用于确定数据隐私法规的适用性的方法和系统与流程

本公开涉及计算机领域，特别地涉及在用于实现企业项目时计算机的使用。更具体地说，本公开涉及在将敏感数据从一个地缘政治实体传输至另一个地缘政治实体时计算机的使用。企业项目，也称为动议，被定义为由企业采取用以执行一个或者多个任务的项目。例如，动议可以处理信用卡交易，生成服务账单，处理研究项目的医学数据等。这种动议通常需要将数据从一个地缘政治实体(即，任何地缘政治实体(例如国家、州、省，等。))传输至另一个地缘政治实体。

技术实现要素：
当传输用于企业项目的数据时，确定数据隐私法规适用性的计算机硬件实现的方法、系统和/或者计算机程序产品。数据隐私法规描述关于当前从第一地缘政治实体传输至第二地缘政治实体的数据的法规限制。一组分类数据由企业项目使用，并且数据隐私法规建立关于来自分类数据组的至少一个类别的数据的传输限制，所述传输是从第一地缘政治实体至第二地缘政治实体。处理第一组二进制数据和第二组二进制数据以确定从第一地缘政治实体传输至第二地缘政治实体的所述至少一个类别的数据的传输是否由数据隐私法规来监管。附图说明图1描述了可以用于实现本发明的示例性系统和网络；图2示出了处理器或者其它计算机硬件为确定当数据从一个地缘政治实体传输至另一个地缘政治实体时数据隐私法规的适用性而采取的一个或者多个示例性步骤的高级流程图；图3示出了特定数据隐私法规如何应用到由企业项目使用的特定数据类别的示例性视觉编码矩阵；图4描述了关于各种数据隐私法规的企业项目的非二进制遵从级别的示例性视觉编码矩阵；以及图5示出了本发明为确定数据隐私法规适用性和/或者非二进制遵从级别而采取的步骤的另一个描述。具体实施方式所属技术领域的技术人员知道，本发明可以实现为系统、方法或计算机程序产品。因此，本公开可以具体实现为以下形式，即：可以是完全的硬件、也可以是完全的软件（包括固件、驻留软件、微代码等），还可以是硬件和软件结合的形式，本文一般称为“电路”、“模块”或“系统”。此外，在一些实施例中，本发明还可以实现为在一个或多个计算机可读介质中的计算机程序产品的形式，该计算机可读介质中包含计算机可读的程序代码。可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子（非穷举的列表）包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器（RAM）、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于——无线、电线、光缆、RF等等，或者上述的任意合适的组合。可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如”C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机（例如利用因特网服务提供商来通过因特网连接）。以下参照本发明实施例的方法、装置（系统）和计算机程序产品的流程图和/或框图描述本发明。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器，从而生产出一种机器，这些计算机程序指令通过计算机或其它可编程数据处理装置执行，产生了实现流程图和/或框图中的方框中规定的功能/操作的装置。也可以把这些计算机程序指令存储在能使得计算机或其它可编程数据处理装置以特定方式工作的计算机可读介质中，这样，存储在计算机可读介质中的指令就产生出一个包括实现流程图和/或框图中的方框中规定的功能/操作的指令装置(instructionmeans)的制造品（manufacture）。也可以把计算机程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机或其它可编程装置上执行的指令能够提供实现流程图和/或框图中的方框中规定的功能/操作的过程。现参照附图，尤其是图1，其中描述了示例性系统和网络的框图，所述系统和网络可以由本发明的实施方式使用和/或者在本发明的实施方式中使用。注意，示例性架构中的一些或者全部，包括所描述的硬件和软件（针对计算机102并且在计算机102内）可以由软件部署服务器150和/或者数据库服务计算机152使用。示例性计算机102包括处理器104，该处理器104被耦合至系统总线106。处理器104可以利用一个或者多个处理器，所述处理器中的每一个具有一个或者多个处理器内核。视频适配器108驱动/支持显示器110，其也被耦合至系统总线106。系统总线106经由总线桥接器112被耦合至输入/输出（I/O）总线114。I/O接口116被耦合至I/O总线114。I/O接口116提供与各种I/O设备的通信，包括键盘118、鼠标120、媒体托盘122（可以包括例如CD-ROM设备的存储设备、多媒体接口等）、打印机124和外部USB端口126。尽管与I/O接口116连接的端口格式可以是计算机架构领域技术人员已知的任何格式，在一个实施例中，这些端口的一些或者全部是通用串行总线（USB）端口。如上所述，通过使用网络接口130，计算机102能够与软件部署服务器150以及数据库服务计算机152进行通信。网络接口130是硬件网络接口，例如网络接口卡（NIC）等。网络128可以是外部网络（例如因特网）或者内部网络（例如以太网或者虚拟专用网络（VPN））。硬件驱动接口132也被耦合至系统总线106。硬件驱动接口132与硬件驱动134相连接。在一个实施例中，硬件驱动134位于系统存储器136，所述系统存储器也被耦合至系统总线106。系统存储器被定义为计算机102中最低级别的易失性存储器。该易失性存储器包括额外的较高级别的易失性存储器（未示出），包括但不限于，高速缓存存储器、寄存器和缓冲器。位于系统存储器136的数据包括计算机102的操作系统（OS）138和应用程序144。OS138包括外壳140，用于提供对资源的透明用户访问（例如应用程序144）。通常，外壳140是为用户和操作系统之间提供解释器和接口的程序。更具体地说，外壳140执行被输入到命令行用户接口的命令或者来自文件的命令。因此，外壳140（也被称为命令处理器）通常是操作系统软件层级的最高级别并且充当命令解释器。外壳提供系统提示，解释由键盘、鼠标或者其它用户输入媒介输入的命令，并且将一个或者多个所解释的命令发送至适当的操作系统的较低级别（例如内核142）进行处理。注意，虽然外壳140是基于文本的、面向行的用户接口，但是本发明将同样支持其它用户接口模式，例如图形化、语音、手势等。如上所述，OS138还包括内核142，该内核包括OS138的较低级别的功能，所述功能包括为应用程序144和OS138的其它部分提供所需要的基本服务，所述基本服务包括存储器管理、进程和任务管理、磁盘管理以及鼠标和键盘管理。应用程序144包括渲染器（renderer），该渲染器以示例性方法显示为浏览器146。浏览器146包括程序模块和指令，使得万维网（WWW）客户端（即，计算机102）能够使用超文本传输协议（HTTP）消息向/从因特网发送和接收网络信息，从而实现与软件部署服务器150和其它计算机系统的通信。在计算机102的系统存储器（以及软件部署服务器150的系统存储器）中的应用程序144还包括数据传输法规评估逻辑（DTREL）148。DTREL148包括用于实现以下所述过程的代码，所述过程包括在图2-5中描述的那些过程。在一个实施例中，计算机102能够从软件部署服务器150下载DTREL148，所述下载包括以按需方式，其中DTREL148中的代码直到需要用于执行时才被下载。还需要注意的是，在本发明的一个实施例中，软件部署服务器150执行与本发明相关联的所有功能（包括执行DTREL148），从而使得计算机102不必使用它自己的内部计算资源以执行DTREL148。注意，计算机102中描述的硬件元件不旨在穷举，它们只是突出本发明所需的基本组件的代表。例如，计算机102可以包括备用的存储器存储设备，例如磁带盒、数字多功能光盘（DVD）、伯努利盒式磁带等。这些和其它变化旨在落入本发明的范围和精神内。现参照图2，示出了一个或者多个示例性步骤的高级流程图，所述步骤由处理器或者其它计算机硬件采取用以在将用于企业项目的数据从一个地缘政治实体传输至另一个地缘政治实体时确定数据隐私法规的适用性。在起始方块202之后，由计算机硬件（块204）接收和/或者解析数据隐私法规。该数据隐私法规可以以第一组二进制数据的形式到达计算机硬件，其描述了关于对当前从第一地缘政治实体（例如，第一国家）传输至第二地缘政治实体（例如，第二国家）的数据的法规限制。例如，第一地缘政治实体（例如，第一国家）可能具有禁止将任何描述了个人信用卡交易的数据传输至任何或者特定其它地缘政治实体（例如，另一个国家）的法规。也就是说，该法规可以禁止1）将任何信用卡信息发送至在另一个国家（或者其它地缘政治实体）的任何实体/企业；2）将特定类型（例如，购买、信用卡账户号码等的描述）的信用卡信息发送至某些国家；3）将特定类型的信用卡信息发送至某些国家，除非已经遵循某些协议（例如，接收国家已经加入与发送国家的条约以遵循某些数据隐私准则）；等等。如块206中所述，计算机硬件接收和/或者解析当前由企业项目使用的一组分类数据。该分类数据可以被接收为描述该分类数据的第二组二进制数据。例如，该分类数据可以被解析成不同类别，例如人名、社会保险号码、信用卡账户号码、对安全问题的答案（例如，母亲的婚前姓氏），等等。以上在块204中描述的数据隐私法规（无论是在一起还是已经被解析）建立了关于从第一国家（或者其它类型的“第一地缘政治实体”）至第二国家（或者其它类型的“第二地缘政治实体”）的来自分类数据组的至少一个类别的数据的传输限制。现参照块208，计算机硬件处理第一组二进制数据和第二组二进制数据以确定从第一国家传输至第二国家的至少一个类别的数据是否由数据隐私法规（已经解析或者未解析）进行监管。如果数据隐私法规应用于当前由企业项目使用的数据从一个地缘政治实体至另一个的传输（查询块210），那么视觉编码矩阵描述至少一个类别的数据如何应用于该数据隐私法规。例如，考虑来自图3的示例性视觉编码矩阵300，其描述特定数据隐私法规如何应用于由企业项目使用的特定数据类别。块302、304和306全是空的，以便视觉编码/表示如下事实，即该特定数据类别的数据可以在两个图示国家之间自由地传输。在此情况下，确保该特定数据类别的发送国家和接收国家使得数据与以下四个场景中的至少一个相匹配：1）任何一个国家都不认为当前由企业项目使用的数据类型是敏感的/私有的；2）由于当前正确强制实施国家之间的条约或者法规，可以将当前由企业项目使用的数据类型从一个国家传输至另一个；3）虽然在国家中的一个或者两个中可能没有关于这种数据的法律/法规，但是由于两个国家都有保护该类型数据的历史，因此可以将当前由企业项目使用的数据类型从一个国家传输至另一个；等等；4）由于企业本身在国家之间具有适当的私有协议或者具有满足法规的合适认证，因此可以将当前由企业项目使用的数据类型从一个国家传输至另一个。例如，假设在国家C中的企业想要将使用信用卡所购买的产品的描述传输至国家B。如块302的空白视觉编码所表示的，可以将该数据自由地从国家C传输至国家B。然而，如果国家A想要将该类型数据传输至国家B，那么块308中的视觉编码表明存在适用于这种传输的法律和/或者法规。当将该类型数据从国家B传输至国家A（参见块310）以及从国家B传输至国家C（参见块312）时，适用类似的限制。但是，注意，块310有字母“EU”覆盖在其上。这表明为了将该类型数据从国家B传输至国家A，需要企业项目遵守欧盟（EU）指令规定。这些EU指令规定需要安全港框架就位，或者该标准合同和/或者有约束力的企业规则就位。假设US企业/公司遵守EU规则中提出的七个原则，该安全港架构允许美国（US）公司选择进入可以在其中将某些类型的数据在EU和US之间传输的项目。也就是说，US企业/公司必须同意1）通知个体当前正在收集个人信息；2）给予个体选择以选择退出数据提交/收集；3）同意将敏感数据仅转发给采取适当步骤保护该数据的实体；4）采取合理的努力以防止数据被窃取；5）仅获得/传输合法项目所需的数据；6）允许个体有访问/修改他们自己的数据的权利；以及7）设立用于强制实施步骤1-6的手段。同样地，在块312中示出的“HD”表示所传输数据的发送方/接收方必须同意为个体提供某种机制以使得个体能够访问和/或者修改他自己的数据——所述个体的个人数据当前在两个国家之间进行传输。该要求被称为人身保护数据规则（HabeasDatarule），从而“HD”指示器。还需要注意的是，在视觉编码矩阵300中，块314的唯一视觉编码表明在将数据从国家A传输至国家C的时候有限制性非常强的法规在发挥作用。同样地，如果预计将这种数据从国家A传输至国家C，该法规可以提出在企业项目中包括该类型的数据是负有法律责任的。还需要注意的是，在视觉编码矩阵300中，块316的唯一视觉编码表明，无论是否设立数据隐私法规，当前在接收国家中适当处理所传输数据的期望几乎没有。也就是说，国家A可能具有对已经设立的数据隐私法规执行不力的悠久历史。因此，在将个人/敏感数据从国家D传输至国家A的时候，应该不期望国家A内的实体（例如企业的数据接收方）会按照他们自己的数据隐私法规所规定的那样真正地保护该数据。同样地，生成数据的发送实体可以确定企业项目应该被修改，以使得该类型的数据完全不被发送至国家A。最终，块318的唯一视觉编码表明对于来自国家C的数据，国家A应当永远不被信任，无论是由于缺乏与国家D的数据隐私法规/条约，还是国家A未能保护从国家D接收的个人/私有数据的过去史。同样地，如块320、块322和块324的视觉编码所表示的，不论它源自哪里，国家D也永远不被个人/私有数据信任。对国家D的这种信任缺乏是由于国家D内的数据隐私法规的缺乏和/或者国家D内实体不尽职的历史（例如，为了经济增益、政治增益、军事增益而泄露私有/个人数据）。同样地，任何企业项目都应当被修改以使得个人/私有数据不被传输至国家D。现在返回至图2，如块214中所表示的，基于在块208、210和212中描述的操作结果，生成修改企业项目的推荐流程并且将其显示给用户。当该推荐流程被执行时，其被设计以使得至少一个类别的数据从第一国家至第二国家的传输变得遵守数据隐私法规和/或者生成当前被传输的数据将由接收方适当处理的高置信度。可以通过将数据隐私法规需要的与发送实体当前正在进行的相比较来生成该推荐流程。在块214中描述的这种推荐流程的一个示例是对于企业实施与第一国家或者第二国家的合约协议以满足国家的数据隐私法规。例如，两个国家可以具有条约/协议允许两个国家的当事人同意放弃数据隐私法规的保护。注意，在这一实施例中，企业向两个国家的数据保护机构登记企业项目。在块214中描述的推荐流程的另一个示例是用于从第一国家的居民获取契约性弃权以满足数据隐私法规。也就是说，即使在一个或者两个国家中有数据隐私法规在实施，也可以有针对每个个体的条款用以提供个体弃权（“选择加入或者决定退出”）以允许数据在国家之间被自由地传输，其中私有/个人数据适用于每个个体。在块214中描述的推荐流程的另一个示例是用于实施上述安全港架构（或者其它相似类型的认证过程）。如果块214中描述的推荐流程被执行（询问块216），就可以显示分类数据组的矩阵（块218）。由于当前所执行的企业数据隐私流程，该矩阵由来自至少一个类别的数据的特定类别用数据隐私法规的多个组件中的特定组件进行视觉编码以表示非二进制遵从级别。注意，“非二进制”被定义为遵从的梯度级别。也就是说，数据隐私法规的遵从不单是“是/否”评估，而是程度的问题。因此，在执行推荐步骤以保证对所传输的个人/私有数据适当级别的保护之后，根据企业项目与数据隐私法规适合的程度对当前所传输的特定的一组私有/个人数据进行分级。例如，参照在图4中示出的矩阵400。如块402、404、406、408、410和416的空白视觉编码所表示的，当前在两个所显示国家之间传输的特定类别的数据目前（在来自两个国家的发送方企业和/或者接收方企业执行推荐隐私流程之后）完全遵从需要的数据隐私法规和/或者满足对该类型数据的期望隐私/保护级别。然而，块414的视觉编码表明在企业执行了数据隐私流程之后，当前从国家A传输至国家C的数据仅部分地遵从相关数据隐私法规。如块412的视觉编码所表示的，当前从国家B传输至国家C的数据在遵从相关数据隐私法规上甚至不如由块414的视觉编码所指示的级别。最终，如块418、420、422和424的视觉编码所表示的，尽管企业执行推荐数据隐私流程，也绝不应当将数据从国家C传输至国家A，或者从任何国家传输至国家D。返回至图2，过程在结束方块220处结束。注意，在一个实施例中，如果数据隐私法规发生改变，那么至少一个类别的数据的非二进制遵从级别可能也发生改变。如果这样，那么图3和图4中示出的矩阵的视觉编码自动调整它们各自的块的视觉编码以便反映数据隐私法规的所述变化。注意，在一个实施例中，数据隐私法规监管个人可识别信息（PII）的传输。在该实施例的这一实施中，根据来自分类数据组的一个类别的数据的背景，确定来自分类数据组的至少一个类别的数据是PII。也就是说，至少一个类别的数据的背景由来自分类数据组另一个类别的数据的使用和可用性来确定。例如，假设该数据类别是一个人的生日。单独讲，没有任何情况表明这是PII。然而，如果另一个数据类别，例如一个人的家乡与生日类别相关联，那么如果这个人的家乡足够小，就可以容易地确定哪个个体是由该生日识别的。换句话说，数据在相关数据的背景下变成PII。因此，关于这个人的任何其它信息（例如，购买习惯、医疗记录，等）和该生日相关联的都不再是不可辨识的。注意，尽管以上在两个国家之间的数据传输的背景下对本发明进行了描述，但是在本发明的一个实施例中，该数据传输是在能够监管敏感/私有数据的传输/接收的任何两个地缘政治实体之间进行的。这些地缘政治实体包括，但不限于州、省、政治分支机构，等。还需要注意的是，上述矩阵300和400被描述为用于评估单个数据隐私法规。然而，在可选实施例中，这种矩阵可以是多维矩阵和/或者复合矩阵，从而可以通过使用视觉编码的多重梯度来显示多个数据隐私法规和/或者多个类别的数据，以表示整体关系/复合关系（例如在矩阵300中描述的）和遵从度/置信度（例如在矩阵400中描述的）。现参照图5，概念模型500提供示例性方法，其中以该示例性方法执行对数据隐私法规以及它们与将在两个国家之间传输的数据的关系的分析。在步骤1中，每个国家的法规被输入义务清单（IOO）。在一个实施例中，通过订阅新闻服务等在国际法规架构中随时掌握最新的更新来执行法规的这一输入。然后将这些法规解析成子组件，其中每个子组件对特定类型的数据进行编址和/或者特定于两个特定的国家（例如，敏感数据的发送方和接收方）。这些子组件被正规化（即，被分配给统一的类别）用以创建称为“隐私原则”的IOO架构，所述隐私原则是国家法规可能声称的简明语言对等物。例如，典型的IOO隐私原则可能声称“需要隐私管理官员”，然而各种国家法规可能声称需要“数据管理人”或者“被分配责任的个人”，等。除了每个国家的法规，IOO还遵守数据字典，该数据字典描述每个国家对私有数据的定义。如上所述，在数据隐私法规的分析中，美国的州中的每一个都被视为单独的地缘政治实体（即，像不同的“国家”）。无论何时请求对特定的公司动议（例如，企业项目）进行分析，步骤1都是当前发生的正在进行的过程。这在任何企业项目的准备中保持最新的国家法规清单，所述清单可能贯穿该过程。在图5的概念模型中所描述的步骤2中，输入公司的单个动议（项目、方案）。该输入允许系统基于公司对于特定项目需要知道的内容的子集对IOO数据库内的任何查询进行跟踪。IOO还充当系统已经完成的内容的永久记录，以使得如果数据隐私法规发生改变，就可以警告公司关于该变化可能如何影响特定的现有项目。因此，该步骤2为特定项目需要的变量和国家的特定组合定制分析。输入动议作为当前使用的数据类型和参与的国家的列表。这时还输入其它变量以帮助标准化动议和将它与数据库中的元素进行比较。在图5的概念模型中的步骤3中，关于公司控制的内容已经就位的信息被提供给IOO。该步骤在分析步骤5（下面）处起作用，在此期间系统创建并且提出了缓解建议。例如，如果已知隐私管理官员存在并且需要被用于方案中提到的特定国家，那么众所周知公司已经遵从数据隐私法规组件。同样地，如果在某些国家之间需要EU标准合同并且这些已经就位，那么众所周知公司已经遵从并且该遵从将在矩阵（例如图4中所示的矩阵400）中表示。因此，出于遵从的目的，公司控制跟踪需要的内容或者已经就位的内容。在图5的概念模型中的步骤4中，在义务清单（IOO）数据库中对包括来自步骤1-3的信息的数据储存库进行规范化。在图5的概念模型中的步骤5中，如以上在图2-3中所述，分析过程确定来自企业动议的数据是否由一个或者多个数据隐私法规进行监管。例如，可以通过IOO为系统提供参与动议的国家的交叉引用地图。系统还可以断定是否已经存在针对这些国家的组合的适当公司缓解，和/或者系统可以提供通用缓解（“确保国家X和国家Y之间的标准合同就位”）。在图5的概念模型中的步骤6中，生成了针对特定动议/方案的推荐/结论。注意，在本发明的一个实施例中，这里描述的分析被用于自动生成关于如何构架当前和/或者未来动议（企业项目）的一个或者多个推荐。例如，如果来自过去或者当前动议的数据的分析显示特定类别的数据受到的数据隐私法规过于昂贵、繁琐或者在没有刚性监督的情况下难以实现，那么可以建立规则使得由企业采取的所有未来动议被设计成不使用该特定类别的数据。同样地，如果来自过去或者当前动议的数据的分析显示将特定类别的数据传输至特定的地缘政治实体（例如，特定国家）被视为内在地存在问题（即，接收国家不能被信任和/或者其具有的数据隐私法规过于昂贵、繁琐或者在没有刚性监督的情况下难以实现），那么可以建立规则使得由企业采取的所有未来动议被构架成从不将该类别的数据传输至该特定国家。相反，如果来自过去或者当前动议的数据的分析显示将特定类别的数据传输至特定的地缘政治实体（例如，特定国家）被视为内在地没有问题（即，接收国家值得信任和/或者其具有的数据隐私法规易于实现），那么可以建立规则使得由企业采取的所有未来动议被设计成一直将该类别的数据传输至该特定国家。各种国家还可以根据它们在接收特定类别数据的传输的背景下有多负有法律责任/值得信任来排序。然后，该排序被用于架构关于什么类别的数据被允许传输至各种国家的未来动议。例如，可以根据它们执行它们自己的或者全球的数据隐私法规的积极程度和/或者它们历史上如何保护数据隐私权利（用或者不用数据隐私法规）对不同国家进行排序。如果特定国家在这一点上排序低，那么如果该特定类别的数据几乎没有隐私因素或者没有隐私因素（例如，天气数据，等），则将特定类别的数据传输至该国家仍然是合适的。然而，在其它实施例中，将选择“最值得信任的”国家用于接收特定类别的隐私（敏感）数据。附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。这里使用的术语仅是为了描述特定的实施例，而非意在限制本发明。如在本文中所使用的，除非上下文另外清楚指明，单数形式“一个”（“a”、“an”）和“该”旨在也包括复数形式。应该进一步理解，当术语“包括”（“comprises”和/或“comprising”）在本说明书中使用时，其指定所述特征、整数、步骤、操作、元件和/或组件的存在，但并非排除一种或多种其他特征、整数、步骤、操作、元件、组件和/或其群组的存在或加入。下面权利要求中所有装置或步骤以及功能元件的相应结构、材料、行为和等价物意在包括用于结合具体请求保护的其它请求保护的元件执行的功能的任何结构、材料或动作。已经出于说明的目的给出了对本发明各种实施例的描述，但并非旨在穷举或是将本发明限制于所公开的实施例。在不脱离本发明的范围和精神的前提下，很多修改和变化对于本领域的普通技术人员来说将是显而易见的。选择和描述这些实施例是为了更好地解释本发明的原理、实际应用，并使得本领域的其他技术人员能够理解本发明，并预期各种实施例的各种修改适用于特殊应用。还应注意到的是，在本说明书中描述的任何方法可以通过使用VHDL（VHSIC硬件描述语言）程序和VHDL芯片来执行。VHDL是用于现场可编程门阵列（FPGAs）、特殊应用集成电路（ASICs），以及其他类似的电子装置。因此，任何本文中描述的软件实现方法可以由基于硬件的VHDL程序模拟，所述VHDL程序是然后应用于VHDL芯片，例如FPGA。因此通过详细描述本申请中发明的实施例并参照其说明性的实施例，显而易见的是，在不脱离所附权利要求书中所限定的本发明范围的情况下，进行各种修改和改变是可能的。