字、字母数字字符或任何组合的字段。在一个示例中,消费者链接可以是如在安客诚(Acx1m)公司所提供的AbiliTec消费者链接产品中使用的哪些消费者链接。AbiliTec链接系统提供跨某领域的消费者(诸如例如美国的所有消费者)唯一的标识符。在Abi I iTec链接系统中存在唯一地标识特定消费者的标识符(AbiliTec消费者链接)和唯一地标识特定地址的标识符(AbiliTec地址链接)以及唯一地标识家族的标识符(AbiliTec家族链接),并且消费者和地址之间随时间的连接可由这些类型的标识符之间的连接来表示。(出于本文中的目的,“消费者链接” 一般将指代所有类型的可能链接,包括但不限于所有类型的Abi I iTec链接,包括Abi I iTec消费者链接、Abi I iTec地址链接和AbiliTec家族链接)。使用这些类型的关联,每一标识符可与特定消费者唯一地关联,而不管是否存在包含关于那个个体消费者的信息的多个记录。包含关于相同消费者或相同地址的信息的多个记录是依据相同消费者和相同地址两者都链接到此相同消费者链接的事实来关联的那些记录。这允许该系统准确地确定两条记录实际上涉及相同的个体消费者,诸如已搬家或由于结婚而改变了名称的消费者。如果客户的基于PII的数据库100中的数据由于较早的处理而尚未与AbiliTec标识符或其他这样的消费者链接相链接,则那些AbiliTec标识符或其他这样的消费者链接可在提取文件12被构造之前或之后被应用于要被包括在提取文件12中的每一记录中的数据。对AbiliTec标识符的使用和构造以及那些标识符与消费者数据的关联在美国专利N0.6,523,041和6766327中被描述,这两件美国专利各自通过参考被援弓I,就好像完全在本文中被阐述了一样。
[0043]在各实施例中,控制文件14也可与提取文件12—起被构造。控制文件14的目的在于由提供本文中描述的服务的提供商提供用于自动处理来自提取文件12的数据的指令。例如,它可指定提取文件12中的PII字段的含义和/或包含针对提取文件12中的各数据元素的分类指令。在替换实施例中,控制文件14可与提取文件12结合,或者可被省略而以从维护客户的基于PII的数据库10的客户到提供这些服务的提供商的或与该客户相关的其他形式的指令来代替。提取文件12和控制文件14两者都可通过众多已知手段中的任一者来发送,包括通过文件在网络连接上的电子传输(诸如通过因特网上的传输)来发送。
[0044]—旦提取文件12被从客户的基于PII的数据库10中创建并且控制文件14被准备,营销服务提供商就可将该提取文件12接收到受限访问区域16中。受限访问区域16可被实现成许多已知形式的计算机存储介质中的任一者中的一个数据库或多个数据库。受限访问区域16的目的是提供其中可操纵数据而无需使用PII的安全数据存储设施,以便确保例如在线营销事务中使用的数据的隐私。来自提取文件的数据最初是在受限访问区域16的登陆区5中接收到的。登陆区5提供其中可在将PII传递到其中不允许PII用于进一步处理的区域之前将PII从数据中移除的区域。在某些实施例中,数据可在此时被分析以确定是否存在Abi I iTec标识符或其他消费者链接,并且如果不存在Abi I iTec标识符或其他消费者链接,则该数据可被清理、标准化并处理以接收消费者链接。在这样的情况下,该数据中的记录将随后附有针对每一消费者的消费者链接。一旦这被完成,该数据被剥离了除消费者链接以外的所有PII。通过这种方式,该数据变得准备好供在受限访问环境16的匿名区域19中进一步处理,其中任何PII都不被允许以便完全地保护消费者隐私。
[0045]虽然除消费者链接以外的所有PII现在都被从消费者记录中剥离,但消费者链接本身可引起风险,因为消费者链接被营销服务提供商内部地使用来链接与特定个体相关联的数据。消费者链接在与同其相关的消费者的PII相关联的这些系统中。希望有敌意地从匿名区域19中的数据中重构PII的某方可因此在实现该目标的努力中使用消费者链接。为了防止可能希望秘密地标识与这些记录中的每一者相关联的消费者的某方对消费者链接的任何可能的滥用,这些消费者链接被以防止任何这样的滥用的方式修改。该过程导致从每一消费者链接创建匿名链接。匿名链接是隐私友好并且完全匿名的经去标识的链接,因为匿名链接并不与同消费者相关联的名称、地址、电话号码、电子邮件地址或其他PII结合在一起被存储在任何系统中的任何地方,即既不被存储在营销服务提供商的系统内部也不被存储在其外部,并且也不可被反向工程到存储在具有特定消费者的PII的任何数据库中的标识符。
[0046]在某些实施例中,匿名链接是在如图3所示的过程中从消费者链接创建的。在所描述的该特定实施例中,消费者链接22可以是16字符的字母数字串。在第一步骤,提供消费者链接22作为步骤30处的使用来自安全盐存储32的安全盐(salt)的散列函数的输入。如密码领域中已知的,盐(sa11)是用作单向散列函数的附加输入的随机串或其他数据。单向散列函数同样是本领域公知的。使用盐的目的是防止在该随机元素没有被添加到该单向散列函数的情况下可能被使用的某些类型的攻击。在步骤30可应用各种散列函数,在某些实施例中包括如国家标准和技术协会(NI ST)发布的标准SHA-1散列函数。结果是中间值34。
[0047]在第二散列步骤36,使用来自盐存储32的第二安全盐来再次应用单向散列算法,这次是被应用于中间值34。如本领域已知的,在步骤36可应用各种散列函数,包括在该第二散列步骤以及第一散列步骤中对SHA-1的应用。该步骤的输出是散列值36,在某些实施例中,该散列值36是20字节的散列,其随后被转换并存储成基16(base-16)编码的40字符的字母数字串。虽然在该特定实施例中应用了两个单向散列函数,但本发明并不限于此,而可利用仅单个散列或被扩展为应用任何数目的散列函数。
[0048]为了在全球营销努力中利用该过程而同时保持特定区域的标识符分开,可进行任选的区域代码步骤40,在该步骤40中,可将标识区域(诸如特定国家)的区域代码应用于散列值38。在某些实施例中,该区域代码是通过串接成为散列值38的前缀的双字符代码。最终结果是匿名链接26,在某些实施例中,该匿名链接26是40字符的(或者在区域代码成为前缀的情况下,为4 2字符的)字母数字串。例如,用于初始处理的消费者链接2 2可以为“ 0000US01ABCDEFGH”,并且得至Ij的匿名链接可以为“183FC2C3A760B11C863856A46C2DEDBECC21512345”。
[0049]可注意到,在某些实施例中,来自安全盐存储32的盐是安全的,因为它们是以加密的形式被存储在系统配置中的;在某些实施例中,加密是其中口令被隐藏在编程代码内使得外行或者入侵者将无法看见该口令的基于口令的AES。从本文中描述的并且在图3中示出的过程中将显而易见的是来自盐存储32的两个经加密的盐是从消费者链接22生成匿名链接26所需的唯一外部参数。
[0050]在某些实施例中,如以上描述的分类可在为每一记录创建了匿名链接26后的这个时间点对记录20执行。任选地,控制文件14可包含用于以下的指令:向这些记录提供分类处理,使得通过该分类处理使作为分布在列中的值的数据或者标准数据字段中的数据转变成独立于次序的数字数据。
[0051 ]在某些实施例中,一旦匿名链接26被创建,一任选步骤将随机地排序这些记录,使得它们按与这些记录被原始提供在受限访问区域16中的次序不同且不匹配的次序呈现。这是防止获得对提取文件12的输入和输出版本两者的访问权的某方能够对输入和输出版本进行比较并重新标识现在仅与匿名链接26相关联而没有PII数据的数据的进一步安全措施。
[0052]在如以上参考图1描述并在以下更详细解释的匹配伙伴处理中,在某些情况下,产生不仅是匿名的而且是按因营销服务提供商的特定伙伴而异的方式来加密的标识符是合需的。这样的标识符将在本文中被称为经伙伴编码的链接50。经伙伴编码的链接50可用于匹配涉及消费者的信息的目的,而没有对关于那个消费者的PII的实时交换,与匿名链接26一样。对针对特定伙伴不同地编码的标识符的使用允许营销服务提供商与不希望将特定消费者的PII从其特定数据环境中发送出去或者被适用的法律或规则禁止这样做的特定伙伴一起工作。对经伙伴编码的链接50的使用还允许营销服务提供商的客户将供分析的其匿名数据与不可被无意地绑定到另一客户的数据的匿名链接26—起存储在对这些客户而言唯一的数据库中。如将明白的,所应用的随机化实现了两个相同的匿名链接可映射到两个完全不同的经伙伴编码的链接50的结果;然而,这两个完全不同的经伙伴编码的链接50两者都可被解密成相同的匿名链接26。该加密优选地使用诸如128位AES加密之类的标准密码功能。为了确保加密密钥的安全性,这些加密密钥在存储之前也被加密。
[0053]在某些实施例中,如在图4中阐述了用于创建经伙伴编码的链接50的过程。经伙伴编码的链接50可构建自单个匿名链接26,或构建自多个匿名链接,如在针对消费者和针对与那个消费者相关联的地址的标识符(例如,AbiliTec消费者链接和AbiliTec地址链接)的情况下。如果将使用两个匿名链接26,则在步骤51可将其串接在一起成为二进制串。专用字节可被添加到该串接,以便标识正向该过程提供的匿名链接26的类型,例如为仅消费者类型链接,或者为消费者和地址两者链