1.摘要

近年来的研究探索了如何训练机器学习模型，这些模型不会因性别或种族等敏感属性所决定的不同群体而产生歧视。为避免差别待遇，不应考虑敏感属性。另一方面，为了避免不同的影响（例如，为了得到公平的模型），必须检查敏感属性，或检查给定模型是否公平。本文介绍了来自安全多方计算的方法，这些方法允许我们避免上述两种影响。通过加密敏感属性，我们展示了如何在不让用户泄露其敏感属性的情况下训练、检查或确认其输出的结果为基础的公平模型。

2.介绍

令人担忧的是，制造或支持影响个人的重要决策的机器学习系统（例如汽车保险定价，恢复过滤或累犯预测）可能会非法或不公平地歧视某些人群。不断发展的公平学习领域旨在使相关要求正式化，并通过改变算法决策管道的各个部分来检测和减轻潜在的歧视。

大多数法律上有问题的歧视都集中在基于敏感属性的差异上，例如性别或种族。第一种类型，差别待遇（或直接歧视），会在根据个人的敏感属性（与所有其他人相同）对待不同的个体时发生。为避免差别待遇，不应该询问个人的敏感属性。虽然这具有一些直观的吸引力和理由，但是一个重要的问题是敏感属性通常可以从非敏感特征准确地预测（“重建”）。这促使我们需要采取措施处理第二类歧视。

当决策结果不成比例地使具有特定敏感属性设置的子群中的个体受益或伤害而没有适当的理由时，就会发生差别影响（或间接歧视）。例如，部署汽车保险远程信息处理设备的公司建立了驾驶行为的高维图片，即使省略它们也可能容易代理敏感属性。最近公平学习的许多工作都集中在避免各种不同影响概念的方法上。

为了检查和实施这些要求，建模者必须能够访问训练数据中个人的敏感属性，但是，出于若干原因，这可能是不太现实的。首先，个人不太可能希望将敏感属性开放给所有应用程序域中的建模者。如果申请具有明显的歧视性潜力，那么个人可能会担心提供敏感属性的建议者可能会利用这些属性产生负面影响，尤其是不能保证确实会学习和部署公平模型，这是可以理解的。即使某些建模者本身受到信任，敏感数据的广泛提供也会在数据泄露事件中产生更高的隐私风险。

此外，法律障碍可能限制敏感个人数据的收集和处理。最近的例子是欧盟的通用数据保护条例（GDPR），其中包含收集和处理某些敏感属性的先决条件。与其他数据不同，建模者无法证明在公平学习中使用敏感特征与其“合法利益”，而这些通常需要明确，也自然没办法获得同意。

Veale＆Binns最近提出了解决这些问题的一种方法。这个想法是让一个高度信任的第三方参与，并且在某些情况下可能会运作良好。但是，存在很大的潜在困难：个人必须向第三方披露其敏感属性（即使个人信任该方，她也可能担心数据可能以某种方式被他人获取或攻击）; 建模者必须向第三方披露其模型，这可能与其知识产权或其他业务问题不相符。

贡献：我们提出了一种方法来检测和减轻不同的影响，而不会泄露可读的访问敏感属性。这反映了这样一种观念，即决定应该对一个人的状态视而不见 - 由一个被蒙住眼睛的公平仲裁者持有平衡尺度并在法庭上描绘。我们假设存在一个具有公平目标的监管者（例如数据保护机构或反歧视机构），通过最近的安全多方计算（MPC）方法，我们实现了可审计的公平学习，同时确保个人的敏感属性和建模者模型对其他各方（包括监管机构）保密。我们支持的理想公平和问责制应用包括：

1.公平认证。给定模型和个体数据集，检查模型是否满足给定的公平约束（我们考虑文献中的几个概念）;如果是，则生成认证。

2.公平训练建模。给定个人数据集，训练出有保证的和认证公平的模型。

3.决策验证。恶意建模者可能会通过公平训练建模的检查，但在实践中使用不同的模型。为解决此类问责制问题，我们有效地提供了一个独立的机会来挑战收到的结果，验证其与先前认证的模型的结果相匹配。

我们依靠MPC最近的理论发展，我们扩展这些理论发展以承认线性约束，以强制执行公平要求。这些扩展可能具有独立的利益。我们展示了我们方法的真实效果，并且应该公开我们的代码。

3.公平性与私人需求

本部分将用来介绍我们的实验设置以及实验需要

3.1.假设与灵感

我们假设有三类参与者：建模者M，监管者REG和用户U1, . . . , Un，对于每个用户，我们考虑敏感特征的向量（或属性，我们可互换地使用这些术语）zi∈Z（例如，种族或性别）可能是歧视的来源，以及非敏感特征的向量xi∈X （离散的或真实的）。另外，每个用户都具有非敏感特征yi∈Y，建模者M想要预测标签（例如，贷款违约）。根据当前公平学习的工作，我们假设所有zi和yi属性都是二元的，尽管我们的MPC方法可以扩展到多标签设置。社会关注的来源是敏感属性zi可能与xi或yi相关。

Modeler M希望训练模型fθ：X→Y，其以受监督的方式精确地将特征xi映射到标签yi。考虑到知识产权或其他商业原因，我们假设M需要将模型保密。模型fθ不使用敏感信息zi作为输入来防止不同的处理（直接歧视）。

对于每个用户Ui，M观察或提供xi，yi。zi中的敏感信息需要确保fθ满足给定的不同影响公平条件F（参见第4.2节）。虽然每个用户Ui希望fθ满足F，但他们也希望将zi保持为所有其他方的私有。监管机构REG旨在确保M仅部署满足公平条件F的模型。它没有动机与M勾结（如果串通是一个问题，则需要更复杂的加密协议）。此外，建模者M可能在法律上有义务向监管者REG证明他们的模型在公开部署之前满足公平条件F。作为其中的一部分，REG还有积极的责任来训练公平模型。

在4.3节中，我们定义并解决了我们实验设置中的三个基本问题：认证，训练和验证。对于每个问题，我们都会介绍其功能目标及其隐私要求。我们分别将 和 称为非敏感和敏感数据。在4.2节中，我们首先提供了公平学习文献中探讨的各种公平概念的必要背景。

3.2.公平性标准

在很大程度上，通过平衡具有不同敏感属性的人群（z与z‘）之间的某种条件，正式化机器学习公平性的工作是这样做的。目前已经提出了几种可能的条件，流行的选择包括（其中y∈{0,1}和 是机器学习模型的预测）：

分别考虑以下公式：（1）准确度，（2）真阳性率，（3）真阴性率，（4）正预测值，（5）负预测值，或（6）接受率。

在这项工作中，我们专注于公式（6）变体，由Zafar等人制定的约束优化问题，模拟p％-rule：对于任何二元保护属性z∈{0,1}，它的目的是实现：

我们认为，在未来的工作中，类似的MPC方法也可以用于条件（1），（2）或（3），据我们所知，所有其他措施都已通过有效标准解决（非私人）方法。

3.3. 认证，训练和验证

公平认证。给定公平性F的概念，建模者M希望与监管机构REG合作以获得模型fθ公平的认证。为此，我们建议用户将其非敏感数据D发送到REG;并将其敏感数据Z的加密版本发送到M和REG。M和REG都不能读取敏感数据。但是，我们可以设计M和REG之间的安全协议（在第5节中描述）来证明模型是否公平。这种设置如图1所示（左）。

虽然REG和M都了解认证的结果，但我们需要以下隐私限制：（C1）敏感用户数据的隐私：除了Ui之外，没有一个能够明确地学习zi，（C2）模型保密：只有M清楚的学习fθ，（C3）D到REG的最小公开：只有REG明确地学习D.

公平模式训练。建模者M如何在不访问用户敏感数据Z的情况下学习公平模型？我们建议通过让用户将其非敏感数据D发送到M并将其敏感数据的加密分发到M和REG（如认证）来解决此问题。我们将描述M和REG之间的安全MPC协议，以便私有地训练公平的模型。此设置如图1（中）所示。

隐私限制：（C1）敏感用户数据的隐私，（C2）模型保密，以及（C3）D到M的最小披露。

决策验证。假设恶意M已经具有由REG成功验证的模型fθ，如上所述。然后它将fθ换成现实世界中另一个可能不公平的模型fθ‘。当用户收到决策 ，例如，她的抵押被拒绝时，她可以通过向REG询问验证V来质疑该决定。验证涉及M和REG，并且包括验证fθ‘（x）=fθ（x），其中x是用户的非敏感数据。这确保了用户将使用经过认证的模型fθ获得相同的结果，即使fθ‘= fθ且fθ‘不公平。但是，没有简单的技术方法来防止恶意M部署不公平的模型如果用户质疑在fθ下会有所不同的决定，它就会被捕获。此设置如图1（右）所示。

隐私约束：当REG和用户了解验证结果时，我们要求（C1）敏感用户数据的隐私，以及（C2）模型保密。

3.4.设计选择

我们使用调节器有几个原因。鉴于公平学习对弱势群体最有利，我们不希望因为个体而影响最终结果。虽然MPC可以在没有监管机构参与的情况下进行，但将所有用户作为参与方使用，但这会带来更高的计算成本。使用当前的方法，考虑到许多关注域中的用户群的大小，采用该方法是不现实的，并且还需要所有用户同时在线。引入调节器可以消除这些障碍，并将用户的计算负担保持在最低水平，设想的应用程序仅适用于其Web浏览器。

如果用户不满意使用REG或M共享D，那么扩展所有三个任务以使xi，yi，zi全部保持私有，并且计算成本仅增加2倍，这是微不足道的。有时是理想的，因为它限制了M到最终模型的视图，当D已知时禁止推出Z。然而，这种设置阻碍了建模者的探索性数据分析，这可能促进稳健的模型构建，并且在验证的情况下，由监管者验证用户提供的数据是正确的。

4.解决方案

我们提出的解决这三个问题的方法是使用多方计算（MPC），在我们描述如何将其应用于公平学习之前，我们首先介绍MPC的基本原理，以及它在机器学习应用环境中的局限性。

4.1. 用于机器学习的MPC

多方计算协议允许保持秘密值x1和x2的双方P1和P2通过y = f（x1，x2）来评估一致的函数f，其中各方（​​两者或其中一方）只学习y 。例如，如果f（x1，x2）= I（x1 <x2），那么各方将了解他们的哪个值更大，但没有别的。这相当于着名的姚氏百万富翁问题：两个百万富翁想要总结谁更富有而没有向对方透露他们的财富。这个问题是由Andrew Yao在1982年引入的，并开启了密码学中的多方计算领域。

在我们的实验设置中，f将是（i）检查模型的公平性并对其进行认证的程序，（ii）具有公平约束的机器学习训练程序，或者（iii）模型评估以验证决策。参与我们计算的两方是建模者M和监管者REG。输入取决于具体情况（见图1）。

图1.公平认证（左），公平模型训练（中）和决策验证（右）

由于通用解决方案尚未扩展到实际数据分析任务，因此通常必须根据所需功能定制自定义协议。这种方法已经成功地用于各种机器学习任务，例如逻辑和线性回归，神经网络训练和评估），矩阵分解和主成分分析。在下一节中，我们将回顾在MPC中实现机器学习算法时出现的可扩展性问题之外的挑战。

4.2. 多方机器学习中的挑战

根据目标函数是表示为布尔运算还是算术运算，MPC协议可以分为两组。所有协议通过让各方联合评估电路，逐个门处理电路，同时通过秘密共享方案保持对双方隐藏的中间值来进行。虽然可以在不失去表现力的情况下将功能表示为电路，但这意味着某些操作是不切实际的。特别地，当实现为电路时，根据输入数据执行不同分支的算法将在大小上爆炸，并且在一些情况下失去其运行时间保证（例如，考虑二进制搜索）。

至关重要的是，这适用于浮点运算。虽然这项工作正在进行中，但最先进的MPC浮点运算实现需要超过15毫秒才能将两个64位数相乘，这对于我们的应用程序来说是非常重要的。因此，机器学习MPC协议仅限于定点算术。克服这一限制是该领域的关键挑战。MPC可行性的另一个必要性是近似非线性函数，例如S形，理想情况是（分段）线性函数。

4.3. 我们的MPC协议

输入共享。为了实现图1中的功能，我们首先需要一个安全的过程，以便用户秘密地与建模者M和调节器REG共享敏感值，例如她的种族。我们使用添加剂秘密共享。值z在有限域Zq中表示，我们使用q = 264。为了共享z，用户随机均匀地从Zq采样值r，并且将z-r发送到M并且将r发送到REG。可以重构z （并随后在MPC计算中通过简单的加法操作），每个共享本身不会显示任何z（除非它在Zq中）。人们可以将算术共享视为“分布式一次性填充”。

在图1中，我们现在重新解释REG持有的密钥和M的加密z作为敏感属性的相应份额，并分别用h<z>1和h<z>2表示它们。以这种方式将计算私下外包给两个非串通方的想法在MPC中经常出现，通常被称为双服务器模型。

签署和检查模型。注意认证和验证部分对应于公平训练任务的子程序：在训练期间，我们检查公平性约束F，并重复评估训练数据集上的部分模型（使用梯度下降）。因此，认证和验证不会增加训练的技术难度，这将在第4节中详细描述。但是，为了验证，我们仍然需要“签署”模型，即REG应该获得签名s（θ）作为模型认证的结果，见图1（左）。该签名用于检查验证阶段，来自M的给定模型θ0是否满足经认证的公平模型θ的s（θ‘）= s（θ）（在这种情况下θ=θ‘具有高概率）。此外，我们需要保持模型的保密性，即REG不应该能够从s（θ）恢复θ。考虑到模型的空间很大，这些属性需要加密哈希函数，例如SHA-256。

另外，在我们的函数中，θ的散列应该在MPC内部计算，以隐藏来自REG的θ。幸运的是，SHA-256等加密哈希值是MPC中常见的基准功能，并且它们的执行得到了高度优化。更具体地说，计算s（θ）的开销是需要进行认证和验证的，其开销大约为几分之一秒。虽然加密哈希函数在MPC中具有各种应用，但我们认为机器学习模型认证的应用是新颖的。

因此，认证在MPC中实施为检查θ满足标准F，然后计算s（θ）。另一方面，为了验证，MPC协议首先计算由M提供的模型的签名，然后只要计算的签名与在验证阶段中由REG获得的签名匹配就进行预测。替代解决方案可以基于共享密钥下的对称加密，因为可以使用诸如AES的分组密码的高效MPC实现。

公平的训练。为了实现上一节中的公平训练功能，我们密切关注Mohassel＆Zhang最近推出的技术。具体来说，我们扩展了他们的自定义MPC协议以进行逻辑回归，以额外处理线性约束。这种扩展可能具有独立的意义，并且具有超越公平性的保护隐私的机器学习的应用。在下一节中将介绍实现此目标的具体技术难题以及如何克服这些目标。我们的公平训练协议的正式隐私保证在以下命题中说明。

命题1.对于非串通M和REG，我们的协议在存在半诚实对手的情况下实现了满足第2.3节中的约束（C1）-（C3）的公平模型训练功能。

证明在随机预言模型中，作为组合多个MPC原语的标准模拟参数。它利用了半诚实模型中算术共享，乱码电路和不经意传输协议的安全性。

5.公平训练的技术难关

我们现在提供我们量身定制的方法，用于学习和评估具有加密敏感属性的公平模型。我们做出了以下贡献：

•我们认为公平学习算法的当前优化技术对于定点数据是不稳定的，这是我们的MPC技术所要求的。

•我们描述了非常适合学习定点数表示的优化方案。

•我们结合使用特殊操作来逼近非线性函数，以使定点算法可行并避免过流和欠流。

手头的优化问题是学习一个受公平约束F（θ）约束的（通常是凸的）分类器θ：

其中lθ是一个损失项（这项工作中的逻辑损失）。我们从 U1, . . . , Un中收集用户数据，形成矩阵X∈Rn×d，Z∈{0,1} n×p和标签矢量y∈{0,1} n。

Zafar等人使用p％-rule的凸近似，见公式（7），对于线性分类器来导出约束：

其中 是所有zi的矩阵： = zi- 和c∈Rd是对应于公平约束的紧密度的常数向量。这里， 是所有输入zi的平均值。在 的情况下，p％约束条件为F（θ）=|Aθ|-c，其中绝对值是逐个元素的。

5.1.目前的技术

解决公式（8）中的优化问题，Zafar等人使用Sequential Least Squares Programming（SLSQP），把（9）作为公平函数F。这种技术通过重新配制方程式来实现。（8）作为一系列二次程序（QP）。在求解每个QP之后，他们的算法使用Han-Powell方法，一种准牛顿方法，通过更新迭代逼近目标函数的Hessian H

其中lΔ= l（θt+ 1，λt+ 1）- l（θt，λt）和l（θt，λt）= lθt（xi，yi）+λT F（θt）是公式（8）的拉格朗日公式。最后，θΔ=θt+ 1 -θt。

从MPC的角度来看，这种方法存在两个问题。首先，在MPC中解决一系列QP是非常耗时的。其次，虽然上面的HanPowell更新在浮点数据上表现良好，但是非常数非整数的两个除法容易下溢或者定点数溢出。

5.2. 定点友好优化技术

相反，要解决公式（8）中的优化问题，我们进行随机梯度下降并用以下技术进行实验以结合约束。

拉格朗日乘数。在这里我们最小化：

使用随机梯度下降，即交替更新θ←θ-ηθ∇θL和λ←max {λ+ηλ∇λL，0}，其中ηθ，ηλ是学习率。

预计梯度下降。对于该方法，具体考虑基于p％-rule的概念F（θ）= |Aθ|-c。我们首先将A定义为由A行组成的矩阵，其中F（θ）> 0，即约束有效的位置。在每个步骤中，我们将二进制-交叉熵损失L BCE的计算梯度投影到单个示例中，或者通过小批量回归到约束集中，即，

内部点日志障碍。我们可以将公式（8）近似为p％-rule约束F（θ）= |Aθ| -c ，通过最小化

,其中aj是A的第j行。参数t折衷真实目标的近似值（I_(u)= 0,u≤0且I_(u)= ∞,u> 0）和目标函数的平滑度。在整个训练中，t增加，使解决方案更接近边界。由于物镜的梯度具有简单的闭合形式表示，我们可以执行常规（随机）梯度下降。

经过大量实验（参见第7节），我们发现拉格朗日乘数方法效果最好，既可以产生高精度，又可以保持在约束范围内，并且对超参数变化（如学习速率或批量大小）具有鲁棒性。对于概念证明，在第7节中，我们关注p％-rule，即公式（9）。请注意，公式（2）和（3）的梯度采用类似的简单形式，即平衡真正的正面或真正的负面率（对应于机会均等或相等的机会）对于拉格朗日乘数技术来说很容易实现，但对于预测的梯度下降更难。然而，这些公平性概念更昂贵，因为我们必须为每个更新步骤计算ZTX，而不是在训练开始时预先计算一次。我们可以通过仅针对每次更新评估当前小批量的约束来再次加速计算，在这种情况下，我们可能会违反公平约束。

MPC友好。对于公式（9），我们可以用基本线性代数运算（矩阵乘法）和逻辑函数的单一评估来计算所有三种方法中的梯度更新。虽然MPC非常适合线性操作，但在MPC框架中评估大多数非线性函数的成本过高。因此，我们尝试了σ（x）的两个分段线性近似。第一个最近建议用于MPC上下文中的机器学习，并且对于x <-0.5和x> 0.5分别简单地为常数0和1，并且在它们之间是线性的。第二个在每个区间[x，x + 1]上使用最优一阶Chebychev多项式，x∈{-5，-4，.... 。。，4}，并且在[-5,5]之外是常数0或1。虽然它更准确，但我们只报告更简单的第一次近似的结果，因为它在我们的所有实验中产生相同或更好的结果

由于具有m个整数和m个小数位的定点格式可以表示的最大数字大约为2m + 1，因此溢出成为常见问题。由于我们按列X方式对特征X进行白化，因此每当我们添加大约2m或更多的数字时我们需要小心，因为我们甚至不能表示大于2m的数字。特别是，小批量大小必须小于此限制。对于大n，p％-rule的公平函数F中的乘法ZTX特别成问题。

因此，我们将两个因子分成大小为b×b且b <2m的块，并在将每个阻塞矩阵乘法的结果归一化之前将其归一化。然后我们将总和乘以b/n> 2-m。只要b，b/n（以及n/b）能够以足够的精度表示，这在我们所有的实验中都是如此，这个过程避免了欠溢和溢流。请注意，我们要求样本大小n是b的倍数。实际上，我们必须丢弃或复制部分数据。由于后者可能会引入偏差，我们建议进行二次抽样。一旦我们（A近似）A∈Rp×d，我们采取通用的矩阵乘法，见表1。

MPC的分部并不是很容易。因此，我们将小批量大小设置为2的幂，这允许我们在小批量平均时使用快速位移来进行分割。为了在阻塞矩阵乘法中对块进行平均/跨越块时使用相同的技巧，我们选择n作为2的最大可能功率，参见表1

表1. 数据集大小和在线计时结果的MPC认证和训练超过10个epoch，batch大小为64

6.实验

上一节中指出的大多数技术难题的根本原因是必须使用定点数和MPC的高计算成本。因此，主要问题是精度损失和不可行的运行时间。在本节中，我们将展示如何克服这些疑虑，并且公平的训练，认证和验证对于真实的数据集是可行的。

6.1.实验设置与数据集

我们使用两个独立的代码库。我们的Python代码没有实现MPC，能够灵活地在浮点数和定点数之间切换，以及精确的非线性函数及其近似。我们主要将其用于我们的设计选择中的验证和经验指导。完整的MPC协议在Obliv-C乱码电路框架和Absentminded Crypto Kit之上用C ++实现。这是按照拉格朗日乘法器技术的第5节所述完成的。它准确地反映了第一次实施对加密数据执行的计算。除了表1中的时序结果外，所有与浮点数或非线性的比较都是通过多功能的Python实现完成的。

我们考虑5个真实世界数据集，即来自UCI机器学习库的成人（成人），德国信用（德国）和银行市场（银行）数据集，停止，问题和frisk 2012数据集（SQF），和COMPAS数据集（COMPAS）。出于实际目的（参见第6节），我们从具有最大可能i的每个数据集中抽样2i示例，参见表1.此外，我们还运行合成数据，如Zafar等人所描述的那样生成，因为它允许我们控制敏感属性和类标签之间的相关性。因此，它非常适合观察不同的优化技术如何处理公平性与准确性权衡。为了进行比较，我们使用第6.1节中描述的SLSQP方法作为基线。我们运行[10-4,100]中一系列约束值的所有方法以及SLSQP的相应范围。

在本节的图中，线的中断表示实验失败。最常见的原因是定点数的溢出和下溢，以及由于爆炸梯度导致的不稳定性。

6.2. 比较优化技术

首先，我们评估三种优化技术中的哪一种在实践中最有效。图2显示了约束值的测试集精度。通过设计，合成数据集在准确性和公平性之间展现出明确的权衡。拉格朗日技术紧密地遵循（虚线）基线，而iplb表现稍差（并且小c失败）。即使投影梯度方法正式满足p％规则的代理约束，它也只是通过缩小参数向量θ来实现，这就是为什么它也因小c而失败的原因。

COMPAS数据集是最具挑战性的，因为它包含7个敏感属性，其中一个在训练集中只有10个正实例。由于我们为每个敏感属性单独强制执行公平约束（我们随机选择一个用于可视化），因此分类器倾向于折叠为负面预测。这三种方法在无约束区域内保持接近最佳精度，但比SLSQP更快地崩溃。此示例显示p％-rule代理本身在同时应用于多个敏感属性时需要仔细解释，并且我们的基于SGD的方法在这种情况下似乎特别容易崩溃。当约束变为活动时，在银行数据集上，iplb和Lagrange的准确度会增加，因为c会减小，直到它们与基线匹配为止。确定这种可能不直观行为的原因需要进一步调查，我们目前怀疑约束是否作为正规化者，投影梯度法在银行数据集上不可靠。

根据经验，拉格朗日乘数技术是最稳健的，在6个数据集和所有约束值中，SLSQP的最大精度偏差<4％。对于本节的其余部分，我们仅报告拉格朗日乘数的结果。图2还显示，使用第6节中描述的逻辑函数的分段线性逼近不会破坏性能。

图2. 对于不同的优化方法（蓝色：iplb，橙色：投影，绿色：拉格朗日），使用浮点数对sigmoid进行无近似（连续）或分段线性逼近（虚线），测试设置精度超过p％值。灰色虚线是基线（见4.1节），黑色虚线是无约束逻辑回归（来自scikit-learn）

图3. z = 0（连续/点线）和z = 1（虚线/点划线）的人得分指定正面结果（红色：没有大约+浮动，紫色：没有大约+固定，黄色：pw线性+浮点，绿松石：pw线性+固定，灰色：基线）

6.3. 公平训练，认证和验证

图3显示了当我们降低公平性约束c时，两组中具有正结果的用户的分数（z = 0是连续的并且z = 1是虚线的）是如何逐渐平衡的。这些图可以解释为随着约束收紧而减轻不同影响的程度。通过构造，合成数据集的效果最明显。如上所述，由于来自多个敏感属性的约束，COMPAS数据集的崩溃发生得比SLSQP快。在银行数据集中，对于大c，z = 1的正结果的分数不同，这与需要进一步调查的大c的略微次优精度相关。然而，随着约束变得活跃，分数以与基线相似的速率平衡。总体而言，我们的拉格朗日乘数技术具有固定点数和非线性的分段线性近似，可以稳健地满足p％-rule代理，其基准速率与基线相似，除了具有挑战性的COMPAS数据集之外，其他所有数据都只有很小的精度损失。

在表1中，我们展示了笔记本电脑上10个训练时期的在线运行时间。虽然训练比非MPC实施的时间长几个数量级，但我们的方法仍然可行且切合实际。我们使用在Mohassel＆Zhang中描述和定时的乘法三元组的一次离线预计算。如第5节所述，经过训练的模型的认证需要检查F（θ）是否为0。我们已经在训练期间对每个梯度更新至少执行一次此检查。它只占计算时间的一小部分，见表1。同样，认证所需的操作也远远低于一秒。

讨论。在本节中，我们已经证明了使用MPC进行私人和公平模型训练，认证和验证的可行性，如图1所示。使用第6节中介绍的方法和技巧，我们可以克服准确性以及过期和下溢问题到定点数。离线预计算与快速C ++实现相结合，可为笔记本电脑上相当大的数据集提供可行的运行时间。

7.结论

现实世界的公平学习陷入两难境地：为了实现公平，必须审查敏感属性；但在许多情况下，用户可能会在暴露这些属性时感到不舒服，或者建模者在收集和使用它们时可能在法律上受到限制。通过引入MPC的最新方法，并将其扩展到处理各种公平概念所要求的线性约束，我们已经证明在现实世界数据集中实际应用：（i）证明并签署模型是公平的; （ii）学习公平的模式; （iii）确认确实使用了公平认证的模型;同时保持所有用户敏感属性的加密隐私。我们的建议将隐私，算法公平和问责制中的问题联系起来，使监管机构能够提供更好的监督，建立公平和私人模型的建模者，以及用户保持对他们认为高度敏感的数据的控制。

8.引用

Kilbertus N, Gascón A, Kusner M J, et al. Blind justice: Fairness with encrypted sensitive attributes[J]. arXiv preprint arXiv:1806.03281, 2018.

9.致谢

本文由南京大学软件工程系2019硕士生刘佳玮翻译转述。

感谢国家自然科学基金项目（重点项目）智能软件系统的数据驱动测试方法与技术（61932012）资助