出于研究目的，在发布大量此类数据集之前，胸部X光片的强大而可靠的匿名化构成了必不可少的步骤。传统的匿名过程是通过在图像中使用黑匣子中遮盖个人信息并删除或替换元信息来执行的。但是，这种简单的措施将生物识别信息保留在胸部X光片中，从而使患者可以通过连锁攻击重新识别。因此，我们看到迫切需要混淆图像中出现的生物特征识别信息。据我们所知，我们提出了第一种基于深度学习的方法，以目标匿名化胸部X光片，同时维护数据实用程序以诊断和机器学习目的。我们的模型架构是三个独立神经网络的组成，当共同使用时，它可以学习能够阻碍患者重新识别的变形场。通过消融研究研究每个组件的个体影响。 CHESTX-RAY14数据集的定量结果显示，在接收器操作特征曲线（AUC）下，患者重新识别从81.8％降低至58.6％，对异常分类性能的影响很小。这表明能够保留潜在的异常模式，同时增加患者隐私。此外，我们将提出的基于学习的深度匿名方法与差异化图像像素化进行比较，并证明了我们方法在解决胸部X光片的隐私性权衡权衡方面的优越性。

近年来，随着深度学习技术的不断增长和不断增长的潜力，公开可用的医疗数据集成为实现医疗领域诊断算法的可重现开发的关键因素。医疗数据包含敏感的患者相关信息，因此通常通过删除患者识别符（例如出版前的患者名称）来匿名。据我们所知，我们是第一个表明训练有素的深度学习系统能够从胸部X射线数据中恢复患者身份的人。我们使用公开可用的大规模ChestX-Ray14数据集证明了这一点，该数据集收集了来自30,805名独特患者的112,120个额叶视图胸部X射线图像。我们的验证系统能够确定两个正面胸部X射线图像是否来自同一人，其AUC为0.9940，分类精度为95.55％。我们进一步强调，拟议的系统即使在初次扫描后的十到十年都可以揭示同一个人。在采用检索方法时，我们会观察到0.9748的地图@r和0.9963的Precision@1。此外，当评估我们在外部数据集上的训练网络（例如CHEXPERT和COVID-19图像数据收集）上，我们达到了高达0.9870的AUC，最高为0.9444的Precision@1的精度为0.9444。基于此高识别率，潜在的攻击者可能会泄漏与患者相关的信息，并另外交叉引用图像以获取更多信息。因此，有敏感内容落入未经授权的手或反对有关患者的意愿的巨大风险。尤其是在Covid-19大流行期间，已经发布了许多胸部X射线数据集以推动研究。因此，此类数据可能容易受到基于深度学习的重新识别算法的潜在攻击。

The availability of large-scale chest X-ray datasets is a requirement for developing well-performing deep learning-based algorithms in thoracic abnormality detection and classification. However, biometric identifiers in chest radiographs hinder the public sharing of such data for research purposes due to the risk of patient re-identification. To counteract this issue, synthetic data generation offers a solution for anonymizing medical images. This work employs a latent diffusion model to synthesize an anonymous chest X-ray dataset of high-quality class-conditional images. We propose a privacy-enhancing sampling strategy to ensure the non-transference of biometric information during the image generation process. The quality of the generated images and the feasibility of serving as exclusive training data are evaluated on a thoracic abnormality classification task. Compared to a real classifier, we achieve competitive results with a performance gap of only 3.5% in the area under the receiver operating characteristic curve.

通过向每个数据示例添加校准的噪声来保护个人的隐私，差异隐私（DP）已成为保护个人隐私的黄金标准。尽管对分类数据的应用很简单，但在图像上下文中的可用性受到限制。与分类数据相反，图像的含义是相邻像素的空间相关性固有的，使噪声的简单应用不可行。可逆的神经网络（INN）表现出了出色的生成性能，同时仍提供量化确切可能性的能力。他们的原理是基于将复杂的分布转换为一个简单的分布，例如图像进入球形高斯。我们假设在旅馆的潜在空间中添加噪音可以实现差异化的私有图像修改。操纵潜在空间会导致修改的图像，同时保留重要的细节。此外，通过对数据集提供的元数据进行调节，我们旨在使对下游任务的尺寸保持重要意义，例如分类未触及的，同时更改其他可能包含识别信息的其他部分。我们称我们的方法意识到差异隐私（CADP）。我们对公共基准测试数据集以及专用医疗进行实验。此外，我们还展示了方法对分类数据的普遍性。源代码可在https://github.com/cardio-ai/cadp上公开获得。

差异隐私（DP）已被出现为严格的形式主义，以推理可量化的隐私泄漏。在机器学习（ML）中，已采用DP限制推理/披露训练示例。在现有的工作中杠杆横跨ML管道，尽管隔离，通常专注于梯度扰动等机制。在本文中，我们展示了DP-util，DP整体实用分析框架，跨越ML管道，重点是输入扰动，客观扰动，梯度扰动，输出扰动和预测扰动。在隐私敏感数据上给出ML任务，DP-Util使ML隐私从业者能够对DP在这五个扰动点中的影响，以模型公用事业丢失，隐私泄漏和真正透露的数量来测量DP的影响。训练样本。我们在视觉，医疗和金融数据集上使用两个代表性学习算法（Logistic回归和深神经网络）来评估DP-Uts，以防止会员资格推论攻击作为案例研究攻击。我们结果的一个亮点是，预测扰动一致地在所有数据集中始终如一地实现所有模型的最低实用损耗。在Logistic回归模型中，与其他扰动技术相比，客观扰动导致最低的隐私泄漏。对于深度神经网络，梯度扰动导致最低的隐私泄漏。此外，我们的结果揭示了记录的结果表明，由于隐私泄漏增加，差异私有模型揭示了更多数量的成员样本。总体而言，我们的研究结果表明，为了使使用的扰动机制有明智的决定，ML隐私从业者需要检查优化技术（凸与非凸），扰动机制，课程数量和隐私预算之间的动态。

随着移动设备和基于位置的服务越来越多地在不同的智能城市场景和应用程序中开发，由于数据收集和共享，许多意外的隐私泄漏已经出现。当与云辅助应用程序共享地理位置数据时，用户重新识别和其他敏感的推论是主要的隐私威胁。值得注意的是，四个时空点足以唯一地识别95％的个人，这加剧了个人信息泄漏。为了解决诸如用户重新识别之类的恶意目的，我们提出了一种基于LSTM的对抗机制，具有代表性学习，以实现原始地理位置数据（即移动性数据）的隐私权特征表示，以共享目的。这些表示旨在以最小的公用事业预算（即损失）最大程度地减少用户重新识别和完整数据重建的机会。我们通过量化轨迹重建风险，用户重新识别风险和移动性可预测性来量化移动性数据集的隐私性权衡权衡来训练该机制。我们报告了探索性分析，使用户能够通过特定的损失功能及其权重参数评估此权衡。四个代表性移动数据集的广泛比较结果证明了我们提出的在移动性隐私保护方面的架构的优越性以及提议的隐私权提取器提取器的效率。我们表明，流动痕迹的隐私能够以边际移动公用事业为代价获得体面的保护。我们的结果还表明，通过探索帕累托最佳设置，我们可以同时增加隐私（45％）和实用程序（32％）。

分层文本分类包括将文本文档分类为类和子类的层次结构。尽管人造神经网络已经证明有用的是执行这项任务，但遗憾的是，由于培训数据记忆，他们可以将培训数据信息泄漏到对手。在模型培训期间使用差异隐私可以减轻泄漏攻击训练型型号，使模型能够以降低的模型精度安全地共享。这项工作调查了具有差异隐私保证的分层文本分类中的隐私实用权折衷，并识别了提供优越权衡的神经网络架构。为此，我们使用白盒会员推理攻击来凭经验评估三种广泛使用的神经网络架构的信息泄漏。我们表明，大型差异隐私参数已经足以完全减轻隶属度推理攻击，因此仅导致模型实用程序的中等减少。更具体地说，对于具有长文本的大型数据集，我们观察了基于变压器的模型，实现了整体有利的隐私式实用工具权，而对于具有较短文本的较小的数据集是优选的。

良好的培训数据是开发有用的ML应用程序的先决条件。但是，在许多域中，现有数据集不能由于隐私法规（例如，从医学研究）而被共享。这项工作调查了一种简单而非规范的方法，可以匿名数据综合来使第三方能够受益于此类私人数据。我们探讨了从不切实际，任务相关的刺激中隐含地学习的可行性，这通过激发训练有素的深神经网络（DNN）的神经元来合成。因此，神经元励磁用作伪生成模型。刺激数据用于培训新的分类模型。此外，我们将此框架扩展以抑制与特定个人相关的表示。我们使用开放和大型闭合临床研究的睡眠监测数据，并评估（1）最终用户是否可以创建和成功使用定制分类模型进行睡眠呼吸暂停检测，并且（2）研究中参与者的身份受到保护。广泛的比较实证研究表明，在刺激上培训的不同算法能够在与原始模型相同的任务上成功概括。然而，新和原始模型之间的架构和算法相似性在性能方面发挥着重要作用。对于类似的架构，性能接近使用真实数据（例如，精度差为0.56 \％，Kappa系数差为0.03-0.04）。进一步的实验表明，刺激可以在很大程度上成功地匿名匿名研究临床研究的参与者。

最近的研究表明，X射线射线照相表现出比聚合酶链反应（PCR）检测更高的准确性。因此，将深度学习模型应用于X射线和放射线照相图像增加了确定COVID-19病例的速度和准确性。但是，由于健康保险的可移植性和问责制（HIPAA），医院由于隐私问题而不愿意共享患者数据。为了维持隐私，我们提出了不同的私人深度学习模型，以保护患者的私人信息。来自Kaggle网站的数据集用于评估用于COVID-19检测的设计模型。根据其最高测试精度选择了EditivedNet模型版本。将差异隐私约束注入到最佳模型中以评估性能。通过改变可训练的层，隐私损失以及每个样本中的限制信息来指出准确性。在微调过程中，我们获得了84 \％准确性，而隐私损失为10。

差异隐私（DP）提供了正式的隐私保证，以防止对手可以访问机器学习模型，从而从提取有关单个培训点的信息。最受欢迎的DP训练方法是差异私有随机梯度下降（DP-SGD），它通过在训练过程中注入噪声来实现这种保护。然而，以前的工作发现，DP-SGD通常会导致标准图像分类基准的性能显着降解。此外，一些作者假设DP-SGD在大型模型上固有地表现不佳，因为保留隐私所需的噪声规范与模型维度成正比。相反，我们证明了过度参数化模型上的DP-SGD可以比以前想象的要好得多。将仔细的超参数调整与简单技术结合起来，以确保信号传播并提高收敛速率，我们获得了新的SOTA，而没有额外数据的CIFAR-10，在81.4％的81.4％下（8，10^{ - 5}） - 使用40 -layer wide-Resnet，比以前的SOTA提高了71.7％。当对预训练的NFNET-F3进行微调时，我们在ImageNet（0.5，8*10^{ - 7}）下达到了83.8％的TOP-1精度。此外，我们还在（8，8 \ cdot 10^{ - 7}）下达到了86.7％的TOP-1精度，DP仅比当前的非私人SOTA仅4.3％。我们认为，我们的结果是缩小私人图像分类和非私有图像分类之间准确性差距的重要一步。

在本文中，我们研究了具有差异隐私（DP）的学习图神经网络（GNN）的问题。我们提出了一种基于聚合扰动（GAP）的新型差异私有GNN，该GNN为GNN的聚合函数添加了随机噪声，以使单个边缘（边缘级隐私）或单个节点的存在统计上的存在及其所有邻接边缘（ - 级别的隐私）。 GAP的新体系结构是根据私人学习的细节量身定制的，由三个单独的模块组成：（i）编码器模块，我们在不依赖边缘信息的情况下学习私人节点嵌入； （ii）聚合模块，其中我们根据图结构计算嘈杂的聚合节点嵌入； （iii）分类模块，我们在私有聚合上训练神经网络进行节点分类，而无需进一步查询图表。 GAP比以前的方法的主要优势在于，它可以从多跳社区的聚合中受益，并保证边缘级别和节点级别的DP不仅用于培训，而且可以推断出培训的隐私预算以外的额外费用。我们使用R \'Enyi DP来分析GAP的正式隐私保证，并在三个真实世界图数据集上进行经验实验。我们证明，与最先进的DP-GNN方法和天真的MLP基线相比，GAP提供了明显更好的准确性私人权衡权衡。

对于准确的模型，需要更少的数据，很少有射击学习表现出许多应用程序域中的鲁棒性和通用性。但是，在不信任的环境中部署少量模型可能会引起隐私问题，例如攻击或对手可能会违反用户提供的数据的隐私。本文通过建立一种新颖的隐私保存嵌入空间来维护数据的隐私空间，从而在不信任的环境中研究了少量学习的隐私增强，从而保留了数据的隐私并保持模型的准确性。我们研究了各种图像隐私方法的影响，例如模糊，像素化，高斯噪声和差异化私有像素化（DP-PIX）对几个图像分类的影响，并提出了一种通过关节损失学习隐私表示表示的方法。经验结果表明，如何为隐私增强的少数学习而谈判如何进行隐私性折衷。

Differentially Private Stochastic Gradient Descent (DP-SGD) is a key method for applying privacy in the training of deep learning models. This applies isotropic Gaussian noise to gradients during training, which can perturb these gradients in any direction, damaging utility. Metric DP, however, can provide alternative mechanisms based on arbitrary metrics that might be more suitable. In this paper we apply \textit{directional privacy}, via a mechanism based on the von Mises-Fisher (VMF) distribution, to perturb gradients in terms of \textit{angular distance} so that gradient direction is broadly preserved. We show that this provides $\epsilon d$-privacy for deep learning training, rather than the $(\epsilon, \delta)$-privacy of the Gaussian mechanism; and that experimentally, on key datasets, the VMF mechanism can outperform the Gaussian in the utility-privacy trade-off.

合成健康数据在共享数据以支持生物医学研究和创新医疗保健应用的发展时有可能减轻隐私问题。基于机器学习，尤其是生成对抗网络（GAN）方法的现代方法生成的现代方法继续发展并表现出巨大的潜力。然而，缺乏系统的评估框架来基准测试方法，并确定哪些方法最合适。在这项工作中，我们引入了一个可推广的基准测试框架，以评估综合健康数据的关键特征在实用性和隐私指标方面。我们将框架应用框架来评估来自两个大型学术医疗中心的电子健康记录（EHRS）数据的合成数据生成方法。结果表明，共享合成EHR数据存在公用事业私人关系权衡。结果进一步表明，在每个用例中，在所有标准上都没有明确的方法是最好的，这使得为什么需要在上下文中评估合成数据生成方法。

We initiate the study of privacy in pharmacogenetics, wherein machine learning models are used to guide medical treatments based on a patient's genotype and background. Performing an in-depth case study on privacy in personalized warfarin dosing, we show that suggested models carry privacy risks, in particular because attackers can perform what we call model inversion: an attacker, given the model and some demographic information about a patient, can predict the patient's genetic markers.As differential privacy (DP) is an oft-proposed solution for medical settings such as this, we evaluate its effectiveness for building private versions of pharmacogenetic models. We show that DP mechanisms prevent our model inversion attacks when the privacy budget is carefully selected. We go on to analyze the impact on utility by performing simulated clinical trials with DP dosing models. We find that for privacy budgets effective at preventing attacks, patients would be exposed to increased risk of stroke, bleeding events, and mortality. We conclude that current DP mechanisms do not simultaneously improve genomic privacy while retaining desirable clinical efficacy, highlighting the need for new mechanisms that should be evaluated in situ using the general methodology introduced by our work.

最近，人重新识别（REID）的隐私问题引起了越来越多的关注，并保留了REID方法使用的行人图像的隐私是必不可少的。去识别（DEID）方法通过删除与REID数据相关的身份来减轻隐私问题。但是，大多数现有的DEID方法倾向于删除所有与个人身份相关的信息，并损害REID任务上的识别数据的可用性。在本文中，我们旨在开发一种可以在REID人士的隐私保护和数据可用性之间实现良好权衡的技术。为了实现这一目标，我们提出了一种新颖的去识别方法，该方法是针对人雷德（Reid）明确设计的，命名人识别转移（PIS）。 PI在保留图像对之间的身份关系的同时，消除了行人图像中的绝对身份。通过利用变异自动编码器的插值属性，PI将每个行人图像从当前身份转移到具有新身份的另一个身份，从而导致图像仍然保留相对身份。实验结果表明，与现有的去识别方法相比，我们的方法在隐私保护和模型性能之间取决于更好的权衡，并且可以防御人类和模型攻击以确保数据隐私。

作为对培训数据隐私的长期威胁，会员推理攻击（MIA）在机器学习模型中无处不在。现有作品证明了培训的区分性与测试损失分布与模型对MIA的脆弱性之间的密切联系。在现有结果的激励下，我们提出了一个基于轻松损失的新型培训框架，并具有更可实现的学习目标，从而导致概括差距狭窄和隐私泄漏减少。 RelaseLoss适用于任何分类模型，具有易于实施和可忽略不计的开销的额外好处。通过对具有不同方式（图像，医疗数据，交易记录）的五个数据集进行广泛的评估，我们的方法始终优于针对MIA和模型效用的韧性，以最先进的防御机制优于最先进的防御机制。我们的防御是第一个可以承受广泛攻击的同时，同时保存（甚至改善）目标模型的效用。源代码可从https://github.com/dingfanchen/relaxloss获得

最近的人工智能（AI）算法已在各种医学分类任务上实现了放射科医生级的性能。但是，只有少数研究涉及CXR扫描异常发现的定位，这对于向放射学家解释图像级分类至关重要。我们在本文中介绍了一个名为Vindr-CXR的可解释的深度学习系统，该系统可以将CXR扫描分类为多种胸部疾病，同时将大多数类型的关键发现本地化在图像上。 Vindr-CXR接受了51,485次CXR扫描的培训，并通过放射科医生提供的边界盒注释进行了培训。它表现出与经验丰富的放射科医生相当的表现，可以在3,000张CXR扫描的回顾性验证集上对6种常见的胸部疾病进行分类，而在接收器操作特征曲线（AUROC）下的平均面积为0.967（95％置信区间[CI]：0.958---------0.958------- 0.975）。 VINDR-CXR在独立患者队列中也得到了外部验证，并显示出其稳健性。对于具有14种类型病变的本地化任务，我们的自由响应接收器操作特征（FROC）分析表明，VINDR-CXR以每扫描确定的1.0假阳性病变的速率达到80.2％的敏感性。还进行了一项前瞻性研究，以衡量VINDR-CXR在协助六名经验丰富的放射科医生方面的临床影响。结果表明，当用作诊断工具时，提出的系统显着改善了放射科医生本身之间的一致性，平均Fleiss的Kappa的同意增加了1.5％。我们还观察到，在放射科医生咨询了Vindr-CXR的建议之后，在平均Cohen的Kappa中，它们和系统之间的一致性显着增加了3.3％。

如今，深入学习模型已广泛部署，以解决各种各样的任务。但是，很少关注关联的法律方面。 2016年，欧盟批准了2018年生效的一般数据保护法规。其主要理由是通过经营所谓的“数据经济”的方式来保护其公民的隐私和数据保护。由于数据是现代人工智能的燃料，因此认为GDPR可以部分适用于一系列算法的决策制定任务，然后更具结构化的AI法规生效。同时，AI不应允许不希望的信息泄漏与创建的目的偏离。在这项工作中，我们提出了DISP，这是一种深入学习模型的方法，该方法删除了与AI处理的数据相关的某些私人类别相关的信息。特别是，分配是一种正规化策略，在培训时间删除了属于同一私人班级的功能，从而隐藏了私人课程会员资格的信息。我们对最先进的深度学习模型的实验显示了分配的有效性，最大程度地降低了我们希望保持私人的班级的提取风险。

通信技术和互联网的最新进展与人工智能（AI）启用了智能医疗保健。传统上，由于现代医疗保健网络的高性性和日益增长的数据隐私问题，AI技术需要集中式数据收集和处理，这可能在现实的医疗环境中可能是不可行的。作为一个新兴的分布式协作AI范例，通过协调多个客户（例如，医院）来执行AI培训而不共享原始数据，对智能医疗保健特别有吸引力。因此，我们对智能医疗保健的使用提供了全面的调查。首先，我们在智能医疗保健中展示了近期进程，动机和使用FL的要求。然后讨论了近期智能医疗保健的FL设计，从资源感知FL，安全和隐私感知到激励FL和个性化FL。随后，我们对关键医疗领域的FL新兴应用提供了最先进的综述，包括健康数据管理，远程健康监测，医学成像和Covid-19检测。分析了几个最近基于智能医疗保健项目，并突出了从调查中学到的关键经验教训。最后，我们讨论了智能医疗保健未来研究的有趣研究挑战和可能的指示。