DSG：数据安全治理白皮书3.0（184页）.pdf

《DSG：数据安全治理白皮书3.0（184页）.pdf》由会员分享，可在线阅读，更多相关《DSG：数据安全治理白皮书3.0（184页）.pdf（184页珍藏版）》请在三个皮匠报告上搜索。

1、中心化差分隐私模型中心化差分隐私模型如上图左所示。中心化模型假设存在一个可信的数据管理员，它可以收集用户的真实信息。数据管理员在掌握了真实数据的基础上，统一的对发布信息添加噪音，或者根据真实数据的具体分布情况，设计更加具有针对性的随机算法。由于数据管理员可以在真实的统计数据上统一添加噪音，因此中心化差分隐私模型往往具有较高的精确性。中心化差分隐私模型通常用于数据库查询，广告投放等场景。Google 已公布了提供差分隐私保护的数据库开源代码，Uber也同样发布了该公司对于差分隐私数据库的研究。交互式数据发布本地化差分隐私模型如上图右所示。本地化模型考虑不存在可信的数据管理员的场景。在这个场景下，

2、用户不信任数据收集者，因此用户在上传数据时，通过一个本地的随机发生器，以一定概率上传真实结果，而以一定概率上传一个随机值。由于数据收集者收集到的数据集已经得到了隐私保证，因此可以直接对该数据集后续分析，而不需要额外的隐私保护。但由于每个用户都会以一定的概率上传随机值，因此本地化差分隐私模型的精确性往往会低于中心化差分隐私模型。由于本地化差分隐私模型不需要一个可信的数据收集者，因此在数据收集阶段，本地化模型通常更受到用户的青睐。Goog le 已经在浏览器中通过的本地化差分隐私机制 RAPPOR收集用户的浏览器设置，Apple 也在其IOS，MacOS系统中使用本地化差分隐私机制收集用户表情、健

3、康等多种信息。Microsoft同样发布了其关于本地差分隐私的研究，利用本地化机制收集windows中的系统信息。隐私保护数据发布模型基于差分隐私保护的数据发布是差分隐私研究中的核心内容，其目的是在不披露任何个人记录的情况下向公众输出汇总信息。根据对于多次查询的响应方法不同，分为交互式和非交互式。交互式数据发布在交互式设置中，给定数据集和查询集，需通过一种数据发布机制，使其能够在满足差分隐私保护的条件下，逐个回答查询集中的查询，直到耗尽全部隐私预算。即在发布前一个查询的答案之前不能发出查询。发布机制的性能通常由精确度来衡量。交互式数据发布即是要在满足一定精确度的条件下，以给定的隐私保护预算回答尽可能多的查询。交互式设置的方法主要考虑事务数据库、直方图、流数据和图数据发布等。