Challenges in Enabling Private Data Valuation

Diese Arbeit analysiert die grundlegenden Spannungen zwischen Datenschutz und Datenbewertung, identifiziert algorithmische Ursachen für die Unvereinbarkeit bestehender Ansätze mit Differential Privacy und leitet Designprinzipien ab, um datenschutzkonforme Bewertungsmethoden zu entwickeln, die ihre Nützlichkeit bewahren.

Das Wesentliche

Das große Dilemma: Die „Daten-Bewertung" gegen den „Datenschutz"

Stellen Sie sich vor, Sie haben eine riesige Bibliothek mit Büchern (das sind Ihre Trainingsdaten), aus denen ein sehr kluger Roboter (das KI-Modell) lernt. Jetzt wollen Sie herausfinden: Welches einzelne Buch war eigentlich am wichtigsten für die Intelligenz des Roboters? War es ein bestimmtes Kochbuch, das ihm beibrachte, wie man Pizza macht? Oder ein Roman, der ihm half, die menschliche Psyche zu verstehen?

Das nennt man Datenbewertung (Data Valuation). Man gibt jedem Buch einen Punktzahl, um zu sehen, wie viel es zum Erfolg des Roboters beigetragen hat. Das ist super nützlich, um schlechte Bücher zu entfernen oder um Autoren fair zu bezahlen.

Aber hier kommt das Problem:
Wenn Sie diesen Punktzahlen genau ansehen, verraten sie oft zu viel über die Bücher selbst.

• Wenn ein Buch einen extrem hohen Punktwert hat, wissen Sie sofort: „Aha! Dieses Buch war im Training!"
• Wenn ein Buch einen sehr niedrigen Wert hat, wissen Sie vielleicht: „Das war ein sehr seltenes Buch, das fast niemand sonst hat."
• In sensiblen Bereichen (wie Medizin oder Finanzen) ist das ein Albtraum. Wenn ein Patient weiß, dass sein medizinischer Datensatz den Roboter stark beeinflusst hat, könnte das verraten, dass er eine bestimmte seltene Krankheit hat.

Der Datenschutz (Differential Privacy) sagt eigentlich: „Du darfst das Ergebnis so verändern, dass niemand erkennen kann, ob ein einziges Buch in der Bibliothek war oder nicht."

Der Konflikt:
Die Bewertung will genau wissen, wie viel ein einziges Buch zählt. Der Datenschutz will verhindern, dass man das herausfindet. Es ist wie der Versuch, den Geschmack einer einzelnen Zutat in einem Riesen-Schmortopf zu messen, ohne den Topf zu öffnen oder den Koch zu verraten, dass er die Zutat überhaupt reingetan hat.

---

Warum die aktuellen Methoden scheitern (Die 3 Hauptprobleme)

Die Autoren des Papers haben sich angesehen, wie man diese Bewertung heute versucht, und haben drei große Hindernisse gefunden:

1. Der „Verstärker-Effekt" (Bei der Einfluss-Berechnung)

Stellen Sie sich vor, der Roboter lernt auf einem sehr wackeligen Boden (dem mathematischen „Hessischen"). Wenn Sie ein Buch entfernen, rutscht der Roboter vielleicht ein ganzes Stück weg.

• Das Problem: In modernen KI-Modellen ist dieser Boden oft extrem uneben. Ein winziges Buch kann durch einen „Bodenriss" (eine mathematische Singularität) einen riesigen Effekt haben.
• Die Analogie: Es ist wie bei einem Kartenhaus. Wenn Sie eine bestimmte Karte unten entfernen, stürzt das ganze Haus ein. Um das zu schützen, müssten Sie so viel „Rauschen" (Störgeräusch) hinzufügen, dass man gar nichts mehr hören kann. Das Signal (die Bewertung) wird vom Rauschen komplett übertönt. Man kann die Zutat nicht mehr schmecken, weil der Koch so viel Pfeffer hineingetan hat, um das Rezept zu verstecken.

2. Das „Zufalls-Spiel" (Bei der Shapley-Methode)

Hier versucht man, die Bewertung zu berechnen, indem man zufällig Gruppen von Büchern zusammenwirft und schaut, wie gut der Roboter damit funktioniert.

• Das Problem: Manchmal trifft man zufällig eine sehr kleine Gruppe, in der ein Buch alles verändert. Das ist wie beim Lotto: Wenn Sie zufällig die richtigen Zahlen haben, gewinnen Sie den Jackpot.
• Die Konsequenz: Um den Datenschutz zu wahren, müsste man den „Jackpot" (die maximale Veränderung) begrenzen. Aber wenn man das macht, verliert man die Fähigkeit, die wirklich wichtigen Bücher von den unwichtigen zu unterscheiden. Die Bewertung wird so ungenau, dass sie nutzlos ist.

3. Der „Lange Weg" (Bei der Pfad-Analyse)

Manche Methoden schauen sich an, wie der Roboter während des Lernens Schritt für Schritt gelernt hat.

• Das Problem: Wenn der Roboter schon privat lernt (also mit Datenschutz), ist der Weg, den er gegangen ist, schon verschleiert. Aber um zu bewerten, welches Buch wann wichtig war, muss man genau diesen verschleierten Weg analysieren.
• Die Analogie: Es ist wie ein Detektiv, der einen verschlüsselten Brief (den Trainingsweg) liest, um herauszufinden, wer den Brief geschrieben hat. Aber je mehr man den Brief verschlüsselt, desto weniger kann man lesen. Wenn man den Brief zu stark verschlüsselt, um den Absender zu schützen, kann man den Inhalt gar nicht mehr verstehen.

---

Was bedeutet das für die Zukunft?

Die Autoren kommen zu einem ernüchternden, aber klaren Fazit:

Man kann nicht einfach einen „Datenschutz-Filter" über die bestehenden Methoden legen und hoffen, dass alles gut wird. Es ist wie der Versuch, ein Auto mit einem Motor zu bauen, der explodiert, wenn man Gas gibt, und dann zu hoffen, dass ein besserer Auspuff das Problem löst.

Die Lösung liegt im Neudenken:
Wir müssen neue Methoden erfinden, die von vornherein so gebaut sind, dass sie nicht zu viel über einzelne Daten verraten.

• Statt zu fragen: „Wie viel hat dieses eine Buch beigetragen?", sollten wir fragen: „Wie viel hat diese Art von Buch beigetragen?"
• Statt den Roboter auf allen Daten zu trainieren und dann zu messen, sollten wir vielleicht nur mit öffentlichen Daten trainieren und die privaten Daten nur in sehr begrenzten, sicheren Räumen nutzen.

Zusammenfassend:
Die Idee, jedem einzelnen Datenpunkt einen fairen Wert zu geben, ist toll. Aber solange wir KI-Modelle bauen, die extrem empfindlich auf einzelne Daten reagieren, und wir gleichzeitig strengsten Datenschutz wollen, stehen wir vor einem fast unlösbaren Widerspruch. Wir müssen entweder die Bewertungsmethoden komplett neu erfinden oder akzeptieren, dass wir bei sehr strengen Datenschutzregeln keine feinen Bewertungen mehr machen können.

Technische Zusammenfassung

Titel: Herausforderungen bei der Ermöglichung privater Datenbewertung (Challenges in Enabling Private Data Valuation)

Autoren: Yiwei Fu, Tianhao Wang, Varun Chandrasekaran
Institutionen: University of Illinois Urbana-Champaign, University of Virginia

---

1. Problemstellung

Datenbewertung (Data Valuation) ist ein zentrales Werkzeug im maschinellen Lernen, um den Beitrag einzelner Trainingsbeispiele zum Verhalten eines Modells zu quantifizieren. Dies wird für Aufgaben wie Datensatzkuratierung, Audits, Preismodelle in Datenmärkten und die Zuweisung von Verantwortung genutzt.

Das Kernproblem dieses Papers ist der fundamentale Konflikt zwischen Datenbewertung und Datenschutz (Differential Privacy - DP):

• Ziel der Bewertung: Sie soll die feingranulare Sensitivität eines Modells gegenüber einzelnen Datensätzen messen (z. B. wie stark ändert sich die Vorhersage, wenn ein Punkt entfernt wird?).
• Ziel der Differential Privacy: Sie verlangt, dass die Ausgabe eines Algorithmus gegenüber dem Hinzufügen oder Entfernen eines einzigen Datensatzes unempfindlich (insensitiv) ist.

Die Autoren argumentieren, dass naive Ansätze, Datenschutzmechanismen einfach auf bestehende Bewertungsalgorithmen anzuwenden, scheitern. Die für die Bewertung notwendigen Signale (z. B. Gradienten, marginale Beiträge) sind genau die Informationen, die durch DP unterdrückt werden sollen. Das Hinzufügen von Rauschen zerstört oft die feinen Unterscheidungen, die für eine sinnvolle Rangfolge oder Wertzuweisung notwendig sind, insbesondere in heterogenen Datensätzen, wo seltene Beispiele einen überproportional großen Einfluss haben.

2. Methodik und Analyse-Rahmen

Das Paper bietet eine systematische Analyse (State-of-the-Knowledge, SoK) und zerlegt gängige Datenbewertsmethoden in ihre algorithmischen Grundbausteine (Primitiven), um zu identifizieren, wo die prohibitiven Sensitivitäten entstehen. Die Analyse deckt vier Hauptkategorien von Methoden ab:

1. Einfluss- und Krümmungsapproximationen (Influence Functions):

   • Prinzip: Schätzung des Effekts durch erste Ordnung (Gradienten) und inverse Krümmung (Hessische Matrix oder Fisher-Information).
   • Problem: Die inverse Hessische Matrix kann Eigenwerte nahe Null haben, was zu einer massiven Verstärkung (Amplifikation) bestimmter Gradientenrichtungen führt. Dies erzeugt eine „heavy-tailed" Verteilung der Einflusswerte.
   • DP-Herausforderung: Das globale Sensitivitätsmaß ist theoretisch unbeschränkt. Dämpfung (Damping) hilft empirisch, bietet aber keine strengen, datensatzunabhängigen Obergrenzen für das Rauschen.

2. Gewichtete marginale Beiträge (Shapley-Werte, Banzhaf):

   • Prinzip: Der Wert eines Punktes wird als erwarteter marginaler Nutzen über alle möglichen Teilmengen (Koalitionen) definiert.
   • Problem: Obwohl im Durchschnitt kleine Beiträge gezählt werden, können seltene Teilmengen extreme Sprünge im Nutzen verursachen (Instabilität der Nutzenfunktion).
   • DP-Herausforderung: Ein einzelner Datensatz gehört zu vielen Teilmengen. Selbst bei Clipping der einzelnen Beiträge summiert sich die Sensitivität über die vielen Teilmengen linear auf, was zu einem extrem hohen Rauschpegel führt.

3. Trajektorienbasierte Methoden (z. B. TracIn, SOURCE):

   • Prinzip: Attribution entlang des gesamten Trainingspfades (Optimierungstrajektorie) durch Summierung von Gradientenähnlichkeiten.
   • Problem: Die Sensitivität akkumuliert sich über viele Optimierungsschritte (kompositorische Exposition).
   • DP-Herausforderung: Diese Methoden sind nur dann DP-kompatibel, wenn das Training selbst bereits mit DP-SGD durchgeführt wurde und die Trajektorie öffentlich ist. Methoden, die auf der Hessischen Matrix des Trainingsdatensatzes basieren (wie SOURCE), verletzen die Post-Processing-Eigenschaft, da sie direkten Zugriff auf private Daten benötigen.

4. Surrogat-Modelle und Linearisierung (z. B. TRAK):

   • Prinzip: Ersetzung der nichtlinearen Dynamik durch lineare Surrogate in einem eingebetteten Raum.
   • Problem: Die Einbettungen hängen oft von globalen Statistiken des gesamten Datensatzes ab (z. B. inverse Hessische Matrix als Vorbedingung).
   • DP-Herausforderung: Die Geometrie des Raumes selbst leckt Informationen über den Rest des Datensatzes aus.

3. Schlüsselbeiträge und Erkenntnisse

Die Autoren identifizieren neun wiederkehrende Herausforderungen (C1–C9), die DP-kompatible Datenbewertung systematisch behindern:

• C1 & C2 (Geometrie & Dämpfung): Die Inversion der Hessischen Matrix führt zu unbeschränkter Sensitivität. Dämpfung (Regularisierung) ist ein Kompromiss zwischen Genauigkeit und Stabilität, liefert aber keine strengen DP-Grenzen.
• C3 (Paradoxon bei Punktzahl-Veröffentlichung): Um die Sensitivität zu begrenzen, müssen Werte geklippt werden. Ein zu striktes Clipping löscht die wertvollen Ausreißer (die oft die interessantesten Datenpunkte sind); ein zu lockeres Clipping führt dazu, dass das für DP notwendige Rauschen das eigentliche Signal überdeckt.
• C4 & C5 (Instabilität & Aggregation): Bei Shapley-Werten führt die Instabilität von Deep-Learning-Nutzenfunktionen (z. B. Genauigkeit) dazu, dass das Rauschen das Signal für die meisten Datenpunkte überdeckt. Die Aggregation über Teilmengen kann die Sensitivität nicht effektiv reduzieren, da ein Punkt in vielen Teilmengen vorkommt.
• C7 & C8 (Trajektorien-Limits): Trajektorienmethoden sind nur dann sicher, wenn das Training selbst privat war. Sie verhindern jedoch die Nutzung von „Hidden State"-Privacy-Amplifikation und erlauben keine privaten zweiten Ordnungs-Informationen.
• C9 (Versteckte globale Abhängigkeit): Surrogat-Methoden nutzen globale Geometrien, die den gesamten Datensatz einbeziehen, was eine isolierte Privatisierung einzelner Punkte unmöglich macht.

Design-Prinzipien:
Das Paper schließt, dass Nachbesserungen (Post-hoc-Privatisierung) durch Rauschen oder Clipping nicht funktionieren. Stattdessen müssen Bewertungsmethoden „Sensitivity-by-Design" sein. Das bedeutet:

• Nutzung von lokal beschränkten oder Lipschitz-stetigen Nutzenfunktionen.
• Vermeidung von globalen, datenabhängigen Geometrien (z. B. durch Nutzung öffentlicher Daten für die Krümmungsschätzung).
• Trennung von individueller Identität und globaler Datenqualität.

4. Ergebnisse und Experimente

Die Autoren untermauern ihre theoretischen Argumente mit empirischen Analysen:

• Spektralverteilung: Sie zeigen, dass die Eigenwerte der empirischen Hessischen Matrix oft nahe Null liegen, was zu einer extremen Verstärkung bestimmter Gradienten führt (Abbildung 2 & 3).
• Verhältnis Sensitivität zu Signal: In Experimenten mit Shapley-Werten (Tabelle 2) und Einflusswerten (Abbildung 4) zeigt sich, dass das Verhältnis der geschätzten globalen Sensitivität zur durchschnittlichen Signalstärke oft > 1 ist. Das bedeutet: Das für DP notwendige Rauschen ist größer als das eigentliche Signal der meisten Datenpunkte.
• Trajektorien-Experimente: Bei der Anwendung von DP-SGD auf das Training sinkt die Übereinstimmung der Top-k-Einflussdatenpunkte (Overlap Rate) zwischen privaten und nicht-privaten Modellen drastisch (auf ca. 40–50%), selbst bei schwachem DP. Die Fähigkeit, falsch beschriftete Daten zu erkennen (Mislabel Detection), bleibt zwar erhalten, wird aber durch das Rauschen leicht verschlechtert (Abbildung 5).

5. Signifikanz und Ausblick

Das Paper ist ein Meilenstein, da es als erstes Systematik-Werk (SoK) die fundamentalen Grenzen der Differential Privacy in der Datenbewertung aufzeigt. Es widerlegt die Annahme, dass bestehende Bewertungsmethoden einfach „privat gemacht" werden können.

Offene Probleme (P1–P3) für die Zukunft:

1. Präzisere Accounting-Methoden: Entwicklung von speziellen „Valuation Accountants", die die Kosten der Freigabe von Trajektorien-Daten (Gradienten-Alignments) quantifizieren, ohne die volle Trajektorie preiszugeben.
2. Statische DP-Bewertung: Kann man sinnvolle Attributionen aus einem konvergierten, privaten Modell ziehen, ohne auf private Krümmungsinformationen (Hessische Matrix) zurückzugreifen? (Möglicher Ansatz: Nutzung öffentlicher Daten als Surrogat).
3. Erweiterte Bedrohungsmodelle: Lösung des Problems der zentralen Freigabe (Veröffentlichung des gesamten Vektors) und des „Private Validation"-Problems, bei dem auch der Validierungsdatensatz privat ist (z. B. durch Secure Multi-Party Computation).

Fazit:
Die Arbeit zeigt, dass der Konflikt zwischen Datenbewertung und Datenschutz strukturell ist. Echte Privatsphäre in der Datenbewertung erfordert nicht das Unterdrücken von Daten, sondern die Neugestaltung von Bewertungsmethoden, die das Signal der Datenqualität von der privaten Signatur der individuellen Identität entkoppeln können.