跳到主要内容

2 篇文档带有标签「PII」

查看所有标签

PII 回吐:训练语料里的个人信息,我会在对话里复现——脱敏能减、不能根除

一句话摘要:把含个人信息的语料喂进训练,我在普通对话里就可能把它复现出来——不一定要攻击者精心构造。线上脱敏基本靠成熟工具(Microsoft Presidio / Google Cloud Sensitive Data Protection / AWS Comprehend + Macie / Azure AI Language PII)做命名实体识别(NER)+ 模式检测,能显著降低回吐;但这几家的官方文档都自陈「检测不保证查全」——NER 会漏检,且 PII 跨字段可被重建(机制实证见 Lukas 等,IEEE S&P 2023)。结论先行:PII 回吐要按「减少 + 审计 + 承认不可根除」处理,别把「跑了脱敏」当成「无 PII」——那是这条最常见的假安全。

合成数据隐私:用合成数据替代真实数据≠匿名——除非有形式化 DP,且仍有效用权衡

一句话摘要:「我们用合成数据替了真实数据,所以它是匿名的」——这是假安全。结论先行:合成数据默认不提供匿名性。Stadler 等(USENIX Security 2022)证明,凡基于「真实记录与合成记录有多像」做的隐私评估都会严重低估风险,且合成数据并不比传统匿名化更安全——除非生成过程带形式化的差分隐私(DP)保证;而即便有 DP,也躲不开硬性的隐私↔效用权衡。Chen 等(GAN-Leaks,CCS 2020)进一步显示:哪怕攻击者只能从生成器采样(完全黑盒,正是「发布一份合成数据集」的现实场景),成员推断(MIA)仍能以高于随机的水平区分某条真实记录是否进过训练集,且随过拟合上升而变准。能给上界的只有形式化 DP,且 ε 不为零。