即将在2024年2月举办的The 36th AAAI Conference on Artificial Intelligence (AAAI 2024)中，我实验室白泽智能团队率先提出了推荐系统逆向学习算法（RRL: Recommendation Reverse Learning），该工作能够几乎无损地实现推荐系统用户隐私数据的遗忘。

背景和意义

随着社会越来越关注数据隐私，许多国家颁布法规要求赋予用户“被遗忘权”，如果用户提出请求，企业必须从数据库和深度学习模型中删除与用户有关的私人信息。推荐系统根据收集的用户交互（比如点击、点赞和购买）数据进行模型训练，以提供精准的个性化推荐服务。用户交互数据不仅反映了用户的偏好，也属于用户的个人信息。为了实现隐私保护，赋予推荐系统用户“交互数据遗忘权”——从推荐系统中删除特定用户交互并消除这些数据对推荐系统的影响，受到业界的广泛关注。

相关工作

实现推荐系统用户遗忘的最直观的方法是从数据集中删除标记的交互并从头开始重新训练推荐模型，然而这会耗费大量计算资源。近期的一些研究提出将历史交互数据集拆分为几个分片，并在每个分片上训练子模型。当删除需求出现时，相应的子模型将从零开始重新训练。最后，所有子模型的预测结果汇总并提供推荐服务。这种基于重新训练的方法保证了执行效率，但在分片过程中破坏了历史交互中的协同信息，导致了推荐性能的大幅下降。

图1：基于重新训练的方法（左），逆向学习（右）

推荐系统逆向学习

本研究首次提出了推荐学习的逆向学习框架RRL，通过更新当前模型的参数，实现几乎无损的从模型消除目标数据。推荐模型对历史交互中潜在的协作信息进行编码，将用户和项目之间的相似度建模为用户和项目的表示。为了遗忘标记的用户交互，本工作设计了一个逆向个性化排名目标。这一目标同时考虑了交互数据的预测分数和排名，以保证标记的相互作用的预测分数与没有相互作用的项目相似甚至更小。

不同于传统的机器学习模型或深度学习模型，推荐模型学习的目标是将交互数据中包含的协同信息映射到参数中（最主要为用户物品的表示），也称为表示之间的协同相似性。推荐模型正是依赖协同相似性来提供精确的个性化服务。然而这也使得在有了逆向个性化排名目标下，还需要解决哪些表示需要被更新以及被更新多少。如果仅更新与目标数据相关的表示，目标数据在其他表示的协同相似性的影响将不会被消除；如果更新了全部表示，与目标数据无关的协同相似性也将被更新，从而影响全局推荐精确度。

本研究引入了费雪信息矩阵(FIM)来衡量表示之间的协同相似性，并提出了基于协同相似性的正则化项，以指导用户和项目表示的更新，保证完全消除目标数据的影响的情况下，不影响全局推荐精确度。

实验效果

本工作在两个具有代表性的推荐模型MF- BPR和LightGCN，以及三个真实的推荐数据集上进行了遗忘有效性、遗忘效率和数据遗忘后推荐模型精确度的分析。实验结果表明，通过RRL遗忘标记交互后的模型整体表现与重新训练的模型效果相似，同时训练时间大幅缩短。此外，本工作创新性地设计了基于托攻击的实验来评估遗忘有效性，即使用RRL遗忘恶意用户后，几乎完全抹除托攻击的攻击效果，同时模型的整体性能不受影响（实验结果如下）。

表1：遗忘效率及数据遗忘后的推荐模型精确度比较

图2：基于托攻击的遗忘有效性评估

团队简介

白泽智能团队负责人为张谧教授，隶属于杨珉教授领衔的复旦大学系统软件与安全实验室的白泽智能团队。该团队主要研究方向为AI系统安全，包括AI供应链安全、数据隐私与模型保护、模型测试与优化、AI赋能安全等研究方向，在S&P、USENIX Security、CCS、TPAMI、ICML、NeurIPS、KDD等网络安全和AI领域国际顶会顶刊已发表论文30余篇。

张谧教授个人主页：https://mi-zhang-fdu.github.io/index.chn.html

白泽智能团队（Whizard AI）：https://whitzard-ai.github.io/