Google gjør sletting fra AI-modeller til revisjonssak

Google Research løfter et av de mest praktiske problemene i AI-styring: Hvordan kan en virksomhet bevise at en modell faktisk har glemt data den ikke lenger skal bruke?

Spørsmålet høres smalt ut. Det er det ikke. Når AI-modeller trenes på kundedata, ansattdata, produktdata eller lisensiert innhold, holder det ikke å si at en post er slettet fra databasen. Hvis informasjonen allerede har påvirket modellens vekter, må selskapet kunne dokumentere hva som er gjort med modellen. Det er kjernen i maskinavlæring, eller machine unlearning: å få en modell til å fjerne effekten av utvalgte treningsdata uten å trene hele modellen på nytt fra bunnen.

I en ny artikkel publisert 10. juni beskriver Google Research et statistisk rammeverk for å revidere slike påstander. Forskerne kaller metoden Regularized f-Divergence Kernel Tests. Den er laget for å avgjøre om to eller flere sett med modellutganger faktisk kommer fra samme underliggende fordeling, eller om det fortsatt finnes målbare spor etter data som skulle vært glemt.

For CIO-er, CISO-er og personvernansvarlige er poenget enkelt: AI-sletting blir ikke lenger bare en utvikleroppgave. Det blir et kontrollspørsmål. Hvis en leverandør hevder at en modell kan slette kundedata, må kjøperen etter hvert kunne spørre: Med hvilken test? Mot hvilket referansepunkt? Med hvilken falsk positiv-rate? Og hvor mange samples trengs før svaret er troverdig?

Fra rettighet til måleproblem

Google peker selv på GDPRs rett til å bli glemt som en sentral driver. I tradisjonelle IT-systemer er sletting ofte sporbar. Data finnes i tabeller, filer, logger og backupregimer. Det kan være vanskelig, men det er forståelig. I AI-systemer er bildet mer uklart. En modell kan ha lært mønstre fra en datapost uten å lagre posten eksplisitt. Den kan likevel lekke informasjon gjennom svar, outliers eller responsmønstre.

Derfor er revisjon av maskinavlæring et statistisk problem. Auditoren har ofte ikke tilgang til modellens interne vekter eller hele treningssettet. I praksis må kontrollen skje utenfra, ved å sende spørringer til modellen og analysere svarene. Google beskriver dette som en overgang fra et teoretisk ideal til et krav om matematisk bevis.

Dagens vanlige metode er såkalt two-sample testing. Man sammenligner for eksempel en modell som aldri så de aktuelle dataene, med en modell som hevdes å ha glemt dem. Hvis svarfordelingene er ulike, kan det tolkes som at slettingen feilet. Problemet er at metoden kan gi feil konklusjoner. To modeller som er trent fra bunnen på samme datagrunnlag, kan få ulike fordelinger bare fordi treningen ble kjørt med andre batch-størrelser eller tilfeldige startbetingelser. Da kan testen rope varsko selv om modellen i praksis er trygg.

Google foreslår derfor en relativ test med tre sammenligningspunkter. Den avgjør om den avlærte modellen ligger nærmest en trygg modell som er trent uten de sensitive dataene, eller nærmest den opprinnelige modellen som hadde tilgang til dem. Det er mer relevant for virksomheter enn et absolutt krav om perfekt likhet. Perfekt avlæring er uansett vanskelig. Google viser til nyere forskning som tilsier at standard, lokale avlæringsmetoder alltid vil kunne etterlate et spor hvis de ikke gjenskaper hele treningsprosessen.

Hvorfor dette betyr noe i innkjøp

Det viktigste med Googles arbeid er ikke at alle virksomheter skal implementere akkurat dette rammeverket i morgen. Det viktigste er at kravbildet blir mer konkret. AI-leverandører kommer til å selge funksjoner for datasletting, privacy controls og modellstyring. Kjøpere bør behandle slike påstander som revisjonsbare kontroller, ikke som produktegenskaper i en slide.

For virksomheter med regulerte data betyr det tre ting. Først må kontrakter og databehandleravtaler skille mellom sletting av rådata og redusert modellpåvirkning. Det er ikke samme kontroll. Deretter må risikomodellen ta høyde for at enkelte AI-systemer bare kan dokumentere sannsynlig reduksjon, ikke absolutt glemsel. Til slutt må internrevisjon og sikkerhetsteam få et språk for å teste leverandørens påstander.

Google rapporterer at rammeverket i forsøk fanget opp personvernbrudd med færre samples og mindre manuell parameterjustering enn tidligere metoder. Særlig hockey-stick-divergens trekkes frem som nyttig for revisjon av differensielt personvern, fordi den kan settes opp med et konkret budsjett for hvor stor statistisk forskjell som skal tolereres. I ett eksempel skal metoden ha funnet brudd i en sparse vector technique med noen få tusen samples, der tidligere teknikker krevde millioner for å nærme seg samme deteksjonsnivå.

Det er et viktig signal. Dersom revisjon av AI-modeller skal bli praktisk, må testene være billige nok til å kjøres jevnlig. En kontroll som krever enorme mengder compute, blir fort et engangsprosjekt. En kontroll som kan automatiseres, kan bli en del av modellens livssyklus.

Ny styringslinje for AI

Maskinavlæring har lenge vært omtalt som en mulig løsning på personvern, feiltrening og lisenskonflikter. Nå beveger feltet seg mot et mer ubehagelig, men mer nyttig spørsmål: Kan slettingen bevises godt nok til at styret, revisor og tilsyn kan stole på den?

Det er her saken blir relevant for norske ledere. Mange virksomheter er i ferd med å koble interne dokumenter, saksdata og kundeinformasjon til AI-systemer. Når pilotene blir produksjon, kommer kravene om sletting, sperring og dokumentasjon. En ansatt kan trekke samtykke. En kunde kan kreve sletting. En datasettlisens kan utløpe. Et dokument kan vise seg å være feilklassifisert. Da trenger virksomheten en operasjonell prosess, ikke bare en personvernerklæring.

Google Research sin artikkel gjør også et annet poeng tydelig: AI-revisjon blir ikke bare juridisk. Den blir teknisk og statistisk. DPO, CISO, data science og innkjøp må møtes i samme kontrollregime. Hvis de ikke gjør det, ender virksomheten med enten overdreven tillit til leverandøren eller så strenge krav at praktisk AI-bruk stopper opp. Begge deler er dyrt.

Det nøkterne rådet er å begynne med leverandørspørsmålene nå. Be om dokumentasjon på hvordan modellpåvirkning håndteres ved sletting. Spør om leverandøren bruker retrening, avlæring, filtrering, sikkerhetslag eller en kombinasjon. Spør hvordan de måler at effekten er borte. Og spør om kontrollen kan gjentas av kunden eller en uavhengig tredjepart.

Dette er ikke ferdig standardverk. Men retningen er klar. AI-governance går fra prinsipper til bevis. De virksomhetene som forstår forskjellen tidlig, vil kjøpe bedre, dokumentere bedre og få færre overraskelser når tilsyn og kunder begynner å stille de samme spørsmålene.

Kilder og medier

Primærkilde: Google Research, "New framework for auditing machine unlearning", publisert 10. juni 2026. https://research.google/blog/new-framework-for-auditing-machine-unlearning/

Kildekreditering: Google Research / Mónica Ribero.

Thumbnail: OpenAI Image 2 / hogby.ai.