Generative Adversarial Networks (GANs) have enabled data sharing by offering a viable method to release synthetic images without compromising the original dataset’s confidentiality. These synthetic samples have proven to be valuable in various downstream tasks, including training classifiers that traditionally rely on access to the original dataset. However, recent research has unveiled a concerning vulnerability: GAN models and their generated data can be exploited by adversaries with access to private information, enabling them to deduce the membership of the training set. Existing remedies, such as differential privacy, have attempted to address this issue but lead to dramatically poorer generated sample quality than the original non–private GANs. This project presents three new GAN architectures called privDCGAN, privPGGAN, and privWGGANGP (privGANs as a unique word) to defend against membership inference attacks but also to mantain the utility of a target model. Through empirical evaluations, I demonstrate the efficacy of the proposed mechanisms in providing privacy guarantees against such attacks while incurring minimal loss in downstream performance. An important factor contributing to the high effectiveness of this privacy protection is the explicit prevention of memorization of the training set by the proposed method. In this project I make the following contributions: First, I introduce privGANs, three novel GAN architecture that generates privacypreserving synthetic data. Second, through empirical experiments conducted on two benchmark datasets, celebA and MIMIC III, I demonstrate the robustness of the proposed private-models against black-box attack scenarios. Lastly, by leveraging the principles and insights gained from bench-marking privGANs on image datasets, I have explored and implemented modifications to ensure the models compatibility with both tabular and image data.

Generative Adversarial Networks (GAN) har möjliggjort datadelning genom att erbjuda en gångbar metod att släppa syntetiska bilder utan att kompromissa med den ursprungliga datauppsättningens konfidentialitet. Dessa syntetiska prover har visat sig vara värdefulla i olika nedströmsuppgifter, inklusive utbildningsklassificerare som traditionellt förlitar sig på tillgång till den ursprungliga datamängden. Ny forskning har dock avslöjat en oroande sårbarhet: GAN-modeller och deras genererade data kan utnyttjas av motståndare med tillgång till privat information, vilket gör det möjligt för dem att härleda medlemskapet i utbildningssetet. Befintliga lösningar, såsom differentierad integritet, har försökt lösa detta problem men har lett till dramatiskt sämre genererad provkvalitet än de ursprungliga icke-privata GAN:erna. Det här projektet presenterar tre nya GAN-arkitekturer som kallas privDCGAN, privPGGAN och privWGGANGP (privGANs som ett unikt ord) för att försvara sig mot medlemskapsattacker men också för att bibehålla användbarheten av en målmodell. Genom empiriska utvärderingar demonstrerar jag effektiviteten av de föreslagna mekanismerna för att tillhandahålla integritetsgarantier mot sådana attacker samtidigt som det ådrar sig minimal förlust i nedströms prestanda. En viktig faktor som bidrar till den höga effektiviteten av detta integritetsskydd är det explicita förhindrandet av memorering av utbildningen enligt den föreslagna metoden. I detta projekt ger jag följande bidrag: Först introducerar jag privGANs, tre nya GAN-arkitekturer som genererar integritetsbevarande syntetisk data. För det andra, genom empiriska experiment utförda på två benchmarkdatauppsättningar, celebA och MIMIC III, demonstrerar jag robustheten hos de föreslagna privata modellerna mot black-box-attackscenarier. Slutligen, genom att utnyttja principerna och insikterna från benchmarking av privGANs på bilddatauppsättningar, har jag utforskat och implementerat modifieringar för att säkerställa modellernas kompatibilitet med både tabell- och bilddata.