STAMP: Selective Task-Aware Mechanism for Text Privacy

STAMP 是一种新的任务感知文本隐私框架，它通过结合任务重要性与隐私敏感度来动态分配隐私预算，并利用仅扰动嵌入方向而保留幅度的“极化机制”在 SQuAD、Yelp 和 AG News 等数据集上实现了更优的隐私与效用权衡。

要点

这篇论文介绍了一个名为 STAMP 的新系统，它的核心任务是：在保护用户隐私的同时，不让电脑（人工智能）“变傻”，依然能听懂你在说什么。

我们可以把这篇论文的核心思想想象成**“给一份机密文件做智能脱敏”**。

1. 背景：为什么我们需要 STAMP？

想象一下，你正在和一个远程的超级 AI 聊天，想让它帮你写个故事或者回答一个问题。但是，你的输入里可能藏着你的名字、身份证号，或者一些不想让别人知道的秘密。

• 传统方法（笨办法）： 以前的做法就像是一个**“无差别橡皮擦”**。为了安全，它把整段话里的每一个字都随机替换成别的字，或者加上一层厚厚的“噪音”迷雾。
  • 后果： 虽然隐私保护了，但文章变得语无伦次，AI 完全看不懂你在说什么，任务就失败了。这就好比为了不让别人知道你的生日，把整本书都撕碎了。
• STAMP 的方法（聪明办法）： STAMP 像是一个**“精明的特工”**。它知道哪些字是“关键情报”（比如你的名字、日期），必须严加保护；而哪些字是“无关紧要的废话”（比如“的”、“了”、“然后”），稍微改改没关系。

2. STAMP 是如何工作的？（两个核心绝招）

STAMP 通过两步走，实现了“该保的保，该留的留”。

绝招一：给单词“分等级”（选择性任务感知）

STAMP 不会对所有单词一视同仁。它会把输入的文字分成四个小组，就像给文件分类一样：

1. 高危且重要组： 既敏感（如名字）又对任务很重要（如问题里的关键词）。策略：给中等强度的保护，平衡隐私和任务。
2. 高危但无关组： 很敏感（如身份证号），但对当前任务没用。策略：给最强的保护，彻底模糊掉，反正 AI 也不需要它。
3. 低危但重要组： 不敏感，但对任务至关重要（如“谁发明了相对论”里的“爱因斯坦”）。策略：给最弱的保护，尽量保留原样，让 AI 能听懂。
4. 低危且无关组： 既不敏感也没用（如“今天天气不错”里的“不错”）。策略：随便改改，甚至加很多噪音。

比喻： 想象你在过安检。

• 如果是普通游客（无关紧要的词），安检员随便扫一眼就放行。
• 如果是重要人物（关键任务词），安检员会仔细检查，确保他安全通过。
• 如果是携带违禁品的人（敏感词），安检员会直接把他隔离在玻璃柜里，外面的人完全看不见，但也不影响其他人通行。

绝招二：只转方向，不改变大小（极化机制）

这是 STAMP 最技术性的创新，但我们可以用**“指南针”**来理解。

• 传统方法（加噪音）： 就像给指南针的指针加了一堆乱抖的力，指针不仅方向乱了，连长度都变了，最后根本指不准方向。
• STAMP 的极化机制： 它把每个词看作一个**“箭头”**。
  • 它只允许旋转箭头的方向（比如转个 10 度、20 度），模拟隐私保护。
  • 它严格保持箭头的长度不变。
  • 为什么这很重要？ 在 AI 的世界里，箭头的“长度”往往代表这个词有多重要或常见，而“方向”才代表它的意思。STAMP 只旋转方向，意味着它虽然把词“伪装”了一下，但语义的邻居关系还在。
  • 解码时： AI 接收到的虽然是一个旋转过的箭头，但它会寻找“哪个标准箭头的方向跟它最接近”，从而猜出原来的词是什么。

比喻： 就像你在一个巨大的球体上玩“指路游戏”。

• 传统方法是把球体表面涂满乱码，你根本不知道路在哪。
• STAMP 只是把路标稍微转了一个小角度，虽然看起来有点偏，但只要你顺着方向找，依然能准确找到目的地（原来的词）。

3. 实验结果：真的好用吗？

作者在三个不同的场景（问答、评论情感分析、新闻分类）里测试了 STAMP。

• 对比结果： 在同样的隐私保护力度下（比如大家都允许泄露 10% 的信息），STAMP 做出来的任务效果（准确率）远远高于传统方法。
• 直观感受： 传统方法在隐私保护稍微严格一点时，AI 就“变傻”了，回答全是胡话；而 STAMP 依然能给出准确的答案，同时把敏感信息藏得好好的。

4. 总结：STAMP 带来了什么？

STAMP 就像是一个**“智能隐私滤镜”**。

• 以前： 为了保护隐私，我们不得不牺牲智能，要么不说，要么乱说。
• 现在： STAMP 让我们可以**“有的放矢”**。它把隐私保护的“子弹”打在最需要保护的地方（敏感词），而把“清晰视野”留给最需要的地方（任务关键词）。

一句话概括： STAMP 让 AI 在保护你秘密的同时，依然能做一个聪明的助手，不再因为过度保护而变得“神志不清”。

技术摘要

STAMP 论文技术总结

1. 研究背景与问题定义

背景：
随着大型语言模型（LLM）的广泛应用，用户输入文本中往往包含敏感信息（如姓名、日期、标识符等）。在推理阶段，为了保护用户隐私，需要在将文本发送给远程模型之前进行本地化处理。传统的本地差分隐私（LDP）方法通常采用均匀预算分配（Uniform Budget Allocation），即对所有 Token 施加相同强度的噪声。

核心问题：
现有的文本私有化方法存在以下主要局限性：

1. 缺乏任务感知（Task-Agnostic）： 传统方法忽略了下游任务的需求。某些 Token 对任务至关重要（如问答中的关键实体），而另一些则无关紧要。均匀加噪会导致关键信息被破坏，降低任务效用。
2. 缺乏选择性（Non-Selective）： 隐私敏感度在不同 Token 间差异巨大。均匀分配预算会导致对不敏感 Token 过度保护（浪费预算），或对高敏感 Token 保护不足。
3. 几何失配（Geometric Mismatch）： 传统的各向同性噪声（如拉普拉斯噪声或高斯噪声）直接作用于嵌入空间，破坏了语义流形结构。由于词嵌入空间具有各向异性（某些方向代表语义，某些代表频率），均匀噪声容易扭曲语义关系，导致解码困难。

目标：
设计一种机制，能够根据 Token 的隐私敏感度和任务重要性动态分配隐私预算，并采用与语义解码几何结构对齐的扰动方式，以实现隐私保护与任务效用之间的最佳权衡。

---

2. 方法论：STAMP 框架

STAMP (Selective Task-Aware Mechanism for Privacy) 是一个创新的文本私有化框架，主要包含两个核心模块：选择性任务感知预算分配和极化扰动机制（Polar Mechanism）。

2.1 选择性任务感知预算分配 (Selective Task-Aware Budget Allocation)

STAMP 将 Token 划分为四个组别，基于两个正交维度：

1. 隐私敏感度 (Privacy Sensitivity)： 是否包含 PII（个人身份信息）、命名实体（人名、地点、组织）等。
2. 任务重要性 (Task Importance)： 该 Token 对当前下游任务（如问答、分类）的贡献度。这通过计算 Token 嵌入与任务/查询特定表示（Task/Query Representation）之间的余弦相似度来量化。

分组策略：
Token 被映射到四个组 $G_1, G_2, G_3, G_4$：

• $G_1$ (高敏感，高重要)： 关键且敏感（如“爱因斯坦”在回答相对论问题时）。需要平衡保护与效用。
• $G_2$ (高敏感，低重要)： 敏感但对当前任务无关（如“爱因斯坦”在回答“诺贝尔奖何时设立”时，或无关的姓名）。分配最小预算（最强保护），因为可以牺牲其信息以换取隐私。
• $G_3$ (低敏感，高重要)： 任务关键但不敏感。分配最大预算（最弱保护），以最大程度保留任务效用。
• $G_4$ (低敏感，低重要)： 普通停用词等。分配中等预算。

预算分配原则：
隐私预算 $\epsilon$ 与任务重要性正相关，与隐私敏感度负相关。实验采用比例分配：$\epsilon(G_1):\epsilon(G_2):\epsilon(G_3):\epsilon(G_4) = 2:1:4:3$。这种策略确保了噪声主要集中在“敏感但无用”的 Token 上，从而在保护隐私的同时最大化保留任务关键信息。

2.2 极化扰动机制 (Polar Mechanism)

为了在嵌入空间中保持语义邻域结构，STAMP 引入了极化机制，替代传统的各向同性噪声。

• 分解： 将 Token 嵌入向量 $e$ 分解为径向分量（模长 $r = \|e\|_2$）和角向分量（方向 $u = e/\|e\|_2$）。
• 扰动策略：
  • 模长不变： 丢弃原始模长信息（或保持模长恒定），因为解码主要依赖方向。
  • 方向扰动： 仅在单位球面上对方向向量 $u$ 添加噪声。使用 von Mises-Fisher (vMF) 分布进行扰动，该分布天然适用于球面数据。
• 解码： 采用余弦最近邻搜索（Cosine Nearest-Neighbor Search）将扰动后的向量映射回词汇表。
• 几何对齐： 由于扰动和解码都基于角度（余弦相似度），这种机制完美对齐了扰动几何与解码几何。相比各向同性噪声，它能更好地保持语义邻域，减少语义漂移。

理论保证：
STAMP 满足任务感知的度量局部差分隐私（Task-Aware Metric LDP）。对于同一组内的 Token，其隐私保护由该组的预算 $\epsilon^{(c)}$ 保证；不同组之间根据敏感度分配不同的预算，实现了细粒度的隐私控制。

---

3. 主要贡献

1. 任务感知的隐私分配框架： 首次提出将 Token 的隐私敏感度与任务重要性联合建模，通过动态预算分配解决“一刀切”导致的效用损失问题。
2. 几何对齐的极化机制： 提出了一种仅扰动嵌入方向、保持模长不变的私有化方法，配合余弦解码，显著优于传统的各向同性噪声（如拉普拉斯噪声）。
3. 形式化隐私保证： 在度量 LDP 框架下证明了 STAMP 的隐私性，并扩展到序列级隐私保证。
4. 实证验证： 在多个数据集和任务上验证了方法的有效性。

---

4. 实验结果

实验在三个数据集上进行：SQuAD（机器阅读理解）、Yelp（情感分析）、AG News（新闻分类）。

• Polar vs. Laplace (几何优势)：

  • 在相同的隐私预算下，Polar 机制（vMF）显著优于各向同性的 Laplace 机制。
  • 特别是在低预算区域，Laplace 机制的性能迅速下降至随机猜测水平，而 Polar 机制仍能保持较高的任务准确率/相似度。
  • 原因：Polar 机制保留了语义流形结构，而 Laplace 噪声破坏了嵌入空间的几何结构。

• STAMP vs. Uniform (分配策略优势)：

  • STAMP 框架在相同总预算下，显著优于均匀预算分配（Uniform）。
  • 在低到中等隐私预算下，STAMP 通过集中噪声在“敏感但低重要性”的 Token 上，保留了关键信息，任务效用（Accuracy/Cosine Similarity）提升明显。
  • 随着预算增加，STAMP 的性能逐渐逼近无隐私基线，而均匀分配方案始终存在较大的效用损失。

• 计算开销：

  • STAMP 的分组和预算分配步骤计算量极小（线性复杂度）。
  • Polar 机制的采样效率与高斯/拉普拉斯噪声相当。
  • 实测显示，STAMP-Polar 的推理延迟与均匀基线几乎相同（约 195ms/token vs 192ms/token）。

---

5. 意义与结论

技术意义：
STAMP 证明了在文本隐私保护中，“在哪里加噪”比“加多少噪”同样重要。通过结合任务上下文和隐私敏感度，可以打破隐私与效用之间的传统权衡困境。同时，极化机制展示了利用嵌入空间几何特性（方向 vs 模长）来设计更高效的 LDP 机制的潜力。

应用价值：
该方法适用于需要严格隐私保护的 LLM 推理场景，如医疗咨询、金融分析、法律文档处理等。它允许用户在不完全牺牲任务性能的前提下，安全地共享敏感文本数据。

局限性：

• 依赖高质量的任务表示和 PII 检测器（Oracle）。
• 目前主要基于 Token 级别的独立性假设，未充分考虑长距离依赖或复杂的句法结构。
• 高维嵌入的私有化仍需要相对较大的 $\epsilon$ 值才能维持高可用性。

总结：
STAMP 通过选择性分配和几何感知扰动，为文本隐私保护提供了一个新的范式，显著提升了本地差分隐私在 NLP 任务中的实用性。