가우시안 프로세스 사후 샘플링의 차분 프라이버시 (Differential Privacy)

우리는 공변량 (covariates)과 응답 (responses)을 포함한 전체 학습 데이터셋이 비공개인 상황에서, 가우시안 프로세스 (Gaussian Process, GP)의 사후 샘플 경로 (posterior sample paths)를 공개할 때의 프라이버시를 연구합니다. 외부 노이즈를 추가하는 표준적인 차분 프라이버시 (Differential Privacy, DP) 메커니즘과 달리, 사후 샘플링 (posterior sampling)은 구조적으로 무작위성을 가집니다. 우리는 GP 사후 샘플 경로 공개에 대한 명시적인 Rényi-DP 경계 (bounds)를 도출함으로써, 이러한 내재적 무작위성이 DP 보장을 제공함을 보여줍니다. 이 경계는 사후 평균 (posterior-mean) 유출과 데이터 의존적 사후 공분산 (posterior-covariance) 유출을 분리하며, 유의미한 프라이버시는 효과적인 릿지 규제 (ridge regularisation)에 따라 급격히 달라짐을 보여줍니다. 우리는 멤버십 추론 공격 (membership-inference attacks)을 적용하여, 경험적 유출이 규제 (regularisation), 사후 분산 (posterior variance), 그리고 공개된 사후 샘플 경로의 수에 대한 예측된 의존성을 따른다는 것을 보여줍니다. 다운스트림 사후 샘플링 작업에 대한 유용성 (utility) 실험을 통해, 프라이버시와 호환 가능한 규제가 적절한 유용성 손실과 함께 유용한 결정을 보존할 수 있는 노이즈 관측 (noisy-observation) 영역을 식별합니다. 더 강력한 프라이버시가 필요한 경우, 보정된 GP 노이즈 (calibrated GP noise)를 추가함으로써 내재적 보장을 강화할 수 있으며, 이는 명시적인 추가 프라이버시 조절 장치 (privacy knob)를 제공합니다.