Whitebridge AI dituduh secara ilegal, menjual "konten politik berbahaya" peringatan palsu yang memicu kontroversi

Perusahaan AI Lithuania, Whitebridge AI, mendapat keluhan dari organisasi privasi Uni Eropa, Noyb, karena melanggar beberapa ketentuan GDPR. Mereka menjual laporan reputasi yang mencakup peringatan “telanjang” dan “konten politik berbahaya” yang palsu, meminta pengguna untuk membayar untuk melihatnya dan menggunakan “tanda tangan elektronik” untuk mencegah koreksi, model bisnis yang mengintimidasi ini memicu kontroversi privasi.

Laporan AI Whitebridge Mengungkap Model Bisnis: Monetisasi Data dengan Ancaman

Whitebridge AI yang berkantor pusat di Lithuania terjebak dalam badai privasi karena diduga menjual “laporan reputasi” yang didasarkan pada pengumpulan data ilegal dan informasi keliru AI. Organisasi advokasi privasi yang berkantor pusat di Austria, Noyb, telah meminta Otoritas Perlindungan Data Nasional Lithuania untuk melarang Whitebridge AI “memproses data pribadi yang diambil dan informasi palsu yang dihasilkan oleh AI.”

**Whitebridge AI menyediakan dua layanan berbasis kecerdasan buatan: **

Layanan Laporan Reputasi: Menghasilkan laporan rinci yang menggambarkan status online seseorang, termasuk postingan media sosial, gambar, artikel berita, dan jejak digital lainnya.

Layanan Pemantauan Instan: Terus melacak aktivitas online target, dan segera memberitahu pengguna berbayar jika ada perubahan.

Model bisnis ini sendiri tidaklah baru—layanan “manajemen reputasi digital” serupa telah ada di Eropa dan Amerika selama bertahun-tahun. Namun, keunikan yang dilaporkan oleh Whitebridge AI terletak pada strateginya “mengintimidasi lalu memonetisasi”: berdasarkan dokumen pengaduan Noyb, laporan yang dihasilkan perusahaan tersebut mengandung peringatan palsu tentang “konten politik yang telanjang” dan “berbahaya”, dengan sengaja menciptakan rasa cemas, lalu meminta pengguna untuk membayar agar dapat melihat laporan lengkap atau melakukan perbaikan.

Pengacara perlindungan data Noyb, Lisa Steinfeld, dengan tegas menyatakan: “Model bisnis Whitebridge AI sangat tidak etis, bertujuan untuk menakut-nakuti orang agar mereka membayar untuk data yang dikumpulkan secara ilegal. Menurut hukum Uni Eropa, orang memiliki hak untuk mengakses data mereka secara gratis.”

Noyb Mengungkap Tiga Pelanggaran GDPR

Dokumen pengaduan yang diajukan oleh Noyb (PDF) menuduh Whitebridge AI melanggar beberapa ketentuan inti dari Regulasi Perlindungan Data Umum Eropa (GDPR), termasuk Pasal 5, 6, 9, 12, 14, 15, dan 16. Ketentuan ini mencakup dasar hukum untuk pemrosesan data, perlindungan data kategori khusus, kewajiban transparansi, hak akses, dan hak perbaikan, serta prinsip dasar lainnya.

Sumber data ilegal: media sosial tidak “secara jelas terbuka”

Whitebridge AI mengklaim di situs webnya: “Kami sepenuhnya mematuhi GDPR, memastikan bahwa data pribadi Anda dilindungi dan diproses secara transparan. Kami hanya mengumpulkan informasi yang tersedia untuk umum, Anda berhak untuk mengakses, memperbaiki, menghapus, dan membatasi pemrosesan data Anda.”

Namun, Noyb membantah bahwa sebagian besar informasi dalam laporan Whitebridge AI tampaknya berasal dari situs media sosial atau pencarian terhadap situs-situs tersebut — dan hukum kasus Eropa telah secara jelas menetapkan bahwa data semacam itu tidak termasuk dalam kategori “jelas dipublikasikan” (manifestly made public), yang merupakan ambang batas kunci untuk memproses data pribadi sensitif menurut Pasal 9 GDPR.

Inti dari sengketa hukum ini adalah definisi “data publik”:

Posisi Whitebridge AI: Informasi apa pun yang dapat ditemukan di internet dianggap “publik”, sehingga dapat diambil dan digunakan untuk kepentingan komersial secara bebas.

Putusan Pengadilan Uni Eropa: Meskipun informasi secara teknis dapat diakses, itu tidak berarti subjek data bermaksud untuk “secara jelas mempublikasikannya” untuk digunakan secara komersial oleh pihak ketiga mana pun. Postingan di media sosial biasanya memiliki batasan audiens (teman, pengikut, dll.), dan tidak dipublikasikan secara tidak terbatas kepada seluruh dunia.

Pada tahun 2023, Pengadilan Uni Eropa menekankan dalam beberapa kasus bahwa data “yang jelas dipublikasikan” yang dimaksud dalam Pasal 9, Ayat 2, Huruf e GDPR, haruslah informasi yang dengan jelas dimaksudkan oleh subjek data untuk dipublikasikan kepada publik yang tidak ditentukan. Ini berarti:

Postingan yang hanya terlihat oleh teman di Facebook: tidak dianggap publik yang jelas

Tweet yang dipublikasikan di Twitter: Mungkin dianggap jelas terbuka, tetapi masih perlu mengevaluasi legalitas penggunaan komersial.

Riwayat Profesional di LinkedIn: Wilayah abu-abu, tergantung pada pengaturan privasi pengguna

Whitebridge AI jelas mengambil penafsiran yang paling longgar, menganggap semua data yang dapat diambil sebagai “publik”, metode ini bertentangan dengan semangat yurisprudensi pengadilan Uni Eropa.

Konten AI Palsu: Peringatan Telanjang dan Politik

Noyb mewakili dua pengadu yang identitasnya tidak jelas, yang mengajukan permintaan berdasarkan Pasal 15 GDPR (yang memberikan hak kepada orang untuk mengakses data mereka sendiri), tetapi tidak menerima tanggapan apa pun. Noyb kemudian membeli laporan Whitebridge AI dari pengadu tersebut, dan menemukan bahwa laporan itu “mengandung peringatan palsu tentang 'konten politik telanjang' dan 'konten politik berbahaya'”.

Penemuan ini mengungkap masalah serius dari konten yang dihasilkan AI:

Masalah Halusinasi AI: Model AI mungkin menghasilkan kesimpulan yang sepenuhnya salah berdasarkan potongan data yang tidak relevan. Misalnya, seseorang membagikan foto liburan pantai di media sosial, AI mungkin salah menandainya sebagai “telanjang”.

Desain jahat yang mungkin: Yang lebih mengkhawatirkan adalah bahwa peringatan palsu ini mungkin bukan cacat teknis, melainkan strategi bisnis—dengan menciptakan label negatif yang mencolok, memaksa pengguna untuk membayar untuk melihat detail atau meminta penghapusan.

Risiko Pencemaran Nama Baik: Jika laporan palsu ini dibeli oleh majikan, perusahaan asuransi, atau pihak ketiga lainnya, dapat menyebabkan kerugian profesional dan pribadi yang serius bagi pihak terkait.

Pasal 5 ayat 1 huruf d GDPR mengharuskan bahwa pengolahan data harus “akurasi” dan diperbarui bila perlu. Konten palsu dalam laporan Whitebridge AI jelas melanggar prinsip ini.

Jebakan Penghapusan Berbayar: Melanggar Hak Akses Gratis

Ketika pengadu mencoba untuk memperbaiki laporan mereka berdasarkan Pasal 16 GDPR, Whitebridge AI meminta “tanda tangan elektronik yang memenuhi syarat” (qualified electronic signature) untuk melaksanakan permintaan - Noyb secara tegas menunjukkan bahwa hukum Uni Eropa tidak mengatur persyaratan ini.

GDPR Pasal 12 Ayat 5 secara jelas menyatakan: “Informasi dan tindakan yang diberikan berdasarkan Pasal 15 hingga 22 harus disediakan secara gratis.” Ini berarti:

Mengakses data sendiri: Harus gratis

Perbaiki data yang salah: Harus gratis

Hapus data yang tidak pantas: harus gratis

Persyaratan “tanda tangan elektronik yang memenuhi syarat” adalah suatu hambatan teknis. Di Uni Eropa, tanda tangan elektronik yang memenuhi syarat perlu mendapatkan sertifikat digital yang dikeluarkan oleh lembaga sertifikasi, dengan biaya yang dapat mencapai puluhan hingga ratusan euro, dan prosesnya cukup rumit. Persyaratan ini sebenarnya mengubah “hak gratis” menjadi “hak berbayar”.

Lebih parah lagi, desain semacam ini dapat membentuk siklus jahat:

1. Pengguna menemukan bahwa laporan Whitebridge AI berisi konten negatif palsu.

2. Pengguna meminta perbaikan gratis, tetapi diminta untuk menyediakan tanda tangan elektronik yang mahal.

3. Pengguna terpaksa menyerahkan perbaikan, atau dipaksa untuk membeli “layanan manajemen reputasi” perusahaan.

Perusahaan mendapatkan keuntungan dari kecemasan yang dihasilkan

Ketentuan GDPR Uni Eropa Melawan Pengambilan Data AI

Kasus Whitebridge AI menyoroti konflik mendasar antara praktik data GDPR dan era AI. Berikut adalah ketentuan kunci GDPR yang terlibat dalam kasus ini dan maknanya dalam konteks AI:

Pasal 5 (Prinsip Pengolahan Data): Mengharuskan pengolahan data harus sah, adil, transparan, dan akurat. Peringatan palsu yang dihasilkan oleh AI melanggar prinsip “akurasi”, sementara proses pengambilan yang tidak transparan melanggar prinsip “transparansi”.

Pasal 6 (Dasar Legalitas): Setiap pemrosesan data harus memiliki dasar hukum, seperti persetujuan, kontrak, kewajiban hukum, atau kepentingan sah. Whitebridge AI mengklaim berdasarkan “kepentingan sah”, tetapi dalam ketiadaan persetujuan pengguna dan adanya kerugian yang jelas bagi kepentingan pengguna, dasar ini sulit untuk ditegakkan.

Pasal 9 (Data Sensitif): Dilarang untuk memproses data yang mengungkapkan ras, pandangan politik, keyakinan agama, orientasi seksual, kecuali memenuhi pengecualian tertentu. Label “Konten Politik Berbahaya” mungkin melibatkan inferensi pandangan politik, dan peringatan “Telanjang” mungkin melibatkan implikasi, keduanya termasuk dalam kategori data sensitif.

Pasal 12 dan 14 (Transparansi dan Kewajiban Pemberitahuan): Pengendali data harus secara proaktif memberitahukan subjek data bahwa data mereka sedang diproses. Pengadu Noyb tidak pernah menerima pemberitahuan dari Whitebridge AI sampai mereka secara proaktif membeli laporan dan baru menyadari bahwa data mereka sedang diproses.

Pasal 15 (Hak Akses): Individu berhak untuk mendapatkan konfirmasi dan salinan gratis mengenai pemrosesan data mereka. Model pembayaran Whitebridge AI secara langsung melanggar hak inti ini.

Pasal 16 (Hak untuk Memperbaiki): Individu berhak meminta perbaikan atas data yang tidak akurat. Penetapan hambatan tanda tangan elektronik pada dasarnya mencabut hak ini.

Pelanggaran kumulatif dari ketentuan ini menunjukkan bahwa model bisnis Whitebridge AI sepenuhnya bertentangan dengan semangat dasar GDPR—memberikan individu kontrol atas data mereka.

Tanggapan Resmi Whitebridge AI: Menekankan Legalitas tetapi Penuh Keraguan

Setelah pengajuan artikel ini, juru bicara Whitebridge AI memberikan pernyataan untuk membela tindakan perusahaan: “WhiteBridge AI sangat menghargai perlindungan data dan privasi. Semua data pribadi yang diproses oleh perusahaan kami hanya dikumpulkan dari sumber publik, dan hanya digunakan untuk tujuan yang sah dan terdefinisi dengan jelas. Kami ingin menegaskan bahwa WhiteBridge AI tidak secara aktif mengumpulkan atau menyimpan data pribadi apapun.”

Pernyataan ini menekankan beberapa klaim kunci:

Mode Pemrosesan Pasif: “Pemrosesan data hanya dilakukan setelah menerima permintaan penulisan laporan dari pelanggan untuk individu tertentu” - ini berarti perusahaan mengklaim tidak memelihara basis data permanen dan hanya mengambil data saat ada permintaan berbayar.

Kebijakan Penghapusan 30 Hari: “WhiteBridge AI secara ketat mematuhi peraturan batas penyimpanan data, semua laporan yang telah diterbitkan akan dihapus setelah 30 hari” — ini tampaknya untuk mematuhi prinsip minimalisasi data GDPR.

Pernyataan Tanpa Basis Data: “WhiteBridge AI tidak memiliki basis data atau arsip yang akan menyimpan informasi pribadi tanpa permintaan yang sah” - berusaha untuk membedakan diri dari broker data tradisional.

Namun, ada keraguan yang jelas dalam pembelaan ini:

Definisi Sumber Terbuka Tidak Jelas: Perusahaan belum menjelaskan definisi spesifik mereka tentang “sumber terbuka”, serta bagaimana memastikan bahwa sumber-sumber ini memenuhi standar “jelas terbuka” dalam Pasal 9 GDPR.

Masalah Mode Pasif: Meskipun diproses sesuai permintaan, kewajiban pemberitahuan (Pasal 14) dan hak akses (Pasal 15) tetap harus dipatuhi. Pengadu dari Noyb jelas tidak menerima pemberitahuan, dan hak akses terhalang oleh dinding bayar.

Kekurangan yang Dihapus dalam 30 Hari: Laporan dapat diunduh dan disebarkan berkali-kali dalam 30 hari, menghapus salinan asli tidak akan menghilangkan kerusakan yang telah terjadi. Yang lebih penting, jika laporan mencakup informasi palsu, periode keberlangsungan 30 hari cukup untuk menyebabkan kerusakan reputasi yang serius.

Kontradiksi Tanpa Pernyataan Basis Data: Jika perusahaan benar-benar tidak memiliki basis data, bagaimana mereka dapat dengan cepat menghasilkan laporan setelah menerima permintaan? Ini menyiratkan bahwa perusahaan mungkin telah membuat semacam indeks atau mekanisme cache sebelumnya.

Perusahaan juga menanggapi tuduhan Noyb, menganggap bahwa “klaim tentang 'model bisnis yang tidak pantas' serta dugaan pengumpulan dan penjualan data secara ilegal adalah tidak berdasar,” dan menyatakan “siap untuk melakukan dialog konstruktif.” Namun, untuk tuduhan spesifik seperti konten yang dihasilkan AI palsu dan persyaratan tanda tangan elektronik, pernyataan tersebut tidak memberikan penjelasan substansial.

Reputasi digital Anda sedang ditulis ulang oleh AI

Kasus Whitebridge AI bukanlah kejadian terpisah, melainkan mengungkapkan krisis sistemik dalam pengelolaan identitas digital di era AI.

Setahun yang lalu, pendiri bersama dan CEO dari organisasi keamanan siber Australia Dodgy or Not?, Stacey Edmonds, memposting sebuah tulisan di LinkedIn, mengungkapkan kekhawatirannya terhadap layanan pengumpulan data Whitebridge AI. Edmonds menulis bahwa dia telah menghubungi Whitebridge AI dan Otoritas Perlindungan Data Nasional Lithuania untuk menyampaikan kekhawatirannya. Namun, tampaknya pertanyaannya tidak berdampak pada praktik perusahaan.

Ketidakmampuan pengawasan ini menyoroti dua masalah:

Kesulitan Penegakan Hukum Lintas Batas: Whitebridge AI terdaftar di Lithuania, tetapi melayani pengguna di seluruh dunia. Meskipun otoritas regulasi di negara tertentu menganggapnya ilegal, penegakan hukum masih menghadapi tantangan yurisdiksi.

Sumber daya pengawasan tidak cukup: Badan Pengawas Perlindungan Data Nasional Lithuania mungkin kekurangan sumber daya yang cukup untuk menyelidiki kasus data AI yang kompleks secara mendalam. Meskipun GDPR memberikan kekuatan yang besar, kemampuan penegakannya tergantung pada kontribusi masing-masing negara anggota.

Mungkin pengaduan resmi Noyb akan mendapatkan lebih banyak perhatian. Sebagai salah satu organisasi advokasi privasi yang paling aktif di Eropa, Noyb telah berhasil mendorong sanksi besar terhadap raksasa teknologi seperti Facebook dan Google. Jika otoritas Lithuania mengambil tindakan terhadap Whitebridge AI, itu bisa menjadi preseden bagi negara-negara UE lainnya untuk membatasi model bisnis “monetisasi dengan ancaman AI” yang serupa.

Bagi pengguna biasa, pelajaran dari kasus ini adalah: identitas digital Anda mungkin sedang dianalisis, ditandai, atau bahkan diputarbalikkan oleh sistem AI tanpa sepengetahuan Anda. Secara rutin mencari nama Anda, mengatur privasi media sosial, dan berhati-hati dalam berbagi informasi pribadi, bukan hanya praktik baik untuk melindungi privasi, tetapi juga merupakan garis pertahanan yang diperlukan untuk melawan manipulasi reputasi digital yang didorong oleh AI.