In this paper, we study local information privacy (LIP), and design LIP based mechanisms for statistical aggregation while protecting users' privacy without relying on a trusted third party. The notion of context-awareness is incorporated in LIP, which can be viewed as explicit modeling of the adversary's background knowledge. It enables the design of privacy-preserving mechanisms leveraging the prior distribution, which can potentially achieve a better utility-privacy tradeoff than context-free notions such as Local Differential Privacy (LDP). We present an optimization framework to minimize the mean square error in the data aggregation while protecting the privacy of each individual user's input data or a correlated latent variable while satisfying LIP constraints. Then, we study two different types of applications: (weighted) summation and histogram estimation, and derive the optimal context-aware data perturbation parameters for each case, based on randomized response type of mechanism. We further compare the utility-privacy tradeoff between LIP and LDP and theoretically explain why the incorporation of prior knowledge enlarges feasible regions of the perturbation parameters, which thereby leads to higher utility. We also extend the LIP-based privacy mechanisms to the more general case when exact prior knowledge is not available. Finally, we validate our analysis by simulations using both synthetic and real-world data. Results show that our LIP-based privacy mechanism provides better utility-privacy tradeoffs than LDP, and the advantage of LIP is even more significant when the prior distribution is more skewed.

中文翻译：

---

本地信息隐私及其在隐私保护数据聚合中的应用

在本文中，我们研究了本地信息隐私（LIP），并设计了基于 LIP 的统计聚合机制，同时在不依赖可信第三方的情况下保护用户隐私。LIP 中包含上下文感知的概念，可以将其视为对手背景知识的显式建模。它支持利用先验分布设计隐私保护机制，与本地差分隐私 (LDP) 等无上下文概念相比，这可能实现更好的效用-隐私权衡。我们提出了一个优化框架来最小化数据聚合中的均方误差，同时保护每个用户输入数据或相关潜在变量的隐私，同时满足 LIP 约束。然后，我们研究两种不同类型的应用程序：（加权）求和和直方图估计，并基于随机响应类型的机制为每个案例导出最佳的上下文感知数据扰动参数。我们进一步比较了 LIP 和 LDP 之间的效用 - 隐私权衡，并从理论上解释了为什么结合先验知识扩大了扰动参数的可行区域，从而导致更高的效用。当确切的先验知识不可用时，我们还将基于 LIP 的隐私机制扩展到更一般的情况。最后，我们通过使用合成数据和真实世界数据的模拟来验证我们的分析。结果表明，我们基于 LIP 的隐私机制比 LDP 提供了更好的效用 - 隐私权衡，并且当先验分布更偏态时，LIP 的优势更加显着。并基于随机响应类型的机制为每个案例导出最佳的上下文感知数据扰动参数。我们进一步比较了 LIP 和 LDP 之间的效用 - 隐私权衡，并从理论上解释了为什么结合先验知识扩大了扰动参数的可行区域，从而导致更高的效用。当确切的先验知识不可用时，我们还将基于 LIP 的隐私机制扩展到更一般的情况。最后，我们通过使用合成数据和真实世界数据的模拟来验证我们的分析。结果表明，我们基于 LIP 的隐私机制比 LDP 提供了更好的效用 - 隐私权衡，并且当先验分布更偏态时，LIP 的优势更加显着。并基于随机响应类型的机制为每个案例导出最佳的上下文感知数据扰动参数。我们进一步比较了 LIP 和 LDP 之间的效用 - 隐私权衡，并从理论上解释了为什么结合先验知识扩大了扰动参数的可行区域，从而导致更高的效用。当确切的先验知识不可用时，我们还将基于 LIP 的隐私机制扩展到更一般的情况。最后，我们通过使用合成数据和真实世界数据的模拟来验证我们的分析。结果表明，我们基于 LIP 的隐私机制比 LDP 提供了更好的效用 - 隐私权衡，并且当先验分布更偏态时，LIP 的优势更加显着。基于随机响应类型的机制。我们进一步比较了 LIP 和 LDP 之间的效用 - 隐私权衡，并从理论上解释了为什么结合先验知识扩大了扰动参数的可行区域，从而导致更高的效用。当确切的先验知识不可用时，我们还将基于 LIP 的隐私机制扩展到更一般的情况。最后，我们通过使用合成数据和真实世界数据的模拟来验证我们的分析。结果表明，我们基于 LIP 的隐私机制比 LDP 提供了更好的效用 - 隐私权衡，并且当先验分布更偏态时，LIP 的优势更加显着。基于随机响应类型的机制。我们进一步比较了 LIP 和 LDP 之间的效用 - 隐私权衡，并从理论上解释了为什么结合先验知识扩大了扰动参数的可行区域，从而导致更高的效用。当确切的先验知识不可用时，我们还将基于 LIP 的隐私机制扩展到更一般的情况。最后，我们通过使用合成数据和真实世界数据的模拟来验证我们的分析。结果表明，我们基于 LIP 的隐私机制比 LDP 提供了更好的效用 - 隐私权衡，并且当先验分布更偏态时，LIP 的优势更加显着。我们进一步比较了 LIP 和 LDP 之间的效用 - 隐私权衡，并从理论上解释了为什么结合先验知识扩大了扰动参数的可行区域，从而导致更高的效用。当确切的先验知识不可用时，我们还将基于 LIP 的隐私机制扩展到更一般的情况。最后，我们通过使用合成数据和真实世界数据的模拟来验证我们的分析。结果表明，我们基于 LIP 的隐私机制比 LDP 提供了更好的效用 - 隐私权衡，并且当先验分布更偏态时，LIP 的优势更加显着。我们进一步比较了 LIP 和 LDP 之间的效用 - 隐私权衡，并从理论上解释了为什么结合先验知识扩大了扰动参数的可行区域，从而导致更高的效用。当确切的先验知识不可用时，我们还将基于 LIP 的隐私机制扩展到更一般的情况。最后，我们通过使用合成数据和真实世界数据的模拟来验证我们的分析。结果表明，我们基于 LIP 的隐私机制比 LDP 提供了更好的效用 - 隐私权衡，并且当先验分布更偏态时，LIP 的优势更加显着。我们通过使用合成数据和真实世界数据的模拟来验证我们的分析。结果表明，我们基于 LIP 的隐私机制比 LDP 提供了更好的效用 - 隐私权衡，并且当先验分布更偏态时，LIP 的优势更加显着。我们通过使用合成数据和真实世界数据的模拟来验证我们的分析。结果表明，我们基于 LIP 的隐私机制比 LDP 提供了更好的效用 - 隐私权衡，并且当先验分布更偏态时，LIP 的优势更加显着。