不可能的承诺
Source: Dev.to
AI 遗忘:核心问题
2024 年 12 月,欧洲数据保护委员会(EDPB)在布鲁塞尔聚集,探讨一个看似简单却极具欺骗性的问题:人工智能能遗忘吗? 该委员会在 12 月 18 日发布的第 28/2024 号意见,试图为何时可以将 AI 模型视为“匿名”以及个人数据权利如何适用于这些系统提供指导。然而,在官僚语言的背后,却隐藏着一个令人不安的事实——现代 AI 的架构使得数据删除的承诺与这些系统的实际工作方式根本不兼容。
ChatGPT、Claude、Gemini 等大型语言模型在互联网上抓取的海量人类表达(往往未经同意)上进行训练,数据量达数拍字节。每一条推文、博客文章、论坛评论以及学术论文都成为了如今影响医疗诊断、招聘决策等方方面面的系统的训练数据。正如哈佛商学院助理教授、可信 AI 实验室负责人 Seth Neel 所解释的:
“机器遗忘更多是关于计算,而不是其他任何东西。它是关于在不必从头重新训练模型的情况下,高效地移除数据对模型的影响。”
与传统数据库可以直接删除某行记录不同,AI 模型在数十亿参数中编码模式,每个参数都受数百万数据点的影响。要求 AI 忘记特定信息,就像让厨师把已经烤好的蛋糕里的盐去掉——理论上如果从头开始可以实现,实际操作却几乎不可能。
立法尝试强制删除
加州的开创性法律
2024 年 9 月,加州率先正面迎击这一悖论。第 1008 号议案(Assembly Bill 1008)于 9 月 28 日由州长加文·纽瑟姆签署成为法律,扩大了《加州隐私权法案》(CPRA)中“个人信息”的定义,纳入了“抽象数字格式”——模型权重、令牌以及其他由个人数据衍生的输出。自 2025 年 1 月 1 日起,该法律赋予加州居民即使其数据已被吸收到 AI 模型的神经通路中,也可以请求删除的权利。
该立法在纸面上具有革命性:首次有主要司法管辖区在法律上承认 AI 模型的结构本身就包含个人信息,而不仅仅是训练数据集。然而技术现实依旧顽固不合作。正如斯坦福大学博士生、2024 年《机器遗忘》作者 Ken Ziyu Liu 在其 2024 年 5 月的有影响力博客中指出的:
“在大型语言模型上评估遗忘更像是一门艺术而非科学。关键问题是缺乏用于遗忘评估的数据集和基准。”
支持该议案的加州隐私保护局承认这些挑战,但认为技术难度不应成为公司免除隐私义务的理由。批评者指出,要求公司在每一次删除请求后重新训练庞大模型可能耗费数百万美元并消耗巨大的计算资源——这实际上使得除最大科技巨头外的所有企业几乎无法合规。
欧洲视角
跨越大西洋,欧洲监管机构也在面对类似的矛盾。《通用数据保护条例》(GDPR)第 17 条,即著名的“被遗忘权”,早于当前 AI 热潮。当时的“删除”意味着:找到数据,删除它,确认它已不复存在。而 AI 完全打乱了这一假设。
EDPB 在 2024 年 12 月的意见试图在这根针线上寻找平衡,建议对 AI 模型进行 逐案 匿名性评估。如果模型使得“极不可能”通过查询识别个人或提取其个人数据,则可能被视为匿名,从而免除删除要求。这引发了若干未解之问:
- “极不可能”到底有多不可能?
- 谁来作出这一判断?
- 当对抗性攻击能够诱导模型泄露它们本不应“记得”的训练数据时会怎样?
Reuben Binns,牛津大学计算机科学系副教授、前英国信息专员办公室 AI 博士后研究员,多年来一直研究这些张力。他在情境完整性和数据保护方面的研究揭示了监管对数据的概念与 AI 系统实际处理信息方式之间的根本不匹配。
与此同时,汉堡数据保护局采取了争议性立场,认为大型语言模型根本不包含个人数据,因此不受删除权的约束。这一立场直接与加州的做法相冲突,凸显了 AI 治理在国际上的日益碎片化。
“机器遗忘”的科学探索
仅在 2024 年,研究人员就发表了数十篇论文,提出各种技术:基于梯度的方法、数据归因算法、选择性再训练协议。Google DeepMind 高级研究科学家、首届 NeurIPS 机器遗忘挑战(2023)共同组织者 Eleni Triantafillou 一直站在这些努力的前沿。
Triantafillou 在 2024 年的论文《我们在遗忘方面取得进展了吗?》(与 Peter Kairouz 和 Fabian Pedregosa 合著)呈现了一个令人警醒的现实:
- 现有的遗忘方法往往 未能完全移除信息。
- 它们可能 不可预测地降低模型性能。
- 它们可能留下 可被高级攻击利用的痕迹。
作者们指出,真正的遗忘可能需要 对 AI 系统构建方式进行根本性的架构变更。
基础模型:特殊挑战
基础模型——那些庞大且通用的系统,支撑着众多下游应用——对遗忘提出了尤为棘手的问题。其规模庞大、下游任务多样且内部知识的隐蔽方式,使得选择性擦除极其困难。研究人员继续探索混合方法,结合 参数高效微调、知识蒸馏 与 密码审计,以在隐私保证与模型效用之间取得平衡。