MLSecRecommendations
Глава 17 · Compliance и приватность

Privacy Enhancing Technologies (PET) для MLSec

~24 мин24 мин осталось 5 280 словОбновлено 13 мая 2026 г.DPFLTEEHomomorphic EncryptionSMPCclean rooms

Privacy Enhancing Technologies (PET) для MLSec

Версия: 2.0 · Обновлено: 2026-04-23 · Теги: DP, FL, TEE, Homomorphic Encryption, SMPC, clean rooms, SGX, TDX · Tier: 1-2

TL;DR. Differential Privacy (Opacus), Federated Learning (Flower, NVFlare), TEE (SGX, TDX, SEV-SNP), Homomorphic Encryption, SMPC, data clean rooms. В версии 2.0: интерактивный сценарий (выбор PET под use case) и расширенный гайд "С чего начать по вашей роли" (5 ролей: Data Privacy Engineer, ML Engineer, Platform, Юрист, Product Owner).

0. Содержание

  1. Differential Privacy (DP)
  2. Federated Learning (FL)
  3. Trusted Execution Environments (TEE) и confidential computing
  4. Homomorphic Encryption (HE)
  5. Secure Multi-Party Computation (SMPC)
  6. Data clean rooms
  7. Специфика РФ и ГОСТ-криптографии

PET это набор технологий, позволяющих обучать и использовать модели на чувствительных данных без раскрытия самих данных. Ни одна из них не является «серебряной пулей», но в комбинации они закрывают сценарии, на которые раньше отвечали только административным запретом.


1. Differential Privacy (DP)

1.1 Идея

При обучении модели в каждый градиентный шаг добавляется шум с контролируемой амплитудой. Математическая гарантия: наличие или отсутствие конкретного примера в обучающей выборке не меняет вероятность результата больше чем на exp(epsilon).

Epsilon (privacy budget) это параметр: меньше epsilon = сильнее приватность, но хуже качество модели. На практике в ML используется epsilon от 1 до 10 для полезных моделей.

1.2 Когда применять

  • Обучение на наборах с ПДн, когда нельзя гарантировать отсутствие утечки через модель
  • Модели, подверженные membership inference или model inversion
  • Модели, где есть требование регуляторов или клиентов по доказуемой приватности
  • Federated learning как добавочный слой защиты

1.3 Инструменты

Библиотека Фреймворк Лицензия Комментарий
Opacus PyTorch Apache 2.0 От Meta, продакшн-готовый
TensorFlow Privacy TF Apache 2.0 От Google
PyTorch-DP PyTorch Apache 2.0 Исторический, теперь часть Opacus
diffprivlib Sklearn-like MIT Для классических ML-моделей
Google DP C++/Python Apache 2.0 Библиотека для агрегированных запросов

1.4 Практическое применение

Минимальный пример Opacus (концептуально):

from opacus import PrivacyEngine

privacy_engine = PrivacyEngine()
model, optimizer, train_loader = privacy_engine.make_private(
    module=model,
    optimizer=optimizer,
    data_loader=train_loader,
    noise_multiplier=1.1,
    max_grad_norm=1.0,
)

# Обучение обычное, но с DP-гарантиями
# В конце:
epsilon = privacy_engine.get_epsilon(delta=1e-5)
print(f"(ε = {epsilon}, δ = 1e-5)")

Ключевые параметры: noise_multiplier, max_grad_norm, lot_size.

Калькулятор: noise_multiplier vs accuracy/privacy в DP-SGD

{
  "id": "ch17-dp-noise",
  "title": "DP-SGD: настройка noise_multiplier (σ)",
  "description": "Покрутите ползунок σ (noise multiplier в Opacus). Цифры — для CV-классификации (CIFAR-10) с DP-SGD, max_grad_norm=1.0, batch=256, 50 эпох. Эмпирика по Abadi et al. 2016 + DP-FTRL/DP-MF 2024.",
  "min": 0.5,
  "max": 4,
  "step": 0.05,
  "default": 1.1,
  "unit": " σ",
  "axisLabel": "noise_multiplier (σ)",
  "tracks": [
    { "label": "Resulting privacy budget ε (для δ=1e-5)", "compute": "Math.max(0.3, 14 / (x * x))", "format": "fixed2", "tone": "ok", "hint": "Чем больше σ — тем меньше ε (строже privacy). На σ=1.1 типично ε≈11; σ=2 — ε≈3; σ=3 — ε≈1.5." },
    { "label": "Test accuracy (% от non-DP baseline)", "compute": "Math.max(50, 95 - 12 * Math.log(x))", "format": "%", "tone": "warn", "hint": "Cost of privacy: больше шума → ниже accuracy. На σ=1.1 теряется ~1 п.п.; σ=2 — ~8 п.п.; σ=3 — ~13 п.п." },
    { "label": "MIA AUC атакующего (чем ниже — лучше)", "compute": "Math.max(0.5, 0.65 - 0.05 * x)", "format": "fixed2", "tone": "info", "hint": "Membership Inference: AUC=0.5 — perfect privacy, AUC=0.65 — атакующий уверенно различает train/test." },
    { "label": "Compliance score (152-ФЗ + EU AI Act)", "compute": "x >= 1.5 ? 100 : (x >= 1 ? 70 : (x >= 0.7 ? 35 : 10))", "format": "%", "tone": "ok", "hint": "Industry-recognised level: σ ≥ 1.5 (ε ≤ 3) для медицины/биометрии; σ ≥ 1.0 (ε ≤ 10) для повседневного DP." }
  ],
  "regions": [
    { "from": 0.5, "to": 1, "label": "Слабая защита — ε > 14, формально DP, но MIA AUC высокий", "tone": "err" },
    { "from": 1, "to": 1.5, "label": "Industry baseline — типичная стартовая точка (Opacus default = 1.1)", "tone": "warn" },
    { "from": 1.5, "to": 2.5, "label": "Strong DP — для медицины / биометрии / Tier-1", "tone": "ok" },
    { "from": 2.5, "to": 4, "label": "Очень строгий — accuracy сильно страдает; для academic/research scenarios", "tone": "info" }
  ]
}

1.5 Ограничения

  • Снижение качества модели (обычно 2-10% accuracy drop)
  • Требует больше данных для того же качества
  • Tuning сложнее (epsilon budget нужно заранее планировать)
  • Для sequence моделей (LLM) DP обучение требует специфических техник

1.6 Чеклист

  • Проведена оценка риска: оправдано ли DP для этой модели
  • Выбран epsilon с обоснованием (часто 1-3 для ПДн, 3-10 для менее чувствительных)
  • Настроен clipping (max_grad_norm) и noise
  • Проверена просадка качества на validation
  • Документирован privacy guarantee в model card

Конструктор PET-стратегии под ваш ML-проект

Включайте PETs которые планируете внедрить. Конструктор покажет, какие угрозы покрыты, какие — нет, и реалистичность сочетания.

{
  "id": "ch17-pet-strategy",
  "title": "PET-стратегия проекта",
  "description": "Каждый toggle — конкретная PET. Цель — закрыть выбранные threats без over-engineering. Некоторые PETs накладывают нелинейный operational cost (HE/SMPC), используйте их только когда необходимы.",
  "scoreLabel": "PET coverage",
  "scoreMax": 100,
  "groups": [
    {
      "name": "Training privacy",
      "items": [
        { "id": "dp-sgd", "label": "DP-SGD (Opacus / TF Privacy) — ε ≤ 3", "weight": 12, "recommended": true, "description": "Защита от MIA + model inversion на training data. Базовая PET для обучения на ПДн." },
        { "id": "dp-fl", "label": "DP в Federated Learning (per-client + secure aggregation)", "weight": 8, "description": "Если данные распределены, FL + DP — стандартная связка." },
        { "id": "synthetic-data", "label": "Synthetic data (CTGAN / Synthea / Mostly AI) для public datasets", "weight": 5, "description": "Альтернатива DP — генерация synthetic с DP-гарантиями." }
      ]
    },
    {
      "name": "Federated training",
      "items": [
        { "id": "fl-flower", "label": "FL platform (Flower / NVIDIA FLARE / TFF)", "weight": 8, "description": "Для распределённого обучения по филиалам / устройствам." },
        { "id": "secure-agg", "label": "Secure Aggregation (Bonawitz 2017)", "weight": 6, "recommended": true, "description": "Криптографическая защита от inspection updates сервером. Обязательно с FL." },
        { "id": "fl-byzantine", "label": "Byzantine-robust aggregation (FLTrust / FLAME)", "weight": 5, "description": "Защита от malicious clients (model poisoning через FL)." }
      ]
    },
    {
      "name": "Inference privacy",
      "items": [
        { "id": "tee-cpu", "label": "TEE для CPU inference (Intel TDX / AMD SEV-SNP)", "weight": 8, "description": "Confidential computing для классических ML-моделей в cloud." },
        { "id": "tee-gpu", "label": "TEE для GPU (NVIDIA H100 Confidential Compute)", "weight": 8, "description": "Для LLM / CV inference в cloud с гарантиями integrity." },
        { "id": "he-batch", "label": "HE для batch processing (PALISADE / Concrete-ML)", "weight": 4, "description": "Только для критичных batch use cases — high latency." }
      ]
    },
    {
      "name": "Multi-party computation",
      "items": [
        { "id": "smpc-2pc", "label": "Secure 2PC (Garbled Circuits / EMP-toolkit)", "weight": 5, "description": "Для двусторонней private computation (PSI, joint scoring)." },
        { "id": "smpc-multi", "label": "Multi-party SMPC (MP-SPDZ / Sharemind)", "weight": 4, "description": "Для consortium 3+ организаций." },
        { "id": "clean-room", "label": "Data Clean Room (Snowflake / AWS / Yandex)", "weight": 5, "description": "Для аналитики без physical data movement." }
      ]
    },
    {
      "name": "Compliance + governance",
      "items": [
        { "id": "privacy-budget", "label": "Privacy budget tracking (per-dataset, per-quarter)", "weight": 5, "default": true, "description": "Document ε для каждой задачи; учитывайте composition." },
        { "id": "model-card-privacy", "label": "Privacy section в Model Card", "weight": 3, "default": true, "description": "Privacy guarantees в model documentation." },
        { "id": "dpia", "label": "DPIA / FRIA проведён до старта", "weight": 6, "default": true, "recommended": true, "description": "Required for high-risk систем; формализованная оценка." }
      ]
    }
  ],
  "rules": [
    { "id": "must-pii-protection", "type": "require-any", "items": ["dp-sgd", "dp-fl", "synthetic-data"], "message": "Без какой-либо training privacy техники модели обучены на ПДн открыты к MIA / inversion. Минимум: DP-SGD." },
    { "id": "fl-needs-secure-agg", "type": "require-all", "items": ["secure-agg"], "message": "FL без secure aggregation — server видит updates каждого клиента. Defeats purpose of FL." },
    { "id": "must-dpia", "type": "require-all", "items": ["dpia"], "message": "Без DPIA выбор PET остаётся guesswork. Начните с risk assessment." },
    { "id": "min-coverage", "type": "min-score", "threshold": 50, "message": "Coverage < 50% — недостаточно для медицины / биометрии / финансов с ПДн." }
  ],
  "thresholds": [
    { "from": 0, "to": 25, "label": "Без privacy — vulnerable к MIA / inversion / leak", "tone": "err" },
    { "from": 25, "to": 50, "label": "Базовая защита — закрывает основные threats", "tone": "warn" },
    { "from": 50, "to": 75, "label": "Зрелая PET-стратегия — для Tier-2/3 систем", "tone": "info" },
    { "from": 75, "to": 100, "label": "Industry-leading — full PET stack для медицины / финансов", "tone": "ok" }
  ]
}

Доступ по подписке#17-privacy-enhancing-tech

Дальше — практика и артефакты

Полная версия главы «Privacy Enhancing Technologies (PET) для MLSec» с готовыми артефактами, шаблонами, чек-листами и подробными процедурами доступна по подписке.

23% прочитано77% в подписке
Внутри:Шаблоны документовЧек-листыDetection-правилаCompliance артефакты
2код-блоков4таблиц16чек-пунктов3интерактивов
  • Полный доступ ко всем главам и обновлениям 30 дней
  • Готовые playbook'и, шаблоны и runbook'и под копирование
  • Поддержка автора — paywall не для заработка, а для развития справочника

Можно отменить в любой момент. Возврат средств в первые 7 дней без вопросов.

10. Связи с другими документами


11. Литература

  • Dwork, C., Roth, A. (2014). The Algorithmic Foundations of Differential Privacy
  • Abadi, M. et al. (2016). Deep Learning with Differential Privacy (Opacus paper)
  • McMahan, H.B. et al. (2017). Communication-Efficient Learning from Decentralized Data (FedAvg)
  • Bonawitz, K. et al. (2017). Practical Secure Aggregation for Privacy-Preserving Machine Learning
  • Brakerski-Gentry-Vaikuntanathan (BGV) FHE scheme
  • Cheon-Kim-Kim-Song (CKKS) FHE scheme
  • NIST SP 800-232 Differential Privacy recommendations (на март 2026 в стадии draft)
  • Приказ ФСБ 378 (требования к СКЗИ при обработке ПДн)

Интерактивный сценарий: выбор PET под use case

{
  "title": "Консорциум банков обучает антифрод-модель без обмена клиентскими данными",
  "steps": [
    {"title": "Проблема", "actor": "CISO консорциума", "action": "10 банков хотят объединить данные для улучшения антифрода, но 152-ФЗ и коммерческая тайна запрещают обмен raw данными.", "defense": "Не делать централизованное обучение. Поиск PET-решения."},
    {"title": "Выбор PET", "actor": "Архитектор", "action": "Анализ: FL подходит (данные остаются у каждого банка, отправляются только градиенты). DP добавляем поверх для защиты против gradient inversion.", "defense": "Матрица выбора: FL для no-transfer, DP для anti-memorization, TEE для integrity aggregator, SMPC для secure aggregation."},
    {"title": "FL + DP setup", "actor": "ML Engineers", "action": "NVFlare для FL-коммуникаций. Opacus для DP-gradient noise. Aggregator в TEE (SGX/TDX) для целостности.", "defense": "ε=1.0 budget для DP. Client-side clipping + noise. Secure aggregation через SMPC."},
    {"title": "Governance", "actor": "Compliance", "action": "DPA между банками. Регуляторные согласования (ЦБ, РКН). Attestation TEE для proof aggregator не видит raw gradients.", "defense": "DPIA с privacy budget analysis. Юридически: контракт на processor role."},
    {"title": "Pilot + Evaluation", "actor": "Консорциум", "action": "90-дневный пилот. Метрики: model quality (F1), privacy (ε spent), overhead (latency, compute cost).", "defense": "Сравнение с baseline (каждый банк обучает локально). Decision: scale или переосмысление."}
  ]
}
{"id": "ch17-q1", "question": "Два банка хотят объединить данные для антифрода без передачи raw PII. Что применимо?", "options": ["Только DP", "FL + DP + secure aggregation через SMPC или TEE (defense-in-depth)", "Только copy данных", "Ничего возможного нет"], "answer": 1, "explanation": "FL (данные не двигаются), DP (gradients не раскрывают records), secure aggregation (aggregator не видит individual gradients). Это triple защита, необходимая для регулируемой среды."}
{"id": "ch17-q2", "question": "Differential Privacy гарантирует:", "options": ["100% защита от всех атак", "Математическую гарантию, что output модели статистически неразличим при включении/исключении одного record (до budget ε)", "Скорость обучения", "Compliance с любым регулятором"], "answer": 1, "explanation": "DP — это формальная privacy definition. ε — budget: меньше ε = строже privacy, но хуже качество. Не заменяет другие контроли, но дополняет."}

С чего начать по вашей роли

Data Privacy Engineer

Горизонт Действия
День 1 Map PET к use cases: DP для training on sensitive data, FL для cross-org, TEE для sensitive inference.
Неделя 1 POC: Opacus DP-SGD на синтетических данных. Измерение trade-off ε vs quality.
Месяц 1 Privacy budget methodology. Team training. First production PET.

ML Engineer

Горизонт Действия
День 1 Опыт с PyTorch-DP (Opacus), Flower для FL. Понимание compute overhead.
Неделя 1 Benchmark: quality impact DP-training. Оптимизация batch size, clipping.
Месяц 1 Production DP-training pipeline с monitoring ε budget.

Platform

Горизонт Действия
День 1 TEE availability: Intel SGX/TDX, AMD SEV-SNP. Выбор поставщика (Azure Confidential, GCP CC, on-prem).
Неделя 1 Attestation pipeline для TEE. Remote attestation as service.
Месяц 1 Confidential workload для sensitive inference. Monitoring performance overhead.

Юрист

Горизонт Действия
День 1 PET как compensating control для DPIA. Документация privacy guarantees.
Неделя 1 Согласование с РКН: легитимное использование PET для обработки ПДн.
Месяц 1 Privacy policy update: transparency про PET-use.

Product Owner

Горизонт Действия
День 1 ROI: PET увеличивает compute на 2-10x. Business case должен оправдать.
Неделя 1 User-facing transparency: 'ваши данные не покидают устройство' (для on-device FL).
Месяц 1 A/B тест: quality impact, user trust metrics, regulatory readiness.

← 16. ML Attack Atlas: RAG, Multimodal, Fine-tuning · ↑ Индекс · 18. Российская специфика, deep dive →