基于人工智能的消費者隱私數(shù)據(jù)保護(hù)芻議＊

張權(quán)

（天津交通職業(yè)學(xué)院，天津 300380）

人工智能（AI）是第四次工業(yè)革命的關(guān)鍵驅(qū)動力，人工智能技術(shù)的高速發(fā)展，依托于“算法、算力和數(shù)據(jù)”三要素的快速發(fā)展。在2020 年，每個人每秒都會創(chuàng)建1.7 MB 的新數(shù)據(jù)，這些數(shù)據(jù)需要通過設(shè)備收集、處理和共享數(shù)據(jù)。計算、數(shù)據(jù)和物理實體網(wǎng)絡(luò)實現(xiàn)了新型的用戶服務(wù)。具體而言，服務(wù)可以將其操作基于AI 模型，以便更好地為用戶提供個性化支持，需要廣泛而持續(xù)的個人數(shù)據(jù)流，即有關(guān)個人的數(shù)據(jù)。個性化AI 服務(wù)可以解決各種與用戶相關(guān)的問題，為個人帶來巨大利益。同時，這些人工智能服務(wù)需要這些個體的相應(yīng)個人數(shù)據(jù)（例如位置、麥克風(fēng)或攝像頭數(shù)據(jù)），并且可以找到有關(guān)他們的新的（部分高度敏感的）數(shù)據(jù)（例如抑郁狀態(tài)、飲食習(xí)慣）。這使得數(shù)據(jù)保護(hù)以及防止侵犯隱私變得越來越具有挑戰(zhàn)性。

保護(hù)用戶隱私的方法是多方面的，然而，這些方法通常沒有得到充分的討論，并且在社區(qū)中也存在很大差異：有些假設(shè)是受信任的底層系統(tǒng)或設(shè)備，其他人假設(shè)可信的AI 服務(wù)或提供商，其他人甚至假設(shè)兩者兼而有之?？梢哉f，對于數(shù)據(jù)保護(hù)方法的鮮明特征缺乏共識，特別是在AI 服務(wù)中，因此很難比較和理解它們各自的優(yōu)勢[1]。許多數(shù)據(jù)保護(hù)方法還只考慮一方的利益，而忽略了另一方的利益，這使得他們無法開展業(yè)務(wù)。

1 消費者數(shù)據(jù)隱私保護(hù)的需求

1.1 數(shù)據(jù)的完整性和私密性

保護(hù)機(jī)制應(yīng)該能夠確保（共享）數(shù)據(jù)在其生命周期內(nèi)的準(zhǔn)確性和一致性，即未經(jīng)授權(quán)或不受信任的實體不應(yīng)能夠修改或篡改AI 服務(wù)中使用的（共享）個人數(shù)據(jù)。保護(hù)機(jī)制應(yīng)保護(hù)個人數(shù)據(jù)以及元數(shù)據(jù)，防止泄露、盜竊以及無意、非法或未經(jīng)授權(quán)的訪問。我們認(rèn)為，當(dāng)個人數(shù)據(jù)未經(jīng)適當(dāng)修改離開用戶時，它不能可靠地保密。重要的是要注意，我們沒有明確考慮通信元數(shù)據(jù)，此類數(shù)據(jù)的匿名化在在線社交網(wǎng)絡(luò)中更為相關(guān)。

1.2 數(shù)據(jù)的有效性和效率

消費者隱私數(shù)據(jù)保護(hù)應(yīng)當(dāng)保證數(shù)據(jù)的有效性和數(shù)據(jù)效率，具體要求包括：①性能。保護(hù)機(jī)制不應(yīng)對AI服務(wù)的最終性能產(chǎn)生負(fù)面影響，例如在準(zhǔn)確性方面。②個性化能力。保護(hù)機(jī)制應(yīng)繼續(xù)為AI 服務(wù)提供對充足和準(zhǔn)確的個人數(shù)據(jù)的訪問權(quán)限，使其能夠適應(yīng)用戶。③個人數(shù)據(jù)參與度低。數(shù)據(jù)保護(hù)AI 服務(wù)應(yīng)該需要更少的個人數(shù)據(jù)，從而最大限度地降低泄露敏感數(shù)據(jù)的風(fēng)險和固有的冷啟動問題。④低標(biāo)簽工作量。數(shù)據(jù)保護(hù)AI 服務(wù)應(yīng)要求用戶標(biāo)記較少的個人數(shù)據(jù)，從而減輕用戶的負(fù)擔(dān)并改善用戶體驗。⑤本地資源使用率低。數(shù)據(jù)保護(hù)AI 服務(wù)應(yīng)盡可能節(jié)省本地資源，從而減輕個人設(shè)備的負(fù)擔(dān)并改善用戶體驗。前2 個是指個性化的有效性，后3 個是指個性化的效率。

1.3 數(shù)據(jù)的適用性

數(shù)據(jù)適用性的具體要求包括以下幾個方面：①支持任何數(shù)據(jù)類型。保護(hù)機(jī)制應(yīng)設(shè)計為支持所有類型的數(shù)據(jù)，以便提供商在其AI 服務(wù)中不受限制。②支持任何AI 算法。保護(hù)機(jī)制應(yīng)設(shè)計為支持所有底層AI 算法，以便提供商可以輕松部署其未修改的AI 服務(wù)。③算法特定依賴性低。保護(hù)機(jī)制的設(shè)計應(yīng)使AI 服務(wù)不需要集成特定算法。④適用性的復(fù)雜性低。保護(hù)機(jī)制應(yīng)易于被提供者部署，即架構(gòu)和基礎(chǔ)設(shè)施的復(fù)雜性應(yīng)較低。⑤GM 學(xué)習(xí)/改進(jìn)能力。應(yīng)設(shè)計保護(hù)機(jī)制，以支持學(xué)習(xí)和改進(jìn)通用模型，從而緩解冷啟動問題。

2 消費者隱私數(shù)據(jù)的保護(hù)方法

我們根據(jù)以下4 種增強(qiáng)用戶隱私的特定數(shù)據(jù)處理技術(shù)，在AI 級別對不同的數(shù)據(jù)保護(hù)方法進(jìn)行了分類。

2.1 數(shù)據(jù)修改方法

此類別中的方法修改或清理用戶數(shù)據(jù)，使其無法鏈接到特定個人，從而導(dǎo)致隱私和有效性這兩個目標(biāo)之間的固有沖突。一個早期的關(guān)鍵概念是k-anonymity，它解決了數(shù)據(jù)集中個人重新識別的風(fēng)險，例如，通過刪除或隱藏個人身份信息。k-anonymity 也可以用于隱私保證的質(zhì)量衡量標(biāo)準(zhǔn)：數(shù)據(jù)集中包含的個人數(shù)據(jù)無法與其他數(shù)據(jù)區(qū)分開來。例如，GEDIK 等使用k-anonymity 在2007 年提出了一種僅保護(hù)位置隱私的方法，允許用戶根據(jù)其個人隱私偏好指定。然而，這種匿名技術(shù)已經(jīng)證明容易受到組合攻擊。差分隱私在數(shù)學(xué)上保證查詢的輸出對數(shù)據(jù)集中是否存在個人數(shù)據(jù)不敏感。

數(shù)據(jù)集中差異變化時的隱私損失可以通過隱私參數(shù)來衡量，值越小，隱私保護(hù)越好，但擾動噪聲越大。Google 的RAPPOR 就是一個例子，它支持在實際設(shè)置中的差異隱私，允許使用隨機(jī)響應(yīng)從具有強(qiáng)大隱私保護(hù)的最終用戶收集統(tǒng)計數(shù)據(jù)，從而消除了對受信任的第三方的需求。所有這些數(shù)據(jù)修改方法都適合以或多或少的隱私友好方式學(xué)習(xí)一般模型。然而，這些方法在學(xué)習(xí)個性化AI 模型時在有效性方面表現(xiàn)不佳（因為它們需要修改個人數(shù)據(jù)，例如添加噪聲）。

2.2 數(shù)據(jù)加密方法

此類別包括適用于加密用戶數(shù)據(jù)的保護(hù)方法，可確保共享數(shù)據(jù)時的完整性和機(jī)密性。特別是，兩種互補的加密技術(shù)塑造了這一類別，即同態(tài)加密（HE）和安全多方計算（MPC）。前者使得在不泄露數(shù)據(jù)的情況下分析或操作加密數(shù)據(jù)成為可能，但計算效率低下和操作有限限制了其適用性。后者是一種加密協(xié)議，可以對分布式數(shù)據(jù)進(jìn)行安全和私有的計算，而不會將其泄露或移動到相關(guān)方的領(lǐng)域之外，但MPC 需要很高的通信和計算開銷。

現(xiàn)在我們簡要調(diào)查了AI 服務(wù)的相關(guān)方法，其中許多都是基于上述兩種加密技術(shù)。例如，BARNI 等提出了一種基于HE 和亂碼電路組合的混合協(xié)議，以對來自用戶的加密心電圖（ECG）信號進(jìn)行分類。另一種方法CryptoImg，依賴于HE，允許對加密圖像進(jìn)行處理（例如圖像調(diào)整、空間過濾、邊緣銳化）。但是，這兩種方法都僅限于特定的數(shù)據(jù)類型和AI 算法。ML Confidential 和CryptoNets 更通用，使用不同的數(shù)據(jù)類型，但僅適用于特定的AI 算法。前者為AI 任務(wù)提出了一種基于HE 的機(jī)密協(xié)議，并根據(jù)其多項式近似值開發(fā)了適當(dāng)?shù)臋C(jī)密AI 算法進(jìn)行二元分類。后者進(jìn)一步證明了HE 在訓(xùn)練有素的神經(jīng)網(wǎng)絡(luò)中的應(yīng)用，但效率對兩者來說仍然是一個挑戰(zhàn)。

2.3 數(shù)據(jù)最小化方法

此類別中的方法旨在通過最大限度地減少所需的個人數(shù)據(jù)量來提高效率。根據(jù)設(shè)置的不同，當(dāng)前通用模型（GM） 訓(xùn)練的實踐在訓(xùn)練期間不需要個人的數(shù)據(jù)。如果需要，則僅在推理階段。雖然這種做法實現(xiàn)了高效率，并且適用性的復(fù)雜性很低，因為它通常依賴于自愿數(shù)據(jù)并在云中執(zhí)行，生成的一般模型可能具有較低的有效性，因此它雖然適用于許多用戶，但并非適用于所有人——我們使用此做法作為此類別的基線（BL）。

為了解決效率問題，基于此類別中的第一種方法提出了AI 算法的分區(qū)。例如，Neurosurgeon 是一種將神經(jīng)網(wǎng)絡(luò)訓(xùn)練拆分為云和具有層粒度的用戶的方法，它進(jìn)一步確定了這種分裂的最佳點，同時考慮到個人設(shè)備的延遲和能耗。類似的，OSIA 等提出了混合深度學(xué)習(xí)，其中層分離的、預(yù)先訓(xùn)練的暹羅神經(jīng)網(wǎng)絡(luò)的第一層在本地訓(xùn)練，輸出（中間層）被發(fā)送到云共享以補充其余層。但是，這兩種方法仍然需要標(biāo)記數(shù)據(jù)，這會導(dǎo)致新用戶出現(xiàn)冷啟動問題。

為了克服通用模型的低效性和針對新用戶的個性化模型的冷啟動問題，基于社區(qū)的方法形成了適當(dāng)?shù)臋?quán)衡。例如，CSN 將3 種人際相似性測量（即身體、生活方式和傳感器數(shù)據(jù)相似性）納入基于云的訓(xùn)練過程。特別是，CSN 通過集成來自其他“類似”用戶的標(biāo)記數(shù)據(jù)，為用戶構(gòu)建個性化模型，從而實現(xiàn)高效率。但是，CSN 無法保證完整性和機(jī)密性，因為個人數(shù)據(jù)會離開用戶的領(lǐng)地，并孤立在云中。

2.4 數(shù)據(jù)限制方法

此類別包括不需要在用戶區(qū)域之外共享個人數(shù)據(jù)的AI 方法。通過這種方式，這些方法確保了數(shù)據(jù)的完整性和機(jī)密性；由于可以在本地完全訪問個人數(shù)據(jù)，因此它們在個性化方面也是最有效的。不利的一面是，由于用戶及其個人設(shè)備的負(fù)擔(dān)很高，因此此類方法的效率較低；它們也不有助于改進(jìn)一般模型，也不能將個人數(shù)據(jù)用于商業(yè)目的（例如廣告），從而減少提供商的利益。粗略地說，可以通過本地運行的標(biāo)準(zhǔn)AI 算法，使用很少的個人數(shù)據(jù)進(jìn)行管理，并且在新數(shù)據(jù)可用時需要重新訓(xùn)練個人模型（PM），這些屬性或多或少具有共同點——我們將基于此類算法的方法包含在代表基線（BL）的術(shù)語重新訓(xùn)練。

這一類別中的其他辦法主要旨在以相同或相似的效力提高效率。特別是，遷移和增量學(xué)習(xí)算法是一個有希望的方向。前者是指使用過去獲得的知識來學(xué)習(xí)新任務(wù)（使用較少的個人數(shù)據(jù)）的能力，減輕用戶的負(fù)擔(dān)（例如降低標(biāo)簽工作量）。后者是指僅根據(jù)新可用的數(shù)據(jù)逐步訓(xùn)練現(xiàn)有AI 模型的能力，從而減輕個人設(shè)備的負(fù)擔(dān)（例如降低資源使用率）。兩者也可以結(jié)合起來，正如以下兩種示例性方法所證明的那樣：SERⅤIA 等提出了一種神經(jīng)網(wǎng)絡(luò)架構(gòu)，該架構(gòu)在云中經(jīng)過訓(xùn)練，并通過重新調(diào)整模型參數(shù)和權(quán)重在隨后的本地個性化步驟中逐漸適應(yīng)用戶。雖然這種方法支持具有較少個人數(shù)據(jù)的深度神經(jīng)網(wǎng)絡(luò)，但它僅限于這些AI算法[2]。相比之下，修補的想法更為普遍，因此也廣泛適用：一個通用的（基于云的）“黑匣子”模型（可能是不可變的和難以理解的）通過觀察性的推斷和修復(fù)這個新實例空間的錯誤區(qū)域（模型容易出錯）來適應(yīng)新的用戶數(shù)據(jù)（本地）。通過這種方式，Patching（一種元算法）需要更少的個人數(shù)據(jù)，并且適用于任意AI模型，甚至對于神經(jīng)網(wǎng)絡(luò)也是如此。

總而言之，通過多個步驟和不同方法的結(jié)合來實現(xiàn)隱私和個性化（效率和有效性）之間新的平衡是可以實現(xiàn)的。例如，谷歌通過安全聚合的聯(lián)合學(xué)習(xí)用于訓(xùn)練和改進(jìn)通用模型，有效地實現(xiàn)了隱私和個性化之間的有效平衡。還可以使用諸如Patching（一種數(shù)據(jù)限制方法）之類的遷移學(xué)習(xí)算法，從而將一般模型適應(yīng)本地用戶。

研究界現(xiàn)在應(yīng)該繼續(xù)致力于研究減少人工智能算法中實現(xiàn)相同或更高的個性化所需的個人數(shù)據(jù)量，以及降低這些保護(hù)機(jī)制的復(fù)雜性，以便提供商更容易應(yīng)用它們。

3 消費者隱私數(shù)據(jù)保護(hù)方法的挑戰(zhàn)

可以看到，上述提到的方法都難以滿足消費者對隱私保護(hù)的特定需求。需要指出的是，雖然數(shù)據(jù)修改方法的花費越來越低，但它們在有效性和隱私之間存在固有的沖突仍未得到解決[3]。數(shù)據(jù)加密方法非常適合確保數(shù)據(jù)的機(jī)密性和完整性，但它們的適用性有限，因為它們僅支持對加密數(shù)據(jù)進(jìn)行有限的操作集，從而支持AI 算法。由于使用加密數(shù)據(jù)高效訓(xùn)練復(fù)雜AI 算法的開放挑戰(zhàn)是革命性的一步，并且在可預(yù)見的未來將無法實現(xiàn)，因此與數(shù)據(jù)最小化方法相結(jié)合是目前更有希望的方向。例如，可以安全地聚合本地訓(xùn)練模型的共享模型參數(shù)/權(quán)重，以改進(jìn)基于云的通用模型。然而，為了在保護(hù)用戶隱私的同時實現(xiàn)高個性化準(zhǔn)確性，本地方法是最合適的，因為它們可以完全訪問永遠(yuǎn)不會離開用戶領(lǐng)土的個人數(shù)據(jù)，但效率低下仍然是一個公開的挑戰(zhàn)。

4 結(jié)語

可以說，沒有一種萬能的解決方案可以完全滿足AI 服務(wù)的所有要求。事實上，許多挑戰(zhàn)要么單獨研究，只是優(yōu)化某些方面，要么由不同的社區(qū)零碎地研究，其中大多數(shù)尚未相互關(guān)聯(lián)。換句話說，只有將不同方法組合在不同級別，才能實現(xiàn)全面保護(hù)。這反過來又要求進(jìn)行更多的跨學(xué)科研究。此外，今天的數(shù)據(jù)保護(hù)方法大多非常局限于一種特定的數(shù)據(jù)類型或AI 算法，或者過于通用，這反過來又會導(dǎo)致性能問題。無論哪種方式，未來的數(shù)據(jù)保護(hù)方法都需要在人工智能服務(wù)方面進(jìn)行進(jìn)一步的專業(yè)化。

總而言之，數(shù)據(jù)去中心化已被證明是一個有希望的未來方向，可以保留“真正的”數(shù)據(jù)所有權(quán)，它將個性化、隱私悖論轉(zhuǎn)變?yōu)榧兇獾膫€性化挑戰(zhàn)（當(dāng)數(shù)據(jù)受到限制時），旨在實現(xiàn)有效性和效率之間的最佳權(quán)衡。分散式計算可以進(jìn)一步解決數(shù)據(jù)保護(hù)AI 服務(wù)被忽視的系統(tǒng)屬性“可用性”。最后但并非最不重要的一點是，提供商需要采用適當(dāng)?shù)募畲胧﹣硗茝V這種保護(hù)方法，盡管其復(fù)雜性高于集中式架構(gòu)，而集中式架構(gòu)也必須有利可圖。例如，對提供商的激勵可以是更高的個性化廣告（因為本地代碼可以自由訪問個人數(shù)據(jù)）或更低的云資源消耗（因為至少部分AI 服務(wù)是在本地執(zhí)行的），這允許具有成本效益的擴(kuò)展。無論哪種方式，克服在本地保護(hù)專有AI 算法/模型這一普遍被忽視的挑戰(zhàn)是讓提供商參與進(jìn)來的必要條件?？傮w而言，本文為個性化AI 服務(wù)中的數(shù)據(jù)保護(hù)開辟了新的視角，突出了已確定的開放挑戰(zhàn)，并為未來的研究提供了合適的起點。