Конечно, это как по канату идти. Можно запускать модель на зашифрованных данных или добавить дифференциальную приватность, чтобы она не запоминала конкретику. Главное — сохранить сильный обучающий сигнал, при этом скрывая исходные данные. Если переборщишь с размытием, модель вообще ничего не усвоит, если недо-размыть – приватность прохудится. Это постоянная игра в баланс, но вполне решаемо, если следить за потоками данных. Проверяй градиенты – именно они могут выдать утечку, которую нужно будет убрать.