方法的流 程图;
[0028] 图8A和8B示出隐私管理系统的仪表板的附加的方面;以及
[0029] 图9A和9B示出可以连同隐私管理系统使用的附加的图标。
【具体实施方式】
[0030] 在以下描述的本发明的各种实施例中,参考附图,所述附图构成本发明的一部分, 并且在附图中以图解方式示出,本公开的各种实施例可以实施。应当理解,可以利用其它实 施例,可以进行结构上和函数上的修改。
[0031] 隐私管理系统(PMS)公开用于首席保密官员(CP0)或其它用户,除了其它以外,在 实时地监视和/或控制中使用关于他/她的在线体验的数据流(例如,流出)。PMS可以提 供显示白名单和/或黑名单的仪表板,该白名单和/或黑名单指示哪些目的地/源受到阻 止或得到允许。仪表板还可以包括用户可以设置以创建用于阻止隐私信息被作为分析数据 传输的规则的设置。PMS包括浏览器-客户机脚本代码,并且还可以包括PMS认证的验证图 标以及锁定图标和解锁图标,用于在由PMS正实时监视/控制的网页上显示。
[0032] 当与通过隐私管理系统(PMS)监视的网页进行交互时,系统和方法公开针对由网 络浏览器应用程序执行的步骤。浏览器可以接收页面(例如,HTML页面),该页面包括来自 多个源(即隐私管理服务器、第三方分析供应商、第三方定向广告厂商等)的脚本代码(例 如,JavaScript)。浏览器可以执行脚本代码,由此使得在页面上的多个元素(例如,脚本标 签、图像标签等)将数据发送到不同的域。在一些例子中,脚本代码可以覆盖用于特定页面 元素(例如,图像元素)的特定的标准方法(例如,appendChild方法)和构造函数方法。 覆盖方法可以在浏览器处执行(即,在用户设备上),使得浏览器和特定的域或亚域之间的 通信可以受到阻止或得到允许。此外或可替代地,覆盖方法可以基于通信是否包括隐私信 息来阻止通信。在一些实例中,PMS可以实施规则以确定是否阻止或允许通信,或可以依靠 默认规则。此外,在一些实例中,PMS可以使用模式识别软件以检测分析数据内的隐私信息。 通过PMS来监控和控制的结果可以在(在线)仪表板向CP0或其他人员显示。PMS响应实 时发生的特定事件(例如,阻止)可以产生消息。
[0033] 此外,公开的系统和方法涉及一种远程服务器,该服务器提供的脚本代码经执行 以能够使PMS来管理和控制数据流(例如,流出)。代码可以包括JavaScript代码,这种代 码会覆盖现有JavaScript方法和/或用于JavaScript对象的构造函数,且在本文中称为 "方法"或"覆盖对象"。现有的、被覆盖的方法或对象在本文中称为"预定义方法"或"预定 义对象"。
[0034] 此外,公开的系统和方法涉及一种通用PMS认证的验证图标,该图标可以被提供 并显示于网页上,以指示网页与特定的隐私策略兼容。该图标可以由PMS提供,且关于用于 实施PMS的隐私参数选择/设置的信息可以存储在PMS系统中。可替换地,隐私参数选择 /设置信息可以存储在客户的设备中(例如,用作一个cookie)或其它位置上。系统和方 法被公开用于针对页面上的各种信息提供锁定图标和解锁图标,使得查看页面的用户可以 看到什么信息将被阻止作为分析数据传输。此外,系统和方法被公开用于允许用户(例如, CP0、网页访问者等)选择锁定图标和解锁图标,使得用户可以控制什么信息被阻止。
[0035] 根据本公开的各个方面,公开的隐私管理系统(PMS)尤其用于增强对消费者数据 采集和在线隐私的控制。首席隐私官员(CP0)或任何乐于管理在线用户的信息收集和分布 的人(例如,网络分析,数据挖掘等)可以使用PMS来实时监视、收集、报道和/或阻止有关 用户数据的分布。在一个实施方案中,为了进行标签管理,PMS可以用于结合Ensighten的 "Ensighten Manage"?产品。在另一个实施方案中,PMS的各方面可以用于结合在市场上 容易得到的其它网络分析和/或标签管理产品,例如通过ObservePoint?、Google?、Site Catalyst?等的那些。另外,PMS可以提供显示白名单和/或黑名单的仪表板(该白名单和 /或黑名单指示哪些目的地/源受到阻止或得到允许)以及允许用户定制什么隐私信息应 当被阻止的窗口。PMS包括浏览器-客户机脚本代码,并且还可以包括用于在由PMS正实时 监视/控制的网页上显示的PMS认证的验证图标、锁定图标以及解锁图标。
[0036] 图1特别描述了示例性操作环境,其中可以实现本发明的各个方面(例如,参看美 国临时申请第61428. 560号中的附录A)。图1根据本发明的一个说明性实施例示出了在可 以使用的通信系统100中的标签/内容管理器101 (例如,计算机服务器)。管理器101可 以具有处理器103,用于控制管理器101的总体操作及其相关组件,包括RAM 105、R0M 107、 输入/输出模块109和存储器115。
[0037] 1/0 109可以包括麦克风、键盘、触摸屏和/或输入笔,设备101的用户通过上述装 置提供输入,并且还可以包括一个或多个扬声器以提供音频输出和视频显示设备,用于提 供文本、视听和/或图形输出。软件可以存储在存储器115中以将指令提供给处理器103, 用于使管理器101能够执行各种函数。例如,存储器115可以存储管理器101使用的软件, 例如操作系统117、应用程序119和相关的数据库121。根据管理器接收的请求的类型,处 理器103及其相关组件可以允许管理器101运行一系列计算机可读指令以展开程序指令。 例如,如果客户请求执行程序指令用于捕获鼠标移动以便完成会话重放,当这个用户访问 客户的网站时,管理器101可以发送适当的指令到用户的计算机。
[0038] 管理器101可以在网络化环境中工作,该网络化环境支持连接至一个或多个远程 计算机,如终端141和151。终端141和151可以是个人计算机或服务器,包括涉及管理器 101的许多或所有上述元素。可选地,终端141和/或151可以是位于或远离管理器101且 由管理器101访问的"云"计算环境的一部分。图1所示的网络连接包括局域网(LAN) 125 和广域网(WAN) 129,但也可以包括其它网络。当在局域网网络环境中使用时,管理器101通 过网络接口或适配器123连接到局域网125。当在广域网网络环境中使用时,服务器101可 以包括调制解调器127或在例如因特网131的广域网129上建立通信的其它设备。应当理 解,所示的网络连接是示例性的,且可以使用在计算机之间建立通信链路的其它手段。假设 存在已知的各种协议,例如,TCP/IP、以太网、FTP、HTTP等等中的任一种。
[0039] 另外,根据本公开的示例性实施例,由管理器101使用的应用程序119可包括计算 机可执行指令,用于调用涉及传送程序指令和/或内容的函数。
[0040] 计算设备101和/或终端141或151也可以是移动终端,这些移动终端包括各种 其它部件,例如电池、扬声器和天线(未不出)。
[0041] 本公开可用于众多其它通用或专用计算系统环境或配置。适用于本公开的、众所 周知的计算系统、环境和/或配置的实例包括,但不限于个人计算机、服务器计算机、手持 或膝上型设备、多处理器系统、微处理器系统、基于微处理器的系统、机顶盒、可编程消费性 电子产品、网络PC、小型计算机、大型计算机以及包括任何以上系统或设备的分布式计算环 境等。
[0042] 本公开可在由计算机执行的诸如程序模块的计算机可执行指令的一般上下文中 描述。通常,程序模块包括例程、程序、对象、组件和数据结构等,其执行特定任务或实现特 定的抽象数据类型。本公开也可以在分布式计算环境中实现,其中任务通过依靠通信网络 链接的远程处理设备执行。在分布式计算环境中,程序模块可以位于包括存储器存储设备 的本地和远程计算机存储介质中。
[0043] 参照图2,该图描述了一种可用于实现本发明的某些方面的过程和函数的工作站 和服务器的示例性框图(例如,参看美国临时申请序列第61/428,560号中的附录A)。图2 描述了示例性系统200,根据本发明的方法示出了实施方法。如图所示,系统200可包括一 个或多个工作站201。工作站201可以是本地的或远程的,并且通过一个或多个通信链路 202连接在计算机网络203,该计算机网络经由通信链路205连接到标签/内容管理器204。 在某些实施例中,工作站201可以是不同的存储/计算设备,用于存储和运输客户特定的程 序指令,或在其它实施例中,工作站201可以是用户终端,其用于访问客户网站和/或执行 客户特定的应用。在系统200中,管理器204可以是任何合适的服务器、处理器、计算机或 数据处理设备及其组合。在整个公开中,标签/内容管理器204将用于参考存储程序指令 的服务器/终端,用于标签/内容管理和标签/内容管理程序指令本身。
[0044] 计算机网络203可以是任何合适的计算机网络,包括因特网、内联网、广域网 (WAN)、局网络(LAN)、无线网络、数字用户线路(DSL)网络、帧中继网络、异步传输模式 (ATM)网络、虚拟专用网(VPN)或上述网络中的任何网络的任意组合。通信链路202和205 可以是用于工作站201和服务器204之间进行通信的任何合适的通信链路,例如网络链路、 拨号链路、无线链路和硬连线链路等。
[0045] 在图中随后的步骤可以通过图1和图2中的一个或多个组件和/或包括其它计算 设备的其它组件来实现。
[0046] 将Ensighten Manage?产品作为例子,其方面描述在美国临时申请第61/428, 560 号的附录中,网页作者可以在网站服务器504上的网页502的顶部处包括Ensighten的代 码(或其它类似代码510A)(例如,JavaScript代码的单个一致的线)。该代码允许与网页 相关联的内容/标签的管理。例如,Ensighten Manage?产品可以用于收集关于访问者的鼠 标悬停在特定的对象(例如"鼠标悬停")上的运动的分析数据,并且将该数据发送到远程 服务器(例如,Ensighten的数据库506,该网页所有者的数据库504,或其它服务器508), 用于储存/分析。假设网页所有者操作标记管理软件,他们直接管理收集关于他们网页访 问者的什么数据和该数据分布在哪里。在这种方案中,CP0可能不需要PMS以监控和调节 (例如,阻止)围绕他们网站的访问者的分析数据流。
[0047] 然而,一些公司可能将它们网络分析外包给一个或多个第三方供应商508A、508B, 这些供应商专门从事网络分析、网络广告和其它网络相关的服务。同时,这些第三方供应商 可以与一个或多个第四方供应商508C订约/合作,以帮助收集数据、显示/选择广告图像 以及分析收集的数据等。在图5A、5B和5C所示的实例中,第四方供应商(如"广告供应商 X"580C)可以在公司的网页502上执行代码510B或从这些网页上收集分析数据。该第四 方供应商可能不为网站所有人所知。在这种方案中,CP0可能具有与先前场景对于有关他们 的网站访问者信息的收集和流的不同的控制。此外,如果隐私问题(例如,通过客户抱怨, 来自不同权利的隐私法,等)突出,CP0可能无法有效地评估和调整(例如,实时)分析数 据的流出。
[0048] 用于静态网页的离线审查的基本PMS。在一个实施例中,PMS可用于审核网页。PMS 可解析网页(例如,HTML)和识别在网页上的所有元素(例如,图像标签、JavaScript标签、 Flash?标签、Applet ?标签等)。PMS可识别这些元素相应的位置(例如,URL、域和亚域)。 例如,在这种实例中,PMS可以识别所有元素源自的域(例如,HTML图像标签的"src"属 性)。基本的CP0仪表板(即,图形用户界面,其可以在计算机屏幕上显示)可以识别各个 域名,并识别什么类型的信息被传递到那些域。在另一个实例中,用于审查网站的PMS也可 以检查和分析用于在修改时怀疑的尝试的PMS方法,并报告它们(例如通过CP0仪表板)。 在一些实施方案中,检查和分析也可以使用的隐蔽部署的JavaScript监控程序,该程序包 括在本公开中描述的特征的各个方面。在其它实施方案中,PMS可以执行选择的PMS方法 的代码的直接(或散列)的比较来检查修改。检查和/或分析可以在包括在定期抽查期间 的各种不同的时间出现,并相应地报告发现。
[0049] 虽然这种方法足够用于HTML元素构建进入页面的基本的静态网页,但是当脚本 (例如,JavaScript代码)动态更新网页上的HTML元素的属性值和/或将新元素增加到 网页的文档对象模型(D0M),这种方法可能不够。另外,在该实施例中的PMS执行离线审查 (例如,使用网络蜘蛛/机器人),因此,不能提供有关的实时信息及来自网页的数据流的控 制。
[0050] 用于动态网页的实时监视和/或控制的PMS。在另一个实施方案中,PMS可以提供 有关的实时信息以及数据流到和从网页502到公司的网络服务器504上的控制(例如,网 页的分析数据)。脚本代码(例如,JavaScript代码)可以嵌入在网页中(例如,在网页的 顶部)以允许PMS交互D0M及网页的其它方面。这种脚本代码可以整合现有的标签管理或 网络分析解决方案。例如,这种脚本代码可以包括作为在网页502的顶端的Ensighten的 代码510A的一部分,如同每一 Ensighten Manage?产品。
[0051] 覆盖具体方法。当加载网页时,PMS网页的客户机-浏览器脚本代码510可以在 网站访问者的计算设备100上执行(例如,个人计算机、膝上型计算机、智能电话、平板等)。 确保这个脚本代码(例如,JavaScript)在外部供应商(例如,第三方、第四方等)的代码 执行之前执行,PMS的客户机-浏览器脚本代码510A可以覆盖在网页上可用的一个或多个 JavaScript方法。结果,当后续脚本和页面元素510 (例如,HTML标签)在网页上进行处 理和呈现时,执行PMS覆盖的JavaScript方法,而不是执行标准的JavaScript方法。特别 地,可能希望覆盖那些导致向D0M产生或添加新的元素的方法。例如,在当前的JavaScript 标准中,这些方法的一些实例包括但不限于(l)appendChild,(2) insert Before,(3) replacechild 及(4)写入方'法。
[0052] JavaScript AppendchildO 实例。例如,使用 AppendchildO 方法,该方法在输 入的元素节点的最后子节点之后添加一个节点,该方法可用至少下列示例性的4行伪码覆 盖:
[0053] 〇:Node. prototype. appendChild = Node, prototype. appendChild ;
[0054] 行 1:Node. prototype. appendChild = function (a){
[0055] 行 2://code for monitoring and regulating the appendChild method
[0056] 行 3: this. appendChild (a) ;
[0057] 在第0行中,"节点原型"语言用来参考基本类,当基本类被修饰时,其适用于DOM 中的所有元素。作为这种"_appendChild"用于存储作为JavaScript标准的一部分的原始 appendChild ()方法的参考。然后,在第1行中,原始的appendChild ()方法被第2行和第 3行中新的、自定义代码覆盖。第3行调用原始的appendChildO函数,但是在调用这个函 数之前,PMS可以插入代码,用于监视和调节出现在网页上的脚本。特别地,这种代码可检 查正送入appendChildO方法中的"img"(图像)元素/对象,并检查它的何种类型的分析 数据被收集并且其中该数据将发送到哪里的信息。例如,如果"img"(图像)元素是一个 HTML图像元素(即,对象),那么"src"属性的值可指示域名(例如,带有全路径和文件名 的URL)和其它信息。在本文中使用的术语"域"或"域名"适当地表示成资源的完整的URL 或URL的缩写形式。
[0058] 白名单和黑名单的特征。另外,在一些实施方案中,第2行中自定义代码可以包 括域名与已知的友好的和/或敌意的域的比较。例如,该域名可以与白名单406 ( 即,友好 位点)和黑名单408(8卩,敌意位点)作比较(参见图6,参考文献610)。该比较可以通过 直接比较、通过包括正则表达式的比较,或两者的组合进行。该比较可以包括一个或多个或 没有域的宿主、路径、文件、查询参数、散列或超文本传输协议标题字段(例如,用户代理字 段、引荐者字段和/或cookie字段)或其它参数。白名单(和黑名单)可以包括带有组合 域名、亚域名等的通配符的正则表达式。另外,黑名单(或可选地,白名单)可以包括默认 的表达式以指示所有未识别的域名应受到阻止。CP0可以通过在线仪表板等(参见图4)保 持那些应当包括在白名单406和/或黑名单408中的域。在一些例子中,众多周知的未授权 跟踪的具体位点可以自动添加(或建议用于添加)到黑名单。例如,已知不符合隐私法规 (例如,本地法规、国外法规和/或DNT要求)的供应商的数据库(例如,广告服务器508C、 网络分析供应商等)可以通过隐私管理系统用于相应地填充黑名单。
[0059] 在这些情况下,其中试图加入网页的D0M的元素未被授权(即,与它通信的该域 在黑名单上,或它不是在白名单上,并且默认设置为阻止未识别的域),PMS可以实时地阻 止元素添加到D0M。因此,代码可以包含在上述第2行中以做出所需的比较,然后相应地反 应。例如,如果该元素受到阻止,"img"(图像)元素/对象的"src"属性的值可以在" _ appendChild "方法调用在第3行中之前被清除(参见图6,参考文献616)。可替换的是, 在第3行中的"appendChild"方法完全可以跳过。作为又一种替换,元素可以被添加,但可 以被修改(例如,利用默认值)以便呈现排放其数据收集