這部分介紹統(tǒng)計分析的隱私目標。界定清楚了目標，就能夠準確知道使用哪一種技術，從而確定技術范疇。

隱私威脅和隱私增強技術的作用

通常在有關隱私的一般性討論中，信息安全從業(yè)人員會使用如下原則：隱私保護是使得信息不會“泄漏”到授權訪問者的保護范圍之外。

所有隱私增強技術（PET）都部分解決了以下普遍問題：“對于輸入數據集敏感部分的數據分析會泄漏多少隱私？”。

泄漏可能是有意的（黑客，好奇的數據分析人員）或無意的（分析期間出乎意料的敏感結果）。無論如何，隱私增強技術都可以減少此類泄漏的風險。

重要的是要指出，我們描述的任何一種隱私增強技術，實際上沒有一種已知的技術，可以為隱私問題提供完整的解決方案。

這主要是因為這種模糊定義的目標可能根據上下文具有不同的合適解釋。需要了解他們各自的隱私定義之間的相互作用。這種集成始于威脅建模階段，因為必須最終根據適用于每種技術的隱私定義的具體參數來設置隱私要求。

部署隱私增強技術的關鍵方面

部署PET的關鍵方面是必須將它們部署在盡可能靠近數據所有者的位置。最佳的隱私保證要求在將機密數據發(fā)布給第三方之前，數據所有者必須在本地使用PET。

這可以用一個簡單的類比來解釋使用訪問控制。

通常，與數據打交道的組織部署基于角色的訪問控制（RBAC），該訪問控制僅授予授權人員訪問數據的權限。

但是，這仍然假定組織本身具有對所有收集的數據的完全訪問權限。因此，組織對所有數據負責。但是，有了正確部署的隱私增強技術，組織將能夠在沒有完全訪問權限的情況下執(zhí)行其職責，從而減少責任。

統(tǒng)計信息的隱私目標

在對以上兩個設置進行了一般性描述之后，我們使用下面的抽象說明隱私目標。如圖3所示，一個或多個輸入方將敏感數據提供給一個或多個進行統(tǒng)計分析的計算方，從而為一個或多個結果方產生結果。

現在，我們介紹三個自然的隱私目標，這些目標自然地與文檔中稍后介紹的技術和隱私定義相關。

這些目標應被視為一般指南，具體部署可能具有特定的隱私要求，需要仔細評估。

不過，理想情況下，應該以提供具體隱私保證的方式解決此類要求，我們認為以下分類是很自然的該建模任務的起點。

輸入隱私，輸出隱私和政策執(zhí)行的隱私目標是根據對隱私保護統(tǒng)計數據的研究改編而成的。

輸入隱私

輸入隱私意味著計算方無法訪問或獲取輸入方提供的任何輸入值，也不能在數據處理期間訪問中間值或統(tǒng)計結果（除非已專門選擇該值進行公開）。

請注意，即使計算方無法直接訪問這些值，也可以通過使用諸如邊信道攻擊之類的技術來推導它們。

因此，輸入私密性需要防止3種所有此類機制的保護，而這三種機制都將允許計算方推導輸入。

輸入隱私非?？扇?，因為它可以顯著減少對輸入數據庫具有完全訪問權限的涉眾數量。從而減少了責任并簡化了對數據保護法規(guī)的遵守。

輸入隱私的概念在相互不信任的一方參與計算其私有數據的情況下特別相關，但是任何一方學習超過其規(guī)定的輸出被視為違反隱私的情況。

再次參考上面的掃描儀數據示例，零售商將要求設置在適當位置以收集和計算價格指數的系統(tǒng)將為輸入價格提供輸入隱私權。

輸出隱私

隱私保護統(tǒng)計分析系統(tǒng)在保證輸出結果不包含輸入方所允許的可識別輸入數據的范圍內實施輸出隱私。

輸出隱私解決了測量和控制計算結果中存在的泄漏量的問題，而與計算本身是否提供輸入隱私無關。

例如，在分析多方提供的分布式數據庫以生成數據的統(tǒng)計模型的情況下，輸出隱私與以下問題有關：可以從已發(fā)布的數據庫中恢復多少有關原始數據的信息。

統(tǒng)計模型在模型的計算過程中各方之間交換的消息不會泄漏多少信息，因為后者與輸入隱私有關。

在數據發(fā)布中，例如，在NSO希望向公眾提供數據庫而又不泄露用于導出發(fā)布數據的任何相關輸入數據的情況下，強烈要求輸出隱私。

政治執(zhí)行

如果隱私保護統(tǒng)計分析系統(tǒng)具有供輸入方執(zhí)行積極控制的機制，則該策略執(zhí)行策略執(zhí)行，該控制可以由計算方對敏感輸入執(zhí)行，并且可以將結果發(fā)布給結果方。

這種積極控制通常以正式語言來表達，這種語言可以識別參與者及其參與規(guī)則。策略決策點將這些規(guī)則處理成機器可用的形式，而策略執(zhí)行點則提供了確保遵循規(guī)則的技術手段。

因此，策略執(zhí)行可以在保留隱私的統(tǒng)計分析系統(tǒng)中描述然后自動確保輸入和輸出的隱私，從而減少了對經典但效果不佳的方法（如數據使用合同中的保密協(xié)議和保密條款）的依賴。

結合多個隱私目標

實際的統(tǒng)計系統(tǒng)很可能會結合多種技術來涵蓋多個隱私目標。有關如何覆蓋圖3所示的整個系統(tǒng)的示例，請參見圖4。

輸入隱私包括源數據，中間和最終處理結果。輸入方負責保護自己的輸入數據，但是一旦傳輸了數據，接收方就必須繼續(xù)對其進行保護。

輸出隱私是統(tǒng)計產品的財產。即使計算方負責確保計算結果具有某種形式的輸出隱私，但風險幾乎總是與結果方學習過多有關。

策略執(zhí)行覆蓋整個系統(tǒng)-輸入方可能會在授予數據之前要求對處理進行控制，結果各方可能希望遠程審核處理的正確性。提供此類控制的責任在于計算方，在我們的情況下，計算方是國家統(tǒng)計局。

統(tǒng)計信息的隱私增強技術

我們考慮以下技術：

1）安全多方計算（縮寫為MPC）

2）（完全）同態(tài)加密（縮寫為HE或FHE）

3）受信任的執(zhí)行環(huán)境（縮寫為TEE）

4）差分隱私