CHƯƠNG 1: BẢO MẬT KHÁC BIỆT (DIFFERENTIAL PRIVACY) 1. TỔNG QUAN VỀ DIFFERENTIAL PRIVACY 1. Ý tưởng cốt lõi của Differential Privacy Đầu tiên, hãy xem xét hai câu hỏi sau đây: 1. “Có bao nhiêu người sống tại Cam Lâm?” 2.
“Có bao nhiêu người tên Lê Minh Trí sống tại Cam Lâm?” Câu hỏi đầu tiên tiết lộ về một đặc điểm của toàn bộ quần thể (population), còn câu thứ hai tiết lộ thông tin về một cá nhân duy nhất. Khi sử dụng dữ liệu, mục tiêu của chúng ta là có thể tìm hiểu các xu hướng trong quần thể mà vẫn ngăn khả năng tìm hiểu bất kỳ điều gì mới về một cá nhân cụ thể. Điều này là mục tiêu của nhiều phân tích thống kê dữ liệu, chẳng hạn như các thống kê được công bố bởi Cơ quan Thống kê Dân số Hoa Kỳ (U. Census Bureau) [1], Cơ quan Thống kê châu Âu (Eurostat) [2], … và lĩnh vực Học máy (Machine Learning) nói chung.
Nhưng làm thế nào để chúng ta có thể trả lời câu hỏi đầu tiên “Có bao nhiêu người sống tại Cam Lâm” – chúng ta sẽ gọi là một truy vấn, trong khi ngăn ngừa câu hỏi thứ hai “Có bao nhiêu người tên Lê Minh Trí sống tại Cam Lâm?” được trả lời? Hay nói cách khác, là chúng ta đang tìm lời giải cho câu hỏi “Làm thế nào để công bố dữ liệu về người mà vẫn bảo vệ quyền riêng tư của họ?”. Giải pháp phổ biến nhất được gọi là giải trừ nhận dạng (de-identification) hay ẩn danh (anonymization), trong đó thông tin nhận dạng cá nhân được loại bỏ khỏi tập dữ liệu, giả định rằng tập dữ liệu này chứa thông tin được thu thập từ nhiều cá nhân. Một lựa chọn khác là chỉ cho phép các truy vấn tổng hợp, chẳng hạn như trung bình trên dữ liệu. Tuy nhiên, hiện nay, chúng ta hiểu rằng cả hai phương pháp này đều không cung cấp sự bảo vệ mạnh mẽ về quyền riêng tư [3].
Cụ thể, các tập dữ liệu đã được giải trừ nhận dạng có thể dễ dàng bị tấn công liên kết cơ sở dữ liệu, và việc tổng hợp chỉ bảo vệ sự riêng tư nếu các nhóm đang được tổng hợp đủ lớn, ngay cả khi nhóm đủ lớn, vẫn có thể xảy ra các cuộc tấn công vào quyền riêng tư [3, 4]. Qua đó có thể thấy rằng trong nhiều năm, các nhà khoa học máy tính đã đề xuất nhiều ý tưởng sáng tạo, nhưng không có khái niệm nào thực sự thỏa đáng: tất cả những khái niệm này đều được chứng minh là có 3 hạn chế trong một số hoàn cảnh. Chúng cũng khó áp dụng mà không làm mất đi tính hữu ích của dữ liệu. Song, phương pháp này cũng làm giảm độ chính xác của các truy vấn [4].
Thách thức đặt ra là làm sao để thêm đủ nhiễu để bảo vệ quyền riêng tư của mỗi cá nhân mà không làm mất đi tính hữu ích của dữ liệu. Các nghiên cứu, công trình sau đó [5, 6] đã cải tiến ý tưởng thêm nhiễu vào các bảng được công bố để bảo vệ quyền riêng tư của các cá nhân trong tập dữ liệu [4]. Cho đến năm 2006, bốn tác giả là Cynthia Dwork, Frank McSherry, Kobbi Nissim, và Adam Smith đã đề xuất một khung (framework) lý thuyết chính thức cho những kết quả này trong bài báo “Calibrating Noise to Sensitivity in Private Data Analysis” [7]. Bài báo này đã giới thiệu khái niệm Bảo mật khác biệt (Differential Privacy), một định nghĩa toán học về sự mất mát dữ liệu mà mọi người phải chịu khi công bố dữ liệu, và nhóm tác giả đã đề xuất một cơ chế (mechanism) để xác định mức nhiễu cần thêm cho bất kỳ mức bảo vệ riêng tư nào.
Phần dưới đây sẽ làm rõ hơn về ý tưởng của Bảo mật khác biệt. Giả sử, chúng ta có một quy trình (process), quy trình này sẽ lấy một đầu vào (input) là một cơ sở dữ liệu và trả về một số đầu ra nào đó. Minh họa quy trình [8] Quy trình ở đây có thể là bất kỳ hành động gì [8], ví dụ như: - Một chiến lược gỡ bỏ thông tin cá nhân: Loại bỏ tên Họ và ba chữ số cuối điện thoại, … - Một quy trình tính toán thống kê: Cho biết có bao nhiêu người có tóc màu vàng, … 4 - Một quy trình huấn luyện học máy: Xây dựng một mô hình để dự đoán người dùng nào thích mua sắm, … Để làm cho một quy trình tương tự như các ví dụ ở trên trở nên bảo mật khác biệt, chúng ta thường phải điều chỉnh một chút bằng cách thêm một ít sự ngẫu nhiên hoặc nhiễu vào một số nơi cụ thể. Cách chúng ta thực hiện và mức độ nhiễu cần thêm sẽ phụ thuộc vào từng quy trình, điều này sẽ được trình bày chi tiết hơn trong các phần sau.
Hiện tại, theo một cách gần gũi, ta có thể nói rằng quy trình của chúng ta đang thực hiện một số “ma thuật” nào đó. Minh họa việc thêm "ma thuật" vào quy trình [8] Hình 1. Loại bỏ một người khỏi tập dữ liệu [8] Giả sử chúng ta loại bỏ một ai đó khỏi cơ sở dữ liệu và chạy lại quy trình mới với cơ sở dữ liệu mới đó. Nếu quy trình mới là bảo mật khác biệt, hai kết quả sẽ “gần giống nhau” (basically the same).
Điều này chắc chắn đúng dù chúng ta loại bỏ ai và cơ sở dữ liệu ban đầu là gì. Cụm từ “gần giống nhau” ở đây không có nghĩa là “nó trông có vẻ tương tự 5 một chút”. Thay vào đó, ma thuật ngẫu nhiên hóa được thêm vào quy trình đã đảm bảo rằng chúng ta không luôn luôn nhận được cùng một kết quả nếu chạy lại quy trình nhiều lần. Vậy “gần giống nhau” trong ngữ cảnh này có nghĩa là chúng ta có thể có cùng kết quả chính xác từ cả hai cơ sở dữ liệu với khả năng tương tự [8].
Nhưng điều này có ý nghĩa gì đến quyền riêng tư? Giả sử bạn là một kẻ xấu đang cố gắng xác định xem đối tượng mục tiêu có trong dữ liệu gốc hay không. Nhìn vào kết quả, bạn không thể chắc chắn 100% về điều gì cả, vì kết quả có thể đến từ cơ sở dữ liệu chứa mục tiêu hoặc không chứa mục tiêu, với xác suất tương tự. Do đó, bạn không thể xác định được điều gì chắc chắn [8]. Xuyên suốt quá trình trên, chúng ta không đề cập đến dữ liệu đầu ra trông như thế nào.
Điều này là vì bảo mật khác biệt tập trung chủ yếu vào bản chất của quá trình thay vì đặc điểm của dữ liệu đầu ra, điều này khác với các định nghĩa về quyền riêng tư dữ liệu trước đây như k – anonymity [9]. Chúng ta không thể nhìn vào dữ liệu đầu ra và xác định liệu nó có tuân theo bảo mật khác biệt hay không. Thay vào đó, bảo mật khác biệt là một tính chất của quy trình: chúng ta phải biết cách dữ liệu được tạo ra để xác định liệu nó có tuân theo bảo mật khác biệt hay không [8]. Định nghĩa Differential Privacy Bảo mật khác biệt (Differential Privacy - DP) là một định nghĩa toán học về quyền riêng tư trong ngữ cảnh phân tích thống kê và học máy [10, 11].
DP không phải là một quy trình cụ thể như việc loại bỏ thông tin cá nhân (de-identification), mà là một thuộc tính mà quy trình có thể có. Chẳng hạn, có thể chứng minh rằng một thuật toán cụ thể “đáp ứng” các tiêu chuẩn của bảo mật khác biệt [12]. Nói một cách không chính thức, bảo mật khác biệt đảm bảo rằng đối với mỗi cá nhân đóng góp dữ liệu, kết quả của một phân tích bảo mật khác biệt (differentially private analysis) sẽ gần như giống nhau, bất kể dữ liệu của cá nhân đó có được bao gồm hay không [12]. Một phân tích bảo mật khác biệt thường được gọi là một cơ chế (mechanism) và thường được ký hiệu là 𝑀 hoặc 𝐴.
Cho 𝐷 là một tập dữ liệu bao gồm 𝑛 bản ghi. Một nhà phân tích muốn truy vấn tập dữ liệu này. Một cách chính thức, truy vấn là một hàm 𝑓 nhận tập dữ liệu làm đầu vào và xuất ra một giá trị quan tâm. Truy vấn có thể đơn giản như tính trung bình của một đặc trưng nào đó, hoặc phức tạp hơn, như huấn luyện một mạng nơ-ron và sau đó trả về các 6 trọng số của mạng.
DP được thực hiện thông qua một cơ chế 𝑀: một thuật toán ngẫu nhiên ước tính kết quả của 𝑓. Một lớp cơ chế phổ biến có thể được coi là phiên bản “có nhiễu” của 𝑓, bằng cách thêm nhiễu được chọn cẩn thận vào 𝑓, tức là, 𝑀(𝐷 ) = 𝑓 (𝐷 ) + 𝑍, trong đó, 𝑍 là một biến ngẫu nhiên được lấy mẫu từ một phân phối nhiễu cụ thể [13]. Chúng ta nói rằng hai tập dữ liệu 𝐷 và 𝐷′ là hàng xóm (neighbors) nếu chúng khác nhau chỉ trong một bản ghi; cụ thể hơn, một tập dữ liệu là một bản sao của tập dữ liệu kia nhưng có thêm hoặc bớt một bản ghi duy nhất. Cho 𝜀 là một số dương.
Một cơ chế 𝑀 đảm bảo 𝜀-differential privacy nếu đối với bất kỳ hai tập dữ liệu hàng xóm 𝐷 và 𝐷′ nào, và bất kỳ 𝑆 ⊆ 𝑅𝑎𝑛𝑔𝑒(𝑀), 𝑃[𝑀(𝐷) ∈ 𝑆] ≤ 𝑒𝑥𝑝(𝜀) × 𝑃[𝑀(𝐷′ ) ∈ 𝑆]. (1) Trong Định nghĩa 1, 𝑅𝑎𝑛𝑔𝑒(𝑀) là tập hợp của tất cả các kết quả có thể của 𝑀. Định nghĩa differential privacy - minh họa [15] Theo giải thích của Natalia Ponomareva và các cộng sự [13], Định nghĩa 1 đảm bảo rằng xác suất thấy một kết quả cụ thể trên hai tập dữ liệu hàng xóm bất kỳ có thể khác nhau tối đa một hệ số nhân của 𝑒𝑥𝑝(𝜀). 𝑒𝑥𝑝(𝜀) hay 𝑒 𝜀 là hàm mũ áp dụng cho tham số 𝜀 > 0.
Nếu 𝜀 rất gần với 0, thì 𝑒 𝜀 sẽ rất gần với 1, vì vậy các xác suất rất tương tự nhau [8]. Do đó, khi 𝜀 đủ nhỏ, ý nghĩa chính của định nghĩa là việc bao gồm hoặc loại trừ một bản ghi duy nhất khỏi tập dữ liệu không có khả năng thay đổi kết quả. Do đó, một kẻ thù chỉ có quyền truy cập vào kết quả của 𝑀 sẽ gặp khó khăn trong việc suy luận xem bất kỳ bản ghi cụ thể nào có tồn tại trong tập dữ liệu hay không [13]. 7 Cũng theo Natalia Ponomareva và cộng sự [13], việc lựa chọn điều gì tạo nên một "bản ghi" (đơn vị của sự riêng tư) là trọng tâm trong việc giải thích định nghĩa của DP và ý nghĩa của các cam kết nó cung cấp.
Các đơn vị riêng tư khác nhau có thể phù hợp cho các ứng dụng học máy khác nhau.