Neue risikobasierte Privatsphäre schützt Ausreißer in synthetischen Daten

Bei der Veröffentlichung synthetischer Datensätze sind manche Personen besonders anfällig für Angriffe. Patienten mit seltenen Krankheitskombinationen oder Transaktionen mit ungewöhnlichen Merkmalen heben sich deutlich von der Masse ab. Obwohl Differential Privacy (DP) Worst‑Case‑Garantien bietet, gelingt es empirischen Angriffen – insbesondere Membership‑Inference – häufig, diese Ausreißer zu identifizieren, vor allem bei moderaten Privatsphäre‑Budgets und mit Hilfsinformationen.

Die neue Methode „risk‑equalized DP synthesis“ adressiert dieses Problem, indem sie die Privatsphäre für hochriskante Datensätze priorisiert. Der Ansatz besteht aus zwei Schritten: Zunächst wird mit einem kleinen Privatsphäre‑Budget die „Ausreißer‑Score“ jedes Eintrags geschätzt. Anschließend wird bei der DP‑Lernphase jeder Datensatz umgekehrt proportional zu seinem Risiko gewichtet. Unter dem Gaussian‑Mechanismus ist der Privatsphäre‑Verlust eines Eintrags direkt mit seiner Einflussgröße auf das Ergebnis verknüpft. Durch gezielte Reduktion der Beiträge der Ausreißer erhält man strengere, pro‑Eintrag‑basierte Privatsphäre‑Grenzen – genau dort, wo sie am dringendsten benötigt werden.

Die Autoren zeigen, dass die gesamte Pipeline DP‑konform bleibt, indem sie die Kompositionsregeln anwenden und geschlossene Formeln für die pro‑Eintrag‑Grenzen ableiten. Der erste Scoring‑Schritt trägt lediglich einen einheitlichen, per‑Eintrag‑konstanten Term bei.

Simulationen mit kontrolliert eingefügten Ausreißern demonstrieren, dass die risikobasierte Gewichtung die Erfolgsrate von Membership‑Inference-Angriffen gegen hochriskante Einträge deutlich senkt. Ablationsstudien belegen, dass die gezielte Gewichtung – nicht zufälliges Herabsetzen – die Verbesserung ausmacht. Auf realen Benchmark‑Datensätzen wie Breast Cancer, Adult und German Credit zeigen die Experimente datensatzabhängige Vorteile, die die Vielseitigkeit des Ansatzes unterstreichen.