Whitebridge AI 被控非法，販賣「危險政治內容」虛假警告引發爭議

立陶宛 AI 公司 Whitebridge AI 遭歐盟隱私組織 Noyb 投訴違反 GDPR 多項條款，販賣含虛假「裸露」和「危險政治內容」警告的聲譽報告，要求用戶付費查看並用「電子簽名」設障阻止更正，恐嚇式商業模式引發隱私權爭議。

Whitebridge AI 報告商業模式揭秘：恐嚇式數據變現

總部位於立陶宛的 Whitebridge AI 因涉嫌出售基於非法收集數據和 AI 錯誤資訊的「聲譽報告」而陷入隱私權風暴。總部位於奧地利的隱私倡導組織 Noyb 已要求立陶宛國家資料保護監察局禁止 Whitebridge AI「處理抓取的個人資料和 AI 產生的虛假資訊」。

Whitebridge AI 提供兩種基於人工智慧的服務：

聲譽報告服務：生成描述一個人線上狀態的詳細報告，包括社交媒體貼文、圖像、新聞文章等數位足跡。

即時監控服務：持續追蹤目標人物的線上活動，一旦出現任何變化立即通知付費用戶。

這種商業模式本身並非新穎——類似的「數位聲譽管理」服務在歐美已存在多年。然而，Whitebridge AI 報告的獨特之處在於其「恐嚇然後變現」的策略：根據 Noyb 的投訴文件，該公司生成的報告包含「裸露」和「危險政治內容」的虛假警告，刻意製造焦慮感，然後要求用戶付費才能查看完整報告或進行修正。

Noyb 的資料保護律師 Lisa Steinfeld 直言不諱地指出：「Whitebridge AI 的商業模式非常不正當，目的是嚇唬人們，讓他們為非法收集的數據付費。根據歐盟法律，人們有權免費訪問自己的數據。」

Noyb 投訴揭露三大 GDPR 違法行為

Noyb 提交的投訴文件（PDF）指控 Whitebridge AI 違反了歐洲《一般資料保護規範》（GDPR）的多項核心條款，包括第 5、6、9、12、14、15 和 16 條。這些條款涵蓋了數據處理的合法性基礎、特殊類別數據保護、透明度義務、訪問權和更正權等基本原則。

非法數據來源：社交媒體非「明顯公開」

Whitebridge AI 在其網站上聲稱：「我們完全遵守 GDPR，確保您的個人資料受到保護並透明處理。我們只收集公開資訊，您有權訪問、更正、刪除和限制對您資料的處理。」

然而，Noyb 反駁說，Whitebridge AI 報告中的大部分資訊似乎來自社交媒體網站或對這些網站的搜索——而歐洲判例法已經明確確定，這類數據不屬於「明顯公開」（manifestly made public）的範疇，這是 GDPR 第 9 條規定處理敏感個人數據的關鍵門檻。

這一法律爭議的核心在於對「公開數據」的定義：

Whitebridge AI 的立場：任何在網路上可找到的資訊都是「公開的」，因此可以自由抓取和商業利用。

歐盟法院判例：即使資訊在技術上可被訪問，也不代表數據主體有意將其「明顯公開」供任意第三方商業利用。社交媒體上的貼文通常有受眾限制（朋友、追蹤者等），並非向全世界無限制公開。

2023 年歐盟法院在多起案例中強調，GDPR 第 9 條第 2 項第 e 款所指的「明顯公開」數據，必須是數據主體有明確意圖向不特定公眾公開的資訊。這意味著：

在 Facebook 上僅對朋友可見的貼文：不算明顯公開

在 Twitter 上公開的推文：可能算明顯公開，但仍需評估商業利用的合法性

LinkedIn 上的專業履歷：灰色地帶，取決於用戶隱私設定

Whitebridge AI 顯然採取了最寬鬆的解釋，將所有可抓取的數據都視為「公開」，這種做法與歐盟法院的判例精神相悖。

虛假 AI 生成內容：裸露與政治警告

Noyb 代理了兩位身份不明的投訴人，他們根據 GDPR 第 15 條（該條款賦予人們訪問自身資料的權利）提交查詢，但未得到任何回應。Noyb 隨後購買了這些投訴人的 Whitebridge AI 報告，發現報告中「包含『裸露』和『危險政治內容』的虛假警告」。

這一發現揭示了 AI 生成內容的嚴重問題：

AI 幻覺（Hallucination）問題：AI 模型可能基於不相關的數據片段生成完全虛假的結論。例如，某人在社交媒體上分享了一張海灘度假照片，AI 可能錯誤地將其標記為「裸露」。

惡意設計可能：更令人擔憂的是，這些虛假警告可能不是技術缺陷，而是商業策略——透過製造聳動的負面標籤，迫使用戶付費查看詳情或要求刪除。

名譽傷害風險：如果這些虛假報告被雇主、保險公司或其他第三方購買，可能對當事人造成嚴重的職業和個人傷害。

GDPR 第 5 條第 1 項第 d 款要求數據處理必須「準確」，並在必要時保持更新。Whitebridge AI 報告中的虛假內容明顯違反了這一原則。

付費刪除陷阱：違反免費訪問權

當投訴人試圖根據 GDPR 第 16 條更正他們的報告時，Whitebridge AI 要求提供「合格的電子簽名」（qualified electronic signature）才能執行請求——Noyb 明確指出，歐盟法律並不存在這項要求。

GDPR 第 12 條第 5 項明確規定：「根據第 15 至 22 條提供的資訊和採取的行動應免費提供。」這意味著：

訪問自己的數據：必須免費

更正錯誤數據：必須免費

刪除不當數據：必須免費

要求「合格的電子簽名」是一種技術性障礙。在歐盟，合格的電子簽名需要經過認證機構頒發的數位憑證，取得成本可能達到數十至上百歐元，且過程複雜。這種要求實際上將「免費權利」轉化為「付費權利」。

更嚴重的是，這種設計可能形成惡性循環：

1、用戶發現 Whitebridge AI 報告包含虛假負面內容

2、用戶要求免費更正，但被要求提供昂貴的電子簽名

3、用戶被迫放棄更正，或被誘導購買公司的「聲譽管理服務」

公司從製造的焦慮中獲利

歐盟 GDPR 條款對決 AI 數據抓取

Whitebridge AI 案凸顯了 GDPR 與 AI 時代數據實踐之間的根本衝突。以下是該案涉及的關鍵 GDPR 條款及其在 AI 背景下的含義：

第 5 條（數據處理原則）：要求數據處理必須合法、公平、透明、準確。AI 生成的虛假警告違反了「準確性」原則，而不透明的抓取過程違反了「透明性」原則。

第 6 條（合法性基礎）：任何數據處理必須有合法依據，如同意、合約、法律義務或合法利益。Whitebridge AI 聲稱基於「合法利益」，但在缺乏用戶同意和明顯損害用戶利益的情況下，這一依據難以成立。

第 9 條（敏感數據）：禁止處理揭示種族、政治觀點、宗教信仰、性取向等的數據，除非符合特定例外。「危險政治內容」標籤可能涉及政治觀點推斷，「裸露」警告可能涉及暗示，兩者都屬於敏感數據範疇。

第 12、14 條（透明度和通知義務）：數據控制者必須主動告知數據主體其數據正在被處理。Noyb 的投訴人從未收到 Whitebridge AI 的通知，直到他們主動購買報告才發現自己的數據被處理。

第 15 條（訪問權）：個人有權免費獲得關於其數據處理的確認和副本。Whitebridge AI 的付費模式直接違反這一核心權利。

第 16 條（更正權）：個人有權要求更正不準確的數據。設置電子簽名障礙實際上剝奪了這一權利。

這些條款的累積違反顯示，Whitebridge AI 的商業模式與 GDPR 的基本精神——賦予個人對其數據的控制權——完全相悖。

Whitebridge AI 官方回應：強調合法性但疑點重重

在本文提交後，Whitebridge AI 的發言人提供了一份聲明為公司做法辯護：「WhiteBridge AI 非常重視資料保護和隱私。本公司處理的所有個人資料均僅從公開來源收集，且僅用於合法且明確定義的目的。我們想明確強調，WhiteBridge AI 不會主動收集或儲存任何個人資料。」

該聲明強調了幾個關鍵主張：

被動處理模式：「資料處理僅在收到客戶針對特定個人的報告編寫請求後進行」——這意味著公司聲稱不維護常設數據庫，只在有付費請求時才抓取數據。

30 天刪除政策：「WhiteBridge AI 嚴格遵守資料保留限制規定，所有已發布的報告將在 30 天後刪除」——這似乎是為了符合 GDPR 的數據最小化原則。

無資料庫聲明：「WhiteBridge AI 沒有任何資料庫或檔案館會在沒有合法請求的情況下儲存個人信息」——試圖與傳統數據經紀人劃清界限。

然而，這些辯護存在明顯疑點：

公開來源定義模糊：公司未澄清其對「公開來源」的具體定義，以及如何確保這些來源符合 GDPR 第 9 條的「明顯公開」標準。

被動模式的問題：即使是按需處理，仍需遵守通知義務（第 14 條）和訪問權（第 15 條）。Noyb 的投訴人顯然未收到通知，且訪問權被付費牆阻擋。

30 天刪除的漏洞：報告可能在 30 天內被多次下載和傳播，刪除原件並不能消除已造成的傷害。更重要的是，如果報告包含虛假資訊，30 天的存續期間足以造成嚴重名譽損害。

無資料庫聲明的矛盾：如果公司真的沒有任何數據庫，如何在收到請求後快速生成報告？這暗示公司可能預先建立了某種索引或快取機制。

公司還回應了 Noyb 的指控，認為「關於『不正當商業模式』以及涉嫌非法收集和出售數據的說法毫無根據」，並表示「願意進行建設性對話」。然而，對於虛假 AI 生成內容和電子簽名要求等具體指控，聲明並未提供實質性解釋。

你的數字聲譽正在被 AI 改寫

Whitebridge AI 案不是孤立事件，而是揭示了 AI 時代數位身份管理的系統性危機。

一年前，澳洲網路安全組織 Dodgy or Not? 的聯合創始人兼首席執行長 Stacey Edmonds 在 LinkedIn 上發布了一篇帖子，表達了對 Whitebridge AI 數據收集服務的擔憂。Edmonds 寫道，她聯繫了 Whitebridge AI 和立陶宛國家資料保護監察局，表達了她的擔憂。然而，她的詢問似乎並未對公司的做法產生任何影響。

這種監管無力凸顯了兩個問題：

跨境執法困難：Whitebridge AI 註冊在立陶宛，但服務全球用戶。即使某國監管機構認定其違法，執法仍面臨司法管轄權挑戰。

監管資源不足：立陶宛國家資料保護監察局可能缺乏足夠資源深入調查複雜的 AI 數據案件。GDPR 雖然賦予了強大權力，但執行能力取決於各成員國的投入。

也許 Noyb 的正式投訴會得到更多關注。作為歐洲最活躍的隱私倡導組織之一，Noyb 曾成功推動對 Facebook、Google 等科技巨頭的重大處罰。如果立陶宛監管機構對 Whitebridge AI 採取行動，可能為其他歐盟國家樹立先例，遏制類似的「AI 恐嚇變現」商業模式。

對普通用戶而言，這個案例的教訓是：你的數位身份可能正在被 AI 系統以你不知情的方式分析、標記、甚至扭曲。定期搜索自己的名字、設置社交媒體隱私權限、謹慎分享個人資訊，已經不僅是隱私保護的良好實踐，更是抵禦 AI 驅動的數位名譽操縱的必要防線。