Questo documento riassume l'approccio alla privacy per la personalizzazione on-device (ODP) nello specifico nel contesto della privacy differenziale. Altre implicazioni relative alla privacy e decisioni di progettazione come la minimizzazione dei dati vengono intenzionalmente tralasciate per mantenere questo documento focalizzato.
Privacy differenziale
La privacy differenziale1 è uno standard ampiamente adottato per la protezione della privacy nell'analisi statistica dei dati e nel machine learning2 3. Informale, viene indicato che un avversario apprende quasi la stessa cosa di un utente dall'output di un algoritmo differenziato con privato, indipendentemente dal fatto che il suo record compaia o meno nel set di dati sottostante. Ciò implica protezioni solide per gli individui: qualsiasi deduzione fatta su una persona può essere dovuta solo a proprietà aggregate del set di dati che potrebbero essere incluse con o senza il record della persona.
Nel contesto del machine learning, l'output dell'algoritmo dovrebbe essere considerato come i parametri del modello addestrato. La frase quasi la stessa cosa viene quantificata matematicamente con due parametri (Π, ∆), dove CharacterStyle viene generalmente scelta come una piccola costante, e ∆≪1/(numero di utenti).
Semantica della privacy
La progettazione ODP cerca di garantire che ogni esecuzione dell'addestramento sia (Π,di tipo) a livello utente differenzialmente privata. Di seguito viene descritto il nostro approccio per raggiungere questa semantica.
Modello di minaccia
Definiamo le diverse parti e indichiamo le ipotesi su ognuna:
- Utente: l'utente proprietario del dispositivo e fruitore di prodotti o servizi forniti dallo sviluppatore. Le loro informazioni private sono completamente a loro disposizione.
- Trusted Execution Environment (TEE): i dati e i calcoli affidabili che si verificano all'interno dei TEE sono protetti dagli utenti malintenzionati usando una serie di tecnologie. Pertanto, il calcolo e i dati non richiedono alcuna protezione aggiuntiva. I TEE esistenti potrebbero consentire agli amministratori del progetto di accedere alle informazioni al loro interno. Proponiamo funzionalità personalizzate per non consentire e verificare che l'accesso non sia disponibile per un amministratore.
- L'utente malintenzionato: potrebbe avere informazioni secondarie sull'utente e ha accesso completo a tutte le informazioni che escono dal TEE (come i parametri del modello pubblicato).
- Sviluppatore:chi definisce e addestra il modello. È considerato non attendibile (e ha appieno le capacità di un aggressore).
Cerchiamo di progettare l'ODP con la seguente semantica della privacy differenziale:
- Confine di attendibilità: dal punto di vista di un utente, il confine di attendibilità è costituito dal dispositivo dell'utente e dal TEE. Tutte le informazioni che lasciano questo confine di attendibilità devono essere protette dalla privacy differenziale.
- Aggressore:protezione della privacy differenziale completa rispetto all'aggressore. Qualsiasi entità al di fuori del confine di attendibilità può essere un utente malintenzionato (inclusi lo sviluppatore e altri utenti, tutti potenzialmente in conflitto). L'aggressore, date tutte le informazioni al di fuori del confine di attendibilità (ad esempio, il modello pubblicato), eventuali informazioni collaterali sull'utente e risorse infinite, non è in grado di dedurre ulteriori dati privati sull'utente (oltre a quelli già presenti nelle informazioni secondarie), con un livello di probabilità pari al budget per la privacy. In particolare, ciò implica una protezione della privacy differenziale completa rispetto allo sviluppatore. Tutte le informazioni rilasciate allo sviluppatore (ad esempio i parametri del modello addestrato o le inferenze aggregate) sono protette dalla privacy differenziale.
Parametri del modello locale
La semantica della privacy precedente è adatta al caso in cui alcuni parametri del modello sono locali del dispositivo (ad esempio un modello che contiene un incorporamento specifico per ciascun utente e non condiviso tra utenti). Per questi modelli, questi parametri locali rimangono entro il confine di attendibilità (non vengono pubblicati) e non richiedono protezione, mentre i parametri del modello condiviso vengono pubblicati (e sono protetti dalla privacy differenziale). Talvolta è definito "modello di privacy" relativo ai billboard.4
Funzionalità pubbliche
In alcune applicazioni, alcune funzionalità sono pubbliche. Ad esempio, in un problema relativo ai consigli sui film, i contenuti di un film (regista, genere o anno di uscita del film) sono informazioni pubbliche e non richiedono protezione, mentre le funzionalità relative all'utente (come informazioni demografiche o quali film ha visto l'utente) sono dati privati e richiedono protezione.
Le informazioni pubbliche sono formalizzate come una matrice di elementi pubblici (nell'esempio precedente, questa matrice conterrà una riga per film e una colonna per ciascun film), disponibile per tutte le parti. L'algoritmo di addestramento differenziato con privato può utilizzare questa matrice senza la necessità di proteggerla. Vedi l'esempio 5. La piattaforma ODP prevede di implementare questi algoritmi.
Un approccio alla privacy durante la previsione o l'inferenza
Le inferenze si basano sui parametri del modello e sulle caratteristiche di input. I parametri del modello sono addestrati con la semantica della privacy differenziale. In questo corso viene illustrato il ruolo delle caratteristiche di input.
In alcuni casi d'uso, quando lo sviluppatore ha già accesso completo alle caratteristiche utilizzate nell'inferenza, non sussiste alcun problema di privacy derivante dall'inferenza e il risultato dell'inferenza potrebbe essere visibile allo sviluppatore.
In altri casi (quando le funzionalità utilizzate nell'inferenza sono private e non accessibili allo sviluppatore), il risultato dell'inferenza potrebbe essere nascosto allo sviluppatore, ad esempio perché l'inferenza (e qualsiasi processo downstream che lo utilizza) viene eseguita sul dispositivo in un processo e un'area di visualizzazione di proprietà del sistema operativo, con comunicazioni limitate al di fuori di questo processo.
Procedura di addestramento
Panoramica
Questa sezione fornisce una panoramica dell'architettura e di come procede l'addestramento (vedi Figura 1). La funzionalità ODP implementa i seguenti componenti:
Un distributore attendibile, come la selezione federata, il download attendibile o il recupero di informazioni private, che svolge il ruolo di trasmissione dei parametri del modello. Si presume che il distributore attendibile possa inviare un sottoinsieme di parametri a ciascun cliente, senza rivelare i parametri scaricati da un determinato client. Questa "trasmissione parziale" consente al sistema di ridurre al minimo l'ingombro sul dispositivo dell'utente finale: invece di inviare una copia completa del modello, solo una frazione dei parametri del modello viene inviata a un determinato utente.
Un aggregatore attendibile, che aggrega informazioni di più client (ad es. gradienti o altre statistiche), aggiunge rumore e invia il risultato al server. Si presume che esistano canali affidabili tra il cliente e l'aggregatore e tra il cliente e il distributore.
Algoritmi di addestramento DP in esecuzione su questa infrastruttura. Ogni algoritmo di addestramento è costituito da diversi calcoli in esecuzione sui diversi componenti (server, client, aggregatore, distributore).
Un ciclo di formazione tipico è costituito dai seguenti passaggi:
- Il server trasmette i parametri del modello al distributore attendibile.
- Computing del client
- Ogni dispositivo client riceve il modello di broadcast (o il sottoinsieme di parametri pertinenti per l'utente).
- Ciascun client esegue dei calcoli (ad esempio dei gradienti o altre statistiche sufficienti).
- Ogni client invia il risultato del calcolo all'aggregatore attendibile.
- L'aggregatore attendibile raccoglie, aggrega e protegge utilizzando adeguati meccanismi di privacy differenziale le statistiche dei clienti, quindi invia il risultato al server.
- Computing server
- Il server (non attendibile) esegue calcoli sulle statistiche protette dalla privacy in modo differenziato (ad esempio utilizza gradienti aggregati con privacy differenziata per aggiornare i parametri del modello).
Modelli fattorizzati e minimizzazione differenziata alternata
La piattaforma ODP prevede di fornire algoritmi di addestramento privati diversi per uso generico applicabili a qualsiasi architettura del modello (ad esempio DP-SGD 6 7 8 o DP-FTRL 9 10), nonché algoritmi specializzati per modelli fattorizzati.
I modelli fattorizzati sono modelli che possono essere scomposti in sottomodelli (chiamati encoder o torri). Ad esempio, consideriamo un modello nel formato f(u(θu, xu), v(θv, xv))
, in cui u()
codifica le caratteristiche utente xu
(e include i parametri θu
) e v()
codifica le caratteristiche non dell'utente xv
(e ha i parametri θv
). Le due codifiche vengono combinate utilizzando f()
per produrre la previsione finale del modello. Ad esempio, in un modello di consigli per i film, xu
sono le funzionalità utente e xv
sono le funzionalità per i film.
Questi modelli sono adatti alla suddetta architettura di sistema distribuito (in quanto separano le caratteristiche utente e non utente).
I modelli fattorizzati verranno addestrati utilizzando la minimizzazione alternata differenziata (DPAM), che alterna l'ottimizzazione dei parametri θu
(mentre θv
è fisso) e viceversa. È stato dimostrato che gli algoritmi delle DPAM offrono una migliore utilità in una serie di contesti4 11, in particolare in presenza di funzionalità pubbliche.
Riferimenti
- 1: Dwork et al. Calibrazione del rumore per la sensibilità nell'analisi dei dati privati, TCC'06
- 2: US Census Bureau. Understanding Differential Privacy, 2020
- 3: Federated Learning with Formal Differential Privacywarrantys, post del blog di Google AI, 2020
- 4: Jain et al. Differentially Private Model Personalization, NeurIPS'21
- 5: Krichene et al. Apprendimento privato con caratteristiche pubbliche, 2023
- 6: Song et al. Discesa stocastica del gradiente con aggiornamenti privati differenziati, GlobalSIP'13
- 7: Minimizzazione del rischio empirico differenzialmente privato: algoritmi efficienti e limiti rigidi di errori, FOCS'14
- 8: Abadi et al. Deep Learning with Differential Privacy, CCS '16
- 9: Smith et al. (quasi) Algoritmi ottimali per l'apprendimento online privato in impostazioni complete e Bandit, NeurIPS'13
- 10: Kairouz et al., Apprendimento pratico e privato (deep) senza campionamento o shuffling, ICML'21
- 11: Chien et al. Private Alternating Least Squares, ICML'21