تم اتهام وايت بريدج AI بالتحايل ، وبيع "محتوى سياسي خطير" ، مما أثار جدلاً حول التحذيرات الكاذبة.

شركة وايت بريدج إيه آي الليتوانية تواجه شكوى من منظمة خصوصية الاتحاد الأوروبي نويب بسبب انتهاك عدة بنود من اللائحة العامة لحماية البيانات (GDPR)، حيث تقوم ببيع تقارير سمعة تحتوي على تحذيرات زائفة تتعلق بـ “المحتوى العاري” و"المحتوى السياسي الخطير"، وتطلب من المستخدمين دفع رسوم لمشاهدتها وتستخدم “التوقيع الإلكتروني” كعائق لمنع التصحيح، مما يثير جدلاً حول حقوق الخصوصية بسبب نموذجها التجاري المهدد.

تقرير Whitebridge AI يكشف نموذج الأعمال: استغلال البيانات بالتهديد

تواجه شركة Whitebridge AI التي تتخذ من ليتوانيا مقراً لها عاصفة من انتهاكات الخصوصية بسبب مزاعم بيع “تقارير سمعة” مبنية على جمع بيانات غير قانونية ومعلومات خاطئة من الذكاء الاصطناعي. وقد طلبت منظمة Noyb النمساوية المدافعة عن الخصوصية من مكتب حماية البيانات الوطني في ليتوانيا حظر Whitebridge AI من “معالجة البيانات الشخصية الملتقطة والمعلومات الكاذبة الناتجة عن الذكاء الاصطناعي.”

Whitebridge AI تقدم خدمتين معتمدتين على الذكاء الاصطناعي:

خدمة تقرير السمعة: إنشاء تقرير مفصل يصف الحالة عبر الإنترنت لشخص ما، بما في ذلك منشورات وسائل التواصل الاجتماعي، الصور، المقالات الإخبارية، وغيرها من الآثار الرقمية.

خدمة المراقبة الفورية: تتبع الأنشطة عبر الإنترنت للشخص المستهدف بشكل مستمر، وإخطار المستخدمين المميزين على الفور عند حدوث أي تغيير.

هذا النموذج التجاري ليس جديدًا في حد ذاته - حيث كانت هناك خدمات مماثلة لـ “إدارة السمعة الرقمية” موجودة في أوروبا وأمريكا لسنوات. ومع ذلك، فإن ما يميز تقرير Whitebridge AI هو استراتيجيته المتمثلة في “التهديد ثم تحقيق الربح”: وفقًا لوثائق الشكوى من Noyb، تحتوي التقارير التي تنتجها الشركة على تحذيرات كاذبة بشأن “محتوى سياسي عار” و"محتوى سياسي خطير"، مما يخلق شعورًا بالقلق بشكل متعمد، ثم تطلب من المستخدمين الدفع لرؤية التقرير الكامل أو لإجراء التعديلات.

قالت محامية حماية البيانات في Noyb، ليزا شتاينفيلد، بصراحة: “نموذج العمل الخاص بـ Whitebridge AI غير قانوني للغاية، والهدف منه هو تخويف الناس لدفع أموال مقابل البيانات التي تم جمعها بشكل غير قانوني. وفقًا لقوانين الاتحاد الأوروبي، يحق للناس الوصول إلى بياناتهم مجانًا.”

Noyb شكوى تكشف عن ثلاثة انتهاكات لقانون حماية البيانات العامة GDPR

تتضمن وثيقة الشكوى المقدمة من Noyb (PDF) اتهامات ضد Whitebridge AI بانتهاك العديد من المواد الأساسية للائحة العامة لحماية البيانات (GDPR) الأوروبية، بما في ذلك المواد 5 و 6 و 9 و 12 و 14 و 15 و 16. تغطي هذه المواد الأسس القانونية لمعالجة البيانات، وحماية الفئات الخاصة من البيانات، والالتزامات المتعلقة بالشفافية، وحقوق الوصول، وحقوق التصحيح وغيرها من المبادئ الأساسية.

مصدر بيانات غير قانوني: وسائل التواصل الاجتماعي ليست “مفتوحة بوضوح”

يقول Whitebridge AI على موقعه الإلكتروني: “نحن نتوافق تمامًا مع GDPR، ونتأكد من أن بياناتك الشخصية محمية ومعالجة بشفافية. نحن نجمع فقط المعلومات العامة، ولديك الحق في الوصول إليها وتصحيحها وحذفها وتقييد معالجتها.”

ومع ذلك، ردت Noyb بالقول إن معظم المعلومات في تقرير Whitebridge AI يبدو أنها تأتي من مواقع التواصل الاجتماعي أو من البحث عن هذه المواقع - وقد حددت السوابق القضائية الأوروبية بوضوح أن هذه البيانات لا تندرج ضمن فئة “المعلن عنها بوضوح” (manifestly made public)، وهو العتبة الرئيسية المنصوص عليها في المادة 9 من GDPR لمعالجة البيانات الشخصية الحساسة.

جوهر هذا النزاع القانوني هو تعريف “البيانات العامة”:

موقف Whitebridge AI: أي معلومات يمكن العثور عليها على الإنترنت هي “مفتوحة”، لذلك يمكن استخراجها واستخدامها تجارياً بحرية.

أحكام محكمة الاتحاد الأوروبي: حتى لو كانت المعلومات متاحة تقنيًا، فهذا لا يعني أن موضوع البيانات ينوي “إعلانها بوضوح” للاستخدام التجاري من قبل أي طرف ثالث. عادةً ما تكون المنشورات على وسائل التواصل الاجتماعي محدودة الجمهور (الأصدقاء، المتابعون، إلخ)، وليست مفتوحة للعالم بأسره بدون قيود.

في عام 2023، أكدت محكمة الاتحاد الأوروبي في عدة قضايا أن البيانات “المكشوفة بوضوح” المشار إليها في المادة 9(2)(e) من اللائحة العامة لحماية البيانات (GDPR) يجب أن تكون معلومات يعتزم صاحب البيانات بوضوح الكشف عنها للجمهور غير المحدد. وهذا يعني:

منشور مرئي فقط للأصدقاء على فيسبوك: لا يعتبر علنيًا بشكل واضح

التغريدة المنشورة على تويتر: قد تُعتبر علنية بوضوح، ولكن لا يزال يتعين تقييم شرعية الاستخدام التجاري.

السيرة الذاتية المهنية على LinkedIn: المنطقة الرمادية، تعتمد على إعدادات خصوصية المستخدم

يبدو أن Whitebridge AI قد اتخذت أوسع تفسير ممكن، حيث اعتبرت جميع البيانات القابلة للتخزين “عامة”، وهذه الممارسة تتعارض مع روح السوابق القضائية لمحكمة الاتحاد الأوروبي.

محتوى مزيف تم إنشاؤه بواسطة الذكاء الاصطناعي: تحذير من التعري والسياسة

Noyb وكّلت شخصين مجهولين لتقديم شكوى، حيث قدّما استفسارات وفقًا للمادة 15 من GDPR (التي تمنح الأفراد الحق في الوصول إلى بياناتهم)، لكن لم يتلقوا أي رد. ثم قامت Noyb بشراء تقارير Whitebridge AI لهذين الشاكيين، واكتشفت أن التقرير يحتوي على “تحذيرات كاذبة تشمل محتوى “مكشوف” و"سياسي خطير”.

تظهر هذه الاكتشافات مشكلة خطيرة في محتوى الذكاء الاصطناعي الناتج:

مشكلة الهلوسة (Hallucination): قد تقوم نماذج الذكاء الاصطناعي بتوليد استنتاجات زائفة تمامًا بناءً على مقاطع بيانات غير ذات صلة. على سبيل المثال، قد يشارك شخص ما صورة لعطلة على الشاطئ على وسائل التواصل الاجتماعي، وقد تضعها الذكاء الاصطناعي بشكل خاطئ تحت عنوان “عُري”.

تصميم خبيث محتمل: ما يثير القلق أكثر هو أن هذه التحذيرات الكاذبة قد لا تكون عيباً تقنياً، بل استراتيجية تجارية - من خلال خلق علامات سلبية مثيرة، مما يجبر المستخدمين على دفع رسوم لرؤية التفاصيل أو المطالبة بالحذف.

مخاطر الأضرار بالسمعة: إذا تم شراء هذه التقارير الكاذبة من قبل أصحاب العمل أو شركات التأمين أو أطراف ثالثة أخرى، فقد تتسبب في أضرار مهنية وشخصية خطيرة للأطراف المعنية.

المادة 5 الفقرة 1 البند d من GDPR تتطلب أن تكون معالجة البيانات “دقيقة” وأن تبقى محدثة عند الضرورة. المحتوى الزائف في تقرير Whitebridge AI ينتهك بوضوح هذه المبادئ.

فخ الدفع: انتهاك حق الوصول المجاني

عندما حاول المشتكي تصحيح تقريره بموجب المادة 16 من GDPR، طلبت Whitebridge AI “توقيع إلكتروني مؤهل” (qualified electronic signature) لتنفيذ الطلب - وأشارت Noyb بوضوح إلى أنه لا يوجد هذا المتطلب في القانون الأوروبي.

GDPR المادة 12 الفقرة 5 تنص بوضوح: “يجب تقديم المعلومات والإجراءات المتخذة وفقًا للمادة 15 إلى 22 مجانًا.” وهذا يعني:

زيارة بياناتك الخاصة: يجب أن تكون مجانية

تصحيح البيانات الخاطئة: يجب أن تكون مجانية

حذف البيانات غير المناسبة: يجب أن يكون مجانيًا

متطلبات “التوقيع الإلكتروني المؤهل” هي عقبة تقنية. في الاتحاد الأوروبي، يتطلب التوقيع الإلكتروني المؤهل شهادة رقمية صادرة عن هيئة مصدقة، وقد تصل تكاليف الحصول عليها إلى عشرات أو مئات اليوروهات، والعملية معقدة. هذه المتطلبات تحول فعليًا “الحقوق المجانية” إلى “حقوق مدفوعة”.

الأخطر هو أن هذا التصميم قد يشكل حلقة مفرغة:

1، اكتشف المستخدم أن تقرير Whitebridge AI يحتوي على محتوى سلبي مزيف

2، طلب المستخدم تصحيح مجاني، لكنه طُلب منه تقديم توقيع إلكتروني مكلف

3، يُجبر المستخدم على التخلي عن التصحيح، أو يُستدرج لشراء “خدمات إدارة السمعة” الخاصة بالشركة.

الشركة تحقق الربح من قلق التصنيع

الاتحاد الأوروبي GDPR ضد جمع بيانات الذكاء الاصطناعي

تسليط الضوء على قضية Whitebridge AI على الصراع الجذري بين ممارسات البيانات بموجب GDPR وعصر الذكاء الاصطناعي. فيما يلي الأحكام الرئيسية لـ GDPR المعنية ومعانيها في سياق الذكاء الاصطناعي:

المادة 5 (مبادئ معالجة البيانات): يتطلب أن تكون معالجة البيانات قانونية، وعادلة، وشفافة، ودقيقة. التحذيرات الكاذبة التي يولدها الذكاء الاصطناعي تنتهك مبدأ “الدقة”، بينما تنتهك عملية الالتقاط غير الشفافة مبدأ “الشفافية”.

المادة 6 (الأساس القانوني): يجب أن يكون لأي معالجة بيانات أساس قانوني، مثل الموافقة، العقد، الالتزام القانوني أو المصلحة المشروعة. تدعي Whitebridge AI أنها تستند إلى “المصلحة المشروعة”، ولكن في غياب موافقة المستخدم وإلحاق ضرر واضح بمصالح المستخدم، فإن هذا الأساس يصعب إثباته.

المادة 9 (البيانات الحساسة): يُحظر معالجة البيانات التي تكشف عن العرق، أو الآراء السياسية، أو المعتقدات الدينية، أو التوجه الجنسي، ما لم تتوافق مع استثناءات معينة. قد تتضمن علامة “المحتوى السياسي الخطير” استنتاجات حول الآراء السياسية، وقد تتضمن تحذيرات “العري” تلميحات، وكلاهما يقع ضمن فئة البيانات الحساسة.

المادة 12 و 14 (الشفافية وواجب الإخطار): يجب على مراقبي البيانات إبلاغ موضوع البيانات بشكل استباقي بأن بياناتهم يتم معالجتها. لم يتلق الشاكي من Noyb أي إشعار من Whitebridge AI حتى اكتشفوا أن بياناتهم تتم معالجتها عندما قاموا بشراء التقرير بشكل استباقي.

المادة 15 (حق الوصول): يحق للأفراد الحصول مجانًا على تأكيد ونسخ حول معالجة بياناتهم. إن نموذج الدفع الخاص بـ Whitebridge AI ينتهك هذا الحق الأساسي بشكل مباشر.

المادة 16 (حق التصحيح): يحق للأفراد طلب تصحيح البيانات غير الدقيقة. إن وضع عقبات على التوقيع الإلكتروني في الواقع يسلب هذا الحق.

تُظهر الانتهاكات المتراكمة لهذه الشروط أن نموذج أعمال Whitebridge AI يتعارض تمامًا مع الروح الأساسية لـ GDPR - التي تمنح الأفراد السيطرة على بياناتهم.

رد رسمي من Whitebridge AI: التأكيد على الشرعية ولكن هناك العديد من الشكوك

بعد تقديم هذه المقالة، قدم متحدث باسم Whitebridge AI بياناً للدفاع عن ممارسات الشركة: “تولي WhiteBridge AI أهمية كبيرة لحماية البيانات والخصوصية. جميع البيانات الشخصية التي تعالجها شركتنا يتم جمعها فقط من مصادر علنية، وتستخدم فقط لأغراض قانونية ومحددة بوضوح. نود أن نؤكد أن WhiteBridge AI لا تجمع أو تخزن أي بيانات شخصية بشكل استباقي.”

تؤكد هذه البيان على عدة ادعاءات رئيسية:

وضع المعالجة السلبية: “تتم معالجة البيانات فقط بعد استلام طلب كتابة تقرير من العميل لشخص معين” - وهذا يعني أن الشركة تدعي أنها لا تحتفظ بقاعدة بيانات دائمة، بل تقوم بجمع البيانات فقط عند وجود طلب مدفوع.

سياسة الحذف لمدة 30 يومًا: “تلتزم WhiteBridge AI بشدة بقواعد الاحتفاظ بالبيانات، حيث سيتم حذف جميع التقارير المنشورة بعد 30 يومًا” - يبدو أن هذا يتماشى مع مبدأ تقليل البيانات في GDPR.

إعلان عدم وجود قاعدة بيانات: “WhiteBridge AI لا تحتفظ بأي معلومات شخصية في أي قاعدة بيانات أو أرشيف دون طلب قانوني” - محاولة لتحديد الفروق مع وسطاء البيانات التقليديين.

ومع ذلك، هناك نقاط شك واضحة في هذه الدفاعات:

تعريف المصدر العام غامض: لم تقم الشركة بتوضيح تعريفها المحدد لـ “المصدر العام”، وكيفية ضمان توافق هذه المصادر مع معايير “العلانية الواضحة” المنصوص عليها في المادة 9 من اللائحة العامة لحماية البيانات.

مشاكل الوضع السلبي: حتى في المعالجة حسب الطلب، لا يزال يتعين الامتثال لواجب الإخطار (المادة 14) وحق الوصول (المادة 15). يبدو أن المشتكي من Noyb لم يتلقَ إخطارًا، وحق الوصول محجوب بجدار الدفع.

ثغرات الحذف خلال 30 يومًا: قد يتم تحميل وتوزيع التقرير عدة مرات خلال 30 يومًا، وحذف النسخة الأصلية لا يمكن أن يلغي الضرر الذي تم التسبب به. والأهم من ذلك، إذا كان التقرير يحتوي على معلومات مضللة، فإن الفترة الزمنية البالغة 30 يومًا كافية للتسبب في ضرر جسيم للسمعة.

تناقض عدم وجود بيان قاعدة بيانات: إذا كانت الشركة لا تمتلك أي قاعدة بيانات، فكيف يمكنها بسرعة إنشاء تقرير بعد تلقي الطلب؟ هذا يوحي بأن الشركة ربما قد أنشأت مسبقًا نوعًا من آلية الفهرسة أو التخزين المؤقت.

وردت الشركة على ادعاءات Noyb، معتبرة أن “الحديث عن 'نماذج الأعمال غير المشروعة' والادعاءات المتعلقة بجمع البيانات وبيعها بشكل غير قانوني لا أساس له”، وأكدت “استعدادها لإجراء حوار بناء”. ومع ذلك، لم تقدم البيان أي تفسير جوهري بشأن الادعاءات المحددة المتعلقة بالمحتوى الذي يتم إنشاؤه بواسطة الذكاء الاصطناعي المزيف ومتطلبات التوقيع الإلكتروني.

سمعتك الرقمية تُعاد كتابتها بواسطة الذكاء الاصطناعي

تعتبر حالة Whitebridge AI ليست حدثًا معزولًا، بل تكشف عن أزمة نظامية في إدارة الهوية الرقمية في عصر الذكاء الاصطناعي.

منذ عام، نشرت Stacey Edmonds، المؤسس المشارك والرئيس التنفيذي لمنظمة الأمان السيبراني الأسترالية Dodgy or Not؟، منشورًا على LinkedIn تعرب فيه عن قلقها بشأن خدمات جمع البيانات من Whitebridge AI. كتبت Edmonds أنها تواصلت مع Whitebridge AI ومكتب حماية البيانات الوطني في ليتوانيا للتعبير عن مخاوفها. ومع ذلك، يبدو أن استفساراتها لم تؤثر على ممارسات الشركة.

تظهر هذه الضعف في التنظيم مشكلتين:

صعوبة في إنفاذ القانون عبر الحدود: Whitebridge AI مسجلة في ليتوانيا، لكنها تقدم خدماتها لمستخدمين عالميين. حتى إذا اعتبرت هيئة تنظيمية في بلد ما أنها غير قانونية، لا يزال إنفاذ القانون يواجه تحديات في الولاية القضائية.

نقص الموارد التنظيمية: قد تفتقر الهيئة الوطنية لحماية البيانات في ليتوانيا إلى الموارد الكافية للتحقيق بشكل عميق في قضايا بيانات الذكاء الاصطناعي المعقدة. على الرغم من أن اللائحة العامة لحماية البيانات (GDPR) تمنح سلطات قوية، إلا أن قدرة التنفيذ تعتمد على ما تبذله الدول الأعضاء.

ربما ستلقى الشكوى الرسمية لـ Noyb المزيد من الاهتمام. كواحدة من أكثر منظمات الدفاع عن الخصوصية نشاطًا في أوروبا، تمكنت Noyb من دفع عقوبات كبيرة ضد عمالقة التكنولوجيا مثل فيسبوك وجوجل. إذا اتخذت هيئة تنظيمية ليتوانية إجراءات ضد Whitebridge AI، فقد يضع ذلك سابقة لبقية دول الاتحاد الأوروبي، للحد من نماذج الأعمال المشابهة لـ “تحقيق الدخل من تهديدات الذكاء الاصطناعي”.

بالنسبة للمستخدمين العاديين ، الدرس المستفاد من هذه الحالة هو أن هويتك الرقمية قد يتم تحليلها ، ووسمها ، وحتى تشويهها من قبل أنظمة الذكاء الاصطناعي دون علمك. أصبح البحث بانتظام عن اسمك ، وضبط إعدادات خصوصية وسائل التواصل الاجتماعي ، ومشاركة المعلومات الشخصية بحذر ، ليس مجرد ممارسة جيدة لحماية الخصوصية ، بل أصبح أيضًا خط الدفاع الضروري ضد التلاعب بالسمعة الرقمية المدفوع بالذكاء الاصطناعي.