生成模型在轨迹生成中的隐私评估

# 轨迹生成生成模型的隐私评估 ††thanks: 本工作得到了欧盟“地平线欧洲”框架计划（HORIZON）下玛丽·斯克沃多夫斯卡-居里行动（MSCA）项目 MUSIT 的支持，资助协议编号 101182585。本文仅代表作者观点；欧盟机构不对其中所含信息的任何使用负责。
来源：https://arxiv.org/html/2605.15246
Stavros Bouras1, Ioannis Kontopoulos1, Chiara Pugliese3, Francesco Lettich2, Emanuele Carlini2, Hanna Kavalionak2, Chiara Renso2, Konstantinos Tserpes1

###### 摘要

轨迹数据是现代城市智能化的基础数据，但其敏感性引发了重大的隐私关切。生成对抗网络、变分自编码器和扩散模型等生成模型通过捕获底层的时空分布和移动模式，已被用于生成逼真的合成轨迹数据。尽管这些模型常因其生成性质而被认为能保护隐私，但这一假设并不一定成立。在本工作中，我们研究了生成式轨迹建模与隐私评估的交汇点。通过识别适用于评估轨迹生成任务中隐私保护程度的经验性方法，我们揭示了当前生成式轨迹模型在隐私评估方面存在的显著空白。受此空白驱动，我们对代表性模型实施了成员推断攻击，展示了使用此类经验性隐私评估方法的可行性，并表明其生成性质并未消除隐私风险。

## I 引言

定位设备的广泛普及使轨迹数据成为城市应用（如交通管理和路线规划）的宝贵资源。同时，轨迹数据也非常敏感，仅需四个时空点即可唯一识别95%的个人[11 (https://arxiv.org/html/2605.15246#bib.bib9)]。为了解决这一局限，深度生成模型在合成轨迹生成中的应用迅速增加[9 (https://arxiv.org/html/2605.15246#bib.bib49)]。使用深度学习模型有助于捕获复杂的时空依赖关系，并使我们能够避免共享真实数据，从而保护用户隐私。然而，这一假设并不确定，因为已知生成模型会记忆其训练数据的某些方面[7 (https://arxiv.org/html/2605.15246#bib.bib6)]，导致其输出与原始训练记录相似甚至还原，使个体容易受到推断攻击，如文献[4 (https://arxiv.org/html/2605.15246#bib.bib24)]所示。这凸显了对生成式轨迹模型进行经验性隐私评估的必要性，以便从多个角度进行综合评估，确保生成的合成数据不会泄露其来源个体的隐私。

在本文中，我们旨在对合成轨迹生成中的隐私进行系统研究，特别关注如何在实践中评估隐私风险，通过介绍轨迹生成与隐私交叉领域所需的背景知识，涵盖基本概念、威胁模型和正式隐私保证。

我们的贡献有三点。第一，我们识别并分类了适用于轨迹生成领域的经验性隐私评估方法（第II-B节 (https://arxiv.org/html/2605.15246#S2.SS2)）。第二，我们考察了具有代表性的生成模型，涵盖变分自编码器、生成对抗网络和扩散模型，并将其系统地映射到所识别的评估方法，突显了当前实践中的显著空白（第III节 (https://arxiv.org/html/2605.15246#S3)）。第三，我们展示了针对生成式轨迹模型的成员推断攻击的可行性，表明隐私风险是真实存在的，且经验性评估既必要又可行（第IV节 (https://arxiv.org/html/2605.15246#S4)）。

## II 预备知识

下面介绍轨迹及其生成的概念。

#### II-1 轨迹定义

形式上，轨迹被定义为一个时空点序列 \(S=\{x_1,x_2,\ldots,x_n\}\in\mathbb{R}^{N\times 2}\)，其中每个元素表示为一个元组 \((l_i,t_i)\)，\(l_i\) 表示空间位置，\(t_i\) 表示第 \(i\) 个点的时间戳[26 (https://arxiv.org/html/2605.15246#bib.bib48)]。

#### II-2 轨迹生成

轨迹生成定义为以下过程：给定一个轨迹数据集 \(\mathcal{D}=\{\tau_1,\tau_2,\ldots,\tau_N\}\) 和一组环境约束 \(\mathcal{C}\)，目标是合成一个新的轨迹集 \(\mathcal{D}'=\{\tau_1',\tau_2',\ldots,\tau_N'\}\)，使得生成的集合保留原始数据集的时空特性，即分布 \(P(\mathcal{D})\) 和 \(P(\mathcal{D}')\) 相似[9 (https://arxiv.org/html/2605.15246#bib.bib49)]。

用于生成合成轨迹的三种主要方法是变分自编码器（VAEs）、生成对抗网络（GANs）和扩散模型。VAEs[25 (https://arxiv.org/html/2605.15246#bib.bib2)]使用编码器-解码器架构，将输入数据映射到低维潜在空间，并从中生成新样本。GANs[18 (https://arxiv.org/html/2605.15246#bib.bib50)]使用两个相互竞争的网络——生成器产生合成样本，判别器试图区分真假——通过这种对抗过程学习数据分布。扩散模型[37 (https://arxiv.org/html/2605.15246#bib.bib3),19 (https://arxiv.org/html/2605.15246#bib.bib4),39 (https://arxiv.org/html/2605.15246#bib.bib51),38 (https://arxiv.org/html/2605.15246#bib.bib52)]是迭代生成模型，首先通过逐步添加噪声来破坏数据，然后通过学习逐步反向去噪过程恢复原始数据。

### II-A 隐私

机器学习模型在训练过程中倾向于记忆信息，这可能在生成过程中暴露敏感数据，带来隐私风险。[7 (https://arxiv.org/html/2605.15246#bib.bib6)]区分了三个相关但不同的概念：**过拟合**，指模型对训练数据学习过度而无法泛化；**过度训练**，指验证误差停止下降的具体时刻；**无意记忆**，定义为保留与学习任务无关且独立于过度训练的分布外训练数据，这始于训练早期，在验证损失最小时达到峰值。这些区分表明，一定程度的记忆是训练中固有且不可避免的部分，即使在没有过拟合或过度训练迹象的良好训练模型中也会发生。这种行为直接延伸至生成模型，训练期间的记忆可在生成过程中显现，并在合成数据应用中暴露敏感信息。

当合成生成的数据为轨迹时，会出现显著的隐私风险[22 (https://arxiv.org/html/2605.15246#bib.bib8)]，因为轨迹数据与其他模态根本不同。它受空间结构和移动模式约束，表现出强烈的时空连续性，并通过兴趣点携带语义含义，可能揭示敏感的个人属性。关键在于，匿名化的轨迹可以仅从4个时空点重新识别，足以唯一识别95%的个体[11 (https://arxiv.org/html/2605.15246#bib.bib9)]。此外，尽管生成模型产生的是合成样本，但生成的数据不能自动被认为是私有的[30 (https://arxiv.org/html/2605.15246#bib.bib10)]，因为当生成的样本与训练数据高度相似，或在训练过程中发生记忆现象时，隐私可能受到损害，使攻击者能够通过隐私攻击推断敏感信息。

#### II-A1 隐私攻击

在隐私攻击中，攻击者试图推断本不打算公开的信息[33 (https://arxiv.org/html/2605.15246#bib.bib11)]。这些信息可以包括目标机器学习模型训练数据的细节、数据的属性或模型本身的信息。如[33 (https://arxiv.org/html/2605.15246#bib.bib11)]所述，隐私攻击的分类包括以下几种攻击类型：

- **成员推断攻击（MIAs）**[35 (https://arxiv.org/html/2605.15246#bib.bib12)]，旨在确定某个特定数据样本是否属于机器学习模型的原始训练数据集。
- **重构攻击**，也称为**模型反转攻击**[16 (https://arxiv.org/html/2605.15246#bib.bib13),15 (https://arxiv.org/html/2605.15246#bib.bib14)]，试图完全或部分地重建训练样本，还可能恢复其对应的训练标签。
- **属性推断攻击**[3 (https://arxiv.org/html/2605.15246#bib.bib16)]，旨在推断既未明确表示为特征、也未直接与学习任务相关的数据集级属性。这些属性（例如人口统计特征）可能被暴露，因为模型会无意中学习到这些信息，即使是在泛化良好的模型中，因为这是学习过程中的固有副产品[7 (https://arxiv.org/html/2605.15246#bib.bib6),33 (https://arxiv.org/html/2605.15246#bib.bib11)]。
- **模型提取攻击**[40 (https://arxiv.org/html/2605.15246#bib.bib15)]，试图重建一个替代模型，使其高度复制目标模型的行为，要么匹配其任务精度，要么逼近其决策边界。

虽然上述分类描述了广泛的机器学习领域，但轨迹数据领域由于其时空特性引入了额外的领域特定隐私威胁。特别是，在[22 (https://arxiv.org/html/2605.15246#bib.bib8)]中，识别了轨迹特定的隐私攻击类型，区分了**链接攻击模型**和**概率攻击模型**。前者侧重于被推断的敏感数据类型，后者侧重于信息泄露的程度。**链接攻击**可进一步分为**记录链接**（试图推断个人身份，例如重识别）、**属性链接**（试图通过利用相似轨迹中的频繁出现来推断个人档案信息）、**表链接**（确定特定个体是否存在于数据集中，这一威胁与成员推断攻击密切相关）以及**组链接**（侧重于从轨迹数据中提取个体之间的社会关系）。

#### II-A2 正式隐私保证——差分隐私

现有的针对隐私攻击的防御措施不提供形式化保证，且局限于特定攻击场景，而非提供全面保护。

差分隐私（DP）[12 (https://arxiv.org/html/2605.15246#bib.bib23),13 (https://arxiv.org/html/2605.15246#bib.bib22)]是唯一提供此类保证的框架，确保任何单个记录对学习算法输出的贡献在形式上受到限制。形式上，DP定义如下：

一个随机机制 \(\mathcal{M}: \mathcal{D} \rightarrow \mathcal{S}\) 是 \((\varepsilon, \delta)\)-差分隐私的，如果对于任意两个最多相差一条记录的相邻数据集 \(D, D' \in \mathcal{D}\)，以及对于任意输出子集 \(S \subseteq \mathcal{S}\)：

\[
\Pr[\mathcal{M}(D) \in S] \leq e^{\varepsilon} \cdot \Pr[\mathcal{M}(D') \in S] + \delta
\tag{1}
\]

其中 \(\varepsilon > 0\) 是隐私预算，控制隐私保证的强度，\(\delta \geq 0\) 是失败概率。相邻数据集的定义是DP框架的核心，因为它决定了哪些记录的添加或移除不应显著改变机制输出。因此，该记录是接收框架隐私保护的数据单位。

在深度学习的背景下，DP通过**差分隐私随机梯度下降（DP-SGD）**[1 (https://arxiv.org/html/2605.15246#bib.bib31),31 (https://arxiv.org/html/2605.15246#bib.bib27)]实现，该算法在训练算法层面将DP框架融入训练过程。DP-SGD首先通过梯度裁剪限制单个训练样本的影响，然后向裁剪后的梯度添加校准的高斯噪声，同时一个隐私计算器跟踪累积的隐私预算 \(\varepsilon\)，以确保达到所需的隐私保证。

在**轨迹领域**，这个数据单位被称为**隐私单位（UoP）**[4 (https://arxiv.org/html/2605.15246#bib.bib24)]，并且需要谨慎选择，因为它引入了一个权衡：较大的UoP需要更多的模糊处理才能达到相同的隐私水平，从而增加效用损失；而较小的UoP意味着保护更小的信息单位，导致相关攻击[29 (https://arxiv.org/html/2605.15246#bib.bib25)]或重构攻击[5 (https://arxiv.org/html/2605.15246#bib.bib26)]的风险增加。在[4 (https://arxiv.org/html/2605.15246#bib.bib24)]中，识别了四个UoP层级，每个层级代表DP机制中相邻数据集的不同定义：

- **用户级**，其中 \(D'\) 与 \(D\) 相差删除与特定用户关联的所有轨迹，提供最高级别的理论保护，但代价是显著的效用权衡。
- **实例级**，也称为**轨迹级**，其中 \(D'\) 相差一条完整轨迹，因此保护轨迹作为整体，阻碍了许多攻击所依赖的轨迹内相关性的利用。这是深度学习中最常见的隐私级别，因为DP-SGD为训练样本提供了这一级别的UoP。
- **位置级**，其中保护单位是轨迹内的单个位置，提供最弱的隐私保护。在此设置下，已提出了基于DP的轨迹发布[21 (https://arxiv.org/html/2605.15246#bib.bib28)]和合成生成[24 (https://arxiv.org/html/2605.15246#bib.bib29)]的工作。然而，保护级别并不能保证扩展到完整轨迹，因为独立保护每个位置仅在轨迹点数量较少时有效，且难以扩展到较长的轨迹[2 (https://arxiv.org/html/2605.15246#bib.bib30)]。因此，建议通过保护整个轨迹而非其单个位置来实现更好的隐私保护[2 (https://arxiv.org/html/2605.15246#bib.bib30)]。
- **多事件级**，介于实例级和位置级隐私之间，保护轨迹内多个位置的窗口。

最终，UoP的选择以及更一般地，在合成数据生成中引入DP，带来了隐私-效用权衡，因为更强的隐私保证会降低合成数据的效用。