CN116049868B

CN116049868B - 隐私保护方法、设备及存储介质

Info

Publication number: CN116049868B
Application number: CN202210887255.9A
Authority: CN
Inventors: 刘小伟; 周俊伟
Original assignee: Honor Device Co Ltd
Current assignee: Honor Device Co Ltd
Priority date: 2022-07-26
Filing date: 2022-07-26
Publication date: 2023-12-08
Anticipated expiration: 2042-07-26
Also published as: CN116049868A

Abstract

本申请提供了一种隐私保护方法、设备及存储介质。该方法通过对采集的图像数据进行人脸识别、身份识别以及活体检测，在识别到周围环境中存在活体人脸时，才提醒用户注意隐私风险，从而既能够减少用户信息的泄漏，又能够避免因为周围海报、照片、视频等中的人脸频繁提示，提升用户体验。

Description

隐私保护方法、设备及存储介质

技术领域

本申请涉及电子技术领域，尤其涉及一种隐私保护方法、设备及存储介质。

背景技术

随着科技的发展，终端设备拥有了越来越多的功能，终端设备在人们的日常生活、工作中占据的位置越来越重要。以手机为例，用户不仅能够通过手机观看视频、打游戏进行娱乐活动，还可以通过手机收发邮件处理工作，以及通过手机进行即时通讯活动。

但与此同时，用户隐私信息的泄漏情况也越来越严重，特别是在公共场合，当用户使用手机进行一些涉及隐私、安全的操作，如查看工作文件、个人账号时，稍不注意，手机屏幕上显示的内容就会被旁人看到，造成信息泄漏，给用户带来不必要的麻烦和困扰。

发明内容

为了解决上述技术问题，本申请提供一种隐私保护方法、设备及存储介质，旨在识别到周围环境中存在活体人脸时，才提醒用户注意隐私风险，既能够减少用户信息的泄漏，又能够避免因为周围海报、照片、视频等中的人脸频繁提示，从而提升用户体验。

第一方面，本申请提供一种隐私保护方法。该方法应用于包括前置摄像头的终端设备，该方法包括：在满足设置的触发机制时，控制前置摄像头采集图像数据；对图像数据进行人脸识别，识别出图像数据中包括的所有人脸；对识别出的每一个人脸进行身份识别，确定是否存在非注册用户的人脸，非注册用户指示未取得终端设备使用权限的用户；在存在非注册用户的人脸时，根据图像数据对每一个非注册用户的人脸进行活体检测，活体检测用于确定人脸是否为有生命特征的人的人脸；在存在是活体的非注册用户的人脸时，控制终端设备作出隐私保护风险提示，隐私保护风险提示用于提示用户当前存在隐私泄漏风险。

其中，触发机制例如为下文所说的触发机制1、触发机制2、触发机制3中的任意一种或几种，关于触发机制1、触发机制2和触发机制2的选中要求可以参见下文，此处不再赘述。

其中，前置摄像头可以是集成在终端设备中的，也可以是终端设备外界的。这样，对于没有前置摄像头的终端设备，通过外界摄像头也可以实现本申请提供的隐私保护方法，进而实现防窥场景。

由此，通过对采集的图像数据进行人脸识别、身份识别以及活体检测，在识别到周围环境中存在活体人脸时，才提醒用户注意隐私风险，从而既能够减少用户信息的泄漏，又能够避免因为周围海报、照片、视频等中的人脸频繁提示，提升用户体验。

根据第一方面，前置摄像头为红外深度摄像头，图像数据包括二维图像数据和三维图像数据，二维图像数据为红外图像，三维图像数据为深度图像。

这样，终端设备的处理器无需在对图像数据进行处理，将仅包括二维图像数据的图像数据处理出三维图像数据。

根据第一方面，或者以上第一方面的任意一种实现方式，前置摄像头为D-RGB摄像头，图像数据包括二维图像数据和三维图像数据，二维图像数据为RGB图像，三维图像数据为深度图像。

根据第一方面，或者以上第一方面的任意一种实现方式，前置摄像头为RGB摄像头，图像数据包括二维图像数据，二维图像数据为RGB图像；方法还包括：基于深度学习算法对RGB图像进行处理，生成深度图像，将深度图像作为三维图像数据。

这样，即便终端设备的前置摄像头仅能采集RGB图像，通过深度学习处理，也可以得到深度图像，进而保证后续的活体检测能够进行，从而使得本申请提供的隐私保护方法能够覆盖更多的终端设备，如已经出厂，但未设置D-RGB前置摄像头，或者红外深度前置设备的终端设备。

根据第一方面，或者以上第一方面的任意一种实现方式，对图像数据进行人脸识别，识别出图像数据中包括的所有人脸，包括：对二维图像数据进行人脸识别，识别出图像数据中包括的所有人脸；对识别出的每一个人脸进行身份识别，确定是否存在非注册用户的人脸，包括：根据二维图像数据，对识别出的每一个人脸进行身份识别，确定是否存在非注册用户的人脸；根据图像数据对每一个非注册用户的人脸进行活体检测，包括：根据二维图像数据和三维图像数据对每一个非注册用户的人脸进行活体检测。

根据第一方面，或者以上第一方面的任意一种实现方式，根据二维图像数据，对识别出的每一个人脸进行身份识别，包括：从二维图像数据中提取每一个人脸的人脸特征信息；将每一个人脸的人脸特征信息与预先录入的注册用户的人脸特征信息进行匹配，注册用户指示取得终端设备使用权的用户；如果不匹配，则确定存在非注册用户的人脸。

根据第一方面，或者以上第一方面的任意一种实现方式，根据二维图像数据和三维图像数据对每一个非注册用户的人脸进行活体检测，包括：从二维图像数据中提取每一个非注册用户的人脸的反射率信息；从三维图像数据中提取每一个非注册用户的人脸的立体感信息；在立体感信息和反射率信息满足活体标准时，确定存在是活体的非注册用户的人脸。

根据第一方面，或者以上第一方面的任意一种实现方式，图像数据包括二维图像数据和三维图像数据，二维图像数据为RGB图像或红外图像，三维图像数据为深度图像；在根据图像数据对每一个非注册用户的人脸进行活体检测之前，方法还包括：根据三维图像数据确定每一个非注册用户的人脸距离终端设备的屏幕的距离；在距离小于设定的安全距离时，执行根据图像数据对每一个非注册用户的人脸进行活体检测的步骤。

这样，在进行活体检测前，引入距离检测环节，如果非注册用户距离终端设备的屏幕大于设定安全距离，则认为当前使用场景时安全的，不存在信息泄漏的风险，从而在非注册用户有多个时，基于距离能够缩小活体检测范围，进而降低对终端设备资源的占用，达到了减少功耗，提升效率作用。

根据第一方面，或者以上第一方面的任意一种实现方式，在控制终端设备作出隐私保护风险提示之前，方法还包括：根据图像数据对是活体的注册用户的进行眼动追踪；在活体的注册用户的注视点在终端设备的屏幕上时，执行控制终端设备作出隐私保护风险提示的步骤。

这样，在控制终端设备作出隐私保护风险提示之前，进一步检测被确定为活体的用户是否正在注视终端设备的屏幕，如果没有注视，则无需控制终端设备作出隐私保护风险提示，在保证隐私安全性的同时，进一步减少了提示次数，大大提升了用户使用体验。

根据第一方面，或者以上第一方面的任意一种实现方式，控制终端设备作出隐私保护风险提示，包括：以弹窗的形式，在终端设备的屏弹出隐私保护风险提示信息。

根据第一方面，或者以上第一方面的任意一种实现方式，弹窗包括第一控件和第二控件，第一控件用户关闭弹窗，第二控件用于控制终端设备作出防窥措施；在以弹窗的形式，在终端设备的屏弹出隐私保护风险提示信息之后，方法包括：在接收到对第二控件的操作时，调整终端设备的屏幕中显示的内容的字体大小，以使根据字体大小确定的安全距离大于是活体的非注册用户距离屏幕的距离。

根据第一方面，或者以上第一方面的任意一种实现方式，弹窗包括第一控件和第二控件，第一控件用户关闭弹窗，第二控件用于控制终端设备作出防窥措施；在以弹窗的形式，在终端设备的屏弹出隐私保护风险提示信息之后，方法包括：在接收到对第二控件的操作时，调整终端设备的屏幕亮度，以使屏幕的可视距离大于是活体的非注册用户距离屏幕的距离。

根据第一方面，或者以上第一方面的任意一种实现方式，弹窗包括第一控件和第二控件，第一控件用户关闭弹窗，第二控件用于控制终端设备作出防窥措施；在以弹窗的形式，在终端设备的屏弹出隐私保护风险提示信息之后，方法包括：在接收到对第二控件的操作时，执行锁屏操作，以使屏幕处于灭屏状态。

根据第一方面，或者以上第一方面的任意一种实现方式，弹窗包括第一控件和第二控件，第一控件用户关闭弹窗，第二控件用于控制终端设备作出防窥措施；在以弹窗的形式，在终端设备的屏弹出隐私保护风险提示信息之后，方法包括：在预设时间内未接收到对第二控件的操作，也为接收到对第一控件的操作时，执行锁屏操作，以使屏幕处于灭屏状态。

这样，如果用户当前不在终端设备前，也可以自动执行锁屏操作，从而避免信息泄漏。

根据第一方面，或者以上第一方面的任意一种实现方式，控制终端设备作出隐私保护风险提示，包括：以语音形式，播放隐私保护风险提示信息。

根据第一方面，或者以上第一方面的任意一种实现方式，以语音形式，播放隐私保护风险提示信息，包括：识别终端设备是否连接了耳机；在终端设备连接了耳机时，通过耳机播放隐私保护风险提示信息；在终端设备未连接耳机时，通过终端设备的麦克风播放隐私保护风险提示信息。

根据第一方面，或者以上第一方面的任意一种实现方式，在通过耳机播放隐私保护风险提示信息之前，方法还包括：确定耳机是否佩戴在注册用户的耳朵上；在耳机佩戴在注册用户的耳朵上时，执行通过耳机播放隐私保护风险提示信息的步骤；在耳机未佩戴在注册用户的耳朵上时，通过终端设备的麦克风播放隐私保护风险提示信息，或者以弹窗的形式，在终端设备的屏弹出隐私保护风险提示信息。

根据第一方面，或者以上第一方面的任意一种实现方式，在通过终端设备的麦克风播放隐私保护风险提示信息之前，方法还包括：检测麦克风是否注册外放；在麦克风不支持外放时，以弹窗的形式，在终端设备的屏弹出隐私保护风险提示信息；在麦克风支持外放时，执行通过终端设备的麦克风播放隐私保护风险提示信息的步骤。

根据第一方面，或者以上第一方面的任意一种实现方式，以语音形式，播放隐私保护风险提示信息，包括：根据周围环境，确定播放隐私保护风险提示信息的音量；按照音量播放隐私保护风险提示信息。

第二方面，本申请提供了一种终端设备。该终端设备包括：存储器和处理器，存储器和处理器耦合；存储器存储有程序指令，程序指令由处理器执行时，使得所述终端设备执行第一方面或第一方面的任意可能的实现方式中的方法的指令。

第二方面以及第二方面的任意一种实现方式分别与第一方面以及第一方面的任意一种实现方式相对应。第二方面以及第二方面的任意一种实现方式所对应的技术效果可参见上述第一方面以及第一方面的任意一种实现方式所对应的技术效果，此处不再赘述。

第三方面，本申请提供了一种计算机可读介质，用于存储计算机程序，该计算机程序包括用于执行第一方面或第一方面的任意可能的实现方式中的方法的指令。

第三方面以及第三方面的任意一种实现方式分别与第一方面以及第一方面的任意一种实现方式相对应。第三方面以及第三方面的任意一种实现方式所对应的技术效果可参见上述第一方面以及第一方面的任意一种实现方式所对应的技术效果，此处不再赘述。

第四方面，本申请提供了一种计算机程序，该计算机程序包括用于执行第一方面或第一方面的任意可能的实现方式中的方法的指令。

第四方面以及第四方面的任意一种实现方式分别与第一方面以及第一方面的任意一种实现方式相对应。第四方面以及第四方面的任意一种实现方式所对应的技术效果可参见上述第一方面以及第一方面的任意一种实现方式所对应的技术效果，此处不再赘述。

第五方面，本申请提供了一种芯片，该芯片包括处理电路、收发管脚。其中，该收发管脚、和该处理电路通过内部连接通路互相通信，该处理电路执行第一方面或第一方面的任一种可能的实现方式中的方法，以控制接收管脚接收信号，以控制发送管脚发送信号。

第五方面以及第五方面的任意一种实现方式分别与第一方面以及第一方面的任意一种实现方式相对应。第五方面以及第五方面的任意一种实现方式所对应的技术效果可参见上述第一方面以及第一方面的任意一种实现方式所对应的技术效果，此处不再赘述。

附图说明

图1为示例性示出的采用防窥膜实现防窥场景的示意图；

图2为采用二维图像实现防窥场景的示意图；

图3a～图3c为采用本申请实施例提供的隐私保护方法实现防窥场景的示意图；

图4为示例性示出的实现本申请实施例提供的隐私保护方法的终端设备的硬件结构示意图；

图5为示例性示出的实现本申请实施例提供的隐私保护方法的终端设备的软件结构示意图；

图6～图11为示例性示出的通过设置应用开启隐私保护模式，并进行相关设置的界面示意图；

图12为示例性示出的通过下拉通知栏开启隐私保护模式的界面示意图；

图13为示例性示出的实现本申请实施例提供的隐私保护方法时涉及的功能模块的交互示意图；

图14a、图14b为示例性示出的本申请实施例提供的隐私保护方法的时序图；

图15为示例性示出的基于本申请实施例提供的隐私保护方法作出的隐私保护风险提示的界面示意图；

图16为示例性示出的基于本申请实施例提供的隐私保护方法作出的隐私保护风险提示的界面示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。

本申请实施例的说明书和权利要求书中的术语“第一”和“第二”等是用于区别不同的对象，而不是用于描述对象的特定顺序。例如，第一目标对象和第二目标对象等是用于区别不同的目标对象，而不是用于描述目标对象的特定顺序。

在本申请实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

在本申请实施例的描述中，除非另有说明，“多个”的含义是指两个或两个以上。例如，多个处理单元是指两个或两个以上的处理单元；多个***是指两个或两个以上的***。

随着科技的发展，终端设备拥有了越来越多的功能，终端设备在人们的日常生活、工作中占据的位置越来越重要。目前用户不仅能够通过这些终端设备观看视频、打游戏进行娱乐活动，还可以通过这些终端设备收发邮件处理工作，以及进行即时通讯活动。

但与此同时，用户隐私信息的泄漏情况也越来越严重，特别是在公共场合，当用户使用终端设备进行一些涉及隐私、安全的操作，如查看工作文件、个人账号时，稍不注意，屏幕上显示的内容就会被旁人看到，造成信息泄漏，给用户带来不必要的麻烦和困扰，如金钱损失、客户资源流失等。

对于上述问题，在一些实现方式中，采用的解决方式是在终端设备的屏幕上贴一张防窥膜防止旁人的窥视。

可理解的，所谓的防窥膜，其实就是一块屏幕玻璃，具体是利用玻璃的折射率，减少光线的折射角度，以达到防止旁边人窥视的目的。

下述以张贴防窥膜的终端设备为个人计算机(Personal Computer，PC)为例，对防窥膜实现的防窥场景进行描述。

如图1所示，PC的屏幕上贴了一张防窥膜。张贴该防窥膜后，以PC垂直于水平面的中轴线为对称轴，对称轴两侧的PC屏幕被划分为可视范围和不可视范围。其中，对称轴两侧的可视范围例如均为25°，可视范围之外，与水平面构成的不可视范围分别为65°。

继续参见图1，如果用户A为该PC的使用者(拥有者，或者说授权用户)用户B和用户C为非授权用户，也就是上文所说的旁人。如果用户A当前正在使用PC查看涉及隐私的文件，位于用户A两侧的用户B和用户C依旧可以通过可视范围看到PC屏幕上显示的文件内容。

通过上述描述可知，贴了防窥膜的终端设备的屏幕存在可视范围和不可视范围。因此如果旁人处于可视范围内，屏幕上显示的内容依旧存在泄漏风险。

应当理解的是，上述给出的仅为一种张贴了可视范围为50°，不可视范围为130°的防窥膜的具体实现场景，是为了更好的理解防窥膜实现防窥场景而列举的示例，不作为对防窥膜的唯一限制。

此外，张贴防窥膜后，对于可触控的终端设备，屏幕的触碰敏感度会降低，因此会影响影响用户体验，并且张贴防窥膜后，终端设备的屏幕亮度也会降低，特别是在阳光照射屏幕时，屏幕上显示的内容即便是在可视范围内，用户本人也无法看清，而长时间处于低亮度环境下，对用户的眼睛也有一定损伤。

此外，防窥膜只是一种被动的防偷窥手段，不能提醒使用者当前有旁人窥视屏幕，如图1所示，当用户B和用户C通过可视范围偷窥屏幕时，用户A如果自己没有注意到，根本没办法采取措施。

显然，这一种隐私保护方法不够理想。基于此，为了解决上述问题，在另一些实现方式中，采用的解决方式是利用终端设备的前置摄像头实时进行图像采集，在识别出图像中包括陌生人(非授权用户)的人脸时，就提示用户当前有陌生人窥视终端设备的屏幕。然而这种方式仅是通过提取二维图像中的人脸信息进行比较，因此当用户所处环境有海报、照片、视频播放设备等，终端设备的前置摄像头采集到的图像中往往会包括海报、照片、视频中的人脸，这就会导致终端设备频繁提示用户当前有陌生人窥视终端设备的屏幕，严重影响用户使用体验。

下述仍以终端设备为PC为例，对利用二维图像中的人脸信息进行陌生人识别，进而提示用户实现的防窥场景进行描述。

如图2所示，用户A背后挂了一副相框，该相框中的照片包括了众多人脸，其中大部分没有注册为PC的授权用户。当用户A坐着桌前使用PC时，开启了上述防窥功能的PC的前置摄像头会实时进行图像采集。而采集到的图像中包括了相框中照片内的众多人脸，由于包括没有注册为授权用户的人脸，因此PC会频繁提示用户“有陌生人在看您的屏幕，请注意安全”。

也就是说，上述方式，不论识别到的人脸是活体人脸，还是海报、照片、视频中的人脸，都会进行提示。

显然，这种隐私保护方法也不够理想。有鉴于此，本申请提供了一种隐私保护方法，旨在识别到周围环境中存在注视屏幕的活体人脸时，及时提醒用户注意隐私风险，既能够减少用户信息的泄漏，又能够避免因为周围海报、照片、视频等中的人脸频繁提示，从而提升用户体验。即，本申请提供的隐私保护方法，仅在识别的人脸是活体人脸，非图像、视频中的人脸，且该活体人脸正在注视屏幕时才进行提醒，从而既能做到防偷窥，又能避免频繁提示，保证了用户使用体验。

下述仍以终端设备为PC，对采用本申请提供的隐私保护方法实现的防窥场景进行描述。

当用户A坐着桌前使用PC时，开启了本申请提供的隐私保护模式/防窥功能后，基于本申请提供的隐私保护方法，通过对前置摄像头拍摄的图像进行处理，得到包括人脸特征的红外图像/RGB图像，以及包括深度信息、立体感信息的深度图像，进而根据人脸特征和立体感信息确定采集到的图像中是否包括活体人脸，根据深度信息确定该活体用户与PC屏幕的距离。

如图3a所示，由于图3a所示的场景中，并没有活体用户，因此确定当前不存在窥视PC屏幕的旁人，对于这种情况，基于本申请提供的隐私保护方法，无需对用户作出提示，这样就不会打断用户的使用，保证了用户体验。

如图3b所示，用户A身后站了用户B(非授权的活体用户)，如果根据深度信息确定用户B与PC屏幕的距离小于当前屏幕显示的字体可视的安全距离，即图3b所示的场景中，用户B能够看清PC屏幕中显示的文件内容，这就存在信息泄漏的风险，为了让用户A及时作出措施，此时可以在PC的屏幕上弹窗提示用户A“有陌生人在看您的屏幕，请注意安全”。

如图3c所示，如果根据深度信息确定用户B与PC屏幕的距离大于当前屏幕显示的字体可视的安全距离，即图3b所示的场景中，用户B是无法看清，甚至看到PC屏幕中显示的文件内容的，对于这种情况，基于本申请提供的隐私保护方法，无需对用户作出提示，这样就不会打断用户的使用，保证了用户体验。

此外，需要说明的是，基于本申请提供的隐私保护方法，在确定当前存在活体人脸，且该活体用户与PC屏幕的距离小于当前屏幕显示的字体可视的安全距离时，如果该活体用户没有注视PC屏幕，也无需对用户作出提示，从而进一步减少了提示次数，使得用户使用体检更佳。

为了更好的理解本申请提供的技术方案，在对本申请的技术方案说明之前，首先结合附图对本申请的适用于的终端设备(例如手机、平板电脑、可触控PC等)的硬件结构进行说明。

可理解的，由于本申请提供的技术方案同样需要进行图像采集，因此本申请适用于的终端设备需要具备摄像头。

为了便于说明，以下以终端设备为手机为例，对其硬件结构进行具体说明。

参见图4，终端设备100可以包括：处理器110，外部存储器接口120，内部存储器121，通用串行总线(universal serial bus，USB)接口130，充电管理模块140，电源管理模块141，电池142，天线1，天线2，移动通信模块150，无线通信模块160，音频模块170，扬声器170A，受话器170B，麦克风170C，耳机接口170D，传感器模块180，按键190，马达191，指示器192，摄像头193，显示屏194，以及用户标识模块(subscriber identification module，SIM)卡接口195等。

示例性的，在一些实现方式中，传感器模块180可以包括压力传感器，陀螺仪传感器，气压传感器，磁传感器，加速度传感器，距离传感器，接近光传感器，指纹传感器，温度传感器，触摸传感器，环境光传感器，骨传导传感器等，此处不再一一例举，本申请对此不作限制。

此外，需要说明的是，处理器110可以包括一个或多个处理单元，例如：处理器110可以包括应用处理器(application processor，AP)，调制解调处理器，图形处理器(graphics processing unit，GPU)，图像信号处理器(image signal processor，ISP)，控制器，存储器，视频编解码器，数字信号处理器(digital signal processor，DSP)，基带处理器，和/或神经网络处理器(neural-network processing unit，NPU)等。其中，不同的处理单元可以是独立的器件，也可以集成在一个或多个处理器中。

可理解的，控制器可以是终端设备100的神经中枢和指挥中心。在实际应用中，控制器可以根据指令操作码和时序信号，产生操作控制信号，完成取指令和执行指令的控制。

此外，还需要说明的是，处理器110中还可以设置存储器，用于存储指令和数据。在一些实现方式中，处理器110中的存储器为高速缓冲存储器。该存储器可以保存处理器110刚用过或循环使用的指令或数据。如果处理器110需要再次使用该指令或数据，可从所述存储器中直接调用。避免了重复存取，减少了处理器110的等待时间，因而提高了***的效率。

示例性的，在一些实现方式中，处理器110可以包括一个或多个接口。接口可以包括集成电路(inter-integrated circuit，I2C)接口，集成电路内置音频(inter-integrated circuit sound，I2S)接口，脉冲编码调制(pulse code modulation，PCM)接口，通用异步收发传输器(universal asynchronous receiver/transmitter，UART)接口，移动产业处理器接口(mobile industry processor interface，MIPI)，通用输入输出(general-purpose input/output，GPIO)接口，用户标识模块(subscriber identitymodule，SIM)接口，和/或通用串行总线(universal serial bus，USB)接口等。

继续参见图4，示例性的，充电管理模块140用于从充电器接收充电输入。其中，充电器可以是无线充电器，也可以是有线充电器。在一些有线充电的实现方式中，充电管理模块140可以通过USB接口130接收有线充电器的充电输入。在一些无线充电的实现方式中，充电管理模块140可以通过终端设备100的无线充电线圈接收无线充电输入。充电管理模块140为电池142充电的同时，还可以通过电源管理模块141为终端设备供电。

继续参见图4，示例性的，电源管理模块141用于连接电池142，充电管理模块140与处理器110。电源管理模块141接收电池142和/或充电管理模块140的输入，为处理器110，内部存储器121，外部存储器，显示屏194，摄像头193，和无线通信模块160等供电。电源管理模块141还可以用于监测电池容量，电池循环次数，电池健康状态(漏电，阻抗)等参数。在其他一些实现方式中，电源管理模块141也可以设置于处理器110中。在另一些实现方式中，电源管理模块141和充电管理模块140也可以设置于同一个器件中。

继续参见图4，示例性的，终端设备100的无线通信功能可以通过天线1，天线2，移动通信模块150，无线通信模块160，调制解调处理器以及基带处理器等实现。

需要说明的是，天线1和天线2用于发射和接收电磁波信号。终端设备100中的每个天线可用于覆盖单个或多个通信频带。不同的天线还可以复用，以提高天线的利用率。例如：可以将天线1复用为无线局域网的分集天线。在另外一些实现方式中，天线可以和调谐开关结合使用。

继续参见图4，示例性的，移动通信模块150可以提供应用在终端设备100上的包括2G/3G/4G/5G等无线通信的解决方案。移动通信模块150可以包括至少一个滤波器，开关，功率放大器，低噪声放大器(low noise amplifier，LNA)等。移动通信模块150可以由天线1接收电磁波，并对接收的电磁波进行滤波，放大等处理，传送至调制解调处理器进行解调。移动通信模块150还可以对经调制解调处理器调制后的信号放大，经天线1转为电磁波辐射出去。在一些实现方式中，移动通信模块150的至少部分功能模块可以被设置于处理器110中。在一些实现方式中，移动通信模块150的至少部分功能模块可以与处理器110的至少部分模块被设置在同一个器件中。

此外，需要说明的是，调制解调处理器可以包括调制器和解调器。其中，调制器用于将待发送的低频基带信号调制成中高频信号。解调器用于将接收的电磁波信号解调为低频基带信号。随后解调器将解调得到的低频基带信号传送至基带处理器处理。低频基带信号经基带处理器处理后，被传递给应用处理器。应用处理器通过音频设备(不限于扬声器170A，受话器170B等)输出声音信号，或通过显示屏194显示图像或视频。在一些实现方式中，调制解调处理器可以是独立的器件。在另一些实现方式中，调制解调处理器可以独立于处理器110，与移动通信模块150或其他功能模块设置在同一个器件中。

继续参见图4，示例性的，无线通信模块160可以提供应用在终端设备100上的包括无线局域网(wireless local area networks，WLAN)(如无线保真(wireless fidelity，Wi-Fi)网络)，蓝牙(bluetooth，BT)，全球导航卫星***(global navigation satellitesystem，GNSS)，调频(frequency modulation，FM)，近距离无线通信技术(near fieldcommunication，NFC)，红外技术(infrared，IR)等无线通信的解决方案。无线通信模块160可以是集成至少一个通信处理模块的一个或多个器件。无线通信模块160经由天线2接收电磁波，将电磁波信号调频以及滤波处理，将处理后的信号发送到处理器110。无线通信模块160还可以从处理器110接收待发送的信号，对其进行调频，放大，经天线2转为电磁波辐射出去。

具体到本申请的技术方案中，终端设备100可通过移动通信模块150或无线通信模块160与云端服务器或者其他服务器进行通信。

示例性的，在一些实现方式中，上述所说的云端服务器或其他服务器，例如为用于基于海量人脸特征数据、深度信息训练获得的人脸识别模型、身份识别模型以及活体检测模型的服务器。对于这种人脸识别模型、身份识别模型及活体检测模型由服务器训练获得的场景，终端设备100可以通过移动通信模块150向云端服务器发送获取上述模型的请求，进而将由服务器训练获得的各个模型获取到本地，以便后续开启隐私保护模式/防窥功能后，终端设备能够基于上述模型实现本申请提供的隐私保护方法。示例性的，云端可以是多个服务器组成的服务器集群。

示例性的，在另一些实现方式中，上述所说的各种模型也可以在终端设备100出厂前，直接预置到终端设备100中，或者由终端设备100基于收集的数据进行训练获得。

应当理解的是，上述说明仅是为了更好的理解本申请的技术方案而列举的示例，不作为对本申请的唯一限制。为了便于说明，本申请以上述所说的各种模型提前预置到终端设备100中，后续根据用户的使用，进行自主学习完善为例。

此外，还需要说明的是，终端设备100通过GPU，显示屏194，以及应用处理器等实现显示功能。GPU为图像处理的微处理器，连接显示屏194和应用处理器。GPU用于执行数学和几何计算，用于图形渲染。处理器110可包括一个或多个GPU，其执行程序指令以生成或改变显示信息。

继续参见图4，示例性的，显示屏194用于显示图像，视频等。显示屏194包括显示面板。显示面板可以采用液晶显示屏(liquid crystal display，LCD)，有机发光二极管(organic light-emitting diode，OLED)，有源矩阵有机发光二极体或主动矩阵有机发光二极体(active-matrix organic light emitting diode的，AMOLED)，柔性发光二极管(flex light-emitting diode，FLED)，Miniled，MicroLed，Micro-oLed，量子点发光二极管(quantum dot light emitting diodes，QLED)等。在一些实现方式中，终端设备100可以包括1个或N个显示屏194，N为大于1的正整数。

此外，还需要说明的是，终端设备100可以通过ISP，摄像头193，视频编解码器，GPU，显示屏194以及应用处理器等实现拍摄功能。

此外，还需要说明的是，ISP用于处理摄像头193反馈的数据。例如，拍照时，打开快门，光线通过镜头被传递到摄像头感光元件上，光信号转换为电信号，摄像头感光元件将所述电信号传递给ISP处理，转化为肉眼可见的图像。ISP还可以对图像的噪点，亮度，肤色进行算法优化。ISP还可以对拍摄场景的曝光，色温等参数优化。在一些实现方式中，ISP可以设置在摄像头193中。

此外，还需要说明的是，摄像头193用于捕获静态图像或视频。物体通过镜头生成光学图像投射到感光元件。感光元件可以是电荷耦合器件(charge coupled device，CCD)或互补金属氧化物半导体(complementary metal-oxide-semiconductor，CMOS)光电晶体管。感光元件把光信号转换成电信号，之后将电信号传递给ISP转换成数字图像信号。ISP将数字图像信号输出到DSP加工处理。DSP将数字图像信号转换成标准的RGB，YUV等格式的图像信号。在一些实现方式中，终端设备100可以包括1个或N个摄像头193，N为大于1的正整数。

具体到本申请提供的技术方案中，考虑到本申请提供的隐私保护方法中，需要获取深度信息、立体信息、人脸特征，因此在一些实现方式中，终端设备中的摄像头例如可以是深度摄像头，即RGB-D摄像头，这样一次采集就可以直接获得深度图像和RGB图像。

进一步地，为了避免RGB图像因为过曝等原因导致无法精准提取人脸特征，在另一些实现方式中，终端设备中的摄像头例如可以是红外深度摄像头，这样一次采集就可以直接获得红外图像和深度图像。从而利用红外图像进行人脸特征提取，有效解决了RGB图像存在的上述问题。

此外，为了使本申请提供的隐私保护方法，能够适用于更多的终端设备，例如已经投入市场不具备深度摄像头和/或红外深度摄像头的终端设备。本申请提供的隐私方法还可以基于单目或多目深度估计算法，对仅能采集RGB图像的摄像头RGB图像进行处理，从而转换出深度图像，在基于上述逻辑人脸检测、活体检测等。

应当理解的是，上述说明仅是为了更好的理解本申请的技术方案而列举的示例，不作为对本申请的唯一限制。

此外，还需要说明的是，数字信号处理器用于处理数字信号，除了可以处理数字图像信号，还可以处理其他数字信号。例如，当终端设备100在频点选择时，数字信号处理器用于对频点能量进行傅里叶变换等。

此外，还需要说明的是，视频编解码器用于对数字视频压缩或解压缩。终端设备100可以支持一种或多种视频编解码器。这样，终端设备100可以播放或录制多种编码格式的视频，例如：动态图像专家组(moving picture experts group，MPEG)1，MPEG2，MPEG3，MPEG4等。

继续参见图4，示例性的，外部存储器接口120可以用于连接外部存储卡，例如Micro SD卡，实现扩展终端设备100的存储能力。外部存储卡通过外部存储器接口120与处理器110通信，实现数据存储功能。例如将音乐，视频等文件保存在外部存储卡中。

继续参见图4，示例性的，内部存储器121可以用于存储计算机可执行程序代码，所述可执行程序代码包括指令。处理器110通过运行存储在内部存储器121的指令，从而执行终端设备100的各种功能应用以及数据处理。内部存储器121可以包括存储程序区和存储数据区。其中，存储程序区可存储操作***，至少一个功能所需的应用程序(比如声音播放功能，图像播放功能等)等。存储数据区可存储终端设备100使用过程中所创建的数据(比如音频数据，电话本等)等。此外，内部存储器121可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件，闪存器件，通用闪存存储器(universal flashstorage，UFS)等。

具体到本申请提供的技术方案中，上述所说的各种模型就可以提前存储在终端设备100的内部存储器121中，从而便于实现人脸识别、身份识别、活体检测等操作。

此外，还需要说明的是，终端设备100可以通过音频模块170，扬声器170A，受话器170B，麦克风170C，耳机接口170D，以及应用处理器等实现音频功能。例如音乐播放，录音等。

此外，还需要说明的是，音频模块170用于将数字音频信息转换成模拟音频信号输出，也用于将模拟音频输入转换为数字音频信号。音频模块170还可以用于对音频信号编码和解码。在一些实现方式中，音频模块170可以设置于处理器110中，或将音频模块170的部分功能模块设置于处理器110中。

继续参见图4，示例性的，按键190包括开机键，音量键等。按键190可以是机械按键。也可以是触摸式按键。终端设备100可以接收按键输入，产生与终端设备100的用户设置以及功能控制有关的键信号输入。

继续参见图4，示例性的，马达191可以产生振动提示。马达191可以用于来电振动提示，也可以用于触摸振动反馈。例如，作用于不同应用(例如拍照，音频播放等)的触摸操作，可以对应不同的振动反馈效果。作用于显示屏194不同区域的触摸操作，马达191也可对应不同的振动反馈效果。不同的应用场景(例如：时间提醒，接收信息，闹钟，游戏等)也可以对应不同的振动反馈效果。触摸振动反馈效果还可以支持自定义。

继续参见图4，示例性的，指示器192可以是指示灯，可以用于指示充电状态，电量变化，也可以用于指示消息，未接来电，通知等。

关于终端设备100的硬件结构就介绍到此，应当理解的是，图1所示终端设备100仅是一个范例，在具体实现中，终端设备100可以具有比图中所示的更多的或者更少的部件，可以组合两个或多个的部件，或者可以具有不同的部件配置。图1中所示出的各种部件可以在包括一个或多个信号处理和/或专用集成电路在内的硬件、软件、或硬件和软件的组合中实现。

为了更好的理解图4所示终端设备100的软件结构，以下对终端设备100的软件结构进行说明。在对终端设备100的软件结构进行说明之前，首先对终端设备100的软件***可以采用的架构进行说明。

具体的，在实际应用中，终端设备100的软件***可以采用分层架构，事件驱动架构，微核架构，微服务架构，或云架构。

此外，可理解的，目前主流的终端设备使用的软件***包括但不限于Windows***、Android***和iOS***。为了便于说明，本申请实施例以分层架构的Android***为例，示例性说明终端设备100的软件结构。

此外，后续关于本申请实施例提供的隐私保护方案在具体实现中，本申请实施例提供的隐私保护方案同样适用于其他***。

参见图5，为本申请实施例的终端设备100的软件结构框图。

如图5所示，终端设备100的分层架构将软件分成若干个层，每一层都有清晰的角色和分工。层与层之间通过软件接口通信。在一些实现方式中，将Android***分为四层，从上至下分别为应用程序层，应用程序框架层，安卓运行时(Android runtime)和***库，以及内核层。

其中，应用程序层可以包括一系列应用程序包。如图5所示，应用程序包可以包括地图、WLAN、蓝牙、相机、应用、隐私保护、设置等应用程序，此处不再一一列举，本申请对此不作限制。

关于隐私保护应用，在本申请中具体是用于开启隐私保护模式(或者说防窥模式)，以及设置有关隐私保护模式的相应信息的应用。

可理解的，在实际应用中，该功能也可以集成到设置应用中，即不单独提供隐私保护应用，通过设置应用中提供的功能入口进行相关设置。

进一步地，为了便于用户开启隐私保护模式，基于本申请提供的隐私保护方法实现防窥场景。还可以提供快捷方式，开启隐私保护模式。例如，通过在下拉通知栏中提供用户入口，或者通过指定敲击次数、敲击位置、按键、语音等方式开启。

应用程序框架层为应用程序层的应用程序提供应用编程接口(applicationprogramming interface，API)和编程框架。在一些实现方式中，这些编程接口和编程框架可以描述为函数。如图5所示，应用程序框架层可以包括触发检测模块、人脸识别模块、身份识别模块、距离检测模块、活体检测模块、眼动追踪模块、提示模块、视图***、通知管理器等函数，此处不再一一列举，本申请对此不作限制。

示例性的，在本实施例中，触发检测模块用于在用户开启隐私保护模式后，检测终端设备是否满足触发摄像头采集图像的条件(后续称为：触发机制)。

关于触发机制，在一些实现方式中，例如为开启隐私保护模式后，终端设备的屏幕处于解锁状态；在另一些实现方式中，例如为开启隐私保护模式后，访问了指定的隐私/敏感应用，或者处于指定的隐私场景；在另一些实现方式中，例如为开启隐私保护模式后，作出了指定的动作指令，语音指令等。

示例性的，在本实施例中，人脸识别模块用于对摄像头拍摄的图像数据处理获得的红外图像/RGB图像进行人脸识别，以确定当前图像数据中是否存在人脸。

示例性的，在本实施例中，身份识别模块用于在当前图像数据中存在人脸时，基于该人脸的人脸特征与存储的注册用户(授权用户)的人脸特征进行比对，以确定当前图像数据中存在的人脸是否为注册用户。

示例性的，在本实施例中，距离检测模块用于在当前图像数据中存在的人脸不是注册用户时，基于摄像头拍摄的图像数据处理获得的深度图像进行距离检测。

示例性的，在本实施例中，活体检测模块用于距离检测模块确定的距离小于设定的安全距离时，基于深度图像和红外图像(RGB图像)对非注册用户的人脸进行活体检测，以确定图像数据中的非注册用户是否为活体。

示例性的，在本实施例中，眼动追踪模块用于在活体检测模块确定非注册用户是活体时，用于对非注册用户进行睁闭眼、注视检测，以确定非注册用户当前是否正在注视终端设备的屏幕。

示例性的，在本实施例中，提示模块用户在非注册用户注视终端设备的屏幕，即当前处于睁眼状态，且注视点在终端设备的屏幕上时，触发隐私保护风险提示，如向通知管理器发送设定提示内容，以使通知管理器能够作出响应，使得终端设备可以在状态栏，或者用界面中显示提示信息，或者通过扬声器、***的耳机进行语音提示。

可以理解的，上述各功能模块的划分，仅是为了更好的理解本申请的技术方案而列举的示例，不作为对申请的唯一限制。在实际应用中，上述功能也可以集成在一个功能模块中实现，本申请对此不作限制。

此外，还需要说明的是，上述位于应用程序框架层中的视图***包括可视控件，例如显示文字的控件，显示图片的控件等。视图***可用于构建应用程序。显示界面可以由一个或多个视图组成的。例如，包括短信通知图标的显示界面，可以包括显示文字的视图以及显示图片的视图。

此外，还需要说明的是，上述位于应用程序框架层中的通知管理器使应用程序可以在状态栏中显示通知信息，可以用于传达告知类型的消息，可以短暂停留后自动消失，无需用户交互。比如通知管理器被用于告知下载完成，消息提醒等。具体到本申请提供的技术方案中，当以通知消息的形式提示用户当前有陌生人注视其使用的终端设备的屏幕时，可以由提示模块向通知管理器发送设定提示内容，以使通知管理器能够作出响应，使得终端设备可以在状态栏，或者用界面中显示提示信息。

Android Runtime包括核心库和虚拟机。Android Runtime负责安卓***的调度和管理。

核心库包含两部分：一部分是java语言需要调用的功能函数，另一部分是安卓的核心库。

应用程序层和应用程序框架层运行在虚拟机中。虚拟机将应用程序层和应用程序框架层的java文件执行为二进制文件。虚拟机用于执行对象生命周期的管理，堆栈管理，线程管理，安全和异常的管理，以及垃圾回收等功能。

***库可以包括多个功能模块。例如：表面管理器(surface manager)，媒体库(Media Libraries)，三维图形处理库(例如：OpenGL ES)，2D图形引擎(例如：SGL)等。

表面管理器用于对显示子***进行管理，并且为多个应用程序提供了2D和3D图层的融合。

媒体库支持多种常用的音频，视频格式回放和录制，以及静态图像文件等。媒体库可以支持多种音视频编码格式，例如：MPEG4，H.264，MP3，AAC，AMR，JPG，PNG等。

三维图形处理库用于实现三维图形绘图，图像渲染，合成，和图层处理等。

可理解的，上述所说的2D图形引擎是2D绘图的绘图引擎。

此外，可理解的，Android***中的内核层是硬件和软件之间的层。内核层至少包含显示驱动，摄像头驱动，麦克风驱动，蓝牙驱动，传感器驱动等。示例性的，摄像头驱动用于在开启隐私保护模块，并且触发检测模块确定当前满足上述所说的触发机制时，驱动摄像头拍摄图像，进而得到实现本申请提供的隐私保护方法时所需要处理的图像数据。

关于终端设备100的软件结构就介绍到此，可以理解的是，图2示出的软件结构中的层以及各层中包含的部件，并不构成对终端设备100的具体限定。在本申请另一些实施例中，终端设备100可以包括比图示更多或更少的层，以及每个层中可以包括更多或更少的部件，本申请不做限定。

为了更好的理解本申请提供的隐私保护方法，以下以终端设备为手机为例，结合附图分别从通过设置应用和下拉通知栏开启隐私保护模式，并进行相关设置的具体操作进行说明。

1、通过设置应用开启隐私保护模式，并进行相关设置

参见图6中(1)所示的界面10a，示例性的，手机当前的界面10a中可以包括一个或多个控件。控件包括但不限于：网络控件、电量控件、应用图标控件等。

继续参见图6中(1)所示的界面10a，示例性的，应用图标控件包括但不限于：时钟应用图标控件、日历应用图标控件、图库应用图标控件、备忘录应用图标控件、文件管理应用图标控件、电子邮件应用图标控件、音乐应用图标控件、计算器应用图标控件、视频应用图标控件、录音机应用图标控件、天气应用图标控件、浏览器应用图标控件、设置应用图标控件10a-1等，此处不再一一列举，本申请对此不作限制。

继续参见图6中(1)所示的界面10a，示例性的，当用户点击了控件10a-1后，手机响应于用户的操作行为，启动图6中(2)所示的界面10b。

参见图6中(2)所示的界面10b，示例性的，界面10b中可以包括一个或多个控件。控件包括但不限于：用于退出界面10b的控件10b-1，用于设置手机的声音和振动模式的控件、用于设置通知的控件、用于设置隐私保护模式的控件10b-2、用于查看手机安装应用的控件、用于查看手机电池信息的控件、用于查看手机当前存储空间的控件、用于查看手机的安全信息的控件等，此处不再一一列举，本申请对此不作限制。

继续参见图6中(2)所示的界面10b，示例性的，当用户点击了控件10b-2后，手机响应于用户的操作行为，启动图7中(1)所示的界面10c。

参见图7中(1)所示的界面10c，示例性的，界面10c中可以包括一个或多个控件。控件包括但不限于：用于退出界面10c的控件10c-1，用于开启或关闭隐私保护模式的控件10c-2。

示例性的，在本实施例中，以图7中(1)所示的界面10c中控件10c-2的状态表示隐私保护模式未开启，即隐私保护模式处于关闭状态；以图7中(2)所示的界面10c中控件10c-2的状态表示隐私保护模式开启，即隐私保护模式处于开启状态。

继续参见图7中(1)所示的界面10c，示例性的，当用户点击了控件10c-2后，手机响应于用户的操作行为，控件10c-2从图7中(1)所示的状态切换为图7中(2)所示的状态。

参见图7中(2)所示的界面10c，示例性的，在控件10c-2从图7中(1)所示的状态切换为图7中(2)所示的状态后，界面10c中还会显示进入触发机制设置界面的控件10c-3。

继续参见图7中(2)所示的界面10c，示例性的，当用户点击了控件10c-3后，手机响应于用户的操作行为，启动图8中(1)所示的界面10d。

参见图8中(1)所示的界面10d，示例性的，界面10d中可以包括一个或多个控件。控件包括但不限于：用于退出界面10d的控件10d-1，用于选中触发机制1的控件10d-2，用于选中触发机制2的控件10d-3，用于选中触发机制3的控件10d-4。

可理解的，在一些实现方式中，同一时刻下，控件10d-2、控件10d-3和控件10d-4，只能有一个被选中；在另一些实现方式中，同一时刻下，控件10d-2和控件10d-3只能有一个被选中，控件10d-2和控件10d-4只能有一个被选中，而控件10d-3和控件10d-4则可以同时选中。

应当理解的是，上述说明仅是为了更好的理解本实施例的技术方案而列举的示例，不作为对本实施例的唯一限制。为了便于说明，本实施例以同一时刻下，控件10d-2、控件10d-3和控件10d-4，只能有一个被选中一个的场景为例进行说明。

此外，可理解的，在一些实现方式中，当用户首次开启隐私保护模式，进入界面10d时，触发机制可以默认为触发机制1，即控件10d-2处于被选中状态。

继续参见图8中(1)所示的界面10d，示例性的，当用户需要更改触发机制时，例如点击了控件10d-3后，手机响应于用的操作行为，控件10d-3被选中，控件10d-2、控件10d-3和控件10d-4的状态如图8中(2)所示。

参见图8中(2)所示的界面10d，示例性的，在控件10d-3被选中后，界面10d中还显示用于进入触发机制2对应的隐私应用设置界面的控件10d-5。

继续参见图8中(2)所示的界面10d，示例性的，当用户点击了控件10d-5后，手机响应于用户的操作行为，启动图9中(1)所示的界面10e。

参见图9中(1)所示的界面10e，示例性的，界面10e中可以包括一个或多个控件。控件包括但不限于：用于退出界面10e的控件10e-1，用于显示手机安装的应用程序的列表10e-2。

参见图9中(1)所示的界面10e，示例性的，列表10e-2中包括一个或多个控件。控件包括但不限于：对应于每一个应用程序的控件10e-21，以及滑动列表10e-2中显示的应用程序的控件10e-22。

可理解的，当用户滑动控件10e-22后，列表10e-2中显示的应用程序以及各应用程序对应的控件10e-21会随着上下滑动，从而显示未显示在当前列表中的应用程序以及对应的控件10e-21。

示例性的，在一些实现方式中，用户可以通过点击想要设置为隐私应用的应用程序对应的控件10e-21，从而使得该应用程序可以被设置为隐私应用，即当用户使用该应用时，在开启隐私保护模式的情况，就会执行本实施例提供的隐私保护方法。

例如，当用户点击了图库对应的控件10e-21时，手机响应于用户的操作行为，图库对应的控件10e-21会从图9中(1)所示的10e界面中的状态切换为图9中(2)所示的10e界面中所示的状态，此时表明图库应用被设置为隐私应用，在开启隐私保护模式的情况下，当用户访问图库应用时，就会执行本实施例提供的隐私保护方法。

示例性的，当用户点击备忘录对应的控件10e-21、文件管理对应的控件10e-21、电子邮件对应的控件10e-21、通讯录对应的控件10e-21时，手机也会作出响应，即将备忘录对应的控件10e-21、文件管理对应的控件10e-21、电子邮件对应的控件10e-21、通讯录对应的控件10e-21从图9中(1)所示的10e界面中的状态切换为图9中(2)所示的10e界面中所示的状态，此时表明备忘录应用、文件管理应用、电子邮件应用、通讯录应用也被设置为隐私应用，在开启隐私保护模式的情况下，当用户访问这些应用时，就会执行本实施例提供的隐私保护方法。

示例性的，在另一些实现方式中，界面10e中还可以显示用于选中全部应用程序对应的控件10e-21的控件，以及取消选中全部应用程序对应的控件10e-21的控件。这样，用户通过操作选中全部应用程序对应的控件10e-21的控件，就可以实现对所有应用程序对应的10e-21的控件的选中，从而使得所有的应用程序都被设置为隐私应用，用户通过操作取消选中全部应用程序对应的控件10e-21的控件，就可以实现对所有已被选中的应用程序对应的10e-21的控件取消选择，大大方便了用户操作，进而提升了用户体验。

应当理解的是，上述说明仅是为了更好的理解本实施例的技术方案而列举的示例，不作为对本实施例的唯一限制。

继续参见图9中(2)所示的界面10e，当用户完成隐私应用的设置后，如果点击了控件10e-1，手机响应于用户的操作行为，会回退到界面10d。

参见图10中(1)所示的界面10d，或图8中(2)所示的界面10d，示例性的，如果用户想要选择触发机制3，当用户点击控件10d-4后，手机响应于用户的操作行为，控件10d-4被选中，控件10d-2、控件10d-3和控件10d-4的状态如图10中(2)所示。

参见图10中(2)所示的界面10d，示例性的，在控件10d-4被选中后，界面10d中还显示用于进入触发机制3对应的隐私场景设置界面的控件10d-6。

需要说明的，在一些实现方式中，隐私场景可以根据业务需要，应用类型提前划分好，也可以提供自定义入口由用户设置。

本实施例以隐私场景预先确定为例。其中，预先确定的隐私场景例如为包括游戏场景、视频场景、社交场景、办公场景等。

可理解的，对于上述几种场景中包括的应用，具体是根据应用类型确定的，例如对于微信则属于社交场景、电子邮件则属于办公场景、音视频播放应用则属于视频场景、各种游戏应用则输入游戏场景。

继续参见图10中(2)所示的界面10d，示例性的，当用户点击了控件10d-6后，手机响应于用户的操作行为，启动图11中(1)所示的界面10f。

参见图11中(1)所示的界面10f，示例性的，界面10f中可以包括一个或多个控件。控件包括但不限于：用于退出界面10f的控件10f-1，用于将游戏场景设置为隐私场景的控件10f-2、用于将视频场景设置为隐私场景的控件10f-3、用于将社交场景设置为隐私场景的控件10f-4、用于将办公场景设置为隐私场景的控件10f-5。

示例性的，在本实施例中，以图11中(1)所示的界面10f中控件10f-2、10f-3、10f-4、10f-5的状态表示对应的场景未被设置为隐私场景；以图11中(2)所示的界面10f中控件10f-4、10f-5的状态表示对应的场景被设置为隐私场景。也就是说，当用户点击了图11中(1)所示界面10f中的控件10f-4后，手机响应于用户的操作行为，会从图11中(1)所示的界面10f中显示的状态切换为图11中(2)所示的界面10f中显示的状态。

关于通过设置应用开启隐私保护模式，并进行相关设置的操作就介绍到此。应当理解的是，上述说明仅是为了更好的理解本实施例的技术方案而列举的示例，不作为对本实施例的唯一限制。

2、通过下拉通知栏开启隐私保护模式，并进行相关设置

需要说明的是，通过下拉通知栏开启隐私保护模式的方式，用户可以在手机亮屏状态下，在任意界面执行下拉通知栏的动作。本实施例以在手机处于上述所述的界面10a执行下拉通知栏的动作，进而拉出下拉通知栏，通过下拉通知栏开启隐私保护模式，并进行相关设置为例。

参见图12中(1)所示的界面10a，示例性的，当用户从手机的上边缘沿着箭头方向向下滑动时，手机响应于用户的操作行为，在界面10a的上边缘区域会显示如图12中(2)所示的下拉通知栏10a-2。

参见图12中(2)所示的下拉通知栏10a-2，下拉通知栏10a-2中可以包括一个或多个控件。控件包括但不限于：例如Wi-Fi设置选项、蓝牙设置选项、隐私应用的快捷入口10a-21和/或设置应用的快捷入口10a-22等。

示例性的，当用户点击了快捷入口10a-22后，手机响应于用户的操作行为，可以直接启动图6中(2)所示的界面10b，这样用户无需退出当前使用的应用的，也无需在界面10a中查找设置应用的控件10a-1，通过下拉通知栏，点击快捷入口10a-22，即可快速启动界面10b。之后开启隐私保护模块，并进行相关设置的流程就与上述直接通过控件10a-1启动设置应用进行的操作类似，此处不再赘述。

示例性的，如果用户点击了快捷入口10a-21，手机响应于用户的操作行为，可以启动类似图8中(2)所示的界面10c。之后开启隐私保护模块，并进行相关设置的流程就与上述直接通过控件10a-1启动设置应用进行的操作类似，此处不再赘述。

关于通过下拉通知栏开启隐私保护模式，并进行相关设置的操作就介绍到此。应当理解的是，上述说明仅是为了更好的理解本实施例的技术方案而列举的示例，不作为对本实施例的唯一限制。

为了更好的理解本实施例提供的隐私保护方法，以用户按照上文任意一种开启隐私保护模式，并完成相关设置后，手机中各功能模块实现隐私保护方法时的交互处理逻辑进行具体说明。

参见图13，本实施例提供的隐私保护方法流程，具体包括：

在开启隐私保护模式后，位于应用程序框架层的触发机制检测模块会在后台实时，或按照预设周期检测终端设备当前是否满足设置的触发机制，如果检测到满足设置的触发机制，则执行步骤S101，通知内核层的前置摄像头驱动调用前置摄像头这一硬件开始采集图像数据。

内核层的前置摄像头驱动接收到应用程序框架层中触发机制检测模块发送的通知后，执行步骤S102，调用前置摄像头进行图像采集。

可理解的，前置摄像头可以按照间隔时间连接拍摄多张图像数据，也可以在设定的时间持续采集视频流。

相应地，前置摄像头按照设定的要求采集到图像数据/视频流后(本实施例以图像数据为例)，会执行步骤S103，将采集到的图像数据传输至内核层的前置摄像头驱动。

内核层的前置摄像头驱动将前置摄像头采集到的图像数据传输至应用程序框架层的人脸识别模块，即执行步骤S104。

需要说明的是，如果前置摄像头仅为RGB摄像头，则前置摄像头采集到的图像数据就是RGB图像，这种情况下，如果是双前置摄像头，则利用双RGB摄像头采集的图像数据生成深度图像，如果是单摄像头，则利用单张图像数据进行深度学习生成深度图像。关于RGB图像转深度图像的具体处理方式，可以参见目前的标准，此处不再赘述。

基于上述情况，应用程序框架层中还可以集成一个用于对图像数据进行处理，进而得到用于进行人脸识别的RGB图像，或红外图像，以及用于进行距离检测的深度图像的图像处理模块(图中未示出)。为了便于说明，本实施例以终端设备的前置摄像头为D-RGB，或者红外深度摄像头为例，即前置摄像头可以直接采集到RGB图像和深度图像，或者红外图像和深度图像。

应用程序框架层中的人脸识别模块对前置摄像头采集到的RGB图像，或者红外图像进行人脸识别，识别出图像中包括的所有人脸，进而执行步骤S105，将识别出的人脸传输给身份识别模块。

应用程序框架层的身份识别模块对每一个人脸进行身份识别，如将每一个人脸的人脸特征信息与预存的注册用户的人脸特征信息进行匹配，进而确定这些人脸中是否包括非注册用户，即陌生人的人脸。

相应地，如果包括陌生人的人脸，执行步骤S106，将陌生人的人脸数据传输给距离检测模块。

应用程序框架层的距离检测模块根据前置摄像头采集到的深度图像确定陌生人的人脸距离终端设备的屏幕的距离，若距离小于设定的安全距离，则执行步骤S107，将距离小于设定的安全距离的陌生人的人脸数据传输给活体检测模块。

需要说明的是，关于距离检测模块使用的深度图像，可以是直接从前置摄像头驱动获取的，也可以是由人脸识别模块传输至身份识别模块，再由身份识别模块传输给距离检测模块的，还可以是由前置摄像头驱动将前置摄像头采集到的深度图像、RGB图像/红外图像，缓存至指定缓存区域，后续各个模块在需要对前置摄像头采集的图像数据进行处理时，直接从指定的缓存区域获取对应的图像数据，各个模块之间仅传输相应的指令，以及处理后的结果。

接着，应用程序框架层的活体检测模块根据前置摄像头采集到的深度图像和红外图像，或者根据深度图像和RGB图像对距离小于设定的安全距离的陌生人的人脸进行活体检测。

相应地，如果确定满足上述条件的陌生人为活体，则执行步骤S108，将距离小于设定的安全距离且为活体的陌生人的人脸数据传输给眼动追踪模块。

可理解的，上述传输的人脸数据、陌生人的人脸数据均为RGB图像/红外图像。在另一种可行的实现方式中，可以进行图像数据的传输，而是传输满足上述条件的人脸在RGB图像/红外图像/深度图像中的坐标信息。由于它们包括的坐标信息都一样，并且一一对应。因此通过传输坐标信息，而接收坐标信息的功能模块之间从指定缓存区域获取对应的图像数据就可以实现各自的功能。

应用程序框架层的眼动追踪模块对满足上述条件的陌生人的人脸进行睁闭眼、注视检测，如先检测是否睁眼中，如果睁眼继续检测是否注视终端设备的屏幕。

相应地，如果该陌生人处于睁眼状态且注视点在终端设备的屏幕上，则执行步骤S109，通知提示模块作出隐私保护风险提示。

通过上文的描述可知，提示模块可以将设定的隐私保护风险提示信息传输给通知管理器，由通知管理器以通知信息的方式提示用户，也可以调用麦克风驱动，驱动麦克风以语音形式播放隐私保护风险提示信息。

关于上述处理流程中涉及的人脸识别、身份识别、距离检测、活体检测、眼动追踪等具体实现细节，可以参见这些技术的文档，此处不再赘述。

由此，在识别到周围环境中存在注视屏幕的活体人脸时，才提醒用户注意隐私风险，从而既减少了用户信息的泄漏风险，又能尽可能少的向用户作出提示，保证了用户的使用体验。

为了更好的理解图13中各功能模块在实现本实施例中的隐私保护方法时进行的处理，以下结合图14a、图14b对本实施例提供的隐私保护方法的具体实现流程进行说明。

参见图14a、图14b，本实施例提供的隐私保护方法，具体包括：

S201，触发机制检测模块检测到终端设备满足设置的触发机制时，向前置摄像头驱动发送图像采集指令。

例如，用户在开启隐私保护模式时，选择的触发机制为上文中所说的触发机制3，并且被设置为隐私场景的是社交场景和办公场景。其中，社交场景例如包括各种即时通讯类的应用程序，如微信，办公场景例如包括电子邮件、备忘录等应用程序。

当用户解锁终端设备，打开已经安装的任一应用时，触发机制检测模块检测到用户的操作行为，获取用户要打开的应用程序的属性信息，根据属性信息便可以确定用户打开的应用程序是否为属于被设置为隐私场景中的应用程序。

相应地，当确定用户打开的应用程序为被设置为隐私场景中的应用程序时，触发机制检测模块确定终端设备满足设置的触发机制3，此时会向前置摄像头驱动发送图像采集指令。

相应地，前置摄像头驱动接收到触发机制检测模块发送的图像采集指令后，会将待图像采集指令传输给前置摄像头，即根据图像采集指令驱动前置摄像头自动执行图像采集操作。

为了便于对说明，本实施例以前置摄像头为红外深度摄像头为例，即采用该前置摄像头可以直接采集到红外图像和深度图像。

可理解的，在一些实现方式中，红外深度摄像头采集的图像数据可以为一张，即集红外图像与深度图像于一体的图像数据；在另一些实现方式中，也可以是两种类型的图像数据，即分别得到一张红外图像和一张深度图像。本实施例以后者为例。

S202，红外深度的前置摄像头响应于图像采集指令，按照设定的要求采集图像数据，得到深度图像和红外图像。

示例性的，上述所说的要求，例如为按照间隔时间连续拍摄多张图像，或者在预设时间内拍摄视频流，后续将每一帧视频流对应的画面作为一张图像数据。

示例性的，在一些实现方式中，在采集到红外图像和深度图像后，前置摄像头可以直接将采集到的红外图像和深度图像经前置摄像头驱动传输给人脸识别模块。这样无需在终端设备中指定专门的缓存区域，节省终端设备的空间。

示例性的，在另一些实现方式中，在采集到红外图像和深度图像后，前置摄像头可以直接将采集到的红外图像和深度图像存储到指定的缓存区域，并并通知前置摄像头驱动已完成图像采集操作，进而使前置摄像头驱动通知人脸识别模块前置摄像头已经完成图像采集操作，可以从指定缓存区域取出红外图像进行人脸识别操作。后续其他的功能模块对红外图像、深度图像的处理，直接从缓存区域取出即可，这样红外图像、深度图像无需在模块之间进行传输，能够有效避免传输过程对红外图像、深度图像造成的丢帧、干扰等异常。本实施例以这种方式为例。

S203，人脸识别模块从缓存区域中取出拍摄的红外图像，基于人脸识别技术对红外图像进行人脸识别，识别出所有的人脸，确定每一个人脸的坐标信息，并将每一个人脸的坐标信息传输给身份识别模块。

关于基于人脸识别技术识别红外图像中包括的人脸的具体实现细节，可以参见人脸识别技术的相关介绍，此处不再赘述。

S204，身份识别模块接收到人脸识别模块传输的每一个人脸的坐标信息后，从缓存区域中取出拍摄的红外图像，基于身份识别技术对红外图像中每一个坐标信息处的人脸进行身份识别，在确定存在非注册用户时，将非注册用户的坐标信息传输给距离检测模块。

可理解的，为了安全性，终端设备的拥有者/授权使用终端设备的用户，通常会录入自己的人脸特征信息(后续称为：注册用户的人脸特征信息)，即故而步骤S204中在对红外图像中包括的每一个人脸进行身份识别时，例如是将红外图像中每一坐标信息处的人脸的人脸特征信息与注册用户的人脸特征信息进行匹配。

相应地，二者完全匹配，或匹配度满足设定的置信度时，确定该人脸是注册用户的人脸；反之，则为非注册用户，即陌生人的人脸。

通过上述方式，对每一坐标信息处的人脸进行身份识别后，若确定红外图像中存在非注册用户，可能是一个，也可能是多个，则将每一个非注册用户的人脸的坐标信息传输至距离检测模块。

S205，距离检测模块在接收到身份识别模块传输的被确定为非注册用户的坐标信息后，从缓存区域中取出拍摄的深度图像，根据深度图像中非注册用户的坐标信息所处位置的三维深度特征信息确定非注册用户距离终端设备的屏幕的距离。

可理解的，由于深度图像中每一个像素点对应的像素值能够表示拍摄的场景中某一点与摄像机之间的距离，而本实施例中摄像机是前置摄像头，其通常与终端设备的屏幕在一个平面内，因此根据深度图像中非注册用户的坐标信息所处位置的三维深度特征信息，就可以确定非注册用户距离终端设备的屏幕的距离。

关于根据深度图像中的三维深度特征信息确定两点(深度图像中非注册用户所在位置的一点与摄像头)之间的距离，可以参见基于深度图像确定距离的相关文献，此处不再赘述。

S206，距离检测模块在确定的距离小于设定安全距离时，向活体检测模块传输距离小于设定安全距离的非注册用户的坐标信息。

由于人肉眼看清终端设备的屏幕上显示的文字的距离与文字的大小(每个字占屏幕的像素)有关，因此即便该非注册用户为活体，即有生命特征的人，如果距离屏幕的距离大于能够看清屏幕上显示的文字的距离，即上文所说的安全距离时，该非注册用户也无法看清，甚至看到屏幕中的内容，对于这种情况，则无需触发隐私保护风险提示，即无需执行后续流程。因此，距离检测模块在确定非注册用户距离屏幕的距离是否小于当前屏幕显示的字体对应的安全距离。

相应地，在确定距离小于设定安全距离时，则向活体检测模块传输距离小于设定安全距离的非注册用户的坐标信息。

关于安全距离的确定，可以基于下述公式实现：

其中，PPI为像素每英寸，指每英寸的像素数；PPD为角分辨率，指视场角中的平均每1°角内填充的像素点的数量；X为长度像素数，指屏幕的长度包括的像素点的数量；Y为宽度像素数，指屏幕的宽度包括的像素点的数量；Z为屏幕尺寸，指对角线长度，单位为英寸；R即为要确定的安全距离，单位为英寸；font_pixels为屏幕当前设置的字体显示大小，指每一个字占的像素数量；α为该大小的字体对应的人眼最小分辨率角。

由于X、Y、Z和font_pixels均能从终端设备中获得，因此根据已知的这四个参数和上述4个公式，就可以确定终端设备当前设置的字体对应安全距离。例如，对于屏幕尺寸为6.81英寸、分辨率为2848*1312(X＝2848，Y＝1312)、字体占50像素的终端设备，根据上述4个公式，最终计算出的安全距离大概为59英寸(约等于1.5米)。即，如果确定的距离小于1.5米，则执行步骤S207，否则不触发隐私保护风险提示。

S207，活体检测模块接收到距离检测模块传输的距离小于设定安全距离的非注册用户的坐标信息后，从缓存区域中取出拍摄的红外图像和深度图像，根据深度图像中非注册用户的坐标信息所处位置的三维深度特征信息，以及红外图像中非注册用户的坐标信息所处位置的特征信息进行活体检测，在确定非注册用户为活体时，向眼动追踪模块传输距离小于设定安全距离且被确定为活体的非注册用户的坐标信息。

需要说明的是，在本实施例中，活体检测模块具体用于根据深度图像中非注册用户的坐标信息所处位置的三维深度特征信息，确定非注册用户的立体度；根据外图像中非注册用户的坐标信息所处位置的特征信息，确定非注册用户的皮肤反射率。

可理解的，由于有生命特征的人的皮肤反射率，与海报、照片、视频中的人像的反射率是不同的，并且摄像头拍摄的是有生命特征的人时，该非注册用户是由立体感的，而拍摄的海报、照片、视频中的人像则没有立体感。因此，基于上述信息就可以确定非注册用户是否为活体。

关于根据深度图像和红外图像实现活体检测的具体细节，可以参见相关文献，此处不再赘述。

S208，眼动追踪模块在接收到活体检测模块传输的距离小于设定安全距离且被确定为活体的非注册用户的坐标信息后，从缓存区域中取出拍摄的红外图像，基于眼动追踪技术根据红外图像中非注册用户的坐标信息所处位置的特征信息，对非注册用户进行眼动追踪。

可理解的，所谓眼动追踪(眼动跟踪)是自动实现眼球瞳孔中心及注视点定位的过程。由于人类获取的外部信息主要通过人眼感知的视觉信息，眼动能直观地反映人的注视点和注视时间。因此，通过眼动追踪模块对满足前述判断的非注册用户的眼球瞳孔中心及注视点定位，从而能够确定该非注册用户是否处于睁眼状态，为注视点终端设备的屏幕上。

S209，眼动追踪模块在确定非注册用户处于睁眼状态且注视点在终端设备的屏幕时，向提示模块发送隐私保护风险提示指令。

可理解的，由于非注册用户处于睁眼状态且注视点在终端设备的屏幕时，表面该非注册用户正在盯着终端设备的屏幕看，如果此时终端设备的屏幕显示了一些隐私内容，如涉及商业机密的文件时，很可能被非注册用户看到，进而窃取。因此，为了避免这种情况的发生，在识别到非注册用户处于睁眼状态且注视点在终端设备的屏幕时，眼动追踪模块立即向提示模块发送隐私保护风险提示指令，以使提示模块迅速作出响应，避免非注册用户获取到终端设备的屏幕中显示的文件内容。

此外，需要说明的是，关于上述步骤S204至步骤S209的执行顺序，可以根据实际的业务需求进行调整，本实施例对此不作限制。

S210，提示模块响应于眼动追踪模块发送的隐私保护风险提示指令，触发隐私保护风险提示。

示例性的，在一种实现方式中，提示模块可以直接将预设的触发隐私保护风险提示信息，如“有陌生人在看您的屏幕，请注意安全”发送至通知管理器，进而由通知管理器将上述触发隐私保护风险提示信息以弹窗的形式，显示在终端设备的屏幕上，例如图15所示。

参见图15，示例性的，该弹窗10中除了需要显示预设的触发隐私保护风险提示信息，还可以包括一个或多个控件。控件包括但不限于：用于关闭弹窗10的控件10-1，用于启动防偷窥的控件10-2。

示例性的，在一种实现方式中，当用户点击了控件10-2后，终端设备响应于用户的操作行为，可以将屏幕中显示的文件的字体调小，进而使得非注册用户距离屏幕的终端的距离大于设定安全距离，这样用户依旧可以使用终端设备查看该文件，进行相应的处理，而图15中的非注册用户B和非注册用户C则无法到屏幕中的内容。

示例性的，在另一种实现方式中，当用户点击了控件10-2后，终端设备响应于用户的操作行为，可以将屏幕的亮度调低到只有注册用户距离屏幕的距离可以看清的亮度，这样用户依旧可以使用终端设备查看该文件，进行相应的处理，而图15中的非注册用户B和非注册用户C则无法到屏幕中的内容。

示例性的，在另一种实现方式中，当用户点击了控件10-2后，终端设备响应于用户的操作行为，可以直接锁屏操作，即使终端设备进入图16所示的状态。

此外，考虑到实际应用中，终端设备的注册用户可能当前不在终端设备前，故而以弹窗10的形式作出隐私保护风险提示后，终端设备接收不到注册用户对控件10-2的操作，为了避免信息泄漏，可以设置终端设备在3s内没有接收到对控件10-2的操作时，自动执行锁屏操作，即使终端设备进入图16所示的状态，这样非注册用户B和非注册用户C则无法到屏幕中的内容。

此外，需要说明的是，在实际应用中，除了可以采用上述弹窗的形式作出隐私保护风险提示，还可以采用语音的方式作出隐私保护风险提示。

具体的，当提示模块接收到眼动追踪模块发送的隐私保护风险提示指令后，响应于该指令，可以直接通过终端设备的麦克风播放预设的隐私保护风险提示信息，如“有陌生人在看您的屏幕，请注意安全”。

进一步地，考虑到环境因素，为了保证注册用户能够听清麦克风播放的隐私保护风险提示信息，进而作出相应措施，如按下锁屏键熄灭终端设备的屏幕，或者降低屏幕亮度，或者调小字体等，还可以通过麦克风收集周围环境的声音信息，进而确定播放隐私保护风险提示信息的音量，最终以确定的音量播放隐私保护风险提示信息。

此外，在另一些实现方式中，隐私保护风险提示信息也可以通过与终端设备连接的耳机进行播放。对于这种场景，提示模块例如可以调用耳机驱动判断当前是否连接的耳机和/或调用蓝牙驱动判断当前是否连接了蓝牙耳机，在确定有连接耳机(有线耳机或蓝牙耳机)时，通过连接的耳机播放隐私保护风险提示信息。

进一步地，考虑到实际使用场景中，终端设备连接了耳机，但是用户并未将耳机佩戴在耳朵上，因此还可以进一步获取耳机的状态信息，进而确定耳机是否被佩戴在耳朵上。

相应地，当耳机被佩戴在耳机上时，通过耳机播放隐私保护风险提示信息，否则，通过终端设备的麦克风隐私保护风险提示信息。

可理解的，关于通过耳机播放隐私保护风险提示信息的时候，同样可以考虑周围的环境因素，对耳机的音量进行调整，然后利用调整后的音量播放隐私保护风险提示信息。

进一步地，为了实现双重保障，可以将上述两种方式相结合，即在终端设备的屏幕弹出图15所示的弹出10，同时利用耳机/麦克风播放隐私保护风险提示信息。

此外，在另一些实现方式中，还可以获取与终端设备建联关联的其他终端设备，例如手机、智能手环、智能手表等，进而通过关联的终端设备作出隐私保护风险提示。这样，对于注册用户在终端设备前的场景，基于关联的其他终端设备作出隐私保护风险提示，可以让注册用户尽快赶回终端设备前，放在非注册用户打开终端设备窃取信息。

此外，终端设备还可以将注视屏幕的非注册用户的人脸图像进行存储，这样后续如果因为隐私泄漏给用户造成麻烦，用户可以通过存储的该非注册用户的人脸图像进行追责。

由此，本实施例提供的隐私保护方法，在通过人脸识别和身份识别，确定存在非注册用户窥视终端设备的屏幕的风险时，进一步通过距离检测、活体检测、睁闭眼拦截、眼动追踪等维度进行处理，能够在保证隐私安全性的情况下，尽可能减少误提示的概率，从而提示了用户的使用体验。

此外，通过根据人眼最小分辨角以及屏幕参数等信息，自动计算适合屏幕当前显示的字体的安全距离，使得隐私保护和用户使用体验能够同时兼顾。

此外，通过为用户提供隐私应用、隐私场景的设置入口，以及不同触发机制的选择入口，使得隐私保护能够更加贴合用户的实际使用需求，做到了因人而异，而非千篇一律。

此外，可以理解的是，终端设备为了实现上述功能，其包含了执行各个功能相应的硬件和/或软件模块。结合本文中所公开的实施例描述的各示例的算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以结合实施例对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

此外，需要说明的是，在实际的应用场景中由终端设备实现的上述各实施例提供的隐私保护方法，也可以由终端设备中包括的一种芯片***来执行，其中，该芯片***可以包括处理器。该芯片***可以与存储器耦合，使得该芯片***运行时调用该存储器中存储的计算机程序，实现上述终端设备执行的步骤。其中，该芯片***中的处理器可以是应用处理器也可以是非应用处理器的处理器。

另外，本申请实施例还提供一种计算机可读存储介质，该计算机存储介质中存储有计算机指令，当该计算机指令在终端设备上运行时，使得终端设备执行上述相关方法步骤实现上述实施例中的隐私保护方法。

另外，本申请实施例还提供了一种计算机程序产品，当该计算机程序产品在终端设备上运行时，使得终端设备执行上述相关步骤，以实现上述实施例中的隐私保护方法。

另外，本申请的实施例还提供一种芯片(也可以是组件或模块)，该芯片可包括一个或多个处理电路和一个或多个收发管脚；其中，所述收发管脚和所述处理电路通过内部连接通路互相通信，所述处理电路执行上述相关方法步骤实现上述实施例中的隐私保护方法，以控制接收管脚接收信号，以控制发送管脚发送信号。

此外，通过上述描述可知，本申请实施例提供的终端设备、计算机可读存储介质、计算机程序产品或芯片均用于执行上文所提供的对应的方法，因此，其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果，此处不再赘述。

以上所述，以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims

1.一种隐私保护方法，其特征在于，应用于终端设备，所述终端设备包括前置摄像头，所述隐私保护方法包括：

在满足设置的触发机制时，控制所述前置摄像头采集图像数据；其中，所述满足设置的触发机制指当前访问的应用程序对应的应用场景属于预先开启隐私保护模式的隐私场景，所述隐私场景中包括的应用程序根据应用程序对应的应用类型确定；

对所述图像数据进行人脸识别，识别出所述图像数据中包括的所有人脸；

对识别出的每一个所述人脸进行身份识别，确定是否存在非注册用户的人脸，所述非注册用户指示未取得所述终端设备使用权限的用户；

在存在非注册用户的人脸时，根据所述图像数据确定每一个所述非注册用户的人脸距离所述终端设备的屏幕的距离；

在所述距离小于设定的安全距离时，根据所述图像数据对每一个所述非注册用户的人脸进行活体检测，所述活体检测用于确定所述人脸是否为有生命特征的人的人脸；

在存在是活体的非注册用户的人脸时，根据所述图像数据对是活体的非注册用户进行眼动追踪；

在所述活体的非注册用户的注视点在所述终端设备的屏幕上时，控制所述终端设备作出隐私保护风险提示，所述隐私保护风险提示用于提示用户当前存在隐私泄漏风险；

其中，所述安全距离基于下述公式确定：

其中，PPI为像素每英寸，指每英寸的像素数；PPD为角分辨率，指视场角中的平均每1°角内填充的像素点的数量；X为长度像素数，指屏幕的长度包括的像素点的数量；Y为宽度像素数，指屏幕的宽度包括的像素点的数量；Z为屏幕尺寸，指对角线长度，单位为英寸；R即为要确定的安全距离，单位为英寸；font_pixels为屏幕当前设置的字体显示大小，指每一个字占的像素数量；α为所述大小的字体对应的人眼最小分辨率角。

2.根据权利要求1所述的方法，其特征在于，所述前置摄像头为红外深度摄像头，所述图像数据包括二维图像数据和三维图像数据，所述二维图像数据为红外图像，所述三维图像数据为深度图像。

3.根据权利要求1所述的方法，其特征在于，所述前置摄像头为D-RGB摄像头，所述图像数据包括二维图像数据和三维图像数据，所述二维图像数据为RGB图像，所述三维图像数据为深度图像。

4.根据权利要求1所述的方法，其特征在于，所述前置摄像头为RGB摄像头，所述图像数据包括二维图像数据，所述二维图像数据为RGB图像；

所述方法还包括：

基于深度学习算法对所述RGB图像进行处理，生成深度图像，将所述深度图像作为三维图像数据。

5.根据权利要求2至4任一项所述的方法，其特征在于，所述对所述图像数据进行人脸识别，识别出所述图像数据中包括的所有人脸，包括：

对所述二维图像数据进行人脸识别，识别出所述图像数据中包括的所有人脸；

所述对识别出的每一个所述人脸进行身份识别，确定是否存在非注册用户的人脸，包括：

根据所述二维图像数据，对识别出的每一个所述人脸进行身份识别，确定是否存在非注册用户的人脸；

所述根据所述图像数据对每一个所述非注册用户的人脸进行活体检测，包括：

根据所述二维图像数据和所述三维图像数据对每一个所述非注册用户的人脸进行活体检测。

6.根据权利要求5所述的方法，其特征在于，所述根据所述二维图像数据，对识别出的每一个所述人脸进行身份识别，包括：

从所述二维图像数据中提取每一个所述人脸的人脸特征信息；

将每一个所述人脸的人脸特征信息与预先录入的注册用户的人脸特征信息进行匹配，所述注册用户指示取得所述终端设备使用权的用户；

如果不匹配，则确定存在非注册用户的人脸。

7.根据权利要求5所述的方法，其特征在于，所述根据所述二维图像数据和所述三维图像数据对每一个所述非注册用户的人脸进行活体检测，包括：

从所述二维图像数据中提取每一个所述非注册用户的人脸的反射率信息；

从所述三维图像数据中提取每一个所述非注册用户的人脸的立体感信息；

在所述立体感信息和所述反射率信息满足活体标准时，确定存在是活体的非注册用户的人脸。

8.根据权利要求1所述的方法，其特征在于，所述图像数据包括二维图像数据和三维图像数据，所述二维图像数据为RGB图像或红外图像，所述三维图像数据为深度图像；

所述根据所述图像数据确定每一个所述非注册用户的人脸距离所述终端设备的屏幕的距离，包括：

根据所述三维图像数据确定每一个所述非注册用户的人脸距离所述终端设备的屏幕的距离。

9.根据权利要求1所述的方法，其特征在于，所述控制所述终端设备作出隐私保护风险提示，包括：

以弹窗的形式，在所述终端设备的屏幕弹出隐私保护风险提示信息。

10.根据权利要求9所述的方法，其特征在于，所述弹窗包括第一控件和第二控件，所述第一控件用户关闭所述弹窗，所述第二控件用于控制所述终端设备作出防窥措施；

在以弹窗的形式，在所述终端设备的屏幕弹出隐私保护风险提示信息之后，所述方法包括：

在接收到对所述第二控件的操作时，调整所述终端设备的屏幕中显示的内容的字体大小，以使根据所述字体大小确定的安全距离大于是活体的非注册用户距离所述屏幕的距离。

11.根据权利要求9所述的方法，其特征在于，所述弹窗包括第一控件和第二控件，所述第一控件用户关闭所述弹窗，所述第二控件用于控制所述终端设备作出防窥措施；

在接收到对所述第二控件的操作时，调整所述终端设备的屏幕亮度，以使所述屏幕的可视距离大于是活体的非注册用户距离所述屏幕的距离。

12.根据权利要求9所述的方法，其特征在于，所述弹窗包括第一控件和第二控件，所述第一控件用户关闭所述弹窗，所述第二控件用于控制所述终端设备作出防窥措施；

在接收到对所述第二控件的操作时，执行锁屏操作，以使所述屏幕处于灭屏状态。

13.根据权利要求9所述的方法，其特征在于，所述弹窗包括第一控件和第二控件，所述第一控件用户关闭所述弹窗，所述第二控件用于控制所述终端设备作出防窥措施；

在预设时间内未接收到对所述第二控件的操作，也为接收到对所述第一控件的操作时，执行锁屏操作，以使所述屏幕处于灭屏状态。

14.根据权利要求1所述的方法，其特征在于，所述控制所述终端设备作出隐私保护风险提示，包括：

以语音形式，播放隐私保护风险提示信息。

15.根据权利要求14所述的方法，其特征在于，所述以语音形式，播放隐私保护风险提示信息，包括：

识别所述终端设备是否连接了耳机；

在所述终端设备连接了耳机时，通过所述耳机播放所述隐私保护风险提示信息；

在所述终端设备未连接耳机时，通过所述终端设备的麦克风播放所述隐私保护风险提示信息。

16.根据权利要求15所述的方法，其特征在于，在通过所述耳机播放所述隐私保护风险提示信息之前，所述方法还包括：

确定所述耳机是否佩戴在注册用户的耳朵上；

在所述耳机佩戴在所述注册用户的耳朵上时，执行所述通过所述耳机播放所述隐私保护风险提示信息的步骤；

在所述耳机未佩戴在所述注册用户的耳朵上时，通过所述终端设备的麦克风播放所述隐私保护风险提示信息，或者以弹窗的形式，在所述终端设备的屏幕弹出隐私保护风险提示信息。

17.根据权利要求15所述的方法，其特征在于，在通过所述终端设备的麦克风播放所述隐私保护风险提示信息之前，所述方法还包括：

检测所述麦克风是否注册外放；

在所述麦克风不支持外放时，以弹窗的形式，在所述终端设备的屏幕弹出隐私保护风险提示信息；

在所述麦克风支持外放时，执行所述通过所述终端设备的麦克风播放所述隐私保护风险提示信息的步骤。

18.根据权利要求14所述的方法，其特征在于，所述以语音形式，播放隐私保护风险提示信息，包括：

根据周围环境，确定播放所述隐私保护风险提示信息的音量；

按照所述音量播放隐私保护风险提示信息。

19.一种终端设备，其特征在于，所述终端设备包括：存储器和处理器，所述存储器和所述处理器耦合；所述存储器存储有程序指令，所述程序指令由所述处理器执行时，使得所述终端设备执行如权利要求1至18任意一项所述的隐私保护方法。

20.一种计算机可读存储介质，其特征在于，包括计算机程序，当所述计算机程序在终端设备上运行时，使得所述终端设备执行如权利要求1至18任意一项所述的隐私保护方法。