DP-GTR: Differentially Private Prompt Protection via Group Text Rewriting

📄 arXiv: 2503.04990v2 📥 PDF

作者: Mingchen Li, Heng Fan, Song Fu, Junhua Ding, Yunhe Feng

分类: cs.CL

发布日期: 2025-03-06 (更新: 2025-09-19)

备注: 9 pages, 3 figures, 5 tables

期刊: Findings of the Association for Computational Linguistics: EMNLP 2025

DOI: 10.18653/v1/2025.findings-emnlp.83

💡 一句话要点

DP-GTR:通过分组文本重写实现差分隐私提示保护

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 差分隐私 大型语言模型 提示工程 文本重写 隐私保护 上下文学习 分组文本重写

📋 核心要点

  1. 现有LLM提示隐私保护方法主要关注文档级别重写,忽略了文本的多粒度表示,限制了LLM的泛化能力。
  2. DP-GTR框架通过分组文本重写,结合局部差分隐私和组合定理,同时利用文档和词级别信息,提升隐私保护。
  3. 实验结果表明,DP-GTR在CommonSense QA和DocVQA任务上,实现了优于现有方法的隐私-效用权衡。

📝 摘要(中文)

由于提示中经常包含敏感信息,提示隐私至关重要,尤其是在使用在线大型语言模型(LLM)时。虽然LLM可以通过文本重写来增强提示隐私,但现有方法主要集中在文档级别的重写,忽略了文本丰富的多粒度表示。这种限制使得LLM的利用局限于特定任务,忽略了它们的泛化和上下文学习能力,从而阻碍了实际应用。为了解决这个差距,我们引入了DP-GTR,这是一个新颖的三阶段框架,它利用局部差分隐私(DP)和通过分组文本重写的组合定理。DP-GTR是第一个集成文档级别和单词级别信息,同时利用上下文学习来同时提高隐私和效用的框架,有效地弥合了单个数据点级别的局部和全局DP机制。在CommonSense QA和DocVQA上的实验表明,DP-GTR优于现有方法,实现了卓越的隐私-效用权衡。此外,我们的框架与现有的重写技术兼容,可以作为插件来增强隐私保护。我们的代码已在github.com/ResponsibleAILab/DP-GTR上公开。

🔬 方法详解

问题定义:论文旨在解决在使用大型语言模型时,由于prompt中包含敏感信息而导致的隐私泄露问题。现有方法主要关注文档级别的重写,忽略了文本的多粒度表示,导致LLM的应用受限,无法充分发挥其泛化和上下文学习能力。

核心思路:论文的核心思路是通过分组文本重写,结合局部差分隐私(Local Differential Privacy, LDP)和组合定理,在保护用户隐私的同时,尽可能保留prompt的语义信息,从而保证LLM的可用性。通过同时考虑文档级别和词级别的重写,可以更精细地控制隐私泄露的风险。

技术框架:DP-GTR框架包含三个主要阶段:1) 分组:将prompt文本进行分组,例如按照句子或短语进行划分。2) 重写:对每个分组应用局部差分隐私机制进行文本重写,例如通过添加噪声或替换词语来模糊敏感信息。3) 组合:利用组合定理,将各个分组的隐私保护效果进行累加,从而保证整体的隐私保护水平。同时,利用上下文学习来提升重写后prompt的可用性。

关键创新:DP-GTR的关键创新在于:1) 首次将局部差分隐私应用于LLM的prompt保护,并结合分组文本重写,实现了更精细的隐私控制。2) 同时考虑了文档级别和词级别的重写,充分利用了文本的多粒度表示。3) 利用上下文学习来提升重写后prompt的可用性,实现了更好的隐私-效用权衡。

关键设计:DP-GTR的关键设计包括:1) 分组策略的选择,例如句子、短语或自定义分组。2) 局部差分隐私机制的选择,例如添加拉普拉斯噪声或使用随机响应。3) 组合定理的应用,例如使用高级组合定理来优化隐私预算。4) 上下文学习策略的设计,例如使用少量示例来引导LLM理解重写后的prompt。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,DP-GTR在CommonSense QA和DocVQA任务上,相较于现有方法,实现了更好的隐私-效用权衡。具体而言,在相同的隐私保护水平下,DP-GTR的性能指标(例如准确率)显著优于其他基线方法。此外,DP-GTR可以作为插件集成到现有的文本重写技术中,进一步提升隐私保护效果。

🎯 应用场景

DP-GTR可应用于各种需要保护用户隐私的LLM应用场景,例如医疗诊断、金融风控、法律咨询等。通过该框架,用户可以在使用LLM的同时,有效保护其敏感信息,避免隐私泄露的风险。该研究有助于推动LLM在隐私敏感领域的应用,促进人工智能技术的可信发展。

📄 摘要(原文)

Prompt privacy is crucial, especially when using online large language models (LLMs), due to the sensitive information often contained within prompts. While LLMs can enhance prompt privacy through text rewriting, existing methods primarily focus on document-level rewriting, neglecting the rich, multi-granular representations of text. This limitation restricts LLM utilization to specific tasks, overlooking their generalization and in-context learning capabilities, thus hindering practical application. To address this gap, we introduce DP-GTR, a novel three-stage framework that leverages local differential privacy (DP) and the composition theorem via group text rewriting. DP-GTR is the first framework to integrate both document-level and word-level information while exploiting in-context learning to simultaneously improve privacy and utility, effectively bridging local and global DP mechanisms at the individual data point level. Experiments on CommonSense QA and DocVQA demonstrate that DP-GTR outperforms existing approaches, achieving a superior privacy-utility trade-off. Furthermore, our framework is compatible with existing rewriting techniques, serving as a plug-in to enhance privacy protection. Our code is publicly available at github.com/ResponsibleAILab/DP-GTR.