在视频监视系统中保护隐私的制作方法

本发明一般涉及用于采用视频捕捉的安全系统的视频监视系统。更具体地，本发明涉及在这种系统中的隐私的保护。

发明背景

视频监视系统允许人类操作者通过所监视的地点处的视频相机来远程地观察活动。将视频监视系统作为一种集中安全方式的广泛采用已经导致许多安全相机被安装在世界各地。这进而引起了许多人的隐私问题，并且在一些国家已经导致立法控制从安全相机观看视频。具体而言，存在车辆、个人、及其活动的身份应当被隐藏于操作者之外，以免私人生活受到影响的问题。

力图限制操作者可以看见的内容，业内已经实现了许多隐私保护方法。以下列出了隐私保护方法的若干示例。

隐私遮罩是安装者可以放置在操作者不应当看见的图像区域上的清空区。例如，通过遮罩掉街道相机视频中的住宅，可以保护私人住宅免受街道相机的影响。如果办公室以相同的方式被遮罩掉，则走廊可以在没有操作者能够看见毗邻办公室内部的情况下被监视。这些隐私遮罩可以在相机或记录系统中实现，以便所记录的视频永不包含隐藏信息。替换地，观看软件可以实现这些遮罩。后一种方法允许具有不同水平的权限的操作者观看更多的视频场景，并且允许具有足够特权的人物(诸如涉及严重犯罪的情形中)在所记录的影片中对整个视频场景进行取证分析。

模糊是用于隐私的另一办法。谷歌地图中的街景在其静态图像中使用这种技术来隐藏脸部和车辆牌照，但是它还在电视新闻报道中被用于在采访期间隐藏受害方的面部。再次，这些方法可以在视频被捕捉或存储的地方或者被观看的地方被实现。

另一办法是使要隐藏的区域像素化。像素化通常涉及对图像中的像素块进行平均，以及显示平均值以替代块中的各像素的每一者。结果是面部或牌照的很低的分辨率图像(包含可能十几个像素)，从而使得其不可能识别。

模糊和像素化方法的共同挑战是保护区域必须跟随目标的移动以保护其身份。如果目标移动地比隐私方法可以做出的响应更快，则目标的身份可能被泄露。

在安全应用中，隐私方法不得损害受监视房屋的安全。在遮罩的情形中，未被遮罩的区域可以被监视而不受损害。然而，如果使用了模糊或像素化，则这些影响的程度可能会限制操作者的有效性。

技术实现要素：

本发明提供了一种实施隐私措施的替换手段，其中操作者可以用受控量的相关信息来作出知情决策。

在第一方面，本发明提供了一种方法，包括：

接收正被监视的场景的视频；

生成包括一个或多个视频帧的第二视频，该第二视频非照片写实地表示正

被监视的该场景；

至少分析正被监视的该场景的该视频以确定该场景内存在威胁，

在该场景内检测到威胁的情况下，确定与该威胁有关的元数据并且在该第

二视频中表示所述元数据。

在该第二视频中表示所述元数据可包括在该第二视频中指示以下各项中的任何一者或多者：

该威胁在该场景的表示中的位置；

该威胁的运动；

以文本或图片形式示出的该元数据中的一些或全部。

在该场景的表示内显示该威胁的位置可包括：绘制形状(例如，围绕该场景内的该威胁的非照片写实表示的边界框)、在该场景的表示中的该威胁的位置处放置标识、图标、图片、或其他标记。

该威胁的运动可以通过在连续的视频帧中示出该威胁的经更新位置来表示；通过指示该威胁已经沿着其穿过的轨迹中的一者或两者来表示；以及指示该威胁的当前运动的矢量来表示。

动画可以表示该场景内该威胁的位置和运动两者。

威胁可以在第二视频中由化身来表示。该化身可以具有表达与威胁相关联的元数据的视觉特性，例如，大小、位置、颜色、运动等。

该场景的非照片写实表示可以从接收到的视频生成、从该场景的较早图像生成、或以某种其他方式。从所接收的视频生成该场景的非照片写实表现可包括处理所接收的视频以掺杂或掩盖该视频的真实性，例如，通过模糊或像素化所接收到的视频。

至少分析正被监视的该场景的该视频以确定该场景内存在威胁，可包括对该视频执行视频运动检测以检测入侵者。

确定与入侵者相关的元数据可包括确定入侵者的物理特性，例如，身高、头发颜色、衣着颜色，体重。

至少分析正被监视的该场景的视频以确定该场景内存在威胁，或者确定与威胁相关联的元数据可包括分析来自至少第二源(例如，第二相机、PIR检测器、微波检测器、超声检测器、周边入侵检测器、压力垫)的数据。

该方法可包括以下各项中的一者或多者：

捕捉该视频；

传送该第二视频以供回放；

存储该视频和该第二视频中的一者或两者；以及

在显示器上播放该第二视频。

该方法可进一步包括接收该场景的该视频的输入授权传输。在这种情形中，该方法可包括传送该场景的该视频。优选地，该场景的该视频被增强以示出与该威胁相关的元数据。

在第二方面，本发明提供了一种在通过相机来捕捉正被监视的场景的视频的类型的视频监视系统的显示器上表示威胁的方法，该方法包括：

生成包括一个或多个视频帧的第二视频，该第二视频非照片写实地表现该场景，并且在该场景内检测到威胁的情况下，在该第二视频中表示与该威胁有关的元数据。

该方法可包括取决于与该显示器的观看者相关联的准许水平来选择性地表示元数据。

该方法可包括：接收表示观看者的准许水平的数据并根据该准许水平来表示该元数据的预定子集。

在该第二视频中表示所述元数据可包括在该第二视频中指示以下各项中的任何一者或多者：

该威胁在该场景的该表示中的位置；

该威胁的运动；

以文本或图片形式示出的该元数据中的一些或全部。

在该场景的表示内示出该威胁的位置可包括：绘制围绕该场景内的该威胁的非照片写实表示的形状、在该场景的表示中的该威胁的位置处放置标识、图标、图片、或其他标记。

该威胁的运动可以通过在连续的视频帧中示出该威胁的经更新位置来表示；通过指示该威胁已经沿着其穿过的轨迹中的一者或两者来表示；以及指示该威胁的当前运动的矢量来表示。

动画可以表示该场景内该威胁的位置和运动。例如，该威胁可以在该第二视频中由化身来表示。该化身可以具有表达与威胁相关联的元数据的视觉特性，例如，大小、位置、颜色、运动等。

该场景的非照片写实表示可以从接收到的视频生成、从该场景的较早图像生成、或以某种其他方式。从所接收的视频生成该场景的非照片写实表现可包括处理所接收的视频以掺杂或掩盖该视频的真实性，例如，通过执行以下图像处理步骤中的一者或其组合：模糊、像素化、修改该一个或多个视频帧中的每一者的一个或多个属性(例如，分辨率、梯度、亮度、对比度、饱和度、清晰度、色调或其类似物)、遮罩、图像失真、合并帧、时间或空间平均、压缩、用另一预定或随机生成的图像替换至少一部分或整个视频帧，等等。其目的是生成“非照片写实”的图像，其中在正被监视的该场景与所生成的第二视频之间存在较小的相关性(与所接收到的原始视频与真实场景之间的相关量相比)，以便防止该场景的至少一些细节由正查看该第二视频的人物视觉上可标识。这些细节可包括视频中所包含的一个或多个对象的特性，例如，动物、人物、建筑物结构、车辆、或其类似物。

然而，在非照片写实图像中保留该场景的一些特征是优选的。这种所保留的特征可包括但不限于：该场景中大物体的存在或位置、结构和拓扑特征或其他类似的视觉线索，以向观看者提供空间上下文；该场景中的局部或整体照明水平、时间或日期、天气状况。此类特征的存在可以帮助系统的用户来解释由该系统检测到的威胁的特性，并且对其作出恰适响应，诸如发出警报、升级威胁水平、执行或展开进一步的自动或基于人的调查或分析等。

在本文所公开的各方面的一些实施例中，该场景的该非照片写实表示可包括掺杂或掩盖一个或多个图像帧的全部或部分的真实性。

在另一方面，本发明还提供了一种用于执行这些方法中的任何一者的一个或多个实施例的系统。

本文对“威胁”的引用包括对潜在或疑似威胁的引用，而不仅仅是实际威胁。

本说明书中对任何现有技术的引用不是承认或建议该现有技术形成任何管辖区中的公知常识的一部分，或者可合理地预期该现有技术被理解为、被认为是相关的、和/或与本领域技术人员的现有技术中的其他片段组合。

如本文所使用的，除了上下文另有说明的情况之外，术语“包括”和该术语的变型(诸如“包括(comprising)”、“包括(comprises)”、以及“包括 (comprised)”)不旨在排除进一步的添加物、组件、整体、或步骤。

附图简述

本发明的其他方面和前面段落中描述的各方面的其他实施例藉由示例给出并参照附图给出的描述将从以下描述变得显而易见，其中：

图1A示出了一场景的视频的图像，其在不隐藏任何隐私信息的情况下由相机捕捉；

图1B示出了来自第二视频的视频帧，其中图1A的图像已被像素化以使其非照片写实。

图2示出了来自第二视频的视频帧，其中已经检测到威胁并且威胁的位置由图1B的图像中的威胁的边界框和移动路径来指示；

图3示出了紧挨着图2所指示的威胁显示的纹理元数据；

图4示出了在所捕捉的场景的像素化图像上表示为动画化身的威胁的元数据；

图5示出了与图3相同的图像，但基于操作者特权具有较少的文本元数据；

图6示出了根据示例实施例的由中央监视系统和数个感测设备形成的视频监视系统的示意图；

图7是解说根据示例实施例的供用作中央监视站21的计算机处理系统的框图。

各实施例的详细描述

本实施例涉及用于在视频监视系统中实现隐私措施的方法和系统，其中操作者可以用受控量的相关信息作出知情决策。

图6示出了可以实现本方法的示例实施例的示例性视频监视系统的示意图。监视系统20在其感测设备14.1、14.2、和14.3之中包括至少一个图像捕捉系统，例如，能够捕捉和输出视频(作为视频流或一个或多个图像)的相机。如将理解的，每个监控相机被调试成在其视野范围内捕捉包含正被监视的区域的场景的图像。以惯例方式，正被捕捉的视频由系统的用户观看以确定是否存在威胁并允许他们响应于该威胁采取恰适的行动。

根据第一实施例，由监视系统的相机捕捉的整个图像在其显示给用户之前藉由像素化和/或模糊来保护隐私。因此，取而代之向用户显示场景的照片写实图像，呈现了保护场景内的居住者/物品的隐私的非照片写实图像。这是优点是整个场景在场景内的居住者/物品的隐私方面受到保护，并且移动目标的身份不可能通过与隐私遮蔽或其他空间受限的隐私措施不良对准而被意外地泄露。

例如，安全系统中的任何给定相机将具有特定的图像捕捉特性，例如：

它将捕捉到隐私要受保护的主体/对象有一定距离的图像；

它将具有带有一定放大的光学系统；

它将具有带有给定图像捕捉分辨率的图像捕捉系统。

相应地，在一些实施例中，可能有必要指定其图像被处理的程度以使其非照片写实。例如，放置用于紧密地监视走廊的相机在相机的2米范围内有人穿过其视野，而设置为从周边回退设置的柱杆来监视建筑物周边的相机可能在相机20米范围内没有人。在第一种情形中，所捕捉图像的使其足够地非照片写实的改变程度可能比第二种情形大得多。在其中第二视频的帧通过像素化而变得非照片写实的情形中，上述示例中的第一相机将需要高度的像素化以掩盖其可以捕捉的关于走廊内的人物的高水平的细节。另一方面，因为第二相机将捕捉较少的人物细节，因此其图像将需要较少的像素化。通过使接收到的视频模糊或像素化来处理所接收的视频以掺杂或掩盖视频的真实性的效果，可以基于每相机、或基于每系统、或工厂设置来设置。此外，处理水平可以是用户在调试时或之后可定义的。

监视系统使用对由相机(可能需要在其他类型传感器的输出的辅助下)捕捉的视频执行的视频分析来检测威胁(在这种情形中是入侵者)的到达。在一些形式中，可以如在美国专利申请14/636334中所描述的来执行对威胁的检测，该专利申请的内容通过援引被纳入本文。监视系统随后计算来自所捕捉的视频的元数据和/或来自一个或多个其他传感器的输出的元数据，并将该元数据连同场景的非照片写实视频图像一起呈现给用户。在该实施例中，这是通过在像素化图像上画出一矩形来达成的，该矩形在场景中界定了检测到的入侵者。读者将清楚，尽管图像包含关于活动性质或入侵者身份的很少的信息，但边界框的存在通知操作者已经发生了安全事件(即，存在威胁)。边界框的位置和路径突出显示了入侵者的位置和路径。由此实现了保护场景中所有居住者的隐私，同时并且有用地向安全操作者表示威胁的存在以及威胁的路径的双重目的。在其他实施例中，图像可以按各种各样的方式被制作成非照片写实，例如，通过模糊整个视频图像或通过统一地清空整个视频场景、通过提供场景的一些或全部视觉特征的风格化表示、通过提供表示场景中的空间坐标的网格等。也可以提供表示场景的非照片写实图像的其他方法。

在根据USSN 14/636334操作的各实施例中，该方法可包括显示在从感测设备接收到的视频图像上标识的图像检测区域。边界框可以定义检测区域的边缘。任何此类边界框将与第二视频相关联地显示(例如，叠加在其上的)，使得用户可以确定每个图像的检测区域的位置。此外，可以显示每个图像检测区的警报状态，例如，通过以对应于警报状态的颜色来显示边界框。

元数据可以由一个或多个检测器获取和/或计算，并且以特征列表的形式呈现给操作者。合适的探测器包括但不限于视频分析仪、PIR、雷达、压力垫和振动探测器。元数据可包括但不限于目标体重、估计年龄、性别、头发颜色、衣服颜色、种族、步态、面部特征、尺寸、速度、以及行进方向。元数据可以通过将所有检测到的特征的列表写入在包围所检测到的目标的边界框的内部或与其毗邻的显示器上来呈现给操作者。

元数据可以取而代之被表示为在非照片写实隐私图像的顶部上，同样地也在正被跟踪的目标的位置上，绘制的(例如，化身、图标等)的动画。藉由示例，动画可以是表示元数据的所有特征的简笔图，或完整着装和动画的卡通角色。这些表示容易传达入侵者的关键元素而不透露他们的身份。

如上所提及的，本发明的一方面涉及如何在视频监控系统的用户界面中显示威胁。在优选方面中，这涉及非照片写实地表示场景；以及在场景内检测到威胁的情况下表示与场景的非照片写实表示中的威胁有关的元数据。

重要地，在一些实施例中，该方法可包括取决于与显示器的观看者相关联的准许水平来选择性地表示元数据。例如，元数据可以基于操作者的安全水平来被过滤。初级操作者仅能看见基本信息、或者在其他非照片写实的场景中看见简单的简笔图。高级操作者可以看见大部分元数据信息，或者完整着装和恰适地填充和着色的人物动画。因此，元数据信息本身可以取决于视频的观看者的准许水平而被隐私过滤。在一些情形中，在准许允许(例如，在检测到重大威胁以及恰适的批准之后)的情况下，可以传送或显示原始视频。原始视频的传输或显示可形成对威胁的取证分析的一部分，或者在某些情形中在存在威胁时实时地被准许。

在一些实施例中，该方法可包括在待命(armed)或解除待命状态中实现原始视频的传输或显示，以及包括其他状态的非照片写实图像的第二视频。例如，在“待命状态”期间需要附加地监视人物身份、但是在“解除待命状态”中不需要的系统可在解除待命状态期间仅生成第二视频。而在待命状态中需要保护人物/对象的身份，但在解除待命状态中需要额外细节(例如，用于调试等)的系统，可在待命状态期间仅生成第二视频。

系统

图6示出了根据本发明的示例性实施例的监视系统的示意图。监视系统20 包括与监视数个区域以寻找各种威胁事件的一个或多个感测设备处于通信的中央监视站21。感测设备中的至少一些感测设备是监控相机，由附图标记14.1、 14.2、和14.3指示，其可以是向中央监视站21提供视频内容(作为视频流或一个或多个图像)的类型。因此，监控相机14.1、14.2、和14.3可以是视频相机。这些监控相机中的每一者被调试成具有视野，通常是在接近于具有受限访问区域的区域中。监控相机在合适的网络28上与中央监视系统通信。例如，该系统可包括一个或多个视频安全产品、数据存储、访问控制、视频分配、周边检测、以及管理硬件和软件系统，如由Xtralis的ADPRO产品线下出售的。

中央监视站21通常包括以一个或多个数据库的形式的服务器16和数据存储18，该数据存储18存储关于感测设备和视频监视系统的信息。中央监视站 21还具有连接到服务器16和数据库18的一个或多个操作者站(由参考标号 20.1和20.2指示的两个操作者站)，由此使得操作者能够访问相关数据。每个操作者站包括一个或多个用户界面22.1、22.2，以向中央监视系统21显示和接收信息。在一个示例实施例中，用户界面22.1、22.2可以是具有键盘26.1、26.2 和鼠标(未示出)的显示器屏幕24.1、24.2。在一些示例实施例中，用户界面也可以是触摸屏。

中央监视站21(服务器16或操作者站)具有一个或多个处理单元和存储器，以用于存储供处理单元执行的指令。所存储的指令使得中央监视站21能够执行各种功能并处理收到数据，如将在以下更详细地描述的。尽管关于中央监视站21描述了功能性，但是应当领会，所有功能不需要由中央监视站21执行，并且进程中的一些进程可以在其他设备上执行。例如，可以在智能监控相机上、在智能集线器中、在远离中央监视站21的云服务中等计算与条件、威胁检测、视频分析、元数据捕捉和创建、以及警报有关的一些操作和功能性。

在一实施例中，服务器在通信网络28上从监控相机14.1-14.3接收原始相机数据，并将数据存储在数据存储18中。原始相机数据被分析以及处理，以生成第二视频或非照片写实地表示场景和威胁的一系列图像。随后第二视频被显示给操作者站20.1、20.2处的一个或多个操作者。

根据本发明的优选实施例，该系统包括视频分析，该视频分析分析由相机 14.1-14.3捕捉的图像、确定场景下存在威胁、并且计算表示威胁的元数据。服务器16随后优选地生成包括一个或多个视频帧的第二视频(其非照片写真地表示场景和威胁)，并且向操作者站处的操作者显示包括一个或多个视频帧的第二视频。读者应该领会到，视频分析可以驻留在相机14.1-14.3内、或者在服务器16上、或者在操作者站20.1、20.2处。

操作者站、相机和服务器可能不总是处于数据通信中。

在一个实施例中，服务器在系统正在使用时接收原始相机数据并将其存储在数据存储18中。视频分析被提供为存储在分析所接收到的原始相机数据的服务器上的计算机可执行指令。如果已经检测到潜在的威胁，则服务器随后可以通过传送并且显示包括一个或多个视频帧的第二视频(其非照片写实地表示显示器22.1和/或22.2上的场景和威胁)来发起与操作者站的数据通信。

在另一实施例中，当相机正在使用时，服务器可以与操作者站处于连续的数据通信。非照片写实地表现场景的第二视频可以随时被显示给操作者站处的操作者。同样，视频分析可以驻留在服务器内或在一个或多个操作者站内。

在一些实施例中，由相机捕捉的原始视频的创建和可任选地存储可以远离服务器16地(例如，在与智能相机或集线器相关联的处理器和数据存储系统中)执行。在这种情形中，只有表示第二视频和元数据的数据需要被传送到服务器16。这样的布置具有附加的优点，如果在第二视频中使用场景的像素化、高度压缩、或以其他方式简化的表示，则与发送全分辨率视频相比，需要传送到服务器的数据水平减少了。

如本领域技术人员将领会的，在一些安全系统中，从监视场景的相机馈送的视频将不被连续地发送到操作者站，并且有可能不被发送到服务器。取而代之，这种视频的传输可通过由传感器(或各传感器的组合)(例如，视频分析、 PIR检测器(或其他传感器))检测到可能威胁来触发，并且本发明可以以这种方式来实现。此外，在一些安全系统中，在检测到威胁的情况下，操作者站的用户可能不会接收全运动视频，取而代之，可能呈现单个帧或由一些时间间隔分隔开的单个帧的系列。由本发明的实施例生成的第二视频因此可以是全运动视频(例如，以与捕捉原始视频相同的帧速率或降低的帧速率被呈现)，但也可能仅是单个帧或以离散时间点表示场景的若干帧的系列。与第二视频中的帧一起呈现的元数据可以表示在帧的捕捉时的威胁的元数据(例如，由雷达检测到的瞬时速度、颜色等)，或者覆盖比帧更长的时间段的累积元数据，例如，自威胁第一次被检测到开始、或自对应于第二视频的前一帧的时间点开始的固定时间间隔上的威胁的运动轨迹。

图7是解说适用于如上所述的中央监视系统21使用/配置的典型计算机处理系统900的框图。例如，典型的计算机系统可适用于中央监视系统21的服务器16以及操作者站22.1、22.2。

计算机处理系统900包括处理单元902。处理单元902可包括单个计算机处理设备(例如，中央处理单元，图形处理单元、或其他计算设备)，或者可包括多个计算机处理设备。在一些实例中，处理仅由处理单元902执行，然而，在其他实例中，处理还可以或替换地由计算机处理系统900可访问和可使用(以共享或专用方式)的远程处理设备执行。

通过通信总线904，处理单元902与存储用于控制计算机处理系统900的操作的指令和/或数据的一个或多个机器可读存储(存储器)设备处于数据通信。在这种实例中，计算机处理系统900包括：系统存储器906(例如BIOS或闪存存储器)、易失性存储器908(例如，随机存取存储器，诸如一个或多个DRAM 模块)、以及非易失性/非瞬态存储器910(例如，一个或多个硬盘或固态驱动器)。

计算机处理系统900还包括一个或多个接口(通常由912指示)，经由该一个或多个接口计算机处理系统900与各种组件、其他设备和/或网络对接。其他组件/设备可以与计算机处理系统900物理集成，或者可以物理上分离。这些设备与计算机处理系统400在物理上分离地连接的情况可以是经由有线或无线硬件和通信协议的，并且可以是直接或间接(例如，联网)的连接。

与其他设备/网络的有线连接可以通过任何标准或专用硬件和连接协议。例如，计算机处理系统900可被配置成用于通过以下各项中的一者或多者来与其他设备/通信网络有线连接：USB；火线；eSATA；雷电(Thunderbolt)；以太网；并行；串行；HDMI；DVI；VGA；音频端口。其它有线连接是可能的。

与其他设备/网络的有线连接类似地可以通过任何标准或专用硬件和连接协议。例如，计算机处理系统400可被配置成用于使用以下各项中的一者或多者来与其他设备/通信网络无线连接：红外；蓝牙(包括早期版本的蓝牙、蓝牙 4.0/4.1/4.2(也被称为蓝牙低能量)、以及未来蓝牙版本)、Wi-Fi；近场通信(NFC)；全球移动通信系统(GSM)、增强数据GSM环境(EDGE)、长期演进(LTE)、宽带码分多址(W-CDMA)、码分多址(CDMA)。其它无线连接是可能的。

一般而言，计算机处理系统900连接到(无论通过有线还是无线的方式) 的设备允许数据被输入到计算机处理系统900中/由计算机处理系统900接收以供处理单元902进行处理，并且允许数据由计算机处理系统900输出。以下描述了示例设备，然而，将领会，不是所有的计算机处理系统都将包括所有提及的设备，并且对于所提及的那些设备还可以使用附加的和替换的设备。

例如，计算机处理系统900可包括或连接到一个或多个输入设备，通过该一个或多个输入设备信息/数据被输入到计算机处理系统900中(由计算机处理系统900接收)。这种输入设备可包括：物理按钮、字母数字输入设备(例如，键盘)、指向设备(例如，鼠标、轨迹板等)、触摸屏、触摸屏显示器、扬声器、加速度计、邻近传感器、GPS设备等。计算机处理系统900还可包括或连接到由计算机处理系统900控制的一个或多个输出设备以输出信息。这样的输出设备可包括诸如指示器(例如，LED、LCD、或其他灯)、显示器(例如， LCD显示器、LED显示器、等离子显示器、触摸屏显示器)、音频输出设备(诸如扬声器、振动模块、以及其他输出设备)之类的设备。计算机处理系统400 还可包括或连接到能够既是输入设备又是输出设备的设备(例如，计算机处理系统400可以从其读取数据和/或将数据写入其的存储器设备(硬盘驱动器、固态驱动器、磁盘驱动器、压缩闪存卡、SD卡等))，以及可以显示(输出) 数据和接收触摸信号(输入)的触摸屏显示器。

计算机处理系统900还可以连接到通信网络(例如，因特网、局域网、广域网、个人热点等)，以将数据传送到可以是其他计算机处理系统的网络设备以及从该网络设备接收数据。

图7中描绘的架构可以在各种各样的计算机处理系统中实现，例如，膝上型计算机、上网本计算机、平板计算机、智能电话、台式计算机、服务器计算机。还将领会，图10没有解说计算机处理系统的全部功能或物理组件。例如，电源或电源接口没有被描绘，然而，计算机处理系统900将携带电源(例如，电池)和/或可连接到电源。将进一步领会，特定类型的计算机处理系统将确定恰适的硬件和架构，并且替换的计算机处理系统可具有与所描绘的那些组件相比附加的、替换的、或更少的组件、组合两个或更多个组件、和/或具有组件的不同配置或布置。

计算机处理系统900的操作还由一个或多个计算机程序模块引起，该一个或多个计算机程序模块将计算机处理系统900配置成接收、处理、和输出数据。一个这样的计算机程序模块将是诸如(作为非限制性示例)苹果iOS或Android 之类的操作系统。

如本文所使用的，术语“模块”是指用于提供指定功能性的计算机程序指令和其他逻辑。模块可以在硬件、固件、和/或软件中实现。典型地，模块被存储在存储设备908上、加载到存储器906中、并且由处理器902执行。

模块可包括一个或多个进程、和/或仅由进程的一部分提供。本文描述的实体的实施例可包括除了本文描述的那些模块之外的其他和/或不同的模块。另外，归因于模块的功能性可以由其他实施例中的其他或不同模块执行。此外，出于清楚和方便的目的，该描述偶尔地省略术语“模块”。

应当领会，由图7的相应实体使用的计算机系统900的类型可以取决于实施例和由实体使用的处理功率而变化。例如，服务器系统可包括一起工作以提供本文描述的功能性的多个刀片式服务器。

工作示例

现在描述工作示例，以解说监视系统如何操作。

该系统采用至少一个视频相机形式的感测设备，其被用于观看和监视场景 (以视野的形式)。由相机拍摄的图像是该三维场景到相机的图像平面上的二维投影。相机图像随后被显示在计算机监视器或显示器上。

图1A示出了在没有任何先前的隐私信息处理的情况下的、来自由感测设备14.1、14.2、14.3中的一者捕捉的场景的视频的图像10，。图像10示出了在被监视空间的中央区域处的道路、电线杆、和人物1。图1A的图像10可能潜在地泄露或暴露人物1和/或场景的隐私信息，因为其示出了由相机捕捉的场景的所有细节。例如，查看图像10的系统操作者可以能够基于原始图像10来标识人物1的身份、或者相机位于何处。

图1B示出了第二视频的帧，其是图1A的整个图像10，但已经被处理并显示为像素化图像11。如图所示，由相机捕捉的整个场景10被处理并呈现为较大的像素阵列以掩盖包含在原始图像10中的信息。操作者将不再能够标识在图像11的中心中存在人物1，操作者也不能够基于来自第二视频的图像11 来标识人物1的任何特征。

以这种方式处理整个图像的优点之一是无论位置和/或移动速度如何，移动目标将总是被隐私保护。隐私信息将不会通过与隐私遮罩的不良对准而被意外地泄露。读者将清楚，隐私保护也可以通过模糊整个视频图像或通过统一地清空整个视频场景、或通过以上提及的隐私保护技术的组合来实现。

该系统使用视频分析，例如，诸如可以在来自Xtralis的ADPRO FastTrace 2E系统中使用诸如也来自Xtralis的IntrusionTrace之类的软件来实施，其检测潜在威胁的到达(例如，入侵者已经进入相机监视区域中)、从第一视频的未受保护的原始相机数据计算与入侵者有关的元数据、并且将该元数据呈现在第二视频的像素化图像上。在一种形式中，威胁(即，入侵者1)通过边界框2 (诸如图2中所示出的边界框2)来在像素化图像11上被指示。边界框2指示在相机监视区域中存在潜在威胁以及潜在安全问题的运动轨迹3。

在图3中示出的示例中，通过将附加的文本元数据4交叠在隐私保护的相机图像11的顶部并且毗邻于包围检测到的入侵者1的边界框2来向操作者呈现元数据4。在替换形式中，元数据4可以被渲染在隐私保护图像11上的不同位置处和/或以不同格式呈现。

优选地，向操作者显示的元数据包含将不侵犯入侵者的隐私或者至少不背离系统用户的隐私设置的信息。元数据由一个或多个检测器获取和/或计算，并且以覆盖在隐私保护图像11上的特征列表的形式呈现给远程操作者，如图3 中所示出的。合适的探测器可包括但不限于视频分析仪、被动红外(PIR)、雷达、压力垫、以及振动探测器或其类似物。由检测器计算的元数据可包括但不限于目标体重、估计年龄、性别、头发颜色、衣服颜色、种族、步态、面部特征、尺寸、速度、以及行进方向。

参照图4，潜在安全问题可以取而代之地被表示为覆盖在隐私保护图像11 上的化身的动画5，同样在被跟踪的目标的位置处。藉由示例，动画可以是表示元数据的所有特征的简笔图，或完整着装和动画的卡通角色。这些表示容易地传达入侵者2的标识信息而不泄露入侵者2的隐私信息。在图4中，在元数据被转换为动画目标的情况下，可以表示该目标的关键特征(诸如蓝色服装)。

优选地，系统允许基于系统的安全水平或用户偏好来定制或过滤元数据4。初级操作者仅能看见基本信息、或者在其他模糊场景中看见简单简笔图，如图 4或图5中所示出的。高级操作者可以看见大部分信息，或者完整着装和恰适地填充和着色的人物动画，如图3中所示出的。元数据4其自身可取决于系统要求而被定制和隐私过滤。

读者将清楚，尽管隐私保护图像11包含关于活动性质的很少的视觉信息，但是边界框2的存在通知系统操作者潜在的安全问题已经进入由相机监视的区域，并且边界框2的位置和轨迹3突出显示了潜在安全问题的位置和路径。用这种方式，个人和场景的详细隐私信息受到保护。然而，包括在所计算的元数据4中的其他非隐私保护信息在隐私保护图像的顶部上以各种所选形式被显示，以辅助操作者作出知情决策。

将理解，在本说明书中公开和限定的发明扩展到从文本或附图中提及或显而易见的单独特征中的两者或更多者的所有替换组合。所有这些不同的组合构成本发明的各种替换方面。