生成的对抗网络（GANS）是生成综合数据，尤其是图像的最流行的方法之一，用于数据共享目的。鉴于在原始数据中保留各个数据点隐私至关重要的重要意义，GAN培训利用具有差异隐私保障（如差异隐私（DP）等强大隐私保证的框架。然而，当呈现有不平衡的数据集时，这些方法仍然超越单个性能指标之外。为此，我们系统地将培训的Gans与两个透视图的不同数据不平衡设置中的两个最着名的DP框架培训培训 - 从两个透视图 - 生成的合成数据和它们的类别中的类别分类绩效。我们的分析表明，与DP-SGD类似，应用头脑对下面的/超代表的类别具有不同的影响，但在更温和的幅度下使其更加强大。有趣的是，我们的实验一直表明，对于PITE，与DP-SGD不同，隐私式实用权折衷不是单调递减，而是更平滑和倒置U形，这意味着增加了小程度的隐私实际上有助于泛化。但是，我们还确定了一些设置（例如，大不平衡），Pate-GaN完全无法学习培训数据的一些子部分。

接受差异隐私（DP）训练的生成模型可用于生成合成数据，同时最大程度地降低隐私风险。我们分析了DP对数据的影响不足的数据/子组的影响，特别是研究：1）合成数据中类/子组的大小和2）分类任务的准确性在其上运行。我们还评估了各种不平衡和隐私预算的影响。我们的分析使用了三种最先进的DP模型（Privbayes，DP-WGAN和PATE-GAN），并表明DP在生成的合成数据中产生相反的大小分布。它影响了多数族裔和少数族裔/亚组之间的差距；在某些情况下，通过减少它（一种“罗宾汉”效应），而在其他情况下则通过增加它（一种“马修”效应）。无论哪种方式，这都会导致（类似）对合成数据的分类任务准确性的（类似）不同的影响，从而更加不成比例地影响了代表性不足的数据。因此，当培训模型对合成数据时，可能会导致不均匀地处理不同亚群的风险，从而得出不可靠或不公平的结论。

机器学习的最新进展主要受益于大规模的可访问培训数据。但是，大规模的数据共享提出了极大的隐私问题。在这项工作中，我们提出了一种基于PAINE框架（G-PATE）的新型隐私保留数据生成模型，旨在训练可缩放的差异私有数据生成器，其保留高生成的数据实用程序。我们的方法利用生成的对抗性网来产生数据，与不同鉴别者之间的私人聚集相结合，以确保强烈的隐私保障。与现有方法相比，G-PATE显着提高了隐私预算的使用。特别是，我们用教师鉴别者的集合训练学生数据发生器，并提出一种新颖的私人梯度聚合机制，以确保对从教师鉴别者流到学生发电机的所有信息的差异隐私。另外，通过随机投影和梯度离散化，所提出的梯度聚合机制能够有效地处理高维梯度向量。从理论上讲，我们证明了G-PATE确保了数据发生器的差异隐私。经验上，我们通过广泛的实验证明了G-PAIN的优越性。我们展示了G-PATE是第一个能够在限量隐私预算下产生高数据实用程序的高维图像数据（$ \ epsilon \ LE 1 $）。我们的代码可在https://github.com/ai-secure/gate上获得。

深度神经网络（DNNS）铰接对大型数据集的可用性的最新成功;但是，对此类数据集的培训经常为敏感培训信息构成隐私风险。在本文中，我们的目标是探讨生成模型和梯度稀疏性的力量，并提出了一种可扩展的隐私保留生成模型数据标准。与标准展示隐私保留框架相比，允许教师对一维预测进行投票，在高维梯度向量上投票在隐私保存方面具有挑战性。随着需要尺寸减少技术，我们需要在（1）之间的改进之间导航精致的权衡空间，并进行SGD收敛的放缓。为了解决这一点，我们利用通信高效学习，并通过将顶-K压缩与相应的噪声注入机构相结合，提出一种新的噪声压缩和聚集方法TopAGG。理论上，我们证明了DataLens框架保证了其生成数据的差异隐私，并提供了其收敛性的分析。为了展示DataLens的实际使用情况，我们对不同数据集进行广泛的实验，包括Mnist，Fashion-Mnist和高维Celeba，并且我们表明，DataLens显着优于其他基线DP生成模型。此外，我们改进了所提出的Topagg方法，该方法是DP SGD培训的主要构建块之一，并表明它能够在大多数情况下实现比最先进的DP SGD方法更高的效用案件。我们的代码在HTTPS://github.com/ai-secure/datalens公开提供。

尽管在文本，图像和视频上生成的对抗网络（GAN）取得了显着的成功，但由于一些独特的挑战，例如捕获不平衡数据中的依赖性，因此仍在开发中，生成高质量的表格数据仍在开发中，从而优化了合成患者数据的质量。保留隐私。在本文中，我们提出了DP-CGAN，这是一个由数据转换，采样，条件和网络培训组成的差异私有条件GAN框架，以生成现实且具有隐私性的表格数据。 DP-Cgans区分分类和连续变量，并将它们分别转换为潜在空间。然后，我们将条件矢量构建为附加输入，不仅在不平衡数据中介绍少数族裔类，还可以捕获变量之间的依赖性。我们将统计噪声注入DP-CGAN的网络训练过程中的梯度，以提供差异隐私保证。我们通过统计相似性，机器学习绩效和隐私测量值在三个公共数据集和两个现实世界中的个人健康数据集上使用最先进的生成模型广泛评估了我们的模型。我们证明，我们的模型优于其他可比模型，尤其是在捕获变量之间的依赖性时。最后，我们在合成数据生成中介绍了数据实用性与隐私之间的平衡，考虑到现实世界数据集的不同数据结构和特征，例如不平衡变量，异常分布和数据的稀疏性。

差异化私有（DP）合成数据是一种最大化包含敏感信息数据的实用性的有前途的方法。但是，由于抑制了代表性不足的阶级，这些阶级通常需要实现隐私，因此，它可能与公平冲突。我们评估了四个DP合成器，并提出了经验结果，表明这些模型中的三个经常在下游二进制分类任务上降低公平性结果。我们在生成的合成数据中存在公平性与存在的少数群体比例之间建立联系，并发现通过多标签下采样方法预处理的数据训练合成器可以促进更公平的结果而不会降低准确性。

为了保护培训生成的对抗网络（GaN）中的敏感数据，标准方法是使用差异的私有（DP）随机梯度下降方法，其中将受控噪声添加到梯度。输出合成样品的质量可能会受到不利影响，并且网络的训练甚至可能不会在这些噪声的存在下收敛。我们提出了差异私有的模型反演（DPMI）方法，其中私有数据首先通过公共发生器映射到潜在空间，然后是具有更好的收敛属性的低维DP-GaN。标准数据集CIFAR10和SVHN的实验结果以及自闭症筛选的面部地标数据集表明，我们的方法在同一隐私保证下，基于Incepion得分，FR \'Echet Inception距离和分类准确性的标准DP-GaN方法优于标准DP-GaN方法。

虽然在巨大数据上培训的机器学习模型导致了几个领域的断路器，但由于限制数据的访问，他们在隐私敏感域中的部署仍然有限。在私有数据上具有隐私约束的生成模型可以避免此挑战，而是提供对私有数据的间接访问。我们提出DP-Sinkhorn，一种新的最优传输的生成方法，用于从具有差异隐私的私有数据学习数据分布。 DP-Sinkhorn以差别私人方式在模型和数据之间的模型和数据之间最小化陷阱的分歧，将计算上有效的近似值，并在模型和数据之间使用新技术来控制梯度估计的偏差差异的偏差折衷。与现有的培训方法不同，差异私人生成模型主要基于生成的对抗网络，我们不依赖于对抗性目标，这令人惊叹的难以优化，特别是在隐私约束所施加的噪声存在下。因此，DP-Sinkhorn易于训练和部署。通过实验，我们改进了多种图像建模基准的最先进，并显示了差异私有的信息RGB图像综合。项目页面：https：//nv-tlabs.github.io/dp-sinkhorn。

数据通常以表格格式存储。几个研究领域（例如，生物医学，断层/欺诈检测），容易出现不平衡的表格数据。由于阶级失衡，对此类数据的监督机器学习通常很困难，从而进一步增加了挑战。合成数据生成，即过采样是一种用于提高分类器性能的常见补救措施。最先进的线性插值方法，例如洛拉斯和普罗拉斯，可用于从少数族裔类的凸空间中生成合成样本，以在这种情况下提高分类器的性能。生成的对抗网络（GAN）是合成样本生成的常见深度学习方法。尽管GAN被广泛用于合成图像生成，但在不平衡分类的情况下，它们在表格数据上的范围没有充分探索。在本文中，我们表明，与线性插值方法相比，现有的深层生成模型的性能较差，该方法从少数族裔类的凸空间中生成合成样本，对于小规模的表格数据集中的分类问题不平衡。我们提出了一个深厚的生成模型，将凸出空间学习和深层生成模型的思想结合在一起。 Convgen了解了少数族类样品的凸组合的系数，因此合成数据与多数类的不同。我们证明，与现有的深层生成模型相比，我们提出的模型Convgen在与现有的线性插值方法相当的同时，改善了此类小数据集的不平衡分类。此外，我们讨论了如何将模型用于一般的综合表格数据生成，甚至超出了数据不平衡的范围，从而提高了凸空间学习的整体适用性。

从公共机器学习（ML）模型中泄漏数据是一个越来越重要的领域，因为ML的商业和政府应用可以利用多个数据源，可能包括用户和客户的敏感数据。我们对几个方面的当代进步进行了全面的调查，涵盖了非自愿数据泄漏，这对ML模型很自然，潜在的恶毒泄漏是由隐私攻击引起的，以及目前可用的防御机制。我们专注于推理时间泄漏，这是公开可用模型的最可能场景。我们首先在不同的数据，任务和模型体系结构的背景下讨论什么是泄漏。然后，我们提出了跨非自愿和恶意泄漏的分类法，可用的防御措施，然后进行当前可用的评估指标和应用。我们以杰出的挑战和开放性的问题结束，概述了一些有希望的未来研究方向。

差异隐私（DP）已被出现为严格的形式主义，以推理可量化的隐私泄漏。在机器学习（ML）中，已采用DP限制推理/披露训练示例。在现有的工作中杠杆横跨ML管道，尽管隔离，通常专注于梯度扰动等机制。在本文中，我们展示了DP-util，DP整体实用分析框架，跨越ML管道，重点是输入扰动，客观扰动，梯度扰动，输出扰动和预测扰动。在隐私敏感数据上给出ML任务，DP-Util使ML隐私从业者能够对DP在这五个扰动点中的影响，以模型公用事业丢失，隐私泄漏和真正透露的数量来测量DP的影响。训练样本。我们在视觉，医疗和金融数据集上使用两个代表性学习算法（Logistic回归和深神经网络）来评估DP-Uts，以防止会员资格推论攻击作为案例研究攻击。我们结果的一个亮点是，预测扰动一致地在所有数据集中始终如一地实现所有模型的最低实用损耗。在Logistic回归模型中，与其他扰动技术相比，客观扰动导致最低的隐私泄漏。对于深度神经网络，梯度扰动导致最低的隐私泄漏。此外，我们的结果揭示了记录的结果表明，由于隐私泄漏增加，差异私有模型揭示了更多数量的成员样本。总体而言，我们的研究结果表明，为了使使用的扰动机制有明智的决定，ML隐私从业者需要检查优化技术（凸与非凸），扰动机制，课程数量和隐私预算之间的动态。

Applying machine learning (ML) to sensitive domains requires privacy protection of the underlying training data through formal privacy frameworks, such as differential privacy (DP). Yet, usually, the privacy of the training data comes at the cost of the resulting ML models' utility. One reason for this is that DP uses one uniform privacy budget epsilon for all training data points, which has to align with the strictest privacy requirement encountered among all data holders. In practice, different data holders have different privacy requirements and data points of data holders with lower requirements can contribute more information to the training process of the ML models. To account for this need, we propose two novel methods based on the Private Aggregation of Teacher Ensembles (PATE) framework to support the training of ML models with individualized privacy guarantees. We formally describe the methods, provide a theoretical analysis of their privacy bounds, and experimentally evaluate their effect on the final model's utility using the MNIST, SVHN, and Adult income datasets. Our empirical results show that the individualized privacy methods yield ML models of higher accuracy than the non-individualized baseline. Thereby, we improve the privacy-utility trade-off in scenarios in which different data holders consent to contribute their sensitive data at different individual privacy levels.

数据质量是发展医疗保健中值得信赖的AI的关键因素。大量具有控制混杂因素的策划数据集可以帮助提高下游AI算法的准确性，鲁棒性和隐私性。但是，访问高质量的数据集受数据获取的技术难度的限制，并且严格的道德限制阻碍了医疗保健数据的大规模共享。数据合成算法生成具有与真实临床数据相似的分布的数据，可以作为解决可信度AI的发展过程中缺乏优质数据的潜在解决方案。然而，最新的数据合成算法，尤其是深度学习算法，更多地集中于成像数据，同时忽略了非成像医疗保健数据的综合，包括临床测量，医疗信号和波形以及电子保健记录（EHRS）（EHRS） 。因此，在本文中，我们将回顾合成算法，尤其是对于非成像医学数据，目的是在该领域提供可信赖的AI。本教程风格的审查论文将对包括算法，评估，局限性和未来研究方向在内的各个方面进行全面描述。

表格数据通常包含私人和重要信息；因此，必须在与他人共享之前采取预防措施。尽管已经提出了几种方法（例如，差异隐私和K-匿名性）以防止信息泄漏，但近年来，表格数据合成模型已变得流行，因为它们可以在数据实用程序和隐私之间进行易于权衡。但是，最近的研究表明，图像数据的生成模型容易受到会员推理攻击的影响，这可以确定是否使用给定记录来训练受害者合成模型。在本文中，我们在表格数据合成的背景下研究了成员推理攻击。我们在两个攻击方案（即一个黑色框和一个白盒攻击）下对4个最先进的表格数据合成模型进行实验，并发现成员推理攻击会严重危害这些模型。下一步，我们进行实验，以评估两种流行的差异深度学习训练算法DP-SGD和DP-GAN如何能够保护模型免受攻击。我们的主要发现是，两种算法都可以通过牺牲生成质量来减轻这种威胁。代码和数据可用：https：//github.com/jayoungkim408/mia

Electronic Health Records (EHRs) are a valuable asset to facilitate clinical research and point of care applications; however, many challenges such as data privacy concerns impede its optimal utilization. Deep generative models, particularly, Generative Adversarial Networks (GANs) show great promise in generating synthetic EHR data by learning underlying data distributions while achieving excellent performance and addressing these challenges. This work aims to review the major developments in various applications of GANs for EHRs and provides an overview of the proposed methodologies. For this purpose, we combine perspectives from healthcare applications and machine learning techniques in terms of source datasets and the fidelity and privacy evaluation of the generated synthetic datasets. We also compile a list of the metrics and datasets used by the reviewed works, which can be utilized as benchmarks for future research in the field. We conclude by discussing challenges in GANs for EHRs development and proposing recommended practices. We hope that this work motivates novel research development directions in the intersection of healthcare and machine learning.

本文调查了差异隐私（DP）与公平性交集中的最新工作。它审查了隐私和公平性可能使目标对准或对比目标的条件，分析了DP如何以及为什么在决策问题和学习任务中加剧偏见和不公平性，并描述了DP系统中出现的公平问题的可用缓解措施。该调查提供了对在公平镜头下部署隐私制度学习或决策任务时，对主要挑战和潜在风险的统一理解。

临床NLP任务，例如文本的心理健康评估，必须考虑社会限制 - 绩效最大化必须受保证用户数据隐私的最大重要性来限制。消费者保护法规（例如GDPR）通常通过限制数据可用性来处理隐私，例如要求将用户数据限制为给定目的的“必要内容”。在这项工作中，我们认为提供更严格的正式隐私保证，同时增加模型中用户数据量的同时，在大多数情况下，为所有涉及的各方（尤其是对用户）增加了收益。我们在Twitter和Reddit帖子的两个现有自杀风险评估数据集上演示了我们的论点。我们提出了第一个分析并置用户历史记录长度和差异隐私预算，并详细说明建模其他用户上下文如何实现公用事业保存，同时保持可接受的用户隐私保证。

With the development of machine learning and data science, data sharing is very common between companies and research institutes to avoid data scarcity. However, sharing original datasets that contain private information can cause privacy leakage. A reliable solution is to utilize private synthetic datasets which preserve statistical information from original datasets. In this paper, we propose MC-GEN, a privacy-preserving synthetic data generation method under differential privacy guarantee for machine learning classification tasks. MC-GEN applies multi-level clustering and differential private generative model to improve the utility of synthetic data. In the experimental evaluation, we evaluated the effects of parameters and the effectiveness of MC-GEN. The results showed that MC-GEN can achieve significant effectiveness under certain privacy guarantees on multiple classification tasks. Moreover, we compare MC-GEN with three existing methods. The results showed that MC-GEN outperforms other methods in terms of utility.

隐私法规法（例如GDPR）将透明度和安全性作为数据处理算法的设计支柱。在这种情况下，联邦学习是保护隐私的分布式机器学习的最具影响力的框架之一，从而实现了许多自然语言处理和计算机视觉任务的惊人结果。一些联合学习框架采用差异隐私，以防止私人数据泄漏到未经授权的政党和恶意攻击者。但是，许多研究突出了标准联邦学习对中毒和推理的脆弱性，因此引起了人们对敏感数据潜在风险的担忧。为了解决此问题，我们提出了SGDE，这是一种生成数据交换协议，可改善跨索洛联合会中的用户安全性和机器学习性能。 SGDE的核心是共享具有强大差异隐私的数据生成器，保证了对私人数据培训的培训，而不是通信显式梯度信息。这些发电机合成了任意大量数据，这些数据保留了私人样品的独特特征，但有很大差异。我们展示了将SGDE纳入跨核心联合网络如何提高对联邦学习最有影响力的攻击的弹性。我们在图像和表格数据集上测试我们的方法，利用β变量自动编码器作为数据生成器，并突出了对非生成数据的本地和联合学习的公平性和绩效改进。

Devising procedures for auditing generative model privacy-utility tradeoff is an important yet unresolved problem in practice. Existing works concentrates on investigating the privacy constraint side effect in terms of utility degradation of the train on synthetic, test on real paradigm of synthetic data training. We push such understanding on privacy-utility tradeoff to next level by observing the privacy deregulation side effect on synthetic training data utility. Surprisingly, we discover the Utility Recovery Incapability of DP-CTGAN and PATE-CTGAN under privacy deregulation, raising concerns on their practical applications. The main message is Privacy Deregulation does NOT always imply Utility Recovery.