CN118153110A

CN118153110A - 一种数据处理方法及相关装置

Info

Publication number: CN118153110A
Application number: CN202410418168.8A
Authority: CN
Inventors: 夏冬
Original assignee: Honor Device Co Ltd
Current assignee: Honor Device Co Ltd
Priority date: 2024-04-09
Filing date: 2024-04-09
Publication date: 2024-06-07

Abstract

本申请提供一种数据处理方法及相关装置，该方法可应用于电子设备，电子设备包括设置应用程序，该设置应用程序用于管理一个或多个应用程序的隐私数据，隐私数据包括差分数据、差分数据对应的差分隐私算法和隐私预算值。电子设备显示第一用户界面。其中，第一用户界面包括一个或多个应用程序所分别对应的隐私预算值，隐私预算值为根据用户数据和用户数据对应的差分数据所确定的，用户数据包括用户使用对应的应用程序所生成的数据，差分数据包括对用户数据进行加密处理后得到的数据，隐私预算值用于反映上述加密处理的加密程度。因此，用户可直观感受到自己的数据已经经过差分隐私保护，减轻用户对于隐私泄露的焦虑。

Description

一种数据处理方法及相关装置

技术领域

本申请涉及电子技术领域，尤其涉及一种数据处理方法及相关装置。

背景技术

为了给用户提供更好的体验，需要搜集用户在使用电子设备过程中所产生的数据，从而在云侧设备对其进行分析处理。比如说，若需要统计用户在使用某款应用（application，APP）时所喜欢使用的表情符号，电子设备需要将用户使用该APP过程中所产生的数据上传到云侧设备，云侧设备对其进行分析得到用户在该APP上使用频率最高的表情符号，从而确定用户所喜欢使用的表情符号。

电子设备的用户数据在上传云侧设备的时候，可能会面临用户隐私泄露等数据安全的威胁。因此，如何减轻用户对于隐私泄露的焦虑，提高用户体验，是亟需解决的问题。

发明内容

本申请实施例提供的一种数据处理方法及相关装置，能够提供一种用于显示隐私预算值的用户界面，减轻用户对于隐私泄露的焦虑。

第一方面，本申请提供一种数据处理方法，该方法包括：

显示第一用户界面，所述第一用户界面包括一个或多个应用程序所分别对应的隐私预算值，其中，所述隐私预算值为根据用户数据和所述用户数据对应的差分数据所确定的，所述用户数据包括所述一个或多个应用程序中的任意应用程序响应于用户操作而生成的数据，所述差分数据包括对所述用户数据进行加密处理后得到的数据，所述隐私预算值用于反映所述差分数据的加密程度。

可以看出，本申请可以提供一种用户界面，该用户界面可显示一个或多个应用程序所对应的隐私预算值，可直观地向用户程序应用程序的用户数据已经被加密，从而让用户知道自己上传到云测设备的数据是已经被加密处理的，减轻用户对隐私泄露的担忧。

结合第一方面，在一种可能的实施方式中，在第一隐私预算值大于第二隐私预算值时，所述第一隐私预算值对应的第一加密程度小于所述第二隐私预算值对应的第二加密程度。

可以看出，隐私预算值与加密程度对应，不同的隐私预算值可能对应不同的加密程度，因此用户可以直观地感受用户数据被保护的程度，提高用户的使用感受。

结合第一方面，在一种可能的实施方式中，在第一应用程序的隐私预算值大于或等于所述第一应用程序的预设阈值时，所述第一用户界面还用于显示提示信息，其中，所述提示信息用于提示用户所述第一应用程序的差分数据存在隐私泄露风险，所述第一应用程序为所述一个或多个应用程序中的任意一个。

可以看出，本申请所提供的用户界面可显示提示存在隐私泄露风险的信息，进而可以提示用户对其进行对应处理，将其数据被泄露风险。

结合第一方面，在一种可能的实施方式中，所述方法还包括：

响应于对第二应用程序的隐私预算值的用户操作，显示第二用户界面，其中，所述第二应用程序为所述一个或多个应用程序中的任意一个，所述第二用户界面用于显示差分隐私算法和所述差分隐私算法对应的隐私预算值，所述差分隐私算法为对所述第二应用程序的用户数据进行加密处理生成所述第二应用程序的差分数据的过程中所使用的算法。

可以看出，目前存在多种实现差分隐私的技术手段，在对用户数据进行差分隐私处理时，对不同的用户数据可能使用不同的技术手段。因此，本申请提供的第二用户界面电子设备可显示所使用的技术手段，可以让用户显性感知不同应用程度对应的差分隐私处理方式，减轻用户对隐私泄露的担忧。

结合第一方面，在一种可能的实施方式中，在所述第二应用程序存在多个差分数据的情况下，所述第二用户界面还用于显示所述多个差分数据所分别对应的差分隐私算法和多个所述差分隐私算法所分别对应的隐私预算值。

可以理解的是，同一应用程序所生成的用户数据可能是不同，因此对于同一应用程序的用户数据可能使用不同的差分隐私算法，第二用户界面也可以显示其所对应的差分隐私算法，可以让用户显性感知同一应用程度的不同数据所对应的差分隐私处理方式，减轻用户对隐私泄露的担忧。

结合第一方面，在一种可能的实施方式中，所述第二用户界面用于按照上传时间的先后顺序显示所述差分隐私算法和所述差分隐私算法对应的隐私预算值，其中，所述上传时间为电子设备向云侧设备发送所述差分数据的时间。

可以看出，第二用户界面可提供多种显示方式，提高用户使用体验。

结合第一方面，在一种可能的实施方式中，所述响应于用户操作，显示第一用户界面之前，所述方法还包括：

获取所述用户数据和所述差分数据；

根据所述差分数据确定对所述用户数据进行加密处理的过程中所使用的差分隐私算法；

基于所述差分隐私算法根据所述差分数据和所述用户数据确定所述隐私预算值。

其中，获取的用户数据是基于用户操作而生成的数据，差分数据是对该用户数据进行加密处理后生成的，因此根据上述两种数据可以识别得到所使用的差分隐私算法。而基于所使用的差分隐私算法来确定隐私预算值，可以使得所得到的隐私预算值的可信度更高。

结合第一方面，在一种可能的实施方式中，所述基于所述差分隐私算法根据所述差分数据和所述用户数据确定所述隐私预算值，包括：

对所述用户数据进行编码，得到编码数据；

基于所述差分隐私算法将所述编码数据和所述差分数据按位进行对比确定翻转概率；

根据所述翻转概率确定所述隐私预算值。

可以看出，本申请通过已识别的差分隐私算法，通过算法的差分原理，依据算法的差分数据和原始数据对算法的相应参数设置进行估计，从而得到隐私预算值。

结合第一方面，在一种可能的实施方式中，所述根据所述差分数据确定所述加密处理过程中所使用的差分隐私算法，包括：

根据所述差分数据的数据特征和/或结构特征确定所述加密处理过程中所使用的差分隐私算法。

可以看出，本申请根据差分数据的实际特征来判断所使用的差分隐私算法，更符合实际情况，可提高识别准确性。

结合第一方面，在一种可能的实施方式中，所述根据所述差分数据的数据特征和/或结构特征确定所述加密处理过程中所使用的差分隐私算法，包括：

在判断得到所述差分数据的数据长度为1比特且所述差分数据中存在矩阵坐标时，确定所述加密处理过程中所使用的差分隐私算法为第一类算法，所述第一类算法用于根据哈达玛变换和计数均值对所述用户数据进行加密处理。

可以看出，本申请根据第一类算法的数据长度特征和矩阵坐标特征来识别得到第一类算法，提高识别第一类算法的准确性。

在判断得到所述差分数据的数据长度不为1比特且所述差分数据中不存在矩阵坐标时，若判断得到所述差分数据的数据结构中存在完整字符串和截取字符串，则确定所述加密处理过程中所使用的差分隐私算法为第二类算法，其中，所述截取字符串为从所述完整字符串中截取的一段，所述第二类算法用于根据哈希函数集对所述用户数据和所述用户数据对应的构造数据进行加密处理。

可以看出，本申请根据第二类算法的数据结构特征来识别得到第二类算法，提高识别第二类算法的准确性。

在判断得到所述差分数据的数据长度不为1比特且所述差分数据中不存在矩阵坐标时，若判断得到所述差分数据的数据结构中不存在完整字符串和截取字符串，则确定所述加密处理过程中所使用的差分隐私算法为第三类算法或者第四类算法，其中，所述截取字符串为从所述完整字符串中截取的一段，所述第三类算法用于根据哈希函数集对所述用户数据进行加密处理，所述第四类算法用于根据随机响应对所述用户数据进行加密处理。

可以看出，本申请根据第一类算法的数据特征和第二类算法的数据结构特征来识别得到第一类算法和第二类算法，可以确定剩下未识别的算法包括第三类算法和第四类算法，从而提高区分第一类算法、第二类算法以及第三类算法和第四类算法的准确性。

结合第一方面，在一种可能的实施方式中，所述确定所述加密处理过程中所使用的差分隐私算法为第三类算法或者第四类算法，包括：

获取N组二进制差分数据，其中，所述N组二进制差分数据为根据预设次数重复所述用户数据对应的操作所生成的数据，N为正整数；

对所述N组二进制数据按位进行累加得到一组数据；

统计所述一组数据中每一位置为1的概率；

对所述每一位置为1的概率进行聚类分析，得到第一类概率和第二类概率；

若所述第一类概率和所述第二类概率的和为1，则确定所述加密处理过程中所使用的差分隐私算法为第三类算法；

若所述第一类概率和所述第二类概率的和不为1，则确定所述加密处理过程中所使用的差分隐私算法为第四类算法。

可以看出，结合第三类算法和第四类算法的统计特征（比如说统计第一类概率和第二概率）可区分第三类算法和第四类算法，从而提高识别准确性。

可以看出，关于识别第一类算法、第二类算法、第三类算法和第四类算法，本申请是结合各种算法所独有的特性/特征来作为识别标准，从而可以把控识别的准确性。

第二方面，本申请实施例提供的一种电子设备，所述电子设备包括：一个或多个处理器；存储器；其中，所述存储器与所述一个或多个处理器耦合，所述存储器用于存储计算机程序代码，所述计算机程序代码包括计算机指令，所述一个或多个处理器调用所述计算机指令以使得所述电子设备执行第一方面或第一方面的任一种可能的实现方式中描述的数据处理方法。

第三方面，本申请提供一种芯片或者芯片系统，该芯片或者芯片系统包括至少一个处理器和通信接口，通信接口和至少一个处理器通过线路互联，至少一个处理器用于运行计算机程序或指令，以执行第一方面或第一方面的任意一种可能的实现方式中描述的数据处理方法。其中，芯片中的通信接口可以为输入/输出接口、管脚或电路等。

在一种可能的实现中，本申请实施例中上述描述的芯片或者芯片系统还包括至少一个存储器，该至少一个存储器中存储有指令。该存储器可以为芯片内部的存储单元，例如，寄存器、缓存等，也可以是该芯片的存储单元（例如，只读存储器、随机存取存储器等）。

第四方面，本申请实施例提供了一种计算机存储介质，该计算机存储介质存储有计算机程序，该计算机程序被处理器执行时，使得计算机执行如第一方面或第一方面的任一种可能的实现方式中描述的数据处理方法。

第五方面，本申请实施例提供了一种计算机程序产品，当该计算机程序产品在通信装置上运行时，使得该通信装置执行如第一方面或第一方面的任一种可能的实现方式中描述的数据处理方法。

应当理解的是，本申请中对技术特征、技术方案、有益效果或类似语言的描述并不是暗示在任意的单个实施例中可以实现所有的特点和优点。相反，可以理解的是对于特征或有益效果的描述意味着在至少一个实施例中包括特定的技术特征、技术方案或有益效果。因此，本说明书中对于技术特征、技术方案或有益效果的描述并不一定是指相同的实施例。进而，还可以任何适当的方式组合本实施例中所描述的技术特征、技术方案和有益效果。本领域技术人员将会理解，无需特定实施例的一个或多个特定的技术特征、技术方案或有益效果即可实现实施例。在其他实施例中，还可在没有体现所有实施例的特定实施例中识别出额外的技术特征和有益效果。

附图说明

以下对本申请实施例用到的附图进行介绍。

图1A是本申请实施例提供的一种基于差分隐私技术对用户数据进行加密处理的示意图；

图1B是本申请实施例提供的一种加密程度的示意图；

图2是本申请实施例提供的一种数据处理方法适用的系统架构的示意图；

图3是本申请实施例提供的一种电子设备100的结构示意图；

图4是本申请实施例提供的一种电子设备100的软件架构示意图；

图5示例性提供了一种显示隐私预设值的用户界面；

图6是本申请实施例提供的一种数据处理方法的流程示意图；

图7A是本申请实施例提供的一种识别差分隐私算法的场景示意图；

图7B是本申请实施例提供的一种识别数据特征和/或结构特征确定差分隐私算法的流程示意图；

图7C是本申请实施例提供的一种识别第三类算法和第四类算法的流程示意图；

图8A是本申请实施提供的一种基于第一类算法确定隐私预算值的流程示意图；

图8B是本申请实施提供的一种基于第二类算法确定隐私预算值的流程示意图；

图8C是本申请实施提供的一种基于第三类算法确定隐私预算值的流程示意图；

图8D是本申请实施提供的一种基于第四类算法确定隐私预算值的流程示意图。

具体实施方式

本申请以下实施例中所使用的术语只是为了描述特定实施例的目的，而并非旨在作为对本申请的限制。如在本申请的说明书和所附权利要求书中所使用的那样，单数表达形式“一个”、“一种”、“所述”、“上述”、“该”和“这一”旨在也包括复数表达形式，除非其上下文中明确地有相反指示。还应当理解，本申请中使用的术语“和/或”是指并包含一个或多个所列出项目的任何或所有可能组合。

以下，术语“第一”、“第二”仅用于描述目的，而不能理解为暗示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征，在本申请实施例的描述中，除非另有说明，“多个”的含义是两个或两个以上。

为了便于清楚描述本申请实施例的技术方案，以下对本申请实施例中所涉及的部分术语进行简单介绍。

1.差分隐私（differential privacy，DP），差分隐私是对隐私泄露问题提出的一种隐私定义，在此定义下，数据库的计算处理结果对于某个用户数据的变化是不敏感的，也就是说，单个用户数据在数据集中或者不在数据集中，对计算结果的影响微乎其微。这样，一个用户数据因加入到数据集中所产生的隐私泄露风险被控制在极小的、可接受的范围内，云侧数据或者攻击者无法通过观察计算结果而获取任何用户的准确的数据信息。

差分隐私的核心思想是通过在数据中引入一定的噪音或扰动，使得对个体的具体信息无法被准备推断出来，同时保持数据分析的有效性和准确性。差分隐私已经被广泛应用于数据共享、数据挖掘和机器学习等领域。

2.差分隐私算法

最经常使用的差分隐私算法包括：计数草图哈达玛（CountSketchHadmard）算法、序列碎片拼图（SequenceFragmentPuzzle，SFP）算法、计数均值草图（CountMeanSketch，CMS）算法和基于随机响应机制的本地差分隐私（Randomized Aggregatable Privacy-Preserving Ordinal Response，RAPPOR）算法。其中：

CountSketchHadmard算法使用哈达玛计数均值草图（Hadamard Count MeanSketch，HCMS）这一数据结构，用于在数据流中估计元素的频率。它结合了哈达玛变换和计数均值计数，以实现高效的频率估计。在HCMS中，数据流中的元素首先经过哈达玛变换，然后在哈达玛空间中进行计数均值处理。哈达玛变换具有可以在较小的空间内实现对数据流的元素频率的准确估计。其中，哈达玛空间具体可以是哈达玛矩阵，哈达玛矩阵是一个方阵，每个元素为1或-1。

HCMS的工作流程如下：

1）从哈希函数集H中随机选取一个哈希函数hj用于对候选项进行映射，令hj=i，因此得到键值i，j代表着哈希函数在H中的序号。

2）初始化一个长度为m的向量，除了键值i对应的索引位置置1外，其他位置都置0。

3）使用哈达玛矩阵进行变换，将向量v转换为向量x。

4）从向量x中随机选择索引进行采样，然后对采样得到的对应比特进行一定概率（比如说/>）的翻转，得到隐私比特/>。

5）基于CountSketchHadmard算法得到的差分数据包括：所选哈希函数的索引j、采样坐标的索引以及隐私比特/>。

SequenceFragmentPuzzle（SFP）算法的核心思想是通过统计高频的字符串片段来“构造”出未知的字符串，基于的原理是在高频出现的字符串中，其子片段也会高频出现。通过将字符串进行拆分，使得字符串的频次计算量大幅度减少。

SFP算法的工作流程如下：

1）设置隐私参数(ε,ε')和哈希函数集(H,H')。其中，ε,H用于表示完整字符串s（例：未知字符串Despacito); ε', H'用于表示字符串片段（或者称为截取支付穿）（例：sp）。另外，还需要哈希函数h用于计算片段映射。

2）对索引L={1,3,5,7,9}进行采样并构造片段s[L:L+i]。为了更容易说明，这里使用长度为2的子字符串，即s[L:L+1]。

3）对构造的字符串进行哈希映射(例：97），并进行拼接得到拼接字符串r。

4）将完整字符串s和拼接字符串r分别进行CMS算法运算，得到的结果分别为CMS(S)和CMS(r)。

5）基于SFP算法得到的差分数据包括：索引L、完整字符串CMS(S)和拼接字符串CMS(r)。

CMS算法的工作流程如下：

1)从哈希函数集H中随机选取一个哈希函数hj用于对候选项进行映射，得到键值i，j代表着哈希函数在H中的序号。

2)初始化一个长度为m的向量v，除了键值i对应索引位置置1外，其余位置都置-1。

3)将向量v中的每一位按照一定的概率进行翻转，通过这种方式添加随机噪声来保护用户数据隐私。

4)基于CMS算法得到的差分数据包括：向量v、随机选择的hash函数序号j、隐私参数ε，向量长m以及哈希函数个数k。

随机响应技术是一种满足差分隐私要求的频数估计算法，它的关键在于提供一个合理的否认机制，通过该否认机制，可以模糊用户对问题的结果响应，从而实现在保护用户隐私的情况下进行频数统计的目的。

RAPPOR算法的工作流程如下：

1）利用布隆滤波器Bloom Filter将输入（真值）v映射成一个长度为k（例如256）的二值向量B。其中，当一个输入值输入布隆滤波器时，会通过k个散列函数将这个输入数据映射成向量中的k个点，并把它们置为1。检索时，只要查看这些点是不是都是1就有很大概率知道集合中是否存在该元素。

2）以一定概率f更改二值向量B中每个位的值，得到B’ ,f为用户可控的参数，代表隐私保护程度，该过程被称为永久随机响应，规则如下。

3）初始化全为0，长度为k的二值向量S，按照以下概率赋值，该过程称为临时随机响应。

4）基于CMS算法得到的差分数据包括：二值向量S、向量长度k，参数f，以及概率p和q。

请参见图1A，图1A是本申请实施例提供的一种基于差分隐私技术对用户数据进行加密处理的示意图。如图1A所示，用户在使用电子设备100的过程中，会产生原始的用户数据。电子设备100获取到原始的用户数据后，为了避免隐私泄露，可以基于差分隐私（DP）技术对用户数据进行加密处理得到差分数据，然后再将差分数据向云侧设备200发送。其中，差分隐私是一种保护数据隐私的方法，通过添加噪声来扰动原始数据，进而确保数据在输出时单条记录的影响始终低于某个阈值，使得攻击者无法使用差分攻击推断出用户的数据。需要说明的是，进行差分隐私处理的原始用户数据为二进制数据，因此差分隐私处理后得到的差分数据也未二进制数据。

从图1A可以看出，目前的电子设备在将用户数据上传到云侧设备之前，仅仅只是对用户数据进行差分隐私加密处理。电子设备没有直观的向用户呈现该数据已经被加密，用户难以显性感知差分隐私技术，从而无法知道自己的数据已经被差分隐私保护。在此情况下，可能会使得用户担忧上传到云侧设备的数据会被泄露。

另外，目前存在多种实现差分隐私的技术手段，电子设备在对用户数据进行差分隐私处理时，对不同的用户数据可能使用不同的技术手段。但是，电子设备缺少对该技术手段的识别方法，导致用户无法明确自己数据的差分隐私处理方式，可能会带来用户对隐私泄露的担忧。

其次，当所采用的差分隐私技术不同，所需要处理的用户数据不同时，经过加密处理所得到的差分数据所对应的加密程度也可能是不同的。请参见图1B，图1B是本申请实施例提供的一种加密程度的示意图。从图1B可以看出，当差分数据所对应的加密程度较大时，用户数据被保护的更好，所以隐私泄露的可能性越小；当差分数据所对应的加密程度较小时，用户数据被保护的不够好，所以隐私泄露的可能性较大。目前的电子设备基于差分隐私技术对用户数据进行加密处理得到差分数据之后，是直接上传给云侧设备的，没有对差分数据的加密程度进行判断。所以在加密程度较低时，可能会导致用户数据得不到保护，造成隐私泄露。

有鉴于此，本申请提供一种数据处理方法，该方法可应用于电子设备，电子设备包括设置应用程序，该设置应用程序用于管理一个或多个应用程序的隐私数据，隐私数据包括差分数据、差分数据对应的差分隐私算法和隐私预算值。电子设备响应于对隐私保护应用程序的用户操作，显示第一用户界面。其中，第一用户界面包括一个或多个应用程序所分别对应的隐私预算值，隐私预算值为根据用户数据和用户数据对应的差分数据所确定的，用户数据包括用户使用对应的应用程序所生成的数据，差分数据包括对用户数据进行加密处理后得到的数据，隐私预算值用于反映上述加密处理的加密程度。因此，用户可直观感受到自己的数据已经经过差分隐私保护，减轻用户对于隐私泄露的焦虑。

示例性地，用户数据具体包括用户使用对应的应用程序过程中生成的需要上传到云测设备的数据。

示例性地，在第一隐私预算值大于第二隐私预算值时，第一隐私预算值对应的第一加密程度小于第二隐私预算值对应的第二加密程序。

请参见图2，图2是本申请实施例提供的一种数据处理方法适用的系统架构的示意图。该系统架构包括电子设备100和云侧设备200。其中，电子设备100和云侧设备200之间建立有通信连接，该通信连接例如可以是任何基于通信技术标准的无线通信方式，例如无线局域网(wireless local area networks，WLAN)（如无线保真(wireless fidelity，Wi-Fi)）、卫星、蜂窝通信、车联网 (vehical to everything，V2X)、如长期演进(long termevolution，LTE)通信、第五代移动通信技术(the 5 th generation，5G)以及未来可能存在的通信方式等。

其中，电子设备100是具有数据处理能力和数据收发能力的设备，电子设备可以是搭载iOS®、Android®、Microsoft®或者其它操作系统的便携式终端设备，例如手机、平板电脑、桌面型计算机、膝上型计算机、手持计算机、笔记本电脑、超级移动个人计算机（ultra-mobile personal computer，UMPC）、上网本，以及蜂窝电话、个人数字助理（personal digital assistant，PDA）、增强现实（augmented reality，AR）设备、虚拟现实（virtual reality，VR）设备、人工智能(artificial intelligence, AI)设备、可穿戴式设备(如：智能手表、智能手环)、车8载设备、智能家居设备和/或智慧城市设备，等具备显示功能的设备，等等。本申请实施例对电子设备的具体类型不作特殊限制。

云侧设备200可以是具有数据收发能力、数据存储能力和数据处理能力的网络设备，云侧设备200可以被称为云侧、云端、云端服务器、服务器等。云侧设备200可以是实体设备如主机、机架式服务器、刀片式服务器等，也可以是虚拟设备如虚拟机、容器等。进一步的，云侧设备200可以是一个服务器，也可以是多个服务器组成的服务器集群。进一步的，云侧设备200包括实体存储设备，例如内存（包括随机存储记忆体（random access memory，RAM）、只读存储器（read-only memory， ROM）、可擦除可编程只读存储器（erasableprogrammable read only memory，EPROM）等），再如磁盘(包括便携式随机存储器（compactdisc random access memory，CD-RAM）、硬盘等)，也可以是其他具有数据存储能力的电子设备，例如网络附属存储（Network Attached Storage，NAS）服务器等，还可以是虚拟存储设备，例如虚拟机、容器等等。

可以理解的是，随着终端技术的发展，为了给用户提供更加贴合需求的服务，提高用户的使用体验，电子设备100可以根据用户体验计划或者其他AI服务，将电子设备100中生成或者保存的用户数据（比如说用户反映地理位置、文字习惯、输入法习惯等等信息的数据）作为上报数据向云侧设备200上报。

在一些实施例中，为了保护用户隐私，防止隐私泄露，电子设备100在上报之前，可以基于差分隐私算法对用户数据进行加密处理生成差分数据，然后向云侧设备200上报差分数据。

在一些实施例中，在上报差分数据之前，为了让用户显性感知用户数据已经经过隐私保护，减轻用户对隐私泄露的担忧，电子设备100可以生成差分数据对应的隐私预算值，隐私预算值用于反映对差分数据的加密程度。从图1B可知，当差分数据所对应的加密程度较大时，用户数据被保护的更好，所以隐私泄露的可能性越小；当差分数据所对应的加密程度较小时，用户数据被保护的不够好，所以隐私泄露的可能性较大。因此，用户通过电子设备100所提供的隐私预算值可以感知到自己的数据被保护的程度。

在一些实施例中，不同的用户数据，可能使用不同的差分隐私算法进行加密处理。因此，电子设备100可以识别得到不同的差分数据所对应的差分隐私算法，从而向用户提供数据的保护方式，让用户可以更加直观地感知数据保护力度，降低用户焦虑。

在一些实施例中，不同的应用程序可能对应不同的预设阈值，在应用程序的隐私预算值大于或等于该应用程序对应的预设阈值时，用户数据可能会被泄露，电子设备100可显示该应用程序对应的提示信息，提示信息用于提示用户该应用程序的差分数据存在隐私泄露风险，因此用户可以据此作出回应（比如说不允许上传数据），确定用户数据得到充分保护。

示例地，以电子设备为手机为例，图3是本申请实施例提供的一种电子设备100的结构示意图。也即，示例性的，图3所示的电子设备可以是手机。

如图3所示，电子设备100可以包括处理器110，外部存储器接口120，内部存储器121，通用串行总线(universal serial bus，USB)接口130，充电管理模块140，电源管理模块141，电池142，天线1，天线2，移动通信模块150，无线通信模块160，音频模块170，扬声器170A，受话器170B，麦克风170C，耳机接口170D，传感器模块180，按键190，马达191，指示器192，摄像头193，显示屏194，以及用户标识模块(subscriber identification module，SIM)卡接口195等。其中传感器模块180可以包括压力传感器180A，陀螺仪传感器180B，气压传感器180C，磁传感器180D，加速度传感器180E，距离传感器180F，接近光传感器180G，指纹传感器180H，温度传感器180J，触摸传感器180K，环境光传感器180L，骨传导传感器180M等。

可以理解的是，本发明实施例示意的结构并不构成对电子设备100的具体限定。在本申请另一些实施例中，电子设备100可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件，软件或软件和硬件的组合实现。

处理器110可以包括一个或多个处理单元，例如：处理器110可以包括应用处理器(application processor，AP)，调制解调处理器，图形处理器(graphics processingunit，GPU)，图像信号处理器(image signal processor，ISP)，控制器，视频编解码器，数字信号处理器(digital signal processor，DSP)，基带处理器，和/或神经网络处理器(neural-network processing unit，NPU)等。其中，不同的处理单元可以是独立的器件，也可以集成在一个或多个处理器中。

控制器可以根据指令操作码和时序信号，产生操作控制信号，完成取指令和执行指令的控制。

处理器110中还可以设置存储器，用于存储指令和数据。在一种实施方式中，处理器110中的存储器为高速缓冲存储器。该存储器可以保存处理器110刚用过或循环使用的指令或数据。如果处理器110需要再次使用该指令或数据，可从所述存储器中直接调用。避免了重复存取，减少了处理器110的等待时间，因而提高了系统的效率。

在一种实施方式中，处理器110可以包括一个或多个接口。接口可以包括集成电路(inter-integrated circuit，I2C)接口，集成电路内置音频(inter-integrated circuitsound，I2S)接口，脉冲编码调制(pulse code modulation，PCM)接口，通用异步收发传输器(universal asynchronous receiver/transmitter，UART)接口，移动产业处理器接口(mobile industry processor interface，MIPI)，通用输入输出(general-purposeinput/output，GPIO)接口，SIM接口，和/或通用串行总线(universal serial bus，USB)接口等。

充电管理模块140用于从充电器接收充电输入。其中，充电器可以是无线充电器，也可以是有线充电器。在一些有线充电的实施方式中，充电管理模块140可以通过USB接口130接收有线充电器的充电输入。在一些无线充电的实施方式中，充电管理模块140可以通过电子设备100的无线充电线圈接收无线充电输入。充电管理模块140为电池142充电的同时，还可以通过电源管理模块141为电子设备100供电。

电源管理模块141用于连接电池142，充电管理模块140与处理器110。电源管理模块141接收电池142和/或充电管理模块140的输入，为处理器110，内部存储器121，显示屏194，摄像头193，和无线通信模块160等供电。电源管理模块141还可以用于监测电池容量，电池循环次数，电池健康状态(漏电，阻抗)等参数。在另一种实施方式中，电源管理模块141也可以设置于处理器110中。在另一种实施方式中，电源管理模块141和充电管理模块140也可以设置于同一个器件中。

电子设备100的无线通信功能可以通过天线1，天线2，移动通信模块150，无线通信模块160，调制解调处理器以及基带处理器等实现。

天线1和天线2用于发射和接收电磁波信号。电子设备100中的每个天线可用于覆盖单个或多个通信频带。不同的天线还可以复用，以提高天线的利用率。例如：可以将天线1复用为无线局域网的分集天线。在另一种实施方式中，天线可以和调谐开关结合使用。

移动通信模块150可以提供应用在电子设备100上的包括第二代移动通信技术（second generation，2G）/第三代移动通信技术（third generation，3G）/第四代移动通信技术（fourth-generation，4G）/第五代移动通信技术（fifth generation，5G）/第六代移动通信技术（six generation，6G）等无线通信的解决方案。移动通信模块150可以包括至少一个滤波器，开关，功率放大器，低噪声放大器(low noise amplifier，LNA)等。移动通信模块150可以由天线1接收电磁波，并对接收的电磁波进行滤波，放大等处理，传送至调制解调处理器进行解调。移动通信模块150还可以对经调制解调处理器调制后的信号放大，经天线1转为电磁波辐射出去。在一种实施方式中，移动通信模块150的至少部分功能模块可以被设置于处理器110中。在一种实施方式中，移动通信模块150的至少部分功能模块可以与处理器110的至少部分模块被设置在同一个器件中。

调制解调处理器可以包括调制器和解调器。其中，调制器用于将待发送的低频基带信号调制成中高频信号。解调器用于将接收的电磁波信号解调为低频基带信号。随后解调器将解调得到的低频基带信号传送至基带处理器处理。低频基带信号经基带处理器处理后，被传递给应用处理器。应用处理器通过音频设备(不限于扬声器170A，受话器170B等)输出声音信号，或通过显示屏194显示图像或视频。在一种实施方式中，调制解调处理器可以是独立的器件。在另一种实施方式中，调制解调处理器可以独立于处理器110，与移动通信模块150或其他功能模块设置在同一个器件中。

无线通信模块160可以提供应用在电子设备100上的包括无线局域网(wirelesslocal area networks，WLAN)(如无线保真(wireless fidelity，Wi-Fi)网络)，蓝牙(bluetooth，BT)，全球导航卫星系统(global navigation satellite system，GNSS)，调频(frequency modulation，FM)，近距离无线通信技术(near field communication，NFC)，红外技术(infrared，IR)，星闪（sparklink）联盟规范的无线通信技术（例如SLE、SLB）等无线通信的解决方案。无线通信模块160可以是集成至少一个通信处理模块的一个或多个器件。无线通信模块160经由天线2接收电磁波，将电磁波信号调频以及滤波处理，将处理后的信号发送到处理器110。无线通信模块160还可以从处理器110接收待发送的信号，对其进行调频，放大，经天线2转为电磁波辐射出去。

在一种实施方式中，电子设备100的天线1和移动通信模块150耦合，天线2和无线通信模块160耦合，使得电子设备100可以通过无线通信技术与网络以及其他设备通信。所述无线通信技术可以包括全球移动通讯系统(global system for mobilecommunications，GSM)，通用分组无线服务(general packet radio service，GPRS)，码分多址接入(code division multiple access，CDMA)，宽带码分多址(wideband codedivision multiple access，WCDMA)，时分码分多址(time-division code divisionmultiple access，TD-SCDMA)，长期演进(long term evolution，LTE)，BT，GNSS，WLAN，NFC，FM，和/或IR技术等。所述GNSS可以包括全球卫星定位系统(global positioning system，GPS)，全球导航卫星系统(global navigation satellite system，GLONASS)，北斗卫星导航系统(beidou navigation satellite system，BDS)，准天顶卫星系统(quasi-zenithsatellite system，QZSS)和/或星基增强系统(satellite based augmentation systems，SBAS)。

电子设备100通过GPU，显示屏194，以及应用处理器等实现显示功能。GPU为图像处理的微处理器，连接显示屏194和应用处理器。GPU用于执行数学和几何计算，用于图形渲染。处理器110可包括一个或多个GPU，其执行程序指令以生成或改变显示信息。

显示屏194用于显示图像，视频等。显示屏194包括显示面板。显示面板可以采用液晶显示屏(liquid crystal display，LCD)，有机发光二极管(organic light-emittingdiode，OLED)，有源矩阵有机发光二极体或主动矩阵有机发光二极体(active-matrixorganic light emitting diode的，AMOLED)，柔性发光二极管(flex light-emittingdiode，FLED)，Miniled，MicroLed，Micro-oLed，量子点发光二极管(quantum dot lightemitting diodes，QLED)等。在一种实施方式中，电子设备100可以包括N个显示屏194，N为大于1的正整数。

电子设备100可以通过ISP，摄像头193，视频编解码器，GPU，显示屏194以及应用处理器等实现拍摄功能。

ISP用于处理摄像头193反馈的数据。例如，拍照时，打开快门，光线通过镜头被传递到摄像头感光元件上，光信号转换为电信号，摄像头感光元件将所述电信号传递给ISP处理，转化为肉眼可见的图像。ISP还可以对图像的噪点，亮度等进行算法优化。ISP还可以对拍摄场景的曝光，色温等参数优化。在一种实施方式中，ISP可以设置在摄像头193中。

摄像头193用于捕获静态图像或视频。物体通过镜头生成光学图像投射到感光元件。感光元件可以是电荷耦合器件(charge coupled device，CCD)或互补金属氧化物半导体(complementary metal-oxide-semiconductor，CMOS)光电晶体管。感光元件把光信号转换成电信号，之后将电信号传递给ISP转换成数字图像信号。ISP将数字图像信号输出到DSP加工处理。DSP将数字图像信号转换成标准的RGB，YUV等格式的图像信号。在一种实施方式中，电子设备100可以包括1个或N个摄像头193，N为大于1的正整数。

数字信号处理器用于处理数字信号，除了可以处理数字图像信号，还可以处理其他数字信号。例如，当电子设备100在频点选择时，数字信号处理器用于对频点能量进行傅里叶变换等。

视频编解码器用于对数字视频压缩或解压缩。电子设备100可以支持一种或多种视频编解码器。这样，电子设备100可以播放或录制多种编码格式的视频，例如：动态图像专家组(moving picture experts group，MPEG)1，MPEG2，MPEG3，MPEG4等。

NPU为神经网络(neural-network ，NN)计算处理器，通过借鉴生物神经网络结构，例如借鉴人脑神经元之间传递模式，对输入信息快速处理，还可以不断的自学习。通过NPU可以实现电子设备100的智能认知等应用，例如：图像识别，人脸识别，语音识别，文本理解等。

外部存储器接口120可以用于连接外部存储卡，例如Micro SD卡，实现扩展电子设备100的存储能力。外部存储卡通过外部存储器接口120与处理器110通信，实现数据存储功能。例如将音乐，视频等文件保存在外部存储卡中。

内部存储器121可以用于存储计算机可执行程序代码，所述可执行程序代码包括指令。内部存储器121可以包括存储程序区和存储数据区。其中，存储程序区可存储操作系统，至少一个功能所需的应用程序(比如声音播放功能，图像播放功能等)等。存储数据区可存储电子设备100使用过程中所创建的数据(比如音频数据，电话本等)等。此外，内部存储器121可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件，闪存器件，通用闪存存储器(universal flash storage，UFS)等。处理器110通过运行存储在内部存储器121的指令，和/或存储在设置于处理器中的存储器的指令，执行电子设备100的各种功能应用以及数据处理。

电子设备100可以通过音频模块170，扬声器170A，受话器170B，麦克风170C，耳机接口170D，以及应用处理器等实现音频功能。电子设备100还可以通过连接的蓝牙设备实现音频功能。例如音乐播放，录音等。

音频模块170用于将数字音频信息转换成模拟音频信号输出，也用于将模拟音频输入转换为数字音频信号。音频模块170还可以用于对音频信号编码和解码。在一种实施方式中，音频模块170可以设置于处理器110中，或将音频模块170的部分功能模块设置于处理器110中。

扬声器170A，也称“喇叭”，用于将音频电信号转换为声音信号。电子设备100可以通过扬声器170A收听音乐，或收听免提通话。

受话器170B，也称“听筒”，用于将音频电信号转换成声音信号。当电子设备100接听电话或语音信息时，可以通过将受话器170B靠近人耳接听语音。

麦克风170C，也称“话筒”，“传声器”，用于将声音信号转换为电信号。当拨打电话或发送语音信息时，用户可以通过人嘴靠近麦克风170C发声，将声音信号输入到麦克风170C。电子设备100可以设置至少一个麦克风170C。在另一种实施方式中，电子设备100可以设置两个麦克风170C，除了采集声音信号，还可以实现降噪功能。在另一种实施方式中，电子设备100还可以设置三个，四个或更多麦克风170C，实现采集声音信号，降噪，还可以识别声音来源，实现定向录音功能等。

压力传感器180A用于感受压力信号，可以将压力信号转换成电信号。在一种实施方式中，压力传感器180A可以设置于显示屏194。压力传感器180A的种类很多，如电阻式压力传感器，电感式压力传感器，电容式压力传感器等。电容式压力传感器可以是包括至少两个具有导电材料的平行板。当有力作用于压力传感器180A，电极之间的电容改变。电子设备100根据电容的变化确定压力的强度。当有触摸操作作用于显示屏194，电子设备100根据压力传感器180A检测所述触摸操作强度。电子设备100也可以根据压力传感器180A的检测信号计算触摸的位置。在一种实施方式中，作用于相同触摸位置，但不同触摸操作强度的触摸操作，可以对应不同的操作指令。例如：当有触摸操作强度小于第一压力阈值的触摸操作作用于短消息应用图标时，执行查看短消息的指令。当有触摸操作强度大于或等于第一压力阈值的触摸操作作用于短消息应用图标时，执行新建短消息的指令。

陀螺仪传感器180B可以用于确定电子设备100的运动姿态。气压传感器180C用于测量气压。磁传感器180D包括霍尔传感器。加速度传感器180E可检测电子设备100在各个方向上(一般为三轴)加速度的大小。距离传感器180F，用于测量距离。接近光传感器180G可以包括例如发光二极管(LED)和光检测器，例如光电二极管。发光二极管可以是红外发光二极管。环境光传感器180L用于感知环境光亮度。指纹传感器180H用于采集指纹。电子设备100可以利用采集的指纹特性实现指纹解锁，访问应用锁，指纹拍照，指纹接听来电等。温度传感器180J用于检测温度。骨传导传感器180M可以获取振动信号。

触摸传感器180K，也称“触控器件”。触摸传感器180K可以设置于显示屏194，由触摸传感器180K与显示屏194组成触摸屏，也称“触控屏”。触摸传感器180K用于检测作用于其上或附近的触摸操作。触摸传感器可以将检测到的触摸操作传递给应用处理器，以确定触摸事件类型。可以通过显示屏194提供与触摸操作相关的视觉输出。在另一种实施方式中，触摸传感器180K也可以设置于电子设备100的表面，与显示屏194所处的位置不同。

按键190包括开机键，音量键等。按键190可以是机械按键。也可以是触摸式按键。电子设备100可以接收按键输入，产生与电子设备100的用户设置以及功能控制有关的键信号输入。马达191可以产生振动提示。指示器192可以是指示灯，可以用于指示充电状态，电量变化，也可以用于指示消息，未接来电，通知等。

SIM卡接口195用于连接SIM卡。SIM卡可以通过插入SIM卡接口195，或从SIM卡接口195拔出，实现和电子设备100的接触和分离。电子设备100可以支持1个或N个SIM卡接口，N为大于1的正整数。SIM卡接口195可以支持Nano SIM卡，Micro SIM卡，SIM卡等。同一个SIM卡接口195可以同时插入多张卡（例如包括主卡和副卡）。多张卡的类型可以相同，也可以不同。SIM卡接口195也可以兼容不同类型的SIM卡。SIM卡接口195也可以兼容外部存储卡。电子设备100通过SIM卡和网络交互，实现通话以及数据通信等功能。在一种实施方式中，电子设备100采用eSIM，即：嵌入式SIM卡。eSIM卡可以嵌在电子设备100中，不能和电子设备100分离。

电子设备100的软件系统可以采用分层架构，事件驱动架构，微核架构，微服务架构，或云架构。例如，分层架构的软件系统可以是安卓（Android）系统，也可以是鸿蒙（harmony）操作系统（operating system，OS），或其它软件系统。本申请实施例以分层架构的Android系统为例说明电子设备100的软件结构。

图4是本申请实施例提供的一种电子设备100的软件架构示意图。

分层架构将软件分成若干个层，每一层都有清晰的角色和分工。层与层之间通过软件接口通信。在一种实施方式中，将Android系统分为四层，从上至下分别为应用程序层，应用程序框架层，安卓运行时(Android runtime)和系统库，以及内核层。

应用程序层可以包括一系列应用程序包。

如图4所示，应用程序包可以包括相机，图库，日历，通话，地图，导航，蓝牙，音乐，视频，设置等应用程序。本申请中的应用程序也可以替换为小程序、原子化服务等其他软件。本申请实施例中的应用程序也可以替换为小程序、原子化服务等其他软件。

其中，设置应用程序包括各种功能和选项，可以用来调整电子设备的外观和行为，包括网络选项、通知设置、声音和振动设置、屏幕亮度和背光设置、应用程序设置、用户和账户设置、隐私助手设置，等等。

应用程序框架层为应用程序层的应用程序提供应用编程接口(applicationprogramming interface，API)和编程框架。应用程序框架层包括一些预先定义的函数。

如图4所示，应用程序框架层可以包括窗口管理器，内容提供器，视图系统，电话管理器，资源管理器，通知管理器，隐私管理器等。

窗口管理器用于管理窗口程序。窗口管理器可以获取显示屏大小，判断是否有状态栏，锁定屏幕，截取屏幕等。

内容提供器用来存放和获取数据，并使这些数据可以被应用程序访问。所述数据可以包括视频，图像，音频，拨打和接听的电话，浏览历史和书签，电话簿等。

视图系统包括可视控件，例如显示文字的控件，显示图片的控件等。视图系统可用于构建应用程序。显示界面可以由一个或多个视图组成的。例如，包括短信通知图标的显示界面，可以包括显示文字的视图以及显示图片的视图。

电话管理器用于提供电子设备100的通信功能。例如通话状态的管理(包括接通，挂断等)。

资源管理器为应用程序提供各种资源，比如本地化字符串，图标，图片，布局文件，视频文件等等。

通知管理器使应用程序可以在状态栏中显示通知信息，可以用于传达告知类型的消息，可以短暂停留后自动消失，无需用户交互。比如通知管理器被用于告知下载完成，消息提醒等。通知管理器还可以是以图表或者滚动条文本形式出现在系统顶部状态栏的通知，例如后台运行的应用程序的通知，还可以是以对话窗口形式出现在屏幕上的通知。例如在状态栏提示文本信息，发出提示音，电子设备100振动，指示灯闪烁等。

隐私管理器用于管理用户的隐私数据，隐私数据包括差分数据、差分数据对应的隐私预算值和差分隐私算法。其中，差分数据包括对用户数据进行加密处理后得到的数据，用户数据为用户在使用应用程序的过程中所生成的数据，具体可以是输入行为数据，比如说与输入法相关的数据，与输入表情包相关的数据。

在一种实现中，隐私管理器可以调用视图系统显示一个或多个应用程序对应的隐私预算值和其对应的差分隐私算法。

在一种实现中，在隐私预算值大于或等于其对应的应用程序的预设阈值时，隐私管理器可以调用视图系统显示该应用程序对应的提示信息，提示信息用于提示用户该应用程序的差分数据存在隐私泄露风险。

Android Runtime包括核心库和虚拟机。Android runtime负责安卓系统的调度和管理。

核心库包含两部分：一部分是java语言需要调用的功能函数，另一部分是安卓的核心库。

应用程序层和应用程序框架层运行在虚拟机中。虚拟机将应用程序层和应用程序框架层的java文件执行为二进制文件。虚拟机用于执行对象生命周期的管理，堆栈管理，线程管理，安全和异常的管理，以及垃圾回收等功能。

系统库可以包括多个功能模块。例如：表面管理器(surface manager)，媒体库(Media Libraries)，三维图形处理库(例如：OpenGL ES)，2D图形引擎(例如：SGL)等。

表面管理器用于对显示子系统进行管理，并且为多个应用程序提供了2D和3D图层的融合。

媒体库支持多种常用的音频，视频格式回放和录制，以及静态图像文件等。媒体库可以支持多种音视频编码格式，例如: MPEG4，H.264，MP3，AAC，AMR，JPG，PNG等。

三维图形处理库用于实现三维图形绘图，图像渲染，合成，和图层处理等。

2D图形引擎是2D绘图的绘图引擎。

内核层是硬件和软件之间的层。内核层至少包含显示驱动，摄像头驱动，音频驱动，传感器驱动。

下面结合显示隐私预算值场景，示例性说明电子设备100软件以及硬件的工作流程。

当触摸传感器180K接收到触摸操作，相应的硬件中断被发给内核层。内核层将触摸操作加工成原始输入事件(包括触摸坐标，触摸操作的时间戳等信息)。原始输入事件被存储在内核层。应用程序框架层从内核层获取原始输入事件，识别该输入事件所对应的控件。以该触摸操作是触摸单击操作，该单击操作所对应的控件例如为设置应用程序的界面中用于隐私管理的控件为例，设置应用调用应用框架层的接口，从隐私管理器中获取一个或多个应用程序所对应的隐私预算值，调用视图系统创建包括上述隐私预算值的视图，进而通过调用内核层启动显示驱动，通过显示屏194显示包括上述隐私预算值的用户界面。

下面介绍本申请实施例涉及的应用场景以及该场景下的用户界面示例。

图5示例性提供了一种显示隐私预设值的用户界面。其中：

图5的（a）是本申请实施例提供的一种电子设备的主界面。如图5的（a）所示，主界面500可包括状态栏501、页面指示符502、以及多个应用程序图标。

其中，状态栏501可包括移动通信信号（又可称为蜂窝信号）的一个或多个信号强度指示符、无线高保真（wireless fidelity，Wi-Fi）信号强度指示符，电池状态指示符、时间指示符等。

页面指示符502可用于指示当前显示的页面与其他页面的位置关系。

多个应用程序图标可包括设置应用图标113A、应用库应用图标113B、浏览器应用图标113C、图库应用图标113D、相机应用图标113F、通讯录应用图标113G、电话应用图标、信息应用图标等。不限于上述图标，主界面500还可包括其他应用程序图标，这里不再一一例举。多个应用程序图标可分布在多个页面。页面指示符502可以用于指示用户当前浏览的页面是承载多个应用程序的多个页面中的哪一个页面。用户可以通过左右滑动的触控操作来浏览其他页面。

可以理解的，图5的（a）及其后续介绍的用户界面仅仅示例性示出了以手机为例的电子设备的一种可能的用户界面样式，不应构成对本申请实施例的限定。

示例性地，应用程序响应于用户操作而启动，在启动后的运行过程中产生大量的用户数据，比如说响应于用户的输入操作而产生的输入数据。电子设备100可保存上述用户数据，并根据用户体验或其他AI服务，将保存的用户数据作为上报数据向云侧设备上报。其中，电子设备100中的设置应用程序可用于管理一个或多个应用程序的设置，也可用于管理作为上报数据的用户数据的隐私设置。因此，电子设备100响应于作用在设置应用图标113A的用户操作（例如，该用户操作为触摸操作），可显示如图5的（b）所示的用户界面510。其中，图5的（b）所示的用户界面510为设置应用程序的主界面。

如图5的（b）所示，用户界面510包括登录XX账号控件、无线和网络控件、设备连接控件、应用和通知控件、隐私助手控件511、显示控件、声音控件、存储控件，等等。其中，登录XX账号控件用于管理用户的登录账号和同步设置。无线和网络控件用于管理Wi-Fi、移动网络、蓝牙、热点等无线和网络设置。设备连接控件用于管理与其他设备的连接，比如蓝牙设备、打印机、USB连接等。应用和通知控件用于管理应用程序的安装、权限、通知设置等。隐私助手控件511用于管理应用程序的权限、位置信息、安全设置等隐私相关选项、显示控件用于调整屏幕亮度、壁纸、睡眠时间、字体大小等显示相关的选项。声音控件用于调整铃声、震动、通知音量、媒体音量等声音相关的选项。存储控件用于查看电子设备100的存储情况、清理缓存、管理应用程序的存储控件等。为了对应用程序进行隐私管理，电子设备100响应于作用在隐私助手控件511的用户操作，可显示如图5的（c）所示的第一用户界面520。其中，图5的（c）所示的第一用户界面520为隐私助手这一功能选项的主界面。

如图5的（c）所示，第一用户界面520用于显示隐私助手这一选项对应用程序提供的隐私管理功能，具体包括一个或多个应用程序所分别对应的隐私预算值。隐私预算值为根据用户数据和用户数据对应的差分数据所确定的，而用户数据包括电子设备100中的一个或多个应用程序中的任意应用程序响应于用户操作而生成的数据。而差分数据包括对用户数据进行加密处理后得到的数据。可以理解的是，由于电子设备100的屏幕所显示的内容有限，电子设备100响应于向上滑动的用户操作，可在图5的（c）所示的第一用户界面520中显示更多的应用程序所对应的隐私预算值。

从图5的（c）可以看出，第一用户界面520包括AAA地图应用程序对应的隐私预算值2.4和隐私预算值2.4对应的进度条、BBB出行应用程序对应的隐私预算值2.6和隐私预算值2.6对应的进度条、CCC地图应用程序对应的隐私预算值2.8和隐私预算值2.8对应的进度条、DDD运动应用程序对应的隐私预算值2.1和隐私预算值2.1对应的进度条、EEE地图应用程序对应的隐私预算值2.6和隐私预算值2.6对应的进度条、FFF通讯应用程序对应的隐私预算值8.0和隐私预算值8.0对应的进度条。

其中，隐私预算值可用于反映差分数据的加密程度，隐私预算值对应的进度条也可用于反映差分数据的加密程度。进度条的长度随着隐私预算值的减小而增大，换言之，进度条的长度随着隐私预算值的增大而减小。当隐私预算值足够小时，其对应的进度条将趋于满格，则其所反映的差分数据的加密程度更高。

在一种可能的实施方式中，第一隐私预算值大于第二隐私预算值时，第一隐私预算值对应的第一加密程度小于第二隐私预算值对应的第二加密程度，第一隐私预算值对应的第一进度条的长度短于第二隐私预算值对应的第二进度条的长度。

示例性地，图5的（c）所示的FFF通讯应用程序对应的隐私预算值8.0大于AAA通讯应用程序对应的隐私预算值2.4，则隐私预算值8.0对应的加密程度小于隐私预算值2.4对应的加密程度，那么隐私预算值8.0对应的进度条的长度短于隐私预算值2.4对应的进度条的长度。

在一种可能的实施方式中，在第一应用程序的隐私预算值大于或等于第一应用程序的预设阈值时，第一用户界面还用于显示提示信息，其中，第一应用程序为安装在电子设备100中的一个或多个应用程序中的任意一个应用程序，具体可以是显示在第一用户界面520中的应用程序，该提示信息用于提示用户第一应用程序的差分数据存在隐私泄露风险。

示例性地，从图5的（c）可以看出，FFF通讯应用程序对应的隐私预算值8.0大于该应用程序的预设阈值，则在第一用户界面520的顶部区域521显示提示信息 “检测出上传数据存在隐私泄露风险！”，还可以在第一用户界面520中的FFF通讯应用程序所在的区域522显示提示信息“存在风险！”。因此，用户通过第一用户界面520所显示的提示信息可以知道FFF通讯应用程序的上传数据存在隐私泄露风险，从而用户可以对此应用程序进行回应操作，比如说禁止该应用程序访问或者上传数据。

在一种可能的实施方式中，在第一应用程序的隐私预算值小于第一应用程序的预设阈值时，图5的（c）所示的第一用户界面可以显示“未检测出上传数据存在隐私泄露风险”的提示信息（图5的（c）未示意出）。

其中，预设阈值为根据大量数据推理计算得到的可以反映差分数据的加密程度的值。可以理解的是，不同的应用程序所生成的数据可能不同，所以不同的应用程序所对应的预设阈值可能相同也可能不同，本申请对此不作任何限制。

在一种可能的实施方式中，若用户想要查看第二应用程序的更加详细的隐私预算检测结果，用户可点击第二应用程序的隐私预算值。因此，电子设备100响应于对第二应用程序的隐私预算值的用户操作，显示第二用户界面。第二应用程序为安装在电子设备100中的一个或多个应用程序中的任意一个应用程序，具体可以是显示在第一用户界面520中的应用程序。第二用户界面可以显示更加详细的隐私预算检测结果，比如说差分隐私算法和差分隐私算法对应的隐私预算值，差分隐私算法为对第二应用程序的用户数据进行加密处理生成第二应用程序的差分数据过程中所使用的算法。在一种实现中，第二用户界面可以是第二应用程序的差分数据的上传记录，也即将差分上传到云侧设备的记录。

可以理解的是，对于同一应用程序所生成的不同用户数据，可以基于不同的差分隐私算法对不同的用户数据进行差分处理，所以可以得到不同的差分数据和不同的隐私预算值。在一种实现中，在第二应用程序存在多个差分数据的情况下，第二用户界面还用于限制多个差分数据所分别对应的差分隐私算法，和多个差分隐私算法所分别对应的隐私预算值。

示例性地，电子设备100响应于对图5的（c）所示的第一用户界面520中的FFF通讯应用的隐私预算值的用户操作，比如说对FFF通讯应用程序所在的区域522的触摸操作，可显示图5的（d）所示的第二用户界面530。如图5的（d）所示，FFF通讯应用存在多个差分数据和其对应的隐私预算值，包括第一类差分数据和其对应的隐私预算值8.0、第一类差分数据和其对应的隐私预算值12.0、第二类差分数据和其对应的隐私预算值16.0、第三类差分数据和其对应的隐私预算值4.0以及第四类差分数据和其对应的隐私预算值2.0。其中，第一类差分数据对应的差分隐私算法为第一类算法，第二类差分数据对应的差分隐私算法为第二类算法，第三类差分数据对应的差分隐私算法为第三类算法，第四类差分数据对应的差分隐私算法为第四类算法。关于差分隐私算法的说明可参见下面的描述，此次不再赘述。

从图5的（d）可以看出，第二用户界面530为FFF通讯应用程序的差分数据的上传记录，可按照上传时间的先后顺序来显示差分隐私算法和差分隐私算法对应的隐私预算值，比如说预设显示顺序为最后上传的显示在最上方，最先上传的显示在最下方。其中，上传时间为电子设备100向云侧设备200发送差分数据的时间。比如说，1月31号这一天，一共上传FFF通讯应用程序的差分数据10次，从上往下依次显示15:26上传的第一类差分数据和隐私预算值8.0，15:23上传的第二类差分数据和隐私预算值16.0，15:17上传的第一类差分数据和隐私预算值12.0，在15:17和15:16之间上传的第四类差分数据和隐私预算值2.0，15:16上传的第三类差分数据和隐私预算值4.0。

示例性地，电子设备100响应于对显示时间控件531的用户操作，可选择上传时间所对应的差分数据上传记录。

示例性地，电子设备100响应于对显示顺序控件532的用户操作，可改变第二用户界面530中差分数据的显示顺序，比如说显示顺序可以为最先上传的显示在最上方，最后上传的显示在最下方。或者，按照隐私预算值的大小顺序来显示多个差分数据所分别对应的差分隐私算法，比如说从上往下按照从大到小的顺序来显示多个差分数据，或者从上往下按照从小到大的顺序来显示多个差分数据。本申请对多个差分数据的显示顺序不作任何限制，电子设备100还可以有更多或者更少的显示顺序。

请参见图6，图6是本申请实施例提供的一种数据处理方法的流程示意图，可选的，该方法可以应用于前述的系统，例如图2所示的数据处理方法适用的系统，具体用于图3所示的硬件架构和图4所示的软件架构。

如图6所示的数据处理方法可以包括步骤S601至步骤S604中的一个或者多个步骤。应理解，本申请为了方便描述，故通过S601至S604这一顺序进行描述，并不旨在限定一定通过上述顺序进行执行。本申请实施例对于上述一个或多个步骤的执行的先后顺序、执行的时间、执行的次数等不做限定。步骤S601至步骤S604具体如下：

步骤S601：获取用户数据和差分数据。

具体地，电子设备中安装有一个或多种应用程序，用户在使用应用程序的过程中，电子设备可以生成响应于对应用程序的用户操作而确定的用户数据（或者原始数据）。为了改善用户体验，上述用户数据可能会上传到云侧设备。为了防止上传过程中的隐私泄露，电子设备可以基于差分隐私算法对用户数据进行处理，得到差分数据。因此，在电子设备侧的差分数据上云之前，电子设备可以获取用户数据和差分数据。

步骤S602：根据差分数据确定对用户数据进行加密处理的过程中所使用的差分隐私算法。

可以理解的是，电子设备中存储有一种或多种差分隐私算法，不同的应用程序生成的用户数据或者同一应用程序生成的不同类型的用户数据可能使用不同的差分隐私算法。因此，电子设备在获取到差分数据和用户数据后，需要对差分数据所使用的差分隐私算法进行识别，从而确定对该差分数据所对应的用户数据进行加密处理的过程中所使用的差分隐私算法。

在一种可能的实施方式中，不同差分隐私算法所确定的差分数据可能具有不同的数据特征和/或结构特征，因此，电子设备可以根据差分数据的数据特征和/或结构特征确定加密过程中所使用的差分隐私算法。

请参见图7A，图7A是本申请实施例提供的一种识别差分隐私算法的场景示意图。如图7A所示，电子设备100包括特征识别模块701和统计识别模块702。假设已知电子设备100使用四种常见的差分隐私算法，而差分数据对应的差分隐私算法未知。其中，四种差分隐私算法包括第一类算法、第二类算法、第三类算法和第四类算法。第一类算法用于根据哈达玛变换和计数均值对用户数据进行加密处理。第二类算法用于根据哈希函数集对所述用户数据和所述用户数据对应的构造数据进行加密处理。第三类算法用于根据哈希函数集对所述用户数据进行加密处理。第四类算法用于根据随机响应对所述用户数据进行加密处理。在一种实现中，第一类算法具体可以是CountSketchHadmard算法，第二类算法具体可以是SequenceFragmentPuzzle算法，第三类算法具体可以是CountMeanSketch算法，第四类算法具体可以是RAPPOR算法。

其中，第一类算法和第二类算法可以直接通过数据特征进行识别，从图7A可以看出，电子设备100首先通过特征识别模块701对差分数据的数据特征进行识别，确定在加密处理过程中使用第一类算法和第二类算法的差分数据。

第二类算法和第三类算法无法直接通过数据特征进行识别，从图7A可以看出，电子设备100通过统计识别模块702对特征识别模块701未识别的差分数据的结构特征进行识别，确定在加密处理过程中使用第三类算法和第四类算法的差分数据。至此，电子设备100基于特征识别模块701和统计识别模块702分别对差分数据进行识别，从而区分出对应的四种算法。

可以理解的是，电子设备100所可以使用的差分隐私算法不限于上述四种，当存在多于四种差分隐私算法的情况下，电子设备100可根据差分隐私算法对应的差分原理更新特征识别模块701所能识别的数据特征，和/或，更新统计识别模块702所能识别的结构特征。

请参见图7B，图7B是本申请实施例提供的一种识别数据特征和/或结构特征确定差分隐私算法的流程示意图。从图7B可以看出，电子设备100获取差分数据后，通过特征识别模块判断差分数据的数据长度是否为1比特bit且差分数据中是否存在矩阵坐标，在判断得到差分数据的数据长度为1bit且差分数据中存在矩阵坐标时，确定加密处理过程中所使用的差分隐私算法为第一类算法。在判断得到差分数据的数据长度不为1bit且差分数据中不存在矩阵坐标时，判断差分数据的数据结构中是否存在两个差分数据（分别是完整字符串和截取字符串），若存在两个差分数据，则确定加密过程中使用的差分隐私算法为第二类算法。若不存在两个差分数据，则确定加密过程中使用的差分隐私算法为第三类算法或者第四类算法。其中，截取字符串为从完整字符串中截取的一段。

请参见图7C，图7C是本申请实施例提供的一种识别第三类算法和第四类算法的流程示意图。如图7C所示，对于特征识别模块未完全识别到所对应的差分隐私算法的差分数据，电子设备基于统计识别模块根据预设次数模拟用户数据对应的操作来重复操作，从而生成N组二进制差分数据，其中，N为正整数，预设次数的数量与二进制差分数据的数量N相对应，例如预设次数为3次，那么生成三组二进制差分数据。电子设备获取到N组二进制差分数据后，对N组差分数据按位进行累加得到N+1组二进制数据，N+1组二进制数据包括N组二进制数据和按位进行累加后得到的一组二进制数据。举例来说，若获取到三组二进制差分数据，分别是第一组二进制数据为0100101，第二组二进制数据为1100101，第三组二进制数据为0001111，那么将上述三组二进制数据按位进行累加后，得到一组数据1201313。然后，电子设备统计这一组数据中每一位置为1的概率，也即统计这一组数据中每一位为1的数量，从而计算二进制数据每一位为1的概率=每一位为1的数量/总数量，比如说第一位为1的概率=1/3，第二位为1的概率=2/3。接下来，电子设备将每一位置为1的概率进行聚类分析（比如说进行kmeans聚类分析），得到第一类概率（p）和第二类概率（q）。最后，若计算第一类概率和第二类概率的和（即p+q），若第一概率和第二类概率的和不为1，则确定加密处理过程中所使用的差分隐私算法为第四类算法；若第一概率和第二类概率的和为1，则确定所述加密处理过程中所使用的差分隐私算法为第三类算法。

步骤S603：基于差分隐私算法根据差分数据和用户数据确定隐私预算值。

具体地，电子设备包括隐私预算估计模块，通过隐私预算估计模块通过已识别的算法所对应的加密原理（加噪原理），依据算法的差分数据（加噪数据）和原始的用户数据对算法的响应的参数进行估计，从而估计得到隐私预算值。

在一种可能的实施方式中，电子设备对用户数据进行编码，得到编码数据（包括二进制序列）。然后，电子设备根据对应的差分隐私算法将加噪数据和差分数据按位进行对比确定翻转概率，根据翻转概率确定隐私预算值。举例来说，假设用户数据为00000000000000000000，加噪数据为0111001100011000110，则按位进行对比可以确定在数量为20位的数据中翻转了9位，因此得到翻转概率为9/20=45%。最后，将翻转概率/>带入隐私预算公式中得到隐私预算/>。/>

请参见图8A，图8A是本申请实施提供的一种基于第一类算法确定隐私预算值的流程示意图。从图8A可以看出，流程包括如下步骤：

S11：对用户数据进行编码得到编码数据。

其中，原始的用户数据进行信息-摘要算法5（Message-Digest Algorithm 5，MD5）编码，得到二进制数据。

S12：将编码数据依据哈希索引（hash index）进行哈希映射。

其中，进行哈希映射后可以得到哈希映射值。

S13：获取随机选择函数（Randomly select column）。

S14：基于哈希映射值和随机选择函数生成哈达玛矩阵。

S15：从哈达玛矩阵中提取矩阵相关坐标值。

S16：判断该坐标值是否等于差分数据。

其中，坐标值可以认为是加噪数据。若坐标值等于差分数据，则再获取对应的差分数据来判断计算得到的坐标值是否等于差分数据，直至对数量为n的差分数据都进行判断。可以理解的是，坐标值等于差分数据，说明在加密处理的过程中没有对该坐标值对应的用户数据进行翻转。

若坐标值不等于差分数据，说明在加密处理的过程中有对该坐标值对应的用户数据进行翻转，则执行步骤S17。

S17：更新数量count。

其中，在确定坐标值不等于差分数据时，更新count=count+1。并且更新差分数据的数据n=n-1。

S18：计算翻转概率p。

其中，p=count/n，n为差分数据的总数据量。

S19：计算隐私预算。

其中，隐私预算

请参见图8B，图8B是本申请实施提供的一种基于第二类算法确定隐私预算值的流程示意图。从图8B可以看出，流程包括如下步骤：

S21：对完整原始数据和部分原始数据分别进行编码得到编码数据。

具体地，基于第二类算法进行加密处理后可以得到两类差分数据，分别是完整差分数据和部分差分数据，因此，与之对应的原始用户数据包括完整原始数据和部分原始数据，分别对完整原始数据和部分原始数据分别进行编码，得到完整元数据二进制序列和部分元数据二进制序列。

S22：编码数据与差分数据对比计算翻转概率。

具体地，通过上述描述可知，基于第二类算法进行加密处理后可以得到两类差分数据，分别是完整差分数据和部分差分数据，因此，将完整差分数据和完整原数据二进制序列进行对比计算翻转概率p1，将部分差分数据和部分原数据二进制序列进行对比计算翻转概率p2。

S23：根据翻转概率计算隐私预算。

其中，翻转概率包括完整差分数据对应的翻转概率p1和部分差分数据对应的翻转概率p2，因此，隐私预算包括翻转概率p1对应的隐私预算和翻转概率p2对应的隐私预算/>。

S24：计算总隐私预算。

其中，总隐私预算。

请参见图8C，图8C是本申请实施提供的一种基于第三类算法确定隐私预算值的流程示意图。从图8C可以看出，流程包括如下步骤：

S31：对用户数据进行编码得到编码数据。

其中，编码得到的编码数据包括二进制序列。

S32：编码数据与差分数据对比计算翻转概率。

具体地，按照第三类算法将编码数据与差分数据按位进行对比来计算得到翻转概率。

S33：根据翻转概率计算隐私预算。

请参见图8D，图8D是本申请实施提供的一种基于第四类算法确定隐私预算值的流程示意图。从图8D可以看出，流程包括如下步骤：

S41：对用户数据进行编码得到编码数据。

其中，编码得到的编码数据包括二进制序列。

S42：编码数据与差分数据对比计算翻转概率p和q。

具体地，按照第四类算法将编码数据与差分数据进行对比可以计算得到第一类翻转概率p和第二类翻转概率q。

S43：根据翻转概率p和q计算隐私预算。

具体地，基于隐私预算公式计算得到隐私预算/>。

在步骤S601-步骤S603之后，还可以包括步骤S604。

步骤S604：显示第一用户界面。

其中，第一用户界面包括一个或多个应用程序所分别对应的隐私预算值，其中，隐私预算值为根据用户数据和用户数据对应的差分数据所确定的，用户数据包括一个或多个应用程序中的任意应用程序响应于用户操作而生成的数据，差分数据包括对用户数据进行加密处理后得到的数据，隐私预算值用于反映差分数据的加密程度。第一用户界面具体可参考图5的（a）至图5的（d）的相关描述。

在一种可能的实施方式中，在第一隐私预算值大于第二隐私预算值时，第一隐私预算值对应的第一加密程度小于第二隐私预算值对应的第二加密程度。

在一种可能的实现中，在第一应用程序的隐私预算值大于或等于第一应用程序的预设阈值时，第一用户界面还用于显示提示信息，其中，提示信息用于提示用户第一应用程序的差分数据存在隐私泄露风险，第一应用程序为一个或多个应用程序中的任意一个。

在一种可能的实施方式中，响应于对第二应用程序的隐私预算值的用户操作，显示第二用户界面，其中，第二应用程序为一个或多个应用程序中的任意一个，第二用户界面用于显示差分隐私算法和差分隐私算法对应的隐私预算值，差分隐私算法为对第二应用程序的用户数据进行加密处理生成第二应用程序的差分数据的过程中所使用的算法。

在一种可能的实现中，在第二应用程序存在多个差分数据的情况下，第二用户界面还用于显示多个差分数据所分别对应的差分隐私算法和多个差分隐私算法所分别对应的隐私预算值。

在一种可能的实现中，第二用户界面用于按照上传时间的先后顺序显示差分隐私算法和差分隐私算法对应的隐私预算值，其中，上传时间为电子设备向云侧设备发送差分数据的时间。

需要说明的是，关于第一用户界面、第二用户界面、提示信息的相关描述具体可参考图5的（a）至图5的（d），此次不再赘述。

本申请的说明书和权利要求书及附图中的术语“用户界面（user interface，UI）”，是应用程序或操作系统与用户之间进行交互和信息交换的介质接口，它实现信息的内部形式与用户可以接受形式之间的转换。应用程序的用户界面是通过java、可扩展标记语言（extensible markup language，XML）等特定计算机语言编写的源代码，界面源代码在电子设备上经过解析，渲染，最终呈现为用户可以识别的内容，比如图片、文字、按钮等控件。控件（control）也称为部件（widget），是用户界面的基本元素，典型的控件有工具栏（toolbar）、菜单栏（menu bar）、文本框（text box）、按钮（button）、滚动条（scrollbar）、图片和文本。界面中的控件的属性和内容是通过标签或者节点来定义的，比如XML通过<Textview>、<ImgView>、<VideoView>等节点来规定界面所包含的控件。一个节点对应界面中一个控件或属性，节点经过解析和渲染之后呈现为用户可视的内容。此外，很多应用程序，比如混合应用（hybrid application）的界面中通常还包含有网页。网页，也称为页面，可以理解为内嵌在应用程序界面中的一个特殊的控件，网页是通过特定计算机语言编写的源代码，例如超文本标记语言（hyper text markup language，HTML），层叠样式表（cascading style sheets，CSS），java脚本（JavaScript，JS）等，网页源代码可以由浏览器或与浏览器功能类似的网页显示组件加载和显示为用户可识别的内容。网页所包含的具体内容也是通过网页源代码中的标签或者节点来定义的，比如HTML通过<p>、<img>、<video>、<canvas>来定义网页的元素和属性。

用户界面常用的表现形式是图形用户界面（graphic user interface，GUI），是指采用图形方式显示的与计算机操作相关的用户界面。它可以是在电子设备的显示屏中显示的一个图标、窗口、控件等界面元素，其中控件可以包括图标、按钮、菜单、选项卡、文本框、对话框、状态栏、导航栏、Widget等可视的界面元素。

应理解，本申请提供的上述方法实施例中的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

本申请还提供一种电子设备，该电子设备可以包括：存储器和处理器。其中，存储器可用于存储计算机程序；处理器可用于调用存储器中的计算机程序，以使得该电子设备执行上述任意一个实施例中的方法。

本申请还提供了一种芯片系统，芯片系统包括至少一个处理器，用于实现上述任意一个实施例中电子设备执行的方法中所涉及的功能。

在一种可能的设计中，所述芯片系统还包括存储器，所述存储器用于保存程序指令和数据，存储器位于处理器之内或处理器之外。

该芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

可选地，该芯片系统中的处理器可以为一个或多个。该处理器可以通过硬件实现也可以通过软件实现。当通过硬件实现时，该处理器可以是逻辑电路、集成电路等。当通过软件实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现。

可选地，该芯片系统中的存储器也可以为一个或多个。该存储器可以与处理器集成在一起，也可以和处理器分离设置，本申请实施例并不限定。示例性地，存储器可以是非瞬时性处理器，例如只读存储器ROM，其可以与处理器集成在同一块芯片上，也可以分别设置在不同的芯片上，本申请实施例对存储器的类型，以及存储器与处理器的设置方式不作具体限定。

示例性地，该芯片系统可以是现场可编程门阵列（field programmable gatearray，FPGA），可以是专用集成芯片（application specific integrated circuit，ASIC），还可以是系统芯片（system on chip，SoC），还可以是中央处理器（central processorunit，CPU），还可以是网络处理器（network processor，NP），还可以是数字信号处理电路（digital signal processor，DSP），还可以是微控制器（micro controller unit，MCU），还可以是可编程控制器（programmable logic device，PLD）或其他集成芯片。

本申请还提供一种计算机程序产品，所述计算机程序产品包括：计算机程序（也可以称为代码，或指令），当所述计算机程序被运行时，使得计算机执行上述任一个实施例中电子设备执行的方法。

本申请还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序（也可以称为代码，或指令）。当所述计算机程序被运行时，使得计算机执行上述任一个实施例中电子设备执行的方法。

本申请的各实施方式可以任意进行组合，以实现不同的技术效果。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线（例如同轴电缆、光纤、数字用户线）或无线（例如红外、无线、微波等）方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，（例如，软盘、硬盘、磁带）、光介质（例如， DVD）、或者半导体介质（例如固态硬盘 SolidState Disk）等。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，该流程可以由计算机程序来指令相关的硬件完成，该程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法实施例的流程。而前述的存储介质包括：ROM或随机存储记忆体RAM、磁碟或者光盘等各种可存储程序代码的介质。

总之，以上所述仅为本发明技术方案的实施例而已，并非用于限定本发明的保护范围。凡根据本发明的揭露，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种数据处理方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，在第一隐私预算值大于第二隐私预算值时，所述第一隐私预算值对应的第一加密程度小于所述第二隐私预算值对应的第二加密程度。

3.根据权利要求2所述的方法，其特征在于，在第一应用程序的隐私预算值大于或等于所述第一应用程序的预设阈值时，所述第一用户界面还用于显示提示信息，其中，所述提示信息用于提示用户所述第一应用程序的差分数据存在隐私泄露风险，所述第一应用程序为所述一个或多个应用程序中的任意一个。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述方法还包括：

5.根据权利要求4所述的方法，其特征在于，在所述第二应用程序存在多个所述差分数据的情况下，所述第二用户界面还用于显示多个所述差分数据所分别对应的差分隐私算法和多个所述差分隐私算法所分别对应的隐私预算值。

6.根据权利要求5所述的方法，其特征在于，所述第二用户界面用于按照上传时间的先后顺序显示所述差分隐私算法和所述差分隐私算法对应的隐私预算值，其中，所述上传时间为电子设备向云侧设备发送所述差分数据的时间。

7.根据权利要求1所述的方法，其特征在于，所述响应于用户操作，显示第一用户界面之前，所述方法还包括：

获取所述用户数据和所述差分数据；

8.根据权利要求7所述的方法，其特征在于，所述基于所述差分隐私算法根据所述差分数据和所述用户数据确定所述隐私预算值，包括：

对所述用户数据进行编码，得到编码数据；

根据所述翻转概率确定所述隐私预算值。

9.根据权利要求7或8所述的方法，其特征在于，所述根据所述差分数据确定所述加密处理过程中所使用的差分隐私算法，包括：

10.根据权利要求9所述的方法，其特征在于，所述根据所述差分数据的数据特征和/或结构特征确定所述加密处理过程中所使用的差分隐私算法，包括：

11.根据权利要求9所述的方法，其特征在于，所述根据所述差分数据的数据特征和/或结构特征确定所述加密处理过程中所使用的差分隐私算法，包括：

12.根据权利要求9所述的方法，其特征在于，所述根据所述差分数据的数据特征和/或结构特征确定所述加密处理过程中所使用的差分隐私算法，包括：

13.根据权利要求12所述的方法，其特征在于，所述确定所述加密处理过程中所使用的差分隐私算法为第三类算法或者第四类算法，包括：

对所述N组二进制数据按位进行累加得到一组数据；

统计所述一组数据中每一位置为1的概率；

14.一种电子设备，其特征在于，所述电子设备包括：一个或多个处理器；存储器；其中，所述存储器与所述一个或多个处理器耦合，所述存储器用于存储计算机程序代码，所述计算机程序代码包括计算机指令，所述一个或多个处理器调用所述计算机指令以使得所述电子设备执行如权利要求1至13中任一项所述的方法。

15.一种芯片系统，其特征在于，所述芯片系统应用于电子设备，所述芯片系统包括一个或多个处理器，所述处理器用于调用计算机指令以使得所述电子设备执行如权利要求1至13中任一项所述的方法。

16.一种包含指令的计算机程序产品，其特征在于，当所述计算机程序产品在电子设备上运行时，使得所述电子设备执行如权利要求1至13中任一项所述的方法。

17.一种计算机可读存储介质，包括指令，其特征在于，当所述指令在电子设备上运行时，使得所述电子设备执行如权利要求1至13中任一项所述的方法。