(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN112487479A(43)申请公布日2021.03.12(21)申请号202011435672.7(22)申请日2020.12.10(71)申请人支付宝（杭州）信息技术有限公司地址310000浙江省杭州市西湖区西溪路556号8层B段801-11(72)发明人曹佳炯丁菁汀(74)专利代理机构北京亿腾知识产权代理事务所(普通合伙)11309代理人陈霁周良玉(51)Int.Cl.G06F21/62(2013.01)G06K9/62(2006.01)G06N3/04(2006.01)G06N3/08(2006.01)权利要求书2页说明书9页附图4页(54)发明名称一种训练隐私保护模型的方法、隐私保护方法及装置(57)摘要说明书实施例提供了一种训练隐私保护模型的方法、隐私保护方法及装置，隐私保护模型用于为预先训练的深度学习模型提供模型隐私保护，深度学习模型的输出结果为图像，该训练方法包括：获取第一数据，以及深度学习模型针对第一数据生成的第一图像；将第一图像输入所述隐私保护模型，生成第二图像；基于第一图像和第二图像，确定图像差异损失；将第一数据输入用于模拟深度学习模型的替代模型，以第一图像为标签确定第一梯度，并以第二图像为标签确定第二梯度；根据第一梯度和第二梯度，确定梯度差异损失；以图像差异损失趋于减少，梯度差异损失趋于增大为目标，更新所述隐私保护模型。CN112487479ACN112487479A权利要求书1/2页1.一种训练隐私保护模型的方法，所述隐私保护模型用于为预先训练的深度学习模型提供模型隐私保护，所述深度学习模型的输出结果为图像，所述方法包括：获取第一数据，以及所述深度学习模型针对所述第一数据生成的第一图像；将所述第一图像输入所述隐私保护模型，生成第二图像；基于第一图像和第二图像，确定图像差异损失；将所述第一数据输入用于模拟所述深度学习模型的替代模型，以第一图像为标签确定第一梯度，并以第二图像为标签确定第二梯度；根据所述第一梯度和第二梯度，确定梯度差异损失；以所述图像差异损失趋于减少，所述梯度差异损失趋于增大为目标，更新所述隐私保护模型。2.根据权利要求1所述的方法,还包括：基于所述第一梯度和/或第二梯度，更新所述替代模型。3.根据权利要求1所述的方法，其中，所述隐私保护模型基于Unet模型。4.根据权利要求1所述的方法，其中，所述第一数据为图像或图像特征。5.根据权利要求1所述的方法，其中，所述第二图像的图像格式为无损压缩格式。6.根据权利要求1所述的方法，其中，所述基于第一图像和第二图像，获取图像差异损失，包括：根据第一图像和第二图像的欧式距离，确定图像差异损失。7.根据权利要求1的方法，还包括，对所述替代模型进行预训练。8.根据权利要求7所述的方法，其中，对所述替代模型进行预训练，包括：获取第二数据，以及所述深度学习模型针对所述第二数据生成的第三图像；将所述第二数据输入替代模型，获取第四图像；以第四图像趋近第三图像为目标，更新所述替代模型。9.根据权利要求1所述的方法，其中，将所述第一数据输入用于模拟所述深度学习模型的替代模型，以第一图像为标签确定第一梯度，包括：将所述第一数据输入所述替代模型，获取其生成图像；根据该生成图像和第一图像，确定差异损失；根据所述差异损失，基于所述替代模型确定第一梯度。10.一种深度学习模型的隐私保护方法，所述方法包括：获取有待处理的第三数据；将所述第三数据输入所述深度学习模型，得到所述深度学习模型针对所述第三数据生成的第五图像；将第五图像输入隐私保护模型，生成第六图像；所述隐私保护模型通过权利要求1‑9的方法训练得到；输出第六图像。11.根据权利要求10所述的方法，其中，所述第六图像的图像格式为无损压缩格式。12.一种隐私保护模型的训练装置，所述隐私保护模型用于为预先训练的深度学习模型提供模型隐私保护，所述深度学习模型的输出结果为图像，所述装置包括：第一获取单元，配置为获取第一数据，以及所述深度学习模型针对所述第一数据生成2CN112487479A权利要求书2/2页的第一图像；第二获取单元，配置为将所述第一图像输入所述隐私保护模型，生成第二图像；图像差异损失确定单元，配置为基于第一图像和第二图像，确定图像差异损失；梯度确定单元，配置为将所述第一数据输入用于模拟所述深度学习模型的替代模型，以第一图像为标签确定第一梯度，并以第二图像为标签确定第二梯度；梯度差异损失确定单元，配置为根据所述第一梯度和第二梯度，确定梯度差异损失；模型更新单元，配置为以所述图像差异损失趋于减少，所述梯度差异损失趋于增大为目标，更新所述隐私保护模型。13.根据权利要求12所述的装置,还包括：替代模型更新单元，配置为基于所述第一梯度和/或第二