這部分介紹統(tǒng)計(jì)分析的隱私目標(biāo)。界定清楚了目標(biāo)，就能夠準(zhǔn)確知道使用哪一種技術(shù)，從而確定技術(shù)范疇。

隱私威脅和隱私增強(qiáng)技術(shù)的作用

通常在有關(guān)隱私的一般性討論中，信息安全從業(yè)人員會(huì)使用如下原則：隱私保護(hù)是使得信息不會(huì)“泄漏”到授權(quán)訪問者的保護(hù)范圍之外。

所有隱私增強(qiáng)技術(shù)（PET）都部分解決了以下普遍問題：“對(duì)于輸入數(shù)據(jù)集敏感部分的數(shù)據(jù)分析會(huì)泄漏多少隱私？”。

泄漏可能是有意的（黑客，好奇的數(shù)據(jù)分析人員）或無意的（分析期間出乎意料的敏感結(jié)果）。無論如何，隱私增強(qiáng)技術(shù)都可以減少此類泄漏的風(fēng)險(xiǎn)。

重要的是要指出，我們描述的任何一種隱私增強(qiáng)技術(shù)，實(shí)際上沒有一種已知的技術(shù)，可以為隱私問題提供完整的解決方案。

這主要是因?yàn)檫@種模糊定義的目標(biāo)可能根據(jù)上下文具有不同的合適解釋。需要了解他們各自的隱私定義之間的相互作用。這種集成始于威脅建模階段，因?yàn)楸仨氉罱K根據(jù)適用于每種技術(shù)的隱私定義的具體參數(shù)來設(shè)置隱私要求。

部署隱私增強(qiáng)技術(shù)的關(guān)鍵方面

部署PET的關(guān)鍵方面是必須將它們部署在盡可能靠近數(shù)據(jù)所有者的位置。最佳的隱私保證要求在將機(jī)密數(shù)據(jù)發(fā)布給第三方之前，數(shù)據(jù)所有者必須在本地使用PET。

這可以用一個(gè)簡(jiǎn)單的類比來解釋使用訪問控制。

通常，與數(shù)據(jù)打交道的組織部署基于角色的訪問控制（RBAC），該訪問控制僅授予授權(quán)人員訪問數(shù)據(jù)的權(quán)限。

但是，這仍然假定組織本身具有對(duì)所有收集的數(shù)據(jù)的完全訪問權(quán)限。因此，組織對(duì)所有數(shù)據(jù)負(fù)責(zé)。但是，有了正確部署的隱私增強(qiáng)技術(shù)，組織將能夠在沒有完全訪問權(quán)限的情況下執(zhí)行其職責(zé)，從而減少責(zé)任。

統(tǒng)計(jì)信息的隱私目標(biāo)

在對(duì)以上兩個(gè)設(shè)置進(jìn)行了一般性描述之后，我們使用下面的抽象說明隱私目標(biāo)。如圖3所示，一個(gè)或多個(gè)輸入方將敏感數(shù)據(jù)提供給一個(gè)或多個(gè)進(jìn)行統(tǒng)計(jì)分析的計(jì)算方，從而為一個(gè)或多個(gè)結(jié)果方產(chǎn)生結(jié)果。

現(xiàn)在，我們介紹三個(gè)自然的隱私目標(biāo)，這些目標(biāo)自然地與文檔中稍后介紹的技術(shù)和隱私定義相關(guān)。

這些目標(biāo)應(yīng)被視為一般指南，具體部署可能具有特定的隱私要求，需要仔細(xì)評(píng)估。

不過，理想情況下，應(yīng)該以提供具體隱私保證的方式解決此類要求，我們認(rèn)為以下分類是很自然的該建模任務(wù)的起點(diǎn)。

輸入隱私，輸出隱私和政策執(zhí)行的隱私目標(biāo)是根據(jù)對(duì)隱私保護(hù)統(tǒng)計(jì)數(shù)據(jù)的研究改編而成的。

輸入隱私

輸入隱私意味著計(jì)算方無法訪問或獲取輸入方提供的任何輸入值，也不能在數(shù)據(jù)處理期間訪問中間值或統(tǒng)計(jì)結(jié)果（除非已專門選擇該值進(jìn)行公開）。

請(qǐng)注意，即使計(jì)算方無法直接訪問這些值，也可以通過使用諸如邊信道攻擊之類的技術(shù)來推導(dǎo)它們。

因此，輸入私密性需要防止3種所有此類機(jī)制的保護(hù)，而這三種機(jī)制都將允許計(jì)算方推導(dǎo)輸入。

輸入隱私非?？扇?，因?yàn)樗梢燥@著減少對(duì)輸入數(shù)據(jù)庫(kù)具有完全訪問權(quán)限的涉眾數(shù)量。從而減少了責(zé)任并簡(jiǎn)化了對(duì)數(shù)據(jù)保護(hù)法規(guī)的遵守。

輸入隱私的概念在相互不信任的一方參與計(jì)算其私有數(shù)據(jù)的情況下特別相關(guān)，但是任何一方學(xué)習(xí)超過其規(guī)定的輸出被視為違反隱私的情況。

再次參考上面的掃描儀數(shù)據(jù)示例，零售商將要求設(shè)置在適當(dāng)位置以收集和計(jì)算價(jià)格指數(shù)的系統(tǒng)將為輸入價(jià)格提供輸入隱私權(quán)。

輸出隱私

隱私保護(hù)統(tǒng)計(jì)分析系統(tǒng)在保證輸出結(jié)果不包含輸入方所允許的可識(shí)別輸入數(shù)據(jù)的范圍內(nèi)實(shí)施輸出隱私。

輸出隱私解決了測(cè)量和控制計(jì)算結(jié)果中存在的泄漏量的問題，而與計(jì)算本身是否提供輸入隱私無關(guān)。

例如，在分析多方提供的分布式數(shù)據(jù)庫(kù)以生成數(shù)據(jù)的統(tǒng)計(jì)模型的情況下，輸出隱私與以下問題有關(guān)：可以從已發(fā)布的數(shù)據(jù)庫(kù)中恢復(fù)多少有關(guān)原始數(shù)據(jù)的信息。

統(tǒng)計(jì)模型在模型的計(jì)算過程中各方之間交換的消息不會(huì)泄漏多少信息，因?yàn)楹笳吲c輸入隱私有關(guān)。

在數(shù)據(jù)發(fā)布中，例如，在NSO希望向公眾提供數(shù)據(jù)庫(kù)而又不泄露用于導(dǎo)出發(fā)布數(shù)據(jù)的任何相關(guān)輸入數(shù)據(jù)的情況下，強(qiáng)烈要求輸出隱私。

政治執(zhí)行

如果隱私保護(hù)統(tǒng)計(jì)分析系統(tǒng)具有供輸入方執(zhí)行積極控制的機(jī)制，則該策略執(zhí)行策略執(zhí)行，該控制可以由計(jì)算方對(duì)敏感輸入執(zhí)行，并且可以將結(jié)果發(fā)布給結(jié)果方。

這種積極控制通常以正式語言來表達(dá)，這種語言可以識(shí)別參與者及其參與規(guī)則。策略決策點(diǎn)將這些規(guī)則處理成機(jī)器可用的形式，而策略執(zhí)行點(diǎn)則提供了確保遵循規(guī)則的技術(shù)手段。

因此，策略執(zhí)行可以在保留隱私的統(tǒng)計(jì)分析系統(tǒng)中描述然后自動(dòng)確保輸入和輸出的隱私，從而減少了對(duì)經(jīng)典但效果不佳的方法（如數(shù)據(jù)使用合同中的保密協(xié)議和保密條款）的依賴。

結(jié)合多個(gè)隱私目標(biāo)

實(shí)際的統(tǒng)計(jì)系統(tǒng)很可能會(huì)結(jié)合多種技術(shù)來涵蓋多個(gè)隱私目標(biāo)。有關(guān)如何覆蓋圖3所示的整個(gè)系統(tǒng)的示例，請(qǐng)參見圖4。

輸入隱私包括源數(shù)據(jù)，中間和最終處理結(jié)果。輸入方負(fù)責(zé)保護(hù)自己的輸入數(shù)據(jù)，但是一旦傳輸了數(shù)據(jù)，接收方就必須繼續(xù)對(duì)其進(jìn)行保護(hù)。

輸出隱私是統(tǒng)計(jì)產(chǎn)品的財(cái)產(chǎn)。即使計(jì)算方負(fù)責(zé)確保計(jì)算結(jié)果具有某種形式的輸出隱私，但風(fēng)險(xiǎn)幾乎總是與結(jié)果方學(xué)習(xí)過多有關(guān)。

策略執(zhí)行覆蓋整個(gè)系統(tǒng)-輸入方可能會(huì)在授予數(shù)據(jù)之前要求對(duì)處理進(jìn)行控制，結(jié)果各方可能希望遠(yuǎn)程審核處理的正確性。提供此類控制的責(zé)任在于計(jì)算方，在我們的情況下，計(jì)算方是國(guó)家統(tǒng)計(jì)局。

統(tǒng)計(jì)信息的隱私增強(qiáng)技術(shù)

我們考慮以下技術(shù)：

1）安全多方計(jì)算（縮寫為MPC）

2）（完全）同態(tài)加密（縮寫為HE或FHE）

3）受信任的執(zhí)行環(huán)境（縮寫為TEE）

4）差分隱私