谷歌将差异隐私扩展到近 30 亿台设备

Google隐私安全产品经理 Miguel Guevara 讨论了在大型系统中扩展差异隐私技术所涉及的复杂性。

他强调需要开发安全、私密且用户可控的产品，同时有效解决将此类技术集成到现有系统中的复杂性。

Guevara 还概述了优化这些技术的严格流程，以确保在不牺牲功能的情况下保护用户数据。

Google 最近在近 30 亿台设备上实现了已知最大的差分隐私应用。

您能否详细说明将差分隐私技术扩展到大规模的挑战以及 Google 如何解决计算成本和可扩展性等问题？

作为开发者，我们有责任帮助用户确保在线安全并保护他们的数据。这从构建默认安全、设计私密并让用户掌控的产品开始。我们在 Google 所做的一切都以这些原则为基础，我们很自豪能够成为开发、部署和扩展新隐私保护技术 (PET) 的行业领导者，这些技术让我们能够在保护用户隐私的同时解锁有价值的见解并创造有益的体验。

差异隐私是我们在过去十年中投资的关键 PET 之一。我们很自豪能够取得这一最新成就，但一路走来也并非一帆风顺。构建基础设施的主要障碍之一是以高效且可扩展的方式进行构建。我们对正在实施的架构进行了多次尝试，直到找到一种足够高效的架构来满足我们的目的。在部署 PET 时，很多时候我们都会遇到新情况，而且没有现有技术可以指导这种即时开发。

这就是为什么迭代是关键，同时还要测试我们的架构以找到最佳解决方案。我们进行了大量测试，以确保基础设施能够处理近 30 亿台设备产生的如此大量的数据。设备上的差异隐私增加了一些挑战。为了保护差异隐私，我们需要创建合成观察。这会增加设备上的处理并导致电池和内存使用量增加。因此，我们需要确保优化整个设备群的资源，并且能够接收合成观察带来的增加的数据负载。

众所周知，差分隐私因其技术复杂性而难以集成。

谷歌在将差分隐私集成到 Google Home 和 Google 搜索等产品中时面临的主要技术障碍是什么？他们是如何克服这些障碍的？

差分隐私有多种设置：本地、中央和混洗模型。每种设置都有不同的复杂性。将差分隐私与 Google 搜索中的趋势集成是一项挑战，因为我们需要将差分隐私构建到现有系统中，并且限制我们可以在系统中引入多少更改。因此，我们的研究团队花了一些时间与趋势团队合作，想出了一种适合的算法。

此外，每当添加基于差异隐私的新功能时，我们都需要找到差异隐私为用户带来净收益的机会空间。借助 Google Trends，我们能够识别其中一个机会，从而实现以前不可能实现的新用例。我们的团队了解到，许多本地记者在搜索未达到先前阈值的相对小众结果时，很难在 Trends 中找到见解。在与 Trends 团队交谈后，我们能够提出一个依赖于差异隐私的解决方案，以解锁这些新用例。这是一个自然的双赢，实施差异隐私为新用户解锁了价值 - 这始终是我们部署 PET 时的最终目标。

Google 使用差异隐私来提高 Google Home 中与 Matter 兼容的设备的可靠性。

您能解释一下差异隐私洞察如何帮助改善这些设备的连接性和用户体验吗？

对于 Google Home 示例，我们使用了为 shuffle 差异隐私构建的基础设施。该基础设施用途广泛，因为它可以在收集数据时执行本地、中央和 shuffle 差异隐私，以及其他隐私保护机制。Home 团队面临的挑战是识别大量与 Matter 相关的崩溃。他们依靠我们的 shuffle 基础设施来深入了解这些设备。

通过依赖此基础架构，Home 团队能够识别尝试使用 Google Home 连接但失败的 Matter 设备。通过了解崩溃的设备及其崩溃方式，他们能够隔离问题并快速发布修复程序。这是我们希望在 PET 工作中展现的幕后魔力的一部分。

Google 在开源隐私增强技术方面取得了长足进步，例如完全同态加密 (FHE) 和联合学习。

Google 设想这些资源将如何影响网络安全社区，尤其是对处理敏感数据的开发人员？

我们知道，其中一些技术的进入门槛很高。我们的主要动机是降低开发人员试验这些技术的成本。FHE也是一个特殊案例，因为社区才刚刚起步。借助FHE，我们希望为社区提供工具，帮助加速 FHE 的开发，并在一系列应用中展示其实用性。

我们还希望通过展示我们使用这些技术的各种示例，鼓励其他人尝试将这些技术应用于类似问题。我们的长期目标是创造一个良性循环，即我们的一些PET实现激励其他人在新的领域中实现 PET，这反过来又为我们提供了在某些功能中使用 PET 的新想法。正如我们过去所指出的那样，水涨船高——更广泛地部署 PET 以使互联网成为所有人更安全的地方尤其如此。

随着 PipelineDP4j 的发布，Java 开发人员现在可以访问差异隐私。

发布此 Java 虚拟机 (JVM) 的主要动机是什么？它旨在如何扩大开发人员对差异隐私的采用？

我们在开源差异隐私库方面有着悠久的历史。多年来，我们的目标一直是保持算法的透明性，以便独立研究人员可以对其进行检查，并降低那些试图使用差异隐私（和其他隐私技术）的人的准入门槛。免费提供这些库是我们致力于在世界各地提高采用率的承诺，这就是为什么我们专注于以尽可能多的开发人员语言发布我们的库。

几年前，我们与 OpenMined 合作开源了 PipelineDP。PipelineDP 基于 Python。我们知道许多开发人员的工作流程都使用 Java，我们希望为这些开发人员构建解决方案。我们希望更多的开发人员能够构建具有差异隐私的应用程序，并对即将到来的所有新用例感到兴奋，尤其是随着技术每天都在不断发展。