文章信息
Sharing Trustworthy AI Models With Privacy-Enhancing Technologies
来源:OECD
时间:2025年
隐私增强技术(PETs)在促进人工智能(AI)模型的可信协作开发与共享方面发挥着关键作用,它不仅能保护隐私权,还能维护知识产权等其他权利和利益。PETs 通过以下方式实现这一目标:(1)数据最小化(即限制数据收集和处理仅为训练或测试 AI 模型所直接相关和必要的内容);(2)保密性(即防止未授权访问输入数据或 AI 模型中包含的信息)。
本报告重点介绍了两个主要用例原型,这些原型源自 2024 年 5 月至 7 月举行的两次 OECD 隐私增强技术与人工智能专家研讨会。这些用例原型包括利用 PETs 实现:
通过最小化和保密使用输入及测试数据来提升 AI 模型性能:通常,没有任何单一组织能够获取所需的多样化或大规模数据,外部数据访问因保密性、信任或监管问题变得复杂。PETs 在此的核心功能是确保输入数据的保密预处理(如通过可信执行环境),以及最小化个人数据和敏感数据的收集使用(如联邦学习、合成数据等,常与差分隐私结合弥补不足)。
实现 AI 模型的机密共创与共享:多方联合开发或共享 AI 模型可推动创新(如让中小企业获得强大模型),但存在模型被未授权访问、操纵或信息提取的风险。PETs 主要用于机密共创(如多方计算、联邦学习)和保护模型及输出(如差分隐私、可信执行环境、同态加密)。
在这两个用例原型中,PETs 减少了训练 AI 模型的组织收集额外敏感信息的需求,降低了各方信任风险,促进了 “数据共享伙伴关系”。但 PETs 并非万能药,存在效用、效率与可用性的平衡挑战(如合成数据可能引入偏差,同态加密计算成本高)。
政策层面,需从需求侧(如监管沙盒、创新竞赛、政府采购)和供给侧(如研发支持)推动 PETs 应用,且供需措施需协同,以保障市场活力和技术创新。
1. 引言
随着人工智能(AI)系统在复杂性和规模上的发展,它们越来越依赖大量数据集来训练模型、提取见解并支持各领域决策。但这种对数据的依赖带来了重大的数据治理和隐私问题,尤其是在保护个人、敏感和专有信息方面。先进 AI 模型(特别是生成式 AI)的出现加剧了这些担忧,凸显了保护个人数据权利、维护数据机密性等关键问题。
AI 模型的共享(如 “开源” AI 模型)也值得关注:预训练模型可能嵌入并泄露敏感信息,但公开可用性也让开发者能检查和控制模型微调,有助于减轻隐私等方面的担忧(NTIA,2024;OECD,2025)。
OECD 在 AI、数据和隐私方面的工作指出,大规模数据抓取挑战了隐私原则,AI 系统从数据中推断个人特征的能力带来了歧视和隐私侵犯风险,且大数据分析重新识别个人的潜力、AI 生成不准确信息的问题,以及个人数据权利维护的局限性,都加剧了这些风险(OECD,2015;2021;2024)。
为应对这些挑战,隐私增强技术(PETs)作为补充性技术解决方案应运而生,它能在保护数据机密性和隐私的同时,支持信息的收集、处理、分析和共享(OECD,2023)。尽管许多新兴 PETs 处于早期发展阶段,但在推进隐私设计原则、促进跨组织和行业数据共享信任方面潜力巨大,为 AI 等领域的创新数据经济模式铺路。
例如,合成数据与差分隐私结合,可在不暴露基础数据的情况下训练 AI 模型:金融领域用其训练欺诈检测模型,医疗领域用其安全利用患者数据开发疾病预测模型(OECD,2023)。
然而,PETs 的技术复杂性和快速演变给政策制定者、监管机构和组织带来挑战,且许多 PETs 的应用局限于特定用例,潜在用户了解有限。本报告基于 2024 年 5 月(伦敦)和 7 月(新加坡)的两次 OECD 专家研讨会,结合 OECD 数据自由流动与信任专家社区的输入,探讨 PETs 在 AI 中的潜力和局限,识别核心用例原型。
报告结构包括:介绍两个用例原型(通过保密使用数据提升 AI 性能、机密共创和共享 AI 模型),以及当前针对 AI 背景下 PETs 采用的政策举措。
2. 用例原型:
PETs 助力可信的人工智能模型协作开发与共享
OECD 关于 PETs 的工作表明,PETs 往往技术复杂,难以广泛采用(OECD,2024)。导致采用率相对较低的一个原因是,PETs 的应用通常局限于特定用例,但潜在用户以及政策制定者和一些监管机构对此知之甚少。这些因素共同导致了在保护个人隐私的同时失去创新机会,阻碍了商业案例的巩固,并可能危及一些最具创新性的市场参与者的生存能力。正是在这种背景下,OECD 发布了《新兴隐私增强技术》报告(OECD,2024),旨在为政策讨论提供信息,并进一步提高对 PETs 潜力和局限性的认识。本报告的一个关键结论是,“对 PETs 的具体用例进行分析…… 可能有助于为政策讨论提供信息,包括关于 PETs 有望帮助实现的隐私和经济成果”。
因此,OECD PETs 与 AI 专家研讨会重点关注了在 AI 背景下有效实施 PETs 的一系列用例。对这些具体用例的考虑有助于更好地探索实际实施机会和挑战,进而为基于现实世界示例而非抽象概念的后续政策讨论提供基础。然而,虽然专注于特定用例对于探索具体的实施机会和挑战很有价值,但在应对更广泛的政策和监管环境时,仅关注特定用例可能会有局限性。这是因为个别用例可能会带来潜在的独特组织、行业特定或监管挑战。
为避免可能的碎片化理解,并使见解能够更好地在包括行业和国家在内的各种背景下转移,本报告除了在 OECD PETs 与 AI 专家研讨会上讨论的具体用例外,还强调了更通用的 PET 用例原型。这些原型捕捉了类似具体用例中观察到的共同要素、目标和 PET 实施,提供了可应用于多种背景的更具凝聚力的视角。
这种侧重于 PET 用例原型的更广泛方法支持开发 OECD PETs 项目下一步在附录 A 中提出的全球可跨国比较、标准化的 PETs 用例库。它有望为制定更连贯和健全的政策及监管指导以促进 PETs 的适当采用带来若干优势:
促进对特定用例原型中 PETs 的好处和局限性的共同理解:通过检查每个原型中的共同要素、目标和 PET 功能,政策制定者、监管机构和从业者可以更好地理解和交流 PETs 如何在不同背景下应用,而不必将重点局限于特定技术。
作为评估 PETs 在各种用例(包括 AI)中的有效性和影响的方法的共同参考点:上述侧重于用例原型的方法提高了评估 PETs 有效性的方法的可比性。这反过来有助于促进基于共识的技术标准的制定以及 PETs 的适当采用,因为包括企业领导者、法律团队和开发者在内的利益相关者可以更好地评估和比较各种 PETs 对其特定用例的净效益。
帮助促进 PETs 在国家数据治理和隐私框架中的体现方式的趋同:使用用例原型作为共同参考有助于确保现有政策和建议更好地适用于不同行业和司法管辖区,从而促使跨行业、政策领域和司法管辖区的政策制定者和监管机构制定与 PETs 相关的趋同政策和监管指导。
促进政策和法规对技术变化的更大适应性:基于用例原型的政策和建议更有可能适应 PETs 的技术变化,因为它们关注 PETs 在实现用例原型所反映的关键业务 / 组织目标方面的功能作用,而不是任何一种技术的独特特征。
以下各节介绍了根据 OECD PETs 与 AI 专家研讨会上讨论的更具体用例以及文献中记录的其他用例确定的两个用例原型。这些包括利用 PETs 实现:(1)通过最小化和保密使用输入和测试数据来增强 AI 模型性能(用例原型 1);(2)实现 AI 模型的机密共创和共享(用例原型 2)。
在这两个用例原型中,PETs 用于通过减少或消除训练 AI 模型的组织收集个人数据或其他敏感或机密信息的需求(例如,原始数据控制者可能继续为自己的运营目的收集和持有此类数据),来保护敏感信息免受未授权访问和滥用。通过这种方式,PETs 直接满足了各方之间的信任要求,从而激励了 OECD《关于加强数据获取与共享的建议》(OECD,2021)中呼吁的 “数据共享伙伴关系”。
在涉及个人数据的情况下,下面介绍的用例表明,PETs 将直接有助于维护个人的隐私权,并支持遵守隐私和数据保护法律法规的努力。在涉及专有信息(包括商业秘密)的情况下,使用 PETs 有助于在参与数据共享伙伴关系时加强知识产权保护和对业务关键信息的控制,这表明 PETs 不仅限于个人数据保护。
2.1 用例原型 1:通过最小化和保密使用输入及测试数据提升 AI 模型性能
问题陈述和基本原理
提升 AI 模型的质量和性能通常需要访问不仅数量庞大而且特征多样的数据,以确保 AI 模型能在其预设的各类现实场景中可靠运行,而不会偏向个别特殊案例。然而,很少有单一组织能掌控确保 AI 模型质量和性能稳健所需的大规模、多样化数据。因此,获取外部数据集变得至关重要(OECD,2024;2025)。
但即便组织内部及组织间存在所需数量和多样性的数据,业务要求和信任问题仍可能限制数据流动。监管要求(包括但不限于隐私和数据保护法规)在保护个人、防止数据滥用方面发挥关键作用。然而,对这些要求的不当解读可能过度限制数据的可访问性,即便数据共享是合法且有益的。这种限制甚至可能存在于组织内部:组织内不同实体可能不愿或无法共享有价值或敏感数据,除非能确保接收方有强有力的保障措施来维护数据机密性。
这一挑战在金融、医疗等高度监管行业,以及网络安全等关键领域尤为突出 —— 这些领域的数据异常敏感,对信任的要求也格外高。例如,这种限制可能会阻碍对预训练模型的微调,而此时访问敏感或业务关键数据对于避免有害的歧视性偏差、提高模型准确性(以防止使用 AI 系统时造成人身或经济伤害)至关重要。
隐私增强技术(PETs)在输入和测试数据的最小化及保密使用方面的潜力
PETs 为组织开展协作、实现 AI 模型高性能(包括模型微调或测试)提供了可行路径,同时能确保在行业内及跨行业实现安全、合规、可信的数据访问与共享。在 OECD 隐私增强技术与人工智能专家研讨会上提出并讨论的用例中,PETs 在以下两个具体功能上的应用尤为突出:(1)对输入数据进行机密预处理;(2)最小化输入或测试数据的收集与使用。
输入数据的机密预处理
加密数据处理工具允许在不暴露数据的情况下进行计算,适用于云计算等不可信环境。例如,可信执行环境(TEEs)是处理器上的安全区域,可存储敏感数据并运行安全代码,操作系统无法访问,适用于医疗影像等敏感数据的云处理(Sedghighadikolaei 和 Yavuz,2024);同态加密(HE)允许在加密数据上直接计算,适用于小型数据集(如特定医疗影像),但计算成本较高(OECD,2023)。输入数据收集和使用的最小化
分布式机密数据处理技术支持多组织协作使用数据而不暴露原始信息。多方计算(MPC)让参与方联合计算函数而不泄露输入数据,适用于网络安全情报共享等场景;联邦学习(FL)让数据在本地训练,仅共享模型更新,避免数据集中(如 Apple 用其训练 Siri 语音识别,结合差分隐私降低重识别风险);合成数据模拟原始数据统计特性,可用于训练(如德国保险公司 Provinzial 用其优化推荐引擎),但需防范重构攻击等风险(英国信息专员办公室,2023)。测试数据收集和使用的最小化
测试 AI 模型需额外数据,合成数据可减少对真实敏感数据的依赖,如在计算机视觉领域,用合成数据测试人脸识别模型,模拟不同场景以识别模型弱点,同时保护隐私(OECD 专家研讨会案例)。
2.2 用例原型 2:在保护机密性的同时共同创建或共享 AI 模型
问题陈述和基本原理
跨组织协作开发人工智能模型能够通过整合多样化的数据源和专业知识推动创新,并提高模型的稳健性(Seger 等人,2023;Peters 和 Parrott,2023;OECD,2025)。当单个组织缺乏所需的数据量、数据广度或专业知识时,这种协作方式的价值尤为突出。共享人工智能模型有助于普及对强大 AI 模型的访问,同时减少从头构建新模型的需求。在此背景下,开源 AI 模型(即依据开源许可证发布 AI 模型参数)的迅速兴起值得特别关注(OECD,2025)。除了共享 AI 模型带来的经济效益,其环境效益也不容忽视 —— 例如,训练大型语言模型(LLM)会产生大量二氧化碳排放(OECD,2022)。
在共同创建或共享 AI 模型时,隐私和机密性风险可能比仅共享 AI 输入数据时更大。这是因为 AI 模型可能成为未授权访问、操纵或提取嵌入其中的个人信息、专有信息或其他敏感信息的目标 —— 与共享输入数据不同,这些风险并非总能得到明确考量或缓解(Hu 等人,2021;Majeed 和 Hwang,2023;英国科学、创新与技术部,2024)。也就是说,当模型部署在外部或安全性较低的环境中时,攻击者可能会尝试对模型进行逆向工程,以获取专有算法、数据模式、敏感参数以及模型内容。
因此,尽管共同创建和共享 AI 模型具有诸多益处,但如果缺乏确保机密性和信任的强有力保障措施,利益相关者可能会更加不愿或无法全力参与此类联合开发或共享。同样,当涉及高度敏感的数据或受监管行业(例如,共同开发和共享医疗、金融、网络安全或国家安全领域的 AI 模型)时,这一挑战会更加突出。
隐私增强技术(PETs)在实现 AI 模型机密共创和共享方面的潜力
在能够联合开发或共享 AI 模型的协作环境中,隐私增强技术(PETs)对于建立信任至关重要,同时不会损害机密性或违反监管要求。在 OECD 隐私增强技术与人工智能专家研讨会上提出并讨论的用例中,PETs 在实现 AI 模型共创和共享方面有两个主要功能尤为突出:(1)AI 模型的机密共创;(2)AI 模型及其输出的保护。
AI 模型的机密共创
AI 模型的机密共创是指多个参与方联合开发 AI 模型,这些参与方整合各自的数据、资源或专业知识,且不会向对方泄露专有信息、敏感信息或个人信息。与用例原型 1(即 “通过输入和测试数据的机密共享提升 AI 模型性能”)类似,支持分布式机密数据处理的 PETs(如多方计算(MPC)和联邦学习(FL))与 AI 模型的机密共创密切相关。然而,与用例原型 1(通常由单一实体控制数据收集和 AI 模型创建过程)不同,此处的机密共创涉及所有参与伙伴共同主导的协作过程。因此,每个参与伙伴对模型创建过程以及最终生成的 AI 模型都拥有共同的所有权和控制权,除非通过 PETs(如可信执行环境(TEEs)(见用例 7)或同态加密(HE)(见用例 8))限制对 AI 模型的访问,以进一步增强机密性和信任。AI 模型及其输出的保护
在共享 AI 模型时,模型可能会成为未授权访问、操纵或提取嵌入其中的敏感专有信息的目标。当模型部署在外部或安全性较低的环境中时,攻击者可能会尝试对模型进行逆向工程,以获取专有算法、数据模式或敏感参数,这一点尤为关键。当 AI 模型被更新或微调时,或者即使使用联邦学习(FL)等 PETs 时,本地模型也可能成为未授权访问、操纵或提取的目标,这种风险会进一步加剧。
3. 关于 PETs 与 AI 的政策举措
各国隐私和数据保护法规越来越关注 PETs,政府和监管机构也通过多种政策推动其在 AI 中的应用,包括需求侧和供给侧措施,二者需协同发挥作用。
3.1 监管沙盒和其他沙盒
监管沙盒为企业提供受控环境,测试 PETs 与 AI 结合的创新方案,平衡创新与合规。例如:新加坡 IMDA 与 PDPC 的 PET 沙盒(2022 年 7 月启动),帮助企业确定合适的 PET,发布含 AI 的案例研究和政策指导(IMDA,2024)。挪威的 AI 和数据保护沙盒,要求数据保护设计,促进合规的 AI 创新,利用沙盒项目经验制定指南(Datatilsynet,n.d.)。英国 ICO 的沙盒,支持用个人数据的创新项目,PETs 是入选标准之一,当前关注个性化 AI,强调 PETs 在隐私设计中的作用(英国信息专员办公室,2025)。
3.2 创新竞赛
创新竞赛通过奖励激励 PETs 在 AI 中的技术突破。例如:2022 年英美联合启动的 prize 挑战,聚焦用 PETs(联邦学习等)应对反洗钱和疫情响应,获奖方案结合了同态加密、MPC 和差分隐私(英美 prize 挑战,n.d.)。法国 CNIL 与 Inria 的隐私奖(2016 年起),鼓励数据保护研究,2025 年第九届关注 AI 透明度、PETs 等主题。
3.3 研发(R&D)支持
研发支持推动 PETs 技术进步,提升其效率和可用性。例如:美国 2023 年《国家隐私保护数据共享与分析战略》及 2024 年《隐私增强技术研究法案》,支持联邦机构研发 PETs(众议员 Stevens,2024)。土耳其 TÜBİTAK 提供多种赠款,支持 PETs 在大数据、AI 等领域的研发,结合国家 AI 战略推进实施(OECD,2023)。新加坡南洋理工大学成立数字信任中心,研究联邦学习、大型语言模型隐私保护等技术(OECD 专家研讨会案例)。
3.4 协作举措
协作举措整合多方资源,推动 PETs 在 AI 中的应用。例如:以色列卫生部与企业合作开发口腔癌诊断 AI 工具,用差分隐私处理医疗数据,建立安全研究平台支持 62 个团队的 AI 研发(OECD 专家研讨会案例)。英国 OpenSAFELY 平台,在 COVID-19 疫情中安全分析 5500 万患者的健康记录,支持 AI 模型开发而不暴露敏感数据(OECD 专家研讨会案例)。
3.5 政府采购
政府采购通过优先选择集成 PETs 的 AI 服务,推动市场应用。例如,爱沙尼亚 2022 年推出的 “Bürokratt”(全球首个基于 AI 的公共服务虚拟助手),其采购要求集成联邦学习和合成数据,保护公民隐私(爱沙尼亚信息系统管理局,n.d.)。
2025-OECD-SHARING TRUSTWORTHY AI MODELS WITH PRIVACY-ENHANCING TECHNOLOGIES.pdf
来源:OECD
编辑:中国科学院大学经管学院研究生张丽
声明:本文来自图灵财经,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
