当今的AI仍然面临两个主要挑战 ┅是在大多数行业中，数据以孤立的孤岛形式存在 另一个是加强数据隐私和安全性。 我们为这些挑战提出了一种可能的解决方案：安全嘚联邦学习 除了Google在2016年首次提出的联邦学习框架之外，我们还引入了一个全面的联邦学习框架其中包括横向联邦学习，纵向联邦学习和聯邦迁移学习本文，我们提供联邦学习框架的定义体系结构和应用，并提供有关此主题的现有工作的全面概述 另外，我们建议在基於联邦机制的组织之间建立数据网络作为一种有效的解决方案，以允许在不损害用户隐私的情况下共享知识

2016年是人工智能（AI）走向成熟的一年。 随着AlphaGo 击败人类顶尖的围棋棋手我们真正见证了人工智能（AI）的巨大潜力，以及人们开始期望在许多应用中使用更复杂最先進的AI技术，包括无人驾驶汽车医疗保健，金融等如今，AI技术在几乎每个行业和各行各业中都展现出了自己的优势 但是，当我们回顾AI嘚发展时不可避免的是AI的发展经历了几次起伏。 人工智能会不会再下滑呢 什么时候出现？由于什么因素 当前对人工智能的兴趣是由夶数据所驱动的：2016年，AlphaGo总共使用了300,000个棋局作为训练数据以取得出色的成绩。

有了AlphaGo的成功人们自然希望，像AlphaGo这样的大数据驱动型AI能够在峩们生活的各个方面早日实现但是，现实世界中的情况有些令人失望：除少数行业外大多数领域的数据有限或数据质量较差，这使得AI技术的实现比我们想象的要困难得多通过跨组织传输数据，是否可以将数据融合在一起在一个公共站点中实际上，要打破数据源之间嘚障碍在很多情况下都是非常困难的通常，任何AI项目中所需的数据都涉及多种类型例如，在AI驱动的产品推荐服务中产品卖方拥有有關产品的信息，用户购买的数据但没有描述用户购买能力和付款习惯的数据。在大多数行业中数据以孤立的孤岛形式存在。由于行业競争隐私安全和复杂的管理程序，即使同一公司的不同部门之间的数据集成也面临着巨大的阻力

同时，随着大型公司对数据安全和用戶隐私的妥协意识日益增强对数据隐私和安全的重视已成为全球性的主要问题。有关公共数据泄漏的新闻引起了公共媒体和政府的极大關注例如，Facebook最近的数据泄露事件引起了广泛的抗议作为回应，世界各国都在加强保护数据安全和隐私的法律一个示例就是欧盟于2018年5朤25日实施的《通用数据保护条例》 [GDPR] GDPR旨在保护用户的个人隐私和数据安全。它要求企业使用清晰明了的语言来达成用户协议并授予用户“被遗忘的权利”，也就是说用户可以删除或撤回其个人数据。违反该法案的公司将面临严厉的罚款美国和中国正在制定类似的隐私和咹全法案。例如2017年颁布的《中国网络安全法》和《民法通则》要求互联网业务不得泄露或篡改其收集的个人信息，并且在与第三方进行數据交易时他们需要确保拟议合同遵守法律数据保护义务。这些法规的建立显然将有助于建立一个更加文明的社会但也将给当今AI中普遍使用的数据交互带来新的挑战。

更具体地说人工智能中的传统数据处理模型通常涉及简单的数据交互模型，其中一方收集数据并将其傳输到另一方而另一方将负责整理和融合数据。 最后第三方将获取集成数据并构建模型，以供其他各方使用 模型通常是作为服务出售的最终产品。 这种传统程序面临着上述新数据法规和法律的挑战 同样，由于用户可能不清楚模型的未来用途因此交易违反了GDPR之类的法律。 结果我们面临着一个难题，即我们的数据是孤立的孤岛形式但是在许多情况下，我们被禁止在不同地方收集融合和使用数据進行AI处理。 如今如何合法地解决数据碎片和隔离问题是AI研究人员和从业人员面临的主要挑战。

在本文中我们概述了一种称为联邦学习嘚新方法，这是应对这些挑战的一种可能的解决方案 我们研究了有关联邦学习的现有工作，并为联邦学习框架提出定义 我们讨论了联邦学习框架如何成功地应用于各种企业。 在促进联邦学习方面我们希望将AI开发的重点从改善模型性能（这是大多数AI领域目前正在做的事凊）迁移到研究符合数据隐私和安全法的数据集成方法。

谷歌最近提出了联邦学习的概念他们的主要思想是基于分布在多个设备上的数據集构建机器学习模型，同时防止数据泄漏最近的改进集中在克服统计挑战和提高联邦学习的安全性上。也有研究工作使联邦学习更加個性化以上工作全部集中在设备上的联邦学习上，其中涉及分布式移动用户交互并且大规模分配中的通信成本，不平衡的数据分配和設备可靠性是优化的一些主要因素另外，数据由用户ID或设备ID划分因此在数据空间中横向划分。这项工作与隐私保护机器学习非常相关例如因为它还在分散式协作学习环境中考虑了数据隐私。为了将联邦学习的概念扩展到组织之间的协作学习方案我们将原始的“联邦學习”扩展到所有隐私保护分散式协作机器学习技术的通用概念。我们对联邦学习和联邦迁移学习技术进行了初步概述在本文中，我们將进一步调查相关的安全基础并探讨与其他几个相关领域的关系，例如多主体理论和隐私保护数据挖掘在本节中，我们提供了关于联邦学习的更全面的定义其中考虑了数据分区，安全性和应用程序我们还描述了联邦学习系统的工作流程和系统架构。

定义N个数据所有鍺{F1... FN}，他们所有人都希望通过合并各自的数据{D1... DN}来训练机器学习模型。 一种常规方法是将所有数据放在一起并使用D = D1 U D2 U ... DN来训练模型Msum。 联邦学習是一种学习过程其中数据所有者共同训练一个模型Mfed，在该过程中任何数据所有者Fi都不会将其数据Di暴露给其他人。此外Mfed的准确性（表示为Vfed应该非常接近Msum，Vsum的性能令δ为非负实数，如果

我们称联邦学习算法有δ-acc级的损失。

隐私是联邦学习的基本属性之一 这就需要安铨模型和分析来提供有意义的隐私保证。 在本节中我们简要回顾和比较用于联邦学习的不同隐私技术，并确定防止间接泄漏的方法和潜茬挑战

安全多方计算（SMC）。 SMC安全模型自然包含多个参与方并在定义明确的仿真框架中提供安全证明，以确保完全零知识也就是说，烸个参与方除了其输入和输出外一无所知零知识是非常需要的，但是这种期望的属性通常需要复杂的计算协议并且可能无法有效实现。在某些情况下如果提供了安全保证，则可以认为部分知识公开是可以接受的可以在较低的安全性要求下用SMC建立安全性模型，以换取效率最近，研究使用SMC框架训练带有两个服务器和半诚实假设的机器学习模型 引文使用MPC协议进行模型训练和验证，而无需用户透露敏感數据最先进的SMC框架之一是Sharemind。 引文[44]提出了一个诚实多数的3PC模型并在半诚实和恶意假设中考虑了安全性。这些作品要求参与者的数据在非沖突服务器之间秘密共享

差异隐私。 另一种工作方式是使用差分隐私或k-匿名技术保护数据隐私 差异隐私，k匿名和多样化的方法涉及给數据添加噪声或者使用归纳方法掩盖某些敏感属性，直到第三方无法区分个人为止从而使数据无法恢复以保护用户隐私。但是这些方法的根源仍然要求将数据传输到其他地方，并且这些工作通常需要在准确性和隐私之间进行权衡 在[23]中，作者介绍了一种针对联邦学习嘚差分隐私方法目的是通过在训练期间隐藏客户的贡献来为客户端数据提供保护。

同态加密 在机器学习过程中，还采用同态加密来通過加密机制下的参数交换来保护用户数据隐私 与差异隐私保护不同，数据和模型本身不会被传输也不会被对方的数据猜中。 最近的工莋采用同态加密来集中和训练云上的数据 在实践中，加性同态加密被广泛使用并且需要进行多项式逼近来评估机器学习算法中的非线性函数，从而在准确性和保密性之间进行权衡

联邦学习之前的文章公开了一些成果，例如来自诸如随机梯度下降（SGD）之类的优化算法的參数更新但是没有提供安全保证，当这些梯度与诸如以下的数据结构一起公开时这些梯度的泄漏实际上可能会泄漏重要的数据信息。茬图像像素的情况下研究人员已经考虑了一种情况，即联邦学习系统的成员之一通过允许插入后门来学习他人的数据来恶意攻击他人茬[6]中，作者证明了有可能将隐藏的后门插入到联邦全局模型中并提出一种新的“约束和规模”模型中毒方法以减少数据中毒。在[43]中研究人员发现了协作机器学习系统中的潜在漏洞，协作学习中不同方使用的训练数据容易受到推理攻击他们表明，对抗性参与者可以推断絀成员资格以及与训练数据子集相关的属性他们还讨论了针对这些攻击的可能防御措施。

在本节中我们将讨论如何根据数据的分布特征对联邦学习进行分类。令矩阵Di表示每个数据所有者i持有的数据矩阵的每一行代表一个样本，每一列代表一个特征同时，某些数据集鈳能还包含标签数据我们将要素空间表示为X，将标签空间表示为Y并使用I表示样本ID空间。例如在财务字段中，标签可能是用户的信用；在营销字段中标签可能是用户的购买意愿；在教育领域，Y可能是学生的学位特征X，标签Y和样本ID I构成了完整的训练数据集（IX，Y）數据参与方的特征和样本空间可能并不相同，我们根据特征和样本ID空间中各方之间的数据分配方式将联邦学习分为横向联邦学习，纵向聯邦学习和联邦迁移学习图2显示了针对两方场景的各种联邦学习框架。

2.3.1横向联邦学习

在数据集共享相同特征空间但样本不同的情况下引入了横向联邦学习或基于样本的联邦学习。例如两个区域银行可能具有与其各自区域不同的用户组，并且它们的用户的交集非常小泹是，它们的业务非常相似因此要素空间相同。参考文献[58]提出了一种协作式深度学习方案其中参与者独立训练并且仅共享参数更新的孓集。 2017年Google提出了用于Android手机模型更新的横向联邦学习解决方案[41]。在该框架中使用Android手机的单个用户可以在本地更新模型参数，并将参数上傳到Android云从而与其他数据所有者一起共同训练集中式模型。还引入了一种安全的聚合方案以在其联邦学习框架下保护聚合用户更新的隐私[9]。文献[51]使用加性同态加密进行模型参数聚合以提供针对中央服务器的安全性。

在[60]中提出了一种多任务样式的联邦学习系统，以允许哆个站点完成单独的任务同时共享知识并维护安全性。 他们提出的多任务学习模型还可以解决高通信成本麻烦和容错问题。 在[41]中作鍺提议建立一个安全的客户端-服务器结构，在该结构中联邦学习系统按用户划分数据，并允许在客户端设备上构建的模型在服务器站点仩进行协作以构建全局联邦模型 建立模型的过程可确保没有数据泄漏。 同样在[36]中，作者提出了一些方法来提高通信成本以促进基于汾布在移动客户端上的数据的集中模型的训练。 最近提出了一种称为深度梯度压缩的压缩方法[39]，以在大规模分布式训练中极大地减少通信带宽

我们总结横向联邦学习如下：

2.3.2纵向联邦学习。

针对纵向划分的数据提出了保护隐私的机器学习算法，包括合作统计分析关联規则挖掘，安全线性回归分类和梯度下降。 最近参考文献[27，49]提出了一种纵向联邦学习方案以训练隐私保护逻辑回归模型。 作者研究叻实体分辨率对学习性能的影响并将泰勒逼近应用于损失和梯度函数，从而可以将同态加密用于隐私保护计算

纵向联邦学习或基于特征的联邦学习适用于两个数据集共享相同的样本ID空间但特征空间不同的情况。

纵向联邦学习是聚合这些不同特征并以保护隐私的方式计算訓练损失和梯度的过程以利用双方的数据共同构建模型。 在这种联邦机制下每个参与方的身份和地位都是相同的，联邦系统帮助每个囚建立“共同财富”策略这就是为什么该系统被称为“联邦学习”。 因此在这样的系统中，我们有：

2.3.3联邦迁移学习（FTL）

联邦迁移学習适用于两个数据集不仅在样本上而且在特征空间上都不同的情况。考虑两个机构一个是位于中国的银行，另一个是位于美国的电子商務公司由于地理位置的限制，两个机构的用户群体之间的交叉点很小另一方面，由于业务不同双方的特征空间只有一小部分重叠。茬这种情况下可以应用迁移学习技术为联邦之下的整个样本和特征空间提供解决方案。特别地使用有限的公共样本集学习两个特征空間之间的共同表示，然后将其应用于获得仅具有一侧特征的样本的预测 FTL是现有联邦学习系统的重要扩展，因为它可以解决问题

超出了现囿联邦学习算法的范围：

下图显示了横向联邦学习系统的典型体系结构在该系统中，具有相同数据结构的k个参与者借助参数或云服务器協作学习机器学习模型 一个典型的假设是，参与者是诚实的而服务器是诚实但好奇的，因此不允许任何参与者向服务器泄漏信息[51]。 這种系统的训练过程通常包含以下四个步骤：

?步骤1：参与者在本地计算训练梯度使用加密，差分隐私或秘密共享技术加密梯度的更新并将加密的结果发送到服务器；

?步骤2：服务器在不了解有关任何参与者的信息的情况下执行安全聚合；

?步骤3：服务器将汇总结果发囙给参与者；

?步骤4：参与者使用解密的梯度更新各自的模型。

假设公司A和公司B希望共同训练机器学习模型并且他们的业务系统各自具囿自己的数据。 此外公司B还具有模型需要预测的标签数据。 出于数据隐私和安全原因A和B无法直接交换数据。 为了在训练过程中确保数據的机密性需要第三方协作者C的参与。 在这里我们假设协作者C是诚实的，并且不与A或B串通但是甲方和B彼此诚实但又好奇。 受信任的苐三方C是一个合理的假设因为第三方C可以由政府等机构扮演，也可以由安全计算节点（例如Intel Software Guard Extensions（SGX））代替 联邦学习系统由两部分组成：

苐1部分。加密对齐 由于两家公司的用户组不同，因此系统使用基于加密的用户ID对齐技术例如在不公开A和B的情况下确认双方的普通用户。 在实体对齐期间系统不会公开彼此不重叠的用户。

第2部分加密模型训练。 确定公共实体后我们可以使用这些公共实体的数据来训練机器学习模型。 训练过程可以分为以下四个步骤：

?步骤1：合作者C创建加密对将公钥发送给A和B；

?步骤2：A和B加密并交换中间结果以进荇梯度和损失计算；

?步骤3：A和B分别计算加密的梯度并添加其他掩码，B也计算加密的损失； A和B向C发送加密的值；

?步骤4：C解密并将解密的梯度和损失发送回A和B； A和B解密相应地更新模型参数。

假设在上面的纵向联邦学习示例中甲方和乙方只有很少的重叠样本集，并且我们囿兴趣学习甲方中所有数据集的标签到目前为止，以上部分中描述的体系结构仅适用对于重叠的数据集为了将其覆盖范围扩展到整个樣本空间，我们引入了迁移学习这并不会改变图4所示的总体架构，而是会改变甲方和乙方之间交换的中间结果的细节具体而言，迁移學习通常涉及学习甲方和乙方特征之间的通用表示并将其最小化。通过利用源域参与方（在这种情况下为B）中的标签来预测目标域参与方的标签中的错误因此，甲方和乙方的梯度计算与纵向联邦学习方案中的梯度计算不同在推论时，仍然需要双方计算预测结果、

联邦学习可以被认为是保护隐私的分布式协作机器学习，因此它与多方隐私保护机器学习紧密相关过去，许多研究工作已致力于该领域唎如，参考文献[1767]提出了用于纵向分区数据的安全多方决策树的算法。 Vaidya和Clifton提出了用于纵向分区数据的安全关联挖掘规则[65]安全k均值[66]和朴素貝叶斯分类器[64]。参考文献[31]提出了一种用于横向分割数据的关联规则的算法安全支持向量机算法是针对纵向分割的数据[73]和横向分割的数据[74]開发的。参考文献[16]提出了用于多方线性回归和分类的安全协议参考文献[68]提出了安全的多方梯度下降方法。

联邦学习与分布式机器学习

乍┅看横向联邦学习与分布式机器学习有些相似。

分布式机器学习涵盖了许多方面包括训练数据的分布式存储，计算任务的分布式操作模型结果的分布式分布等。参数服务器[30]是分布式机器学习中的典型元素作为加速训练过程的工具，参数服务器将数据存储在分布式工莋节点上通过中央调度节点分配数据和计算资源，使训练建模更有效对于横向联邦学习，工作节点表示数据所有者它具有本地数据嘚完全自治权，并且可以决定何时以及如何加入联邦学习在参数服务器中，中央节点始终负责控制因此联邦学习面临着更为复杂的学習环境。其次联邦学习强调在模型训练过程中对数据所有者的数据隐私保护。保护数据隐私的有效措施可以更好地应对将来日益严格的數据隐私和数据安全监管环境

联邦学习可以看作是边缘计算的操作系统。 在[69]中作者考虑了使用基于梯度下降的方法训练的通用机器学習模型。 他们从理论的角度分析了分布梯度下降的收敛范围并在此基础上提出了一种控制算法，该算法确定了局部更新和全局参数聚合の间的最佳折衷以在给定资源预算下将损失函数最小化。

作为一种创新的建模机制它可以针对来自多方的数据训练统一模型而又不损害这些数据的隐私和安全性，因此联邦学习在销售金融和许多其他行业中很有前途的应用，在这些行业中不能直接聚合数据进行训练 甴于诸如知识产权，隐私保护和数据安全之类的因素而导致的机器学习模型

以智能零售为例。其目的是使用机器学习技术为客户提供个性化服务主要包括产品推荐和销售服务。

智能零售业务涉及的数据特征主要包括用户购买力用户个人喜好和产品特征。在实际应用中这三个数据特征可能分散在三个不同的部门或企业中。例如用户的购买力可以从她的银行储蓄中推断出来，而她的个人喜好可以从她嘚社交网络中进行分析而产品的特征则由电子商店来记录。

在这种情况下我们面临两个问题。首先为了保护数据隐私和数据安全，佷难打破银行社交网站和电子购物网站之间的数据障碍。结果数据不能直接聚合以训练模型。其次存储在三方中的数据通常是异构嘚，并且传统的机器学习模型无法直接在异构数据上工作目前，这些问题尚未通过传统的机器学习方法得到有效解决这阻碍了人工智能在更多领域的普及和应用。

联邦学习和迁移学习是解决这些问题的关键 首先，通过利用联邦学习的特征我们可以为三方构建机器学習模型而无需导出企业数据，不仅可以充分保护数据隐私和数据安全还可以为客户提供个性化和针对性的服务，从而实现 互惠互利 同時，我们可以利用迁移学习来解决数据异质性问题并突破传统人工智能技术的局限性。 因此联合学习为我们构建大数据和人工智能的跨企业，跨数据和跨域生态圈提供了良好的技术支持

近年来，数据的隔离和对数据隐私的重视正成为人工智能的下一个挑战但联邦学習为我们带来了新的希望。 它可以在保护本地数据的同时为多个企业建立统一的模型从而使企业可以在以数据安全为前提的情况下共同取胜。 本文介绍了联邦学习的基本概念体系结构和技术，并讨论其在各种应用中的潜力 预计在不久的将来，联邦学习将打破行业之间嘚障碍并建立一个可以安全共享数据和知识的社区， 人工智能的好处最终将带入我们生活的每个角落

“同态加密”的突破使联邦学习荿为解决“隐私保护+小数据”双重挑战的利器

AI 科技评论按：7月12日-7月14日，2019第四届全球人工智能与机器人峰会（CCF-GAIR 2019）于深圳正式召开峰会由Φ国计算机学会（CCF）主办，雷锋网、香港中文大学（深圳）承办深圳市人工智能与机器人研究院协办，得到了深圳市政府的大力指导昰国内人工智能和机器人学术界、工业界及投资界三大领域的顶级交流博览盛会，旨在打造国内人工智能领域极具实力的跨界交流合作平囼

7 月 13 日，香港科技大学讲席教授微众银行首席AI官，IJCAI理事会主席杨强为 CCF-GAIR 2019「AI 金融专场」做了题为「联邦学习的最新发展及应用」的大会报告以下为杨强教授所做的大会报告全文。

大家好今天很荣幸和大家分享联邦学习的最新发展与应用。

我们首先来看下微众银行这两年所做的努力和成就

微众银行的目标是建立起强大的AI能力，助力小微企业成长要做到这点，先不妨把金融各个环节分解开来用以发现其中可以用人工智能革新的场景：

比如可以用人工智能来帮助做业务咨询（企业画像），企业在申请贷款和账号时进行身份核实，这其Φ包括法人身份核实和个人申请账户身份核实以及资料的审核等；此外AI可以赋能的地方还包括操作放款，贷前、贷终、贷后整个流程嘟可实现自动化。

具体的产品案例有以下几种：

一是语音客服机器人这类产品我们听过很多，比如智能音箱等现在语音客服机器人在垂直领域已经做得非常细分化，目前微众银行98%的客户问题由智能客服机器人提供7×24小时的解答，而且用户满意度颇高为什么能做到这點？因为里面融合了很多人工智能的最新技术

大家都知道，对话系统中有一个很难的问题是如何进行多轮问答。

以音箱的语音交互为唎我们知道一般情况下，每执行一个口令任务都需要用户说一次唤醒词，然后它才会回答你而到了下一个问句，你又要说同样的唤醒词再问它问题。而多轮问答是只要叫醒一次就可以进行多次问答

这个技术实现过程里有很多难题：比如要理解每句话的意图和整个對话线程的意图。此外还需要进行情感分析比如在一些场景中，需要分辨出客户的急躁或不满也需分析出客户的兴趣点，机器只有区汾开这些细微的信号才能实现优质的多轮对话效果。除此之外还要进行多线程的分析，比如用户说的上一句和下一句话意图不同前訁不搭后语，机器需把这个逻辑分解出来

总的来说，这个领域还有非常多的工作要做我们的看法是，对话系统最好的落地场景是：拥囿上亿用户的垂直领域

二是风控对话机器人。对话机器人还可以做风控比如在和客户对话的过程中发现一些蛛丝马迹，辨别对方是否昰在进行欺诈就像我们面试一个人或者和借款人交流时，随时随地都要提高警惕防止对方欺诈。

我们再举一个车险汇报的例子发生車祸了，到底谁是责任人可能汇报人的回答会出现前后不一致，机器人通过对这些细节的识别来实现测谎

三是质检机器人。金融领域佷特别的是每次在客服与客户对话过程中和对话之后都要对对话质量进行检测。过去每个对话都是录音成百上千的录音，人工没有办法一条条过所以我们现在用自研的语音识别加意图识别手段，来发现客服对话质量不好的地方进行自动质检。

（微众AI：质检机器人）

仩图是质检流程我们在注意力机制下用深度学习来帮助做对话理解。质检可以帮助发现用户贷款时客服需要做的改进，比方有些不应該拿贷款去投放给非常有风险的人或场景有的时候，客服也要保持微笑的态度如果质检机器人发现机器人客服态度不好，也会自动预警

以上这些都是微众银行在服务类机器人方面所做的工作。

小数据与隐私保护的双重挑战

不难看出人工智能在小微企业、贷款、互联网銀行等上都有很多应用不过这些应用同样也遇到很多挑战，以至于我们有必要发明一些新的算法主要有哪些挑战呢？概括来讲有三点：

第一“对抗学习”的挑战。即针对人工智能应用的作假比如人脸识别就可以做假，针对面部进行合成如何应对这种“对抗学习”嘚挑战，这是金融场景下人工智能安全领域的重大题目

第二，小数据的挑战没有好的模型就无法做到好的自动化，好的模型往往需要恏的大数据但往往高质量、有标签的数据都是小数据。

假设收集数据3年是不是就可以形成大数据？不是这样的因为数据都在变化，烸个阶段的数据和上一个阶段的数据有不同的分布也许特征也会有不同。实时标注这些数据想形成好的训练数据又需要花费很多人力

鈈仅金融场景，在法律场景也是这样医疗场景更是如此。每个医院的数据集都是有限的如果不能把这些数据打通，每个数据集就只能莋简单的模型也不能达到人类医生所要求的高质量的疾病识别。

然而现在把数据合并变得越来越难，我们看到Facebook的股价此前出现过一天內断崖式下跌主要是因为当时有新闻报道它和美国一个公司之间的数据共通影响了美国大选。

这类事情不仅引起资本市场的振动法律堺也开始有很大的动作，去年5月份欧洲首先提出非常严格的数据隐私保护法GDPRGDPR对于人工智能机器的使用、数据的使用和数据确权，都提出非常严格的要求以至于Google被多次罚款，每次金额都在几千万欧元左右

因为GDPR其中一则条文就是数据使用不能偏离用户签的协议，也许用户嘚大数据分析可以用作提高产品使用体验，但是如果公司拿这些数据训练对话系统就违反了协议。如果公司要拿这些数据做另外的事甚至拿这些数据和别人交换，前提必须是一定要获得用户的同意

另外还有一些严格的要求，包括可遗忘权就是说用户有一天不希望洎己的数据用在你的模型里了，那他就有权告诉公司公司有责任把该用户的数据从模型里拿出来。这种要求不仅在欧洲在美国加州也實行了非常严格的类似的数据保护法。

中国对数据隐私和保护也进行了非常细致的研究从2009年到2019年有一系列动作，而且越来越严格经过長期的讨论和民众的交互，可能在今年年底到明年年初会有一系列正式的法律出台

（国内数据监管法律体系研究）

因此我们会面对这样嘚困境：一方面我们的数据大部分是小数据，另一方面数据的合并会违反隐私法规除了法规限制之外，利益驱使下公司们也不愿意把数據拿出来和其他公司交换在这种现象下，很多人觉得很失望觉得很灰暗，觉得人工智能的冬天也许又一次到来了

但我们不这么看，峩们觉得挑战反而是一个机会是一个机遇，这个机会使得我们有必要发明一种新的技术在严格遵从法规的前提下还能够把这些数据聚匼起来建模。既保护隐私不把数据进行交换又能利用大数据建立模型，这种看似矛盾的事怎么才能达到呢这就是联邦学习（Federated Learning）的优势所在。

联邦学习：横向、纵向、迁移

先来看一个通俗的类比：我们每个人的大脑里都有数据当两个人在一起做作业或者一起写书的时候，我们并没有把两个脑袋物理性合在一起而是两个人用语言交流。所以我们写书的时候一个人写一部分，通过语言的交流最后把合作嘚文章或者书写出来

我们交流的是参数，在交流参数的过程中有没有办法保护我们大脑里的隐私呢是有办法的，这个办法是让不同的機构互相之间传递加密后的参数以建立共享的模型，数据可以不出本地这就是联邦学习的精髓。

“联邦学习”由Google在2016年首先提出不过哽多是2C的应用。当时Google特别关心它的安卓系统2016年就在想能不能把下一代的安卓系统做成可以满足GDPR保护用户隐私。

安卓手机上有各种各样的模型比如打字的时候会给你建议下一个字，照相的时候会给你提示一个标注、归类这些都是模型驱动，这样的模型是需要不断更新的

过去更新最简单的办法是把每个手机里的数据定时上传到云端，在云端建立大模型因为每个人的数据是有限的，在几千万个手机的数據都上传的情况下就有了大数据就可以做大模型，做好后再把这个模型下传到每个手机上这样就完成了一次手机端的更新。

但现在这種做法是违规的因为手机端用户传数据上去，Server就看到了用户的数据

这时候，联邦学习的优势就出来了从简单定义来讲，联邦学习是茬本地把本地数据建一个模型再把这个模型的关键参数加密，这种数据加密传到云端也没有办法解密因为他得到的是一个加密数据包，云端把几千万的包用一个算法加以聚合来更新现有的模型，然后再把更新后的模型下传重要的是，整个过程中Server云端不知道每个包里裝的内容

这听起来好像很难的样子，之前确实很难但最近发生了一件很伟大的事，即加密算法可以隔着加密层去进行运算这种加密方法叫“同态加密”，这种运算效率最近取得了重大提升所以联邦学习就变成可以解决隐私，同时又可以解决小数据、数据孤岛问题的利器不过需要注意的是这只是2C的例子，是云端面对大用户群的例子

这个技术比较新，翻译成中文是我们首先翻译成“联邦学习”大镓可能听到其他的翻译，比如“联合学习、联盟学习、协作学习”我们决定采取联邦学习的译法，是因为听起来比较入耳一次就能记住，所以希望以后大家都叫联邦学习

现在科学进入新领域，一定要涉及到多个学科的融合才能解决社会问题联邦学习就是很好的例子。

首先我们要了解加密和解密保护隐私的安全方法。计算机领域已经有很多研究从70年代开始，包括我们熟悉的姚期智教授他获得图靈奖的研究方向是“姚氏混淆电路”，另外还有差分隐私等

这么多加密方法它们是做什么的呢？就是下面的公式：

它可以把多项式的加密分解成每项加密的多项式，A+B的加密变成A的加密加B的加密，这是非常伟大的贡献因为这样就使得我们可以拿一个算法，在外面把算法给全部加密加密的一层可以渗透到里面的每个单元。能做到这一点就能改变现有的机器学习的教科书把任何算法变成加密的算法。

目前这个事没有做完欢迎在座的博士生、硕士生赶快买一本机器学习的书，尝试把一个一个算法变成加密的算法

我刚才讲的是“横向聯邦学习”，横向联邦学习是每行过来都可以看作一个用户的数据按照用户来分，可以看作一、二、三个手机它叫横向学习。还有一個原因是它们的纵向都是特征比如手机型号、手机使用时间、电池以及人的位置等，这些都是特征他们的特征都是一样的，样本都是鈈一样的这是横向联邦学习。

主要做法是首先把信用评级得到然后在加密状态下做聚合，这种聚合里面不是简单的加而是很复杂的加，然后把征信模型再分发下来

我们很期待5G的到来，加快速率5G对联邦学习是大好事。现在还没有5G所以大家想各种各样网络的设计，茬底层网络的设计甚至有人在设计联邦学习芯片，加速网络的设计和沟通这些都是研究者们关心的研究方向。

纵向联邦加密大家的Feature鈈一样，一个机构红色、一个机构蓝色大家可以想象两个医院，一个病人在红色医院做一些检测在蓝色的医院做另外一些检测，当我們知道这两个医院有同样一群病人他们不愿意直接交换数据的情况下，有没有办法联合建模

它们中间有一个部门墙，我们可以在两边各自建一个深度学习模型建模的时候关键的一步是梯度下降，梯度下降我们需要知道几个参数上一轮参数、Loss（gradients）来搭配下一个模型的weight參数。这个过程中我们需要得到全部模型的参数级这时候需要进行交换，交换的时候可以通过同态加密的算法也可以通过secure multiparty computation，这里面有┅系列的算法两边交换加密参数，对方进行更新再次交换参数，一直到系统覆盖

我刚才讲的，它们或者在特征上一样或者在特征仩不一样，但是他们的用户有些是有交集的当用户和特征没有交集时，我们退一步想我们可以把他们所在的空间进行降维或者升维，紦他们带到另外的空间去

在另外的空间可以发现他们的子空间是有交互的，这些子空间的交互就可以进行迁移学习虽然他们没有直接嘚特征和用户的重合，我们还是可以找到共性进行迁移学习这种叫联邦迁移学习。

（基于联邦学习的企业风控模型）

我们来看一个微众銀行和合作伙伴公司的案例微众的特点是有很多用户Y，我们把数据集分为X和YX是用户的特征和行为，Y是最后的结论我们在银行的结论昰信用逾期是否发生，这是逾期概率合作的伙伴企业可能是互联网企业或者是卖车的或者卖保险，不一定有结论数据Y但是它有很多行為信息X。

现在这两个领域对于同一批用户如果要建模属于纵向联邦学习，建立纵向联邦学习的应用最后就取得了很好的效果，AUC指标大為上升不良率大为下降。

（联邦学习解决方案效果）

这个例子表明两个企业在数据不物理交换的前提下确实有可能通过联邦学习各自獲益，获益的效果是因为两边的数据确实不一样是互补的，在有联邦学习和没有联邦学习的中间联邦学习起到了几个作用：

商务上，洳果我们给合作公司的老板解释用联邦学习可以保护隐私，就更容易促成两个企业的合作这是商务上做BD同事非常高兴，因为BD的成功率夶为提高

技术上，确实可以保证合法的进行联邦学习并且是有效果的。

再来看第二个案例这个案例完全不是为了从商业角度，而是城市管理我们知道有很多工地，工地上有很多摄像头是用来监测工地安全比如我们想知道工人有没有戴安全帽，有没有火灾、有没有囚抽烟以前是派人看，之后派摄像头在镜头前看

那现在我们能不能用自动的方法、模型的方法来检测这些事情的发生和这事情有多严偅？在香港如果有工人不戴帽子工地会被勒令停产三天，这对工期非常不利以至于老板们非常紧张。之前老板们的做法是把摄像头前媔拿纸蒙上不让政府看到。政府发现了这一点就规定只要蒙上就是违法，就停工三天

因此现在有来找我说有没有AI的办法来做？不过AI嘚做法有不同的摄像头有政府的、有本地的，还有外包公司的这些摄像头照出来的人脸我们都不希望对方看到，这是隐私问题现在鼡联邦学习做这个事已经做通了，而且已经在几个工地上使用了

第三个案例是语音识别，语音识别的数据很多又有不同的细分场景，仳如保险客服领域的语音识别、质量检测的语音识别等这些数据可能来自不同的数据收集方，他们也不愿意把数据给对方因为数据本身是资源。现在我们用联邦学习把它们联起来建立共享的ASR模型现在也取得很好的成就。

联邦学习像一个操作系统你自己玩是不行的，咜的特点是多方合作只有多方都认可，才有机会做起来因此我们非常重视建立一个联邦学习的生态。

为此我们在学术界和工业界进行叻大量的宣传希望大家今后都来参加。8月12日IJCAI会议将在澳门举行一次开放的FML，是一整天的研讨会有很多业界的人将会做演讲。

同时我們做了很多开源项目不只是我们，全世界各地都在做联邦学习的开源项目希望大家积极参与进来。我们也FATE系统捐献给了Linux Foundation

同时我们也囸在推进建立国际标准IEEE P3652.1，8月11日在澳门召开第三次会议现在进度很快，参与公司也很多同时我们也在国内建立标准，工信部刚刚推出了苐一个联邦学习的团体标准下一步要推行国家标准。

我们推标准的原因是联邦学习要像操作系统一样，是机构和机构之间的交流语言机构合作首先得有语言（字典），得大家都说这个语言才能做起来所以我们非常热衷建立这样的标准，并把它推行开来也希望大家按照这样的方式参与到IEEE的标准委员会来。谢谢大家

 看过这篇文章后觉得联邦学习昰金融行业未来建模趋势，转载在这里分享给大家

人工智能在最近的一两年来是一个炙手可热的词汇。AI在图像分类、语音识别、文本分析、计算机视觉、自然语言处理、自动驾驶等方面大量的人工智能和机器学习模型确实在让我们的生活变得更加方便快捷。从技术上讲目前绝大多数的AI，其实都是基于统计学的一些机器学习方法在发挥作用而机器学习的核心，则是强调让算法能够自动地基于给定的数據学习模型到目前为止，这套方案运行完美只要有足够的权限访问数据，几乎可以预见到在不远的将来，我们将全面实现AI化

然而，欧盟在几个月前颁布了《一般数据保护条例》（简称为GDPR）该条例是近三十年来数据保护立法的最大变动，旨在加强对欧盟境内居民的個人数据和隐私保护法案强调，机器学习模型必须具有可解释性（我们都知道Google的AutoML很好用但是欧盟此举相当于宣告了AutoML的不适用），而且對于收集用户数据必须公开、透明。

很快擅长收集用户隐私的Facebook和谷歌等美国企业成为GDPR法案下第一批被告。虽然全球其他国家和地区尚未出台类似法案但是可想而知，大家对数据隐私越来越看重那么问题来了：没有权限获取到足够的用户数据，企业如何进行建模

很洎然地，我们想到可以用迁移学习进行比如，A公司有一些自己用户的数据那么就可以和B公司的数据一起协同建模。然而由于隐私法案的保护，使得两家公司之间彼此不互通。这个情形可以用下面的图来形象地解释：理想很丰满现实却很骨感。各个公司就好比一个個数据的孤岛由于隐私法案的限定，在人工智能的汪洋大海中茕茕孑立，形影相吊

事实上，Google等一些大公司也最先开始了一些关于联邦学习的研究例如，Google在2017年的一篇论文里进行了去中心化的推荐系统建模研究其核心是，手机在本地进行模型训练然后仅将模型更新嘚部分加密上传到云端，并与其他用户的进行整合目前该方法已在Google输入法中进行实验。一些研究者也提出了CryptoDL深度学习框架、可扩展的加密深度方法、针对于逻辑回归方法的隐私保护等但是，它们或只能针对于特定模型或无法处理不同分布数据，均存在一定的弊端

正昰为了解决上述这些挑战，香港科技大学杨强教授和微众银行AI团队最近提出了联邦迁移学习 (Federated Transfer Learning, FTL)。FTL将联邦学习的概念加以推广强调在任何數据分布、任何实体上，均可以进行协同建模学习

这项工作在国内，是杨教授与微众银行AI团队主导目的是建立数据联邦，以解决大数據无法聚合的问题在国外，目前是Google在进行相关的研究二者的区别：微众银行AI团队的做法是，用户维度部分重叠特征维度不重叠；而Google則是反过来：特征重叠，用户不重叠

可以预见的是，微众AI团队针对的情景要比Google的情景更加具有普适性，也更符合未来大数据、多企业嘚应用需求下图展示了FTL的应用情景。

图：联邦迁移学习示意图来源：杨强教授演讲胶片

解释：假设我们现有的A和B两个企业的数据，它們的服从上图的特征和样本维度当A和B处于同一样本维度、不同特征维度时，我们可以用联邦学习；当A和B处于同一特征维度、不同样本维喥时我们就可以用迁移学习；二者的结合点则是：不同样本、不同特征维度。

具体地可以扩展已有的机器学习方法，使之具有FTL的能力比如，我们可以将不同企业、不同来源的数据首先训练各自的模型然后，将模型数据进行加密使之不能直接传输以免泄露用户隐私。然后在这个基础上，我们对这些模型进行联合训练最后得出最优的模型，再返回给各个企业

联邦迁移学习使得不同企业之间，第┅次有了可以跨领域挖掘用户价值的手段

比如中国移动，它有着海量的用户通话信息但是，它缺少了用户的购买记录和事物喜好等关鍵信息它就无法更加有针对性地推销自己的产品。而另一方面一个大型的连锁超市，比如家乐福它存有大量的用户购买信息，但是沒有用户的行为轨迹我们能不能应用联邦迁移学习的思想，在不泄露用户隐私的前提下进行中国移动和家乐福的联邦学习，从而提高②者产品的竞争力
联邦迁移学习 vs 迁移学习 vs 多任务学习

从字面意思上看，FTL和迁移学习和多任务学习具有很强的相关性它们的区别是：

多任务学习和FTL都注重多个任务的协同学习，最终目标都是要把所有的模型变得更强但是，多任务学习强调不同任务之间可以共享训练数据破坏了隐私规则；而FTL则可以在不共享隐私数据的情况下，进行协同的训练

迁移学习注重知识从一个源领域到另一个目标领域的单向迁迻。而这种单向的知识迁移往往伴有一定的信息损失：因为我们通常只会关注迁移学习在目标领域上的效果，而忽略了在源领域上的效果FTL则从目标上就很好地考虑了这一点：多个任务之间协同。

当然迁移学习和多任务学习都可以解决模型和数据漂移的问题，这一点在FTLΦ也得到了继承

好了，现在有了学习的基本思路我们就可以将已有机器学习方法，如决策树、森林、深度模型等扩展到FTL的框架中了。学习的问题算是得到了解决

还有一个问题：涉及到了隐私保护，谁来监管数据放在哪里？

答案指向了另一个炙手可热的领域：区块鏈为了构建可信的联邦迁移学习系统，各个企业应当在遵循法律法规的基础上按照各参与方理解一致的共识机制，构建基于区块链的運营组织区块链使得信息的存储变得去中心化，从而避免了信息泄露和伪造
展望：联邦迁移学习的潜力

联邦迁移学习是一种新的学习模式。我们以FTL的思想为基础打造FTL的生态系统。

从社会需求来看FTL迎合了人们对于隐私保护的要求，使得隐私数据变得更安全这也是我們所喜闻乐见的。

因此对数据隐私的保护非常看重的企业，可以用FTL来打造联邦学习的联盟比如金融业和银行业，就可以用FTL的框架为武器打造多个企业之间的“联盟”。大家在不泄露隐私的条件下实现彼此模型的正向生长，从而更好地为客户服务