大數(shù)據(jù)時代的隱私泄露如達摩克利斯之劍，高懸在每個網(wǎng)民頭上，而關(guān)于如何保護數(shù)據(jù)隱私我們也走了很長的路。

1977 年，統(tǒng)計學家 Tore Dalenius 給出關(guān)于數(shù)據(jù)隱私的嚴格定義：攻擊者不能從隱私數(shù)據(jù)里獲取任何在沒有拿到數(shù)據(jù)之前他們所不知道的個人信息。

2006 年，計算機學者 Cynthia Dwork 證明上述定義的隱私保護是不存在的。有一個直觀例子可以幫助理解：假設(shè)攻擊者知道 Alice 的身高比 Lithuanian 女性平均身高高 2 英寸，這樣攻擊者只需要從一個數(shù)據(jù)集里獲得 Lithuanian 女性身高平均值（在接觸數(shù)據(jù)前攻擊者并不知道），就能準確獲得 Alice 的精確身高，甚至 Alice 都不需要在這個數(shù)據(jù)集里。因此，對于一份有信息量的數(shù)據(jù)，不可能完全不暴露隱私信息。

2018 年，史上最嚴苛的個人隱私保護法案《通用數(shù)據(jù)保護條例》（ GDPR ）正式生效，開創(chuàng)了互聯(lián)網(wǎng)誕生以來的最大變革，數(shù)據(jù)隱私問題得到前所未有的重視。

近日，雷鋒網(wǎng)了解到，第四范式先知（ Sage ）企業(yè)級 AI 平臺已經(jīng)完成 PrivacySeal EU 認證工作程序，率先通過歐盟 GDPR 認證，成為國內(nèi)第一款通過該認證的 AI 平臺產(chǎn)品，實證基于第四范式隱私計算技術(shù)的數(shù)據(jù)安全性和可信任性，那么，他們是如何保護用戶隱私安全的？為此，雷鋒網(wǎng)和第四范式的主任科學家涂威威聊了聊。

匿名化或許是個偽命題？

不知道有多少童鞋記得去年谷歌母公司 Alphabet Inc 因違反隱私數(shù)據(jù)法被罰款 5000 萬歐元的事情，據(jù)說這是迄今為止歐洲范圍內(nèi)，一家公司因違反隱私數(shù)據(jù)法遭受到的最高額處罰金。多家英文科技媒體報道時，都用了 “record high”（破紀錄地高）描述處罰力度之狠。

為什么谷歌會受到如此嚴重的懲罰？

首先，谷歌會收集自家相關(guān)應(yīng)用和第三方網(wǎng)頁訪問的活動數(shù)據(jù)，通過安卓設(shè)備的“設(shè)備標識”以及“廣告標識符”，將應(yīng)用數(shù)據(jù)上傳至谷歌服務(wù)器，并與用戶的谷歌賬戶關(guān)聯(lián)，形成了完整的閉合。簡單來說，谷歌通過被動方式收集的所謂“匿名數(shù)據(jù)”與用戶的個人信息相關(guān)聯(lián) ——繞了一大圈，最后大費周章用“合法手段”應(yīng)用用戶信息。

同樣地，Google Ad Manager 的 Cookie ID（跟蹤用戶在第三方網(wǎng)頁上的活動緩存信息）是另一個據(jù)稱是“用戶匿名”標識符。如果用戶在同一瀏覽器中訪問Google應(yīng)用程序，Google 可以將其連接到用戶的 Google 帳戶之前訪問過第三方網(wǎng)頁。

換句話說，雖然通常在用戶匿名的情況下收集信息，但 Google 明顯擁有利用從其他來源收集的數(shù)據(jù)來對此類集合進行去匿名化的能力。

Google 之所以出現(xiàn)這類問題，主要源于其產(chǎn)品在數(shù)據(jù)流轉(zhuǎn)及應(yīng)用上不嚴謹所致，同時，一些常規(guī)匿名化手段的技術(shù)缺陷同樣不容忽視。

而谷歌的廣告業(yè)務(wù)幾乎覆蓋了 90% 全球用戶，200 萬個主流網(wǎng)站，也就是說不經(jīng)意間我們的生活已經(jīng)被谷歌的 “數(shù)據(jù)操控” 看了個清清楚楚明明白白。

2010 年，個人隱私律師 Paul Ohm 就曾在 UCLA 法律評論中刊文指出，雖然惡意攻擊者可以使用個人身份信息（如姓名或社會安全號碼）將數(shù)據(jù)與個人身份進行關(guān)聯(lián)，但事實證明，即便只擁有那些不會被歸類為“個人身份信息”的信息，他們也可以達到同樣的目的。

Ohm 參考了 Sweeney 早期的一些研究，她發(fā)現(xiàn) 1990 年美國人口普查中有 87％ 的人可以通過兩條信息進行唯一識別：他們的出生日期和他們住址的郵政編碼。Ohm 還引用了 Netflix 以及其他有關(guān)數(shù)據(jù)泄露的案例，并得出結(jié)論：在傳統(tǒng)的以個人身份信息為保護重點的匿名化技術(shù)下，幾乎任何數(shù)據(jù)都無法實現(xiàn)永久的完全匿名。

鏈接攻擊、同質(zhì)化攻擊等方式都可能從匿名化數(shù)據(jù)中定位個人身份。例如鏈接攻擊，通過數(shù)據(jù)的半標識符在其他能找到的表上進行查詢，則可能找到對應(yīng)的身份定位標識符以及其他敏感信息。

2013 年，研究人員發(fā)現(xiàn)位置數(shù)據(jù)具有高度的獨特性，因此更加難以匿名化。許多匿名數(shù)據(jù)庫都可能間接泄露你的位置，例如刷卡消費或前往醫(yī)院就診。研究人員發(fā)現(xiàn)，通過每小時記錄4次手機連接到的信號發(fā)射塔，就可以對 95％ 的設(shè)備進行唯一識別。如果數(shù)據(jù)更精細（ GPS 跟蹤而不是信號發(fā)射塔，或者實時采集而不是每小時采集），匹配則會變得更加容易。

于是，大家開始意識到“匿名化”這東西并沒有那么安全，我們的信息還是會被竊取。

所以，一向注重用戶隱私的蘋果在 2016 的開發(fā)者大會上提出了“差分隱私（Differential Privacy）”的概念。即通過算法來打亂個體用戶數(shù)據(jù)，讓任何人都不能憑此追蹤到具體的用戶，但又可以允許機構(gòu)成批分析數(shù)據(jù)以獲得大規(guī)模的整體趨勢用于機器學習。將用戶隱私信息儲存在本機而非云端也是蘋果保護用戶隱私的方法之一。例如 Face ID 面容信息、Touch ID 指紋信息等都存儲在 iPhone 的芯片上。

不過，差分隱私還是無法避免多個相關(guān)數(shù)據(jù)上報而導(dǎo)致的隱私泄露。更何況，道高一尺魔高一丈，匿名方法推陳出新的同時，攻擊者們也會采用更為強力的識別工具。

那么，第四范式推出的差分隱私又是如何做的呢？

機器學習中的隱私保護

據(jù)涂威威介紹，目前已有差分隱私機器學習算法上的工作，往往是通過往訓(xùn)練過程內(nèi)注入噪聲來實現(xiàn)差分隱私。

常見的有三種：目標函數(shù)擾動（objective perturbation）、輸出擾動（output perturbation）、梯度擾動（gradient perturbation）。常見的機器學習算法，以最簡單的 logistic regression 算法為例，已經(jīng)有成熟的差分隱私算法，以及隱私保護和學習效果上的理論保障。然而就目前的方法以及對應(yīng)的理論來看，對于隱私保護的要求越高，需要注入的噪聲強度越大，從而對算法效果造成嚴重負面影響。

為了改善上述問題，第四范式基于以往 Stacking 集成學習方法的成效，將 Stacking 方法與差分隱私機器學習算法相結(jié)合。Stacking 需要將數(shù)據(jù)按照樣本分成數(shù)份。并且提出了基于樣本和基于特征切分的兩種 Stacking 帶隱私保護的機器學習算法。

在該算法中，數(shù)據(jù)按樣本被分成兩份，其中一份按特征或按樣本分割后在差分隱私的約束下訓(xùn)練 K 個子模型，并在第二份上通過差分隱私機器學習算法進行融合。

按特征切分相比過去的算法和按樣本切分算法有更低的泛化誤差。同時，按特征切分有另一個優(yōu)勢，如果知道特征重要性，第四范式的差分隱私算法可以將其編入算法中，從而使得重要的特征被擾動的更少，在保持整體的隱私保護不變的情況下，可以得到更好的效果。

此外，還可以直接拓展到遷移學習上。即在源數(shù)據(jù)集上按照特征切分后得到帶隱私保護的模型，通過模型遷移，遷移到目標數(shù)據(jù)集上并通過 Stacking 進行融合。在這種情況下，源數(shù)據(jù)可以在不暴露隱私的情況下輸出模型幫助目標數(shù)據(jù)提升學習效果，而目標數(shù)據(jù)也可以在保護自身數(shù)據(jù)隱私的約束下訓(xùn)練模型。

不過，值得注意的是，以差分隱私為代表的隱私保護技術(shù)仍需要在理論、效果、應(yīng)用、成本等方面進一步解決和優(yōu)化。

涂威威介紹說：“比如，在成本方面，核心的問題其實是人力。機器學習已經(jīng)是很復(fù)雜的技術(shù)，落地需要很專業(yè)的人才。當前的隱私保護技術(shù)使用門檻較高，在保護隱私的前提下，多方聯(lián)合數(shù)據(jù)建模的常見做法依然需要比較多的專家人工介入到數(shù)據(jù)預(yù)處理、特征工程、模型調(diào)參當中，因此落地的人才門檻更高。且人力的介入又會給數(shù)據(jù)安全與隱私保護帶來一層隱患?！?/p>

因此，在差分隱私的基礎(chǔ)上，又衍生出了另一種保護隱私的自動多方機器學習技術(shù)。第四范式綜合了差分隱私技術(shù)、自動化機器學習技術(shù)，讓機器自動完成數(shù)據(jù)預(yù)處理、特征工程、模型調(diào)參等工作，大幅減少了專家人工的介入，一方面進一步提升了安全性，另一方面也大幅降低了隱私保護技術(shù)的使用門檻，使得廣泛落地成為可能。該技術(shù)也將是保證技術(shù)規(guī)模化落地的關(guān)鍵。

最后，雷鋒網(wǎng)想提醒大家，雖然在隱私和便利面前，我們都抓禿了頭，但不代表這就沒法解決了。

電影《絕對控制》中有一句話：“隱私不是公民權(quán)，而是特權(quán)”；隱私本應(yīng)是每個公民最基礎(chǔ)的權(quán)利，只不過在過去的很長時間中，我們從未意識到行使這項權(quán)利，以至于隱私竟變成了“特權(quán)”，不過慶幸的是隱私權(quán)正在回歸，人們正在拾回分散在互聯(lián)網(wǎng)中的隱私