Whitebridge AI 被控非法，贩卖「危险政治内容」虚假警告引发争议

立陶宛 AI 公司 Whitebridge AI 遭欧盟隐私组织 Noyb 投诉违反 GDPR 多项条款，贩卖含虚假「裸露」和「危险政治内容」警告的声誉报告，要求用户付费查看并用「电子签名」设障阻止更正，恐吓式商业模式引发隐私权争议。

Whitebridge AI 报告商业模式揭秘：恐吓式数据变现

总部位于立陶宛的 Whitebridge AI 因涉嫌出售基于非法收集数据和 AI 错误资讯的「声誉报告」而陷入隐私权风暴。总部位于奥地利的隐私倡导组织 Noyb 已要求立陶宛国家资料保护监察局禁止 Whitebridge AI「处理抓取的个人资料和 AI 产生的虚假资讯」。

Whitebridge AI 提供两种基于人工智慧的服务：

声誉报告服务：生成描述一个人线上状态的详细报告，包括社交媒体贴文、图像、新闻文章等数位足迹。

即时监控服务：持续追踪目标人物的线上活动，一旦出现任何变化立即通知付费用户。

这种商业模式本身并非新颖——类似的「数位声誉管理」服务在欧美已存在多年。然而，Whitebridge AI 报告的独特之处在于其「恐吓然后变现」的策略：根据 Noyb 的投诉文件，该公司生成的报告包含「裸露」和「危险政治内容」的虚假警告，刻意制造焦虑感，然后要求用户付费才能查看完整报告或进行修正。

Noyb 的资料保护律师 Lisa Steinfeld 直言不讳地指出：「Whitebridge AI 的商业模式非常不正当，目的是吓唬人们，让他们为非法收集的数据付费。根据欧盟法律，人们有权免费访问自己的数据。」

Noyb 投诉揭露三大 GDPR 违法行为

Noyb 提交的投诉文件（PDF）指控 Whitebridge AI 违反了欧洲《一般资料保护规范》（GDPR）的多项核心条款，包括第 5、6、9、12、14、15 和 16 条。这些条款涵盖了数据处理的合法性基础、特殊类别数据保护、透明度义务、访问权和更正权等基本原则。

非法数据来源：社交媒体非「明显公开」

Whitebridge AI 在其网站上声称：「我们完全遵守 GDPR，确保您的个人资料受到保护并透明处理。我们只收集公开资讯，您有权访问、更正、删除和限制对您资料的处理。」

然而，Noyb 反驳说，Whitebridge AI 报告中的大部分资讯似乎来自社交媒体网站或对这些网站的搜索——而欧洲判例法已经明确确定，这类数据不属于「明显公开」（manifestly made public）的范畴，这是 GDPR 第 9 条规定处理敏感个人数据的关键门槛。

这一法律争议的核心在于对「公开数据」的定义：

Whitebridge AI 的立场：任何在网路上可找到的资讯都是「公开的」，因此可以自由抓取和商业利用。

欧盟法院判例：即使资讯在技术上可被访问，也不代表数据主体有意将其「明显公开」供任意第三方商业利用。社交媒体上的贴文通常有受众限制（朋友、追踪者等），并非向全世界无限制公开。

2023 年欧盟法院在多起案例中强调，GDPR 第 9 条第 2 项第 e 款所指的「明显公开」数据，必须是数据主体有明确意图向不特定公众公开的资讯。这意味着：

在 Facebook 上仅对朋友可见的贴文：不算明显公开

在 Twitter 上公开的推文：可能算明显公开，但仍需评估商业利用的合法性

LinkedIn 上的专业履历：灰色地带，取决于用户隐私设定

Whitebridge AI 显然采取了最宽松的解释，将所有可抓取的数据都视为「公开」，这种做法与欧盟法院的判例精神相悖。

虚假 AI 生成内容：裸露与政治警告

Noyb 代理了两位身份不明的投诉人，他们根据 GDPR 第 15 条（该条款赋予人们访问自身资料的权利）提交查询，但未得到任何回应。Noyb 随后购买了这些投诉人的 Whitebridge AI 报告，发现报告中「包含『裸露』和『危险政治内容』的虚假警告」。

这一发现揭示了 AI 生成内容的严重问题：

AI 幻觉（Hallucination）问题：AI 模型可能基于不相关的数据片段生成完全虚假的结论。例如，某人在社交媒体上分享了一张海滩度假照片，AI 可能错误地将其标记为「裸露」。

恶意设计可能：更令人担忧的是，这些虚假警告可能不是技术缺陷，而是商业策略——透过制造耸动的负面标签，迫使用户付费查看详情或要求删除。

名誉伤害风险：如果这些虚假报告被雇主、保险公司或其他第三方购买，可能对当事人造成严重的职业和个人伤害。

GDPR 第 5 条第 1 项第 d 款要求数据处理必须「准确」，并在必要时保持更新。Whitebridge AI 报告中的虚假内容明显违反了这一原则。

付费删除陷阱：违反免费访问权

当投诉人试图根据 GDPR 第 16 条更正他们的报告时，Whitebridge AI 要求提供「合格的电子签名」（qualified electronic signature）才能执行请求——Noyb 明确指出，欧盟法律并不存在这项要求。

GDPR 第 12 条第 5 项明确规定：「根据第 15 至 22 条提供的资讯和采取的行动应免费提供。」这意味着：

访问自己的数据：必须免费

更正错误数据：必须免费

删除不当数据：必须免费

要求「合格的电子签名」是一种技术性障碍。在欧盟，合格的电子签名需要经过认证机构颁发的数位凭证，取得成本可能达到数十至上百欧元，且过程复杂。这种要求实际上将「免费权利」转化为「付费权利」。

更严重的是，这种设计可能形成恶性循环：

1、用户发现 Whitebridge AI 报告包含虚假负面内容

2、用户要求免费更正，但被要求提供昂贵的电子签名

3、用户被迫放弃更正，或被诱导购买公司的「声誉管理服务」

公司从制造的焦虑中获利

欧盟 GDPR 条款对决 AI 数据抓取

Whitebridge AI 案凸显了 GDPR 与 AI 时代数据实践之间的根本冲突。以下是该案涉及的关键 GDPR 条款及其在 AI 背景下的含义：

第 5 条（数据处理原则）：要求数据处理必须合法、公平、透明、准确。AI 生成的虚假警告违反了「准确性」原则，而不透明的抓取过程违反了「透明性」原则。

第 6 条（合法性基础）：任何数据处理必须有合法依据，如同意、合约、法律义务或合法利益。Whitebridge AI 声称基于「合法利益」，但在缺乏用户同意和明显损害用户利益的情况下，这一依据难以成立。

第 9 条（敏感数据）：禁止处理揭示种族、政治观点、宗教信仰、性取向等的数据，除非符合特定例外。「危险政治内容」标签可能涉及政治观点推断，「裸露」警告可能涉及暗示，两者都属于敏感数据范畴。

第 12、14 条（透明度和通知义务）：数据控制者必须主动告知数据主体其数据正在被处理。Noyb 的投诉人从未收到 Whitebridge AI 的通知，直到他们主动购买报告才发现自己的数据被处理。

第 15 条（访问权）：个人有权免费获得关于其数据处理的确认和副本。Whitebridge AI 的付费模式直接违反这一核心权利。

第 16 条（更正权）：个人有权要求更正不准确的数据。设置电子签名障碍实际上剥夺了这一权利。

这些条款的累积违反显示，Whitebridge AI 的商业模式与 GDPR 的基本精神——赋予个人对其数据的控制权——完全相悖。

Whitebridge AI 官方回应：强调合法性但疑点重重

在本文提交后，Whitebridge AI 的发言人提供了一份声明为公司做法辩护：「WhiteBridge AI 非常重视资料保护和隐私。本公司处理的所有个人资料均仅从公开来源收集，且仅用于合法且明确定义的目的。我们想明确强调，WhiteBridge AI 不会主动收集或储存任何个人资料。」

该声明强调了几个关键主张：

被动处理模式：「资料处理仅在收到客户针对特定个人的报告编写请求后进行」——这意味着公司声称不维护常设数据库，只在有付费请求时才抓取数据。

30 天删除政策：「WhiteBridge AI 严格遵守资料保留限制规定，所有已发布的报告将在 30 天后删除」——这似乎是为了符合 GDPR 的数据最小化原则。

无资料库声明：「WhiteBridge AI 没有任何资料库或档案馆会在没有合法请求的情况下储存个人信息」——试图与传统数据经纪人划清界限。

然而，这些辩护存在明显疑点：

公开来源定义模糊：公司未澄清其对「公开来源」的具体定义，以及如何确保这些来源符合 GDPR 第 9 条的「明显公开」标准。

被动模式的问题：即使是按需处理，仍需遵守通知义务（第 14 条）和访问权（第 15 条）。Noyb 的投诉人显然未收到通知，且访问权被付费墙阻挡。

30 天删除的漏洞：报告可能在 30 天内被多次下载和传播，删除原件并不能消除已造成的伤害。更重要的是，如果报告包含虚假资讯，30 天的存续期间足以造成严重名誉损害。

无资料库声明的矛盾：如果公司真的没有任何数据库，如何在收到请求后快速生成报告？这暗示公司可能预先建立了某种索引或快取机制。

公司还回应了 Noyb 的指控，认为「关于『不正当商业模式』以及涉嫌非法收集和出售数据的说法毫无根据」，并表示「愿意进行建设性对话」。然而，对于虚假 AI 生成内容和电子签名要求等具体指控，声明并未提供实质性解释。

你的数字声誉正在被 AI 改写

Whitebridge AI 案不是孤立事件，而是揭示了 AI 时代数位身份管理的系统性危机。

一年前，澳洲网路安全组织 Dodgy or Not? 的联合创始人兼首席执行长 Stacey Edmonds 在 LinkedIn 上发布了一篇帖子，表达了对 Whitebridge AI 数据收集服务的担忧。Edmonds 写道，她联系了 Whitebridge AI 和立陶宛国家资料保护监察局，表达了她的担忧。然而，她的询问似乎并未对公司的做法产生任何影响。

这种监管无力凸显了两个问题：

跨境执法困难：Whitebridge AI 注册在立陶宛，但服务全球用户。即使某国监管机构认定其违法，执法仍面临司法管辖权挑战。

监管资源不足：立陶宛国家资料保护监察局可能缺乏足够资源深入调查复杂的 AI 数据案件。GDPR 虽然赋予了强大权力，但执行能力取决于各成员国的投入。

也许 Noyb 的正式投诉会得到更多关注。作为欧洲最活跃的隐私倡导组织之一，Noyb 曾成功推动对 Facebook、Google 等科技巨头的重大处罚。如果立陶宛监管机构对 Whitebridge AI 采取行动，可能为其他欧盟国家树立先例，遏制类似的「AI 恐吓变现」商业模式。

对普通用户而言，这个案例的教训是：你的数位身份可能正在被 AI 系统以你不知情的方式分析、标记、甚至扭曲。定期搜索自己的名字、设置社交媒体隐私权限、谨慎分享个人资讯，已经不仅是隐私保护的良好实践，更是抵御 AI 驱动的数位名誉操纵的必要防线。