Unifying Re-Identification, Attribute Inference, and Data Reconstruction Risks in Differential Privacy¶

会议: NeurIPS 2025
arXiv: 2507.06969
代码: 无
领域: AI安全 / 差分隐私
关键词: 差分隐私, 重识别, 属性推断, 数据重建, f-DP

一句话总结¶

基于假设检验解释的 f-DP 框架，统一了差分隐私中重识别、属性推断和数据重建三类隐私风险的界定，提供更紧致一致的风险上界，使噪声校准可减少 20% 且不降低安全性。

研究背景与动机¶

现有痛点¶

现有痛点：领域现状：差分隐私 (DP) 机制难以解释和校准，因为：

风险类型分散: 重识别、属性推断、数据重建是三种不同的隐私风险，现有方法分别给出不同形式的界

过于悲观: 现有的基于 ε-DP, Rényi DP, concentrated DP 的界往往过于保守

不一致: 不同DP变体给出的风险评估互相矛盾，实践者难以选择

本文的核心贡献：在 f-DP (hypothesis testing DP) 框架下，证明三种攻击的成功率上界可以采用同一种统一的数学形式。

方法详解¶

整体框架¶

将三种隐私风险统一建模为假设检验问题
利用 f-DP 的 trade-off function 给出各风险的统一上界
证明上界可调 (tunable)，支持任意基线风险水平的评估
基于统一界进行噪声校准，减少不必要的噪声注入

关键设计¶

统一的假设检验建模:
- 重识别风险: H₀: 个体的数据在数据集中 vs H₁: 不在
- 属性推断风险: H₀: 个体属性为 A vs H₁: 属性为 B
- 数据重建风险: H₀: 数据记录为 x vs H₁: 数据记录为 x'
- 三者都可归结为两个数据集产生的输出分布间的假设检验
统一界的推导:
- 利用 f-DP 的 trade-off function \(f\)
- 攻击成功概率统一上界为 \(f\) 的某种变换
- 关键性质：上界对三种攻击具有相同的数学形式
可调节性 (Tunability):
- 引入基线风险参数 \(\beta\)（无保护时攻击者的先验成功率）
- 上界随 \(\beta\) 变化，允许针对不同攻击场景进行精细评估
- 包含最坏情况 (\(\beta\) 取极端值) 作为特例

损失函数 / 训练策略¶

不涉及模型训练。核心理论结果为：

\[P[\text{attack success}] \leq g(f, \beta, \varepsilon)\]

其中 \(g\) 是与攻击类型无关的统一函数形式。

实验关键数据¶

噪声校准对比¶

主实验¶

方法	隐私预算 ε	噪声标准差	文本分类准确率 (%) ↑	风险上界
ε-DP 界	1.0	σ=8.5	52.3	0.63
Rényi DP 界	1.0	σ=7.2	58.5	0.58
Concentrated DP 界	1.0	σ=6.8	61.2	0.55
本文 f-DP 统一界	1.0	σ=5.5	70.1	0.52

三类风险的统一评估¶

消融实验¶

攻击类型	ε-DP 上界	Rényi DP 上界	本文统一上界	实际攻击率
重识别 (β=0.01)	0.92	0.85	0.65	0.12
重识别 (β=0.5)	0.98	0.95	0.78	0.35
属性推断	0.89	0.82	0.62	0.18
数据重建	0.95	0.91	0.71	0.08

关键发现¶

本文方法的界比 ε-DP 方法紧致 20-30%，且与实际攻击率更接近
通过减少噪声（20% reduction），文本分类任务准确率从 52% 提升至 70%
统一界在三种攻击类型上都优于现有特化方法
可调节的基线风险参数允许更实际的风险评估

亮点与洞察¶

统一框架: 首次将三类主要隐私风险在同一数学框架下分析
实用改进: 20% 噪声减少直接转化为模型性能提升
理论优雅: f-DP 框架比 ε-DP 更自然地刻画隐私-效用权衡
可调节性: 实践者可根据具体威胁模型调整基线风险

局限与展望¶

f-DP 的 trade-off function 对非专业人员理解门槛较高
实验主要在文本分类任务上验证，其他领域的验证不足
对于组合 DP（多次查询）的扩展需要进一步研究
实际部署中基线风险 \(\beta\) 的估计可能不准确

评分¶

维度	分数 (1-5)
创新性	4
理论深度	5
实验充分性	4
写作质量	4
实用价值	4
总体推荐	4