[发明专利]针对好奇推荐器的隐私保护

说明书

相关申请的交叉引用

本申请要求于2013年2月6日提交的、标题为“PRIVACY PROTECTION AGAINST CURIOUS RECOMMENDERS”的美国临时申请序列号61/761,330的优先权，通过引用将其并入本文。

技术领域

本发明涉及在允许推荐器(recommender)提供相关个性化推荐的同时保护隐私信息。

背景技术

若干最近的公开研究从用户生成的数据推断人口统计学的威胁。与本发明最接近的Weinsberg等人的“Blurme:inferring and obfuscating user gender based on ragings”(Proceedings of the Sixth ACM Conference on Recommender Systems，2012年)示出可以从电影评级推断性别，并且提出减轻由此引起的隐私风险的启发法。但是，Weinsberg提出的迷惑方法明确地以推断性别的逻辑回归方法作为目标。与此相反，本发明追求原则性方法，使得证明是防任意推断方法的有力的隐私保障。

本发明中的隐私的定义受差分隐私(differential privacy)的概念激发，并且作为差分隐私的概念的限制性情况。差分隐私已经应用于诸如数据挖掘、社交推荐和推荐器系统这样的领域。这些工作假设受信任的数据库所有者并且集中在使应用的输出是差分隐私的。与此相反，在本发明中，研究一种配置，其中推荐器是好奇的(curious)，并且用户希望防范根据他们提交给推荐器的反馈对隐私信息进行统计推断。

存在若干在准确度约束下对防统计推断的隐私进行建模的理论框架。这些方法假设关联隐私和非隐私变量的一般概率模型，并且通过在非隐私变量的发布之前使它们失真来确保隐私。虽然具有一般性，但是这些框架的应用需要隐私数据和将发布的数据之间的联合分布的知识，这在实际设置中可能难以获得。被实验证据强有力地支持的本发明中的线性模型的假设致使问题易于处理。更重要地，其允许本发明的方法表征在推荐器侧所必需的数据公开的程度，以实现最佳的隐私准确度权衡，这是所有前述工作中没有的方面。

发明内容

推荐器系统可以从用户反馈推断诸如性别、年龄或政治派别这样的人口统计信息。本发明提出一种推荐器与用户之间的数据交换协议(步骤、动作)的框架，捕捉推荐的准确度、用户隐私与推荐器所公开的信息之间的权衡。

本发明允许用户以推荐器无法推断用户希望隐藏的一些人口统计信息的方式将他/她的评级的失真版本传达到推荐器系统，同时允许推荐器仍然向用户提供相关的个性化推荐。

在线服务的用户被常规地要求提供关于他们的经验和偏好的反馈。该反馈可以是隐式的或显式的，并且可以采取许多形式，从完整评论到五星评级，到从菜单选择。这样的信息常规地由推荐器系统使用，以提供有针对性的推荐并且个性化提供给用户的内容。用于生成推荐的统计方法往往产生用户“简档(profile)”或特征向量。这样的简档能够暴露用户可能视为隐私的个人信息，诸如他们的年龄、性别和政治派别。这种可能性已经被广泛记载在公共数据集上。这种可能性要求允许具有隐私意识的用户受益于推荐器系统，同时还确保他们希望保护的信息不会通过他们的反馈而非有意地公开或泄露，从而鼓励用户参与到服务中的机制。

减少这样的公开或泄露的通常的方法是通过使报告给推荐器的反馈失真。在推荐质量和用户隐私之间存在自然的权衡。更大的失真可以导致更好的迷惑但是也导致不太准确的简档。本发明的贡献是标识出在该权衡中存在第三项(a third term)，其为推荐器公开给用户以便迷惑他们的隐私值的数据。为了例示这一点，注意到如果推荐器向用户公开用于产生用户简档的所有数据和算法，则可以实现绝对隐私。然后，用户能够运行推荐系统的本地拷贝，而不用总是向推荐器发送任何反馈。这显然是隐私的。但是，从推荐器的角度来看，这仍是不能维持的，无论出于实际的原因(效率和代码维护)，还是至关重要地出于商业原因，因为推荐器可能正在收取费用、将它收集的数据以及它开发的算法这两者货币化。向用户或可能的竞争者公开数据和算法显然是不利的。

另一方面，一些数据公开也是必要的。如果用户在发布他/她的反馈之前希望隐藏他/她的政治派别，用户可以使用政治派别所带来的任何偏向的知识来否定该效果。从所收集的数据中检测这样的偏向的推荐器可以将其揭示给具有隐私意识的用户。