怎样让人工智能模型快速的忘记你

时间：2020-04-27 23:51:01

关键字：人工智能模型 AN PAPER

手机看文章

扫描二维码
随时随地手机看文章

[导读] 隐私，在这个时代早已是伪命题。为了在一定程度上重建隐私保障，近期一系列立法举措（包括欧洲的〈通用数据保护条例〉以及美国的〈加利福尼亚州消费者隐私法〉）对于清除个人信息做出了相关规定。但

隐私，在这个时代早已是伪命题。

为了在一定程度上重建隐私保障，近期一系列立法举措（包括欧洲的〈通用数据保护条例〉以及美国的〈加利福尼亚州消费者隐私法〉）对于清除个人信息做出了相关规定。但是，要想让经过训练的AI模型“忘记你”，传统的方法，只能是从零开始利用新数据进行重新训练——整个过程可能耗时数周，且成本相当高昂。

最近新发表的两篇论文，带来了高效从AI模型中删除记录的方法，有望节约巨量能源并真正为合规性带来保障，一篇来自斯坦福大学，另一篇（预印本）来自多伦多大学。斯坦福大学计算机科学家、第一篇论文的联合作者Melody Guan表示，“我们似乎需要一些新的算法，来简化企业之间的实际合作，确保实现难度不会成为他们违反隐私规定的借口。”

由于关于高效数据删除的文献非常有限，因此斯坦福大学的作者们首先对问题做出明确定义，并提出有助于缓解问题的四项设计原则：

第一项原则为“线性度”：简单的AI模型只需要对数字进行加法与乘法运算，这就避免了所谓非线性数学函数的介入，保证步骤分解更加简单易行；

第二项则是“惰性”原则，尽可能推迟计算操作，除非确实需要做出预测；

第三项为“模块化”：如果可能，尽量以可拆分的形式进行模型训练，而后组合结果；

第四项是“量化”，即只要平均值能够锁定在特定的离散区间之内，则删除其中对于平均值结果影响不大的数值。

斯坦福大学的研究人员们将其中两项原则应用到一种名为k均值聚类的机器学习算法当中。此算法用于将数据点分类为自然聚类，例如用于分析密切相关的种群之间的遗传性差异。（在UK Biobank医学数据库中，该聚类算法已经得到实际应用。而且有部分患者已经向数据库作者提出通告，要求将自己的记录从数据库中删除。）研究人员利用量化技术开发出一种Qk均值算法，并立足六套数据集进行了测试，分别对单元格类型、手写数字、手势、森林覆盖率以及联网设备黑客入侵情况进行分类。他们在每组数据集内各删除1000个数据点，每次1个。结果证明，Q-k均值算法的速度达到常规k均值算法的2倍到584倍，且准确性几乎没有任何损失。

利用模块化方法，他们又开发出DC-k均值（用于实现分治法）。数据中的各个点被随机划分为多个子集，且各个子集将独立进行聚类。接下来，再将这些子集构成新的集群，依此类推。事实证明，从单一子集内删除一个点，并不会影响到其他子集的结果。新算法的加速水平在16倍到71倍之间，且准确性同样几乎不受影响。该项研究被发表在上个月的加拿大温哥华神经信息处理系统（NerulPS）大会上。

多伦多大学以及Vector研究院计算机科学家Nicolas Papernot指出，“这篇论文中的亮点，在于利用算法中的某些基本面（k均值聚类）完成了以往无法实现的目标。”但是，其中某些方法在其他算法类型中无法确切起效，例如在深度学习中使用的人工神经网络。上个月，Paernot以及其他联合作者在网站arXiv上发表一篇论文，提到一种适用于神经网络的训练方法，名为SISA（分片、隔离、切片以及聚合）训练。

这种新方法采取两种不同的模块化实现方式。首先，在分片部分中将数据集划分成多个子集，并立足每套模型建立独立的训练模型副本。当需要进行预测时，各模型的预测结果将被汇总为统一的整体。利用这种方式，删除数据点时，我们只需要重新训练其中一套模型。第二种方法则是切片，即对各个子集做出进一步细分。该子集的模型会首先在切片1上训练，而后同时在切片1与切片2上训练，接下来在切片1、切片2以及切片3上训练，依此类推。最后，在完成各个步骤后对训练完成的模型进行归档。如此一来，如果删除切片3中的数据点，则可快速返回至训练的第三步中，并以此为起点继续训练。Papernot表示，分片与切片方法“相当于为我们的模型训练流程提供了两个调整旋钮。”Guan也称赞称，这种方法“非常直观”，只是“使用的记录删除标准还不够严格。”

来自多伦多的研究人员们通过两套大型数据集训练神经网络，希望测试这种方法。其中一套数据集包含超过60万张与家庭住址编码相关的图像，另一套则包含30多万条购买历史记录。他们从各个数据集中删除0.001%的数据量，而后重新训练，并发现分片技术（20个分片）使得地址相关任务的重新训练速度提高了3.75倍，购买记录相关任务的重新训练速度提高 8.31倍（与标准模型重新训练方法比较），而且几乎不会对准确度造成影响。在配合切片方法之后，地址相关任务的速度进一步提高了18%，购买记录相关任务的速度提高 43%，准确度同样没有降低。

公开发布的数据显示，仅删除0.001%的数据似乎太过温和，但Papernot表示谷歌搜索等服务的重新训练规模要比这个数字还低出几个量级。另外，18%的速度提升看似有限，但对于大型机使用场景来讲，已经能够节约海量时间与金钱。另外，在某些情况下，我们也许能够发现某些更有必要忽略的数据点——例如来自少数族裔或者患有特定疾病的人群，确保他们免受隐私侵犯的影响。将这些数据点集中起来，将进一步提高删除效果。Papernot表示，他们也在积极整理数据集知识，希望进一步提高SISA方法的定制化水平。

Guan解释道，某些AI方法虽然在设计上就考虑到隐私性要求，但有时候使用者仍然需要删除其中的某些特定数据点。举例来说，有些人可能不想把自己的数据交给某家声名狼藉的企业，科学家们有时候也可能需要删除引发问题的数据点（例如黑客用来「毒化」数据集的伪造记录）。无论是哪一种情况，对AI模型中的数据进行删除都将成为一种必要的手段。

Guan总结道，“很明显，我们还没有构建起完整的解决方案。但我们认为对问题做出明确定义，是解决问题的重要前提。希望人们能够在算法设计之初，就充分考虑到数据保护方面的需求。”