https://rss.onlinelibrary.wiley.com/doi/10.1111/rssb.12454

统计视角下的差分隐私

Setting

隐私保护方案

那么在这个时候，就需要有一种手段，使得对两个有一个个体差异的数据集，查询关于总体的统计量时不会造成信息的泄露，不过，绝对的隐私保护最后只能带来无法提供任何信息的查询结果。所以解决方案就变成了在一定的隐私权限下，如何发布统计量使得个人信息最少程度被泄露。在引入正式的定义之前，我想先介绍一篇最早的有关统计学家研究保护隐私的文章。

历史方案-Randomized Response

在1965年，JASA上刊登了Warner的一篇如何收集可以保护数据隐私的工作，Warner指出，在调查中总是存在回避型误差Invasive Bias，原因是有些问题涉及个人隐私，被访者可能由于害怕回答泄露考虑会故意错填回答，比如调查高中生是否吸烟，高中生可能会怀疑可能是有人在钓鱼执法。

Warner的做法就是提供被访者一个指针，它有p的概率指向是，有1-p的概率指向否，在一个受访者接受敏感问题的回答的时候，他首先需要拨动指针，然后在不告诉调查者指针的指向情况下，回答指针的随机预测是否符合自己的情况就可以了。

该方法之所以可以有效保护隐私是因为就算受访者知道指针的指向概率，只要这个p不等于0或者1，我们无法从他的回答中肯定他的真实情况，就算p为0.9，他回答了符合情况，我们也不能肯定是否他的回答一定是‘是’，因为还是有0.1的可能指针是指向了否，而他的情况是'否'的，但是我们知道他大概率是'是'，从而可以利用这个信息进行进一步的统计推断，值得注意的是，在p为0.5的时候，此时收集到的信息将没有任何意义。

Warner提出了该方法，将其称为Randomized Response。Warner也在论文中证明了Randomized Response收集到的数据的统计性质。

本质上，Warner的方法其实是一个01分布的随机变量添加扰动，也很容易将其推广到连续变量之上：那就是在统计量上添加一个连续型噪声。至此，一个最intuitive的差分隐私保护方法已然呈现在我们眼前：将原本deterministic的查询结果添加一个随机化的噪声，这样哪怕知道了噪声的分布，也无法确切知道个体的信息，从而达到保护隐私的作用。现在我们知道，添加噪声可以保护隐私，但是怎么样衡量添加的噪声保证的隐私好坏呢？同时，Warner考虑的是单个个体的情形，这被称为local privacy，而一般我们考虑的是多个个体组成的总体也就是一个数据集，这就引出Differential Privacy的经典概念了。

-Differential Privacy

统计推断视角下的隐私保护机制

在Larry Wasserman与合作者Shuheng Zhou 2010年发表于JASA上的论文中，他们指出，隐私保护的定义事实上等价于对一个假设检验的检验力度（power)的限制。

在开始证明这个定理前，先简要的引入必要的数理统计知识。

假设检验以及检验水平

统计效力(test power)

在假设检验中，我们有两种可能发生的错误，一种是服从时我们错误的拒绝了，这种错误被称为第一类错误，第一类错误发生的概率为:

一种是服从时我们错误的接受了，该错误被称为第二种错误，第二类错误发生的概率为

在假设检验中，我们的目的是尽可能做出正确的推断，这需要我们选择一个好的检验方法，也就是检验统计量，但如何衡量检验统计量的好坏呢。

直觉上，一个好的检验统计量两种类型的错误概率都变小，但是，我们无法让两种错误概率同时变小，所以我们合理比较不同检验统计量好坏的方法便是在固定第一类错误的前提下，尽可能的减小第二类错误的概率。这就引入了统计效力。

统计效力的定义为在服从的分布，且检验水平为的时候，我们拒绝原假设的概率，即当的时候，下式表面的概率：

可见，统计效力是与 的取值有关的，在固定了的情况下，统计效力越高，则检验统计量越好。

Neyman-Pearson 引理

现如今数理统计课本里的绝大多数知识都是来自于Fisher, Neyman以及Pearson父子四大天王在20世纪初开创统计学时的工作。现在要介绍的这个引理也是由其中的两位大牛做出的工作。

考虑为的原假设，而 为的备择假设。我们可以用来表示第一类和第二类错误的概率。

令,分别为以及的概率密度函数，我们定义如下的Neyman-Pearson 检验: 

Neyman-Pearson引理证明了该Neyman-Pearson检验是最好的检验函数（在同等检验水平下，检验效力最高），而且有下面的不等式：

Proof of Neyman-Pearson Lemma

另外，如果要寻找在给定检验水平下的最优检验统计量，我们需要选取合适的c使得的第一类错误概率等于。

从统计效力看差分隐私

Setting

现在有了上述的引理和知识，我们可以对原来的定理进行阐述。
P是X的数据分布, 是一个隐私保护的生成机制，Z是由该机制生成的查询统计量。

也就是说是一个有关于的分布，那么我们要检验的原假设和备择假设就是以及 。

该定理说明：在差分隐私机制服从限度的差分隐私保护限度时，我们关于这个假设的水平的假设检验统计效力不超过。
事实上，由于之前所说是一个有关于的分布，所以该假设其实是关于分布的假设。

现在我们可以利用上面所补充的知识，对该定理进行证明：

Proof of Theory

w.l.o.g（不失一般性）令
记


其中，可以理解为一个区间或者Borel集，由Neyman-Pearson引理，在检验水平为的情况下，我们用该引理找到最好的检验统计量。

对一个统计量，我们定义其具有限度的差分隐私保护如下：
对任意相差一个个体的两个数据集、，以及任何的都有

在这里 , 就是，其中 ，所有应用定义，我们有

因此，此时的统计效力为

Gaussian Differential Privacy

经过前面的铺垫，接下来我想介绍GDP这篇文章的工作，他们的工作是在前人的基础上进行更进一步的探究。

定义

基于假设检验的视角看差分隐私

Trade-off 函数

Trade-off的意思就是两个事物有某种权衡，此消彼长。Trade-off函数的定义如下：
Definition 2.1 (trade-off function). For any two probability distributions
and on the same space, define the trade-off function as

where the infimum is taken over all (measurable) rejection rules.

该函数用简单的语言来理解就是在第一类错误固定为x的时候，将第二类错误的误差下确界作为y。

可以证明的是，一个定义域和值域都在01区间的函数如果拥有凸性，连续性，单调下降以及被1-x作为上界的性质的话，等价于该函数就是一个Trade-off函数。
Proposition 2.2. A function is a trade-off function if and only if is canvex, continuous, non-increasing, and for

f-differential 定义

Definition 2.3 ( -differential privacy). Let be a trade-off function. A mechanism is said to be -differentially private if

for all neighboring datasets and .
我们称一个满足上述条件的算法为满足f-DP隐私保护的算法，也就是说，f-DP给出了关于任意两个相邻数据集的Trade-off函数的下界，其实本质上就是用假设检验的难度来衡量差分隐私。

特殊的Trade-off函数 -- Gaussian Differential Privacy

前面说过，Trade-off函数是由两个分布检验难度得到的，那么有没有比较特殊的Trade-off函数呢？也就是说有没有特殊的两个分布，他们的Trade-off函数具有非常重要的地位呢？

这里解释一下什么叫做地位，在一个数学体系中，如果一个东西非常常见，可以与这个体系中的其他概念产生广泛的联系，那么这个东西的地位就会很高。比如说在离散型随机变量的分布中，01分布是最重要的，因为所有的离散型随机变量都可以表示成它。在连续型随机变量中，正态分布是最重要的，因为中心极限定理的存在，所有的连续甚至是随机变量都可以用一定的方式逼近它。

这篇文章指出，对于这样一类由两个正态分布所得到的Trade-off函数，它具有非常重要的地位。当然这就涉及到后面要介绍的f-DP的中心极限定理了，我们这里先暂且承认这件事。作者给出了该Trade-off函数的显式表达。

可以看到该Trade-off函数只有一个参数.
至此，终于出现了该文章的标题所说的术语-guassian differential privacy的定义了：
我们称一个统计量M满足-GDP，当且仅当

对所有的相邻数据集和成立。

性质

对称性

对称性其实很容易用直觉感受，因为Trade-off函数的定义中两个数据集是可以互换位置的，所以最后得出的下界一定是一个对称的函数。

与-DP 的关系

我们定义一类特殊的Trade-off函数族：

如下图实线所示

那么可以证明如下定理

也就是说，其实差分隐私机制是一种特殊形式的f-DP机制。

后处理以及信息充分性（Post-Processing）

后处理性质最早是dwork提出来的针对-DP的优良性质，直观上，如果我们发布了一个具有某种隐私保护程度的统计量，那么如果这个统计量被一个函数（可以是随机的）作用后，新统计量的隐私保护程度不应该比原来的统计量隐私保护程度低。那么同样的也是具备该性质的，数学语言表述如下：
后处理性质：定义为一个随机化的映射，将统计量映射到一个新统计量，则如果M满足，则也是满足的的。

Primal-Dual：f-DP与的相互转换

Primal-Dual

Primal-Dual 在凸分析中是一个重要的话题，简单来说，duality就是对一个原问题（比如说某个最优化问题）找到一个对偶问题（比如说另一个最优化问题），二者的最值有一定的关系，在某些情况下是相等的，所以duality可以说是找到一个问题的另一种视角。

在这篇文章中，作者用Primal-Dual这个术语是想类比与之间的关系。具体来说，将视为原始问题，将一组视为对偶问题。

Dual to Primal

也就是说从到：
记I为指标集，则一个统计量对所有都满足等价于该统计量是如下定义的：

Primal to Dual

由于f-DP使用函数来对隐私机制进行量化，相比于只使用两个参数的隐私保护机制，函数的无限参数使得可以对隐私的度量更加准确。在举例子之前，这里要给出在的框架下保护隐私的具体方式。首先介绍必要的概念：灵敏度（Sensitivity)

类似于Lipschitz常数的定义，灵敏度反应了两个相邻数据集统计量的最大差异值。

添加Laplace噪声的

对一个统计量, 其中L是拉普拉斯分布，则是符合的统计量。

添加Gauss噪声的（经典结论）

对一个统计量, , 其中N是正态分布，则是符合的统计量。

分析：从参数的外观上，不难发现，第一个定理的参数还算比较自然，但第二个定理的参数就非常不自然，事实上，这是由于第二个定理的证明应用到一些尾概率不等式，而且放缩并不是那么严格和苛刻的，所以这里加入的噪声其实是比较‘大’的，换句话说，在达到要求的-DP的前提下，是可以加入比该定理方差更小的正态分布噪声的，那么具体最精确能加多少呢？后续的文献[4]对该问题进行了探讨。

添加Gauss噪声的解析解

对一个统计量, 其中N是正态分布，则是符合的统计量只需要：
其中，就是 , 这里方便起见做此简化。光是看这些，可能会觉得头疼，但是接下来，在f-DP的框架下，我们可以直观的看到这三个定理给出的trade-off曲线对比。

这里借用[5]苏炜杰老师在一次Online Discussion中的图

从第一张图的示意可以看出，在添加Laplace噪声的时候，其trade-off函数正好能和某个函数相切，所以定理1的结果不算难看，左图的蓝色曲线就是Laplace噪声后的trade-off函数，但到了gauss噪声的时候，在两个端点（0，1）和（1，0）处的斜率都是坐标轴方向，所以不可能得到形式的DP机制，但是如果允许截距的存在，则就可以被函数相切了。在右边的图中，刚好相切的蓝线就是由定理3的解析解所表示的，如果使用定理2，则最终的线其实是在图中蓝线之下的。

其他差分隐私刻画方式

R´enyi Divergence 是一种特殊的Divergence: 对两个概率分布P和Q，order为 的R´enyi Divergence定义为

复合隐私保护

Setting

一般来说，两个trade-off函数的张量积的解析表达是复杂的，但下面的定理表明了GDP的优良复合性质：
n次 的复合统计量是符合的

相比于其他隐私刻画的复合优越性

子抽样性质

接下来介绍f-DP的子抽样性质，该性质与深度学习中的子抽样SGD相适配，从而使得差分隐私可以被深度学习所考虑。为了说明GDP这篇文章在改进应用差分隐私的深度学习中作用，我们首先对该领域的经典论文Deep learning with diffferential privacy[7]进行简单的介绍。

Deep learning with differential privacy

背景介绍

在深度学习中，我们至今都很难用完好的理论来阐述其内部机理，而神经网络强大的拟合能在无意中对一些个人信息进行编码，从而有泄露个人信息的可能，在Fredrikson et al.[2]的一项工作中，就证实了可以通过技术手段来盗取人脸识别系统的图像。

而想要解决此等隐私问题，应用差分隐私技术就是一个很好的方向，我们可以把深度学习看做从数据集到神经网络参数的一个映射，这个映射是由训练方式决定的，于是一个最简单的想法就是，我们将这个映射看做一个差分隐私框架中的统计量，刻画这个统计量的灵敏度，最后根据这个灵敏度来添加噪声到参数上。
但这样做的问题也很明显：

1. 我们对这个映射的具体机理没有完全弄清，现有手段只能进行一些粗略的估计，所以最后的灵敏度估计会过于保守，从而噪声添加过大。

2. 如果对参数直接添加噪声，可能会由于神经网络的不稳定性，极大的影响网络的精度。

所以现有的做法是在深度学习的训练过程中，对梯度进行干扰，从而保护隐私。

Noisy SGD

训练神经网络的一个常用优化器是随机梯度下降(SGD)：
记为损失函数，在训练的每一步，我们随机子抽样B个样本，并计算这个mini-batch的梯度

而要对SGD做隐私保护，自然的想法就是在求得的梯度上添加噪声扰动，但这样做就会遇到一个问题：前面我们说过，添加噪声的标准流程是先计算灵敏度，而这里的灵敏度与每一个样本的梯度有关，如果梯度过大，则灵敏度也会过大，但是我们都听说过梯度爆炸的现象：神经网络在训练中，梯度可能会非常大，如此一来，再添加一个很大的噪声就会使网络优化失去控制，所以一个想法是对做一次clipping：
设定阈值C，如果梯度模长大于C，就将其缩小到C，如果梯度小于C，则保持不变。

虽然这样的做法改变了梯度，可能会导致精度的下降，但在深度学习中，对梯度做clipping是一个实证证明效果不错的做法。

Privacy accounting

这篇文章之所以经典，很大原因是它大幅度提升了在这种多步骤复合优化中的隐私衡量估计精度，虽然作者的语言是Moments Acounting，但其实放在今天的视角来看这篇文章，Moments Accounting就是RDP，作者先使用RDP来衡量隐私，然后将其转换为，由于RDP在compostion中有更好的表现，所以先使用RDP再转化至会比只使用有更大的精度，当然这样做问题也很明显：放在GDP的视角看，RDP是比更精确的差分隐私定义，但是GDP又是比RDP更精确的刻画，所以如果作者使用GDP的定义来对隐私进行衡量，就会得到更好的结果，正所谓一山更比一山高，当我们用更高的视角和更好的工具来分析问题，我们得到的结果也会更好。

f-DP的子抽样性质及深度学习的应用

介绍完这篇经典的文章后，我们现在介绍使用f-DP在SGD中的应用。其实RDP的子抽样性质在Deep learning with differential privacy的文章中也是有证明的，但碍于篇幅我们只介绍f-DP的子抽样性质，然后介绍其在深度学习中的应用。

f-DP的子抽样性质

直观上，当我们对一个数据集进行子抽样后再求统计量，子抽样的过程可以保护个体的隐私，因为在子抽样的过程中，对于特定个体，它可能被抽取，也可能不被抽取，这天然的就会保护个体的隐私。
为了说明f-DP的子抽样性质，我们首先定义一个算子：


有两个步骤：先将和取下界，然后对这个函数求两次共轭函数，根据凸优化的知识，该操作就是在求一个函数的最小凸下界。则若在数据集的所有个个体的子集上，M是满足f-DP的，抽样率，则在S上先子抽样再用M输出结果是满足的。

f-DP SGD

介绍了f-DP子抽样的性质，我们就可以对添加噪声的SGD使用f-DP进行分析。
注意，f-DP SGD和经典文章DLDP的加噪模式都是一样的，也就是上面介绍的Noisy SGD，这也是现在主流的深度学习保护隐私的方式，不同点在于，f-DP SGD使用性质更加良好的f-DP来对添加噪声后算法的隐私保证进行估计，这种估计相比其他方式更加精细。
由f-DP的添加噪声机制，我们可以知道，在上述的噪声添加中，每一次优化传送梯度, 保证了-DP ，而在T次优化后，神经网络的是满足的。

应用之前介绍的f-DP中心极限定理，我们可以得到：
若，则Noisy SGD是渐近满-GDP的

下面的图片直观的显示了，使用f-DP来分析Noisy SGD对隐私的估计精度和使用经典文章DLDP的估计精度差距。
可以看出，f-DP相比之下拥有绝对的精度优势，且epoch越大，优势越明显。

这是在二者保持相同的优化轮数也就是相同的优化精度的条件下隐私估计的比较，换句话说，在相同的隐私保障下，f-DP能够优化更多的轮数，从而拥有更高的精度。

结语

这篇文章简要梳理了差分隐私在定义性质以及应用上的一些发展，主要以GDP这篇文章作为主线，GDP的工作基本就介绍完了，不过文中还有很多的证明没有讲，有些证明还是颇能启发思想的，涉及中心极限定理收敛速度的Berry-Essen界由于太过理论也被略去，有兴趣的读者不妨阅读原文，会有更多的收获。

另外，虽然这篇文章主要是理论推导，f-DP在实际应用中也收到了很多的关注，该差分隐私框架已经被纳入Tensorflow里，而最近苏老师的团队已和Meta(原Facebook)合作来将差分隐私部署到其广告推荐系统中。

最后，这篇文章在笔者看来是非常漂亮的一篇文章，有非常好的想法也有扎实完整并富有原创性的证明。所以很想专门带着自己的理解去做一次转述与讲解，希望读者在看了我的讲述后能有兴趣去了解这篇文章，或者对差分隐私有一个大致的认识，感谢读到最后的你~

参考文献

[1]https://www.ece.rutgers.edu/~asarwate/nips2017/
[2] Wasserman, L., & Zhou, S. (2010). A statistical framework for differential privacy. Journal of the American Statistical Association, 105(489), 375–389. https://doi.org/10.1198/jasa.2009.tm08651
[3] Warner, S. L. (1965). Randomized Response: A Survey Technique for Eliminating Evasive Answer Bias. Journal of the American Statistical Association, 60(309), 63–69. https://doi.org/10.1080/01621459.1965.10480775
[4] Balle B, Wang Y X. Improving the gaussian mechanism for differential privacy: Analytical calibration and optimal denoising[C]//International Conference on Machine Learning. PMLR, 2018: 394-403.
[5] https://www.youtube.com/watch?v=QbMxd0dTexo
[6] Cynthia Dwork and Guy N Rothblum. Concentrated differential privacy. arXiv preprint arXiv:1603.01887, 2016.
[7] Abadi, M., McMahan, H. B., Chu, A., Mironov, I., Zhang, L., Goodfellow, I., & Talwar, K. (2016). Deep learning with differential privacy. Proceedings of the ACM Conference on Computer and Communications Security, 24-28-October-2016(Ccs), 308–318.