Dwork等[ 22)定义 ε-差分隐私作为随机函数。对于相邻数据Y₁和Y₂，函数κ is ( ε， δ)——不同的私有if

P(κ(Y₁)∈s]≤ε∙p [κ(y₂)∈s] + δ

在哪里 S∧Range(κ)。局部差分隐私是由数据所有者应用随机函数或扰动的特定情况，而不是由中央聚合器应用。

在应用局部差分隐私之前，所有变量都被归一化为-1到1之间的范围。首先，我们应用了有界拉普拉斯方法。由于传统的拉普拉斯分布产生无限边界，因此在应用于临床领域时存在一些局限性。例如，本应是正数的呼吸频率，在应用传统的拉普拉斯方法后可能变成负数，这是不合逻辑的。有两种方法可以克服这个问题:截断法和边界法[ 23]。我们专注于后者，以尽量减少数据操纵的可能性，因为医疗领域数据的变化可能对期望的输出产生相当大的影响。

我们使用Holohan等人提出的有界拉普拉斯函数[ 23]，假设输入变量在输出域中。鉴于 b> 0, W_问 ： Ω→ D，为每个 问∈ D我们定义了概率密度函数为:

在哪里

我们设置 δ= 0, l(下界)为-1， u(上界)为1，∆ 问2在我们的实验中进行了调整 ε来衡量隐私变化的影响。

因为我们应用了有界拉普拉斯方法以连续的方式将给定数据扰动到-1到1之间的范围，所以给定的输入有无限的可能性。许多医学领域的变量是分类的(顺序的或名义的)，比如医学手术史。因此，在应用有界拉普拉斯方法之后，对分类变量进行了额外的后处理。我们将给定数据的中间输出分布在伯努利分布上，类似于Yang等人提出的方法[ 17]。受干扰的数据 y∈(- C， C]被分成m个片段，其中m是原始输入变量的基数(一个正整数)。我们先平移范围[- C， C[0，] 米通过等分空间，结果是间隔。因此，对于给定的扰动数据y，可以得到:

计算k后，得到伯努利概率 p样本是这样的

也就是两个相邻可能性之间的距离。最后，对扰动数据进行离散化处理 y关于伯努利概率的 p这样

在哪里为伯努利分布函数。

我们使用模拟的(随机生成的)数据进行初始验证，以确保有界拉普拉斯方法按预期运行。为了模拟现实世界的使用，我们使用了eICU合作研究数据库[ 24]。首先，为了评估所提出的差分隐私算法对给定原始数据的有效干扰程度，我们在测量两个数据集之间的相似性时使用了分类变量的误分类率和连续变量的均方误差(MSE)。其次，为了评估差异隐私对数据集效用的不利影响，我们比较了使用急性生理和慢性健康评估(APACHE)预测重症监护病房入院后死亡率的准确性[ 25]在不同ε值下的评分变量。数据集包含插管、通气、透析、药物状态(基数:2)、眼睛(基数:4)、运动(基数:5)和语言状态(基数:6)作为分类变量。尿量，体温，呼吸频率，钠，心率，平均血压，pH值，红细胞压积，肌酐，白蛋白，氧压，一氧化碳₂血压、尿素氮、葡萄糖、胆红素和吸入氧分数(FiO)₂)值被认为是连续变量。数据集中最初有148,532例患者(行)，但在删除缺失值后，数据集中总共包含4740例患者(3597例存活，1143例死亡)。以下ML方法用于死亡率预测:决策树、k近邻、支持向量机、逻辑回归、naïve贝叶斯和随机森林。数据按80:20的比例分为训练集和测试集。所有预测均使用5倍交叉验证方法进行平均，scikit-learn [ 26库与Python编程语言一起使用。

我们创建了一个等间隔分布，范围在-1到1之间，并应用了有界拉普拉斯方法。与具有无限范围的传统拉普拉斯方法不同，有界方法的范围为-1到1。

在确认有界拉普拉斯方法按预期工作后，我们创建了范围从-1到1的合成连续数据，并应用了传统拉普拉斯方法和有界拉普拉斯方法 ε= 0.1, δ= 0 ( 图2A).原来的拉普拉斯方法有超出范围的事件，这在有界拉普拉斯方法中是不存在的。为了测试分类数据和后离散化处理，我们创建了一组100个从0到9的随机整数，然后将它们归一化为从-1到1的范围。原来的拉普拉斯方法有一些越界的地方。在分类数据中，有界拉普拉斯方法与连续数据一样，保持在数据范围内。然而，有些分类值最初并未出现在给定的数据中( 图2B)，这与出界条件类似。因此，进行了额外的后处理离散化，算法表明，离散化技术保证了分类数据中不存在不存在的值( 图2C)。

eICU合作研究数据库[ 24]进行验证。我们分别使用mse和误分类率作为连续变量和分类变量的度量，来计算原始数据和扰动数据之间的差异。由于原始数据中各值之间存在差异，在eICU数据中，连续变量的MSE变化很大。例如，pH值和白蛋白在不同的个体之间是相似的，而心率和葡萄糖则有很大的差异( 图3A).分类变量中，插管、通气、透析状态为0或1，机会水平为0.5。“眼睛”的取值范围是1到4，“语言”的取值范围是1到5，“运动”的取值范围是1到6。因此，在误分类率上存在差异，特别是当 ε很小( 图3B)。 ε增加后，连续变量和分类变量的所有扰动值都接近其原始值( 图3A和3B)。

模拟关于的数据实用程序 ε，我们使用eICU数据集构建了一个预测分类器来预测死亡率。值得注意的是，4,740例患者中有3,597例(75.9%)存活，生存率为76%。的较低值 ε造成严重的数据扰动，导致准确度接近机会水平。增加…的价值 ε提高了分类器的性能，并且性能收敛到使用原始数据获得的精度(如图中的虚线所示) 图4）.这种趋势在不同模型之间是一致的，随机森林模型表现最好。

在本研究中，我们开发并验证了一种用于医疗领域的局部差分隐私方法。我们使用有界拉普拉斯方法来克服越界问题。此外，我们对分类变量使用离散化后处理来处理扰动后不存在的分类变量。

在公开发布微数据时，采用了各种方法和指标。 k匿名( 7]是一个度量标准，要求每个聚类(或医疗数据中的一组人)至少具有 k这样的记录至少有 k- 1个无法区分的个体。然而，这种度量很容易通过链接攻击和背景知识的应用而被重新识别。 l-多样性的引入是为了克服这些限制;它要求每个包含敏感信息的等价块至少有 l适当表示的值。这种方法仍然容易受到偏度和相似性攻击[ 9]。 t亲密关系( 9通过要求等价类的距离小于来缓解这个问题 t(土方移动距离)敏感属性的分布与整体数据的分布之间的关系。然而，使用土方移动距离使得难以确定两者之间的接近程度 t以及获得的知识。此外，在这种方法中，敏感属性在等价类中的分布必须与整个数据集中的分布相似。

与这些隐私指标和方法相比， ε-差分私隐在保留资料结构的同时增加噪音，以防止原始资料外泄( 图2）.主要有两种不同的隐私模式:全局和本地。全局差异隐私要求数据库所有者信任在将数据发送给请求用户之前执行数据扰动的管理员。我们的实现，本地差异隐私，通过考虑不受信任的管理员，假设了最坏的情况。医疗数据集的泄漏可能会产生严重后果，因为此类数据集可能包含敏感信息，如疾病数据、病史和保险状态。因此，我们的方法通过不信任网络外的任何人来最小化数据泄漏的风险。

医学领域数据本质上是多维的和多模态的。 k-如果应用于高维数据，匿名可能会遭受严重的效用损失[ 27]。 ε-差分隐私在低的情况下也遭受了严重的效用损失 ε从预测死亡率的分类准确性较低( 图4）.尽管给定的数据集是多维的和多模态的，但调整的值 ε统一地影响所有变量，而不管它们的数据类型。

差异隐私通常在我们主要关注的数据效用和隐私之间有更强的权衡[ 28， 29]。变量间关于mse和误分类率有很大的差异 ε是低的( 图3）.作为 ε增加后，所有变量接近其实际值，以隐私为代价实现更好的效用;这一点从中所示预测的准确性可见一斑 图4。发布合成扰动数据时 ε-差分隐私，我们可以考虑提供 ε价值与数据一起。这些附加信息可以让用户了解数据扰动的程度。

根据结果，对于我们的数据集，我们可以启发式地选择 ε值在10之间^3.和10⁴并采用差分隐私方法，根据用户的请求发送被扰动的数据。的最优值 ε根据不同的数据集和实用需求而变化，选择此值超出了本研究的范围。

本研究的一个局限性是我们只将我们的算法应用于合成数据，并且我们只在一个数据集上验证了算法。然而，也有可能直接使用其他数据集，因为我们在算法中使用了相对较少的先验数据知识。此外，我们排除了数据库中包含空值的行。由于医疗数据是高维和稀疏的，未来的研究应该针对空值进行。数据集的分布影响归一化和扰动过程。最好与每个研究所共享分布，例如每个列的最小值和最大值。该模型将从扰动数据中发展，这可能不如基于原始数据的模型准确。最优的ε值决定了扰动的程度，应设置适用于该算法。在本研究中，ε值在10^3.和10⁴似乎在启发式上是合适的;这取决于所使用的数据或模型。

我们将局部差分隐私应用到医疗领域数据中，该领域数据具有多样性和高维性。应用有界拉普拉斯噪声与离散化后处理，确保没有越界的数据存在。更高的噪音可能会增强隐私，但同时也阻碍了实用性。因此，为数据扰动选择适当程度的噪声需要在隐私和效用之间进行权衡，应该根据具体情况选择这些参数。