快速摘要
AI 的能力來自資料,但資料中往往包含個人隱私。本文介紹三種保護隱私的技術:差分隱私(在資料中加入雜訊)、聯邦學習(不移動資料就訓練模型)、和資料去識別化(移除可識別資訊)。
AI 的隱私挑戰
AI 處理資料時面臨的隱私問題:
- 訓練資料記憶:LLM 可能「記住」訓練資料中的個人資訊
- 推理洩漏:透過多次查詢推斷個人資訊
- 輸入資料保存:AI 服務可能保存使用者的輸入
- 嵌入向量反推:從 embedding 向量推回原始文字
差分隱私
差分隱私是在資料中加入精心計算的隨機雜訊,讓分析結果保持統計有效性,但無法反推出任何個人的資訊。
Apple 的 iOS 使用差分隱私來收集使用行為資料,Google 的 RAPPOR 系統也採用這項技術。在 AI 場景中,差分隱私可以用於:
- 模型訓練時保護訓練資料中的個人資訊
- 聚合查詢結果時保護個別記錄
- 共享資料集時去除個人特徵
聯邦學習
聯邦學習是把模型送到資料所在地訓練,而非把資料集中到一處。每個參與者只分享模型的更新(梯度),不分享原始資料。
適用場景:多家醫院聯合訓練診斷模型(不需要分享病歷)、多家銀行聯合訓練詐騙偵測模型(不需要分享客戶資料)。
資料去識別化
在把資料給 AI 處理前,移除或替換可識別個人的資訊:
| 技術 | 做法 | 強度 |
|---|---|---|
| 遮蔽 | 用 *** 取代敏感欄位 | 低 |
| 假名化 | 用假名取代真名(可逆) | 中 |
| 泛化 | 降低精確度(年齡 → 年齡區間) | 中 |
| 合成資料 | 生成保持統計特性的假資料 | 高 |
| k-匿名化 | 確保每條記錄至少與 k-1 條無法區分 | 高 |
實務建議
- 把資料給 AI 前,先過一道去識別化處理
- 使用企業版 AI 服務,確保輸入不被用於訓練
- 考慮本地部署模型來處理最敏感的資料
- 建立資料分級制度,決定哪些資料可以給哪些 AI
常見問題
去識別化之後的資料還有用嗎?
好的去識別化可以保持資料的統計特性和分析價值。關鍵是選擇適當的技術——過度去識別會失去分析價值,不足則無法保護隱私。
聯邦學習適合一般企業嗎?
對大多數企業來說,聯邦學習的技術門檻仍然偏高。建議先從資料分級和去識別化做起,這是更務實的第一步。
用 AI 處理個人資料一定違反個資法嗎?
不一定。關鍵是是否取得當事人同意、處理目的是否合法、安全措施是否足夠。使用去識別化技術後的資料在部分法規中可能不被視為個人資料。