以试图访问传感器数据,这可以使得隐私指示器改变以指示非私有状态。可以阻挡恶意程序的请求。
[0047]在实施方式中,可以接收隐私模式。隐私模式可以指的是私有或非私有状态。例如,用户可以触动网络摄像机上的硬件开关,以指示相机连接到的设备和相机本身拒绝对相机的数据的访问,除了与隐私策略或已知命令库符合或者以其它方式被验证的那些应用、设备或服务。作为另一示例,用户可以在操作系统中做出选择,以使系统保持在私有状态。隐私模式可以基于例如单独的或成组的应用、应用的类型(例如通信软件、视频游戏软件、文字处理软件、照片编辑软件等)、一天中的时间、访问系统的用户、数据通信类型、数据通信目的地、存储器或传感器类型而是可配置的。例如,用户可以选择指导系统保持私有状态的隐私模式。用户可以发出用于执行web搜索的语音命令。包含搜索项的音频数据可以被传输到远程搜索服务。搜索服务可以经系统数字签名和验证。因此,音频数据可以利用搜索服务被传输和存储。如果远程搜索服务未经验证,则包含查询的音频数据不可以向搜索服务提供,而不管搜索服务可以如何短暂和暂时地存储查询。相似地,因为它可能针对该类型的传感器数据未经验证,相机数据不可以被传输或存储到搜索服务。因而,用户可以指定其可以以高度自定义方式(例如,具体应用或每个设备/软件)来调节传感器数据访问的隐私模式。
[0048]在设置隐私模式之后,传感器生成的命令可以与已知命令库进行比较并且被确定为不匹配。命令可以被存储到的命令目的地或存储器还可以与隐私策略进行比较,以确定命令是否与隐私策略兼容。命令可以被确定为不匹配已知命令库或者与隐私策略不兼容。基于确定命令不匹配已知命令库或者与隐私策略不兼容,可以阻止命令访问传感器数据。
[0049]图6示出用于改变隐私指示器的状态的示例处理。在一些配置中,传感器可以具有执行本文公开的实施方式的能力。在诸如图6中描绘的配置之类的其它配置中,传感器可以将其数据发送到其连接到的设备,并且该设备可以确定接收到的命令是否要求改变隐私指不器状态。在图6中以相机600的形式提供传感器。相机600具有相机镜头602、开/关指示器603以及隐私指示器601,每当相机600通电时开/关指示器603照明,隐私指示器601是当相机处于非私有状态时照明的LED。相机可以通过例如USB或者诸如蓝牙之类的一个或多个无线协议连接到设备。相机600可以向直接或间接连接到它的设备传输数据。用于相机600的驱动器可被安装在设备上,并且使相机数据可用于设备以生成用于图像或图像序列的数据。例如,相机驱动器可接收原始相机数据。数据可以是两种形式的。一种形式可以是,相机数据可以是隐私无关的,也就是,它可以包含姿势数据(例如命令),如651所示。相机数据的另一种数据形式可以是隐私敏感的,也就是,它可以被存储、转发或传输到其可以危害用户的隐私的设备,如641所示。
[0050]对于数据是隐私无关的还是隐私敏感的确定可以使用设备的受保护的存储器来执行。受保护的存储器或存储661可以用于排除包含在其中的软件被终端用户或其它应用更改的可能性。例如,软件内核通常被保护免受更改,并且可以适合于执行本文公开的一个或多个实施方式所要求的分析和确定。内核可以负责设备硬件与应用的接口连接,并且管理硬件资源。受保护的存储器661可以具有隐私模块671,隐私模块671可以是系统内核的部件。隐私模块671可以确定接收到的相机数据641、651是否要求改变隐私指示器601状态。相机数据641、651可以在受保护的存储器661中缓存和分析以生成例如姿势数据,其可以与已知姿势命令库681进行比较。用于从相机图像数据或其序列生成姿势数据的技术对于技术人员是已知的。
[0051]图6描绘在受保护的存储器661之外的命令库681。在一些配置中,命令库681可以是受保护的存储器661的部件。命令数据库681可以利用生成的姿势数据(例如,来自传感器的图像或图像序列)进行查询并返回匹配者(如果有的话)。在一些配置中,命令数据库681还可以将姿势标识为隐私敏感的或隐私无关的。例如,隐私模块681可以确定指示设备激活视频聊天软件的姿势与命令数据库681中的命令匹配。命令数据库681还可以将这一姿势标识为用于对相机数据的隐私敏感访问的请求;在一些实例中,隐私模块671可以确定激活视频聊天软件的效应将不符合隐私策略或者将允许对相机数据的不许可访问。隐私模块671可改变隐私指示器的状态,以反映隐私敏感动作已被请求。
[0052]在一些配置中,隐私模块671可以确定从传感器600接收的命令(例如姿势)未能匹配数据库681中的已知姿势。如果没有检测到匹配,则姿势可被视为不被隐私模块671许可。隐私模块671可以将隐私指示器601从私有状态改变为非私有状态。随后,隐私指示器601可以恢复到私有状态,以反映命令不再请求或接收对相机数据的访问。例如,用于启动视频聊天会话的命令可以使得隐私指示器601照明。然而,一旦视频聊天会话已经结束,就可以关闭隐私指示器601,因为不再访问相机和麦克风数据。在一些情况下,如果其未能匹配已知命令库681中的命令,则可以阻挡命令。因而,命令可以引起其执行使得用户的隐私状态改变的程序的启动。在简洁的实例中,虽然命令本身可以停止存在,但是命令的效应(例如,开始视频聊天会话)可以持续更长的时间,并且可以使得隐私指示器保持在更改的状态,直到命令的效应停止(例如,聊天会话结束)。
[0053]在一些实例中,用户的手或身体可以做出不被识别为命令的运动。例如,如果用户从玻璃杯喝饮料,将玻璃杯举起到用户的嘴边的运动可以由相机驱动器接收作为相机数据。然而,该动作可以不与姿势相关联,因为用户的手或身体不在相对于玻璃杯的特定位置。相比之下,如果用户向传感器举起饮料,则它可以向相机用信号通知用户有兴趣让传感器收集关于用户正举着的对象的数据。例如通过分析模块可以执行对于什么构成命令的确定。分析模块可以是受保护的存储器661的部件。通过向白名单、黑名单、灰名单或混合隐私命令库提交查询,分析模块可以处理命令,以确定命令的状态。例如,命令可以是隐私兼容的、非隐私兼容的、或者经灰名单列出的。同样地,分析模块可以向命令(连同诸如传感器数据将要被发送到预期目的地、登录进入具有传感器的平台的用户的类型、一天中的时间等之类的其它输入一起)应用例如规则集的隐私策略。它还可以执行与传感器有关的其它功能,诸如改变相机的分辨率或者其它图像捕获设置。分析模块可以向隐私模块671发送数据。分析模块可以是姿势识别软件的部件,并且具有辨别姿势与背景运动或者人的非预期姿势的能力。分析模块可以确定人啜饮饮料不构成命令或姿势。然而,饮料向相机被举起可以是用于标识饮料产品的请求。从分析模块向隐私模块发送的命令可以将命令标识为产品查找请求。隐私模块671可搜索已知命令库,并确定产品查找请求是许可的、隐私无关的活动。在一些配置中,归因于分析模块或者由分析模块执行的功能可以由隐私模块671来执行。
[0054]图7示出用于改变隐私指示器的状态的进程树的示例。隐私指示器可以具有用于指示传感器处于私有状态的初始状态或默认状态。在私有状态中,由传感器传输的数据不可以随后被传输或存储到未验证的目的地或存储器。传感器驱动器软件可以从一个或多个传感器接收数据。该数据可以被视为命令。命令可以与隐私兼容命令数据库进行比较。如果命令不匹配,则命令可以被确定为是不被隐私模块许可的。隐私模块可以改变传感器的状态,以向用户指示传感器处于非私有状态。
[0055]图8A和图8B示出相机数据访问的三个示例。相机被示出具有一种颜色(例如绿色)的隐私指示器802、以及相机镜头804。三个不同消费者表示为计算机游戏810、视频通信程序815和电子节目指南820。在图8A中,位于受保护的存储器832中的隐私模块830可以接收计算机游戏810或电子节目指南820的请求,以接收姿势数据850。依照隐私策略或因为在已知命令库中找到姿势,隐私模块可以确定姿势数据是许可的。因而,隐私指示器可以保持在私有状态。系统可以继续检查正向计算机游戏810或电子节目指南820提供的相机数据的状态。
[0056]在图8B中,视频通信程序815可以接收图像数据840。隐私模块830可以检测图像数据840向视频通信程序815的传输,或者它可以已检测到用于开始或启动视频通信程序815的