目录
AI Privacy-Enhancing Tech / Confidential AI Playbook
定位: 面向金融零售 AI 系统的 Privacy-Enhancing Technologies、Confidential AI 与跨机构数据协作架构手册。
目标: 让 AI Product Architect / Privacy Architect / Data Product / Risk & Compliance Tech / Platform PM 能把差分隐私、联邦学习、TEE、FHE、secure aggregation、data clean room、confidential inference 和 AI trace privacy 转成可评审、可上线、可审计的产品与架构资产。
核心观点: PET 不是“隐私增强插件”, 而是一组围绕 purpose limitation、PII minimization、data-in-use protection、privacy budget、可证明控制和残余风险管理的架构选择。成熟团队不会问“哪种 PET 最先进”, 而会问“在这个业务目的、数据共享边界、攻击模型、延迟预算、模型生命周期和证据要求下, 哪种组合能把可用性、隐私、合规和成本放在可接受区间”。
重要说明: 本文是学习与作品集材料, 不构成法律、监管、审计、密码学安全证明、PCI 合规或模型风险管理意见。正式金融零售项目必须由 Privacy / Legal / Compliance / Security / Model Risk / Data Governance / Cryptography / Business Owner 共同确认适用法规、控制强度、合同边界、威胁模型和证据要求。
1. Source Anchors
以下来源作为术语、架构和控制设计锚点。正式项目应按所在司法辖区、机构政策、供应商版本和最新官方资料复核。
一句话映射:
NIST Privacy Framework 定义隐私风险管理语言;
NIST AI RMF 定义 AI 系统风险治理语言;
TensorFlow Federated / Privacy 给出 FL、DP 和聚合工程入口;
Confidential Computing Consortium 给出 TEE、attestation 和 data-in-use 语言;
OpenFHE / Zama 给出 FHE 工具链与 encrypted computation 的工程锚点。
2. 为什么 Confidential AI 在金融零售里重要
金融零售 AI 的关键约束不是“缺数据”, 而是“数据越有价值, 越不能被自由集中、复制、训练、追踪和共享”。欺诈、信贷、财富、KYC、客服、AML、营销和运营数据都同时具备高业务价值和高隐私/合规/声誉风险。Confidential AI 的价值在于把原本互相冲突的目标拆成可架构化的权衡:
业务张力 传统做法的限制 PET / Confidential AI 的改造方向 跨机构欺诈协作需要共享信号, 但不能共享客户明细 邮件交换黑名单、人工报表、集中数据池, 难以证明最小化和用途限制 用 clean room、secure aggregation、TEE 或 FHE 只共享聚合、匹配、风险信号和证据摘要 信贷/财富模型需要多源训练, 但数据受合同、地域和监管限制 把数据复制进训练湖, 形成长期二次数据资产和删除难题 用 federated learning、DP-SGD、feature view minimization 和 privacy budget 控制训练暴露 KYC 文档处理需要 OCR / VLM / LLM, 但原始证件和影像高度敏感 原文档进入通用日志、人工标注平台和外部模型 API 用 confidential inference、短生命周期 secure workspace、field-level extraction 和 trace redaction 客服 Copilot 需要完整上下文, 但 trace 可能保存客户隐私 prompt、retrieval、tool result 和 agent action 全量进入 observability 用 AI trace privacy、structured logging、payload minimization、secure evidence store 和 replay-safe audit Data partnership 需要验证用户重叠、转化和风险, 但不能裸奔 PII CSV 交换、哈希邮箱匹配、无差别导出 用 data clean room、purpose-scoped join、threshold reporting、DP noise 和合同化 query policy Agent 需要访问敏感数据完成任务, 但越权查询和外发风险高 只靠角色权限和提示词约束 用 policy engine、tool gateway、purpose binding、step-up approval、result minimization 和 action evidence
成熟判断:
Confidential AI 的目标不是让所有数据都“加密后计算”, 而是让每一次数据进入 AI 生命周期的动作都有明确目的、最小字段、最短留存、受控执行环境、可度量隐私损耗和可审计证据。
3. 核心概念地图: PET 不是单点技术
3.1 技术家族与控制目标
PET / Pattern 主要保护对象 最适合的 AI 阶段 典型金融零售场景 关键风险 Differential Privacy 单个个体对统计结果或模型参数的贡献 Training、analytics、reporting、clean room output 客户行为分析、模型训练、跨方聚合报告 隐私预算误配、utility 降低、错误解释 epsilon DP-SGD 训练样本对模型梯度更新的贡献 Supervised training / fine-tuning 信贷预筛模型、财富推荐模型、客服分类模型 训练成本上升、长尾群体效果下降、budget accounting 复杂 Federated Learning 原始数据不离开机构、设备或业务域 Training、federated analytics 跨银行欺诈模型、集团多子公司客户风险模型、跨地域财富模型 梯度泄露、参与方异质性、数据质量不可见、治理复杂 Secure Aggregation 单个客户端更新不被协调方看到 Federated learning aggregation 多机构欺诈模型聚合、分支机构模型更新 客户端掉线、恶意参与方、聚合结果仍可能泄露 Confidential Computing / TEE 使用中数据、模型和中间状态 Inference、training、clean room、agent tool KYC 文档处理、机密模型推理、受控 clean room join 侧信道、attestation 失效、enclave 边界误解、供应链风险 FHE 加密数据上的计算 Narrow inference、matching、scoring、encrypted feature computation 加密匹配、隐私评分、特定模型推理、Web3 confidential computation 性能限制、模型适配成本、密钥管理复杂 Data Clean Room 多方数据匹配、分析和报告的受控空间 Analytics、measurement、partnership、risk collaboration 联名卡转化分析、商户合作、跨机构欺诈信号 query 泄露、低阈值重识别、用途漂移 Confidential Inference 推理阶段保护输入、模型、输出和 trace Customer-facing AI、internal copilot、document AI 财富建议草稿、KYC OCR+LLM、客服 Copilot 原始 trace 泄露、模型服务供应商日志、输出残留 PII AI Trace Privacy prompt、retrieval、tool call、completion、feedback 的最小化和保护 Observability、audit、incident response 客服 Copilot、Agent、RAG、模型风险验证 为了可观测性制造新数据湖
3.2 PET 决策的四个维度
维度 关键问题 架构判断 数据移动 原始数据是否必须集中? 是否可只移动模型、查询、聚合或加密表示? 决定 central training、federated learning、clean room、TEE 或 FHE 攻击模型 需要防谁: 外部攻击者、云平台、协调方、参与机构、内部员工、模型供应商、恶意客户端? 决定是否需要 TEE attestation、secure aggregation、MPC、FHE、DP 或强审计 输出泄露 即使输入受保护, 输出是否可反推出个体或敏感业务信息? 决定 privacy budget、threshold reporting、rate limit、query review 和 DP noise 运营证据 团队如何证明控制运行有效? 决定 register、control test、attestation evidence、query log、budget ledger 和 audit pack
4. Privacy Risk Assessment: 从用例到 PET
PET 选型必须从隐私风险评估开始。技术名称不能替代 purpose、data、actor、flow、impact、control 和 residual risk 的判断。
4.1 AI Privacy Risk Assessment Canvas
评估项 高级问题 金融零售判断例子 Business purpose 业务目的是否具体、可验证、与客户预期一致? “提升跨机构欺诈识别召回率”比“共享风险数据做 AI”更可治理 Data subject 涉及客户、潜客、商户、员工、受益人、担保人还是第三方联系人? 信贷申请材料可能包含家庭成员、雇主和担保人信息 Data category 是否包含 PII、PCI、KYC、AML、信用、财富、投诉、设备、行为和推断数据? 客服 trace 中的“收入下降、疾病、家庭困难”可能形成敏感推断 Purpose limitation 当前数据授权是否覆盖 AI 推理、训练、评测、监控、供应商处理和共享? 客服解决问题的授权不自动覆盖模型微调 PII minimization 能否以 token、摘要、分箱、特征、聚合、合成样本或加密表示替代原始字段? 交易明细可替换为商户类别、时间窗口、金额区间和争议标记 Data residency 数据能否离开机构、区域、云账号或 enclave? 财富客户数据可能要求区域内处理和供应商日志关闭 AI trace prompt、retrieval、tool result、completion、human feedback、judge score 如何保存? 生产 trace 默认不保存原始 KYC 文档和完整客户会话 Threat model 需要防止谁看到什么? Clean room 项目常要同时防合作方、平台运营员和查询分析师重识别 Model impact AI 输出是否影响信贷、欺诈、AML、财富建议、客户补救或服务拒绝? 高影响场景必须保留人工复核和可解释证据 Residual risk PET 后仍剩下哪些风险? 谁接受? 如何监控? DP 降低个体泄露, 但不能解决模型偏差和错误使用
4.2 风险等级
Risk tier 场景特征 PET / 控制基线 审批和证据 Tier 0 - No personal data 公开政策、产品文档、合成数据、不含客户或员工信息 标准访问控制、基础日志、供应商安全评审 系统卡和数据来源记录 Tier 1 - Low privacy impact 低敏聚合数据、匿名化后重识别风险低、无客户决策影响 threshold reporting、purpose tag、retention TTL Privacy intake、数据分类、基础控制测试 Tier 2 - Controlled personal data 受控 PII、客户行为、交易特征、客服内容, 有人工把关 PII minimization、masking、AI trace privacy、RAG ACL、privacy risk review PIA、数据流、control test、DSAR 覆盖 Tier 3 - Sensitive / regulated data 信贷、财富、KYC、AML、欺诈、PCI、投诉、脆弱客户信息 TEE 或受控 secure workspace、field allowlist、step-up approval、segregated logs Enhanced DPIA / PIA、模型风险评审、上线门禁、audit evidence pack Tier 4 - Cross-party / high impact 跨机构协作、多方数据匹配、自动化高影响决策、大规模训练 Clean room、FL、secure aggregation、DP、TEE / FHE 组合、contractual query controls 联合治理、加密/隐私架构评审、独立验证、残余风险批准
5. PET 架构选择矩阵
5.1 选择矩阵
需求 / 约束 DP / DP-SGD Federated Learning Secure Aggregation TEE / Confidential Computing FHE Data Clean Room 推荐组合 多方不愿共享原始数据, 但愿共享模型改进 中: 限制更新泄露 高: 数据本地训练 高: 保护单方更新 中: 可保护协调环境 低到中: 取决于模型适配 中: 更适合分析非训练 FL + secure aggregation + DP accounting 多方只想做匹配和聚合报告 高: 限制输出反推 低 中 高: 保护 join 环境 中: 可做隐私匹配但成本高 高 Clean room + threshold + DP + query policy 需要低延迟在线推理, 输入极敏感 低: 主要保护训练/输出 低 低 高: 保护 data-in-use 中: 性能和模型限制明显 低 TEE confidential inference + trace minimization 需要在加密数据上计算, 不信任执行环境 低 低 中 中: 仍信任硬件根 高 中 FHE for narrow model / scoring + strict key management 输出统计结果可能重识别小群体 高 中 中 中 中 高 DP + threshold + query rate limit 需要证明云平台或协作方未看到明文 中 中 高 for updates 高: attestation evidence 高: cryptographic guarantee 高 if backed by TEE / MPC TEE attestation 或 FHE, 结合审计证据 模型很大, 需要 LLM / VLM 推理 低 低 低 高: 可运行标准模型栈 低: 当前不适合通用大模型推理 中 TEE confidential inference + vendor logging controls 数据质量差异大, 参与方异构严重 中 中: 训练稳定性挑战 中 中 低 中 FL pilot + local quality contracts + central validation 监管要求可解释、可复核、可删除 中: budget 可审计 中: 数据仍在本地 中 高: trace 和环境证据 中: 密钥和计算证据复杂 高: query evidence clear System card + evidence pack + deletion propagation
5.2 决策规则
决策场景 推荐判断 只是为了“不要共享原始数据” 优先评估 data minimization、clean room、FL 或 TEE, 不直接跳到 FHE。 输出本身可能泄露个体 必须加 DP / threshold / rate limit / query review, 因为 TEE 和 FHE 保护计算过程, 不自动保护输出。 协调方不能看到单方梯度 FL 需要 secure aggregation, 并评估梯度反演和恶意客户端风险。 云或供应商不应看到明文推理输入 评估 confidential inference: TEE、attestation、日志关闭、密钥托管、trace redaction 和供应商合同。 模型知识产权也需要保护 TEE 可同时保护输入和模型权重; FHE 可减少明文暴露但模型适配成本高。 需要跨机构可解释报告 Clean room 往往比 FL 更易落地, 因为其输出和审批可以产品化。 需要训练共享模型 FL + secure aggregation + DP + model risk validation 是更完整的组合。 需要极强密码学保证且计算范围窄 FHE 可作为特定 scoring、matching、encrypted feature transformation 的候选。
6. 架构模式
6.1 Pattern A: Cross-Institution Fraud Signal Collaboration
目标: 多家银行、支付机构、商户或平台在不共享完整客户明细的情况下协作识别欺诈网络、设备团伙、账户接管和 synthetic identity。
Participating institution
-> local feature extraction and PII minimization
-> local risk signal normalization
-> secure aggregation / clean room / TEE join
-> aggregate fraud graph signal or risk indicator
-> local decision engine consumes signal
-> evidence store records purpose, query, threshold, output and approvals
架构选择 适用条件 控制重点 Clean room matching 需要做设备、邮箱、电话、商户、交易模式重叠分析 hashed/tokenized join、threshold output、query approval、no row-level export Federated analytics 需要各机构本地计算同一指标后聚合 metric definition contract、secure aggregation、minimum participant count Federated learning 需要训练共享欺诈模型 local data contract、client weighting、secure aggregation、DP accounting、model validation TEE collaboration enclave 多方愿意把最小化数据放入可证明 enclave remote attestation、code measurement、sealed secrets、runtime audit FHE matching / scoring 信任边界极严且计算可表达为窄操作 key management、scheme selection、performance budget、cryptographic review
产品决策:
决策 推荐 输出形态 以 risk signal、aggregate score、network indicator、cohort-level alert 为主, 避免输出对方客户明细。 最小群体阈值 对任何报告、query 或 cohort 输出设置 minimum count, 并按敏感度提高阈值。 证据 每次协作任务保存 purpose、参与方、字段清单、算法版本、query policy、输出阈值、审批和残余风险接受。 反滥用 禁止把协作信号用于营销、价格歧视或超出协议目的的客户画像。
6.2 Pattern B: Wealth / Credit Model Training
目标: 在保护客户财务、投资、收入、信用和行为数据的情况下训练更稳健的财富推荐、信贷预筛、风险分层或客户服务模型。
Local data domain
-> approved feature view
-> local training with clipping
-> privacy-preserving update
-> secure aggregation coordinator
-> global model update
-> validation by segment and policy constraints
-> deployment gate with privacy budget and model risk evidence
关键对象 设计要求 Feature view 用 feature allowlist 替代原始 PII; 信用报告、收入和资产字段必须记录来源、用途、保留和解释义务。 Privacy budget 按模型、训练轮次、数据集、群体和业务目的登记 epsilon / delta、clipping norm、noise multiplier 和消耗原因。 Segment validation 检查 DP 或 FL 对薄信用档案、低频交易客户、老年客户、跨语言客户和高净值小样本群体的效用影响。 Output governance 财富和信贷场景不能把隐私保护当成模型风险豁免; 仍需 suitability、fair lending、adverse action、人审和解释控制。
6.3 Pattern C: KYC Document Processing with Confidential Inference
目标: 用 OCR、VLM、LLM 和规则引擎处理身份证件、地址证明、公司章程、受益人文件和制裁筛查材料, 同时减少原始文档扩散。
Document intake
-> malware scan and classification
-> secure transient object store
-> confidential inference enclave
-> field-level extraction
-> policy / sanctions / KYC workflow
-> redacted trace and review queue
-> source document retention by records policy
风险 控制 原始文档进入通用模型日志 模型服务禁用训练使用, TEE 推理, trace 只保存字段级摘要和置信度。 OCR / VLM 错误导致 KYC 判断错误 双模型校验、规则一致性检查、人工复核、source citation 和 rejection reason。 文档副本扩散到标注、测试、debug secure workspace、时间限制访问、watermark、download block、break-glass evidence。 Agent 读取 AML / sanctions 线索后外泄 role gating、case-scoped access、no customer-facing disclosure、secure evidence store。
6.4 Pattern D: Customer Service Copilot Trace Privacy
目标: 客服 Copilot 需要上下文和可观测性, 但生产 trace 不应成为客户隐私的二次数据湖。
Conversation
-> input DLP and context lock
-> retrieval with ACL
-> tool gateway with purpose-bound parameters
-> model response
-> human agent review
-> privacy-preserving trace pipeline
-> secure replay package for high-risk incidents only
Trace element 默认保存 高风险证据保存 禁止默认保存 Prompt intent、redacted entities、policy flags encrypted raw prompt with approval and TTL full customer conversation in general logs Retrieval document ID、version、ACL decision、safe citation selected redacted snippets unrelated customer documents Tool result field names、record counts、decision code minimal masked payload full transaction history, full KYC file Completion response category、risk flags、redacted text customer-visible message and approval unmasked PII in analytics warehouse Feedback rating、issue type、reviewer role reviewer note after redaction free-text feedback with secrets or PII
6.5 Pattern E: Data Partnership / Clean Room
目标: 银行、零售商、支付网络、广告平台或保险合作方需要做重叠客群、转化、欺诈、忠诚度、联名卡或商户洞察, 但不能交换行级客户数据。
Clean room layer 设计要求 Identity resolution 使用 salted hash、token service 或 privacy-preserving match; salt 和 token scope 按合作目的隔离。 Query policy 只允许批准模板查询; 禁止任意 row export、低阈值切片和反复差分查询。 Output controls minimum cohort size、DP noise、suppression、rounding、aggregation、rate limit、purpose watermark。 Governance 每个 partnership 有 purpose、allowed fields、allowed query、allowed users、retention、destruction certificate 和 audit rights。 Evidence 保存 query text / template、parameters、approval、result threshold、noise parameter、recipient 和 downstream use attestation。
6.6 Pattern F: Agent Access to Sensitive Data
目标: Agent 可以帮助员工查找客户、生成草稿、核对交易、创建工单和准备 KYC/欺诈分析, 但不能成为绕过权限和目的限制的超级用户。
User task
-> purpose binding
-> identity and role check
-> policy engine
-> tool gateway
-> minimized result
-> model reasoning with no hidden data retention
-> human approval for external action
-> audit evidence
控制点 要求 Purpose binding 每次工具调用必须绑定 case ID、customer ID、task type 和 allowed purpose。 Tool schema 工具参数采用 allowlist; 禁止 free-form SQL、跨客户搜索和批量导出。 Result minimization 返回字段按任务视图裁剪, 例如只返回 last4、交易区间、风险标签解释, 不返回完整标识符。 High-risk action 发送邮件、更新客户记录、提交 KYC 结论、冻结账户和拒绝服务必须人审。 Trace privacy 审计日志记录控制决策、版本和摘要, 原始 payload 进入受控 evidence store 或不保存。
7. Privacy Budget 与 Purpose Limitation
7.1 Privacy Budget 不是数学装饰
差分隐私的 privacy budget 是产品和治理对象。它决定组织愿意为某个业务目的消耗多少隐私风险余量, 谁批准, 如何监控, 何时停止。
设计项 问题 决策例子 Budget owner 谁拥有预算并接受 utility / privacy trade-off? 信贷模型 owner 与 Privacy Office 共同批准。 Budget scope 预算按数据集、用例、模型、训练活动还是报告产品管理? 客户交易训练集按季度模型训练活动管理。 Composition 多次训练、评估、查询如何累计? 同一 cohort 的 clean room queries 按 partner + campaign + quarter 累计。 Threshold budget 接近上限时发生什么? 达到 80% 触发 review, 100% 自动停止新查询。 Utility guardrail 噪声和 clipping 是否伤害关键群体? 每次 budget 消耗必须记录 segment performance。 Evidence 如何证明参数和消耗? 保存 epsilon、delta、noise multiplier、clipping norm、query count、accounting method。
7.2 Purpose Limitation 在 AI 生命周期中的拆分
AI 活动 是否独立目的 需要的记录 Online inference 是, 直接服务当前客户或员工任务 use case、数据字段、用户提示、供应商处理边界 RAG retrieval 是, 从知识和客户材料中选择上下文 corpus purpose、ACL、retention、citation policy Fine-tuning / training 通常是独立目的 lawful basis / consent / internal policy、数据说明书、排除规则 Eval / red-team 是, 因为会复制或构造测试样本 eval data card、脱敏策略、访问控制、保留期限 Observability / trace 是, 因为产生生产副本 trace schema、redaction、TTL、secure evidence rule Product analytics 是, 不等同于服务履约 aggregation、DP、opt-out 或 policy basis Vendor improvement 是, 风险最高 默认禁止或显式批准, 合同和技术控制必须一致
8. 可落地交付物模板
8.1 PET Architecture Selection Matrix
Field Decision Use case ID FRAUD-COLLAB-2026-Q3 Business purpose 跨机构识别账户接管和设备团伙, 输出机构本地可用的风险信号。 Data subjects 消费者客户、商户联系人、设备持有人。 Data categories tokenized customer ID、device fingerprint token、merchant category、transaction velocity band、confirmed fraud label。 Prohibited data 明文姓名、完整账号、PAN、CVV、身份证影像、SAR/STR 内容、客服原始通话。 Threat model 防合作方看到行级数据; 防平台运营员看到明文; 防 query analyst 通过小群体切片重识别。 Candidate PETs Clean room、secure aggregation、TEE enclave、DP threshold reporting。 Selected architecture TEE-backed clean room for matching + threshold output + DP noise for cohort reports + no row export。 Rejected options Central data lake 因数据移动和用途扩张风险过高; FHE full workflow 因性能和开发复杂度不适合首期。 Privacy budget Partner-level quarterly budget, cohort reporting epsilon 3.0, hard stop at epsilon 5.0; 参数变更需 Privacy Office 和模型风险团队批准。 Utility guardrail 欺诈召回提升、误报率、薄文件客户影响、商户小样本抑制率。 Control evidence Attestation report、query approvals、threshold test、DP ledger、result export log、destruction certificate。 Residual risk 聚合输出仍可能被业务方结合外部数据解释; 用 contractual use restriction 和 query monitoring 降低。 Approvers Fraud Product Owner、Privacy Architect、Legal、Compliance、Security、Model Risk、Data Governance。
8.2 Data Sharing Risk Tier
Tier 数据共享形态 典型用例 最低控制 禁止动作 DS-0 无个人数据, 公开或合成 模型评测方法分享 来源记录、版本控制 声称代表真实客户分布 DS-1 聚合统计, 低重识别风险 门店流量趋势、产品查询量 minimum count、rounding、owner approval 输出小于阈值的细分人群 DS-2 Tokenized / hashed personal data 联名卡匹配、商户归因 purpose-scoped token、salt isolation、query log 把 token 当匿名数据自由复用 DS-3 Sensitive financial / behavioral data 欺诈信号、信贷特征、财富画像 clean room、TEE、DP / threshold、enhanced PIA row-level export、二次营销用途 DS-4 Highly restricted data KYC 文件、AML 线索、SAR/STR、PCI authentication data segregated enclave、need-to-know、legal approval、break-glass evidence 进入通用 LLM、外部标注、非授权训练
8.3 Privacy Budget Register
Field Example Budget ID DP-CREDIT-TRAINING-2026Q3 Data product Credit behavior feature view v4.2 Purpose 训练信用卡预筛辅助模型, 不用于最终拒绝决定。 Mechanism DP-SGD with clipping and Gaussian noise Population 2024-01 至 2026-05 申请样本, 排除撤回同意和 dispute holdout 记录。 Epsilon / delta epsilon 4.0 per quarterly training release; delta 1e-6; 参数保存在受控登记表。 Accounting method RDP accountant, composition across training runs and hyperparameter search。 Clipping norm 1.0, release candidate 冻结后只能通过模型变更流程调整。 Noise multiplier 1.2, 由 utility / privacy calibration 实验确定并进入训练元数据。 Consumption event 每次正式训练、候选模型训练和生产报告查询。 Utility metrics AUC、KS、bad capture、误拒率、分群表现、人工复核队列压力。 Stop rule budget 达到 80% 触发复核; 达到批准上限停止训练并要求新审批。 Evidence location Model risk evidence binder、privacy ledger、training run metadata、approval record。
8.4 Confidential AI Reference Architecture
User / system request
-> identity, role and purpose binding
-> data classification and minimization
-> policy engine
-> confidential execution boundary
- TEE attestation
- approved model / prompt / code measurement
- sealed secrets
- ephemeral decrypted data
- outbound policy enforcement
-> model inference / feature computation / matching
-> output filtering and privacy budget check
-> redacted response
-> privacy-preserving trace
-> secure evidence store for high-risk replay
Component Responsibility Evidence Purpose gateway 把请求绑定到 use case、case ID、customer scope 和 allowed action purpose decision log、denial log Data minimization service 字段 allowlist、tokenization、masking、summary-first retrieval field policy version、redaction test Policy engine ABAC / ReBAC / consent / purpose / sensitivity / risk controls policy bundle hash、decision trace Confidential runtime TEE / secure enclave / confidential VM 运行推理或 join attestation report、image measurement、patch level Key management 控制解密密钥、sealed secrets、rotation 和 access KMS log、key policy、break-glass record Model service 执行 approved model、prompt、retriever、tool chain model card、prompt version、runtime hash Output controller DP、threshold、DLP、citation safety、external disclosure review output test、blocked response log Trace pipeline 只保留最小审计字段, 原始 payload 受控或不保存 trace schema、retention rule、redaction evidence Evidence store 保存高风险事件复盘材料 access log、retention、legal hold status
8.5 DPIA / PIA 增强清单
Section Enhanced question Required evidence Purpose AI 处理是否拆分为 inference、training、eval、monitoring、analytics、vendor improvement? Purpose matrix、allowed AI use record Necessity 每个字段为什么必要? 能否用 token、分箱、聚合、摘要或合成样本替代? Field minimization rationale PET selection 为什么选择 DP / FL / TEE / FHE / clean room 或组合? PET architecture selection matrix Threat model 需要防内部员工、合作方、云平台、模型供应商、恶意客户端还是外部攻击者? Threat model diagram、attack scenario AI trace prompt、retrieval、tool result、completion、feedback 保存什么, 保存多久, 谁可访问? Trace schema、retention matrix Privacy budget 是否有 DP 或 query budget? 如何累计、审批和停止? Privacy budget register Purpose limitation 是否防止从客服、KYC 或欺诈目的漂移到营销、训练或供应商改进? Policy controls、contract terms Data subject rights DSAR、删除、更正、限制处理是否覆盖 memory、embedding、trace、eval 和供应商副本? AI data copy map、delete test Model impact 是否影响高影响金融决策或客户权益? Model risk tier、human review design Residual risk PET 后仍剩余哪些推断、输出泄露、误用和运营风险? Residual risk acceptance
8.6 Control Tests
Control ID Control objective Test procedure Passing evidence PET-CTRL-01 字段最小化真实执行 用高敏字段样本触发 pipeline, 验证未批准字段被阻断或掩码 Redaction test report、blocked field log PET-CTRL-02 Clean room 不允许行级导出 提交低阈值和 row export query, 验证被拒绝 Query denial log、policy test screenshot PET-CTRL-03 Privacy budget 可累计 连续执行同一 cohort 查询, 验证 budget ledger 消耗并触发阈值 Budget register、threshold alert PET-CTRL-04 TEE attestation 被校验 用未批准 image measurement 请求解密密钥, 验证 KMS 拒绝 Attestation failure log、KMS decision PET-CTRL-05 Secure aggregation 不暴露单方更新 验证 coordinator 只收到聚合更新和协议元数据 Aggregation protocol log、security review PET-CTRL-06 AI trace 不保存原始敏感 payload 采样生产 trace, 验证 prompt、tool result、completion 已掩码或摘要化 Trace sampling report PET-CTRL-07 Agent 工具受目的限制 尝试无 case ID、跨客户搜索、批量导出和外发动作 Tool gateway denial log PET-CTRL-08 删除和撤回可传播 对测试客户执行删除或 consent withdrawal, 验证 index、memory、trace、eval 排除 Delete propagation evidence PET-CTRL-09 输出控制防重识别 对小群体、多次差分查询和组合切片执行攻击测试 Re-identification test report PET-CTRL-10 供应商日志和训练使用受控 检查配置、合同和 API header, 验证供应商不使用客户数据训练 Vendor config evidence、DPA clause
8.7 Audit Evidence Pack
Evidence category Artifact Refresh trigger Governance PET decision record、risk tier、approvals、RACI、residual risk acceptance 新用例、重大变更、季度复核 Architecture Data flow、threat model、confidential AI architecture、deployment diagram 架构或供应商变化 Data Data sharing agreement、field inventory、purpose tag、retention matrix、AI data copy map 数据字段或用途变化 PET controls Attestation report、DP ledger、FL run metadata、secure aggregation config、clean room query policy 每次训练、查询、运行环境变更 AI lifecycle Model card、system card、eval report、prompt registry、tool schema approval 模型、prompt、tool、RAG 版本变化 Testing Control test report、red-team report、privacy attack simulation、trace sampling 上线前、定期、事故后 Operations Access review、budget consumption report、query logs、incident log、exception register 月度或季度 Third party DPA、subprocessor list、security review、logging/training opt-out proof、exit plan 供应商入库和年度复核 Data subject rights DSAR mapping、delete test、consent withdrawal test、retention deletion evidence 流程变更和定期演练
9.1 Product Requirements
Requirement ID Requirement PET-PRD-01 每个 AI use case 在立项时必须声明 allowed AI uses: inference、RAG、training、eval、monitoring、analytics、vendor processing。 PET-PRD-02 平台必须提供 data minimization policy-as-code, 支持字段 allowlist、purpose tag、sensitivity label 和 role-based views。 PET-PRD-03 平台必须支持 privacy-preserving trace schema, 默认不采集原始 prompt、完整 tool result 和未掩码 completion。 PET-PRD-04 对 clean room 和 DP 报告类产品, 平台必须提供 privacy budget register、minimum threshold、rate limit 和 query review。 PET-PRD-05 对 confidential inference, 平台必须保存 attestation evidence、runtime measurement、model/prompt version 和 key release decision。 PET-PRD-06 对 agent 工具调用, 平台必须在工具网关层执行 purpose、consent、role、customer scope、field sensitivity 和 action risk 检查。 PET-PRD-07 平台必须把 memory、embedding、trace、eval sample 和 vendor logs 纳入 AI data copy map 与 deletion propagation。 PET-PRD-08 所有 PET 控制必须产生机器可读证据, 供审计证据包、模型风险验证和监管响应复用。
9.2 Build / Buy / Partner
Capability Build when Buy / partner when Evaluation criteria Clean room query policy、identity tokenization 和输出控制是核心差异化 需要快速支持多方协作和标准报表 阈值控制、DP 支持、审计日志、数据驻留、合同条款 TEE confidential inference 需要深度集成 KMS、模型路由和内部工具 需要云原生 confidential VM / enclave 能力 attestation、硬件覆盖、性能、patch management、供应商日志 FL orchestration 训练协作是长期平台能力 先做小范围验证或参与方技术栈差异大 client management、secure aggregation、DP、fault tolerance、model validation FHE 计算模式窄、团队有密码学工程能力 需要成熟库或供应商解决特定隐私计算问题 scheme support、latency、精度、密钥管理、审计和安全评审 Trace privacy AI 平台必须统一治理 observability 使用外部 AI observability 平台 redaction-before-export、field controls、retention、customer-managed keys
10. 治理模型
10.1 RACI
Activity AI Product Architect Privacy Architect Data Product Security Model Risk Compliance / Legal Platform PM Use case risk tier A/R R C C C C R PET selection A/R A/R R R C C R Data minimization R A/R A/R C C C R Privacy budget approval C A/R R C C C C Confidential runtime review R C C A/R C C R Clean room query policy R A/R A/R C C A/R R AI trace privacy A/R A/R R R C C R Control testing R A/R C R A/R C R Audit evidence pack R A/R R R A/R A/R R
10.2 Release Gates
Gate Exit criteria Intake gate Business purpose、data subject、data category、allowed AI uses、risk tier、owner 明确。 Architecture gate PET selection matrix、data flow、threat model、confidential AI architecture 和 residual risk 完成评审。 Data gate Field inventory、PII minimization、purpose tag、retention、AI data copy map 和 DSAR 覆盖完成。 Model / AI gate Model card、system card、eval、human review、output control 和 model risk tier 完成。 Privacy gate DPIA / PIA 增强清单、privacy budget register、trace privacy、consent / purpose controls 完成。 Security gate TEE attestation、KMS、access control、secure aggregation / clean room config、vendor security 完成。 Evidence gate Control tests、audit evidence pack、exception log、runbook 和 monitoring dashboard 完成。
11. 金融零售案例包
11.1 跨机构欺诈信号协作
Item Design Business objective 提升账户接管、设备团伙和 synthetic identity 识别能力。 PET stack Clean room + TEE + threshold reporting + DP for cohort statistics; 对模型训练试点增加 FL + secure aggregation。 Data minimization 明文客户标识不出机构; 使用 purpose-scoped token、设备 token、交易 velocity band 和 confirmed fraud label。 Key controls query template approval、minimum cohort、no row export、partner-level budget、use restriction、audit trail。 Residual risk 合作方可能用自身数据解释聚合信号; 通过合同、监控和 query suppression 控制。
11.2 财富 / 信贷模型训练
Item Design Business objective 用多地域或多业务线数据训练更稳健的客户风险、适当性或预筛模型。 PET stack Federated learning + secure aggregation + DP-SGD for selected features; central validation 使用脱敏 holdout 和分群评估。 Data minimization 不移动原始交易、KYC 文件、收入证明; 使用 approved feature view 和本地标签生成。 Key controls privacy budget register、client quality checks、model risk validation、human review for high-impact outputs。 Residual risk 梯度和模型参数仍可能携带信息; 用 clipping、DP、secure aggregation、membership inference testing 降低。
11.3 KYC 文档处理
Item Design Business objective 提取证件字段、核对一致性、生成 KYC 分析摘要和缺件提示。 PET stack Confidential inference in TEE + transient object store + redacted trace + role-gated review queue。 Data minimization 保存字段级结果、置信度、source pointer 和 reviewer decision; 原始文档按 records policy 独立保存。 Key controls document classification、model logging off、attestation、OCR/VLM consistency check、manual review。 Residual risk 模型误读和过度推断; 用来源引用、规则校验和人审控制。
11.4 客服 Copilot Trace 隐私
Item Design Business objective 提高客服处理效率、响应一致性和质量抽检能力。 PET stack Prompt DLP + RAG ACL + tool gateway + structured trace redaction + secure replay for incidents。 Data minimization 默认只保存 intent、policy flags、masked entities、model version、retrieval IDs 和 action decisions。 Key controls customer context lock、PII redaction before observability export、trace TTL、sample-based control testing。 Residual risk 为复盘保留的 encrypted raw payload 仍有访问风险; 用 break-glass approval、短 TTL 和 access monitoring 控制。
11.5 数据合作 / Clean Room
Item Design Business objective 与零售商或支付网络分析联名卡转化、商户行为和忠诚度活动效果。 PET stack Clean room + tokenized identity matching + threshold output + DP noise for repeated measurement。 Data minimization 合作方只上传 purpose-scoped token 和必要活动维度; 不上传完整购物篮明细。 Key controls query templates、campaign-level purpose、minimum audience size、no downstream re-identification、export watermark。 Residual risk 多次 campaign query 可能形成差分攻击; 用 query ledger、rate limit 和 budget composition 控制。
11.6 Agent 访问敏感数据
Item Design Business objective 让员工 Agent 协助查证客户问题、生成工单草稿、准备欺诈或 KYC 分析材料。 PET stack Purpose-bound tool gateway + ABAC/ReBAC + field minimization + confidential inference for sensitive payload + trace privacy。 Data minimization 工具按任务返回最小字段, 例如 last4、金额区间、事件时间、状态码、证据链接。 Key controls no free-form SQL、case-scoped access、human approval for external action、secure evidence store。 Residual risk Agent 通过连续工具调用拼接画像; 用 graph-level policy、session limits 和 anomaly detection 控制。
12. 30 天训练计划
Day 主题 产出 1 建立 Confidential AI 总览: PET 家族、金融零售场景、风险边界 一页 PET concept map 2 NIST Privacy Framework 与 NIST AI RMF 对齐 AI privacy risk mapping 表 3 Purpose limitation 拆解: inference、training、eval、monitoring、analytics Allowed AI Use Matrix 4 PII minimization for AI context 字段最小化策略和 prompt/RAG/tool 数据边界 5 AI trace privacy Trace schema 与 redaction-before-export 设计 6 Differential privacy product thinking Privacy budget register v1 7 DP-SGD 与模型效用权衡 Credit model DP trade-off note 8 Membership inference 与训练数据泄露 Privacy attack test plan 9 Federated learning 架构 Wealth / credit FL architecture sketch 10 Secure aggregation FL aggregation threat model 11 FL governance: client quality、参与方异构、模型风险 FL operating model 12 Confidential computing / TEE TEE attestation evidence checklist 13 Confidential inference KYC confidential inference architecture 14 FHE 工程边界 FHE candidate use case filter 15 Data clean room Clean room query policy 16 Cross-institution fraud collaboration Fraud signal collaboration blueprint 17 客服 Copilot trace 隐私 Copilot trace control tests 18 Agent 访问敏感数据 Tool gateway policy requirements 19 Data sharing risk tier DS risk tier register 20 DPIA / PIA 增强 Enhanced DPIA checklist 21 Control test design PET control test pack 22 Audit evidence pack Evidence binder structure 23 Vendor and cloud risk Confidential AI vendor review questions 24 Key management and secrets KMS / sealed secrets decision note 25 Deletion propagation AI data copy map and deletion test 26 Human review and high-impact decisions Human oversight controls for credit / wealth / KYC 27 Metrics and monitoring PET operational dashboard spec 28 Case synthesis 选择一个金融零售场景完成端到端架构 29 面试表达 6 道高级面试题 STAR-T 回答 30 作品集打磨 一份 Confidential AI architecture review pack
13. 高级面试题准备
Q1: 金融机构要做跨机构欺诈数据协作, 你如何选择 PET 架构?
30 秒版本 :
我不会从“上 FHE 还是 clean room”开始, 而会先定义业务目的、共享边界、攻击模型和输出风险。多数首期欺诈协作适合 TEE-backed clean room + tokenized matching + threshold reporting + DP query controls; 如果目标是训练共享模型, 再引入 FL、secure aggregation 和 DP accounting。
2 分钟版本 :
第一步是把目的限定为欺诈识别, 禁止营销、定价或泛化客户画像。第二步做数据最小化, 明文客户标识、PAN、KYC 文件和 SAR/STR 不进入协作环境, 只允许 purpose-scoped token、设备 token、交易 velocity band 和确认欺诈标签。第三步根据攻击模型选架构: 如果主要是匹配和聚合分析, clean room 更容易审计; 如果协调环境也不可信, 加 TEE attestation; 如果训练共享模型, 用 FL + secure aggregation, 并用 DP 限制单个客户贡献。第四步控制输出泄露, 包括 minimum cohort、query approval、DP budget、rate limit 和 no row export。最后把 evidence pack 做好, 保存 query、threshold、attestation、budget、审批和残余风险接受。
追问准备 :
追问 回答 为什么不直接用 FHE? FHE 适合窄计算和强不信任场景, 但全流程欺诈分析通常有复杂 join、图特征、迭代探索和低延迟需求。首期用 clean room / TEE 更可落地, 对特定 matching 或 scoring 再评估 FHE。 TEE 是否就足够? 不足够。TEE 保护 data-in-use, 但不自动防止输出重识别、用途漂移和 query 滥用, 仍需要 DP、threshold、query policy 和审计。
Q2: Differential Privacy 的 privacy budget 如何产品化管理?
30 秒版本 :
Privacy budget 应该像风险额度一样管理, 按数据产品、用例、模型或合作方定义 owner、scope、epsilon/delta、composition、stop rule 和 evidence, 不能只是数据科学 notebook 里的参数。
2 分钟版本 :
在金融零售里, DP 的难点不是会不会加噪, 而是组织能否解释为什么为某个目的消耗这部分隐私预算。我的做法是建立 privacy budget register: 记录数据集、业务目的、机制、参数、训练或查询次数、composition 方法、utility 指标、分群影响和审批人。预算达到阈值触发复核, 达到上限自动停止新训练或新查询。还要把 budget 和 purpose limitation 绑定, 例如客服数据的预算不能被转移给营销训练。对信贷和财富模型, DP 后必须重新验证关键群体表现, 防止隐私控制造成薄文件客户或小样本群体的服务质量下降。
追问准备 :
追问 回答 epsilon 选多少? 不能脱离数据规模、攻击模型、业务影响和机构政策给固定答案。高级 PM 要推动 calibration、utility test、privacy review 和审批, 而不是自己拍数。 DP 是否能让数据匿名化? 不能简单等同。DP 是限制个体贡献泄露的数学机制, 但数据处理、用途、输出、权限和重识别风险仍需治理。
Q3: Federated Learning 在银行信贷模型中最大的治理风险是什么?
30 秒版本 :
最大风险是团队误以为“数据不出本地”就没有隐私和模型风险。实际上梯度、模型参数、客户端质量差异、标签定义差异、参与方激励和分群表现都会带来新的隐私与模型风险。
2 分钟版本 :
我会把 FL 当成跨组织模型系统治理, 而不是训练技巧。核心控制包括: 本地 feature view 和标签定义 contract、secure aggregation 防止协调方看到单方更新、DP 限制成员推断、客户端质量和漂移监控、恶意或异常客户端检测、全局模型的独立验证。信贷场景还要考虑 fair lending、adverse action、人审和解释责任。FL 不能作为绕过模型风险管理的理由; 模型卡、系统卡、验证报告和上线门禁仍然必须完整。
追问准备 :
追问 回答 Secure aggregation 解决什么? 它主要保护单个参与方更新不被协调方直接看到, 但聚合结果和最终模型仍可能泄露信息, 所以常与 DP 和攻击测试组合。 FL 的产品 KPI 怎么设? 同时看模型效用、参与方覆盖、训练稳定性、通信成本、隐私预算、控制测试通过率和分群公平性。
Q4: Confidential inference 和普通加密传输有什么区别?
30 秒版本 :
加密传输保护 data-in-transit, 加密存储保护 data-at-rest, confidential inference 关注 data-in-use, 即模型推理时输入、模型权重和中间状态在受保护执行环境中处理, 并通过 attestation 证明运行环境和代码版本。
2 分钟版本 :
在 KYC、财富和客服场景里, 数据进入模型时才是高风险时刻。Confidential inference 通常用 TEE / confidential VM / enclave 加上 KMS 和 remote attestation。请求先做身份、目的和字段最小化, 然后只有通过 attestation 的运行环境才能解密数据或密钥。推理后输出经过 DLP、policy 和 trace redaction, 生产日志不保存原始敏感 payload。它解决的是云平台、供应商或内部运营员看到 data-in-use 的风险, 但仍不能单独解决输出泄露、错误建议和用途漂移。
追问准备 :
追问 回答 TEE 有什么残余风险? 侧信道、硬件漏洞、错误配置、未验证镜像、密钥释放策略错误和日志外泄。需要 patch、attestation、KMS policy、runtime measurement 和 control tests。 为什么不只靠合同? 合同是治理控制, 但高敏 AI 场景需要技术控制和证据。合同说不看数据, attestation 和日志证明系统降低了看到数据的机会。
Q5: 如何保护客服 Copilot 的 AI trace 隐私?
30 秒版本 :
我会把 trace 当成新的敏感数据产品治理。默认只记录结构化摘要、控制决策、版本和风险标签; 原始 prompt、tool result 和 completion 不进入通用 observability, 高风险复盘才进入加密 evidence store。
2 分钟版本 :
客服 Copilot 的 trace 包含客户问题、检索材料、工具返回、模型回答、人工修改和反馈, 隐私风险很高。我的设计是 redaction-before-export: 在进入日志和观测平台前完成 PII / PCI / secret detection、字段掩码和摘要化。RAG 只记录 document ID、版本和 ACL 决策, 不保存无关客户材料。工具调用只记录字段名、记录数和 decision code, 不保存完整交易流水。事故复盘需要原文时, 使用 secure evidence store、break-glass approval、短 TTL、访问日志和 legal hold。trace schema 还要纳入 DSAR、删除和供应商评审。
追问准备 :
追问 回答 不保存原文如何 debug? 用分层证据: 默认结构化摘要支持趋势监控; 高风险样本通过受控 replay package 保存; 评测集用脱敏或合成样本覆盖常见错误。 这会不会降低可观测性? 会牺牲一些便利性, 但可以通过事件代码、policy decision、retrieval ID、model version 和红acted sample 保持足够诊断能力。
Q6: Agent 访问敏感数据时, Product Architect 应该设置哪些硬边界?
30 秒版本 :
Agent 不能直接继承“员工能看什么就能查什么”。必须通过 tool gateway 强制 purpose binding、case scope、field minimization、action approval、trace privacy 和 anomaly monitoring。
2 分钟版本 :
我会把 Agent 设计成受控执行者。每个工具调用必须绑定用户、角色、case ID、客户范围、业务目的和动作类型。工具 schema 不允许 free-form SQL 和批量导出, 只能调用 approved tools。返回结果按任务裁剪, 例如 last4、金额区间和状态码, 而不是完整账户资料。对外发送、更新客户记录、提交 KYC 结论、冻结账户、拒绝服务等动作必须 human approval。最后, audit log 记录模型版本、policy decision、工具参数摘要和人审结果, 不把完整敏感 payload 放入普通日志。
追问准备 :
追问 回答 Prompt guardrail 是否够? 不够。提示词是软约束, 敏感数据访问必须在工具网关、策略引擎和数据层强制执行。 如何防止 Agent 多步拼接画像? 需要 session-level 和 graph-level policy, 包括查询次数、跨客户边界、字段组合风险、异常访问检测和人工升级。
14. 与既有 AI Playbook 的连接
已有文档 本文连接点 docs/AI_PRIVACY_DATA_PROTECTION_PLAYBOOK.md本文聚焦 PET 与 confidential AI, 可作为该隐私治理手册的高级架构扩展。 docs/AI_DATA_PRODUCT_MANAGEMENT_PLAYBOOK.md把 data product 的字段、血缘、质量和访问控制延伸到 privacy budget、clean room 和 AI data copy map。 docs/AI_MODEL_RISK_MANAGEMENT_PLAYBOOK.md把 PET 后的模型训练、验证、上线和持续监控纳入 MRM, 防止“隐私技术替代模型治理”。 docs/AI_AUDIT_EVIDENCE_BINDER_PLAYBOOK.md本文的 control tests、attestation、DP ledger、query logs 和 trace sampling 可直接进入 audit evidence binder。 docs/AI_AGENT_PROTOCOLS_MCP_A2A_PLAYBOOK.mdAgent 访问敏感数据时, tool gateway、purpose binding 和 trace privacy 是协议层治理要求。 docs/AI_OBSERVABILITY_COST_SLO_PLAYBOOK.mdAI trace privacy 约束 observability 的 payload、retention、sampling 和 evidence design。
15. 参考来源