摘要
本研究首次基于数据驱动的方法，对眼动追踪隐私相关的研究进行了综述，涵盖了沉浸式、移动设备和临床环境中的注视、虹膜以及眼部图像数据。分析采用了集成主题建模和非负矩阵分解技术，对2015年至2025年间发表的78篇论文进行了研究。研究发现了九个主要主题，揭示了规范性和技术性方法在眼动追踪数据处理的不同阶段如何应对隐私问题。研究发现，规范性研究强调身份和个人特征的推断是一个未解决的风险，而技术性研究则将隐私视为一个计算问题，并在特定情境下减轻风险。然而，保护措施往往受到实用需求的限制，这意味着在不损害功能的前提下，无法充分保护眼动追踪数据，从而仍会留下足够的细节以供推断使用。这种持续的脆弱性表明，眼动追踪数据可能需要与其他敏感类别类似的保护措施，需要在收集和使用过程中加强治理和防护。

1 引言
图1. 研究工作流程概述。综述过程从语料库构建和预处理开始，接着通过TF-IDF加权进行文档表示。然后分两个阶段进行集成主题建模，即基础建模和共识建模，以得出稳定且可解释的主题。最后将主题建模结果整合成对识别主题的跨学科综合分析。

眼动追踪已经发展成为一种普遍的生物特征和行为数据来源，嵌入在头戴设备、智能手机和车辆中，并持续生成大量数据[Bisogni等人，2024；Khan和Lee，2019]。记录的信号包括注视点估计、聚合的眼球运动特征以及眼睛、虹膜和周围眼区的图像或视频。随着眼动追踪从研究实验室扩展到日常消费应用，隐私和安全问题日益突出。这些问题已在法律、伦理和计算领域得到探讨，每个领域都使用不同的隐私定义和受数据类型及预期用途影响的方法。

在法律和伦理领域，隐私被理解为一个复杂的、依赖于情境的概念，没有单一的通用定义[Solove，2008]。然而，大多数框架都认为隐私涉及个人自主权、对个人信息的控制以及防止未经授权的侵入。例如，《欧盟通用数据保护条例》(GDPR)通过规范可以直接或间接识别个人的个人信息（如姓名、识别号码、位置数据或生物特征）来实施这一原则[欧洲议会和欧盟理事会，2016]。从法律和伦理的角度来看，隐私对于保护个人自主权和确保个人数据的负责任使用至关重要。

相比之下，在计算领域，隐私被视为一种可测量的属性，通过保证来限制对手从释放的数据或系统输出中获取的个人信息的数量[Dwork和Naor，2010；Dwork和Roth，2014；Sweeney，2002]。在正式的隐私机制中，差分隐私提供了保证，即任何单个记录的包含或排除对总体结果只有有限的影响[Dwork，2006]，而加密、安全多方计算和k-匿名性提供了在特定威胁模型下限制数据暴露的正式机制。法律和计算视角对于解释和实施眼动追踪隐私都至关重要，因为它们阐明了不同的威胁、风险和保护策略。

鉴于眼动追踪隐私研究的跨学科性质，已经开发了几种综述和分类法来组织隐私的定义和应对方式。然而，现有的综述在范围上存在很大差异[Bozkir等人，2025b；Katsini等人，2020；Kr?ger等人，2020]。迄今为止，还没有研究系统地考察过多种眼动追踪应用及其涉及的各种类型的数据的隐私问题。这一空白促使我们进行更广泛的综述，将法律和伦理视角与不同应用环境中的技术保护机制联系起来。这样的综合性综述可以识别出总体研究趋势、动机和解决方案，揭示未解决的问题，并明确规范性和技术性方法的交汇点或分歧。然而，该领域的跨学科性质使得传统的手动综述容易受到主观解释和学科偏见的影响。自然语言处理的最新进展使得大规模、数据驱动的分析成为可能，减少了这些偏见，并支持对研究领域的系统性和可重复性映射。

本研究首次基于数据驱动的方法，对虚拟现实和扩展现实(VR/XR)、移动设备、临床环境和网络环境中的眼动追踪隐私研究进行了综述，涵盖了注视信号、派生特征以及虹膜或眼部图像数据。它做出了三个重要贡献：
(1) 根据PRISMA指南[Page等人，2021]通过系统性的数据库搜索和研究筛选构建了一个精心策划的语料库；
(2) 通过基于非负矩阵分解(NMF)的集成主题建模[Belford等人，2016]识别出数据驱动的研究主题；
(3) 综合分析了已解决和未解决的威胁，对比了规范性工作中强调的风险与技术防护措施针对的风险，并指出了未来工作的方向。工作流程如图1所示。

这种数据驱动的综述既有保护作用，也可能被滥用。通过系统地识别已缓解和持续的脆弱性，它有助于指导更强的防护措施和治理。然而，它也可能帮助对手针对已部署系统中的弱点。随着眼动追踪扩展到消费设备和日常环境中，这种双重用途的风险凸显了需要制定限制利用的治理措施，并在开发技术防护措施时提供指导。

2 相关工作
眼动追踪隐私研究沿着两条不同的路径发展。第一条路径是通过眼动追踪数据实现隐私和安全，利用眼部信号来保护系统，例如基于注视的认证或密码输入。第二条路径是保护眼动追踪数据本身的隐私，将这些信号视为必须防止误用或未经授权推断的敏感信息。简而言之，前者通过使用眼动追踪数据来保护系统，而后者则保护眼动追踪数据本身。本研究专门关注眼动追踪数据的隐私问题，仅包括明确采用或针对这一视角的研究。

为了更好地界定本研究的范围，有必要概述与之相关但不同的研究方向。通过眼动追踪数据实现隐私和安全的研究主要集中在认证、访问控制或验证机制上，将注视或虹膜数据视为保护系统或过程的工具，而不是需要隐私保护的敏感数据。例如，基于眼球运动的认证系统[Lohr等人，2022；Lohr和Komogortsev，2022]、用于传统和虚拟现实环境中的虹膜生物特征识别访问控制[Cantoni等人，2017；Lohr等人，2023；Zhao等人，2025]，以及保护认证过程完整性的展示攻击检测方法[Boyd等人，2020；Dhar等人，2022]。其他方法使用基于注视的密码输入方案来对抗肩窥攻击[Almoctar等人，2018；Rajanna和Hammond，2018]，或检测正在进行的此类攻击[Corbett等人，2024]。此外，虹膜和眼部图像还被用于隐写术中，以保护数据所有权和嵌入的个人信息。例如，在生物特征模板中基于Syndrome-Trellis编码的数据隐藏[Li等人，2018]，以及设计用于追踪模型训练中的未经授权使用的放射性水印[Kovacs等人，2025]。总体而言，这些工作展示了通过眼动追踪数据实现隐私和安全的不同研究路径，其中眼部数据作为保护工具，而不是需要保护的信息。

另一方面，关于眼动追踪数据隐私的研究侧重于保护不同应用中的注视信号、派生特征和眼部图像的隐私。法律和伦理分析定义了保护眼动追踪数据和防止非法处理的义务[Gressel等人，2023；Menéndez González和Bozkir，2024；Sposini，2024]。以人为中心的研究关注旁观者暴露和在移动及XR环境中捕获敏感环境[Alsakar等人，2023；Bukhari等人，2025；Steil等人，2019b]。技术防护措施通过差分隐私等机制限制实时注视共享的数据暴露[Li等人，2021]。一些研究将隐私保护与生物特征使用相结合，在用于认证的同时保护眼部数据隐私[Morampudi等人，2024；Wickramaarachchi等人，2024a]。其他努力则对上下文和派生表示（如视觉刺激或扫描路径数据）进行匿名化，以防止在移动眼动追踪记录过程中无意中暴露个人信息[Kurzhals，2024；?zdel等人，2024]。这些工作展示了眼动追踪隐私研究的多样性，但也反映了其在法律、社会和技术领域的碎片化。

以往的综述从孤立的角度探讨了眼动追踪隐私问题。一些研究专注于VR/XR等特定领域，而其他研究则侧重于法律或概念性视角。Bozkir等人[2025b]提供了一项以VR/XR为中心的综述，绘制了隐私风险和计算防御措施，但排除了移动设备、汽车、临床环境和网络环境，以及生物特征模板保护、隐私保护推断或旁观者通知设计等更广泛的机制。Katsini等人[2020]对基于注视的认证系统进行了分类，并指出了相关的隐私风险，但没有系统地审查针对注视或虹膜数据的隐私保护方法。Menéndez González和Bozkir[2024]从法律角度分析了VR/XR眼动追踪，探讨了数据最小化、目的限制、合法依据和第三方访问等原则，但没有涵盖技术隐私保护机制。最后，Kr?ger等人[2020]概述了从眼动追踪数据中得出的敏感推断，包括身份、人口统计特征和认知特征，但仅 superficially 探讨了技术防护措施，没有审查保护机制。

本研究通过基于主题建模的数据驱动的跨领域综述，解决了这些局限性。主题建模是一种文本分析方法，用于揭示文档集合中的潜在主题结构[Vayansky和Kumar，2020]。它已被应用于绘制科学领域、追踪概念发展并揭示跨学科趋势[Chen等人，2024；Madrid-García等人，2024；Mohamed，2025；Rumbut等人，2020]。第3.1节介绍了遵循PRISMA指南[Page等人，2021]的系统文献搜索和语料库构建过程，第3.2节介绍了用于识别研究主题和趋势的集成主题建模方法。每个主题内的文档都被检查，以确定其概念焦点、方法论方法和隐私威胁的处理方式，区分已解决和未解决的问题。

3 方法
本节详细介绍了通过系统搜索和筛选构建语料库的过程，以及用于分析全文的集成NMF主题建模方法。

3.1 文献搜索
语料库的构建遵循了PRISMA 2020年的文献搜索指南[Page等人，2021]，确保了研究的系统识别、筛选和包含（详见补充材料中的PRISMA流程图）。在识别阶段，筛选了四个主要的文献数据库（Crossref、DBLP、Semantic Scholar、arXiv），涵盖了2015年至2025年的出版物。选择这个时间窗口是为了捕捉眼动追踪向部署在终端用户环境中的转变，从而将隐私风险扩展到用户和旁观者。搜索于2025年10月进行，针对涉及眼动追踪数据（包括注视、虹膜和其他类型的眼部数据）的隐私问题的同行评审和预印本作品。所有数据库都使用了定制的查询策略进行搜索，以考虑API设计、元数据字段和速率限制的差异。每次搜索至少需要一个眼部术语（眼动追踪、注视、虹膜）和一个隐私术语（隐私、数据保护、GDPR、匿名化）出现在记录中。术语的完整列表见补充材料中的表A1。对于Semantic Scholar，搜索术语列表比其他数据库更短，以适应平台特定的搜索限制，同时保留了充分覆盖所需的核心概念。搜索涵盖了标题、副标题、容器标题、作者、出版商、会议元数据和标识符。这些搜索返回了11,758条（Crossref）、928条（DBLP）、830条（arXiv）和697条（Semantic Scholar）记录。去除重复条目后，每个数据库都进行了过滤，排除了博士论文和扩展摘要等灰色文献。由于arXiv预印本未经同行评审，因此对该数据库进行了额外的筛选。仅保留了搜索前一年内上传的预印本，因为这些最近的提交可能正在接受或等待同行评审。

为了实现一致的基于文本的过滤，获取了所有识别记录的摘要。在过滤步骤中，使用不区分大小写的正则表达式和词边界匹配，搜索每条记录的摘要中至少出现一个眼部术语和一个隐私相关术语。第二次过滤步骤的完整术语列表见补充材料中的表A2。只有同时满足两个条件的记录被保留。经过筛选后，剩余了328条（arXiv）、267条（Crossref）、306条（DBLP）和201条（Semantic Scholar）的唯一记录。最后的筛选步骤去除了在不同数据库中重复的记录，最终保留了366条独特的记录，用于基于标题和摘要的手动筛选阶段。第一次手动筛选以及排除没有可获取全文的论文后，得到了255篇独特的出版物。全文从已发布的版本或最新的预印本中获取，然后进行手动审查，以确保只保留符合纳入标准的研究。符合条件的研究明确讨论了隐私问题，或者是由眼动数据的捕获、存储、使用或共享引起的隐私保护问题，包括注视、瞳孔、虹膜或眼部图像。当研究探讨了由配备场景相机的眼动追踪器捕获旁观者所引发的隐私问题或缓解策略时，也被包括在内。使用注视或虹膜数据进行身份验证、系统安全或作为增强隐私应用输入的论文被归类为通过眼动数据保护隐私和安全的论文，并被排除在外。筛选和资格评估由一名筛选者完成，所有条目都由第二名筛选者独立验证。最终纳入语料库需要两名筛选者的共识。手动筛选产生了78篇文档，这些文档共同构成了用于分析的最终语料库。

3.2 主题建模
框架：通过对78篇论文的全文应用主题建模来识别潜在的研究主题。主题建模检测术语的重复共现模式，将文档表示为可解释主题的混合体[Vayansky和Kumar 2020]。选择NMF [Lee和Seung 1999]是因为其在小型、异构语料库上的稳定性和可解释性，而像潜在狄利克雷分配（LDA）这样的概率方法通常会产生模糊或不稳定的主题[Athukorala和Mohotti 2022；Belford和Greene 2020；Greene等人2014；Qiang等人2022；Wallach等人2009]。实证比较进一步表明，在中等规模、长形式的数据集上，NMF比概率和基于嵌入的模型具有更高的主题连贯性和鲁棒性，尤其是在主题数量较少时[Khodeir和Elghannam 2025；Mihajlov等人2024]。这些特性使NMF非常适合当前的语料库，其中关于眼动追踪的隐私研究由相对较少且专门的研究组成。Belford等人[2016]的集成NMF方法将多个分解聚合成一个共识模型，减少了运行间的变异性，并提高了连贯性和可重复性。

实施：集成NMF框架针对中等规模、异构的语料库进行了两种调整。首先，通过基于连贯性的模型选择来确定主题数量（k）。根据R?der等人[2015]的方法计算的主题连贯性，通过测量它们在语料库中排名靠前的术语的共现来量化主题的语义相关性和可解释性。其次，修改了文档重建步骤，使用非负最小二乘（NNLS）来获得更一致和准确的主题权重。语料库经过预处理，并表示为文档-术语矩阵A∈R≥0n×m，其中n是文档数量，m是词汇表大小。预处理包括规范化、去除链接和提及、小写化、分词以及消除通用和特定领域的停用词。整个语料库适配了一个全局词频-逆文档频率（TF–IDF）向量化器，捕获了单元词和双词，同时排除了极罕见和过于频繁的术语，以确保词汇表和逆文档频率的一致性。每个文档都被转换为一个在这个共享特征空间中的长度标准化向量，产生了一个稳定的表示A，其中每一行编码了文档内术语的加权重要性。

建模过程包括两个阶段。在第一阶段，生成了多个具有不同随机初始化和主题数量的基NMF模型，以确定最连贯的解决方案和最佳k值。在第二阶段，使用次级NMF将表现最佳的基模型的主题-术语矩阵组合起来，产生最终的集成解决方案。

3.2.1 基模型
基模型都是独立应用于相同TF–IDF表示的NMF分解。NMF将非负文档-术语矩阵A近似为两个低秩非负矩阵的乘积：A ≈ W(s)H(s)，其中W(s)∈R≥0n×k是文档-主题矩阵，H(s)∈R≥0k×m是第s次运行的k个主题的主题-术语矩阵。W(s)的每一行给出了一个文档的主题混合，H(s)的每一行给出了主题-术语权重。基模型之间的多样性来自于W(s)和H(s)的随机初始化以及不同数量的主题。对于每个候选k ∈ {4, 5, 6, 7, 8, 9, 10, 12, 14, 16, 18, 20}，使用坐标下降法和Frobenius损失训练了60个随机种子[Hsieh和Dhillon 2011]。候选k值涵盖了从较粗略（4）到较精细（20）的主题分辨率，下限是为了避免过于粗糙的解决方案导致不同主题的合并，上限是为了避免稀疏或不稳定的主题。每次运行后，保留主题-术语因子H(s)用于集成阶段。基主题数量k的选择使用了基于连贯性的标准，该标准平衡了随机种子之间的平均性能和稳定性。对于每个候选主题数量k，计算了所有种子之间的主题连贯性得分的平均值（C―）和标准差（σC），并定义了一个平衡得分S=C―?λσC，其中λ = 0.5控制惩罚强度。选择产生最高平衡得分S的k值用于集成建模。选定的k值在图2a中报告。

3.2.2 集成模型
集成阶段将基模型的主题整合成一个共识表示。将所有基运行在选定k下的主题-术语矩阵H(s)垂直连接起来形成集成矩阵M：M=[H(1)H(2)?H(r)]∈R≥0(r?k)×m，其中每一行代表一个基模型的主题，每一列对应一个词汇表术语。M的行进行了L2标准化，以标准化主题规模，然后应用了第二个NMF，得到M≈W~H~，其中W~∈R≥0(r?k)×k′和H~∈R≥0k′×m。H~的行定义了共识主题k′的集成主题-术语分布。第二个NMF将语义相似的基主题聚类成更广泛、更高级别的共识主题。它使用了非负双奇异值分解（NNDSVD）初始化[Boutsidis和Gallopoulos 2008]和Frobenius损失下的坐标下降法，以获得确定性和稳定的结果。共识模型捕捉了基模型中发现的主题之间的变化，允许k′根据集成如何合并重叠主题或揭示零星出现的主题而有所不同。评估了使用与k相同范围的候选集成大小k′，并选择了连贯性最高的配置。选定的k′在图2b中报告。

在Belford等人[2016]中，通过矩阵乘法将文档-术语矩阵投影到共识主题-术语矩阵上来获得文档-主题权重。使用长度标准化的向量，这种投影近似于余弦相似度，但并不最小化重建误差[Gillis 2014]。在这项研究中，使用非负最小二乘（NNLS）计算文档-主题权重，为每个文档向量ai估计非负系数wi，解决minwi≥0‖ai?wiH~‖22。得到的集成文档-主题矩阵D=[w1;w2;…;wn]∈R≥0n×k′提供了基于共识主题的文档的最优非负重建。这种方法确保了通过优化的非负重建而不是通过近似相似性获得文档-主题关联。

4 结果
本节报告了最终的语料库和主题建模结果。

4.1 文献搜索
最终的语料库包含78篇文档，其中包括7篇arXiv预印本（2024年的1篇和2025年的6篇）。经过预处理后，语料库包含7,554个独特的单元词和双词术语，平均每篇文档保留了4,997个术语（中位数=4,204）。随时间变化的主题流行度在补充材料的时间趋势图中进行了可视化。

图2. 选择基模型和集成NMF模型的最佳主题数量。

4.2 主题建模
图2a显示，基于平衡得分的评估确定k = 8是基模型最稳定的配置，平均连贯性为0.57（SD = 0.02），最大值为0.60。图2b显示，对于集成模型，k′ = 9实现了最高的连贯性（0.5783），仅略高于k′ = 4的得分（0.5769）。使用选定的集成主题数量（k′ = 9），最终共识模型的主题多样性[Dieng等人2020]为0.92，基于每个主题前20个独特术语的比例，表明最小重叠和良好的主题结构分离。

表1. 主题
顶级术语 文档
1: 从法律、伦理和社会角度探讨隐私 gdpr、元宇宙、同意、法律、消费者、公司、直观通知、数据主体、隐私政策 [Abdrabou等人2025]，[Byrne等人2024]，[Gressel等人2023]，[Koch 2023]，[Kr?ger等人2020]，[Ma等人2017]，[Menéndez González和Bozkir 2024]，[Selinger等人2023]，[Sposini 2024]
2: 带有实用约束的眼部图像混淆 眼部图像、像素、虹膜识别、橡胶片、注视估计、橡胶片模型、虹膜纹理、瞳孔、散焦、虹膜认证 [Chaudhary和Pelz 2020]，[John等人2020a]，[Eskildsen和Witzner Hansen 2021]，[John等人2019]，[John等人2020b]，[Narkar和David-John 2024]，[Wang等人2025a]，[Wang等人2025b]，[Zhang等人2018]
3: 内容和刺激匿名化 匿名化、提示、场景、抽象、文本、aoi、图像内容、刺激、匿名化、对象 [Hanisch等人2025]，[Kurzhals 2023]，[Kurzhals 2024]
4: 保护隐私的虹膜认证 模板、虹膜模板、比特、eer、方案、加密、随机投影、保护模板、加密、生物特征模板 [Dwivedi等人2017]，[Lei等人2019]，[Morampudi等人2020]，[Morampudi等人2021]，[Morampudi等人2024]，[S. Singh等人2024]，[Song等人2024]，[Wickramaarachchi等人2024a]，[Wickramaarachchi等人2024b]
5: 来自沉浸式系统的注视流和数据集的隐私 隐私机制、ekyt、识别率、生物特征性能、流、私有化、运动、虚拟现实、对手 [Aziz和Komogortsev 2023]，[Aziz和Komogortsev 2025a]，[Aziz和Komogortsev 2025b]，[David-John等人2021]，[David-John等人2022]，[Ibragimov等人2025]，[Jarin等人2025]，[Li等人2021]，[Otoo等人2025]，[Peng等人2025]，[Raju等人2024]，[Ren等人2024]，[Wilson等人2024]
6: 保护隐私的注视估计 注视估计、客户端、注视估计模型、标签、注视估计器、注视方向、外观、头部姿态、服务器、触发器 [Bozkir等人2025b]，[Du等人2024]，[Du等人2025]，[Elfares等人2024]，[Elfares等人2025]，[Gupta等人2022]，[Wang等人2024]，[Wu等人2024]
7: 生成合成和以模型为中心的隐私 gan、虹膜图像、合成、生成模型、匹配器、真实、虹膜识别、伪造、分类器、合成虹膜 [Ahmad等人2022]，[Banerjee等人2024]，[Barni等人2021]，[David-John等人2023]，[Feng等人2024]，[Fuhl等人2021]，[Mitcheff等人2024]，[Seyedi等人2022]，[Tinsley等人2022]
8: 用户和旁观者隐私意识、同意和控制 旁观者、移动设备、指示器、记录、密码、用户、快门、感知、智能手机、可用性 [Alsakar等人2023]，[Alsakar等人2025]，[Bozkir等人2025a]，[Bukhari等人2025]，[G. N. Ramirez-Saffy等人2024]，[G?bel等人2020]，[Katsini等人2020]，[Steil等人2019a]，[Steil等人2019b]
9: 保护隐私的客户端-服务器交互 客户端、协议、加密、查询、加密、乘法、扫描路径、树、虹膜代码、服务器 [Bloemen等人2024]，[Bozkir等人2020]，[Bozkir等人2021]，[Ha等人2025]，[Listiyani和Singh 2024]，[Liu等人2019]，[M. Hu等人2022]，[?zdel等人2024]，[X. Wei和C. Yang 2022]
每个主题都根据其主题焦点进行标记，并由其十个最高权重的术语和分配给该主题的所有出版物集描述。缩写：aoi – 兴趣区域；eer – 等错误率；ekyt – Eye Know You Too（基于眼动的生物特征认证模型）；gan – 生成对抗网络；gdpr – 通用数据保护条例。

集成主题模型产生了九个主题，代表了眼动追踪研究中的关键主题领域。表1列出了这些主题、它们的人类分配的描述性标签、前十个术语以及相关的出版物。这九个主题涵盖了保护隐私的眼动追踪的技术、方法论和规范维度，从模型级机制到用户层面。

4.2.1 主题的定性解释
主题1 - 从法律、伦理和社会角度探讨隐私：建立了保护眼动数据的概念和监管基础，概述了在设计技术解决方案之前为什么需要隐私保护措施。它既讨论了保护的规范理由，也讨论了可以从注视中推断出的实证证据。所确定的研究评估了诸如GDPR、数字服务法案和AI法案等治理框架，并检查了它们规范基于注视的画像和神经营销的能力[Menéndez González和Bozkir 2024；Sposini 2024]。这些工作得出结论，当前的框架不足以处理来自眼动数据的推断，尽管它能够揭示身份、特征和心理状态。补充性工作展示了从注视数据中可以推断出的信息范围，包括生物特征身份、人口统计特征、心理倾向和健康指标，强调了信息暴露的规模[Koch 2023; Kr?ger et al. 2020]。多项研究呼吁整合法律、伦理和技术视角[Gressel et al. 2023]，通过意识提示和政策框架将隐私原则转化为具体实践[Byrne et al. 2024; Selinger et al. 2023]。讨论还扩展到了生成式人工智能领域，在这里注视数据引入了新的推断风险[Abdrabou et al. 2025]。有一项研究提出了一个系统，该系统可以从注视数据中推断用户特征，并声称通过限制数据保留来保护隐私，但并未提供具体的保护措施[Ma et al. 2017]。这说明了隐私保护在理论上是被提及的，但在实践中并未得到实现。

**主题2 - 带有实用限制的眼睛图像混淆**：关注在数据捕获时的隐私保护，通过修改眼睛图像来隐藏可识别的虹膜特征，同时保持用于注视估计或眼睛图像分割的实用信息。这项研究指出了原始虹膜数据编码的稳定身份模式可能导致重新识别或身份冒充的隐私风险。其中一个研究[Narkar and David-John 2024]展示了基于分割的虹膜交换可以冒充用户并绕过身份验证。其余的研究通过防止生物特征标识符以原始形式被记录或传输来应对这一风险。它们应用了图像级转换来模糊或改变虹膜区域，并通过测量虹膜识别准确性的降低或虹膜可识别性的减少来评估隐私保护效果。所应用的转换包括光学散焦[John et al. 2020a]、模糊和像素噪声滤波[John et al. 2019; 2020b]、使用Daugman橡胶片模型的虹膜纹理替换[Chaudhary and Pelz 2020]，以及抑制身份线索的下采样和神经风格转换技术[Wang et al. 2025a; 2025b]。比较性研究评估了这些转换在隐私保护和任务实用性方面的效果，同时也检查了图像质量和重新识别风险[Eskildsen and Witzner Hansen 2021; Wang et al. 2025b]。另一种方法是对虹膜区域应用差分隐私，但尚未测试其对实用性的影响，其有效性尚不清楚[Zhang et al. 2018]。

**主题3 - 内容和刺激的匿名化**：关注内容和刺激的匿名化，以及从注视数据收集过程中捕获或呈现的视觉上下文释放所带来的隐私风险。具体来说，实验刺激和场景相机记录可能会暴露可识别的个体、私人环境或敏感内容。属于这一主题的研究开发了生成方法，可以在保留相关信息的同时对刺激和记录的场景进行匿名化[Kurzhals 2023; 2024]。它们进一步提出了通过添加噪声、去除特征或生成模拟任务相关行为的合成注视轨迹来降低可识别性的转换，同时隐藏个体特征[Hanisch et al. 2025]。这些研究将隐私视为一个披露问题，在数据、刺激或注视可视化共享之前就采取保护措施，强调眼动追踪不仅可能暴露被追踪的用户，还可能暴露场景相机可见的其他人。

**主题4 - 保护隐私的虹膜认证**：重点关注在存储、匹配和验证过程中对衍生虹膜模板的保护，其中生物特征表示既作为认证资产，也是隐私风险的来源。在这一主题的研究中，共同的目标是防止虹膜模板被逆向工程、在数据库之间关联或在泄露后被重新使用。然而，这些研究在认证流程的不同阶段进行干预。一组研究通过不可逆转换来保护存储的模板，同时保持识别准确性。例如随机映射、位模式操作、向量扭曲和差分隐私风格混淆[Dwivedi et al. 2017; Lei et al. 2019; Wickramaarachchi et al. 2024a; 2024b]。另一组研究通过在验证和匹配过程中启用加密比较来保护隐私，以便在不暴露底层虹膜数据的情况下计算相似性分数[Morampudi et al. 2020; S. Singh et al. 2024]，其中一些研究还添加了验证机制以确保计算完整性[Morampudi et al. 2024; 2021]。有一项研究将这一原则扩展到整个认证工作流程，在传输之前将虹膜数据转换为不可逆形式，确保系统永远不会处理可重用的生物特征数据[Song et al. 2024]。

**主题5 - 沉浸式系统中注视流和数据集的隐私**：关注交互期间和之后的隐私问题，特别是沉浸式系统中的注视数据，包括VR/XR应用程序中的实时流式传输和随后记录的数据集共享。属于这一主题的研究表明，眼动模式可以在不同设备和环境中重新识别用户[Aziz and Komogortsev 2023; David-John et al. 2021; Jarin et al. 2025]，并且注视信号可以揭示场景内容和任务上下文[Peng et al. 2025]。补充性研究表明，频域分析表明身份线索分布在不同的时间带中，限制了简单转换的有效性，从而需要针对性过滤[Raju et al. 2024]。这些风险通过限制传输和在交互过程中扰动注视表示的机制来解决，但仍允许基于注视的实时控制和焦点渲染。这些方法包括对传出注视流的设备内差分隐私过滤[Li et al. 2021]、保持任务性能的噪声注入表示[Aziz and Komogortsev 2025b]，以及平衡延迟、准确性和用户体验的扰动或下采样策略[Ibragimov et al. 2025; Wilson et al. 2024]。Otoo等人[2025]将这些保护措施扩展到界面层，探讨了如何在沉浸式系统中使隐私保护过程对用户可见和可理解。在数据共享阶段，通过发布在形式化约束（如局部差分隐私、k-匿名性和合理否认性）下生成的合成或匿名化的VR/XR注视数据集来减轻隐私风险[David-John et al. 2022; Ren et al. 2024]。一项多模态分析表明，将匿名化的注视与运动或身体遥测数据关联可能会重新建立身份，表明剩余风险仍然存在，需要跨传感器的协调控制[Aziz and Komogortsev 2025a]。

**主题6 - 保护隐私的注视估计**：关注注视估计系统中的隐私风险，其中模型在训练、推断或使用过程中可能会暴露敏感数据。这些风险包括来自共享更新的数据泄露、通过黑盒模型的未经授权的推断以及模型行为的操纵。属于这一主题的研究表明，基于外观的注视估计可以被利用来从头像视频中推断用户的按键行为，从而泄露意外的个人信息，并展示了注视模型如何泄露敏感的行为数据[Wang et al. 2024]。该主题的其余工作开发了机制来保护注视估计流程的不同阶段免受这些风险的影响。在训练期间，联邦学习通过基于MPC的安全聚合[Elfares et al. 2024]或差分隐私[Wu et al. 2024]来限制数据共享。在模型使用期间，已识别的方法应用用户端混淆模块在远程预测之前隐藏可识别特征[Du et al. 2024]，并集成后门检测方法以确保模型在潜在篡改下的完整性[Du et al. 2025]。Gupta等人[2022]通过修改模型学习的输入内容（用姿态或深度信息替换外观特征）来处理表示级别的隐私问题。一项调查将这些贡献置于端到端的VR/XR眼动追踪工作流程中，强调了跨阶段一致保护的必要性，并指出了模型逆向工程、不安全的数据访问和注视信息的二次使用等持续存在的漏洞[Bozkir et al. 2025b]。Elfares等人[2025]的相关但不同的工作专注于数据集准备，而不是模型保护。它提出了一种在训练之前验证注视数据集质量的隐私保护方法，支持上游流程而不是保护训练过程。

**主题7 - 生成合成和以模型为中心的隐私**：关注模型学习和生成过程中产生的隐私风险，其中内部表示和输出可能会暴露生物特征身份、外观线索以及行为或认知特征。属于这一主题的几项研究表明了从学习到的模型特征中发生的此类泄露。例如，一个在虹膜图像上训练的StyleGAN3会从其训练数据中再现可识别的模式，展示了通过生成特征导致的生物特征泄露[Tinsley et al. 2022]。类似的攻击结合了学习到的虹膜模板来形成匹配多个用户的合成身份[Banerjee et al. 2024]，而注视和面部模型被证明容易受到推断和逆向工程攻击，这些攻击可以重建生物特征数据[Ahmad et al. 2022; Seyedi et al. 2022]。为了减轻这些风险，多项工作开发了生成机制来合成去标识化的注视或虹膜数据。例如基于GAN的系统替换或掩盖虹膜纹理[Barni et al. 2021; Mitcheff et al. 2024]，强化学习方法在保持注视实用性的同时隐藏身份[Fuhl et al. 2021]，以及在k-匿名性或合理否认性约束下生成合成注视样本的方法[David-John et al. 2023]。一个基于Transformer的联邦模型将原始注视数据保留在设备上，仅在客户端之间共享参数[Feng et al. 2024]。它之所以被归类于此，是因为它关注表示学习，尽管其隐私机制更符合主题6，因为它保护的是训练数据而不是学习表示的泄露。

**主题8 - 用户和旁观者的隐私意识、同意和控制**：研究用户和旁观者在数据收集之前和期间如何感知和管理隐私。主要风险涉及在用户不知情或未经同意的情况下被记录、识别或分析，这使得用户理解和控制成为这一主题的核心关注点。实证研究调查了用户在移动设备[Alsakar et al. 2023]和混合或增强现实[Bozkir et al. 2025a]中的感知，识别了对数据共享、可见性和同意的担忧。基于设计的方法提出了场景相机的机械快门[Steil et al. 2019b]、控制传感器激活的界面控件[G?bel et al. 2020]，以及向旁观者发出正在记录信号的视觉或多模态指示器[Bukhari et al. 2025; G. N. Ramirez-Saffy et al. 2024]。一些框架研究了注视如何在认证系统中同时作为隐私风险和安全特征发挥作用，强调了需要考虑用户意识和对注视数据潜在误用的系统设计[Katsini et al. 2020]。进一步的研究表明，当透明度功能使数据捕获和使用变得可理解和可控时，用户更愿意分享注视信息[Steil et al. 2019a]。Alsakar等人[2025]将关注点从感知扩展到可测量的控制，量化了移动注视数据中的隐私泄露，并应用差分隐私来限制在捕获期间或之后可以推断的信息。

**主题9 - 保护隐私的客户端-服务器交互**：将隐私保护扩展到交互层，其中注视或虹膜派生的表示在客户端和服务器之间被处理或交换。主要风险来自于在计算或传输过程中敏感特征的暴露，可能导致身份或行为的推断。为了应对这一点，属于这一主题的研究在数据处理过程中保护数据，将隐私视为通信协议本身的属性。这部分是通过加密方法实现的，这些方法允许直接在加密数据上进行匹配和搜索，确保查询和存储的记录都不会被暴露[Bloemen et al. 2024; Ha et al. 2025; Listiyani and Singh 2024; ?zdel et al. 2024]。补充方法通过随机编码和差分隐私来保护注视计算，保持中间表示的隐私性，同时保持任务性能[Bozkir et al. 2021; 2020]。交互级别的保护在流式传输过程中注入校准噪声或伪装视图数据，以防止服务器推断用户焦点或视觉内容[Liu et al. 2019; M. Hu et al. 2022; X. Wei and C. Yang 2022]。

**讨论**：所确定的主题涵盖了眼动追踪隐私的概念和技术维度。主题1特别重要，因为它定义了保护的规范和法律基础，确立了保护眼动追踪数据的伦理依据，并提供了实证证据，表明注视、瞳孔和虹膜信号可以暴露身份、认知状态和其他敏感的个人信息。这些研究表明，注视、瞳孔和虹膜数据可以在用户不知情或未经同意的情况下揭示身份、认知状态和情绪[Koch 2023; Kr?ger et al. 2020]，而当前的法规通过关注明确的标识符而不是行为或生物特征模式而忽略了这些推断风险[Sposini 2024]。因此，主题1概述了最紧迫的隐私风险。相比之下，其余主题关注技术保护。为了评估这些保护措施如何应对主题1中识别的风险，其余主题按照数据处理阶段进行了组织[Colesky et al. 2016; European Parliament and Council of the European Union 2016]，包括捕获、使用、存储和共享。本组织明确了现有安全措施涵盖的阶段以及漏洞仍然存在的领域。

5.1 在捕获前后保护眼动追踪数据
第2和第8个主题都讨论了数据处理初始阶段的隐私问题，即眼动追踪数据首次被捕获和暴露的时候。第8个主题重点关注用户和旁观者的意识、同意和控制，强调在数据捕获前后需要透明度和知情参与。相比之下，第2个主题介绍了在记录时对生物特征身份进行模糊处理的技术方法，以防止滥用。这两者共同构成了眼动追踪数据处理的初始保护层，但仍然存在一些重要的漏洞。在第8个主题中，安全措施依赖于用户的理解，而不是可执行的技术保障，当用户注意力分散或上下文检测失败时，可能会导致数据被无意中捕获或泄露。在第2个主题中，基于图像的模糊处理隐藏了虹膜，但保留了精确的注视点估计。先前的研究表明，仅凭这些注视运动模式就可以识别用户并揭示敏感的认知或行为信息[Henderson等人2013；Lohr和Komogortsev 2022；Lohr等人2023]。因此，这两种保护方式都仅限于数据捕获阶段，后续的处理阶段超出了它们的控制范围。

5.2 在交互和共享过程中保护眼动追踪数据
第5个主题涵盖了数据处理的交互和共享阶段，讨论了在实时交互中传输注视数据或作为数据集分发时出现的隐私风险。属于这一主题的研究开发了用于沉浸式系统的隐私机制，包括差分隐私过滤、时间扰动和合成数据生成，以减少重新识别的可能性，同时保持任务性能[Aziz和Komogortsev 2025b；David-John等人2022；Li等人2021；Wilson等人2024]。然而，这些安全措施仍然是部分的。可用于交互的注视流仍然包含可以用于二次推断行为、认知或身份相关特征的信息，一些属于这一主题的研究已经证明了这一点[Jarin等人2025；Peng等人2025；Raju等人2024；Wang等人2024]。在VR/XR环境中，由于注视数据与头部、手部和身体运动一起被记录，这些风险会加剧，因为跨模态相关性可能进一步导致重新识别或提取敏感的个人特征[Aziz和Komogortsev 2023]。因此，这一阶段的保护仍然不足以完全防止推断和关联。

5.3 在模型训练和合成过程中保护眼动追踪数据
第6和第7个主题讨论了注视估计和合成流程中的隐私问题，将其视为模型架构和计算的属性。这两个主题涵盖了数据处理的多个阶段，因为研究的方法旨在在模型训练期间保护数据，在推理期间保障隐私，并在使用期间保持功能。第6个主题关注训练和推理期间的数据安全，而第7个主题则探讨了模型编码和生成内容所带来的风险。属于这些主题的研究保护了训练数据、参数、表示和输出中的敏感信息，防止泄露、反转或操纵[Barni等人2021；David-John等人2023；Du等人2025；Elfares等人2024]。然而，保护措施受到实用性的限制，因为提出的机制必须保持准确的注视估计或真实的眼动数据生成，以维持模型性能。如前所述，准确的注视估计可以用于识别和推断认知或行为状态，而真实的眼动数据生成也可能保留生物特征信息[Banerjee等人2024；Tinsley等人2022]。因此，即使保护措施嵌入到模型训练或合成中，隐私风险仍然存在，这突显了在眼动追踪数据处理的各个阶段中实用性和隐私之间的根本矛盾。

5.4 在存储和计算过程中保护眼动追踪数据
第4和第9个主题讨论了存储、匹配或处理派生眼动数据表示时的隐私问题。第4个主题关注保护存储的虹膜模板和认证程序，而第9个主题将这种保护扩展到客户端-服务器通信。所采用的方法通过加密、模板转换和差分隐私来增强存储和处理的眼动追踪数据的隐私。然而，在第4个主题中，保护措施通常是根据识别准确性推断出来的，将未改变的匹配性能视为保护的证据，而不是通过泄露分析或对抗性测试来验证，这限制了对实际隐私水平的了解[Dwivedi等人2017；Morampudi等人2021；Wickramaarachchi等人2024a]。这一限制因缺乏差分隐私的正式不可链接性或抗重构证明而更加严重[Lei等人2019]。在第9个主题中，加密和差分隐私方法在客户端-服务器交互期间保护数据，但生成的输出仍可能泄露身份或行为信息。先前的研究表明，相似性分数和匹配决策可能会泄露模板信息，从而在会话之间实现重构或关联，而基于输出的攻击可以恢复训练成员身份[Hu等人2022；Pagnin等人2014]。这些发现表明，第4和第9个主题中的保护措施减少了暴露，但未能防止推断，因为它们没有限制处理后的输出可以揭示的内容。

5.5 在公开发布前保护上下文
第3个主题通过模糊处理、替换、添加噪声或生成合成注视轨迹来匿名化记录的场景和刺激，从而准备用于共享的眼动追踪数据和视觉材料[Hanisch等人2025；Kurzhals 2023；2024]。尽管采取了这些安全措施，但仍存在一些限制。内容匿名化仅在捕获后生效，无法防止记录敏感环境或旁观者。编辑或替换的场景仍可能通过注视轨迹泄露原始视图信息，例如书面笔记或PIN码输入。合成轨迹旨在模仿真实行为以保持实用性，但这种真实性保留了特定于个人或任务的模式，仍可能导致重新识别或推断。此外，大多数方法缺乏正式的隐私保证或标准化的评估指标，使得其保护效果难以量化和比较。

5.6 合成和总体影响
眼动追踪数据处理的各个阶段的隐私保护仍然是部分和零散的。大多数方法减少了各个阶段中的直接暴露，但未能防止敏感的推断，因为实现实用任务（如注视估计或实时交互）的属性也允许推断。这种实用性和隐私之间的权衡几乎出现在所有主题中。在收集阶段（第2和第8个主题），虹膜隐藏保持了注视估计的准确性，但保留了眼动模式。在使用和共享阶段（第5个主题），安全措施减少了直接披露，同时支持实时交互，但注视仍可能揭示身份和任务上下文，特别是与其他传感器的信号结合使用时。在训练和合成流程中（第6和第7个主题），安全措施保护训练数据并支持学习或合成生成，但表示和输出仍然包含信息。在存储和计算阶段（第4和第9个主题），加密和模板保护确保了认证和匹配的安全，但任务输出和派生表示仍包含支持身份或行为特征推断的信息。匿名化技术（第3个主题）隐藏了场景内容或生成合成数据以促进共享，但残留模式仍可能揭示查看的材料或特定于个人的特征。这些模式揭示了规范期望与技术实践之间的根本脱节。法律和伦理分析将主要未解决的风险归结为推断，即从眼动追踪数据中推断出身份或特征的能力。相比之下，技术工作侧重于在孤立的处理阶段保护数据。这些措施减少了直接披露，但很少限制从功能有用的注视信号中可推断出的内容。

解决这些漏洞需要一个涵盖多个方面的研究议程：1）隐私评估应超越实用性，因为保持的任务性能可能与大量隐私泄露共存。安全措施应在针对关键威胁（如重新识别和敏感特征推断）的部署环境中进行威胁模型测试。2）需要标准化的评估，以便在不同方法和上下文中比较隐私声明。3）法规应将眼动追踪数据视为需要加强保护的敏感类别。这些步骤将为设计、验证和执行提供可衡量的隐私保护的安全措施提供更明确的基础。

5.7 限制
这些结论受到几个限制的约束。搜索可能遗漏了相关的眼动追踪隐私研究，例如专注于元宇宙的研究。API速率限制缩短了Semantic Scholar的查询范围，可能降低了覆盖范围。其他未搜索的数据库也可能包含相关材料。分析主要强调了欧洲的监管框架。虽然NMF在中等规模的语料库上表现良好，但没有比较其他主题建模方法。由于没有先前的数据驱动审查，因此无法对识别出的主题进行交叉验证。筛选涉及二次验证，但未正式评估评分者之间的共识。本文使用的数据驱动方法可以减少相对于手动合成的主观性和学科偏见，但主题分配仍然受术语、报告风格和预处理或建模选择的影响。因此，未来的工作应通过手动审查来验证分类法，使数据驱动和传统合成方法相互补充和验证。

6 结论
本研究提供了基于数据的眼动追踪隐私研究的综述。根据PRISMA指南构建的语料库通过主题建模进行了分析，确定了九个主题。研究结果表明，隐私保护仍然是部分的，眼动追踪数据仍然容易受到身份、特征和心理状态的推断，支持将其归类为敏感数据类别，这也得到了最近规范工作的推荐。有效的保护需要协调数据处理各个阶段的监管和技术方法，并开发标准化指标来评估隐私泄露。否则，眼动追踪数据仍将容易受到重新识别、推断和滥用的影响。

致谢
本工作得到了欧盟Horizon Europe Marie Sk?odowska-Curie Actions项目（项目协议ID：101072410）资助的Eyes for Information, Communication, and Understanding (Eyes4ICU)项目的支持，以及由Aage和Johanne Louis-Hansen基金会资助的DANGER项目的支持。