[0047]对于一款APP (设为a),其隐私可信级别L (a)定义如下:
[0048]a)L(a) = Η(高)当且仅当a e PLAIN U SYS,即系统软件或者无联网权限软件的隐私信任级别可以为H。
[0049]b)L(a) = Μ (普通)当且仅当a e MARKETS,即用户从可信提供者处获得APP其隐私可信级别可以为Μ。
[0050]c)L(a) = L (低)当且仅当a e OTHERS Π NET,上述两种情况之外的APP,其隐私可信级别都为L。
[0051]步骤102中,确定所述第一 APP要访问的第二 APP数据下各数据条目的隐私级别包括:手动设置各个数据条目的隐私级别或者根据根据不同APP数据之间的关联关系确定隐私级别,其中所述关联关系包括数据产生地点或时间相同的数据条目以及来自同一个联系人的数据条目。
[0052]例如,智能终端中,不同类别的个人数据条目之间往往具有内在的关联关系,例如图3所示,如果一条通话记录或者短信记录的通讯主体正好是通讯录中的某个联系人,则该条通话记录或者短信记录与该联系人存在关联关系;如果一张照片是在某个地理位置上拍摄的,则这张照片与该地理位置存在关联关系。
[0053]本专利中使用这种关联关系来自动推导某些数据条目的隐私敏感级别,避免用户逐条设置所有个人数据条目的隐私敏感性,降低用户管理代价。假设用户已经指定联系人A的隐私敏感级别是H,系统可以自然地计算出与A的某条短信记录或者某条通话记录的隐私敏感级别可以自动设定为H,该联系人A的邮件也可以自动标记为H。当然用户对系统自动推导的个人数据条目的隐私敏感级别具有最终控制权,可以基于自动推导的结果进行手动调整。
[0054]例如图4所示,智能终端上的照片、录音、录制的视频等产生于某个地理位置上,地理位置界定了这些数字内容产生的外部环境和可能的内容范围。如果某个地理位置区域是敏感的,则该该地理位置上产生的照片、录音和录制的视频等都潜在是敏感的。由此可以从地理位置区域的敏感级别出发自动推导在该位置区域上产生的照片、录音、录制的视频等的敏感级别。
[0055]对于通讯录联系人和地理位置,用户需要去指定对应的隐私敏感级别。一般情况下,终端系统中大部分的通讯录联系人和地理位置都是不敏感的,其可以被自动分配一个缺省级别,该缺省级别在系统的隐私限制策略数据库中进行定义。个别敏感的联系人或者地理位置可以由用户通过管理模块进行管理指定。在用户指定了通讯录联系人的敏感级别和各个地理位置的敏感级别(可以通过地图指定)后,智能终端中的大部分个人数据条目都可以自动推导出来。
[0056]例如图5所示,另外一种可能的关联关系是基于时间关联的,如用户把某一段时间定义成敏感的(例如参加机密会议),则在此时间段内终端上产生的所有电子文档、邮件和浏览器访问记录等都会被自动标记成隐私敏感的。
[0057]步骤103中,根据所述第一 APP的可信级别以及所述多条数据条目的隐私级别,针对所述多个数据条目中各数据条目,确定对所述第二 APP的数据请求的回应以及处理方式,针对每一条数据条目的隐私级别去判断对该条数据条目的访问回应方式,可见隐私控制的粒度是在每一条数据条目,逐一对每一个数据条目进行隐私级别确定,而不是整个APP的数据,从而提高数据访问隐私控制的精细度。例如,隐私限制策略数据库记录访问个人数据的APP的隐私可信级别与数据条目的隐私敏感性的各种不同差异关系下,数据条目在APP访问数据结果返回集中的表现形式。其可能的结果有:
[0058]a)不予返回,在访问结果集中不包含该数据条目;
[0059]b)虚假数据,访问结果集中包含一条虚假的数据条目来代替该条目;
[0060]c)混淆数据,访问结果集中包含该数据条目,但该数据条目的部分字段或者内容经过混淆处理;
[0061]d)访问审计:系统对此次访问进行审计记录;
[0062]e)不加限制:在访问结果集中包含该数据条目。
[0063]与传统的各种访问控制方法不同,本方案中根据当前APP隐私可信级别与待访问数据条目的隐私敏感级别的不同差异(这种差异可能有多种情况)采取不同的限制手段。这种不同差异反应了当前这种访问行为自身的敏感性,需要不同的控制手段,这可以进一步避免过度限制和降低了冗余信息(审计日志等)的生成。例如对于一条敏感级别为Η(高度敏感)的联系人记录(一大公司高管),一个隐私可信级别为L(不可信)的ΑΡΡ来读取时,系统可能返回虚假数据条目并且进行审计,而一个可信级别为Μ(较为可信)的ΑΡΡ来读取同一条目时,可能只需要返回虚假条目而无需审计(甚至可能是返回混淆数据)。本专利中,根据当前ΑΡΡ隐私可信级别与待访问数据条目的隐私敏感级别的不同差异采用不同的限制手段,以帮助用户进一步避免过度限制和降低了冗余信息(审计日志等)的产生。
[0064]按照本方法,如果一个联系人是高度隐私敏感的,则一般的ΑΡΡ (如微信)都无法读取到这样的联系人。这在绝大部多数情况下都是用户所预期的,因为用户一般不会与这样的联系人进行各种社交联系和分享。如果在极特殊的情况下,用户确实希望把这个联系人加为微信好友,则他需要手动输入联系人的号码进行添加。这种情况下,由于ΑΡΡ只得到一个号码而不能获得该联系人的任何其他信息(如姓名),本方法最大程度的保护了用户的隐私。
[0065]可见,根据第一 ΑΡΡ的可信级别以及其需要访问的第二 ΑΡΡ数据条目的隐私级别,确定所述访问的回应方式以及结果。例如,当所述第一 ΑΡΡ的可信级别高于或等于其需要访问的数据条目的隐私级别时,如当所述第一 ΑΡΡ的可信级别为Η,则第一 ΑΡΡ要访问的第二ΑΡΡ的数据条目的隐私级别无论是Η、Μ或者L,回应以及处理方式都是返回所述第一 ΑΡΡ请求访问的数据条目;当所述第一 ΑΡΡ的可信级别低于其需要访问的数据条目的隐私级别时,如当所述第一 ΑΡΡ的可信级别为Μ,第一 ΑΡΡ要访问的第二 ΑΡΡ的数据条目的隐私级别为Η,则所述回应以及处理方式不予返回所述第一 ΑΡΡ请求访问的数据条目或者返回修改后的数据条目,其中修改后的数据条目包括虚假数据或者混淆数据;其中返回以及处理方式可以包括审计以及记录返回结果,如可以设定当隐私级别为Η的数据条目被访问时,审计并记录访问以及返回结果。
[0066]在本发明某些实施例中,所述第二 ΑΡΡ包括第一通讯录以及第二通讯录,所述第一通信录或第二通信录包括多个数据条目,各数据条目对应为一联系人信息,其中所述第一通信录存储的联系信息的隐私级别高于所述第二通信录存储的联系人信息的隐私级别,例如,一些比较重要的联系人信息放在第一通讯录,一些普通或者不重要的联系人信息放在第二通信录。其中所述根据所述第一 ΑΡΡ的可信级别以及所述各数据条目的隐私级别,确定对所述第二 ΑΡΡ的数据请求的回应以及处理方式包括:
[0067]确定所述第一 ΑΡΡ的可信级别,如果所述第一 ΑΡΡ属于高可信级别,则所述回应以及处理方式为返回第一通讯录的联系人信息或者返回两个通信录的所有联系人信息;
[0068]如果所述第一 ΑΡΡ属于中或低可信级别,则所述回应以及处理方式为仅返回第二通讯录的联系人信息或者不返回联系人信息。
[0069]本方案提供了一种对智能终端上每个保护用户个人数据的权限所覆盖的同一类或者同一 APP个人数据中的不同数据条目按照其各自对用户而言的敏感性进行隐私分级并进行保护,解决现有权限机制粒度过粗而不能有效保护个人数据中某些敏感条目的问题,有效防止第三方APP收集和泄露这些敏感数据,同时又不影响APP的正常业务功能;另外还给予用户一种相对于终端系统自身的权限管理措施更为精细化的个人数据的管理、控制和保护方式,同时不改变原有的数据保存和展现模式,保持用户原有的终端使用体验。
[0070]实施例二
[0071]如图6所示,本发明另一实施例涉及一种智能终端,所述智能终端包括一访问获取模块、隐私控制模块以及访问控制模块,其中:
[0072]所述访问获取模块用于获取第一应用程式APP对第二应用程序APP的数据访问请求,所述第二 APP的数据包括多个数据条目,所述多个数据条目中的各数据条目具有各自的隐私级别;
[0073]所