Whitebridge AI звинувачується в незаконному продажу "небезпечного політичного контенту", що викликало суперечки через фальшиві попередження.

Литовська AI компанія Whitebridge AI зазнала скарги від європейської організації з захисту конфіденційності Noyb за порушення кількох пунктів GDPR, продаючи репутаційні звіти з неправдивими попередженнями про “оголеність” і “небезпечний політичний контент”, вимагаючи від користувачів платити за перегляд і використовуючи “електронний підпис” для блокування виправлень, що викликало суперечки щодо прав на приватність.

Whitebridge AI звіт про розкриття бізнес-моделі: залякувальні способи монетизації даних

Головний офіс Whitebridge AI, що розташований у Литві, опинився в центрі скандалу з приводу конфіденційності через підозри у продажу “репутаційних звітів”, основаних на незаконно зібраних даних та помилковій інформації про ШІ. Приватна організація Noyb, що базується в Австрії, закликала Управління з охорони даних Литви заборонити Whitebridge AI “обробку зібраних особистих даних та неправдивої інформації, створеної ШІ”.

Whitebridge AI надає два види послуг на основі штучного інтелекту:

Служба репутаційних звітів: створення детального звіту, що описує онлайн-статус особи, включаючи публікації в соціальних мережах, зображення, новинні статті та інші цифрові сліди.

Послуга миттєвого моніторингу: Постійне відстеження онлайн-активності цільової особи, негайне сповіщення платних користувачів про будь-які зміни.

Ця бізнес-модель сама по собі не є новою — подібні послуги «управління цифровою репутацією» існують у Європі та США вже багато років. Проте унікальність, про яку повідомляє Whitebridge AI, полягає в їхній стратегії «залякування, а потім монетизації»: згідно зі скаргою Noyb, звіти, створені компанією, містять «оголені» та «небезпечні політичні контент» з помилковими попередженнями, навмисно викликаючи тривогу, а потім вимагаючи від користувачів сплати за можливість перегляду повного звіту або внесення коректив.

Адвокат з захисту даних Noyb Ліза Штейнфельд прямо зазначила: “Комерційна модель Whitebridge AI є абсолютно нечесною, її мета - залякати людей, щоб вони платили за незаконно зібрані дані. Згідно з законодавством ЄС, люди мають право безкоштовно отримувати доступ до своїх даних.”

Noyb скарга виявляє три основні порушення GDPR

Скарга, подана Noyb (PDF), звинувачує Whitebridge AI у порушенні кількох основних положень Загального регламенту захисту даних (GDPR) Європи, зокрема статей 5, 6, 9, 12, 14, 15 та 16. Ці статті охоплюють основні принципи, такі як правомірність обробки даних, захист особливих категорій даних, зобов'язання щодо прозорості, право на доступ та право на виправлення.

Неправомірне джерело даних: соціальні мережі не є «очевидно публічними»

Whitebridge AI стверджує на своєму веб-сайті: “Ми повністю дотримуємося GDPR, забезпечуючи захист ваших особистих даних і прозорість їх обробки. Ми збираємо лише публічну інформацію, ви маєте право на доступ, виправлення, видалення та обмеження обробки ваших даних.”

Однак, Noyb заперечує, що більшість інформації в звіті Whitebridge AI, здається, походить з веб-сайтів соціальних мереж або пошуку по цих веб-сайтах — а європейське прецедентне право вже чітко визначило, що ці дані не відносяться до категорії «очевидно опублікованих» (manifestly made public), що є ключовим порогом для обробки чутливих особистих даних відповідно до статті 9 GDPR.

Центр цього правового спору полягає в визначенні “публічних даних”:

Позиція Whitebridge AI: будь-яка інформація, яка доступна в Інтернеті, є «публічною», тому її можна вільно збирати та використовувати в комерційних цілях.

Рішення Суду ЄС: навіть якщо інформація технічно доступна, це не означає, що суб'єкт даних має намір «очевидно оприлюднити» її для будь-якого третього боку для комерційного використання. Постинги в соціальних мережах зазвичай мають обмежену аудиторію (друзі, підписники тощо) і не є безмежно доступними для всього світу.

У 2023 році Суд Європейського Союзу у кількох справах підкреслив, що дані, які підпадають під “явно опубліковані” відповідно до статті 9, частини 2, пункту e GDPR, повинні бути інформацією, яку суб'єкт даних має чітке намір оприлюднити для неістотної публіки. Це означає:

пост, видимий лише друзям на Facebook: не вважається явно публічним

Публікація в Twitter: Можливо, це вважається явно публічним, але все ще потрібно оцінити законність комерційного використання.

Професійне резюме на LinkedIn: сіра зона, залежить від налаштувань конфіденційності користувача

Whitebridge AI, очевидно, застосував найширше тлумачення, вважаючи всі дані, які можна зібрати, “публічними”, що суперечить духу прецедентів суду ЄС.

Фальшивий AI згенерований контент: оголеність та політичне попередження

Noyb виступила представником двох осіб, чиї особи не були встановлені, які подали запити відповідно до статті 15 GDPR (яка надає людям право на доступ до своїх даних), але не отримали жодної відповіді. Noyb потім придбала звіт Whitebridge AI цих скаржників і виявила, що звіт містить “помилкові попередження про 'оголену' та 'небезпечну політичну інформацію'”.

Це відкриття виявляє серйозну проблему генерованого штучним інтелектом контенту:

Проблема з ілюзією (Hallucination): Моделі ШІ можуть генерувати абсолютно фальшиві висновки на основі нерелевантних фрагментів даних. Наприклад, якщо хтось поділився фотографією відпустки на пляжі в соціальних мережах, ШІ може неправильно позначити її як «оголений».

Зловмисний дизайн може: ще більш тривожним є те, що ці хибні попередження можуть бути не технічною вадою, а комерційною стратегією — шляхом створення сенсаційних негативних міток, примушуючи користувачів платити за перегляд деталей або вимагати видалення.

Ризик шкоди репутації: Якщо ці неправдиві звіти будуть придбані роботодавцями, страховими компаніями або іншими третіми особами, це може завдати серйозної професійної та особистої шкоди особі.

Стаття 5, пункт 1, підпункт d GDPR вимагає, щоб обробка даних була «точною» і, у разі необхідності, актуальною. Очевидно, що неправдива інформація в звіті Whitebridge AI порушує цей принцип.

Платний пастка для видалення: порушення права на безкоштовний доступ

Коли скаржник намагається виправити свій звіт відповідно до статті 16 GDPR, Whitebridge AI вимагає надання «кваліфікованого електронного підпису» (qualified electronic signature) для виконання запиту — Noyb чітко зазначає, що в європейському законодавстві немає такої вимоги.

GDPR стаття 12 пункт 5 чітко зазначає: «Інформація та дії, що надаються відповідно до статей 15-22, повинні надаватися безкоштовно». Це означає:

Відвідування своїх даних: повинно бути безкоштовно

Виправлення помилкових даних: повинно бути безкоштовно

Видалити неналежні дані: повинно бути безкоштовно

Вимога «кваліфікованого електронного підпису» є технічною перешкодою. В Європейському Союзі кваліфікований електронний підпис потребує цифрового сертифіката, виданого акредитованим органом, вартість отримання якого може становити десятки або навіть сотні євро, а процес є складним. Ця вимога фактично перетворює «безкоштовне право» на «платне право».

Ще гірше, що цей дизайн може утворити порочне коло:

1. Користувач виявив, що звіт Whitebridge AI містить неправдивий негативний контент.

2. Користувач просить безкоштовну корекцію, але йому пропонують надати дорогий електронний підпис.

3. Користувач змушений відмовитися від виправлення або його спонукають купити “послуги управління репутацією” компанії.

Компанія отримує прибуток з тривоги виробництва

ЄС GDPR положення проти збору даних AI

Справа Whitebridge AI підкреслила фундаментальний конфлікт між практиками даних за GDPR та епохою ШІ. Нижче наведено ключові положення GDPR, що мають відношення до справи, та їх значення в контексті ШІ:

Стаття 5 (Принципи обробки даних): Вимога, щоб обробка даних була законною, справедливою, прозорою та точною. Фальшиві попередження, створені AI, порушують принцип “точності”, тоді як непрозорий процес збору порушує принцип “прозорості”.

Стаття 6 (Правова основа): Будь-яка обробка даних повинна мати правову підставу, таку як згода, контракт, юридичне зобов'язання або законний інтерес. Whitebridge AI стверджує, що базується на “законному інтересі”, але за відсутності згоди користувача та очевидної шкоди інтересам користувача ця підстава важко встановити.

Стаття 9 (Чутливі дані): Забороняється обробка даних, які розкривають расу, політичні погляди, релігійні переконання, сексуальну орієнтацію тощо, якщо це не відповідає певним виняткам. Маркування “небезпечний політичний контент” може стосуватися припущень про політичні погляди, а попередження “оголеність” може містити натяки, обидва з яких належать до категорії чутливих даних.

Статті 12 та 14 (прозорість та обов'язок повідомлення): контролер даних повинен активно повідомляти суб'єкта даних про те, що його дані обробляються. Скаржники Noyb ніколи не отримували повідомлення від Whitebridge AI, поки вони не придбали звіт, і тільки тоді дізналися, що їхні дані обробляються.

Стаття 15 (Право на доступ): Особа має право безкоштовно отримувати підтвердження та копії інформації про обробку своїх даних. Платна модель Whitebridge AI прямо порушує це основне право.

Стаття 16 (Право на виправлення): особа має право вимагати виправлення неточних даних. Встановлення перешкод для електронного підпису фактично позбавляє цього права.

Ці накопичені порушення положень свідчать про те, що бізнес-модель Whitebridge AI повністю суперечить основному духу GDPR — наданню особам контролю над своїми даними.

Офіційна відповідь Whitebridge AI: підкреслює легітимність, але викликає безліч питань

Після подання цієї статті, представник Whitebridge AI надав заяву, щоб захистити дії компанії: «WhiteBridge AI дуже цінує захист даних та конфіденційність. Усі особисті дані, які обробляє наша компанія, збираються лише з відкритих джерел і використовуються лише для законних і чітко визначених цілей. Ми хочемо чітко підкреслити, що WhiteBridge AI не буде активно збирати або зберігати будь-які особисті дані.»

Ця заява підкреслює кілька ключових положень:

Пасивний режим обробки: «Обробка даних проводиться лише після отримання запиту клієнта на складання звіту щодо конкретної особи» — це означає, що компанія стверджує, що не веде постійної бази даних, а лише збирає дані у разі наявності платного запиту.

30 днів політика видалення: «WhiteBridge AI суворо дотримується обмежень на зберігання даних, всі опубліковані звіти будуть видалені через 30 днів» — це, здається, зроблено для дотримання принципу мінімізації даних GDPR.

Без заяви про базу даних: «WhiteBridge AI не зберігатиме особисту інформацію без законного запиту» — намагаючись відмежуватися від традиційних брокерів даних.

Однак ці виправдання мають очевидні сумніви:

Визначення відкритих джерел залишається неясним: Компанія не уточнила своє конкретне визначення «відкритих джерел» та як забезпечити відповідність цих джерел стандарту «очевидно відкрито» відповідно до статті 9 GDPR.

Проблема пасивного режиму: навіть при обробці за запитом все ще потрібно дотримуватись обов'язку сповіщення (ст. 14) та права доступу (ст. 15). Скаржник Noyb, очевидно, не отримав сповіщення, а право доступу заблоковане платним бар'єром.

30 днів видалених вразливостей: звіт може бути завантажений і розповсюджений кілька разів протягом 30 днів, видалення оригіналу не може усунути завдану шкоду. Більш того, якщо звіт містить хибну інформацію, 30 днів існування достатньо для завдання серйозної шкоди репутації.

Суперечність без заяви про базу даних: якщо компанія дійсно не має жодної бази даних, як вона може швидко створити звіт після отримання запиту? Це передбачає, що компанія, можливо, попередньо створила якийсь індекс або механізм кешування.

Компанія також відповіла на звинувачення Noyb, вважаючи, що «заяви про “недобросовісні бізнес-моделі” та підозри в незаконному зборі та продажу даних є безпідставними», та зазначила, що «готова до конструктивного діалогу». Однак щодо конкретних звинувачень, таких як фальшивий контент, згенерований ШІ, та вимоги електронного підпису, заява не містила суттєвого пояснення.

Твоя цифрова репутація переписується AI

Справа Whitebridge AI не є ізольованою подією, а вказує на системну кризу управління цифровими ідентифікаціями в епоху ШІ.

Рік тому співзасновник і генеральний директор австралійської організації з кібербезпеки Dodgy or Not? Стейсі Едмондс опублікувала пост у LinkedIn, висловлюючи занепокоєння щодо послуг збору даних Whitebridge AI. Едмондс написала, що зв'язалася з Whitebridge AI та Національним управлінням захисту даних Литви, щоб висловити свої занепокоєння. Однак, здається, її запити не вплинули на практику компанії.

Ця безсилля регулювання підкреслює дві проблеми:

Складнощі з міжнародним правозастосуванням: Whitebridge AI зареєстрована в Литві, але надає послуги користувачам по всьому світу. Навіть якщо регуляторні органи певної країни визнають це незаконним, правозастосування все ще стикається з викликами юрисдикції.

Нестача регуляторних ресурсів: Національний центр захисту даних Литви може не мати достатньо ресурсів для детального розслідування складних випадків даних AI. Хоча GDPR надає потужні повноваження, здатність до виконання залежить від внеску кожної з країн-членів.

Можливо, офіційна скарга Noyb отримає більше уваги. Як одна з найактивніших організацій із захисту приватності в Європі, Noyb успішно домагалася значних штрафів для таких технологічних гігантів, як Facebook, Google. Якщо литовські регулятори вжили б заходів проти Whitebridge AI, це може встановити прецедент для інших країн ЄС і стримати подібні бізнес-моделі «монетизації страху AI».

Для звичайних користувачів урок цього випадку полягає в тому, що ваша цифрова ідентичність може аналізуватися, позначатися та навіть спотворюватися системами штучного інтелекту без вашого відома. Регулярний пошук власного імені, налаштування конфіденційності в соціальних мережах, обережне поширення особистої інформації стали не лише хорошою практикою захисту приватності, але й необхідним бар'єром проти маніпуляцій цифровою репутацією, що здійснюються за допомогою штучного інтелекту.