數(shù)據(jù)自治開放模式下的隱私保護

王智慧，周旭晨，朱云

1. 復(fù)旦大學計算機科學技術(shù)學院，上海　201203；2. 上海市數(shù)據(jù)科學重點實驗室，上?！?01203

1　引言

隨著大數(shù)據(jù)時代的來臨，數(shù)據(jù)資源的戰(zhàn)略性和商業(yè)價值越來越被人們認同和重視，數(shù)據(jù)資源的開放共享需求也日益緊迫。然而在現(xiàn)實中，數(shù)據(jù)資源的開放共享卻變得越來越困難。造成這種狀況的主要原因之一是數(shù)據(jù)開放共享時的隱私保護問題[1]。

以醫(yī)療數(shù)據(jù)開放為例，醫(yī)療數(shù)據(jù)開放顯然能夠為醫(yī)療數(shù)據(jù)開發(fā)利用提供便利，為臨床診斷、藥物研發(fā)等提供數(shù)據(jù)支持，推動醫(yī)療數(shù)據(jù)價值的實現(xiàn)。但是，醫(yī)療數(shù)據(jù)常包含較多的隱私信息，例如，患者個人信息、既往病史、就診記錄等。因此，出于對患者的隱私保護的考慮，醫(yī)療數(shù)據(jù)的開放將不可避免地受到制約。

從數(shù)據(jù)開放模式下的隱私保護需求考慮，一方面要求實現(xiàn)對個體隱私的保護，即保護數(shù)據(jù)所描述的個體對象的隱私；另一方面也要求對數(shù)據(jù)自身的稀缺性加以保護，即保護數(shù)據(jù)開放者提供的原始數(shù)據(jù)的整體隱私不被非法攫取。因此，從隱私保護的角度來說，數(shù)據(jù)開放要求必然是有監(jiān)管的開放，即數(shù)據(jù)自治開放。

本文考慮在數(shù)據(jù)自治開放模式下，以數(shù)據(jù)盒為基本數(shù)據(jù)單元向數(shù)據(jù)使用者開放。數(shù)據(jù)盒是數(shù)據(jù)自治開放的載體，它封裝了被開放的數(shù)據(jù)以及相應(yīng)的數(shù)據(jù)管理系統(tǒng)。數(shù)據(jù)使用者先向數(shù)據(jù)開放者申請使用數(shù)據(jù)盒，在獲得數(shù)據(jù)開放者的授權(quán)之后，再通過數(shù)據(jù)盒提供的數(shù)據(jù)訪問接口使用數(shù)據(jù)，以此實現(xiàn)數(shù)據(jù)的開放。在數(shù)據(jù)使用的過程中，數(shù)據(jù)盒內(nèi)的管理系統(tǒng)通過對數(shù)據(jù)使用者的數(shù)據(jù)訪問進行管控，實現(xiàn)數(shù)據(jù)開放過程的自治。一個數(shù)據(jù)盒內(nèi)封裝的數(shù)據(jù)可能含有隱私信息。為了防止隱私泄露，數(shù)據(jù)使用者在申請使用數(shù)據(jù)盒時，需要提供相應(yīng)的數(shù)據(jù)使用說明，即說明需要使用哪些數(shù)據(jù)、以何種方式使用這些數(shù)據(jù)以及數(shù)據(jù)使用的預(yù)期結(jié)果。因此，面向數(shù)據(jù)盒的隱私保護需要通過分析數(shù)據(jù)使用者的數(shù)據(jù)使用說明，判斷相應(yīng)數(shù)據(jù)使用是否可能導(dǎo)致隱私泄露以及涉及隱私泄露的數(shù)據(jù)范圍和隱私泄露的嚴重程度。

針對數(shù)據(jù)盒的隱私保護需求，本文總結(jié)了在數(shù)據(jù)自治開放模式下面臨的隱私保護挑戰(zhàn)，基于隱私泄露風險評估，設(shè)計了面向數(shù)據(jù)盒的隱私保護系統(tǒng)框架。通過將風險評估與使用控制結(jié)合，允許數(shù)據(jù)開放者在其可接受的隱私泄露風險范圍內(nèi)開放數(shù)據(jù)，進而為數(shù)據(jù)自治開放提供有力保障。

2　相關(guān)工作

隱私就是任何與特定個人或團體相關(guān)、但不愿被不加選擇地暴露的信息①www.codata.org[2]。目前許多隱私保護研究基于這樣的前提假設(shè)：數(shù)據(jù)開放者持有的電子化數(shù)據(jù)一般是完整的、未經(jīng)任何處理的數(shù)據(jù)，其中涉及隱私的敏感屬性事先已知。一種簡單的手段是隱藏姓名、身份證號等唯一標識個體身份的顯式標識符，但這種簡單匿名化的效果是相對脆弱的，難以抵御常見的背景知識攻擊和鏈接攻擊等行為[3-5]。背景知識攻擊就是利用背景知識直接推知隱私信息的攻擊手段。背景知識包括攻擊者可能擁有的任何信息，前提是這些信息有助于其進行推理，并獲知開放數(shù)據(jù)中某些記錄對應(yīng)的敏感屬性值。而鏈接攻擊則是指攻擊者在其背景知識基礎(chǔ)上和外部數(shù)據(jù)集進行鏈接推理，進而導(dǎo)致隱私泄露的攻擊方式。圍繞這一問題，目前已經(jīng)有k-anonymity[3,4]、l-diversity[5]、t-closeness[6]、m-invariance[7]、differential privacy[8,9]等多種隱私數(shù)據(jù)保護模型先后被提出。但是，目前的研究很多都是在數(shù)據(jù)開放前通過對數(shù)據(jù)進行添加噪聲等相應(yīng)處理來實現(xiàn)隱私保護的，這樣一方面會降低數(shù)據(jù)在開放過程中的可用性，另一方面也沒有體現(xiàn)數(shù)據(jù)開放過程中對隱私保護的自主可控性。

在大數(shù)據(jù)環(huán)境下，攻擊者通過數(shù)據(jù)挖掘分析技術(shù)會擁有更強大的背景知識，而且可以結(jié)合多源數(shù)據(jù)以發(fā)動鏈接攻擊。針對這一情況，一些隱私保護研究立足于與數(shù)據(jù)挖掘相關(guān)的隱私保護研究。特別地，一些研究針對關(guān)聯(lián)規(guī)則挖掘[10-13]、數(shù)據(jù)分類[14-18]以及數(shù)據(jù)聚類[19-21]分別提出了相應(yīng)的隱私保護挖掘技術(shù)。但是，這些研究大都針對特定的數(shù)據(jù)挖掘任務(wù)，缺乏數(shù)據(jù)自治開放實際所需的普遍適用性。

從上述關(guān)于隱私保護的現(xiàn)有技術(shù)的分析可以看到，現(xiàn)行方法雖然在一定程度上起到了隱私保護的作用，但是仍存在不足，不能滿足數(shù)據(jù)自治開放模式下隱私保護的本質(zhì)需求。

3　隱私保護挑戰(zhàn)

在數(shù)據(jù)自治開放模式下，如何實現(xiàn)有效的隱私保護是有待研究的重要問題之一，對數(shù)據(jù)開放及其流通等有著十分重要的影響。在實現(xiàn)數(shù)據(jù)自治開放的過程中，面臨的隱私保護挑戰(zhàn)主要來自以下幾個方面。

（1）隱私保護的自主可控性

隱私保護的自主可控性即數(shù)據(jù)開放者能夠根據(jù)數(shù)據(jù)自身的特性或者數(shù)據(jù)在開放過程中的使用需求，自主地決定并控制哪些數(shù)據(jù)在數(shù)據(jù)開放的過程中需要進行隱私保護，并且對這些數(shù)據(jù)的隱私保護需要達到何種程度。如果不能保障隱私保護的自主可控性，也就無法在數(shù)據(jù)開放過程中實現(xiàn)對數(shù)據(jù)的有效監(jiān)管，從而無法滿足數(shù)據(jù)自治開放的基本要求。

（2）如何平衡數(shù)據(jù)的可用性與隱私保護之間的關(guān)系

數(shù)據(jù)的可用性反映了在數(shù)據(jù)自治開放的過程中，數(shù)據(jù)自身的實際意義得到表達的程度。數(shù)據(jù)的可用性與具體的應(yīng)用場景有緊密的關(guān)聯(lián)，其在表現(xiàn)形式上既可以是數(shù)據(jù)在統(tǒng)計意義上的數(shù)據(jù)分布信息，也可以是特定數(shù)據(jù)記錄的準確屬性值。在數(shù)據(jù)開放的過程中，如果片面強調(diào)數(shù)據(jù)的可用性，那么隱私泄露的風險必然會增大；如果過分強調(diào)隱私保護，那么數(shù)據(jù)的可用性則會受到影響。

（3）如何兼顧對個體隱私和數(shù)據(jù)自身稀缺性的有效保護

對個體隱私的有效保護即保護數(shù)據(jù)所描述的個體對象的隱私不被泄露。這表現(xiàn)為數(shù)據(jù)使用者不能在未經(jīng)數(shù)據(jù)開放者同意的前提下，通過對數(shù)據(jù)的訪問獲取特定個體對象的隱私信息。需要注意的是，數(shù)據(jù)使用者有時雖不能通過單次訪問獲取個體的隱私信息，但是通過對數(shù)據(jù)的多次訪問，然后利用訪問結(jié)果之間的相關(guān)性可能獲取個體的隱私信息。對數(shù)據(jù)自身的稀缺性進行有效保護是指保護數(shù)據(jù)開放者提供的原始數(shù)據(jù)的整體隱私不被非法攫取。這在數(shù)據(jù)開放的過程中，通常表現(xiàn)為需要防范數(shù)據(jù)使用者通過“數(shù)據(jù)拼圖”造成對數(shù)據(jù)整體隱私的侵犯。

數(shù)據(jù)拼圖是指數(shù)據(jù)使用者能夠通過整合數(shù)據(jù)訪問過程中多次獲取的數(shù)據(jù)片段，利用數(shù)據(jù)片段之間的關(guān)聯(lián)性，非法拼接還原出整個數(shù)據(jù)的全貌或者其中大量的涉及隱私的敏感數(shù)據(jù)。數(shù)據(jù)拼圖可以由單個使用者通過拼接在多次數(shù)據(jù)訪問中獲取的數(shù)據(jù)片段來完成，也可能由多個使用者共同合作，通過共謀來實現(xiàn)對數(shù)據(jù)片段的拼接。在數(shù)據(jù)自治開放模式下，一個或多個惡意的攻擊者可以通過數(shù)據(jù)拼圖這種攻擊手段，未經(jīng)數(shù)據(jù)開放者授權(quán)就獲取被保護的數(shù)據(jù)對象，從而構(gòu)成對數(shù)據(jù)整體隱私的侵犯。

數(shù)據(jù)拼圖會給數(shù)據(jù)開放帶來實質(zhì)危害，因為攻擊者可以借助這種手段實現(xiàn)對原始數(shù)據(jù)的攫取，這樣就意味著數(shù)據(jù)資源的稀缺性喪失，從而喪失其原有的價值，導(dǎo)致數(shù)據(jù)擁有者不愿意將數(shù)據(jù)開放給別人使用。此外，數(shù)據(jù)拼圖的攻擊使得數(shù)據(jù)整體的所有權(quán)屬也難以得到保護。因為數(shù)據(jù)使用者可以將通過數(shù)據(jù)拼圖獲得的數(shù)據(jù)再次傳播給其他未被授權(quán)的數(shù)據(jù)使用者，造成對原數(shù)據(jù)權(quán)屬的二次侵犯。

針對上述數(shù)據(jù)自治開放模式下的隱私保護挑戰(zhàn)，在隱私泄露風險評估的基礎(chǔ)上，本文提出了一種面向數(shù)據(jù)盒的隱私保護系統(tǒng)框架來應(yīng)對這些挑戰(zhàn)。

4　面向數(shù)據(jù)盒的隱私保護系統(tǒng)框架

數(shù)據(jù)盒作為實現(xiàn)數(shù)據(jù)自治開放的載體，將數(shù)據(jù)封裝在盒內(nèi)，其本質(zhì)是在獲得數(shù)據(jù)開放者許可的前提下，將數(shù)據(jù)使用權(quán)開放給使用者，而不是直接將數(shù)據(jù)移交給使用者。由于數(shù)據(jù)盒內(nèi)封裝的數(shù)據(jù)可能涉及隱私信息，因此在數(shù)據(jù)使用者使用數(shù)據(jù)盒內(nèi)的數(shù)據(jù)之前，評估其相應(yīng)的數(shù)據(jù)使用請求，判斷是否會導(dǎo)致隱私泄露，對于數(shù)據(jù)自治開放中的隱私保護至關(guān)重要。本節(jié)在隱私泄露風險評估的基礎(chǔ)上，給出了一個具有層次化結(jié)構(gòu)的面向數(shù)據(jù)盒的隱私保護系統(tǒng)框架。該系統(tǒng)框架如圖1所示。

圖1　面向數(shù)據(jù)盒的隱私保護系統(tǒng)框架

在系統(tǒng)框架中，最下層的數(shù)據(jù)層存儲數(shù)據(jù)開放者提供的原始數(shù)據(jù)、隱私保護規(guī)則以及當前所有數(shù)據(jù)訪問的歷史信息記錄集合，為評估隱私泄露的風險提供數(shù)據(jù)基礎(chǔ)。隱私保護規(guī)則包括個體隱私保護規(guī)則和數(shù)據(jù)拼圖防范規(guī)則，可以由數(shù)據(jù)開放者預(yù)定義，以便依據(jù)風險評估的結(jié)果確定是否違背數(shù)據(jù)開放者的隱私保護需求。

數(shù)據(jù)使用者可以采用系統(tǒng)預(yù)定義的數(shù)據(jù)使用聲明規(guī)范描述語言或接口，表達自己對數(shù)據(jù)開放者提供數(shù)據(jù)的使用請求，并將其提交給系統(tǒng)框架的接口層。接口層包括使用聲明分析模塊和使用控制模塊，其中使用聲明分析模塊首先分析數(shù)據(jù)使用者的數(shù)據(jù)使用聲明，在此基礎(chǔ)上抽取數(shù)據(jù)使用者可能的數(shù)據(jù)使用行為、數(shù)據(jù)使用范圍以及數(shù)據(jù)使用的預(yù)期結(jié)果，并傳遞給風險評估層做相應(yīng)的風險評估。在獲取風險評估層的反饋結(jié)果后，如果當前數(shù)據(jù)使用請求帶來的風險超出了數(shù)據(jù)開放者所能承受的限度，使用控制模塊將拒絕數(shù)據(jù)使用者的使用請求。

系統(tǒng)框架中的風險評估層將根據(jù)接口層傳遞下來的數(shù)據(jù)使用者可能的數(shù)據(jù)使用行為及數(shù)據(jù)使用范圍，對數(shù)據(jù)使用者的數(shù)據(jù)使用請求進行風險評估。在進行風險評估時，將針對當前數(shù)據(jù)使用請求涉及的數(shù)據(jù)使用行為及數(shù)據(jù)使用范圍，結(jié)合數(shù)據(jù)層中存儲的數(shù)據(jù)訪問歷史信息，對當前數(shù)據(jù)使用請求可能導(dǎo)致的個體隱私泄露風險和數(shù)據(jù)拼圖風險分別進行評估，給出相應(yīng)的個體隱私泄露風險系數(shù)或等級以及數(shù)據(jù)拼圖的風險系數(shù)或等級。同時，可以根據(jù)數(shù)據(jù)開放者預(yù)設(shè)的個體隱私保護規(guī)則和數(shù)據(jù)拼圖防范規(guī)則，自動檢查相應(yīng)的風險系數(shù)或等級是否超出數(shù)據(jù)開放者的承受范圍，也可以將風險評估的結(jié)果直接展現(xiàn)給數(shù)據(jù)開放者，由數(shù)據(jù)開放者自行決定是否授權(quán)許可當前的數(shù)據(jù)使用請求，并可進一步通過接口層的使用控制將授權(quán)許可反饋給數(shù)據(jù)使用者。

在風險評估的過程中，具體的隱私信息認定、隱私泄露的風險系數(shù)或等級的設(shè)定等可以根據(jù)應(yīng)用場景由數(shù)據(jù)開放者自主確定。表1中的收入屬性值為涉及隱私的敏感數(shù)據(jù)，其中單條數(shù)據(jù)記錄中的收入屬性值為個體隱私，數(shù)據(jù)集內(nèi)所有記錄的收入表1記錄了某公司的員工收入情況，每條數(shù)據(jù)記錄均與某個特定員工相對應(yīng)。假設(shè)屬性值集合構(gòu)成了整體隱私。個體隱私泄露的風險系數(shù)設(shè)定為數(shù)據(jù)使用者依據(jù)數(shù)據(jù)盒反饋的數(shù)據(jù)訪問結(jié)果，可推測出單條數(shù)據(jù)記錄中的收入屬性值的可能性。數(shù)據(jù)拼圖風險系數(shù)設(shè)定為數(shù)據(jù)使用者根據(jù)數(shù)據(jù)盒反饋的數(shù)據(jù)訪問結(jié)果，能獲知的收入屬性值在數(shù)據(jù)集內(nèi)所有記錄的收入屬性值集合中所占比例。

表1　示例數(shù)據(jù)

考慮數(shù)據(jù)使用者曾提出數(shù)據(jù)使用請求Q1：“統(tǒng)計年齡21～25歲之間的員工數(shù)”。該請求獲得了授權(quán)，數(shù)據(jù)使用者已獲知相應(yīng)的結(jié)果（即數(shù)據(jù)使用者已獲知年齡為21～25歲的員工只有1人）；同時Q1作為數(shù)據(jù)訪問歷史信息被記錄下來?，F(xiàn)在數(shù)據(jù)使用者進一步提出新的數(shù)據(jù)使用請求Q2：“計算年齡為21～25歲的員工平均年齡及平均收入”。如果Q2獲得授權(quán)，那么數(shù)據(jù)使用者將可以推測出“年齡22歲的員工收入為3800元”。因此，依據(jù)前述風險系數(shù)的設(shè)定，對Q2進行評估將會得出其所對應(yīng)的個體隱私泄露風險系數(shù)為100%，數(shù)據(jù)拼圖風險系數(shù)為10%。按照風險評估的結(jié)果，如果數(shù)據(jù)開放者認為風險系數(shù)過高，則可以拒絕對Q2進行授權(quán)。

面向數(shù)據(jù)盒的隱私保護系統(tǒng)框架可以較好地適用于數(shù)據(jù)自治開放的應(yīng)用場景，即在數(shù)據(jù)開放者自主可控的情況下，將數(shù)據(jù)甚至部分隱私數(shù)據(jù)作為開放的資源。在基于隱私泄露風險評估的系統(tǒng)框架中，數(shù)據(jù)開放者可以依據(jù)系統(tǒng)提供的風險評估結(jié)果給出授權(quán)與否的直接反饋，或者通過設(shè)定合適的個體隱私保護規(guī)則和數(shù)據(jù)拼圖防范規(guī)則，決定是否許可當前的數(shù)據(jù)使用請求，可以在數(shù)據(jù)使用過程中兼顧個體隱私保護與整體隱私保護，體現(xiàn)了對隱私保護的自主可控。同時在實際使用中，數(shù)據(jù)開放者針對不同的數(shù)據(jù)使用者，可以依據(jù)隱私泄露風險的評估結(jié)果，給予不同的授權(quán)反饋，從而也可以實現(xiàn)對數(shù)據(jù)可用性與隱私保護之間的動態(tài)平衡。此外，該系統(tǒng)框架允許數(shù)據(jù)使用者在數(shù)據(jù)開放者能夠接受的隱私泄露風險范圍內(nèi)，直接使用部分原始數(shù)據(jù)，因此與傳統(tǒng)的通過引入噪聲數(shù)據(jù)來實現(xiàn)隱私保護的方式相比，該方式在一定程度上可以提高數(shù)據(jù)可用性。

該系統(tǒng)框架還存在著一些技術(shù)細節(jié)及局限性需要進一步研究。一是數(shù)據(jù)使用者在數(shù)據(jù)使用前提出的數(shù)據(jù)使用請求與其在數(shù)據(jù)使用時的真實行為之間的一致性問題，即所謂的言行一致問題。數(shù)據(jù)使用者可以先提出低風險的數(shù)據(jù)使用請求，通過風險評估獲得使用授權(quán)，但在實際使用數(shù)據(jù)的過程中卻不遵照事先的數(shù)據(jù)使用請求而非法獲取隱私信息。因此，還需要在數(shù)據(jù)的實際使用過程中對數(shù)據(jù)使用者的數(shù)據(jù)訪問行為進行必要的管控，以確保與其事先的數(shù)據(jù)使用聲明一致。二是由于數(shù)據(jù)使用者可能會通過多次精心設(shè)計的不同數(shù)據(jù)訪問，再利用數(shù)據(jù)之間內(nèi)在的相關(guān)性，逐步推導(dǎo)出數(shù)據(jù)集的全貌或者其中的個體隱私信息，因此需要維護大量的數(shù)據(jù)訪問歷史信息，防止可能的隱私泄露。但是，這樣做的后果是，隨著數(shù)據(jù)訪問歷史信息的逐漸增加，風險評估系統(tǒng)的效率會逐步降低。因此，有必要研究通過索引技術(shù)等提高系統(tǒng)的實現(xiàn)效率。三是在某些場景下，數(shù)據(jù)可能會發(fā)生更新的情況或者以數(shù)據(jù)流的形式出現(xiàn)，鑒于數(shù)據(jù)的變化可能會產(chǎn)生隱私泄露以及可能會影響到先前的風險評估結(jié)果，因此，需要進一步研究由于數(shù)據(jù)更新或數(shù)據(jù)流的方式帶來的隱私泄露以及相應(yīng)的風險評估問題。

5　結(jié)束語

數(shù)據(jù)自治開放可以為數(shù)據(jù)的開放共享提供便利，但是在實際過程中可能產(chǎn)生個體隱私信息泄露以及數(shù)據(jù)的整體隱私受到危害（即數(shù)據(jù)自身可能被非法攫?。┑葐栴}。這些問題已經(jīng)嚴重阻礙了數(shù)據(jù)擁有者開放其自身數(shù)據(jù)。本文分析了數(shù)據(jù)自治開放模式下的隱私保護挑戰(zhàn)，并基于隱私泄露風險評估，針對這些挑戰(zhàn)提出了面向數(shù)據(jù)盒的隱私保護系統(tǒng)框架。通過將風險評估與使用控制結(jié)合，允許在數(shù)據(jù)開放者可接受的隱私泄露風險范圍內(nèi)使用數(shù)據(jù)，給數(shù)據(jù)自治開放提供有力保障，推動數(shù)據(jù)資源的開放利用。

參考文獻:

[1]BOY D D, CR AWFOR D K. Critical questions for big data[J]. Information,Communication & Society, 2012, 15(5):662-679.

[2]方濱興, 賈焰, 李愛平, 等. 大數(shù)據(jù)隱私保護技術(shù)綜述[J]. 大數(shù)據(jù), 2016, 2(1): 1-18.FANG B X, JIA Y, LI A P, et al. Privacy preservation in big data: a survey[J]. Big Data Research, 2016, 2(1): 1-18.

[3]SWEENEY L. k-Anonymity: a model for protecting privacy[J]. International Journal on Uncertainty, Fuzziness and Knowledge-Based Systems, 2002, 10(5):557-570.

[4]SWEENEY L. Achieving k-anonymity privacy protection using generalization and suppression[J]. International Journal of Uncertainty, Fuzziness and Knowledge-Based Systems, 2002, 10(5): 571-588.

[5]MACHANAVAJJHALA A, GEHRKE J,KIFER D. l-Diversity: privacy beyond k-anonymity[C]//The 22nd International Conference on Data Engineering, April 3-8, 2006, Atlanta, USA. New York:ACM Press, 2007, 1(1): 3.

[6]LI N H, LI T C, VENKATASUBRAMANIAN S.t-Closeness: privacy beyond k-anonymity and l-diversity[C]// The 23rd International Conference on Data Engineering, April 17-20,2007, Washington, USA. Piscataway:IEEE Press, 2007: 106-115.

[7]XIAO X K, TAO Y F. M-invariance:towards privacy preserving re-publication of dynamic datasets[C]// The ACM SIGMOD International Conference on Management of Data, June 11-14, 2007,Beijing, China. New York: ACM Press,2007: 689-700.

[8]DWORK C. Differential privacy[C]//The 33rd International Colloquium on Automata, Languages, and Programming,July 10-14, 2006, Venice, Italy.Heidelberg: Springer, 2006: 1-12.

[9]DWORK C, ROTH A. The algorithmic foundations of differential privacy[J].Foundations and Trends in Theoretical Computer Science, 2014, 9(3-4): 211-407.

[10]RIZVI S J, HARITSA J R. Maintaining data privacy in association rule mining[C]// The 28th International Conference on Very Large Data Bases,August 20-23, 2002, Hong Kong,China. [S.l.]: VLDB Endowment Inc.,2002, 34(6): 682-693.

[11]EVFIMIEVSKI A V, SRIKANT R,AGRAWAL R, et al. Privacy preserving mining of association rules[C]// The 8th ACM SIGKDD International Conference on Knowledge Discovery in Databases and Data Mining, July 23-25, 2002,Edmonton, Canada. New York: ACM Press, 2002: 217-228.

[12]KANTARCIOGLU M, NIX R, VAIDYA J.An efficient approximate protocol for privacy-preserving association rule mining[C]// The 13th Pacific-Asia Conference on Advances in Knowledge Discovery and Data Mining, April 27-30,2009, Bangkok, Thailand. Heidelberg:Springer, 2009: 515-524.

[13]BONOMI L. Mining frequent patterns with differential privacy[C]//VLDB Endowment, August 26-30, 2013,Riva del Garda, Trento. [S.l.]: VLDB Endowment Inc., 2013, 6(12): 1422-1427.

[14]AGRAWA R L, SRIKANT R. Privacypreserving data mining[C]// The ACM SIGMOD Conference on Management of Data, May 16-18, 2000, Dallas, USA.New York: ACM Press, 2000: 439-450.

[15]YU H, JIANG X Q, VAIDYA J. Privacypreserving SVM using nonlinear kernels on horizontally partitioned data[C]//ACM Symposium on Applied Computing, Data Mining Track, April 23-27, 2006, Dijon,France. New York: ACM Press, 2006,39(9): 603-610.

[16]VAIDYA J, CLIFTON C, KANTARCIOGLU M,et al. Privacy-preserving decision trees over vertically partitioned data[J]. ACM Transactions on Knowledge Discovery from Data, 2008, 2(3): 1-27.

[17]MANGASARIAN O L, WILD EW, FUNG G.Privacy-preserving classification of vertically partitioned data via random ker nels[J]. ACM Tra nsactions on Knowledge Discovery from Data, 2007,2(3): 1-16.

[18]YANG B,SATO I, NAKAGAWA H.Bayesian differential privacy on correlated data[C]//SIGMOD Conference, May 31-June 4,2015, Melbourne, Australia. New York:ACM Press, 2015: 747-762.

[19]JAGANNATHAN G, WRIGHT R N.Privacy-preserving distributed k-means clustering over arbitrarily partitioned data[C]// The 11th ACM SIGKDD International Conference on Knowledge Discovery and Data Mining, August 21-24, 2005,Chicago, USA. New York: ACM Press,2005: 593-599.

[20]CUI Y J, WONG W K, CHEUNG D W.Privacy-preserving clustering with high accuracy and low time complexity[C]//The 14th International Conference on Database Systems for Advanced Applications,April 21-23, 2009, Brisbane, Australia.Heidelberg: Springer, 2009: 456-470.

[21]D I S H A B I M R E, A Z G O M I M A.Differential privacy preserving clustering in distributed datasets using Haar wavelet transform[J]. Intelligent Data Analysis,2015, 19(6): 1323-1353.