Whitebridge AI bị buộc tội vi phạm pháp luật, việc bán "nội dung chính trị nguy hiểm" và cảnh báo giả mạo gây ra tranh cãi

Công ty AI của Litva, Whitebridge AI, đã bị tổ chức bảo mật của EU Noyb khiếu nại vi phạm nhiều điều khoản của GDPR, bán các báo cáo danh tiếng chứa cảnh báo "nội dung “khỏa thân” giả và “nội dung chính trị nguy hiểm”, yêu cầu người dùng trả phí để xem và sử dụng “chữ ký điện tử” để ngăn chặn việc chỉnh sửa, mô hình kinh doanh đe dọa gây ra tranh cãi về quyền riêng tư.

Whitebridge AI báo cáo mô hình kinh doanh tiết lộ: Biến đổi dữ liệu bằng sự đe dọa

Công ty Whitebridge AI có trụ sở tại Litva đang rơi vào cơn bão quyền riêng tư vì bị cáo buộc bán “báo cáo danh tiếng” dựa trên việc thu thập dữ liệu trái phép và thông tin sai lệch từ AI. Tổ chức bảo vệ quyền riêng tư có trụ sở tại Áo Noyb đã yêu cầu Cơ quan Bảo vệ Dữ liệu Quốc gia Litva cấm Whitebridge AI “xử lý dữ liệu cá nhân bị thu thập và thông tin sai lệch do AI tạo ra”.

Whitebridge AI cung cấp hai loại dịch vụ dựa trên trí tuệ nhân tạo:

Dịch vụ báo cáo danh tiếng: Tạo báo cáo chi tiết mô tả trạng thái trực tuyến của một người, bao gồm bài đăng trên mạng xã hội, hình ảnh, bài báo tin tức và các dấu chân số khác.

Dịch vụ giám sát thời gian thực: Liên tục theo dõi hoạt động trực tuyến của đối tượng mục tiêu, ngay khi có bất kỳ thay đổi nào sẽ ngay lập tức thông báo cho người dùng trả phí.

Mô hình kinh doanh này bản thân nó không phải là mới - các dịch vụ “quản lý danh tiếng số” tương tự đã tồn tại ở châu Âu và Mỹ nhiều năm. Tuy nhiên, điều độc đáo trong báo cáo của Whitebridge AI là chiến lược “đe dọa rồi kiếm tiền”: theo tài liệu khiếu nại của Noyb, các báo cáo mà công ty này tạo ra chứa cảnh báo giả về “nội dung chính trị nhạy cảm” và “nội dung nguy hiểm”, cố tình tạo ra cảm giác lo âu, sau đó yêu cầu người dùng trả phí để xem báo cáo đầy đủ hoặc thực hiện sửa đổi.

Luật sư bảo vệ dữ liệu của Noyb, Lisa Steinfeld, đã thẳng thắn chỉ ra: “Mô hình kinh doanh của Whitebridge AI là rất không hợp pháp, mục đích là để dọa người khác, khiến họ phải trả tiền cho dữ liệu bị thu thập trái phép. Theo luật pháp EU, mọi người có quyền truy cập dữ liệu của mình miễn phí.”

Noyb khiếu nại tiết lộ ba hành vi vi phạm GDPR

Tài liệu khiếu nại (PDF) do Noyb nộp cáo buộc Whitebridge AI vi phạm nhiều điều khoản cốt lõi của Quy định chung về bảo vệ dữ liệu (GDPR) của châu Âu, bao gồm Điều 5, 6, 9, 12, 14, 15 và 16. Những điều khoản này bao gồm các nguyên tắc cơ bản như cơ sở hợp pháp của việc xử lý dữ liệu, bảo vệ dữ liệu thuộc các loại đặc biệt, nghĩa vụ minh bạch, quyền truy cập và quyền sửa đổi.

Nguồn dữ liệu bất hợp pháp: Mạng xã hội không phải là “công khai rõ ràng”

Whitebridge AI tuyên bố trên trang web của mình: “Chúng tôi hoàn toàn tuân thủ GDPR, đảm bảo rằng dữ liệu cá nhân của bạn được bảo vệ và xử lý một cách minh bạch. Chúng tôi chỉ thu thập thông tin công khai, bạn có quyền truy cập, chỉnh sửa, xóa và hạn chế việc xử lý dữ liệu của bạn.”

Tuy nhiên, Noyb đã phản bác rằng phần lớn thông tin trong báo cáo của Whitebridge AI dường như xuất phát từ các trang mạng xã hội hoặc tìm kiếm trên các trang này - trong khi đó, luật án châu Âu đã xác định rõ rằng loại dữ liệu này không thuộc phạm vi “công khai rõ ràng” (manifestly made public), đây là ngưỡng quan trọng để xử lý dữ liệu cá nhân nhạy cảm theo Điều 9 của GDPR.

Trọng tâm của tranh chấp pháp lý này là định nghĩa về “dữ liệu công khai”:

Quan điểm của Whitebridge AI: Mọi thông tin có thể tìm thấy trên mạng đều là “công khai”, do đó có thể tự do thu thập và sử dụng cho mục đích thương mại.

Án lệ Tòa án Liên minh Châu Âu: Ngay cả khi thông tin về mặt kỹ thuật có thể truy cập, điều đó không có nghĩa là chủ thể dữ liệu có ý định “công khai rõ ràng” để cho bất kỳ bên thứ ba nào thương mại hóa. Các bài đăng trên mạng xã hội thường có giới hạn đối tượng (bạn bè, người theo dõi, v.v.), không phải là công khai không giới hạn cho toàn thế giới.

Vào năm 2023, Tòa án Liên minh Châu Âu đã nhấn mạnh trong nhiều trường hợp rằng dữ liệu “công khai rõ ràng” được đề cập trong Điều 9, Khoản 2, Điểm e của GDPR phải là thông tin mà chủ thể dữ liệu có ý định rõ ràng công khai cho công chúng không xác định. Điều này có nghĩa là:

Bài viết chỉ có thể nhìn thấy bởi bạn bè trên Facebook: không tính là công khai rõ ràng

Tweet được công khai trên Twitter: Có thể coi là công khai rõ ràng, nhưng vẫn cần đánh giá tính hợp pháp của việc sử dụng cho thương mại.

Hồ sơ chuyên nghiệp trên LinkedIn: Khu vực xám, phụ thuộc vào cài đặt quyền riêng tư của người dùng

Whitebridge AI rõ ràng đã áp dụng cách giải thích rộng rãi nhất, coi tất cả dữ liệu có thể thu thập được là “công khai”, cách làm này trái ngược với tinh thần của các án lệ của Tòa án Liên minh Châu Âu.

Nội dung tạo ra bởi AI giả mạo: Cảnh báo về sự khỏa thân và chính trị

Noyb đã đại diện cho hai khiếu nại không xác định, họ đã gửi yêu cầu dựa trên Điều 15 của GDPR (điều khoản này trao quyền cho mọi người quyền truy cập vào dữ liệu của chính họ), nhưng không nhận được bất kỳ phản hồi nào. Noyb sau đó đã mua báo cáo Whitebridge AI của các khiếu nại này và phát hiện báo cáo chứa “cảnh báo giả về 'nội dung chính trị trần trụi' và 'nguy hiểm'”.

Phát hiện này tiết lộ một vấn đề nghiêm trọng của nội dung do AI tạo ra:

Vấn đề Ảo giác AI (Hallucination): Mô hình AI có thể tạo ra những kết luận hoàn toàn sai lệch dựa trên các đoạn dữ liệu không liên quan. Ví dụ, một người nào đó chia sẻ một bức ảnh kỳ nghỉ trên bãi biển trên mạng xã hội, AI có thể sai lầm đánh dấu nó là “khỏa thân”.

Thiết kế ác ý có thể: Điều đáng lo ngại hơn là, những cảnh báo giả mạo này có thể không phải là lỗi kỹ thuật, mà là chiến lược thương mại - thông qua việc tạo ra những nhãn tiêu cực gây chú ý, buộc người dùng phải trả phí để xem chi tiết hoặc yêu cầu xóa bỏ.

Rủi ro tổn hại danh tiếng: Nếu những báo cáo giả mạo này được các nhà tuyển dụng, công ty bảo hiểm hoặc các bên thứ ba khác mua, có thể gây ra tổn hại nghiêm trọng về nghề nghiệp và cá nhân cho các bên liên quan.

Điều 5, khoản 1, điểm d của GDPR yêu cầu việc xử lý dữ liệu phải “chính xác” và được cập nhật khi cần thiết. Nội dung sai lệch trong báo cáo của Whitebridge AI rõ ràng vi phạm nguyên tắc này.

Cạm bẫy xóa trả phí: Vi phạm quyền truy cập miễn phí

Khi người khiếu nại cố gắng sửa đổi báo cáo của họ theo Điều 16 GDPR, Whitebridge AI yêu cầu cung cấp “chữ ký điện tử đủ tiêu chuẩn” (qualified electronic signature) để thực hiện yêu cầu - Noyb đã chỉ rõ rằng luật pháp EU không có yêu cầu này.

GDPR Điều 12, Khoản 5 quy định rõ: “Thông tin và hành động được cung cấp theo Điều 15 đến 22 phải được cung cấp miễn phí.” Điều này có nghĩa là:

Truy cập dữ liệu của riêng bạn: Phải miễn phí

Sửa dữ liệu sai: Phải miễn phí

Xóa dữ liệu không phù hợp: Phải miễn phí

Yêu cầu “chữ ký điện tử hợp lệ” là một rào cản kỹ thuật. Tại Liên minh châu Âu, chữ ký điện tử hợp lệ cần có chứng chỉ số do cơ quan chứng nhận cấp, chi phí có thể lên tới hàng chục đến hàng trăm euro, và quy trình này rất phức tạp. Yêu cầu này thực sự biến “quyền miễn phí” thành “quyền phải trả phí”.

Nghiêm trọng hơn, thiết kế này có thể tạo ra vòng lặp xấu:

1、Người dùng phát hiện báo cáo Whitebridge AI chứa nội dung tiêu cực giả.

2、Người dùng yêu cầu sửa đổi miễn phí, nhưng bị yêu cầu cung cấp chữ ký điện tử đắt tiền

3、Người dùng bị buộc phải từ bỏ việc sửa chữa, hoặc bị dụ dỗ mua “dịch vụ quản lý danh tiếng” của công ty.

Công ty kiếm lợi từ nỗi lo lắng trong sản xuất

Điều khoản GDPR của EU đối đầu với việc thu thập dữ liệu AI

Vụ Whitebridge AI làm nổi bật sự mâu thuẫn căn bản giữa thực tiễn dữ liệu của GDPR và thời đại AI. Dưới đây là các điều khoản GDPR chính liên quan đến vụ việc và ý nghĩa của chúng trong bối cảnh AI:

Điều 5 (Nguyên tắc xử lý dữ liệu): Yêu cầu việc xử lý dữ liệu phải hợp pháp, công bằng, minh bạch và chính xác. Cảnh báo giả do AI tạo ra vi phạm nguyên tắc “chính xác”, trong khi quy trình thu thập không minh bạch vi phạm nguyên tắc “minh bạch”.

Điều 6 (Cơ sở hợp pháp): Mọi xử lý dữ liệu phải có cơ sở hợp pháp, chẳng hạn như sự đồng ý, hợp đồng, nghĩa vụ pháp lý hoặc lợi ích hợp pháp. Whitebridge AI tuyên bố dựa trên “lợi ích hợp pháp”, nhưng trong trường hợp thiếu sự đồng ý của người dùng và gây hại rõ ràng cho lợi ích của người dùng, cơ sở này khó có thể được xác lập.

Điều 9 (Dữ liệu nhạy cảm): Cấm xử lý dữ liệu tiết lộ chủng tộc, quan điểm chính trị, tín ngưỡng tôn giáo, xu hướng tình dục, trừ khi tuân thủ các ngoại lệ cụ thể. Nhãn “Nội dung chính trị nguy hiểm” có thể liên quan đến suy đoán về quan điểm chính trị, cảnh báo “Hở” có thể liên quan đến ngụ ý, cả hai đều thuộc phạm vi dữ liệu nhạy cảm.

Điều 12, 14 (Nghĩa vụ minh bạch và thông báo): Người kiểm soát dữ liệu phải chủ động thông báo cho chủ thể dữ liệu rằng dữ liệu của họ đang được xử lý. Người khiếu nại của Noyb chưa bao giờ nhận được thông báo từ Whitebridge AI cho đến khi họ chủ động mua báo cáo và phát hiện ra dữ liệu của mình đang bị xử lý.

Điều 15 (Quyền truy cập): Cá nhân có quyền miễn phí nhận được xác nhận và bản sao về việc xử lý dữ liệu của mình. Mô hình thanh toán của Whitebridge AI vi phạm trực tiếp quyền cơ bản này.

Điều 16 (Quyền sửa đổi): Cá nhân có quyền yêu cầu sửa đổi dữ liệu không chính xác. Việc thiết lập rào cản chữ ký điện tử thực tế đã tước đoạt quyền này.

Các vi phạm tích lũy của các điều khoản này cho thấy mô hình kinh doanh của Whitebridge AI hoàn toàn trái ngược với tinh thần cơ bản của GDPR - trao quyền cho cá nhân kiểm soát dữ liệu của họ.

Phản hồi chính thức của Whitebridge AI: Nhấn mạnh tính hợp pháp nhưng đầy nghi vấn

Sau khi bài viết được gửi đi, phát ngôn viên của Whitebridge AI đã cung cấp một tuyên bố để biện minh cho các hành động của công ty: “WhiteBridge AI rất coi trọng việc bảo vệ dữ liệu và quyền riêng tư. Tất cả dữ liệu cá nhân mà công ty chúng tôi xử lý đều chỉ được thu thập từ các nguồn công khai và chỉ được sử dụng cho các mục đích hợp pháp và được định nghĩa rõ ràng. Chúng tôi muốn nhấn mạnh rằng, WhiteBridge AI không chủ động thu thập hoặc lưu trữ bất kỳ dữ liệu cá nhân nào.”

Tuyên bố này nhấn mạnh một số khẳng định quan trọng:

Chế độ xử lý bị động: “Việc xử lý dữ liệu chỉ diễn ra sau khi nhận được yêu cầu viết báo cáo từ khách hàng về một cá nhân cụ thể” - điều này có nghĩa là công ty tuyên bố không duy trì cơ sở dữ liệu thường trực, chỉ thu thập dữ liệu khi có yêu cầu trả phí.

Chính sách xóa trong 30 ngày: “WhiteBridge AI tuân thủ nghiêm ngặt các quy định về hạn chế bảo tồn dữ liệu, tất cả các báo cáo đã được phát hành sẽ bị xóa sau 30 ngày” - điều này dường như nhằm tuân thủ nguyên tắc tối thiểu hóa dữ liệu của GDPR.

Không có tuyên bố cơ sở dữ liệu: “WhiteBridge AI không lưu trữ thông tin cá nhân mà không có yêu cầu hợp pháp từ bất kỳ cơ sở dữ liệu hoặc kho lưu trữ nào” - cố gắng phân biệt với các nhà môi giới dữ liệu truyền thống.

Tuy nhiên, những biện hộ này có những nghi vấn rõ ràng:

Định nghĩa nguồn mở không rõ ràng: Công ty chưa làm rõ định nghĩa cụ thể của họ về “nguồn mở”, cũng như cách đảm bảo rằng các nguồn này đáp ứng tiêu chuẩn “công khai rõ ràng” theo Điều 9 của GDPR.

Vấn đề của chế độ thụ động: Ngay cả khi xử lý theo yêu cầu, vẫn cần tuân thủ nghĩa vụ thông báo (Điều 14) và quyền truy cập (Điều 15). Người khiếu nại của Noyb rõ ràng không nhận được thông báo, và quyền truy cập bị chặn bởi tường phí.

Lỗ hổng bị xóa trong 30 ngày: Báo cáo có thể bị tải xuống và phát tán nhiều lần trong vòng 30 ngày, việc xóa bản gốc không thể xóa bỏ thiệt hại đã gây ra. Quan trọng hơn, nếu báo cáo chứa thông tin sai lệch, thời gian 30 ngày đủ để gây thiệt hại nghiêm trọng đến danh tiếng.

Mâu thuẫn không có tuyên bố cơ sở dữ liệu: Nếu công ty thực sự không có bất kỳ cơ sở dữ liệu nào, làm thế nào để nhanh chóng tạo ra báo cáo sau khi nhận được yêu cầu? Điều này ám chỉ rằng công ty có thể đã thiết lập trước một số chỉ mục hoặc cơ chế bộ nhớ đệm.

Công ty cũng đã phản hồi lại cáo buộc của Noyb, cho rằng “các cáo buộc về 'mô hình kinh doanh không chính đáng' và việc thu thập và bán dữ liệu trái phép là hoàn toàn vô căn cứ”, và cho biết “sẵn sàng tham gia vào một cuộc đối thoại xây dựng”. Tuy nhiên, đối với các cáo buộc cụ thể như nội dung giả mạo do AI tạo ra và yêu cầu về chữ ký điện tử, tuyên bố không cung cấp giải thích cụ thể.

Danh tiếng số của bạn đang được AI viết lại

Vụ Whitebridge AI không phải là một sự kiện đơn lẻ, mà là một sự tiết lộ về cuộc khủng hoảng hệ thống trong quản lý danh tính số trong thời đại AI.

Một năm trước, Stacey Edmonds, đồng sáng lập và Giám đốc điều hành của tổ chức an ninh mạng Úc Dodgy or Not?, đã đăng một bài viết trên LinkedIn bày tỏ lo ngại về dịch vụ thu thập dữ liệu của Whitebridge AI. Edmonds viết rằng cô đã liên hệ với Whitebridge AI và Cơ quan Bảo vệ Dữ liệu Quốc gia Litva để bày tỏ những lo ngại của mình. Tuy nhiên, các câu hỏi của cô dường như không ảnh hưởng gì đến cách làm của công ty.

Sự thiếu hiệu quả của việc giám sát này làm nổi bật hai vấn đề:

Khó khăn trong thực thi pháp luật xuyên biên giới: Whitebridge AI đăng ký tại Litva, nhưng phục vụ người dùng toàn cầu. Ngay cả khi cơ quan quản lý của một quốc gia xác định rằng nó vi phạm pháp luật, việc thực thi vẫn đối mặt với thách thức về quyền tài phán.

Tài nguyên giám sát không đủ: Cơ quan Giám sát Bảo vệ Dữ liệu Quốc gia Litva có thể thiếu tài nguyên cần thiết để điều tra sâu các vụ việc dữ liệu AI phức tạp. Mặc dù GDPR trao quyền mạnh mẽ, nhưng khả năng thực thi phụ thuộc vào sự đầu tư của từng quốc gia thành viên.

Có thể khiếu nại chính thức của Noyb sẽ thu hút nhiều sự chú ý hơn. Là một trong những tổ chức thúc đẩy quyền riêng tư hoạt động tích cực nhất ở châu Âu, Noyb đã thành công trong việc thúc đẩy các hình phạt nghiêm khắc đối với các ông lớn công nghệ như Facebook, Google. Nếu cơ quan quản lý Litva hành động đối với Whitebridge AI, điều này có thể tạo ra tiền lệ cho các quốc gia EU khác, kiềm chế những mô hình kinh doanh “cái gọi là kinh doanh AI đe dọa” tương tự.

Đối với người dùng thông thường, bài học từ trường hợp này là: danh tính kỹ thuật số của bạn có thể đang bị hệ thống AI phân tích, gán nhãn, thậm chí là bóp méo mà bạn không hề hay biết. Thường xuyên tìm kiếm tên của mình, thiết lập quyền riêng tư trên mạng xã hội, cẩn thận chia sẻ thông tin cá nhân, đã không chỉ là thực hành tốt trong việc bảo vệ quyền riêng tư, mà còn là hàng rào cần thiết để chống lại sự thao túng danh tiếng kỹ thuật số do AI điều khiển.