https://arxiv.org/pdf/1808.01394.pdf
Autorzy proponują model będący czymś pomiędzy modelem centralnym a modelem lokalnym w kontekście Differential Privacy.
Jako pierwsi proponują tzw. shuffled model. Między userem a jakimś serwerem centralnym leży serwer, który robi shuffling danych.