Certifying the Right to Be Forgotten: Primal-Dual Optimization for Sample and Label Unlearning in Vertical Federated Learning

Die Arbeit stellt FedORA vor, einen primal-dualen Optimierungsalgorithmus für das vertikale föderierte Lernen, der durch die Formulierung des Daten- und Label-Entfernens als optimales Problem mit einer neuen Verlustfunktion und adaptiven Schritten eine effiziente und theoretisch abgesicherte Umsetzung des „Rechts auf Vergessenwerden" ermöglicht.

Das Wesentliche

Hier ist eine einfache Erklärung der Forschungspapier „FedORA" auf Deutsch, verpackt in anschauliche Bilder und Metaphern.

Das große Problem: Wenn KI zu viel merkt

Stellen Sie sich vor, Sie und Ihre Nachbarn bauen gemeinsam ein riesiges, super-intelliges Gehirn (eine KI), um Krankheiten zu erkennen oder Einkommen vorherzusagen. Niemand gibt dabei seine privaten Daten (wie Krankenakten oder Gehaltsabrechnungen) direkt heraus. Jeder behält seine Daten zu Hause und schickt nur kleine, verschlüsselte „Gedankenfragmente" (Embeddings) an das gemeinsame Gehirn. Das nennt man Vertikales Federated Learning.

Aber was passiert, wenn Sie später sagen: „Halt! Ich will, dass meine Daten aus diesem Gehirn gelöscht werden, weil ich das Recht auf Vergessenwerden habe"?

Das ist das Problem: Das Gehirn hat die Muster Ihrer Daten bereits gelernt. Wenn man Ihre Daten einfach nur aus der Liste löscht, bleibt das Wissen im Gehirn bestehen. Um es wirklich zu entfernen, müsste man das Gehirn normalerweise komplett neu von Grund auf trainieren – das ist wie ein Marathon, der Jahre dauert und enorme Energie kostet. Das ist für große Systeme oft unmöglich.

Die Lösung: FedORA – Der clevere „Lösch-Roboter"

Die Autoren dieses Papiers haben FedORA entwickelt. Man kann sich FedORA wie einen sehr geschickten Hausmeister vorstellen, der nicht das ganze Haus abreißen muss, um einen bestimmten Schmutzfleck zu entfernen, sondern diesen gezielt und effizient wegwischt, ohne den Rest des Hauses zu beschädigen.

FedORA nutzt dabei drei geniale Tricks:

1. Der „Verwirrungs-Trick" statt „Falsch-Antworten"

Frühere Methoden versuchten, die KI zu zwingen, Ihre Daten falsch zu klassifizieren (z. B. ein Bild einer Katze als Hund zu bezeichnen). Das ist wie ein Schüler, der absichtlich falsche Antworten gibt, um den Lehrer zu verwirren. Das Problem: Der Schüler vergisst dabei oft auch alles andere, was er gelernt hat, und wird instabil.

FedORA macht etwas anderes. Es sagt der KI: „Für diese spezifischen Daten (die gelöscht werden sollen) weißt du nichts mehr. Antworte nicht falsch, sondern sei unsicher."

• Die Metapher: Stellen Sie sich vor, Sie sehen ein bekanntes Gesicht, aber Sie sind sich nicht sicher, ob es Ihr Nachbar oder ein Doppelgänger ist. Sie zögern. Das ist das Ziel. Die KI soll bei den zu löschenden Daten eine „Zufallsantwort" geben, als hätte sie diese Daten noch nie gesehen. Das ist viel stabiler und verhindert, dass das ganze Gehirn verrückt spielt.

2. Der „Asymmetrische Takt" (Effizienz-Boost)

Normalerweise muss man beim Nachtrainieren alle verbleibenden Daten durchgehen, um sicherzustellen, dass die KI ihre Fähigkeiten behält. Das ist wie ein Lehrer, der jeden Schüler einzeln abfragt, nur um sicherzugehen, dass die Klasse noch gut ist.

FedORA ist schlauer. Es weiß: „Die Daten, die wir behalten, haben das Gehirn schon geformt. Ich muss sie nicht alle nochmal durchgehen."

• Die Metapher: FedORA behandelt die zu löschenden Daten wie einen vollen Teller, den es komplett leeren muss (alle Daten prüfen). Aber die Daten, die bleiben, behandelt es wie einen Teller, der schon fast leer ist. Es prüft nur eine kleine, repräsentative Probe davon (vielleicht nur 5 %).
• Der Vorteil: Das spart enorm viel Zeit und Energie, ohne dass die Qualität leidet.

3. Der „Bremser und Gaspedal" (Adaptive Schrittgröße)

Beim Optimieren muss man vorsichtig sein. Wenn man zu schnell geht, stolpert man; zu langsam, und man kommt nie ans Ziel.
FedORA hat einen eingebauten Sensor. Es schaut sich an, wie stark sich die KI von Schritt zu Schritt verändert.

• Die Metapher: Wenn die KI sich kaum noch bewegt (sie ist fast stabil), drückt FedORA auf das Gaspedal, um schneller fertig zu werden. Wenn die KI stark schwankt, tritt es auf die Bremse, damit sie nicht ins Wackeln gerät. Das macht den Prozess sehr stabil.

Warum ist das so wichtig?

Das Papier zeigt durch viele Tests (mit Bildern und Tabellen), dass FedORA zwei Ziele gleichzeitig erreicht:

1. Vergessen: Die KI vergisst die gewünschten Daten fast so gut, als hätte sie sie nie gesehen (man kann sie nicht mehr „erinnern").
2. Erinnern: Die KI vergisst dabei nicht das, was sie sonst noch wissen muss. Sie bleibt genau so gut in ihrer Aufgabe wie eine KI, die komplett neu trainiert wurde.

Und das Beste: FedORA ist viel schneller und braucht weniger Rechenleistung als das komplette Neutraining.

Zusammenfassung in einem Satz

FedORA ist wie ein geschickter Hausmeister, der mit einem speziellen Wischmittel (Unsicherheit statt Falsch-Antworten) und einem effizienten Putzplan (nur Stichproben bei den guten Daten) einen bestimmten Fleck aus dem gemeinsamen KI-Gedächtnis entfernt, ohne das ganze Haus neu streichen zu müssen.

Das ist ein großer Schritt, um das „Recht auf Vergessenwerden" in der modernen, vernetzten Welt der Künstlichen Intelligenz wirklich umzusetzen.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Certifying the Right to be Forgotten: Primal-Dual Optimization for Sample and Label Unlearning in Vertical Federated Learning" auf Deutsch:

1. Problemstellung

Das Paper adressiert die Herausforderung des Maschinellen Vergessens (Machine Unlearning) im Kontext des Vertikalen Federated Learning (VFL).

• Hintergrund: In VFL-Systemen besitzen verschiedene Parteien komplementäre Merkmale derselben Benutzerstichproben (z. B. hat eine Partei demografische Daten, eine andere medizinische Daten), während eine Partei die Labels hält. Datenschutzgesetze wie die DSGVO gewähren Nutzern das „Recht auf Vergessenwerden", was nicht nur die Löschung der Rohdaten, sondern auch die Entfernung des Einflusses dieser Daten auf das trainierte Modell erfordert.
• Herausforderungen:
  • Verteilte Architektur: Da die Merkmale über mehrere Parteien verteilt sind, erfordert das Entfernen von Daten (Sample Unlearning) oder ganzer Klassen (Label Unlearning) eine komplexe Koordination zwischen den Parteien.
  • Ineffizienz bestehender Methoden: Herkömmliche Ansätze wie das vollständige Neutraining („Train-from-scratch") sind rechen- und kommunikationsintensiv. Andere Methoden, wie Gradienten-Ascent (Rückwärtslernen), neigen zu Instabilität, führen oft zu einer katastrophalen Vergessensleistung (Catastrophic Forgetting) oder zerstören die Nützlichkeit des Modells für die verbleibenden Daten.
  • Fehlende Lösungen für VFL: Während Unlearning im Horizontalen Federated Learning (HFL) gut erforscht ist, gibt es für VFL kaum robuste Lösungen, die sowohl Sample- als auch Label-Unlearning effizient und effektiv handhaben.

2. Methodik: FedORA

Die Autoren stellen FedORA (Federated Optimization for data Removal via primal-dual Algorithm) vor, einen neuen Ansatz, der Unlearning als eingeschränktes Optimierungsproblem innerhalb eines Primal-Dual-Rahmens formuliert.

• Primal-Dual-Formulierung:
  • Das Ziel ist es, den Verlust auf den verbleibenden Daten ($L_r$) zu minimieren, während gleichzeitig sichergestellt wird, dass der Verlust auf den zu vergessenden Daten ($L_u$) einen bestimmten Schwellenwert $\gamma$ überschreitet (d. h. das Modell „vergisst" die Daten effektiv).
  • Dies wird als Sattelpunktproblem gelöst, bei dem Primal-Variablen (Modellparameter $\Theta$) und Dual-Variablen ($\Omega$) iterativ aktualisiert werden. Die Dual-Variablen fungieren als Zertifikat für die Stärke des Vergessens.
• Neue Verlustfunktion (Unlearning Loss):
  • Im Gegensatz zu Gradienten-Ascent, das versucht, die Daten falsch zu klassifizieren (was zu Instabilität führt), fördert FedORA Unsicherheit in der Klassifizierung.
  • Die Verlustfunktion maximiert die Entropie der Vorhersageverteilung für die zu vergessenden Daten und minimiert gleichzeitig die Kullback-Leibler-Divergenz zu einer Gleichverteilung. Das Modell soll also nicht „falsch", sondern „unentschlossen" sein.
• Adaptive Schrittweiten:
  • Um die Konvergenz zu stabilisieren, wird ein Mechanismus eingeführt, der die Schrittweiten für Primal- und Dual-Updates dynamisch anpasst, basierend auf der Änderung der Parameter zwischen den Iterationen.
• Asymmetrisches Batch-Design:
  • Um den Rechenaufwand zu reduzieren, werden die zu vergessenden Daten ($D_u$) als vollständiger Batch verarbeitet, während für die verbleibenden Daten ($D_r$) nur eine Teilmenge (Mini-Batch) verwendet wird. Da die verbleibenden Daten das Modell bereits während des Trainings beeinflusst haben, ist eine vollständige Neubearbeitung unnötig.

3. Hauptbeiträge

1. FedORA: Der erste Algorithmus für Sample- und Label-Unlearning in VFL, der auf einem Primal-Dual-Optimierungsframework basiert.
2. Unsicherheitsbasierte Verlustfunktion: Ein neuer Ansatz, der Klassifizierungsunsicherheit statt Fehlklassifikation fördert, um die Stabilität zu erhöhen und übermäßiges Vergessen zu vermeiden.
3. Effizienzsteigerung: Einführung adaptiver Schrittweiten für stabile Konvergenz und eines asymmetrischen Batch-Designs zur Reduzierung von Kommunikations- und Rechenkosten.
4. Theoretische Garantien: Ein mathematischer Beweis zeigt, dass die Differenz zwischen dem FedORA-Modell und einem vollständig neu trainierten Modell (Train-from-scratch) nach oben beschränkt ist. Dies zertifiziert die Wirksamkeit des Unlearning-Prozesses.

4. Ergebnisse

Die Autoren evaluieren FedORA auf tabellarischen (Income) und Bilddatensätzen (MedMNIST, CIFAR-10/100, Tiny-ImageNet) unter verschiedenen Szenarien (Sample- und Label-Unlearning).

• Nützlichkeitserhaltung (Utility Preservation): FedORA erreicht eine Testgenauigkeit, die der des vollständigen Neutrains (Retrain) sehr nahe kommt und dabei deutlich besser ist als Gradienten-Ascent (GA), ICO und CVFU, insbesondere bei komplexeren Datensätzen.
• Effektivität des Vergessens: FedORA zeigt eine überlegene Fähigkeit, den Einfluss der zu vergessenden Daten zu entfernen. Die Genauigkeit auf den zu vergessenden Daten sinkt signifikant (z. B. unter 35% bei CIFAR-100), was besser ist als bei den Vergleichsmethoden.
• Robustheit gegen Angriffe:
  • Membership Inference Attacks (MIA): Die Erfolgsrate von MIA liegt bei FedORA nahe 50% (Zufallsraten), was bedeutet, dass das Modell nicht mehr zwischen Trainings- und Nicht-Trainingsdaten unterscheiden kann.
  • Backdoor-Angriffe: Die Erfolgsrate von Backdoor-Angriffen (BD-ASR) bleibt sehr niedrig (< 5%), was zeigt, dass schädliche Trigger effektiv entfernt wurden.
• Effizienz: FedORA ist deutlich schneller als Neutraining und CVFU. Durch das asymmetrische Batch-Design wird der Rechenaufwand im Vergleich zum Neutraining drastisch gesenkt, bei nur geringfügig höherer Laufzeit als reine Gradienten-Ascent-Methoden.
• Ablationsstudien: Die Studie bestätigt, dass jede Komponente (Verlustfunktion, asymmetrisches Batch, adaptive Schrittweiten) essenziell für die Leistung ist. Der Ansatz funktioniert auch unter nicht-IID-Bedingungen und in Kombination mit Differential Privacy (Rauschen).

5. Bedeutung und Fazit

Das Paper leistet einen bedeutenden Beitrag zur Sicherheit und Privatsphäre im Federated Learning.

• Praktische Relevanz: FedORA bietet eine praktikable Lösung für die Einhaltung von Datenschutzgesetzen in verteilten Umgebungen, ohne die teure Notwendigkeit eines vollständigen Neutrains.
• Theoretische Fundierung: Durch die Nutzung der Primal-Dual-Theorie wird nicht nur eine Heuristik geboten, sondern eine mathematisch zertifizierte Garantie für die Wirksamkeit des Vergessens.
• Innovation: Der Wechsel von „Fehlklassifikation" zu „Unsicherheit" als Ziel des Vergessens stellt einen Paradigmenwechsel dar, der die Stabilität von Modellen während des Unlearning-Prozesses erheblich verbessert.

Zusammenfassend demonstriert FedORA, dass es möglich ist, das „Recht auf Vergessenwerden" in komplexen vertikalen Federated-Learning-Szenarien effizient, effektiv und mit garantierter Modellqualität umzusetzen.