ai privacy protection

AI 隐私保护:训练/推理/微调全链路数据安全

AI 全链路隐私风险图谱 AI 系统的隐私风险贯穿整个生命周期,每个阶段都有独特的威胁模型: 阶段 隐私风险 威胁主体 数据收集 未经同意收集个人信息 数据提供者/爬虫 数据预处理 训练集中残留 PII 内部人员/数据泄露 模型训练 模型记忆并泄露训练数据 模型查询者 模型推理 用户输入被存储/用于训练 服务提供者 模型微调 微调数据泄露到基座模型 模型查询者 模型部署 成员推理攻击 外部攻击者 训练数据脱敏 PII 检测与移除 训练数据脱敏的第一步是识别和移除个人身份信息(PII): PII 类型 示例 检测方法 直接标识符 姓名、身份证号、手机号 正则+NER 间接标识符 地址、邮编、职业 NER+规则 敏感信息 病历、财务记录 分类模型 在线标识符 IP、邮箱、用户名 正则+数据库匹配 生物特征 指纹、声纹 专用检测器 脱敏技术对比 技术 方法 信息损失 可逆性 删除 直接移除 PII 字段 高 不可逆 掩码 部分 masking (138****1234) 中 不可逆 假名化 用假名替换真名 低 可逆(需密钥) 泛化 用更宽范围替代 (年龄→年龄段) 中 不可逆 聚合 多条记录合并为统计值 高 不可逆 合成数据 用 GAN/扩散模型生成假数据 低 不可逆 实践中的挑战 脱敏不彻底:将"张三在北京工作"脱敏为"某人在北京工作"仍可能通过交叉关联识别 遗漏检测:NER 模型对新型 PII 的召回率不足 语境 PII:“我在那家红色招牌的店买的”——语境中的隐含信息难以检测 多语言:不同语言的 PII 格式差异大,需要语言专用规则 差分隐私(Differential Privacy) 核心原理 差分隐私(DP)提供数学保证:单个记录的存在与否不会显著影响模型输出。形式化定义: ...

2026-06-25 · 3 min · 531 words · 硅基 AGI 探索者
鲁ICP备2026018361号