JP2016531513A - 付加ノイズを用いる効用対応プライバシー保護写像のための方法および装置 - Google Patents
付加ノイズを用いる効用対応プライバシー保護写像のための方法および装置 Download PDFInfo
- Publication number
- JP2016531513A JP2016531513A JP2016536079A JP2016536079A JP2016531513A JP 2016531513 A JP2016531513 A JP 2016531513A JP 2016536079 A JP2016536079 A JP 2016536079A JP 2016536079 A JP2016536079 A JP 2016536079A JP 2016531513 A JP2016531513 A JP 2016531513A
- Authority
- JP
- Japan
- Prior art keywords
- data
- user
- noise
- public
- privacy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Analysis (AREA)
- Computational Mathematics (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Physics (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Evolutionary Biology (AREA)
- Storage Device Security (AREA)
- Operations Research (AREA)
- Probability & Statistics with Applications (AREA)
- Algebra (AREA)
Abstract
本実施形態は、いくつかの効用を得ることを期待して、(Sにより示される)彼のプライベートデータと相関関係がある、(Xにより示される)いくつかのパブリックデータを分析者に公開することを願うユーザにより直面されるプライバシー効用トレードオフに焦点を当てる。ノイズがプライバシー保護機構として追加されるとき、すなわちYが分析者に実際に公開されるデータでありNがノイズであってY=X+Nであるとき、我々はガウスノイズを追加することがl2ノルム歪み下で連続データXに関して最適であることを示す。我々はガウスノイズを追加する機構がガウス機構による最悪の場合の情報漏出を最小化することを示す。ガウス機構のパラメータはXの共分散の固有ベクトル及び固有値に基づき決定される。離散データXに関する確率的プライバシー保護写像機構も開発し、ランダム離散ノイズは最大エントロピー分散に従う。
Description
本発明は、プライバシーを保護するための方法および装置に関し、より詳細には、ユーザデータにノイズを加えてプライバシーを保護するための方法および装置に関する。
関連出願の相互参照
本出願は、あらゆる目的で参照によりその全体が本明細書に組み込まれる、2013年8月19日に出願された米国特許仮出願第61/867,546号明細書、名称「Method and Apparatus for Utility−Aware Privacy Preserving Mapping through Additive Noise」の出願日の利益を主張する。
本出願は、あらゆる目的で参照によりその全体が本明細書に組み込まれる、2013年8月19日に出願された米国特許仮出願第61/867,546号明細書、名称「Method and Apparatus for Utility−Aware Privacy Preserving Mapping through Additive Noise」の出願日の利益を主張する。
本出願は、2012年8月20日に出願された米国特許仮出願第61/691,090号明細書、名称「A Framework for Privacy against Statistical Inference」(以下、「Fawaz」)に関連付けられる。この仮出願は、明示的に参照によりその全体が本明細書に組み込まれる。
加えて、本出願は、以下の出願、(1)代理人整理番号第PU130120号、名称「Method and Apparatus for Utility−Aware Privacy Preserving Mapping against Inference Attacks」、および(2)代理人整理番号第PU130121号、名称「Method and Apparatus for Utility−Aware Privacy Preserving Mapping in View of Collusion and Composition」に関連付けられ、これらは、同一譲受人に譲渡され、それら全体が参照により組み込まれ、本明細書と共に出願される。
ビッグデータの時代において、ユーザデータの収集およびマイニングは、多数の民間および公共機関により、急速に成長している一般的行為となっている。たとえば、技術会社は、ユーザデータを利用してそれらの顧客に個別化されたサービスを提供し、政府機関は、データに依拠して、様々な課題、たとえば、国家安全保障、国民健康、予算および基金配分に取り組み、または医療機関は、データを分析して病気の発端および潜在的治療法を発見する。場合によっては、ユーザのデータの収集、分析または第三者との共有は、ユーザの同意または認識なしに行われる。他の場合、データは、見返りにサービスを得るために、ユーザによって特定の分析者に自発的に公開され、たとえば、推奨を得るために製品評価が公開される。ユーザのデータにアクセスすることを許可することからユーザが得るこのサービスまたは他の利益は、効用(utility)と呼ばれることがある。いずれの場合も、プライバシーリスクが生じ、その理由は、収集されたデータの一部は、センシティブ(sensitive)であるとユーザがみなすことがある(たとえば、政治的意見、健康状態、所得レベル)、または、一見無害に見えることがある(たとえば、製品評価)が、それが相関付けられたよりセンシティブなデータの推定につながるからである。後者の脅威は、推論攻撃、すなわち、プライベートデータを、それの公然と公開されるデータ(released data)との相関を利用することによって推論する技法を指す。
本原理は、ユーザに関するユーザデータを処理するための方法であって、プライベートデータおよびパブリックデータを含む上記ユーザデータにアクセスするステップであって、上記プライベートデータは、第1のカテゴリのデータに対応し、上記パブリックデータは、第2のカテゴリのデータに対応する、ステップと、上記第1のカテゴリのデータの共分散行列を決定するステップと、上記共分散行列に応じてガウスノイズを生成するステップと、上記生成されたガウスノイズを上記ユーザの上記パブリックデータに加えることによって、上記パブリックデータを修正するステップと、後述されるように、上記修正されたデータを、サービスプロバイダとデータ収集エージェンシとの少なくとも一方へ公開するステップと、を含む、上記方法を提供する。本原理はまた、これらのステップを実施するための装置を提供する。
本原理はまた、ユーザに関するユーザデータを処理するための方法であって、プライベートデータおよびパブリックデータを含む上記ユーザデータにアクセスするステップと、効用Dに対する制約にアクセスするステップであって、上記効用は、上記ユーザの上記パブリックデータおよび公開されるデータに応じる、ステップと、上記効用制約に応じてランダムノイズZを生成するステップであって、上記ランダムノイズは、上記効用制約下の最大エントロピー確率分布に従う、ステップと、後述されるように、上記生成されたノイズを上記ユーザの上記パブリックデータに加えて、上記ユーザに関する上記公開されるデータを生成するステップと、を含む、上記方法を提供する。本原理はまた、これらのステップを実行するための装置を提供する。
本原理はまた、上述された上記方法によるユーザに関するユーザデータを処理するための命令を格納したコンピュータ可読記憶媒体を提供する。
我々は、Fawazに説明された設定を検討し、この設定では、ユーザが、相関付けられた2種類のデータを有し、すなわち、ユーザがプライベートのままにしたい一部のデータと、ユーザが分析者に積極的に公開し、そこからユーザがある種の効用を得られ得る、たとえば、メディア選好をサービスプロバイダに公開して、より精密なコンテンツ推奨を受け取る、一部の非プライベートデータとを有する。
本出願で使用されるとき、分析者という用語は、たとえば、サービスプロバイダのシステムの一部であってよく、ユーザへの効用を提供するためにデータを表向き使用する、公開されるデータの受信者を指す。分析者は、公開されるデータの正当な受信者である。しかしながら、分析者が、公開されるデータを不法に利用し、ユーザのプライベートデータに関するある種の情報を推論する可能性もあり得る。これは、プライバシーと効用の必要条件の間の緊張をもたらす。効用を保持しながら推論脅威を低減するために、ユーザは、効用制約下で設計された「プライバシー保護写像(privacy preserving mapping)」と呼ばれる条件付き確率的写像によって生成されたデータの「歪められたバージョン」を公開することができる。
本出願において、我々は、ユーザがプライベートのままにしたいデータを「プライベートデータ」と呼び、ユーザが積極的に公開しようとするデータを「パブリックデータ」と呼び、ユーザが実際に公開するデータを「公開されるデータ」と呼ぶ。たとえば、ユーザは、ユーザの政治的意見をプライベートに維持したいことがあり、修正を伴うユーザのTV評価を積極的に公開する(たとえば、番組に関するユーザの実際の評価は4であるが、ユーザは評価を3として公開する)。この場合、ユーザの政治的意見は、このユーザのプライベートデータとみなされ、TV評価は、パブリックデータとみなされ、公開された修正されたTV評価は、公開されるデータとみなされる。別のユーザが政治的意見とTV評価の両方を修正なしに積極的に公開しようとすることもあり、したがって、この他のユーザの場合、政治的意見とTV評価のみが考慮されるとき、プライベートデータ、パブリックデータ、および公開されるデータの間の区別がないことに留意されたい。多くの人々が政治的意見およびTV評価を公開する場合、分析者は、政治的意見とTV評価との間の相関を得ることができ、したがって、それをプライベートに維持したいユーザの政治的意見を推論できることがある。
プライベートデータに関して、これは、公然と公開されるべきでないことをユーザが示すのみならず、ユーザが公開することになる他のデータから推論されたくもないデータを指す。パブリックデータは、場合によってはプライベートデータの推論を防止するために歪められた方法で、プライバシーエージェントが公開することをユーザが許可するデータである。
一実施形態では、パブリックデータは、ユーザにサービスを提供するためにサービスプロバイダがユーザに要求するデータである。しかしながら、ユーザは、それをサービスプロバイダに公開する前に、それを歪める(すなわち修正する)。別の実施形態では、パブリックデータは、公開がプライベートデータの推論を防止する形態をとる限りはユーザがそれを公開するのを気にしないという意味で「パブリック」であるとユーザが示すデータである。
上述されたように、特定のカテゴリのデータがプライベートデータとみなされるかそれともパブリックデータとみなされるかは、特定のユーザの視点に基づく。表記を簡単にするために、我々は、特定のカテゴリのデータを、現在のユーザの視点から、プライベートデータまたはパブリックデータと呼ぶ。たとえば、自身の政治的意見をプライベートに維持したい現在のユーザに関するプライバシー保護写像を設計しようとするとき、我々は、現在のユーザと、自身の政治的意見を積極的に公開しようとする別のユーザとの両方に関して、政治的意見をプライベートデータと呼ぶ。
本原理では、我々は、公開されるデータとパブリックデータとの間の歪みを、効用の測度として使用する。歪みがより大きいとき、公開されるデータは、よりいっそうパブリックデータとは異なり、よりプライバシーが保護されるが、歪められたデータから得られる効用は、ユーザにとって、より小さくなり得る。他方で、歪みがより小さいとき、公開されるデータは、パブリックデータのより精密な表現となり、ユーザは、より大きい効用、たとえば、より精密なコンテンツ推奨を受け取る可能性がある。
一実施形態では、統計的推論に対してプライバシーを保護するために、我々は、歪み制約を受けるプライベートデータと公開されるデータとの間の相互情報量として定義される情報漏出を最小化する最適化問題を解くことにより、プライバシー効用トレードオフをモデリングし、プライバシー保護写像を設計する。
Fawazでは、プライバシー保護写像を求めることは、プライベートデータと公開されるデータとをリンクする事前同時分布(prior joint distribution)が知られていて最適化問題に対する入力として提供され得るという基本的仮定に依拠する。実際には、真の事前分布は知られていなくてよく、いくつかの事前統計値が、観測され得るサンプルデータのセットから推定されてよい。たとえば、事前同時分布は、プライバシーの懸念を持たず、異なるカテゴリのデータを公然と公開するユーザのセットから推定されてよく、それらのデータは、彼らのプライバシーを懸念するユーザによってプライベートデータまたはパブリックデータとみなされ得る。あるいは、プライベートデータが観測できないとき、公開されるべきパブリックデータの周辺分布、または単純にその2次統計値が、彼らのパブリックデータのみを公開するユーザのセットから推定され得る。このサンプルのセットに基づいて推定された統計値は、次いで、彼らのプライバシーを懸念する新しいユーザに適用されるプライバシー保護写像機構を設計するために使用される。実際には、たとえば、観測可能サンプルが少数のため、または観測可能データの不完全性のため、推定された事前統計値と真の事前統計値との間の不一致が存在することもある。
問題を定式化するために、パブリックデータは、確率分布Pxを有する確率変数
によって示される。Xは、確率変数
によって示されるプライベートデータと相関付けられる。SとXの相関は、同時分布PS,Xによって定義される。確率変数
によって示される公開されるデータは、Xの歪められたバージョンである。Yは、XをカーネルPY|Xに通すことによって実現される。本出願では、用語「カーネル」は、データXをデータYに確率的に写像する条件付き確率を指す。すなわち、カーネルPY|Xは、我々が設計するのを望むプライバシー保護写像である。Yは、Xのみの確率的関数であるので、本出願では、S→X→Yがマルコフ連鎖を形成すると仮定する。したがって、PY|Xを定義すると、同時分布PS,X,Y=PY|XPS,X、特に同時分布PS,Yが得られる。
以下では、我々は、まずプライバシー概念を定義し、次いで精度概念を定義する。
定義1.S→X→Yを仮定する。カーネルPY|Xは、同時分布PS,X,Y=PY|XPS,Xから得られる分布PS,Yが以下の式を満たす場合、ε−発散プライベートと呼ばれる。
定義1.S→X→Yを仮定する。カーネルPY|Xは、同時分布PS,X,Y=PY|XPS,Xから得られる分布PS,Yが以下の式を満たす場合、ε−発散プライベートと呼ばれる。
上式において、D(.)はK−L発散であり、
は確率変数の期待値であり、H(.)はエントロピーであり、ε∈[0,1]は漏出係数と呼ばれ、相互情報量I(S;Y)は情報漏出を表す。
我々は、ε=0の場合に、機構が完全プライバシーを有すると言う。極値の場合、ε=0は、公開された確率変数Yが、プライベート確率変数Sから独立していることを暗示し、ε=1は、SがYから完全に復元可能である(SはYの確定関数である)ことを暗示する。Yは、完全にSから独立して完全プライバシーを有する(ε=0)と仮定することができるが、これは、低い精度レベルをもたらす可能性があることに留意されたい。我々は、精度を以下のように定義する。
定義2.
を歪み測度とする。カーネルPY|Xは、
であるならば、D−精度があると呼ばれる。
プライバシー保護写像の漏出係数εと歪みレベルDとの間にトレードオフがある。
本発明は、事前の一部の統計的知識のみが入手可能であるときに効用対応プライバシー保護写像機構を設計する方法を提案する。より詳細には、本原理は、付加ノイズ機構の部類におけるプライバシー保護写像機構を提供し、ノイズはパブリックデータに対してそれが公開される前に加えられる。分析において、我々は、ノイズの平均値をゼロであると仮定する。この機構は、平均がゼロでないときにも適用され得る。一例では、エントロピーが平均にセンシティブでないため、結果は非ゼロ平均に対して同じである。この機構は、データの2次モーメントの知識のみが、連続データと離散データの両方に関して公開されることを必要とする。
ガウス機構(Gaussian Mechanism)
一実施形態では、我々は、連続パブリックデータX、およびノイズを信号に加えることによって達成されるプライバシー保護写像方式、すなわちY=X+Nを考える。例示的連続パブリックデータは、ユーザの身長または血圧であり得る。写像は、PXおよびPS,Xを知ることなく、VAR(X)(または多次元Xの場合の共分散行列)を知ることによって得られる。まず、我々は、プライバシーを保護するためにノイズをパブリックデータに加える場合に、すべてのプライバシー保護写像機構のうち、ガウスノイズを加えることが最適であることを示す。
一実施形態では、我々は、連続パブリックデータX、およびノイズを信号に加えることによって達成されるプライバシー保護写像方式、すなわちY=X+Nを考える。例示的連続パブリックデータは、ユーザの身長または血圧であり得る。写像は、PXおよびPS,Xを知ることなく、VAR(X)(または多次元Xの場合の共分散行列)を知ることによって得られる。まず、我々は、プライバシーを保護するためにノイズをパブリックデータに加える場合に、すべてのプライバシー保護写像機構のうち、ガウスノイズを加えることが最適であることを示す。
S→X→Yであるので、I(S;Y)≦I(X;Y)が得られる。情報漏出I(S;Y)を境界付けるために、我々はI(X;Y)を境界付ける。X=f(S)がSの確定関数である場合、I(S;Y)=I(X;Y)であり、境界はタイトである(これは、たとえば、ある行列AについてX=ASであるときに線形回帰で発生する)。
とする。Xの共分散行列をCXで示す。Y=X+Nとし、式中、Nは、Xから独立したノイズであり、平均0および共分散行列CNを有する。我々は、1つの確率変数のみがあるときに分散
の表記を使用し、複数の確率変数があるときに共分散(CN)の表記を使用することに留意されたい。我々は、以下の結果を有する。
命題2. PXが、プライバシー保護写像の設計において知られておらず、我々は、あるσXについての
命題2. PXが、プライバシー保護写像の設計において知られておらず、我々は、あるσXについての
のみを知っていると仮定する。また、独立したノイズNを信号Xに加えることによって得られたプライバシー保護方式のクラスを考える。このノイズは、ゼロ平均、およびあるσNについての
よりも大きくない分散(l2ノルム歪み)を有する。我々は、ガウスノイズが下記の意味で最も良いことを示す:
式中、NGは、ガウスノイズを表し、Nは、
かつ
となるような確率変数である。これは、NGを使用した最悪の場合の情報漏出が、Nを使用した最悪の場合の情報漏出よりも大きくないことを暗示する。
証明: ガウス鞍点定理を使用すると、
が得られ、式中、XGは、ゼロ平均および分散
を有するガウス分布を持つ。これで証明を完了する。□
ここで、我々は、プライバシーを保護するためにノイズを加える場合、l2ノルム歪み制約下で、ガウスノイズを加えることが付加ノイズの系統群における最適解であることが分かっている。以下では、我々は、ガウスノイズをパブリックデータに加えるための最適パラメータを決定する。我々は、ガウス機構によって、そのようなパラメータでガウスノイズを加える機構を表す。
1つの例示的実施形態では、所与のCXおよび歪みレベルDについて、ガウス機構は、図1に示されるようなステップで進行する。
方法100は、105から開始する。ステップ110で、それは、彼らのパブリックデータまたはプライベートデータのプライバシーについて懸念しないユーザによって公開されたパブリックデータに基づいて統計情報を推定する。我々は、これらのユーザを「パブリックユーザ」として表し、彼らのプライベートデータのプライバシーについて懸念するユーザを「プライベートユーザ」として表す。
これらの統計は、ウェブを巡回して異なるデータベースにアクセスすることによって収集されてもよく、またはデータアグリゲータ、たとえば、bluekai.comによって提供されてもよい。どの統計情報が収集され得るかは、パブリックユーザが何を公開するかに応じて変わる。分散を特徴付けることは、周辺分布PXを特徴付けるよりも必要とされるデータが少ないことに留意されたい。したがって、我々は分散を推定できるが周辺分布を精密に推定できないという状況に我々はあり得る。一例では、我々は、ステップ120で、収集された統計情報に基づいてパブリックデータの平均および分散(または共分散)のみを取得できることがある。
ステップ130で、我々は共分散行列CXの固有値分解を行う。ガウスノイズNGの共分散行列は、CXの固有ベクトルと同じ固有ベクトルを有する。さらに、CNの対応する固有値が以下の最適化問題を解くことによって与えられる。
式中、λiおよびσi(1≦λi≦n)はそれぞれ、CXおよびCNの固有値を表す。決定された固有ベクトルおよび固有値から、我々は次いで、ガウスノイズについての共分散行列CNをその固有値分解を介して決定することができる。続いて、我々は、ガウスノイズ
を生成することができる。歪みは、
によって与えられ、式中、tr()は対角要素の和を表し、nはベクトルXの次元である。
ステップ140で、ガウスノイズがパブリックデータに加えられ、すなわち、Y=X+NGとなる。ステップ150で、歪められたデータは、次いで、たとえば、サービスプロバイダまたはデータ収集エージェンシに公開される。方法100は、ステップ199で終了する。
以下の定理において、我々は、提示されるガウス機構がl2ノルム歪み制約下で最適であることを証明する。
定理3. l2ノルム歪みおよび所与の歪みレベルDを仮定して、相互情報量を最小化するガウス機構における最適ガウスノイズは、
最適ノイズNGの共分散行列がCXの固有ベクトルと同じ固有ベクトルを有することを満たす。また、固有値は、(17)で与えられる。
最適ノイズNGの共分散行列がCXの固有ベクトルと同じ固有ベクトルを有することを満たす。また、固有値は、(17)で与えられる。
証明:
が得られ、この不等式は、T. M. Cover and J. A. Thomasによる書籍”Elements of information theory,” Wiley−interscience, 2012の定理8.6.5に由来するものである。我々はXの分布を知らないので、我々は上限境界
を最小化しなければならない。それがガウスXを用いて達成可能であるからである。半正定値行列CXの固有値分解を考慮して、CX=QΛQtを得る。ここでQQt=Iであり、Λは、CXの固有値を含む対角行列である。
が得られ、最適化問題は、
となり、ただし、tr(QtCNQ)≦Dである。
一般性を失うことなく、λ1≧…≧λnと仮定する。σ1≧…≧σnをQtCNQtの固有値とする。M. Fiedlerによる論文”Bounds for the determinant of the sum of Hermitian matrices,” Proceedings of the American Mathematical Societyの定理1によると、我々は、|Λ+QtCNQ|≧Π(λi+σi)を有することになり、等式は、QtCNQが対角行列の場合に成立する。したがって、同じ固有値σiを有する対角行列を使用して、我々は、同じ歪みレベル、およびより小さい漏出を達成し、それは最適性と相反する。よって、QtCNQは対角行列である。□
例3. XはSの確定実数値関数、すなわちX=f(S)であり、
であると仮定する。S→X→Yであるため、我々は、I(X;Y)=I(S;Y)を有する。
かつY=X+Nとする。任意のεについて、我々は、(ε,D)−発散歪みプライバシー、ただし、
を達成することができる。
注記1. この分析は、ε>0の場合のみ機能する。完全なプライバシーすなわちε=0を得たいとき、この方式は、
を選択する。実際、これは、YがXから独立していることを意味する。
(確定値)を仮定する場合、I(Y;S)=0、かつ
である。したがって、VAR(X)以上の歪みレベルの場合、
をセットする決定機構は、ε=0を達成する。
例5. 分散
を有するガウスノイズを加えることによって我々は(ε,δ)−差分プライバシーを達成できることが示され得る。この方式は結果として、歪み
および情報の漏出
をもたらす。比較のための定性的方法では、(ε,δ)差分プライバシーガウス機構を使用し、我々は少ない漏出を実現するために大きな歪みを要することを述べる。他方で、本原理による発散プライバシーガウス機構を使用して、最小限の歪みDを用いてLビットを漏出する方式は、任意の(ε,δ)−差分プライバシー、ただし、
を達成する。
離散機構
別の実施形態では、我々は、離散確率変数X、ただし、
別の実施形態では、我々は、離散確率変数X、ただし、
を考える。ここでも、I(S;Y)を境界付けるためにI(X;Y)を境界付ける。歪み測度をlpノルムとする、すなわち、XとYとの間の歪みは、ある1≦p≦∞において
とする。
定義5. 所与の1≦p≦∞について、所与のD以下のlpノルムを有するすべての確率変数において、P* p,Dによって最大エントロピーを有する分布を表す。より形式的には、P* p,Dは、以下の最適化における最大目的関数を実現する確率測度である。
ただし
すなわち、最適化問題は、p次モーメントに対する制約を受ける、最大エントロピー離散確率分布P* p,Dを求めることである。最大エントロピーは、H*(p,D)で表される。
次に、我々は、P* p,Dおよびそのエントロピーを特徴付ける。
命題3. 任意の1≦p≦∞について、P* p,Dは、
によって与えられ、式中、AおよびBは、
かつ
となるように選択される。さらに、H*(p,D)=−logA+(logB)Dpが得られることになる。
証明:
となるように
およびW〜PWとする。
であるので、
が得られる。
したがって、H(Z)≧H(W)であり、H*(p,D)=−logA+(logB)Dpである。□
我々は、離散機構によって、ノイズZ〜P* p,Dを離散パブリックデータに加える機構を示す。1つの例示的実施形態では、離散機構は、図2に示されるようなステップで進行する。
我々は、離散機構によって、ノイズZ〜P* p,Dを離散パブリックデータに加える機構を示す。1つの例示的実施形態では、離散機構は、図2に示されるようなステップで進行する。
方法200は、205から開始する。ステップ210で、それは、パラメータ、たとえば、pおよびDにアクセスして、歪み測度を定義する。所与の歪み測度lp(1≦p≦∞)および歪みレベルDについて、それは、ステップ220で、命題3で与えられるように確率測度P* p,Dを計算する。分布P* p,DはpおよびDだけによって決定されるが、結果のプライバシー精度トレードオフは、歪み制約がプライバシーおよび精度を結合するので、Xに応じて変わることに留意されたい。
ステップ230で、ノイズが確率測度によって生成され、その後、ステップ240で、それがパブリックデータに加えられる、すなわち、Y=X+Zであり、ただしZ〜P* p,Dである。
を得ることになる。方法200は、ステップ299で終了する。
次に、我々は、相互情報量I(X;Y)を分析する。
がXのlpノルムを表すとする。ミンコフスキーの不等式を使用すると、
を得ることになる。したがって、
I(S;Y)≦I(X;Y)=H(X+Z)−H(Z)≦H*(p,||X||p+D)−H*(p,D)
を得る。すなわち、離散機構を使用するときに我々が得るプライバシー保証(すなわち情報漏出)は、DとXの平均lpノルムとの両方に依存する右項によって上限境界を付けられる。
I(S;Y)≦I(X;Y)=H(X+Z)−H(Z)≦H*(p,||X||p+D)−H*(p,D)
を得る。すなわち、離散機構を使用するときに我々が得るプライバシー保証(すなわち情報漏出)は、DとXの平均lpノルムとの両方に依存する右項によって上限境界を付けられる。
付加ノイズ技法の長所は、それが、Sに関する情報はもちろんXの統計に関する多くの情報を必要としないことだけではなく、それが、最適化問題を単純な問題に軽減し、その場合、完全なカーネルPY|Xを指定する必要がある代わりに、我々が設計を必要とするのがノイズのパラメータだけであることである。これにより、最適化のサイズがかなり縮小され、したがって、それを解決するためのその複雑性および計算/メモリ必要条件がかなり軽減される。
有利なことに、同時確率分布PS,Xの知識なしに、パブリックデータXの1次および2次モーメントの知識のみで、本原理は、連続データと離散データの両方について、ノイズをパブリックデータに追加することによってプライバシーを保護するプライバシー保護写像機構を提供する。
プライバシーエージェントは、プライバシーサービスをユーザに提供するエンティティである。プライバシーエージェントは、以下の任意のものを行うことができる:
− ユーザから、どんなデータをユーザがプライベートであるとみなすか、どんなデータをユーザがパブリックであるとみなすか、およびユーザが求めるプライバシーのレベルを受け取る;
− プライバシー保護写像を計算する;
− ユーザのためのプライバシー保護写像を実装する(すなわち、写像によりユーザのデータを歪める);および
− 歪められたデータを、たとえば、サービスプロバイダまたはデータ収集エージェンシに公開する。
− ユーザから、どんなデータをユーザがプライベートであるとみなすか、どんなデータをユーザがパブリックであるとみなすか、およびユーザが求めるプライバシーのレベルを受け取る;
− プライバシー保護写像を計算する;
− ユーザのためのプライバシー保護写像を実装する(すなわち、写像によりユーザのデータを歪める);および
− 歪められたデータを、たとえば、サービスプロバイダまたはデータ収集エージェンシに公開する。
本原理は、ユーザデータのプライバシーを保護するプライバシーエージェントにおいて使用され得る。図3は、プライバシーエージェントが使用され得る例示的システム300のブロック図を示す。パブリックユーザ310は、彼らのプライベートデータ(S)および/またはパブリックデータ(X)を公開する。前述されたように、パブリックユーザは、パブリックデータをそのままで公開する、すなわちY=Xである。パブリックユーザによって公開された情報は、プライバシーエージェントに有用な統計情報となる。
プライバシーエージェント380は、統計収集モジュール320、付加ノイズ生成器330、およびプライバシー保護モジュール340を含む。統計収集モジュール320は、パブリックデータの共分散を収集するために使用され得る。統計収集モジュール320は、bluekai.comなどのデータアグリゲータから統計値を受け取ってもよい。入手可能な統計情報に応じて、付加ノイズ生成器330は、たとえば、ガウス機構または離散機構に基づいて、ノイズを設計する。プライバシー保護モジュール340は、生成されたノイズを加えることによって、プライベートユーザ360のパブリックデータをそれが公開される前に歪める。一実施形態では、統計収集モジュール320、付加ノイズ生成器330、およびプライバシー保護モジュール340はそれぞれ、方法100におけるステップ110、130、および140を実施するために使用され得る。
プライバシーエージェントは、データ収集モジュールに収集された、データ全体の知識なしに作用するための統計値のみを必要とすることに留意されたい。したがって、別の実施形態では、データ収集モジュールは、データを収集し次いで統計値を計算する独立したモジュールであってもよく、プライバシーエージェントの一部である必要はない。データ収集モジュールは、プライバシーエージェントと統計値を共有する。一実施形態では、付加ノイズ生成器330およびプライバシー保護モジュール340はそれぞれ、方法200におけるステップ220および230を実施するために使用され得る。
プライバシーエージェントは、ユーザとユーザデータの受信者(たとえばサービスプロバイダ)との間に存在する。たとえば、プライバシーエージェントは、ユーザデバイス、たとえば、コンピュータまたはセットトップボックス(STB)に配置されてよい。別の例では、プライバシーエージェントは別個のエンティティであってよい。
プライバシーエージェントのすべてのモジュールは、1つのデバイスに配置されてもよく、または異なるデバイスにわたって分散されてもよく、たとえば、統計収集モジュール320は、統計値をモジュール330に単に公開するデータアグリゲータに配置されてもよく、付加ノイズ生成器330は、「プライバシーサービスプロバイダ」に、またはモジュール320に接続されたユーザデバイス上のユーザ端に配置されてもよく、プライバシー保護モジュール340は、ユーザ間の媒介として働くプライバシーサービスプロバイダ、およびユーザがデータを公開したい先のサービスプロバイダ、またはユーザデバイス上のユーザ端に配置されてもよい。
プライベートユーザ360が受け取るサービスを公開されるデータに基づいて改善するために、プライバシーエージェントは、公開されるデータを、サービスプロバイダ、たとえば、コムキャストまたはネットフリックスに提供することができ、たとえば、推奨システムが、その公開された映画ランキングに基づいてユーザに映画の推奨を提供する。
図4では、我々は、システム内に複数のプライバシーエージェントがあることを示す。異なる変形形態では、プライバシーエージェントはプライバシーシステムが作用するための必要条件でないので、それはすべての場所にある必要がない。たとえば、プライバシーエージェントは、ユーザデバイスもしくはサービスプロバイダのみ、または両方にあってもよい。図4では、我々は、ネットフリックスとフェイスブック(Facebook)の両方に対して同じプライバシーエージェント「C」を示す。別の実施形態では、フェイスブックとネットフリックスにおけるプライバシーエージェントは、同じにすることができるが必ずしも同じでなくてよい。
本明細書に説明される実装形態は、たとえば、方法もしくはプロセス、装置、ソフトウェアプログラム、データストリーム、または信号において実装されてよい。単一形態の実装形態の文脈でのみ論じられた(たとえば、方法としてのみ論じられた)場合でも、論じられた特徴の実装形態は、他の形態(たとえば、装置またはプログラム)で実装されてもよい。装置は、たとえば、適切なハードウェア、ソフトウェア、およびファームウェアで実装されてよい。方法は、たとえばコンピュータ、マイクロプロセッサ、集積回路、またはプログラマブル論理デバイスを含む、一般に処理デバイスを指すたとえばプロセッサなどの、たとえば装置において実装されてよい。プロセッサはまた、エンドユーザ間の情報の通信を促進する、たとえば、コンピュータ、セルフォン、ポータブル/パーソナルディジタルアシスタント(「PDA」)、および他のデバイスなどの、通信デバイスを含む。
本原理の「一実施形態」または「実施形態」または「一実装形態」または「実装形態」、およびそれらの他の変形形態への参照は、その実施形態に関連して説明される特定の特徴、構造、および特性などが本原理の少なくとも1つの実施形態に含まれることを意味する。したがって、本明細書を通して様々な箇所で出現する表現「一実施形態では」または「実施形態では」または「一実装形態では」または「実装形態では」、および任意の他の変形形態の出現は、必ずしもすべて同じ実施形態を参照するものではない。
加えて、本出願またはその特許請求の範囲は、様々な情報片を「決定すること」を参照することがある。情報を決定することは、たとえば、情報を推定すること、情報を計算すること、情報を予測すること、またはメモリから情報を取り出すことのうちの1または複数を含み得る。
さらに、本出願またはその特許請求の範囲は、様々な情報片に「アクセスすること」を参照することがある。情報にアクセスすることは、たとえば、情報を受け取ること、(たとえばメモリから)情報を取り出すこと、情報を記憶すること、情報を処理すること、情報を送信すること、情報を移動すること、情報をコピーすること、情報を消去すること、情報を計算すること、情報を決定すること、情報を予測すること、または情報を推定することのうちの1または複数を含み得る。
加えて、本出願またはその特許請求の範囲は、様々な情報片を「受け取る」ことを参照することがある。受け取ることは、「アクセスすること」と同様に広義の用語になるように意図されている。情報を受け取ることは、たとえば、情報にアクセスすること、または(たとえばメモリから)情報を取り出すことのうちの1または複数を含み得る。さらに、「受け取ること」は、通常は、何らかの形で、たとえば、情報を記憶すること、情報を処理すること、情報を送信すること、情報を移動すること、情報をコピーすること、情報を消去すること、情報を計算すること、情報を決定すること、情報を予測すること、または情報を推定することなどの動作の際に行われる。
当業者には明らかなように、実装形態は、たとえば、記憶または送信され得る情報を搬送するようにフォーマットされた様々な信号を生成し得る。情報は、たとえば、方法を実施するための命令、または説明された実装形態の1つによって生成されたデータを含み得る。たとえば、信号は、説明された実施形態のビットストリームを搬送するようにフォーマット化されてよい。そのような信号は、たとえば、電磁波として(たとえば、スペクトルの無線周波数部分を使用する)、またはベースバンド信号としてフォーマットされてよい。フォーマッティングは、たとえば、データストリームを符号化し、符号化されたデータストリームを用いて搬送波を変調することを含むことができる。信号が搬送する情報は、たとえば、アナログまたはディジタル情報であってよい。信号は、知られている様々な異なる有線またはワイヤレスリンクを介して送信されてよい。信号は、プロセッサ可読媒体に記憶されてよい。
Claims (21)
- ユーザに関するユーザデータを処理するための方法であって、
プライベートデータおよびパブリックデータを含む前記ユーザデータにアクセスするステップであって、前記プライベートデータは、第1のカテゴリのデータに対応し、前記パブリックデータは、第2のカテゴリのデータに対応する、前記ステップと、
前記第1のカテゴリのデータの共分散行列を決定するステップ(120)と、
前記共分散行列に応じてガウスノイズを生成するステップ(130)と、
前記生成されたガウスノイズを前記ユーザの前記パブリックデータに加えることによって、前記パブリックデータを修正するステップ(140)と、
前記修正されたデータを、サービスプロバイダとデータ収集エージェンシとの少なくとも一方へ公開するステップ(150)と、
を含む、前記方法。 - 前記パブリックデータは、公然と公開されることを前記ユーザが示すデータを含み、前記プライベートデータは、公然と公開されるべきでないことを前記ユーザが示すデータを含む、請求項1に記載の方法。
- ガウスノイズを生成する前記ステップは、
前記共分散行列の固有値及び固有ベクトルを決定するステップと、
前記決定された固有値及び固有ベクトルに応じて他の固有値及び固有ベクトルをそれぞれ決定するステップであって、前記ガウスノイズは、前記他の固有値及び固有ベクトルに応じて生成される、前記ステップと、
を含む、請求項1に記載の方法。 - 前記決定された他の固有ベクトルは、前記共分散行列の前記決定された固有ベクトルと実質的に同一である、請求項1に記載の方法。
- ガウスノイズを生成する前記ステップは、歪み制約にさらに応じる、請求項1に記載の方法。
- ガウスノイズを生成する前記ステップは、前記第2のカテゴリのデータの情報とは独立して生成するステップを含む、請求項1に記載の方法。
- 前記公開されたデータに基づいてサービスを受信するステップをさらに含む、請求項1に記載の方法。
- ユーザに関するユーザデータを処理するための方法であって、
プライベートデータおよびパブリックデータを含む前記ユーザデータにアクセスするステップと、
効用Dに対する制約にアクセスするステップ(220)であって、前記効用は、前記ユーザの前記パブリックデータおよび公開されるデータに応じる、ステップと、
前記効用に対する制約に応じてランダムノイズZを生成するステップ(230)であって、前記ランダムノイズは、前記効用に対する制約下の最大エントロピー確率分布に従う、前記ステップと、
前記生成されたノイズを前記ユーザの前記パブリックデータに加えて、前記ユーザに関する前記公開されるデータを生成するステップ(140)と、
前記公開されるデータを、サービスプロバイダとデータ収集エージェンシとの少なくとも一方へ公開するステップ(150)と、
を含む、前記方法。 - 前記ランダムノイズは、分布
P[Z=i]
に従い、A及びBは、
-
- ユーザに関するユーザデータを処理するための装置であって、
プライベートデータおよびパブリックデータを含む前記ユーザデータの第1のカテゴリのデータの共分散行列を決定するように構成された統計収集モジュール(320)であって、前記プライベートデータは、前記第1のカテゴリのデータに対応し、前記パブリックデータは、第2のカテゴリのデータに対応する、前記統計収集モジュールと、
前記共分散行列に応じてガウスノイズを生成するように構成された付加ノイズ生成器(330)と、
プライバシー保護モジュール(340)であって、
前記生成されたガウスノイズを前記ユーザの前記パブリックデータに加えることによって、前記パブリックデータを修正し、
前記修正されたデータを、サービスプロバイダとデータ収集エージェンシとの少なくとも一方へ公開する、
ように構成された、前記プライバシー保護モジュールと、
を含む、前記装置。 - 前記パブリックデータは、公然と公開されることを前記ユーザが示すデータを含み、前記プライベートデータは、公然と公開されるべきでないことを前記ユーザが示すデータを含む、請求項11に記載の装置。
- 前記付加ノイズ生成器(330)は、
前記共分散行列の固有値及び固有ベクトルを決定し、
前記決定された固有値及び固有ベクトルに応じて他の固有値及び固有ベクトルをそれぞれ決定する、
ように構成され、前記ガウスノイズは、前記他の固有値及び固有ベクトルに応じて生成される、請求項11に記載の装置。 - 前記決定された他の固有ベクトルは、前記共分散行列の前記決定された固有ベクトルと実質的に同一である、請求項11に記載の装置。
- 前記付加ノイズ生成器は、歪み制約に応じるように構成されている、請求項11に記載の装置。
- 前記付加ノイズ生成器は、前記ガウスノイズを前記第2のカテゴリのデータの情報とは独立して生成するように構成されている、請求項11に記載の装置。
- 前記公開されたデータに基づいてサービスを受信するように構成されたプロセッサをさらに含む、請求項11に記載の装置。
- ユーザに関するユーザデータを処理するための装置であって、
効用Dに対する制約にアクセスするように構成された統計収集モジュール(320)であって、前記効用は、前記ユーザのパブリックデータおよび公開されるデータに応じる、前記統計収集モジュールと、
前記効用に対する制約に応じてランダムノイズZを生成するように構成された付加ノイズ生成器であって、前記ランダムノイズは、前記効用に対する制約下の最大エントロピー確率分布に従う、前記付加ノイズ生成器と、
プライバシー保護モジュール(340)であって、
プライベートデータおよび前記パブリックデータを含む前記ユーザデータにアクセスし、
前記生成されたノイズを前記ユーザの前記パブリックデータに加えて、前記ユーザに関する前記公開されるデータを生成し、
前記公開されるデータを、サービスプロバイダとデータ収集エージェンシとの少なくとも一方へ公開する、
ように構成された、前記プライバシー保護モジュールと、
を含む、前記装置。 - 前記ランダムノイズは、分布
P[Z=i]
に従い、A及びBは、
-
- 請求項1から10のいずれかに記載の方法による、ユーザに関するユーザデータを処理するための命令を格納したコンピュータ可読記憶媒体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201361867546P | 2013-08-19 | 2013-08-19 | |
| US61/867,546 | 2013-08-19 | ||
| PCT/US2013/071290 WO2015026386A1 (en) | 2013-08-19 | 2013-11-21 | Method and apparatus for utility-aware privacy preserving mapping through additive noise |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016531513A true JP2016531513A (ja) | 2016-10-06 |
| JP2016531513A5 JP2016531513A5 (ja) | 2017-01-12 |
Family
ID=49880942
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016536079A Withdrawn JP2016531513A (ja) | 2013-08-19 | 2013-11-21 | 付加ノイズを用いる効用対応プライバシー保護写像のための方法および装置 |
Country Status (5)
| Country | Link |
|---|---|
| EP (1) | EP3036679A1 (ja) |
| JP (1) | JP2016531513A (ja) |
| KR (1) | KR20160044553A (ja) |
| CN (1) | CN105659249A (ja) |
| WO (1) | WO2015026386A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020536323A (ja) * | 2017-12-18 | 2020-12-10 | 三菱電機株式会社 | 通信システム、及びプライバシーモジュールを適用してデータを変換する方法 |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108141460B (zh) * | 2015-10-14 | 2020-12-04 | 三星电子株式会社 | 用于无限数据流的隐私管理的系统和方法 |
| US10956603B2 (en) * | 2016-04-07 | 2021-03-23 | Samsung Electronics Co., Ltd. | Private dataaggregation framework for untrusted servers |
| CN106130675B (zh) * | 2016-06-06 | 2018-11-09 | 联想(北京)有限公司 | 一种加噪处理方法和装置 |
| US10333822B1 (en) | 2017-05-23 | 2019-06-25 | Cisco Technology, Inc. | Techniques for implementing loose hop service function chains price information |
| CN109543445B (zh) * | 2018-10-29 | 2022-12-20 | 复旦大学 | 一种基于条件概率分布的隐私保护数据发布方法 |
| CN111209531B (zh) * | 2018-11-21 | 2023-08-08 | 百度在线网络技术(北京)有限公司 | 关联度的处理方法、装置和存储介质 |
| CN109753921A (zh) * | 2018-12-29 | 2019-05-14 | 上海交通大学 | 一种人脸特征向量隐私保护识别方法 |
| KR102055864B1 (ko) * | 2019-05-08 | 2019-12-13 | 서강대학교 산학협력단 | 차분 프라이버시를 적용한 시간 간격 데이터 공개 방법 |
| US20220215116A1 (en) * | 2019-05-14 | 2022-07-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Utility optimized differential privacy system |
| CN110648289B (zh) * | 2019-08-29 | 2023-07-11 | 腾讯科技(深圳)有限公司 | 图像的加噪处理方法及装置 |
| SE2050534A1 (en) * | 2020-05-07 | 2021-11-08 | Dpella Ab | Estimating Accuracy of Privacy-Preserving Data Analyses |
| CN112231764B (zh) * | 2020-09-21 | 2023-07-04 | 北京邮电大学 | 一种时序数据隐私的保护方法及相关设备 |
| CN112364372A (zh) * | 2020-10-27 | 2021-02-12 | 重庆大学 | 一种有监督矩阵补全的隐私保护方法 |
| CN113821577B (zh) * | 2021-08-27 | 2024-02-02 | 同济大学 | 一种室内环境下的基于地理不可区分性的位置模糊方法 |
| CN116305292B (zh) * | 2023-05-17 | 2023-08-08 | 中国电子科技集团公司第十五研究所 | 基于差分隐私保护的政务数据发布方法及系统 |
| CN118053596B (zh) * | 2024-03-04 | 2024-08-06 | 飞图云科技(山东)有限公司 | 一种智能化医疗平台数据管理方法和系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005015462A1 (en) * | 2003-08-08 | 2005-02-17 | Koninklijke Philips Electronics N.V. | System for processing data and method thereof |
| US7302420B2 (en) * | 2003-08-14 | 2007-11-27 | International Business Machines Corporation | Methods and apparatus for privacy preserving data mining using statistical condensing approach |
| US7363192B2 (en) * | 2005-12-09 | 2008-04-22 | Microsoft Corporation | Noisy histograms |
| US7853545B2 (en) * | 2007-02-26 | 2010-12-14 | International Business Machines Corporation | Preserving privacy of one-dimensional data streams using dynamic correlations |
| US8619984B2 (en) * | 2009-09-11 | 2013-12-31 | Microsoft Corporation | Differential privacy preserving recommendation |
-
2013
- 2013-11-21 JP JP2016536079A patent/JP2016531513A/ja not_active Withdrawn
- 2013-11-21 WO PCT/US2013/071290 patent/WO2015026386A1/en active Application Filing
- 2013-11-21 CN CN201380078968.XA patent/CN105659249A/zh active Pending
- 2013-11-21 KR KR1020167007121A patent/KR20160044553A/ko not_active Application Discontinuation
- 2013-11-21 EP EP13812234.6A patent/EP3036679A1/en not_active Withdrawn
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020536323A (ja) * | 2017-12-18 | 2020-12-10 | 三菱電機株式会社 | 通信システム、及びプライバシーモジュールを適用してデータを変換する方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3036679A1 (en) | 2016-06-29 |
| CN105659249A (zh) | 2016-06-08 |
| KR20160044553A (ko) | 2016-04-25 |
| WO2015026386A1 (en) | 2015-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2016531513A (ja) | 付加ノイズを用いる効用対応プライバシー保護写像のための方法および装置 | |
| Li et al. | Privacy computing: concept, computing framework, and future development trends | |
| Mozannar et al. | Fair learning with private demographic data | |
| US20160006700A1 (en) | Privacy against inference attacks under mismatched prior | |
| JP2016535898A (ja) | 結託および合成を考慮した効用対応プライバシー保護写像のための方法および装置 | |
| US20160210463A1 (en) | Method and apparatus for utility-aware privacy preserving mapping through additive noise | |
| US20160203333A1 (en) | Method and apparatus for utility-aware privacy preserving mapping against inference attacks | |
| Sharma et al. | PrivateGraph: Privacy-preserving spectral analysis of encrypted graphs in the cloud | |
| CA3186528A1 (en) | Machine-learning techniques for factor-level monotonic neural networks | |
| CN107609421A (zh) | 隐私保护协同Web服务质量预测的基于邻域的协同过滤方法 | |
| EP4097618B1 (en) | Privacy preserving machine learning for content distribution and analysis | |
| EP3036677A1 (en) | Method and apparatus for utility-aware privacy preserving mapping against inference attacks | |
| Yargic et al. | Privacy-preserving multi-criteria collaborative filtering | |
| KR20220101671A (ko) | 그래디언트 부스팅을 통한 프라이버시 보호 기계 학습 | |
| CN114186263A (zh) | 一种基于纵向联邦学习的数据回归方法及电子装置 | |
| Yang et al. | Recommendations in smart devices using federated tensor learning | |
| Mendes et al. | On the effect of update frequency on geo-indistinguishability of mobility traces | |
| US20160203334A1 (en) | Method and apparatus for utility-aware privacy preserving mapping in view of collusion and composition | |
| Yan et al. | LSH-based private data protection for service quality with big range in distributed educational service recommendations | |
| WO2018184463A1 (en) | Statistics-based multidimensional data cloning | |
| CN114004456B (zh) | 数据标签的计算方法、装置、计算机设备和存储介质 | |
| Feng et al. | MPLDP: Multi-level Personalized Local Differential Privacy Method | |
| Tran et al. | Privacy-preserving deep learning model with integer quantization and secure multi-party computation | |
| Zhang et al. | Towards Efficient and Privacy-Preserving Service QoS Prediction with Federated Learning | |
| Wang | Privacy preservation for linear and learning based inference systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161121 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20161121 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20161202 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20161202 |
|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20170203 |