DPF-CM：一个带有隐私保护向量数据库的、用于中文医疗大语言模型训练和部署的数据处理框架

论文信息

• 标题 (Title)：DPF-CM: A Data Processing Framework with Privacy-Preserving Vector Databases for Chinese Medical LLMs Training and Deployment

• 作者 (Authors)：Wei Huang, Anda Cheng, Zhao Zhang, Yinggui Wang

• 发表年份 (Year)：2025

• 原文链接 (URL)：https://arxiv.org/abs/2509.01354

结构化摘要 (Structured Abstract)

• 背景/目标 (Background/Objective)：当前开源的中文医疗大语言模型（LLM）训练流程普遍侧重于优化训练方法本身，而对训练数据的处理探索不足。本研究旨在填补这一空白，提出了一个名为DPF-CM的、贯穿中文医疗LLM训练和部署全流程的综合性数据处理框架。

• 方法 (Methods)：DPF-CM框架包含两个核心模块。第一个是用于模型训练的数据处理流程，该流程除了标准的数据清洗外，还包含两大创新：(1) 提出一种“链式样例”的情境学习策略，以生成面向问题的高质量指令，解决开源数据集中指令内容不足的问题；(2) 实现了一种基于集成多个奖励模型的过滤机制，用于对偏好数据进行去噪。第二个模块是用于模型部署的隐私保护方案，研究人员提出了一种名为PPVD（隐私保护向量数据库）的方法，通过模型记忆搜索、高风险数据库构建、安全数据库构建和推理时匹配替换四个阶段，最大限度地减少训练数据隐私泄露的风险。

• 结果 (Results)：实验结果表明，DPF-CM框架显著提升了模型的准确性，使其训练的中文医疗LLM在同规模开源模型中达到了SOTA（state-of-the-art）水平。同时，该框架的隐私保护模块成功将训练数据的隐私泄露风险降低了27%。

• 结论 (Conclusion)：本研究证明，一个精心设计的数据处理框架对于开发高性能、高安全性的中文医疗LLM至关重要。DPF-CM为优化整个数据生命周期，从数据准备到隐私保护，提供了一个全面的、有效的解决方案。

1. 引言 (Introduction)

1.1. 研究背景与核心问题 (Research Background & Problem Statement)

• 研究背景：尽管通用大型语言模型（LLMs）取得了巨大进展，但在像中文医疗这样的专业领域，它们因缺乏专业知识和真正的诊断交互能力而表现不佳。它们往往无法提供关键的诊断信息或完全理解患者病情的细微差别。

• 核心研究问题 (RQs)：为了提升中文医疗LLM的能力，已有多个模型（如“仲景”、“华佗GPT-II”）被开发出来。然而，这些工作存在一个共同的局限性：它们主要通过优化训练方法（如模型架构、训练策略）来提升性能，而忽视了对训练数据进行深度处理的巨大潜力。此外，现有的开源医疗模型处理流程普遍忽略了部署过程中的数据隐私泄露问题。因此，本文的核心研究问题是：如何通过设计一个贯穿训练和部署全流程的综合性数据处理框架，来同时提升中文医疗LLM的性能并保护其训练数据的隐私？

• 这是一个新的问题，因为它将研究焦点从模型本身转移到了数据上，并首次尝试将训练数据优化与部署阶段的隐私保护结合在一个统一的框架内进行系统性解决。

1.2. 文献综述与研究缺口 (Literature Review & Research Gap)

• 现有研究：现有提升中文医疗LLM能力的研究路径主要分为两类：1) 仅进行指令微调，如DoctorGLM和DISC-MedLLM，它们在通用大模型的基础上使用医疗数据进行微调；2) 采用更全面的训练流程，如Zhongjing和HuatuoGPT-II，它们涵盖了持续预训练、指令微调和强化学习等多个阶段。

• 研究缺口 (Gap)：本文明确指出，所有这些现有工作都存在一个共同的研究缺口——它们都致力于改进训练方法学，而没有对数据处理这一环节进行深入的探索和创新。现有流程对数据的处理通常停留在基础的清洗和筛选层面。本文认为，通过更精细化的数据处理同样可以达到提升模型性能的目标，并且这一潜力尚未被充分挖掘。同时，数据隐私保护在现有开源流程中也是一个被普遍忽视的关键环节。

1.3. 研究目标与核心假设/命题 (Objectives & Hypotheses/Propositions)

• 研究目标：本文旨在提出并验证一个名为DPF-CM的综合性数据处理框架，该框架涵盖从预训练、监督微调（SFT）、强化学习（RL）到最终部署的全过程中的数据处理和隐私保护。

• 核心假设/命题：

  1. 通过创新的数据处理技术（如链式样例指令生成、偏好数据去噪），可以显著提升中文医疗LLM在专业任务上的性能。

  2. 通过一种基于向量数据库的匹配与替换机制（PPVD），可以在不显著影响模型性能的前提下，有效降低模型在推理时泄露其训练数据的隐私风险。

2. 研究设计与方法 (Methodology)

2.1. 研究范式与方法论 (Research Paradigm & Methodology)

• 研究范式：本研究采用建构性研究（Constructive Research）的范式，即通过设计和构建一个新的人工系统（DPF-CM框架），并在一系列实验中验证其有效性，来解决一个实际问题并贡献新的知识。

• 解决方案的关键：解决方案的关键在于其全生命周期的数据处理与隐私保护框架（DPF-CM），如图1所示。该框架分为两大创新模块：

  1. 训练数据处理流程：

     • SFT阶段的指令生成：针对开源医疗数据普遍缺乏高质量指令的问题，研究者受思维链（CoT）启发，提出了一种**“链式样例（chained examples）”**策略。该策略将多个质量递增的“问题-指令”对串联起来作为提示，引导LLM学习一个“渐进式优化”的过程，从而为新的问题生成更高质量的指令。

     • RL阶段的偏好数据去噪：为解决DPO等偏好学习方法中存在的噪声数据问题（如选择的答案比拒绝的还差），研究者提出了一种基于多奖励模型的集成去噪算法。他们训练了5个不同的奖励模型，并计算每个偏好对（chosen vs. rejected）在5个模型上的平均“偏好距离”。通过移除距离过小（无区分度）或过大（可能存在矛盾）的数据，来提纯偏好数据集。

  2. 部署阶段的隐私保护（PPVD）：这是一个创新的、基于向量数据库的四阶段隐私保护方案，如图2所示：

     • 步骤1：模型记忆搜索：通过将训练样本的前半部分作为提示输入模型，并将其输出与样本的后半部分进行比较（使用ROUGE-L），识别出模型可能已经“记住”的高风险样本。

     • 步骤2：构建高风险数据库：将这些高风险样本通过模型提取中间层嵌入，并存入一个高风险向量数据库。

     • 步骤3：构建安全数据库：将高风险样本的提示部分输入一个通用LLM，生成一个安全、通用的回答，然后将这个新组合的“提示+安全回答”通过模型提取嵌入，存入一个安全向量数据库。

     • 步骤4：匹配与替换：在实际部署中，当用户查询时，系统会提取其中间层嵌入并与高风险数据库进行比对。如果相似度超过阈值，系统便不会返回模型的原始输出，而是从安全数据库中检索并返回对应的安全内容。

• 与之前方法的特点和优势：

  1. 数据为中心：与以模型为中心的方法不同，本框架的核心是通过精细化的数据处理来提升模型能力，为性能提升开辟了新路径。

  2. 创新性数据技术：“链式样例”和“偏好数据去噪”是针对医疗LLM训练数据特定痛点的创新解决方案。

  3. 实用的隐私保护：PPVD方案是一个在推理阶段应用的、无需重新训练模型的轻量级隐私保护机制，具有很高的实用性和可部署性。

  4. 全面性：该框架是首个系统性地覆盖了从数据收集、清洗、生成、优化到最终部署隐私保护的完整数据处理流程。

2.2. 数据来源与样本 (Data Source & Sample)

• 训练数据：使用了广泛的中文医疗数据集，包括医疗书籍、多轮/单轮对话数据（如CMtMedQA, huatuo26M）、医学知识图谱问答、医学考试题以及通用语料库等。

• 基础模型：训练基于Qwen2.5-7B模型。

• 评估数据集：

  • 对话能力评估：使用了单轮对话数据集（huatuo26M, webMedQA）和多轮对话数据集（CMtMedQA）。

  • 知识能力评估：使用了多个中文医疗选择题基准（PLE, Ceval, CMB, CMMLU, CMExam）。

  • 专业术语评估：使用了一个自建的医疗术语解释任务数据集（medtiku）。

2.3. 操作化与测量 (Operationalization & Measurement)

• 模型性能测量：采用了四种互补的评估方法：

  1. AI评估：使用GPT-4作为裁判，对两个模型的回答进行“胜/平/负”的比较。

  2. 相似度评估：通过计算模型输出与标准答案之间的相似度（BERTScore和ROUGE-L的平均值）来评估回答质量。

  3. 准确率：用于评估在多项选择题医学基准上的性能。

  4. 人类评估：招募了三名医学专业研究生对生成文本的质量进行评估。

• 隐私泄露测量：通过PPVD方法保护后，高风险样本的平均相似度得分（模型输出与原始标签的相似度）的下降值来量化隐私保护的效果。

3. 结果与发现 (Results & Findings)

3.1. 主要发现概述 (Overview of Key Findings)

• 数据处理显著提升模型性能：与未使用任何数据预处理流程训练的模型相比，使用DPF-CM框架训练的模型在所有评估指标上都取得了显著的性能提升。在医疗对话和术语解释任务中，DPF-CM训练模型的胜率高达85%。

• 达到SOTA水平：与现有同规模的开源中文医疗LLM（如华佗GPT-II、仲景）相比，使用DPF-CM训练的模型在所有测试集和指标上均表现更优，达到了SOTA水平。

• 关键数据处理技术有效：消融实验证明了框架中各项数据处理技术的有效性。例如，“链式样例”指令生成策略比传统的少样本方法更有效；对偏好数据进行去噪也能带来显著的性能提升。

• 隐私保护方案可行且有效：PPVD隐私保护方案成功将高风险训练数据的平均相似度（即泄露程度）从0.85降低到0.58，泄露风险减少了约27%。同时，对比实验显示，该安全方案对模型的正常问答性能几乎没有负面影响。

3.2. 关键数据与图表解读 (Interpretation of Key Data & Figures)

• 图1：DPF-CM整体流程图

  • 展示内容：该图宏观地展示了从一个通用基础模型演进到最终具备隐私保护能力的医疗模型的全过程。图中清晰地标出了持续预训练、监督微调、强化学习和隐私保护四个阶段，并列出了每个阶段核心的数据处理任务（如数据清洗、指令生成、偏好数据去噪、向量数据库构建等）以及模型能力（如对话能力、可靠性、数据隐私）的逐步提升。

  • 揭示关系：该图揭示了本文的核心思想——模型能力的提升是一个系统工程，每一步都与特定的数据处理策略紧密相连。它强调了数据处理在模型演进中的基础性作用。

• 图2：PPVD算法框架图

  • 展示内容：该图详细地、分步骤地展示了本文提出的PPVD隐私保护方案。它清晰地描绘了从步骤1（通过模型记忆搜索识别高风险样本）到步骤2和3（分别为这些样本构建高风险和安全的向量数据库），再到步骤4（在用户查询时进行匹配和替换）的完整工作流。

  • 揭示关系：该图揭示了一种巧妙的、在推理时（inference-time）进行隐私保护的机制。它不是在训练中去“遗忘”，而是在部署时去“拦截”，通过将有风险的查询重定向到一个安全的、预先生成好的回复，从而在不改变原模型权重的情况下实现隐私保护，展示了其高度的实用性和灵活性。

• 表1-4：DPF-CM与原始数据训练模型的对比结果

  • 展示内容：这四张表格通过AI评估、相似度评估、人类评估和多项选择题准确率，全方位对比了使用DPF-CM处理过的数据训练的模型与使用原始数据训练的模型的性能。

  • 揭示关系与数据支撑：数据非常一致地指向一个结论：数据处理至关重要。例如，在表3的人类评估中，DPF-CM模型在多轮对话上的胜/平/负率为86.8%/10.3%/2.9%，显示出压倒性优势。在表4中，其在PLE医学考试上的准确率从0.62提升到0.69。这些数据为“精细的数据处理能有效提升模型性能”这一核心论点提供了强有力的实证支持。

4. 讨论 (Discussion)

4.1. 结果的深度解读 (In-depth Interpretation of Results)

• 解释研究发现：本研究的结果有力地证明了“数据是AI模型的基石”这一观点。通过一系列精心设计的数据处理策略，即使使用相同的基础模型和训练方法，也能获得显著的性能飞跃。这表明，当前提升专用领域LLM能力的关键瓶颈之一可能不在于模型架构的创新，而在于如何为模型准备高质量、高信息量的“食粮”。“链式样例”的成功，说明了让模型学习“如何思考”比简单地“喂给”它问答对更有效。PPVD的成功则展示了在AI安全领域，除了在模型训练阶段进行防御，在部署和推理阶段设置“安全门”也是一条非常实用和有效的路径。

• 回答研究问题：本研究通过构建DPF-CM框架并用实验验证其有效性，成功地回答了引言中提出的核心问题。研究不仅展示了如何通过数据处理提升模型性能，还提供了一个切实可行的方案来解决部署中的隐私问题，实现了性能与安全的双重目标。

4.2. 理论贡献 (Theoretical Contributions)

• 阐明本研究对现有理论的贡献：

  1. 丰富了数据中心AI（Data-Centric AI）的内涵：本研究是数据中心AI理念在专用LLM领域的一次成功实践，它将数据处理从传统的“清洗”扩展到了“增强”（指令生成）和“提纯”（偏好去噪）等更高级的操作，为数据中心AI提供了新的方法论。

  2. 提出了推理时隐私保护的新机制：PPVD为LLM的隐私保护研究提供了一个新的思路。与主流的、在训练时通过差分隐私等技术让模型“遗忘”数据的方法不同，PPVD是一种在推理时进行“内容替换”的机制，为实现可信AI提供了新的技术路径。

• 对业界的影响：这项工作为所有致力于开发专用领域（尤其是医疗、金融等高风险领域）LLM的公司和研究团队提供了一个极具价值的、可复制的蓝图。它表明，通过在数据处理上投入更多精力，中小型团队也能训练出与业界领先水平相媲美的模型。PPVD隐私保护方案更是为企业在满足严格数据合规性要求的同时部署LLM服务，提供了一个低成本、易于实现的解决方案。

4.3. 实践启示 (Practical Implications)

• 对模型训练工程师：在进行SFT和RL训练时，应更加关注指令的质量和偏好数据的纯度。可以借鉴“链式样例”和“多奖励模型去噪”等方法来提升数据质量。

• 对AI安全和隐私工程师：在部署LLM应用时，可以考虑实施PPVD这类推理时保护机制，作为模型自身安全能力的补充，构建纵深防御体系。

• 对项目管理者：在规划LLM项目时，应在数据处理环节预留充足的资源和时间，因为这可能是投入产出比最高的环节之一。

4.4. 局限性与未来研究 (Limitations & Future Research)

• 本研究存在的局限性：

  1. 预训练数据生成质量：用于持续预训练的数据有一部分是由通用大模型生成的，这可能引入事实性错误或不符合医学伦理的内容。

  2. PPVD的存储开销：PPVD方案需要为高风险数据存储相应的嵌入，如果高风险数据量巨大，可能会带来显著的存储成本。

• 为后续研究者指明的方向：

  1. 领域专用的数据生成方法：未来需要探索更专业的医疗数据生成方法，以提高生成数据的质量和安全性。

  2. 轻量级的特征表示：为了降低PPVD的存储需求，未来应研究比嵌入更轻量级的特征表示方法。

  3. 扩展应用：将DPF-CM框架应用到其他语言或其他专业领域，以验证其通用性。

5. 结论 (Conclusion)

本文从数据处理的视角出发，提出了一个全面的DPF-CM框架，旨在探索数据对中文医疗模型的核心价值。DPF-CM覆盖了从持续预训练、SFT、偏好数据到训练数据隐私保护的整个数据生命周期优化。通过大量的实验，本文证明了经过DPF-CM处理的数据所训练出的中文医疗模型，其性能达到了同规模开源模型的SOTA水平，并验证了框架中每个数据处理步骤的必要性。此外，本文还创新性地提出了一个实用的推理时隐私保护方案，有效降低了数据泄露风险。这项工作为构建高性能、高安全性的专用领域LLM提供了一套系统性的、以数据为中心的解决方案。

6. 核心参考文献 (Core References)

1. Yang, S., et al. (2024b). Zhongjing: Enhancing the chinese medical capabilities of large language model through expert feedback and real-world multi-turn dialogue.

   • 链接: https://ojs.aaai.org/index.php/AAAI/article/view/29672

   • 重要性: 该文献是本文用于对比的、代表了当前SOTA水平的中文医疗LLM之一。通过与“仲景”模型的对比，本文确立了自身工作的先进性。

2. Chen, J., et al. (2024). Huatuogpt-ii, one-stage training for medical adaption of llms.

   • 链接: https://arxiv.org/abs/2311.09774

   • 重要性: “华佗GPT-II”是另一个关键的基准模型，同样用于证明本文通过数据处理所达到的性能高度。

3. Wei, J., et al. (2022). Chain-of-thought prompting elicits reasoning in large language models. NeurIPS.

   • 链接: https://proceedings.neurips.cc/paper_files/paper/2022/hash/9d5609613524ecf4f15af0f7b31abca4-Abstract-Conference.html

   • 重要性: 本文提出的“链式样例”指令生成策略明确受到了思维链（CoT）方法的启发，因此该文献是理解本文核心技术创新的理论基础。

4. Zheng, Y., et al. (2025). Large language models for medicine: a survey.

   • 链接: https://doi.org/10.1007/s12530-024-09600-z

   • 重要性: 该综述被引用来支持本文的核心论点，即当前研究忽略了数据处理的潜力。这为本文的研究动机提供了权威的背景支持。

5. Yang, A., et al. (2024a). Qwen2 technical report.

   • 链接: https://arxiv.org/abs/2407.10671

   • 重要性: 本文的所有模型训练都是基于Qwen2.5-7B这一基础模型，因此该技术报告是理解本文工作所依赖的基础架构的关键。

–EOF–
转载须以超链接形式标明文章原始出处和作者信息及版权声明.