You Can Use But Cannot Recognize: Preserving Visual Privacy in Deep Neural Networks

图像数据在各种场景中广泛用于深度神经网络（DNN）任务，例如自动驾驶和医学图像分析，这引起了显著的隐私问题。现有的隐私保护技术无法有效地保护这些数据。例如，差分隐私（DP）是一种新兴的技术，可以提供强大的隐私保证，但无法有效地保护暴露的图像数据集的视觉特征。在本文中，我们提出了一种新颖的隐私保护框架VisualMixer，通过像素混洗而不注入任何噪声，保护视觉DNN任务的训练数据。VisualMixer利用一种新的隐私度量标准Visual Feature Entropy（VFE）来有效地量化图像的视觉特征，从生物和机器视觉两个方面进行评估。在VisualMixer中，我们设计了一种任务无关的图像混淆方法，以保护DNN训练和推断的数据的视觉隐私。对于每个图像，它根据所需的VFE确定图像中像素混洗的区域和这些区域的大小。它在这些区域内在空间域和色度通道空间内混洗像素，而不注入噪声，从而可以防止视觉特征被识别和识别，同时几乎不会损失准确性。在真实世界的数据集上进行的大量实验表明，VisualMixer可以有效地保护视觉隐私，并且准确率损失很小，即平均模型准确率损失2.35个百分点，并且模型训练的性能几乎没有降低。

该论文旨在解决图像数据在深度神经网络任务中隐私保护的问题。现有的隐私保护技术无法有效地保护图像数据的视觉特征。

该论文提出了一种新的隐私保护框架VisualMixer，通过像素重排列来保护视觉DNN任务的训练数据，同时不注入任何噪声。VisualMixer利用新的隐私度量Visual Feature Entropy（VFE）来量化图像的视觉特征。

该论文设计了一种任务无关的图像混淆方法，以保护DNN训练和推理的视觉隐私。在不注入噪声的情况下，通过在图像中确定像素重排列的区域和大小，同时在空间域和色度通道空间中重排像素，以防止视觉特征被分辨和识别，同时几乎不会对模型准确性造成影响。实验结果表明，VisualMixer可以有效地保护视觉隐私，几乎不会对模型训练性能造成影响。

最近的相关研究包括：《Differentially Private Learning with Adaptive Clipping》、《Privacy-Preserving Deep Learning》等。