機(jī)器學(xué)習(xí)中的隱私保護(hù)

大數(shù)據(jù)時(shí)代的隱私泄露如達(dá)摩克利斯之劍，高懸在每個(gè)網(wǎng)民頭上，而關(guān)于如何保護(hù)數(shù)據(jù)隱私我們也走了很長的路。

1977 年，統(tǒng)計(jì)學(xué)家 Tore Dalenius 給出關(guān)于數(shù)據(jù)隱私的嚴(yán)格定義：攻擊者不能從隱私數(shù)據(jù)里獲取任何在沒有拿到數(shù)據(jù)之前他們所不知道的個(gè)人信息。

2006 年，計(jì)算機(jī)學(xué)者 Cynthia Dwork 證明上述定義的隱私保護(hù)是不存在的。有一個(gè)直觀例子可以幫助理解：假設(shè)攻擊者知道 Alice 的身高比 Lithuanian 女性平均身高高 2 英寸，這樣攻擊者只需要從一個(gè)數(shù)據(jù)集里獲得 Lithuanian 女性身高平均值（在接觸數(shù)據(jù)前攻擊者并不知道），就能準(zhǔn)確獲得 Alice 的精確身高，甚至 Alice 都不需要在這個(gè)數(shù)據(jù)集里。因此，對于一份有信息量的數(shù)據(jù)，不可能完全不暴露隱私信息。

2018 年，史上最嚴(yán)苛的個(gè)人隱私保護(hù)法案《通用數(shù)據(jù)保護(hù)條例》（ GDPR ）正式生效，開創(chuàng)了互聯(lián)網(wǎng)誕生以來的最大變革，數(shù)據(jù)隱私問題得到前所未有的重視。

近日，雷鋒網(wǎng)了解到，第四范式先知（ Sage ）企業(yè)級 AI 平臺已經(jīng)完成 PrivacySeal EU 認(rèn)證工作程序，率先通過歐盟 GDPR 認(rèn)證，成為國內(nèi)第一款通過該認(rèn)證的 AI 平臺產(chǎn)品，實(shí)證基于第四范式隱私計(jì)算技術(shù)的數(shù)據(jù)安全性和可信任性，那么，他們是如何保護(hù)用戶隱私安全的？為此，雷鋒網(wǎng)和第四范式的主任科學(xué)家涂威威聊了聊。

匿名化或許是個(gè)偽命題？

不知道有多少童鞋記得去年谷歌母公司 Alphabet Inc 因違反隱私數(shù)據(jù)法被罰款 5000 萬歐元的事情，據(jù)說這是迄今為止歐洲范圍內(nèi)，一家公司因違反隱私數(shù)據(jù)法遭受到的最高額處罰金。多家英文科技媒體報(bào)道時(shí)，都用了 “record high”（破紀(jì)錄地高）描述處罰力度之狠。

為什么谷歌會受到如此嚴(yán)重的懲罰？

首先，谷歌會收集自家相關(guān)應(yīng)用和第三方網(wǎng)頁訪問的活動數(shù)據(jù)，通過安卓設(shè)備的“設(shè)備標(biāo)識”以及“廣告標(biāo)識符”，將應(yīng)用數(shù)據(jù)上傳至谷歌服務(wù)器，并與用戶的谷歌賬戶關(guān)聯(lián)，形成了完整的閉合。簡單來說，谷歌通過被動方式收集的所謂“匿名數(shù)據(jù)”與用戶的個(gè)人信息相關(guān)聯(lián) ——繞了一大圈，最后大費(fèi)周章用“合法手段”應(yīng)用用戶信息。

同樣地，Google Ad Manager 的 Cookie ID（跟蹤用戶在第三方網(wǎng)頁上的活動緩存信息）是另一個(gè)據(jù)稱是“用戶匿名”標(biāo)識符。如果用戶在同一瀏覽器中訪問Google應(yīng)用程序，Google 可以將其連接到用戶的 Google 帳戶之前訪問過第三方網(wǎng)頁。

換句話說，雖然通常在用戶匿名的情況下收集信息，但 Google 明顯擁有利用從其他來源收集的數(shù)據(jù)來對此類集合進(jìn)行去匿名化的能力。

Google 之所以出現(xiàn)這類問題，主要源于其產(chǎn)品在數(shù)據(jù)流轉(zhuǎn)及應(yīng)用上不嚴(yán)謹(jǐn)所致，同時(shí)，一些常規(guī)匿名化手段的技術(shù)缺陷同樣不容忽視。

而谷歌的廣告業(yè)務(wù)幾乎覆蓋了 90% 全球用戶，200 萬個(gè)主流網(wǎng)站，也就是說不經(jīng)意間我們的生活已經(jīng)被谷歌的 “數(shù)據(jù)操控” 看了個(gè)清清楚楚明明白白。

2010 年，個(gè)人隱私律師 Paul Ohm 就曾在 UCLA 法律評論中刊文指出，雖然惡意攻擊者可以使用個(gè)人身份信息（如姓名或社會安全號碼）將數(shù)據(jù)與個(gè)人身份進(jìn)行關(guān)聯(lián)，但事實(shí)證明，即便只擁有那些不會被歸類為“個(gè)人身份信息”的信息，他們也可以達(dá)到同樣的目的。

Ohm 參考了 Sweeney 早期的一些研究，她發(fā)現(xiàn) 1990 年美國人口普查中有 87％ 的人可以通過兩條信息進(jìn)行唯一識別：他們的出生日期和他們住址的郵政編碼。Ohm 還引用了 Netflix 以及其他有關(guān)數(shù)據(jù)泄露的案例，并得出結(jié)論：在傳統(tǒng)的以個(gè)人身份信息為保護(hù)重點(diǎn)的匿名化技術(shù)下，幾乎任何數(shù)據(jù)都無法實(shí)現(xiàn)永久的完全匿名。

鏈接攻擊、同質(zhì)化攻擊等方式都可能從匿名化數(shù)據(jù)中定位個(gè)人身份。例如鏈接攻擊，通過數(shù)據(jù)的半標(biāo)識符在其他能找到的表上進(jìn)行查詢，則可能找到對應(yīng)的身份定位標(biāo)識符以及其他敏感信息。

2013 年，研究人員發(fā)現(xiàn)位置數(shù)據(jù)具有高度的獨(dú)特性，因此更加難以匿名化。許多匿名數(shù)據(jù)庫都可能間接泄露你的位置，例如刷卡消費(fèi)或前往醫(yī)院就診。研究人員發(fā)現(xiàn)，通過每小時(shí)記錄4次手機(jī)連接到的信號發(fā)射塔，就可以對 95％ 的設(shè)備進(jìn)行唯一識別。如果數(shù)據(jù)更精細(xì)（ GPS 跟蹤而不是信號發(fā)射塔，或者實(shí)時(shí)采集而不是每小時(shí)采集），匹配則會變得更加容易。

于是，大家開始意識到“匿名化”這東西并沒有那么安全，我們的信息還是會被竊取。

所以，一向注重用戶隱私的蘋果在 2016 的開發(fā)者大會上提出了“差分隱私（Differential Privacy）”的概念。即通過算法來打亂個(gè)體用戶數(shù)據(jù)，讓任何人都不能憑此追蹤到具體的用戶，但又可以允許機(jī)構(gòu)成批分析數(shù)據(jù)以獲得大規(guī)模的整體趨勢用于機(jī)器學(xué)習(xí)。將用戶隱私信息儲存在本機(jī)而非云端也是蘋果保護(hù)用戶隱私的方法之一。例如 Face ID 面容信息、Touch ID 指紋信息等都存儲在 iPhone 的芯片上。

不過，差分隱私還是無法避免多個(gè)相關(guān)數(shù)據(jù)上報(bào)而導(dǎo)致的隱私泄露。更何況，道高一尺魔高一丈，匿名方法推陳出新的同時(shí)，攻擊者們也會采用更為強(qiáng)力的識別工具。

那么，第四范式推出的差分隱私又是如何做的呢？

機(jī)器學(xué)習(xí)中的隱私保護(hù)

據(jù)涂威威介紹，目前已有差分隱私機(jī)器學(xué)習(xí)算法上的工作，往往是通過往訓(xùn)練過程內(nèi)注入噪聲來實(shí)現(xiàn)差分隱私。

常見的有三種：目標(biāo)函數(shù)擾動（objective perturbation）、輸出擾動（output perturbation）、梯度擾動（gradient perturbation）。常見的機(jī)器學(xué)習(xí)算法，以最簡單的 logistic regression 算法為例，已經(jīng)有成熟的差分隱私算法，以及隱私保護(hù)和學(xué)習(xí)效果上的理論保障。然而就目前的方法以及對應(yīng)的理論來看，對于隱私保護(hù)的要求越高，需要注入的噪聲強(qiáng)度越大，從而對算法效果造成嚴(yán)重負(fù)面影響。

為了改善上述問題，第四范式基于以往 Stacking 集成學(xué)習(xí)方法的成效，將 Stacking 方法與差分隱私機(jī)器學(xué)習(xí)算法相結(jié)合。Stacking 需要將數(shù)據(jù)按照樣本分成數(shù)份。并且提出了基于樣本和基于特征切分的兩種 Stacking 帶隱私保護(hù)的機(jī)器學(xué)習(xí)算法。

在該算法中，數(shù)據(jù)按樣本被分成兩份，其中一份按特征或按樣本分割后在差分隱私的約束下訓(xùn)練 K 個(gè)子模型，并在第二份上通過差分隱私機(jī)器學(xué)習(xí)算法進(jìn)行融合。

按特征切分相比過去的算法和按樣本切分算法有更低的泛化誤差。同時(shí)，按特征切分有另一個(gè)優(yōu)勢，如果知道特征重要性，第四范式的差分隱私算法可以將其編入算法中，從而使得重要的特征被擾動的更少，在保持整體的隱私保護(hù)不變的情況下，可以得到更好的效果。

此外，還可以直接拓展到遷移學(xué)習(xí)上。即在源數(shù)據(jù)集上按照特征切分后得到帶隱私保護(hù)的模型，通過模型遷移，遷移到目標(biāo)數(shù)據(jù)集上并通過 Stacking 進(jìn)行融合。在這種情況下，源數(shù)據(jù)可以在不暴露隱私的情況下輸出模型幫助目標(biāo)數(shù)據(jù)提升學(xué)習(xí)效果，而目標(biāo)數(shù)據(jù)也可以在保護(hù)自身數(shù)據(jù)隱私的約束下訓(xùn)練模型。

不過，值得注意的是，以差分隱私為代表的隱私保護(hù)技術(shù)仍需要在理論、效果、應(yīng)用、成本等方面進(jìn)一步解決和優(yōu)化。

涂威威介紹說：“比如，在成本方面，核心的問題其實(shí)是人力。機(jī)器學(xué)習(xí)已經(jīng)是很復(fù)雜的技術(shù)，落地需要很專業(yè)的人才。當(dāng)前的隱私保護(hù)技術(shù)使用門檻較高，在保護(hù)隱私的前提下，多方聯(lián)合數(shù)據(jù)建模的常見做法依然需要比較多的專家人工介入到數(shù)據(jù)預(yù)處理、特征工程、模型調(diào)參當(dāng)中，因此落地的人才門檻更高。且人力的介入又會給數(shù)據(jù)安全與隱私保護(hù)帶來一層隱患。”

因此，在差分隱私的基礎(chǔ)上，又衍生出了另一種保護(hù)隱私的自動多方機(jī)器學(xué)習(xí)技術(shù)。第四范式綜合了差分隱私技術(shù)、自動化機(jī)器學(xué)習(xí)技術(shù)，讓機(jī)器自動完成數(shù)據(jù)預(yù)處理、特征工程、模型調(diào)參等工作，大幅減少了專家人工的介入，一方面進(jìn)一步提升了安全性，另一方面也大幅降低了隱私保護(hù)技術(shù)的使用門檻，使得廣泛落地成為可能。該技術(shù)也將是保證技術(shù)規(guī)?；涞氐年P(guān)鍵。

最后，雷鋒網(wǎng)想提醒大家，雖然在隱私和便利面前，我們都抓禿了頭，但不代表這就沒法解決了。

電影《絕對控制》中有一句話：“隱私不是公民權(quán)，而是特權(quán)”；隱私本應(yīng)是每個(gè)公民最基礎(chǔ)的權(quán)利，只不過在過去的很長時(shí)間中，我們從未意識到行使這項(xiàng)權(quán)利，以至于隱私竟變成了“特權(quán)”，不過慶幸的是隱私權(quán)正在回歸，人們正在拾回分散在互聯(lián)網(wǎng)中的隱私