Whitebridge AI обвиняется в незаконной продаже "опасного политического контента", ложное предупреждение вызывает споры

Литовская AI компания Whitebridge AI столкнулась с жалобами от европейской организации по защите конфиденциальности Noyb за нарушение нескольких пунктов GDPR, продавая репутационные отчеты с ложными предупреждениями о “обнажении” и “опасном политическом контенте”, требуя от пользователей оплаты за просмотр и устанавливая “электронную подпись” как препятствие для исправления, что вызывает споры о праве на конфиденциальность.

Белый мост AI раскрывает бизнес-модель: запугивание данных для монетизации

Штаб-квартира Whitebridge AI, расположенная в Литве, оказалась в центре скандала с правами на конфиденциальность из-за подозрений в продаже «отчетов о репутации», основанных на незаконно собранных данных и дезинформации на основе ИИ. Приватная организация Noyb, базирующаяся в Австрии, потребовала от Национального управления по защите данных Литвы запретить Whitebridge AI «обработку собранных персональных данных и ложной информации, созданной ИИ».

Whitebridge AI предлагает два типа услуг на основе искусственного интеллекта:

Сервис отчетов о репутации: создание подробного отчета, описывающего онлайн-состояние человека, включая посты в социальных сетях, изображения, новостные статьи и другие цифровые следы.

Служба мгновенного мониторинга: постоянное отслеживание онлайн-активности целевых лиц, немедленное уведомление платных пользователей при любых изменениях.

Эта бизнес-модель сама по себе не нова — аналогичные услуги по «управлению цифровой репутацией» существуют в Европе и Америке уже много лет. Однако уникальность, о которой сообщает Whitebridge AI, заключается в ее стратегии «угрозы, а затем монетизация»: согласно документам жалобы Noyb, отчеты, созданные компанией, содержат ложные предупреждения о «обнаженных» и «опасных политических материалах», намеренно создавая чувство тревоги, а затем требуют от пользователей оплаты за доступ к полному отчету или внесение исправлений.

Юрист по защите данных Noyb Лиза Штейнфельд откровенно заявила: “Бизнес-модель Whitebridge AI крайне неэтична, ее цель запугать людей и заставить их платить за незаконно собранные данные. Согласно законодательству ЕС, люди имеют право бесплатно получать доступ к своим данным.”

Noyb жалоба раскрывает три основных нарушения GDPR

Жалоба, поданная Noyb (PDF), обвиняет Whitebridge AI в нарушении нескольких основных положений Общего регламента по защите данных (GDPR) Европы, включая статьи 5, 6, 9, 12, 14, 15 и 16. Эти положения охватывают основные принципы законности обработки данных, защиту специальных категорий данных, обязательства по прозрачности, право доступа и право на исправление.

Неправомерный источник данных: социальные сети не являются «очевидно публичными»

Whitebridge AI на своем сайте утверждает: “Мы полностью соблюдаем GDPR, обеспечивая защиту ваших личных данных и прозрачную обработку. Мы собираем только общедоступную информацию, и у вас есть право на доступ, исправление, удаление и ограничение обработки ваших данных.”

Однако Noyb оспаривает, что большая часть информации из отчета Whitebridge AI, похоже, поступает из социальных медиа или из поисков по этим сайтам — и европейская судебная практика уже четко установила, что такие данные не подпадают под категорию «явно общедоступных» (manifestly made public), что является ключевым порогом для обработки чувствительных персональных данных согласно статье 9 GDPR.

Суть этого правового спора заключается в определении «публичных данных»:

Позиция Whitebridge AI: любая информация, доступная в интернете, является «публичной», поэтому ее можно свободно извлекать и использовать в коммерческих целях.

Прецедент Европейского суда: даже если информация технически доступна, это не означает, что субъект данных намеревался «очевидно сделать ее публичной» для неограниченного коммерческого использования любыми третьими сторонами. Публикации в социальных сетях обычно имеют ограниченную аудиторию (друзья, подписчики и т.д.) и не являются общедоступными для всего мира.

В 2023 году Суд Европейского союза в нескольких делах подчеркнул, что «очевидно публичные» данные в соответствии с пунктом e статьи 9 Регламента GDPR должны быть информацией, которую субъект данных явно намерен раскрыть неопределенной публике. Это означает:

Посты на Facebook видны только друзьям: не считаются явно публичными

Открытый твит в Twitter: возможно, это считается явным публичным, но необходимо оценить законность коммерческого использования

Профессиональное резюме на LinkedIn: серая зона, зависит от настроек конфиденциальности пользователя

Whitebridge AI, очевидно, приняла самое широкое толкование, рассматривая все доступные для сбора данные как «публичные», что противоречит духу прецедентов Европейского суда.

Ложный AI сгенерированный контент: обнаженная натура и политические предупреждения

Noyb представила интересы двух неназванных жалобщиков, которые подали запрос в соответствии с статьей 15 GDPR (которая предоставляет людям право на доступ к своим данным), но не получили никакого ответа. Затем Noyb закупила отчеты Whitebridge AI этих жалобщиков и обнаружила, что отчеты «содержат ложные предупреждения о „обнажённом“ и „опасном политическом контенте“».

Это открытие выявило серьезные проблемы с контентом, создаваемым ИИ:

Проблема с галлюцинацией (Hallucination): Модели ИИ могут генерировать полностью ложные выводы на основе не связанных данных. Например, если кто-то в социальных сетях делится фотографией пляжного отдыха, ИИ может ошибочно пометить ее как «обнаженную».

Возможный злонамеренный замысел: Более тревожно то, что эти ложные предупреждения могут быть не техническим дефектом, а коммерческой стратегией — через создание шокирующих негативных ярлыков заставляя пользователей платить за просмотр деталей или требовать удаления.

Риск ущерба репутации: Если эти ложные отчеты будут приобретены работодателями, страховыми компаниями или другими третьими сторонами, это может причинить серьезный профессиональный и личный вред заинтересованным лицам.

Статья 5, пункт 1, подпункт d GDPR требует, чтобы обработка данных была «точной» и при необходимости обновлялась. Ложное содержание в отчете Whitebridge AI явно нарушает этот принцип.

Ловушка оплаты: нарушение права на бесплатный доступ

Когда жалобщик пытался исправить свой отчет в соответствии со статьей 16 GDPR, Whitebridge AI потребовал предоставить «квалифицированную электронную подпись» (qualified electronic signature) для выполнения запроса — Noyb четко указала, что в законодательстве ЕС нет такого требования.

GDPR статья 12 пункт 5 четко устанавливает: «Информация и действия, предоставляемые в соответствии со статьями 15–22, должны предоставляться бесплатно.» Это означает:

Доступ к своим данным: должен быть бесплатным

Исправить ошибочные данные: должно быть бесплатно

Удаление ненадлежащих данных: должно быть бесплатно

Требование «квалифицированной электронной подписи» является техническим барьером. В Европейском Союзе квалифицированная электронная подпись должна быть выдана сертификатным органом, стоимость получения может достигать десятков или даже сотен евро, и процесс сложен. Это требование фактически превращает «бесплатные права» в «платные права».

Более серьезно то, что такой дизайн может создать порочный круг:

1. Пользователь обнаружил, что отчет Whitebridge AI содержит ложный негативный контент.

2. Пользователь требует бесплатного исправления, но его просят предоставить дорогостоящую электронную подпись.

3. Пользователь вынужден отказаться от исправления или его подталкивают к покупке “услуг по управлению репутацией” компании.

Компания извлекает выгоду из производственного беспокойства

Сравнение положений GDPR ЕС с захватом данных ИИ

Дело Whitebridge AI подчеркивает фундаментальный конфликт между практиками обработки данных в эпоху GDPR и AI. Вот ключевые положения GDPR, касающиеся этого дела, и их значение в контексте AI:

Статья 5 (Принципы обработки данных): Требуется, чтобы обработка данных была законной, справедливой, прозрачной и точной. Искусственно созданные ложные предупреждения нарушают принцип «точности», в то время как непрозрачный процесс захвата нарушает принцип «прозрачности».

Статья 6 (Правовая основа): любая обработка данных должна иметь законное основание, такое как согласие, контракт, юридическая обязанность или законные интересы. Whitebridge AI утверждает, что основывается на «законных интересах», но в условиях отсутствия согласия пользователя и явного ущерба интересам пользователя это основание трудно оправдать.

Статья 9 (Чувствительные данные): Запрещено обрабатывать данные, которые раскрывают расу, политические взгляды, религиозные убеждения, сексуальную ориентацию и т. д., за исключением конкретных исключений. Метка “Опасный политический контент” может касаться вывода политических взглядов, а предупреждение “Нагота” может касаться намеков, оба из которых относятся к категории чувствительных данных.

Статья 12, 14 (Прозрачность и обязательства по уведомлению): Контролеры данных обязаны активно информировать субъектов данных о том, что их данные обрабатываются. Жалобщики Noyb никогда не получали уведомлений от Whitebridge AI, пока они не приобрели отчет, чтобы узнать, что их данные обрабатываются.

Статья 15 (Право на доступ): Лицо имеет право бесплатно получать подтверждение и копию обработки своих данных. Платная модель Whitebridge AI прямо нарушает это основное право.

Статья 16 (Право на исправление): Лицо имеет право требовать исправления неточной информации. Установка препятствий для электронной подписи фактически лишает этого права.

Накопление нарушений этих условий показывает, что бизнес-модель Whitebridge AI полностью противоречит основному духу GDPR — предоставлению людям контроля над своими данными.

Официальный ответ Whitebridge AI: подчеркивается законность, но есть сомнения

После подачи этой статьи, представитель Whitebridge AI предоставил заявление в защиту действий компании: “WhiteBridge AI придает большое значение защите данных и конфиденциальности. Все персональные данные, которые обрабатывает наша компания, собираются только из открытых источников и используются только для законных и четко определенных целей. Мы хотим подчеркнуть, что WhiteBridge AI не собирает и не хранит никаких персональных данных.”

Это заявление подчеркивает несколько ключевых утверждений:

Пассивный режим обработки: «Обработка данных осуществляется только после получения запроса на составление отчета по конкретному лицу от клиента» — это означает, что компания утверждает, что не ведет постоянную базу данных и извлекает данные только при наличии платного запроса.

30-дневная политика удаления: «WhiteBridge AI строго соблюдает правила ограничения хранения данных, все опубликованные отчеты будут удалены через 30 дней» — это, похоже, сделано для соответствия принципу минимизации данных GDPR.

Нет заявлений о базе данных: «WhiteBridge AI не хранит личную информацию в каких-либо базах данных или архивах без законного запроса» — пытается провести грань с традиционными брокерами данных.

Тем не менее, эти защиты имеют очевидные сомнения:

Неясное определение открытых источников: Компания не уточнила свою конкретную интерпретацию термина «открытые источники», а также способ обеспечения соответствия этих источников стандарту «очевидно открытых» согласно статье 9 GDPR.

Проблема пассивного режима: даже при обработке по запросу необходимо соблюдать обязательство уведомления (статья 14) и право доступа (статья 15). Жалобщик Noyb, очевидно, не получил уведомление, и право доступа заблокировано платным доступом.

30-дневная уязвимость удаления: отчет может быть загружен и распространен несколько раз в течение 30 дней, удаление оригинала не устраняет причиненный ущерб. Более того, если отчет содержит ложную информацию, 30-дневный срок достаточен для причинения серьезного ущерба репутации.

Противоречие без заявления о базе данных: если у компании действительно нет никакой базы данных, как она может быстро генерировать отчеты после получения запроса? Это подразумевает, что компания, возможно, заранее создала некий индекс или механизм кэширования.

Компания также ответила на обвинения Noyb, заявив, что “утверждения о 'недобросовестной бизнес-модели' и о подозрительном сборе и продаже данных не имеют оснований”, и заявила, что “готова к конструктивному диалогу”. Однако в отношении конкретных обвинений, таких как ложный контент, сгенерированный ИИ, и требования к электронным подписям, заявление не предоставило существенного объяснения.

Твоя цифровая репутация переписывается ИИ

Случай Whitebridge AI не является изолированным инцидентом, а раскрывает системный кризис управления цифровой идентичностью в эпоху ИИ.

Год назад соучредитель и генеральный директор австралийской организации по кибербезопасности Dodgy or Not? Стейси Эдмондс опубликовала пост в LinkedIn, выразив свои опасения по поводу услуг по сбору данных Whitebridge AI. Эдмондс написала, что связалась с Whitebridge AI и Государственной службой защиты данных Литвы, чтобы выразить свои опасения. Однако ее запрос, похоже, не оказал никакого влияния на практику компании.

Это беспомощное регулирование подчеркивает две проблемы:

Трудности трансграничного правоприменения: Whitebridge AI зарегистрирована в Литве, но обслуживает пользователей по всему миру. Даже если регуляторная организация какой-либо страны признает ее деятельность незаконной, правоприменение все равно сталкивается с проблемами юрисдикции.

Недостаток ресурсов для регулирования: Государственный инспекторат по защите данных Литвы может не иметь достаточных ресурсов для глубокого расследования сложных случаев с данными ИИ. Хотя GDPR предоставляет мощные полномочия, способность к исполнению зависит от вклада отдельных государств-членов.

Возможно, официальная жалоба Noyb получит больше внимания. Как одна из самых активных организаций по защите конфиденциальности в Европе, Noyb успешно добилась значительных штрафов для таких технологических гигантов, как Facebook и Google. Если литовские регулирующие органы примут меры против Whitebridge AI, это может установить прецедент для других стран ЕС и сдержать аналогичные бизнес-модели «монетизации запугивания ИИ».

Для обычных пользователей урок из этого случая таков: ваша цифровая идентичность может анализироваться, маркироваться и даже искажаться системами ИИ без вашего ведома. Регулярный поиск своего имени, настройка конфиденциальности в социальных сетях и осторожное деление личной информацией уже не только хорошие практики защиты конфиденциальности, но и необходимая линия обороны против манипуляций цифровой репутацией, управляемых ИИ.