Privacy Considerations for LLMs and Other AI Models (Frontiers in Communications and Networks, 2025)

核心問題與動機

論文的核心問題在於：當前 AI 系統（特別是大型語言模型 LLM）缺乏一個系統性、易於理解的隱私保護框架，導致隱私保護措施常出現誤判與不當實施。傳統資料系統已有成熟的隱私治理框架（如 DAMA DMBOK），但 AI 系統因訓練、部署與推論流程的特殊性，隱私風險更為複雜且跨領域，容易造成開發者、部署者與隱私專業人員的認知落差。

主要動機包括：

• 橋接資料隱私與 AI 領域：將資料專業人士熟悉的「輸入隱私（Input Privacy）」與「輸出隱私（Output Privacy）」框架應用到 AI 系統，建立平行對照，促進跨領域溝通。
• 解決實務痛點：AI 訓練常需大量資料，雲端部署、持續學習（user prompts）、RAG（Retrieval Augmented Generation）等情境增加隱私外洩風險；同時，模型記憶效應（memorization）可能導致訓練資料外洩。
• 實務導向：幫助開發者與部署者在系統設計階段即考量隱私（Privacy by Design），降低誤用 PETs（Privacy Enhancing Technologies）的風險，並提供可操作的威脅模型與緩解策略。
• 更廣泛脈絡：回應社會對 AI 隱私的關注（如資料刮取、推論攻擊），並借鏡聯合國 PET Lab 等實務經驗。

論文強調，沒有框架容易導致「保護措施錯置」——例如過度依賴複雜 PETs 而忽略更有效的傳統方法，或忽略模型推論階段的輸出風險。

結果 / 成果

論文的主要成果是提出並適配「輸入與輸出隱私框架」到 AI 系統，提供清晰的系統視角：

1. 框架適配與平行對照

• 資料系統：
  輸入隱私（資料攝取/協作計算階段，使用同態加密、聯邦學習等）；
  輸出隱私（資料服務階段，使用去識別化、差分隱私、合成資料）。

• AI 系統：
  輸入隱私對應模型訓練/微調階段（防止開發者與模型學習 PII）；
  輸出隱私對應模型推論階段（防止輸出洩露學到的 PII）。

• 關鍵差異：AI 模型訓練後可與原始資料分離，使用者僅接觸模型與輸出，降低直接資料存取風險，但引入模型記憶與推論攻擊新風險。

2. 威脅模型與緩解表格（Table 1）

• 模型訓練/微調：輸入 PII、資料中毒、未授權存取 → 輸入隱私（去識別化、合成資料、同態加密、聯邦學習、稽核）。
• 模型推論：輸出學到的 PII、成員推論攻擊（Membership Inference）、屬性推論攻擊（Attribute Inference）→ 輸出隱私（PII 抑制、輸出加噪、查詢限制、監控、分層存取）。
• 持續訓練：使用者提示導致的輸入 PII 與中毒 → 輸入過濾與監控。
• RAG：外部知識庫的輸入風險 → 類似訓練階段保護。

3. 具體考量

• 輸入隱私：傳統去識別化與合成資料往往比複雜 PETs 更實用且效能影響較小；需處理使用者提示洩漏與中毒攻擊（e.g., PoisonPrompt）。
• 輸出隱私：即使輸入保護完善，仍需防範模型記憶導致逐字重現訓練資料，或推論攻擊揭示成員資格。

論文提供高層工作流程圖（Figure 1），清楚標示資料系統到 AI 系統的隱私保護點，具高度可視化與專案應用價值。

分析與洞見

多角度分析：

• 相似性與差異：AI 本質上是基於資料系統的「推論引擎」，故傳統資料隱私原則高度適用。但 AI 的「黑箱」與泛化能力帶來新挑戰——模型可能從非直接 PII 推斷敏感屬性，且大型模型更容易記憶訓練資料。

• PETs 的務實評估：同態加密、Secure MPC、聯邦學習雖理論強大，但效能代價高（e.g., Zama 基準測試顯示明顯延遲），且無法完全解決中毒或推論攻擊。
  論文洞見：混合方法更佳——先用去識別化/合成資料處理輸入，再輔以政策與稽核。

• 邊緣案例與相關考量：

  • 持續學習與 RAG：使用者輸入或外部檢索可能引入新 PII，需即時過濾與監控。
  • 雲端部署：資料控制器將資料送至外部訓練時，輸入隱私尤為關鍵。
  • 攻擊向量：不僅 memorization，還有 membership/attribute inference，即使模型未直接輸出 PII，也可能洩露「某人是否在訓練集」。
  • 效能 vs. 隱私權衡：合成資料有時可提升模型效能；過度保護可能降低實用性。
  • 組織實務：開發者更熟悉傳統控制（如稽核、存取限制），應優先利用既有經驗，而非強推先進 PETs。

• 更廣影響：框架促進「資料隱私專家」與「AI 工程師」的語言統一，降低實施錯誤風險；對開源模型、企業內部部署、公共服務 AI 皆有指導意義。同時提醒，單靠技術不足，需搭配政策、監控與制裁。

潛在限制：論文為 Perspective 文章，較偏概念框架與考量，而非全新實證研究或量化評估。未來可擴展到特定領域（如醫療、金融）或多方協作情境。

結論

論文結論強調，輸入與輸出隱私框架為 AI 系統提供一個實用、系統性的隱私保護藍圖，幫助開發者與部署者在訓練、部署與推論各階段精準定位風險並選擇適當措施。它不僅能降低隱私外洩風險，還促進跨領域合作與標準化語言，最終實現更負責任的 AI 開發。

文章連結：
https://www.frontiersin.org/journals/communications-and-networks/articles/10.3389/frcmn.2025.1600750/full