Smooth Sensitivity for Geo-Privacy

假设每个用户 $i$ 在某个度量空间 $(U, \mathrm{dist})$ 中拥有一个私有值 $x_i$，且一个不受信任的数据分析师希望通过要求每个用户发送一个经过隐私化的 $f(x_i)$ 来计算某个函数 $f:U\rightarrow\mathbb{R}$ 的 $\sum_i f(x_i)$。这是隐私保护人口统计分析中的一个基本问题，而局部差分隐私 (LDP) 是研究该问题的主要模型。然而，LDP 要求任意两个不同的 $x_i, x'_i$ 都是 $\varepsilon$-可区分的，这对于几何/数值数据可能过于强了。另一方面，Geo-Privacy (GP) 规定可区分性水平与 $\mathrm{dist}(x_i, x_i')$ 成比例，为度量空间中个人数据隐私提供了一种有吸引力的替代概念。然而，现有的针对该问题的 GP 机制，无论是对 $x_i$ 还是对 $f(x_i)$ 添加均匀噪声，都不令人满意。在本文中，我们将平滑灵敏度框架从差分隐私推广到 Geo-Privacy，从而允许我们添加针对给定实例难度量身定制的噪声。我们提供了 GP 下通用度量平滑灵敏度的定义、机制和通用过程。然后，我们提出了三个应用：单向和双向阈值函数以及高斯核密度估计，以证明我们的平滑灵敏度框架的适用性和实用性。

本文探讨了在度量空间中使用Geo-Privacy模型进行个人数据隐私保护的问题。该模型要求不同的$x_i$和$x'_i$的可区分性与它们之间的距离成正比。然而，现有的GP机制并不理想。本文旨在通过将平滑灵敏度框架从差分隐私推广到Geo-Privacy，提供一种更好的个人数据隐私保护方案。

本文将平滑灵敏度框架从差分隐私推广到Geo-Privacy，提供了一个更好的个人数据隐私保护方案。该框架允许我们添加与给定实例的难度相适应的噪声。

本文提供了三个应用实例：单向和双向阈值函数，以及高斯核密度估计，以展示平滑灵敏度框架的适用性和实用性。此外，本文还提供了通用过程，用于计算带有通用度量的GP下的平滑灵敏度。实验结果表明，该方法比现有的机制在保护隐私的同时提供了更好的数据质量。

最近在该领域中，还有一些相关的研究，例如：《Geo-Indistinguishability: Differential Privacy for Location-Based Systems》、《Geo-Privacy with Pursuer Evasion》等。