符。最后，因为每个个人数据项与特定项匿名标识符一起存储，所以根据请求可以详尽而精确地删除与特定个人相关的所有项。

在第二方面中，提供了一种用于从第一存储器中擦除与个人相关联的个人数据的方法，第一存储器存储个人数据项以及与个人数据项相关联的个人的对应的定位符(Loc.m.n)和特定项匿名标识符(AnonID.m.n)，该方法包括：获取个人的私有标识符(PrivID)；获取可能已经从中提取个人数据项的所有文件的令牌(FileID.m)；对于文件中的每一个，获取与个人相关联并且可能已经从文件中提取的所有个人数据项的标识符(n)；通过将预定义单向函数应用于所获取的私有标识符(PrivID)和所获取的文件令牌(FileID.m)的组合来生成个人的临时匿名标识符(AnonID.m)；对于个人的每一个生成的临时匿名标识符(AnonID.m)，通过将预定义单向函数应用于临时匿名标识符(AnonID.m)和个人数据项的所获取的标识符(n)的组合来生成个人的特定项匿名标识符(AnonID.m.n)；以及从第一存储器中擦除与个人的所生成的特定项匿名标识符(AnonID.m.n)中的任何一个匹配的所有个人数据项。

每个个人数据项与特定项匿名标识符一起存储的事实使得可以详尽且精确地定位和擦除与特定个人相关的所有项。根据第二方面的擦除方法不需要修改或者删除从中提取个人数据项的文件的任何匿名版本。这使得数据接收者可以自由决定在个人的个人数据项被擦除之后如何挽回(salvaged)文件以及所挽回的程度。数据接收者可以根据适合于相关数据类型和手边用例的粒度程度决定在擦除之后重构和使用文件的子集。举几个示例，在从图像中擦除个人的面部之后，可以保留图像的裁剪版本以供进一步使用；在从视频序列中的某些帧中擦除个人的面部之后，所有剩余的视频帧(或者每个至少有N个剩余帧的连续视频子序列)可以被保留；在从数据库的行中擦除个人的姓名之后，可以保留数据库的其他行；在从文档中删除个人的凭证后，可以保留文档的其他部分，等。擦除方法本身不会对文件的挽回带来任何重大的技术限制。最后，为了验证该方法的执行已经完全擦除了与个人相关联的所有个人数据，确定没有一个生成的特定项匿名标识符与仍然存储在第一存储器中的任何个人数据项相匹配是足够的。

在第三方面中，提供了一种用于将个人数据恢复到文件中的方法，该方法包括：从存储已经从文件中提取的个人数据项以及与个人数据项相关联的个人的对应的定位符(Loc.m.n)和特定项匿名标识符(AnonID.m.n)的第一存储器中，检索已经从所述文件中提取的那些个人数据项和对应的定位符；从第二存储器中检索文件的不具有个人数据项的匿名版本；以及根据对应的定位符将个人数据项恢复成匿名版本。

因为个人数据项与对应的定位符和特定项匿名标识符一起存储，所以个人数据项可以被正确地恢复到文件的匿名版本中，而不会危及与其相关联的个人的隐私。恢复方法可以由数据接收者执行，而不需要个人共享其本人的非匿名标识符。进一步，因为恢复方法使用文件的匿名版本作为输入，所以即使当一些或者所有个人数据例如根据相关个人的请求而已经从第一存储器中擦除时，该方法也将鲁棒地执行。在这种情况下，更准确地说，该方法可以以这样的方式鲁棒地实现，即它终止以返回可用的(一致的、可读的、可编辑的等)文件版本，在该版本上，从其擦除被擦除的个人数据项的部分没有损坏效果。

当一起使用时，本发明的三个方面通过设计形成具有隐私性的数据存储生态系统。

进一步提供了一种通信地连接到第一存储器和第二存储器并且包括处理电路的设备，该处理电路被布置成执行第一方面、第二方面或者第三方面的方法。此外，本发明涉及一种包含指令的计算机程序，该指令用于使计算机或者特别是该设备执行第一方面、第二方面或者第三方面的方法。计算机程序可以存储或者分布在数据载体上。如本文中所使用的，“数据载体”可以是诸如调制的电磁波或者光波的暂时性的数据载体或者非暂时性的数据载体。非暂时性数据载体包括易失性和非易失性存储器，诸如磁、光或者固态类型的永久和非永久存储介质。这样的存储器可以是固定安装的或者便携式的，仍然在“数据载体”的范围内。

在本公开中，“文件”在广义上用于指代文件系统中任何可独立存储和/或处理的数据集，包括数据库、文件档案或者其他数据存储上下文。为了避免响应擦除请求而不必要地移除数据，数据接收者通常希望尽量小块地(即通常以每个文件的方式)处理包含个人数据的媒体。本发明符合这一期望，因为它在个人的个人数据被擦除之后，不仅允许挽回文件，而且允许挽回文件的子集。重新考虑上文所列出的示例，文件例如可以与图像、视频序列、数据库或者文档相对应。

本公开致力于使用与它们在GDPR的含义一致的术语“个人数据”、“数据主体”(即自然人)、“数据接收者”(即至少向其披露个人数据的一方)和“假名”。因此，“个人数据项”是“个人数据”的项，诸如包含个人的面部的图像的区域、私有拥有的汽车的牌照在其中可见的视频帧、包含个人的姓名的数据库行或者包含个人的凭证的文档的一部分。

通常，权利要求中使用的所有术语应当根据它们在技术领域中的普通含义来解释，除非在本文中另有明确定义。对“一个/该元件、装置、部件、手段、步骤等”的所有引用将被开放式地解释为指代元件、装置、部件、手段、步骤等的至少一个实例，除非另有明确说明。本文中公开的任何方法的步骤不一定以公开的确切顺序执行，除非明确说明。

附图说明

现在参考附图以示例的方式描述各方面和实施例，在附图中：

图1是用于存储包含个人数据的文件的方法的流程图；

图2是用于擦除与个人相关联的个人数据的方法的流程图；

图3是用于将个人数据恢复到存储文件中的方法的流程图；

图4是用于至少执行图1中所图示的方法的设备的功能框图；以及

图5示出了密钥推导结构，其中每个箭头表示单向映射。

具体实施方式

现在将在下文中参照附图更全面地描述本公开的各方面，在附图上示出了本发明的某些实施例。然而，这些方面可以以多种不同的形式实施，并且不应被解释为是限制的；相反，这些实施例是以示例的方式提供的，使得本公开将是彻底和完整的，并且向本领域技术人员充分传达本发明的所有方面的范围。在整个描述中，相同的编号指代相同的元件。

图1图示出用于存储包含个人数据的文件的方法100。方法100可以由已经接收或者生成文件并且已经进一步获取个人同意以将她的个人数据存储在文件中的数据接收者、自然人或者法人或者其代表来执行。同意不仅可以涵盖要存储的文件中的个人数据，还涵盖附加文件。方法100被构思为处理个人撤销她的同意的情况；撤销可以相当于请求完全删除个人的个人数据。

在初始的可选的

作为单向函数，方法100的实现可以使用散列函数，特别是提供考虑到要存储的个人数据的敏感性而被认为足够的安全等级的密码散列函数。两个示例是SHA-256和SHA3-512。单向函数应当是预定义的(例如，它应当是可以再次产生的)，使得在执行擦除请求时可以重新生成临时匿名标识符(AnonID.m)。

在步骤110中对个人可用的单向函数接口可以进一步允许个人基于个人标识符(ID)生成私有标识符(PrivID)。个人标识符(ID)可以是诸如身份证号码、社保号码、护照号码、姓名和出生日期的组合等的民间或者官方的标识符，其中个人无需主动将其归档即可重构。如果这一优点不被认为是重要的，个人可以向单向函数接口馈送任意的位模式作为私有标识符(PrivID)，只要个人确信她可以结合未来的擦除请求来再现该位模式，并且该位模式对于第三方而言相当难以再现的。从个人标识符(ID)到私有标识符(PrivID)的映射可以是与用于将私有标识符(PrivID)映射到临时匿名标识符(AnonID.m)相同的单向函数；可替代地，可以使用不同的单向函数。无论哪种方式，除非个人已经可靠地存储了私有标识符(PrivID)，否则她应当确保她将来能够访问相同的一个或多个单向函数，以保持能够命令擦除她的个人数据。

要存储的文件的令牌(FileID.m)是任意的，只要它可以基于关于存储在第二存储器中的文件的信息来重构。令牌(FileID.m)可以是运行的序列号。为了允许追溯枚举(例如，当已经请求擦除时)，令牌优选地是离散的量。示例令牌包括文件创建日期、媒体记录数据、(文件的匿名版本的)文件尺寸、文件尺寸在预定义尺寸直方(bins)集合中所属的尺寸直方(例如，在范围[0，10)，[10，20)，[20，30)，…中以MB为单位的尺寸)、文件内容的指纹/摘要、识别文件系统中的文件的文件名等。为了执行个人数据擦除，数据接收者可以通过查询文件系统关于存储在第二存储器中的所有文件来追溯地获取这些令牌的完整值集。如果文件创建日期被用作令牌，则完整值集与文件存储已经进行的数据范围相对应，其例如可以从工作日志中以数字或者非数字格式读取。虽然对本发明而言不是必需的，但是为每个文件使用唯一的令牌(即标识符)是有益的，因为这确保了特定项(item-specific)匿名标识符(AnonID.m.n)之间没有冲突；可替代地，相同的令牌(FileID.m)可以用于存储在相同或者附近时间点的多个文件的簇，使得不需要存储敏感的临时匿名标识符(AnonID.m)。然而，对所有文件使用不变的令牌是不可取的，因为这将意味着所有特定项匿名标识符将属于公共序列，并使存储的个人数据项目的总量的有效记账变得不可能；当请求完全擦除时，这样的记账非常方便。

在第二可选的

在方法100的下一

在

在

定位符(Loc.m.n)允许将个人数据项恢复到文件中。它的结构可以取决于文件所涉及的媒体类型。如果个人数据项是图像的区域，则定位符(Loc.m.n)可以例如根据它的边界框坐标指示图像中的该区域。对于视频数据，允许恢复帧中与个人的面部或者她的汽车牌照相对应的所提取的区域的定位符可以指示帧的序列号和所提取的区域的图像坐标。

在步骤118中，通过将预定义单向函数应用于临时匿名标识符(AnonID.m)和个人数据项的标识符(n)的组合来生成个人的特定项匿名标识符(AnonID.m.n)。单向函数可以与个人用于生成临时匿名标识符(AnonID.m)的函数相同，或者它可以是具有类似特征的不同的单向函数。个人数据项的标识符(n)可以是文件特定的序列号，即对于要存储的每个新文件，或者视情况而定，对于同时要存储的每个文件簇，序列计数器被重置，使得每个标识符在其文件(文件簇)内是唯一的，但是属于两个不同文件(文件簇)的个人数据项可以具有相同的标识符。标识符(n)还可以是全局序列号，或者它可以是操作系统或者另一相关命名空间等级上的个人数据项的完整标识符。代替数字计数器，可以等同地使用字母计数器或者在任何合适的离散集合或者空间中取值的计数器。计数器可以使用预定义枚举(或者递增)规则n

在方法100的进一步发展中，其中可以存储文件的连续版本，当要存储新版本时，重复步骤118，由此个人数据项的定位符进一步取决于文件的版本(或者提交(commit))v，Loc.m.n.v。这支持在第二存储器中实现版本控制。

参照图5，图5图示出标识符ID、PrivID、AnonID.m、AnonID.m.n是如何相关的。每个向下的箭头与单向函数的应用相对应。图5左侧的字母进一步指示哪个实体可以访问相关的标识符。

A：私有标识符(ID)保留在数据主体中；永远不需要与数据接收者共享。

B：数据主体存储私有标识符(PrivID)，直到撤销对存储个人数据的同意。此时，根据方法200，数据主体与数据接收者共享私有标识符(PrivID)以允许数据接收者擦除她的个人数据。

C：数据主体与数据接收者共享临时匿名标识符(AnonID.m)中的一个相当于同意将文件与她的个人数据一起存储。根据方法100，数据接收者使用该标识符来执行文件的存储。

D：数据接收者将特定项匿名标识符(AnonID.m.n)与提取的个人数据项一起存储在第一存储器中。为了允许数据接收者根据方法200执行所请求的个人数据项的擦除，这些标识符不能被删除，直到个人数据项被删除。

回到图1，方法100进一步包括

在可选的

-个人数据项的总数，在这种情况下，擦除方法应用预先约定的枚举规则和开始规则，

-第一个和最后一个个人数据项(例如，根据它们的特定项匿名标识符AnonID.m.n，或者根据它们的定位符Loc.m.n)，在这种情况下，擦除方法应用枚举规则，

-所有个人数据项的列表，在这种情况下，擦除方法可以是不可知的，或者

-所有个人数据项的位置的列表或者它们的位置，在这种情况下，擦除方法可以是不可知的。

优选地，对于包含个人的个人数据的每个文件或者对于使用的每个新文件令牌(FileID.m)，存储一个计数器条目。

在一些实施例中，计数器条目包括通过将单向函数应用于临时匿名标识符(AnonID.m)来生成的个人的可识别匿名标识符(RecAnonID.m)，也如图5中的虚线箭头所指示。由于可识别匿名标识符(RecAnonID.m)是通过单向函数生成的，因此它不能归属于个人。然而，在结合执行擦除请求时，可识别匿名标识符(RecAnonID.m)确实允许验证是否定位到正确的个人的计数器条目。当计数器条目包括可识别匿名标识符(RecAnonID.m)时，它可以具有以下结构：

这可以理解如下：已经使用令牌FileID.1的一个或多个文件恰好包含与个人相关联的N1个个人数据项，已经使用令牌FileID.2的一个或多个文件恰好包含与个人相关联的N2个个人数据项，等。

在方法100的进一步可选的

此时，在

如果没有其他个人考虑要存储的文件(步骤126的“否”分支)，则方法100的执行进行到可选的

在随后的

在步骤130中，所有提取的个人数据项的定位符(Loc.m.n)可以可选地与文件的匿名版本一起存储。换句话说，该选项意味着定位符(Loc.m.n)存储在第一存储器和第二存储器两者中。当在文件最初包含的个人数据中的一些已经被擦除的情况下重构文件并且该擦除通过删除与请求人相关联的表1的所有行(包括定位符)来执行时，访问定位符(Loc.m.n)的备用副本是有帮助的。然后，定位符(Loc.m.n)的备用副本允许将对应的位置标记为空/已修改/无效，尽管存在擦除。可替代地，如果擦除操作保留了定位符(即，保持表1的第一列不变)，则可以实现相同的标记功能。

这完成了文件的第一版本的存储。

可选地，方法100可以扩展到第二文件的存储，第二文件还包含与个人相关联的个人数据。第二文件可以通过属于相同的时间、空间或者主题上下文而与第一文件相关。例如，文件可以表示在连续的时间点获得的图像，或者彼此接连的视频序列。文件可以进一步与被分区以获取可管理的文件尺寸或粒度等的成像空间的不同子区域相关。

因此，在

如果不再有要存储的文件(步骤132的“否”分支)，方法100的执行可以终止。

在方法100的可选的附加步骤134中，文件的更新的匿名版本被存储在第二存储器中。更新的匿名版本可以在版本控制下存储，即不从第二存储器中删除先前的匿名版本。可以执行更新的匿名版本的存储，而不必更新第一存储器中的保持有效的信息；该事实有利地使得可以限制受信任处理个人数据的工作人员的范围。

可选地，步骤134影响第一存储器和第二存储器两者中的数据。假设期望增加视频序列中的亮度，该图像处理操作可以应用于视频序列的所有帧和第一存储器中的所有裁剪图像(即，提取的个人数据项)。匿名视频序列作为新版本保存在版本控制的第二存储器中，并且为新版本(v＝2)生成存储在第一存储器的数据结构中的新行上的新的定位符(Loc.m.n.2)。每个新行包括修改后的(高亮的)裁剪图像，但与第一版本的AnonID.m.n相同。这在不损害个人隐私保护的情况下成为可能。

图2以流程图形式图示出用于从第一存储器中擦除与个人相关联的个人数据的方法200。方法200在存储器将个人数据项以及与个人数据项相关联的个人的对应的定位符(Loc.m.n)和特定项匿名标识符(AnonID.m.n)一起存储的时间点开始；作为执行用于存储包含上述个人数据的文件的方法100的结果，该内容可以被加载到存储器中。

例如，方法200可以由先前已经接收或者生成一个或多个文件并且已经获取个人同意以存储包含在文件中的她的个人数据的数据接收者、自然人或者法人或者其代表来执行。用于擦除与个人相关联的个人数据的方法200可以在个人请求“被遗忘”(擦除她的个人数据)时执行，或者等同地在个人撤销先前给出的同意时执行。

在方法200的第一

在第二

原则上，个人可以维护她与数据接收者共享与请求擦除相关的她自己的令牌(FileID.m)的注册；这将允许个人将她的请求限制为部分擦除，例如，包含在特定日期记录的文件中的个人数据。然而，如果数据接收者是专业实体，则更方便的选项可以是让数据接收者存储足够的信息以允许其完全独立地重新生成令牌(FileID.m)，而不需要除了私有标识符(PrivID)之外的来自个人的任何其他输入。该信息的存储应当至少与私有数据的存储一样可靠和/或持久，因为如果信息丢失，则不再存在任何方便的方式来基于与特定个人相关的私有数据的知识执行选择性删除。如果令牌(FileID.m)基于文件名、原始文件尺寸、创建日期或者其他文件属性，则可以实践的有吸引力的选项是让数据接收者查询存储已经提取个人数据项的文件的匿名版本的第二存储器。然后，在子步骤212.1中，查询可以包括向第二存储器的文件系统发出的ls或者dir命令，只要第二存储器存储相关的文件，该命令就会成功。由于在随后的步骤224中，从查询的输出中推导的令牌与生成的特定项匿名标识符(AnonID.m.n)相匹配，因此如果对第二存储器的查询返回作为副产品的与个人无关的附加文件的属性，这是很小的问题。

在下一

例如，要擦除的个人数据项的标识符(n)可以通过执行子步骤214.1来获取，在子步骤214.1中读取个人的计数器条目。上文结合用于存储的方法100的步骤122引入了计数器条目的概念，以及可选地包括可识别匿名标识符(RecAnonID.m)的示例数据结构。为了在多个存储的计数器条目当中找到用于文件的正确的计数器条目，数据接收者通过首先将单向函数应用于文件的私有标识符(PrivID)和令牌(FileID.m)的组合，返回临时匿名标识符(AnonID.m)，并且然后将单向函数应用于临时匿名标识符(AnonID.m)，来重新生成可识别匿名标识符(RecAnonID.m)。数据接收者将该操作的输出与多个存储的计数器条目的相关字段(列)相匹配。匹配的计数器条目的另一字段表示个人数据项的总数、由预定义枚举规则确定的序列中的第一个个人数据项和最后一个个人数据项、所有个人数据项的列表或者在步骤122下列出的任何其他选项。因此，由于每个临时匿名标识符(AnonID.m)预期一个计数器条目，因此子步骤214.1返回用于每个临时匿名标识符(AnonID.m)的一组标识符(n)。

为了说明，假设计数器条目指示存储的第一个个人数据项的标识符(n

在进一步的

如本领域技术人员将理解的，步骤214和216可以以任何顺序或者并行执行。由于在步骤216中生成的临时匿名标识符(AnonID.m)可以在子步骤214.1中用作输入，因此并行执行可以减少必须评估单向函数的总次数。

接下来是生成个人的特定项匿名标识符(AnonID.m.n)的

在

当所有文件令牌(FileID.m)已经被处理时，方法200前进到

图3是用于将个人数据恢复到文件中的方法300的流程图。方法300在第一存储器将个人数据项以及个人的与个人数据项相关联的对应的定位符(Loc.m.n)和特定项匿名标识符(AnonID.m.n)一起存储并且第二存储器存储文件的匿名版本的时间点开始。作为执行用于存储包含上述个人数据的文件的方法100的结果，存储器可能已经接收到该内容。此外，由于存储文件的时间，因此用于擦除与个人相关联的个人数据的方法200可能已经被执行，在这种情况下，第一存储器现在包含当存储方法100被执行时从文件中提取的个人数据项的不完整集合。

在方法300的第一

在第二

然后，在

子步骤314.1表示执行步骤314的有利方式。这里，顺序地遍历所有检索到的个人数据项，并且步骤314在最后一项之后终止。即便个人数据中的一些或全部例如根据关联的个人的请求而从第一存储器中已经被擦除，子步骤314.1也将鲁棒地(robustly)执行，并且它可以被配置成返回具有与被擦除的个人数据项相对应的一些剩余部分的可用的(未损坏的、可读的、可编辑的等)文件。剩余部分可以包含在存储方法100的执行中应用的移除、隐藏、编辑、屏蔽、替换、重写、过滤和图像处理中的任何一种的输出。

在可选的

在进一步可选的

具有恢复的个人数据项的文件被保存在执行方法300的处理器的运行时存储器中。为了加强数据主体的隐私，方法300可以可选地包括采取动作以防止具有恢复的个人数据项的文件的非易失性存储的最终

图4示出了设备410，设备410通信地连接到第一存储器421和第二存储器422，并且包括被布置成执行存储方法100、擦除方法200和/或恢复方法300的处理电路411。处理电路411可以包含专用或者可编程电路，或者它们可以使用联网(“云”)资源以分布式方式实现。处理电路411可以包括易失性运行时存储器。可替代地，存储器可以是非易失性的，并且提供有看门者或者由依赖性跟踪覆盖。第一存储器421可以用于存储从文件中提取的个人数据项、定位符和特定项匿名标识符。由于第一存储器421用于相对敏感的内容，因此它应当优选地具有对入侵攻击的高抗性。类似地，例如通过网络与第一存储器421的通信连接应当被保护以免被窃听。第二存储器422可以用于存储文件的匿名版本(或者多个匿名版本)。存储器421、存储器422两者可以是非易失性存储器。第二存储器422可以受到版本控制。第一存储器421不需要版本控制。

图4利用图示出可以如何执行存储方法100的数据标签进行了注释。要存储的文件被供给在设备410的左上部处。在左下部处，供给了临时匿名标识符(AnonID.m)。可以使用单向函数接口490由或代表与私有数据相关联的个人生成临时匿名标识符(AnonID.m)。如图所指示，单向函数接口490接收个人的私有标识符(PrivID)作为输入，并且根据设备410供给的文件令牌(FileID.m)进一步修改。个人可以使用单向函数接口490(在图4中作为其另一实例图示出)来基于个人标识符(ID)生成私有标识符(PrivID)。基于这些输入，设备410从所供给的文件中提取个人数据项(在图4中用矩形和圆形表示)，并且将它们与对应的定位符(Loc.m.n)和特定项匿名标识符(AnonID.m.n)一起存储在第一存储器421中。然后，第一存储器可以包含个人数据项、定位符和标识符的三元组。与此并行地，设备410将文件的匿名版本存储在第二存储器422中。

当设备410执行擦除方法200时，它可以接收请求个人的私有标识符(PrivID)，并且它向第一存储器421发出删除命令。当设备410执行恢复方法300时，它从第一存储器421和第二存储器422检索数据，并且输出恢复的文件。

编号的实施例

实施例1。一种用于存储包含个人数据的文件的方法(100)，该方法包括：

获取(114)个人的临时匿名标识符(AnonID.m)，该临时匿名标识符(AnonID.m)取决于文件的令牌(FileID.m)；

从文件中提取(116)与个人相关联的个人数据项；

对于每个个人数据项，生成(118)允许个人数据项被恢复到文件中的定位符(Loc.m.n)以及个人的特定项匿名标识符(AnonID.m.n)，其中，特定项匿名标识符通过将预定义单向函数应用于临时匿名标识符(AnonID.m)和个人数据项的标识符(n)的组合来生成；

将每个个人数据项与定位符和特定项匿名标识符一起存储(120)在第一存储器中；以及

将文件的不具有个人数据项的匿名版本存储(130)在第二存储器中。

实施例2。根据实施例1的方法，用于进一步存储包含与个人相关联的个人数据的第二文件，该方法包括：

获取(114)个人的第二临时匿名标识符(AnonID.(m+1))，该临时匿名标识符(AnonID.(m+1))取决于第二文件的令牌(FileID.(m+1))；

从第二文件中提取(116)与个人相关联的个人数据项；

对于每个个人数据项，生成(118)个人的定位符(Loc.(m+1).n)和特定项匿名标识符(AnonID.(m+1).n)，其中，特定项匿名标识符通过将单向函数应用于第二临时匿名标识符(AnonID.(m+1))和个人数据项的标识符(n)的组合来生成；

将每个个人数据项与定位符和特定项匿名标识符一起存储(120)在第一存储器中；以及

将第二文件的不具有个人数据项的匿名版本存储(130)在第二存储器中。

实施例3。根据实施例1或2的方法，进一步包括：

获取(114)其他个人的临时匿名标识符(AnonID’.m)，该临时匿名标识符(AnonID’.m)取决于文件的令牌(FileID.m)；

从文件中提取(116)与其他个人相关联的个人数据项；

对于每个个人数据项，生成(118)其他个人的定位符(Loc.m.n)和特定项匿名标识符(AnonID’.m.n)，其中，特定项匿名标识符通过将单向函数应用于临时匿名标识符(AnonID’.m)和个人数据项的标识符(n)的组合来生成；以及

将每个个人数据项与定位符和特定项匿名标识符一起存储(120)在第一存储器中，

其中，将文件的不具有与个人相关联的个人数据项以及与其他个人相关联的个人数据项的匿名版本存储在第二存储器中。

实施例4。根据前述实施例中任一项的方法，其中，第二存储器而不是第一存储器受到版本控制。

实施例5。根据前述实施例中任一项的方法，其中，第一存储器和第二存储器是非易失性的。

实施例6。根据前述实施例中任一项的方法，其中：

个人数据项中的至少一个是图像的区域；并且

定位符(Loc.m.n)指示图像中的区域。

实施例7。一种用于将个人数据恢复到文件中的方法(300)，该方法包括：

从存储已经从文件中提取的个人数据项以及个人的与个人数据项相关联的对应的定位符(Loc.m.n)和特定项匿名标识符(AnonID.m.n)的第一存储器中，检索(310)已经从所述文件中提取的那些个人数据项和对应的定位符；

从第二存储器中检索(312)文件的不具有个人数据项的匿名版本；以及

根据对应的定位符将个人数据项恢复(314)到匿名版本中。

实施例8。根据实施例7的方法，其中，所述恢复包括：顺序地恢复(314.1)所检索的个人数据项，并且在最后一项之后终止。

实施例9。根据实施例7或者8的方法，进一步包括：

识别(316)匿名版本的个人数据项已经被提取但未被恢复的这样的部分；以及

向下游实用程序处理步骤通知(318)所识别的部分。

实施例10。根据实施例7至9中任一项的方法，进一步包括：

采取动作(320)以防止具有恢复的个人数据项的文件的非易失性存储。

本公开的方面已经在上文主要参考几个实施例进行了描述。然而，如本领域技术人员容易理解的，在由所附专利权利要求限定的本发明的范围内，除了上文公开的实施例之外的其他实施例同样是可能的。