差分隐私如何在机器学习中保护个人数据？

差分隐私（DP）从数学上保证，如果包含或排除任何单个个体的数据，算法（如机器学习模型）的输出几乎保持不变。这可以防止攻击者可靠地推断出任何特定个体的信息。其核心意义在于能够进行有意义的聚合分析，同时可证明地保护个人隐私。主要应用包括在严格的隐私法规下，使用敏感用户数据训练用于医疗、金融或推荐系统的模型。 DP的工作原理是在计算中引入精心校准的噪声，无论是在数据处理、训练期间，还是在发布模型/结果之前。噪声量取决于隐私参数（ε）和函数的敏感性（输出随一条记录变化的程度），其中隐私参数量化隐私损失。常见机制包括输出扰动（向结果添加噪声）和目标扰动（向训练损失函数添加噪声）。这种随机噪声掩盖了个体贡献，确保模型不会记忆或过度依赖特定记录，从而保护个体免受身份识别或属性推断攻击。 要在机器学习中实现DP，关键步骤是：1）定义隐私预算（ε，δ）；2）选择适用的DP算法，如DP-SGD（带DP的随机梯度下降）；3）计算梯度或输出的敏感性；4）在训练/推理期间注入与敏感性和预算成比例的适当噪声（如高斯噪声或拉普拉斯噪声）。这提供了可量化的隐私保证。其价值在于能够在敏感数据集上进行机器学习——训练预测模型、执行联邦学习或发布聚合统计数据——而不会有个体重新识别的风险，从而促进信任和法规遵从性。