Whitebridge AI, "tehlikeli siyasi içerik" satışı yapmaktan yasadışı olarak suçlanıyor, sahte uyarılar tartışma başlattı.

Litvanya AI şirketi Whitebridge AI, AB gizlilik organizasyonu Noyb tarafından GDPR'nın birçok maddesini ihlal etmekle suçlandı. Şirket, sahte “çıplak” ve “tehlikeli siyasi içerik” uyarıları içeren itibar raporları satmakta, kullanıcıların görüntülemek için ödeme yapmalarını istemekte ve “elektronik imza” ile düzeltmeleri engelleyecek şekilde engeller koymaktadır. Bu tehditkar iş modeli, gizlilik hakları konusunda tartışmalara yol açmıştır.

Whitebridge AI İş Modeli Raporu: Tehdit Dolu Veri Monetizasyonu

Litvanya merkezli Whitebridge AI, yasadışı olarak toplanan veriler ve yapay zeka yanlış bilgileri temelinde “itibar raporları” satışı yapmakla suçlandığı için bir gizlilik skandalına karıştı. Avusturya merkezli gizlilik savunuculuğu örgütü Noyb, Litvanya Ulusal Veri Koruma Denetleme Kurumu'ndan Whitebridge AI'nin “toplanan kişisel verileri ve yapay zeka tarafından üretilen yanlış bilgileri işleme” işlemlerini yasaklamasını talep etti.

Whitebridge AI, iki yapay zeka tabanlı hizmet sunmaktadır:

Ünvan Raporu Hizmeti: Bir kişinin çevrimiçi durumunu tanımlayan ayrıntılı bir rapor oluşturarak, sosyal medya gönderileri, görüntüler, haber makaleleri gibi dijital ayak izlerini içerir.

Anlık İzleme Hizmeti: Hedef kişinin çevrimiçi aktivitelerini sürekli takip eder, herhangi bir değişiklik olduğunda hemen ücretli kullanıcılara bildirimde bulunur.

Bu iş modeli kendisi yeni değil - benzer “dijital itibar yönetimi” hizmetleri Avrupa ve Amerika'da yıllardır var. Ancak, Whitebridge AI raporunun benzersiz yönü, “şantaj yapıp sonra paraya çevirmek” stratejisidir: Noyb'ın şikayet belgelerine göre, şirketin ürettiği raporlar “çıplak” ve “tehlikeli siyasi içerik” hakkında yanlış uyarılar içermekte, kasıtlı olarak kaygı yaratmakta ve ardından kullanıcıların tam raporu görüntülemek veya düzeltme yapmak için ödeme yapmasını talep etmektedir.

Noyb'in veri koruma avukatı Lisa Steinfeld açıkça belirtmiştir: “Whitebridge AI'nin iş modeli son derece hukuka aykırıdır, amacı insanları korkutarak yasadışı olarak toplanan veriler için ödeme yapmalarını sağlamaktır. Avrupa Birliği yasalarına göre, bireylerin kendi verilerine ücretsiz erişim hakkı vardır.”

Noyb şikayetinin üç büyük GDPR ihlalini ifşa etmesi

Noyb tarafından sunulan şikayet dosyası (PDF), Whitebridge AI'nin Avrupa Genel Veri Koruma Yönetmeliği (GDPR) ile ilgili 5, 6, 9, 12, 14, 15 ve 16. maddeler de dahil olmak üzere birçok temel hükmü ihlal ettiğini iddia ediyor. Bu maddeler, veri işlemenin yasal dayanağı, özel kategori verilerin korunması, şeffaflık yükümlülükleri, erişim hakkı ve düzeltme hakkı gibi temel ilkeleri kapsamaktadır.

Yasa Dışı Veri Kaynağı: Sosyal Medya 'Açıkça Kamuya Açık' Değil

Whitebridge AI, web sitesinde şöyle iddia ediyor: “GDPR'ye tamamen uyuyoruz, kişisel bilgilerinizin korunmasını ve şeffaf bir şekilde işlenmesini sağlıyoruz. Sadece kamuya açık bilgileri topluyoruz, verilerinize erişme, düzeltme, silme ve işlemeyi kısıtlama hakkına sahipsiniz.”

Ancak, Noyb itiraz ediyor ki, Whitebridge AI raporundaki bilgilerin çoğu sosyal medya sitelerinden veya bu siteler üzerindeki aramalardan geliyor - ve Avrupa içtihadı, bu tür verilerin “açıkça kamuya açık” (manifestly made public) kapsamına girmediğini açıkça belirlemiştir, bu da GDPR Madde 9'un hassas kişisel verilerin işlenmesi için belirlediği kritik eşiktir.

Bu hukuki tartışmanın merkezi, “açık verilerin” tanımı üzerinedir:

Whitebridge AI'nin Pozisyonu: İnternette bulunan her türlü bilgi “açık” olarak kabul edilir, bu nedenle serbestçe toplanabilir ve ticari olarak kullanılabilir.

Avrupa Birliği Mahkemesi Kararı: Bilgiler teknik olarak erişilebilir olsa bile, veri sahibi bunun “açıkça kamuya” sunulmasını istemiyor anlamına gelmez; bu nedenle, herhangi bir üçüncü tarafın ticari olarak kullanmasına izin vermez. Sosyal medyadaki gönderiler genellikle sınırlı bir kitleye (arkadaşlar, takipçiler vb.) yöneliktir ve dünyanın her yerine sınırsız bir şekilde açık değildir.

2023 yılında Avrupa Birliği Mahkemesi, GDPR Madde 9'un 2. fıkrası e bendinde belirtilen “açıkça kamuya açık” verilerin, veri sahibinin belirsiz bir kamuya açıkça bilgi sunma niyetine sahip olduğu bilgileri ifade etmesi gerektiğini vurgulamıştır. Bu, şunu ifade eder:

Facebook'ta yalnızca arkadaşlar için görülebilen gönderi: belirgin bir şekilde halka açık değildir

Twitter'da yayınlanan tweet: Açıkça kamuya açık sayılabilir, ancak ticari kullanımın yasallığını değerlendirmek gerekir.

LinkedIn üzerindeki profesyonel profil: gri alan, kullanıcı gizlilik ayarlarına bağlıdır

Whitebridge AI, açıkça en geniş yorumunu benimsemiş ve tüm erişilebilir verileri “kamuya açık” olarak değerlendirmiştir; bu yaklaşım, Avrupa Birliği Mahkemesi'nin içtihat ruhuyla çelişmektedir.

Sahte AI Üretilen İçerik: Çıplaklık ve Siyasi Uyarı

Noyb, kimliği belirsiz iki şikayetçiyi temsil etti ve bu kişiler GDPR'in 15. maddesine (bu madde, bireylere kendi verilerine erişim hakkı verir) dayanarak sorgulamalar yaptı, ancak herhangi bir yanıt almadılar. Noyb daha sonra bu şikayetçilerin Whitebridge AI raporlarını satın aldı ve raporda “açık” ve “tehlikeli siyasi içerik” ile ilgili yanlış uyarılar bulunduğunu keşfetti.

Bu bulgu, AI tarafından üretilen içeriklerin ciddi bir sorununu ortaya koyuyor:

AI Halüsinasyon Sorunu: AI modelleri, alakasız veri parçalarına dayanarak tamamen sahte sonuçlar üretebilir. Örneğin, biri sosyal medyada bir plaj tatili fotoğrafı paylaştığında, AI bunu yanlışlıkla “çıplak” olarak etiketleyebilir.

Kötü niyetli tasarım olasılığı: Daha endişe verici olan, bu sahte uyarıların teknik bir hata olmaktan çok, işletme stratejisi olmasıdır - kullanıcıları ayrıntıları görmek için ücret ödemeye veya silme talep etmeye zorlamak amacıyla çarpıcı olumsuz etiketler üretmek.

İtibar Zarar Riski: Eğer bu yanlış raporlar işverenler, sigorta şirketleri veya diğer üçüncü şahıslar tarafından satın alınırsa, ilgili kişiye ciddi mesleki ve kişisel zarar verebilir.

GDPR Madde 5, Bölüm 1, Fıkra d, veri işlemenin “doğru” olmasını ve gerektiğinde güncellenmesini gerektirir. Whitebridge AI raporundaki yanlış içerikler bu ilkeye açıkça aykırıdır.

Ücretli Silme Tuzağı: Ücretsiz Erişim Hakkının İhlali

Şikayetçi, GDPR'nın 16. maddesine dayanarak raporlarını düzeltmeye çalıştığında, Whitebridge AI talebin yerine getirilmesi için “nitelikli elektronik imza” (qualified electronic signature) sağlamasını istedi - Noyb, Avrupa yasalarının böyle bir gereklilik bulunmadığını açıkça belirtti.

GDPR Madde 12, Paragraf 5 açıkça belirtmektedir: “Madde 15 ile 22'de sağlanan bilgiler ve alınan eylemler ücretsiz olarak sağlanmalıdır.” Bu, şunu ifade eder:

Verilerinize Erişim: Ücretsiz olmalıdır

Hatalı verileri düzelt: Ücretsiz olmalıdır

Yanlış verileri sil: Ücretsiz olmalıdır

“Geçerli bir elektronik imza” talebi, teknik bir engeldir. Avrupa Birliği'nde, geçerli bir elektronik imza, akredite bir kuruluş tarafından verilen dijital sertifika gerektirir; bu sertifikanın maliyeti birkaç on ila yüzlerce Euro'ya kadar çıkabilir ve süreç karmaşıktır. Bu tür bir gereksinim, aslında "ücretsiz haklar"ı "ücretli haklar"a dönüştürmektedir.

Daha da kötüsü, bu tür bir tasarım kötü bir döngü oluşturabilir:

1. Kullanıcı, Whitebridge AI raporunun yanlış negatif içerik içerdiğini keşfetti.

2. Kullanıcı ücretsiz düzeltme talep etti, ancak pahalı bir elektronik imza sağlaması istendi.

3. Kullanıcı, düzeltme yapmaktan zorlanabilir veya şirketin “itibar yönetim hizmetini” satın almaya teşvik edilebilir.

Şirket, üretim kaygısından kazanç sağlıyor

AB GDPR Maddeleri ile AI Veri Çekimi

Whitebridge AI davası, GDPR ile AI dönemi veri uygulamaları arasındaki temel çatışmayı öne çıkarmaktadır. Aşağıda bu davada yer alan anahtar GDPR maddeleri ve AI bağlamındaki anlamları yer almaktadır:

Madde 5 (Veri İşleme İlkeleri): Veri işlemenin yasal, adil, şeffaf ve doğru olması gerekmektedir. AI tarafından üretilen yanlış uyarılar “doğruluk” ilkesini ihlal ederken, şeffaf olmayan veri toplama süreci “şeffaflık” ilkesini ihlal etmektedir.

Madde 6 (Hukuki Temel): Herhangi bir veri işleme, rıza, sözleşme, yasal yükümlülük veya meşru çıkarlar gibi hukuki bir temele dayanmalıdır. Whitebridge AI, “meşru çıkarlar” temelinde hareket ettiğini iddia etmektedir, ancak kullanıcı rızası olmadan ve kullanıcı çıkarlarına açıkça zarar verme durumunda, bu temel geçerli olamaz.

Madde 9 (Hassas Veriler): Irk, siyasi görüş, dini inanç, cinsel yönelim gibi verilerin işlenmesi yasaktır, ancak belirli istisnalara uyulması halinde. “Tehlikeli Politik İçerik” etiketi, siyasi görüş çıkarımını içerebilir; “Çıplaklık” uyarısı, ima içerebilir; her ikisi de hassas veri kategorisine girer.

Madde 12, 14 (Şeffaflık ve Bildirim Yükümlülüğü): Veri denetleyicileri, veri sahiplerine verilerinin işlendiğini proaktif bir şekilde bildirmek zorundadır. Noyb'in şikayetçileri, Whitebridge AI tarafından kendilerine veri işlemlerinin yapıldığına dair hiçbir bildirim almadılar, ta ki raporu kendileri aktif olarak satın alana kadar.

Madde 15 (Erişim Hakkı): Kişilerin, verilerinin işlenmesine ilişkin onay ve kopyalarını ücretsiz olarak alma hakkı vardır. Whitebridge AI'nın ücretli modeli bu temel hakka doğrudan aykırıdır.

Madde 16 (Düzeltme Hakkı): Kişilerin yanlış verilerin düzeltilmesini talep etme hakkı vardır. Elektronik imza engeli koymak, bu hakkı fiilen ortadan kaldırmaktadır.

Bu şartların birikimli ihlalleri, Whitebridge AI'nin iş modelinin GDPR'nın temel ruhu olan bireylere verilerini kontrol etme hakkı verme ilkesine tamamen aykırı olduğunu göstermektedir.

Whitebridge AI resmi yanıtı: yasalara vurgu yapıyor ama birçok soru işareti var

Bu makalenin sunulmasından sonra, Whitebridge AI'nin bir sözcüsü şirketin eylemlerini savunan bir açıklama yaptı: “WhiteBridge AI, veri koruma ve gizliliğe büyük önem vermektedir. Şirketimizin işlediği tüm kişisel veriler yalnızca kamuya açık kaynaklardan toplanmakta ve yalnızca yasal ve net bir şekilde tanımlanmış amaçlar için kullanılmaktadır. WhiteBridge AI'nın aktif olarak herhangi bir kişisel veri toplamadığını veya saklamadığını açıkça belirtmek istiyoruz.”

Bu açıklama birkaç önemli iddiayı vurgulamaktadır:

Pasif İşlem Modu: “Veri işleme yalnızca müşterinin belirli bir kişi için rapor yazma talebi aldığında gerçekleşir” - bu, şirketin sürekli bir veritabanı tutmadığını, yalnızca ücretli talepler olduğunda veri topladığını iddia ettiği anlamına gelir.

30 Gün Silme Politikası: “WhiteBridge AI, veri saklama sınırlamalarıyla ilgili düzenlemelere sıkı bir şekilde uymaktadır; tüm yayımlanan raporlar 30 gün sonra silinecektir” - bu, GDPR'nin veri minimizasyon ilkesiyle uyum sağlamak için görünmektedir.

Veri Tabanı Beyanı Yok: “WhiteBridge AI, herhangi bir yasal talep olmaksızın kişisel bilgileri saklayan herhangi bir veri tabanı veya arşiv bulundurmamaktadır” - geleneksel veri aracılarından ayrılma çabası.

Ancak, bu savunmaların belirgin şüpheleri var:

Açık Kaynak Tanımı Belirsiz: Şirket, “açık kaynak” teriminin spesifik tanımını ve bu kaynakların GDPR Madde 9'un “belirgin bir şekilde kamuya açık” standardına nasıl uyduğunu netleştirmemiştir.

Pasif Modun Sorunu: İhtiyaç doğrultusunda işlem yapılsa bile, bildirim yükümlülüğüne (Madde 14) ve erişim hakkına (Madde 15) uyulması gerekmektedir. Noyb'in şikayetçisinin açıkça bildirim almadığı ve erişim hakkının ücretli duvarla engellendiği görülmektedir.

30 Gün Silme Açığı: Rapor, 30 gün içinde birden fazla kez indirilebilir ve dağıtılabilir; orijinalinin silinmesi, verilen zararı ortadan kaldırmaz. Daha da önemlisi, eğer rapor yanıltıcı bilgiler içeriyorsa, 30 günlük süre ciddi itibari zarara neden olmak için yeterlidir.

Veritabanı Beyanı Çelişkisi: Eğer şirketin gerçekten hiçbir veritabanı yoksa, talep alındıktan sonra raporu nasıl hızlı bir şekilde üretebilir? Bu, şirketin önceden bir tür indeks veya önbellek mekanizması oluşturmuş olabileceğini ima ediyor.

Şirket, Noyb'in iddialarına yanıt vererek, “'Haksız ticaret modeli' ve yasa dışı veri toplama ve satma iddialarının asılsız olduğunu” düşündüğünü belirtti ve “yapıcı bir diyalog kurmaya istekli olduğunu” ifade etti. Ancak, sahte yapay zeka tarafından üretilen içerik ve elektronik imza gereklilikleri gibi spesifik iddialar için açıklama sağlamadı.

Dijital itibarınız AI tarafından yeniden yazılıyor

Whitebridge AI olayı, izole bir olay değildir; bunun yerine, AI çağında dijital kimlik yönetiminin sistemik krizini ortaya koymaktadır.

Bir yıl önce, Avustralya siber güvenlik kuruluşu Dodgy or Not?ın kurucu ortağı ve CEO'su Stacey Edmonds, LinkedIn'de Whitebridge AI'nin veri toplama hizmetleri hakkında endişelerini dile getiren bir gönderi paylaştı. Edmonds, endişelerini ifade etmek için Whitebridge AI ve Litvanya Ulusal Veri Koruma Yetkilisi ile iletişime geçtiğini yazdı. Ancak, sorgulamalarının şirketin uygulamaları üzerinde herhangi bir etkisi olmamış gibi görünüyor.

Bu tür düzenleyici yetersizlik iki sorunu öne çıkarıyor:

Sınır Ötesi Uygulama Zorlukları: Whitebridge AI, Litvanya'da kayıtlıdır, ancak dünya genelindeki kullanıcılara hizmet vermektedir. Bir ülkenin düzenleyici kurumu bunun yasadışı olduğuna karar verse bile, uygulama yine de yargı yetkisiyle ilgili zorluklarla karşı karşıya kalmaktadır.

Yetersiz düzenleyici kaynaklar: Litvanya Ulusal Veri Koruma İzleme Kurumu, karmaşık AI veri vakalarını derinlemesine araştırmak için yeterli kaynaklardan yoksun olabilir. GDPR, güçlü yetkiler verse de, uygulama kapasitesi üye ülkelerin katkısına bağlıdır.

Belki Noyb'in resmi şikayeti daha fazla ilgi görecektir. Avrupa'nın en aktif gizlilik savunucularından biri olarak Noyb, Facebook, Google gibi teknoloji devlerine karşı önemli cezaların uygulanmasını sağladı. Eğer Litvanya düzenleyici kurumları Whitebridge AI'ya karşı bir eylemde bulunursa, bu diğer Avrupa Birliği ülkeleri için bir örnek teşkil edebilir ve benzer “AI korkutma monetizasyonu” iş modelini engelleyebilir.

Normal kullanıcılar için bu vaka, dijital kimliğinizin AI sistemleri tarafından sizin bilginiz olmadan analiz edildiği, etiketlendiği ve hatta çarpıtıldığı anlamına geliyor. Kendi adınızı düzenli olarak aramak, sosyal medya gizlilik ayarlarını düzenlemek ve kişisel bilgileri dikkatli bir şekilde paylaşmak, artık sadece gizlilik koruma uygulamaları değil, aynı zamanda AI destekli dijital itibar manipülasyonuna karşı gerekli bir savunma hattıdır.