基于人工智能的消費者隱私數據保護芻議＊

張權

（天津交通職業學院，天津 300380）

人工智能（AI）是第四次工業革命的關鍵驅動力，人工智能技術的高速發展，依托于“算法、算力和數據”三要素的快速發展。在2020 年，每個人每秒都會創建1.7 MB 的新數據，這些數據需要通過設備收集、處理和共享數據。計算、數據和物理實體網絡實現了新型的用戶服務。具體而言，服務可以將其操作基于AI 模型，以便更好地為用戶提供個性化支持，需要廣泛而持續的個人數據流，即有關個人的數據。個性化AI 服務可以解決各種與用戶相關的問題，為個人帶來巨大利益。同時，這些人工智能服務需要這些個體的相應個人數據（例如位置、麥克風或攝像頭數據），并且可以找到有關他們的新的（部分高度敏感的）數據（例如抑郁狀態、飲食習慣）。這使得數據保護以及防止侵犯隱私變得越來越具有挑戰性。

保護用戶隱私的方法是多方面的，然而，這些方法通常沒有得到充分的討論，并且在社區中也存在很大差異：有些假設是受信任的底層系統或設備，其他人假設可信的AI 服務或提供商，其他人甚至假設兩者兼而有之。可以說，對于數據保護方法的鮮明特征缺乏共識，特別是在AI 服務中，因此很難比較和理解它們各自的優勢[1]。許多數據保護方法還只考慮一方的利益，而忽略了另一方的利益，這使得他們無法開展業務。

1 消費者數據隱私保護的需求

1.1 數據的完整性和私密性

保護機制應該能夠確保（共享）數據在其生命周期內的準確性和一致性，即未經授權或不受信任的實體不應能夠修改或篡改AI 服務中使用的（共享）個人數據。保護機制應保護個人數據以及元數據，防止泄露、盜竊以及無意、非法或未經授權的訪問。我們認為，當個人數據未經適當修改離開用戶時，它不能可靠地保密。重要的是要注意，我們沒有明確考慮通信元數據，此類數據的匿名化在在線社交網絡中更為相關。

1.2 數據的有效性和效率

消費者隱私數據保護應當保證數據的有效性和數據效率，具體要求包括：①性能。保護機制不應對AI服務的最終性能產生負面影響，例如在準確性方面。②個性化能力。保護機制應繼續為AI 服務提供對充足和準確的個人數據的訪問權限，使其能夠適應用戶。③個人數據參與度低。數據保護AI 服務應該需要更少的個人數據，從而最大限度地降低泄露敏感數據的風險和固有的冷啟動問題。④低標簽工作量。數據保護AI 服務應要求用戶標記較少的個人數據，從而減輕用戶的負擔并改善用戶體驗。⑤本地資源使用率低。數據保護AI 服務應盡可能節省本地資源，從而減輕個人設備的負擔并改善用戶體驗。前2 個是指個性化的有效性，后3 個是指個性化的效率。

1.3 數據的適用性

數據適用性的具體要求包括以下幾個方面：①支持任何數據類型。保護機制應設計為支持所有類型的數據，以便提供商在其AI 服務中不受限制。②支持任何AI 算法。保護機制應設計為支持所有底層AI 算法，以便提供商可以輕松部署其未修改的AI 服務。③算法特定依賴性低。保護機制的設計應使AI 服務不需要集成特定算法。④適用性的復雜性低。保護機制應易于被提供者部署，即架構和基礎設施的復雜性應較低。⑤GM 學習/改進能力。應設計保護機制，以支持學習和改進通用模型，從而緩解冷啟動問題。

2 消費者隱私數據的保護方法

我們根據以下4 種增強用戶隱私的特定數據處理技術，在AI 級別對不同的數據保護方法進行了分類。

2.1 數據修改方法

此類別中的方法修改或清理用戶數據，使其無法鏈接到特定個人，從而導致隱私和有效性這兩個目標之間的固有沖突。一個早期的關鍵概念是k-anonymity，它解決了數據集中個人重新識別的風險，例如，通過刪除或隱藏個人身份信息。k-anonymity 也可以用于隱私保證的質量衡量標準：數據集中包含的個人數據無法與其他數據區分開來。例如，GEDIK 等使用k-anonymity 在2007 年提出了一種僅保護位置隱私的方法，允許用戶根據其個人隱私偏好指定。然而，這種匿名技術已經證明容易受到組合攻擊。差分隱私在數學上保證查詢的輸出對數據集中是否存在個人數據不敏感。

數據集中差異變化時的隱私損失可以通過隱私參數來衡量，值越小，隱私保護越好，但擾動噪聲越大。Google 的RAPPOR 就是一個例子，它支持在實際設置中的差異隱私，允許使用隨機響應從具有強大隱私保護的最終用戶收集統計數據，從而消除了對受信任的第三方的需求。所有這些數據修改方法都適合以或多或少的隱私友好方式學習一般模型。然而，這些方法在學習個性化AI 模型時在有效性方面表現不佳（因為它們需要修改個人數據，例如添加噪聲）。

2.2 數據加密方法

此類別包括適用于加密用戶數據的保護方法，可確保共享數據時的完整性和機密性。特別是，兩種互補的加密技術塑造了這一類別，即同態加密（HE）和安全多方計算（MPC）。前者使得在不泄露數據的情況下分析或操作加密數據成為可能，但計算效率低下和操作有限限制了其適用性。后者是一種加密協議，可以對分布式數據進行安全和私有的計算，而不會將其泄露或移動到相關方的領域之外，但MPC 需要很高的通信和計算開銷。

現在我們簡要調查了AI 服務的相關方法，其中許多都是基于上述兩種加密技術。例如，BARNI 等提出了一種基于HE 和亂碼電路組合的混合協議，以對來自用戶的加密心電圖（ECG）信號進行分類。另一種方法CryptoImg，依賴于HE，允許對加密圖像進行處理（例如圖像調整、空間過濾、邊緣銳化）。但是，這兩種方法都僅限于特定的數據類型和AI 算法。ML Confidential 和CryptoNets 更通用，使用不同的數據類型，但僅適用于特定的AI 算法。前者為AI 任務提出了一種基于HE 的機密協議，并根據其多項式近似值開發了適當的機密AI 算法進行二元分類。后者進一步證明了HE 在訓練有素的神經網絡中的應用，但效率對兩者來說仍然是一個挑戰。

2.3 數據最小化方法

此類別中的方法旨在通過最大限度地減少所需的個人數據量來提高效率。根據設置的不同，當前通用模型（GM） 訓練的實踐在訓練期間不需要個人的數據。如果需要，則僅在推理階段。雖然這種做法實現了高效率，并且適用性的復雜性很低，因為它通常依賴于自愿數據并在云中執行，生成的一般模型可能具有較低的有效性，因此它雖然適用于許多用戶，但并非適用于所有人——我們使用此做法作為此類別的基線（BL）。

為了解決效率問題，基于此類別中的第一種方法提出了AI 算法的分區。例如，Neurosurgeon 是一種將神經網絡訓練拆分為云和具有層粒度的用戶的方法，它進一步確定了這種分裂的最佳點，同時考慮到個人設備的延遲和能耗。類似的，OSIA 等提出了混合深度學習，其中層分離的、預先訓練的暹羅神經網絡的第一層在本地訓練，輸出（中間層）被發送到云共享以補充其余層。但是，這兩種方法仍然需要標記數據，這會導致新用戶出現冷啟動問題。

為了克服通用模型的低效性和針對新用戶的個性化模型的冷啟動問題，基于社區的方法形成了適當的權衡。例如，CSN 將3 種人際相似性測量（即身體、生活方式和傳感器數據相似性）納入基于云的訓練過程。特別是，CSN 通過集成來自其他“類似”用戶的標記數據，為用戶構建個性化模型，從而實現高效率。但是，CSN 無法保證完整性和機密性，因為個人數據會離開用戶的領地，并孤立在云中。

2.4 數據限制方法

此類別包括不需要在用戶區域之外共享個人數據的AI 方法。通過這種方式，這些方法確保了數據的完整性和機密性；由于可以在本地完全訪問個人數據，因此它們在個性化方面也是最有效的。不利的一面是，由于用戶及其個人設備的負擔很高，因此此類方法的效率較低；它們也不有助于改進一般模型，也不能將個人數據用于商業目的（例如廣告），從而減少提供商的利益。粗略地說，可以通過本地運行的標準AI 算法，使用很少的個人數據進行管理，并且在新數據可用時需要重新訓練個人模型（PM），這些屬性或多或少具有共同點——我們將基于此類算法的方法包含在代表基線（BL）的術語重新訓練。

這一類別中的其他辦法主要旨在以相同或相似的效力提高效率。特別是，遷移和增量學習算法是一個有希望的方向。前者是指使用過去獲得的知識來學習新任務（使用較少的個人數據）的能力，減輕用戶的負擔（例如降低標簽工作量）。后者是指僅根據新可用的數據逐步訓練現有AI 模型的能力，從而減輕個人設備的負擔（例如降低資源使用率）。兩者也可以結合起來，正如以下兩種示例性方法所證明的那樣：SERⅤIA 等提出了一種神經網絡架構，該架構在云中經過訓練，并通過重新調整模型參數和權重在隨后的本地個性化步驟中逐漸適應用戶。雖然這種方法支持具有較少個人數據的深度神經網絡，但它僅限于這些AI算法[2]。相比之下，修補的想法更為普遍，因此也廣泛適用：一個通用的（基于云的）“黑匣子”模型（可能是不可變的和難以理解的）通過觀察性的推斷和修復這個新實例空間的錯誤區域（模型容易出錯）來適應新的用戶數據（本地）。通過這種方式，Patching（一種元算法）需要更少的個人數據，并且適用于任意AI模型，甚至對于神經網絡也是如此。

總而言之，通過多個步驟和不同方法的結合來實現隱私和個性化（效率和有效性）之間新的平衡是可以實現的。例如，谷歌通過安全聚合的聯合學習用于訓練和改進通用模型，有效地實現了隱私和個性化之間的有效平衡。還可以使用諸如Patching（一種數據限制方法）之類的遷移學習算法，從而將一般模型適應本地用戶。

研究界現在應該繼續致力于研究減少人工智能算法中實現相同或更高的個性化所需的個人數據量，以及降低這些保護機制的復雜性，以便提供商更容易應用它們。

3 消費者隱私數據保護方法的挑戰

可以看到，上述提到的方法都難以滿足消費者對隱私保護的特定需求。需要指出的是，雖然數據修改方法的花費越來越低，但它們在有效性和隱私之間存在固有的沖突仍未得到解決[3]。數據加密方法非常適合確保數據的機密性和完整性，但它們的適用性有限，因為它們僅支持對加密數據進行有限的操作集，從而支持AI 算法。由于使用加密數據高效訓練復雜AI 算法的開放挑戰是革命性的一步，并且在可預見的未來將無法實現，因此與數據最小化方法相結合是目前更有希望的方向。例如，可以安全地聚合本地訓練模型的共享模型參數/權重，以改進基于云的通用模型。然而，為了在保護用戶隱私的同時實現高個性化準確性，本地方法是最合適的，因為它們可以完全訪問永遠不會離開用戶領土的個人數據，但效率低下仍然是一個公開的挑戰。

4 結語

可以說，沒有一種萬能的解決方案可以完全滿足AI 服務的所有要求。事實上，許多挑戰要么單獨研究，只是優化某些方面，要么由不同的社區零碎地研究，其中大多數尚未相互關聯。換句話說，只有將不同方法組合在不同級別，才能實現全面保護。這反過來又要求進行更多的跨學科研究。此外，今天的數據保護方法大多非常局限于一種特定的數據類型或AI 算法，或者過于通用，這反過來又會導致性能問題。無論哪種方式，未來的數據保護方法都需要在人工智能服務方面進行進一步的專業化。

總而言之，數據去中心化已被證明是一個有希望的未來方向，可以保留“真正的”數據所有權，它將個性化、隱私悖論轉變為純粹的個性化挑戰（當數據受到限制時），旨在實現有效性和效率之間的最佳權衡。分散式計算可以進一步解決數據保護AI 服務被忽視的系統屬性“可用性”。最后但并非最不重要的一點是，提供商需要采用適當的激勵措施來推廣這種保護方法，盡管其復雜性高于集中式架構，而集中式架構也必須有利可圖。例如，對提供商的激勵可以是更高的個性化廣告（因為本地代碼可以自由訪問個人數據）或更低的云資源消耗（因為至少部分AI 服務是在本地執行的），這允許具有成本效益的擴展。無論哪種方式，克服在本地保護專有AI 算法/模型這一普遍被忽視的挑戰是讓提供商參與進來的必要條件。總體而言，本文為個性化AI 服務中的數據保護開辟了新的視角，突出了已確定的開放挑戰，并為未來的研究提供了合適的起點。