Gugatan: Lendistry, Plaid dan Qualified melanggar hak data konsumen

Sebuah firma akuntansi di Los Angeles telah menggugat pemberi pinjaman online Lendistry, dengan mengatakan bahwa perusahaan tersebut melanggar beberapa undang-undang California, termasuk undang-undang privasi data, dalam administrasi program hibah yang didanai negara untuk bisnis California. Gugatan tersebut menuduh Lendistry mengumpulkan dan membagikan informasi pribadi dan keuangan sensitif pemohon hibah tanpa sepengetahuan atau persetujuan mereka. Banyak pelanggaran privasi data yang melibatkan mitra teknologi Lendistry, Plaid dan Qualified, meskipun mereka tidak disebutkan sebagai terdakwa.

Keluhan tersebut meluas dan menuduh Lendistry gagal melindungi data pelanggan dalam beberapa praktik yang umum dilakukan pemberi pinjaman, termasuk penggunaan agregator data untuk mengumpulkan data rekening bank; penggunaan AI untuk menganalisis percakapan chatbot, percakapan call center, dan data rekening bank; dan penggunaan cookie pelacakan. Gugatan ini muncul tak lama setelah Biro Perlindungan Keuangan Konsumen menyelesaikan aturan Hak Data Keuangan Pribadi, yang terkadang disebut aturan perbankan terbuka, yang membatasi pembagian data tersebut.

Gugatan tersebut adalah tentang “Lendistry berbagi dan menggunakan data bisnis rahasia kepada pihak ketiga yang dirahasiakan melalui kecerdasan buatan dan teknologi pembelajaran mesin canggih,” kata JR Howell, pengacara yang mengajukan klaim, dalam sebuah wawancara email. “Pemberi pinjaman perlu menyadari bahwa ketika mereka membawa teknologi ini ke dalam hubungan klien mereka, mereka mungkin menyediakan pintu belakang (backdoor) yang memungkinkan pihak lain mengambil data klien mereka, sehingga melanggar undang-undang privasi yang telah berlaku selama beberapa dekade.”

Lendistry mengatakan akan melawan gugatan ini. “Lendistry mengambil langkah yang tepat untuk melindungi privasi informasi pelanggan kami,” kata seorang juru bicara. “Kami menyangkal tuduhan dalam pengaduan tersebut dan berniat untuk membela diri terhadap klaim tidak berdasar ini.”

Penting bagi pelanggan untuk mendapat informasi tentang bagaimana data mereka akan digunakan, kata Aaron McPherson, prinsipal di AFM Consulting Partners.

“Peraturan perbankan terbuka baru dari CFPB secara khusus melarang apa yang disebutnya ‘penggunaan sekunder’ untuk mencegah terjadinya penggunaan yang tidak diinginkan seperti ini,” kata McPherson. Setelah peraturan CFPB berlaku, “dengan asumsi peraturan tersebut tidak dibatalkan oleh pengadilan, saya pikir kita akan melihat lebih banyak tuntutan hukum seperti ini terjadi.”

Onisko & Scholz, firma akuntansi yang mengajukan gugatan, mengajukan permohonan hibah bantuan COVID-19 negara bagian melalui Lendistry pada Juni 2023. Lendistry adalah pemberi pinjaman usaha kecil yang dipimpin minoritas di Los Angeles yang tahun lalu adalah pemberi pinjaman No. 1 yang dipimpin oleh orang Afrika-Amerika dalam program Administrasi Bisnis Kecil 7 (a). Nama resmi Lendistry adalah BSD Capital.

Beberapa tuduhan melibatkan hibah itu sendiri. Misalnya, perusahaan tersebut mengatakan bahwa mereka berhak menerima hibah lebih dari $30.000, namun hanya menerima $5.000 dari Lendistry. (Onisko & Scholz tidak menanggapi permintaan komentar.)

Namun sebagian besar keluhannya adalah tentang dugaan kelakuan buruk mitra teknologi Lendistry, terutama Plaid, penyedia verifikasi pihak ketiga, dan Qualified, penyedia chatbot yang berhubungan dengan pelanggan. Berdasarkan pengaduan tersebut, kedua perusahaan mengambil data pelanggan dan menggunakannya untuk tujuan mereka yang tidak sah.

Misalnya, menurut pengaduan, Onisko & Scholz memberikan kredensial perbankan online kepada Plaid untuk memverifikasi informasi rekening banknya, yang menurut firma akuntansi akan menjadi panggilan data satu kali saja. Sebaliknya, menurut pengaduan tersebut, Plaid login “beberapa kali sehari setiap hari setelahnya untuk tujuan mengumpulkan data.” Plaid menolak permintaan komentar.

Plaid “telah mengakui frekuensi kegiatan pengambilan datanya,” kata Howell, pengacara yang mengajukan pengaduan. “Apa yang tidak diungkapkan kepada perusahaan yang menggunakan layanan Lendistry untuk mengakses pendanaan adalah sifat dan luasnya akses tersebut atau bagaimana membatasi akses tersebut.”

Pengungkapan dan persetujuan atas kegiatan-kegiatan ini bersama dengan struktur untuk mengelola izin dapat membantu pemberi pinjaman dan klien bisnis melindungi informasi rahasia bisnis, katanya.

“Masalahnya di sini adalah antarmuka pengguna Lendistry menyiratkan bahwa struktur izin seperti itu ada dan juga menunjukkan bahwa data pengguna bisnis aman, terjamin, dan dilindungi dengan enkripsi,” kata Howell.

Keluhan tersebut juga menyatakan bahwa Plaid “mengeksploitasi informasi yang diperoleh dengan cara ini dalam berbagai cara, termasuk memasarkan data kepada pelanggannya sendiri, menganalisis data untuk mendapatkan wawasan tentang perilaku pengguna, dan, yang terbaru, menjual kumpulan datanya ke Visa sebagai bagian dari akuisisi bernilai miliaran dolar.”

Visa dan Plaid mengumumkan rencana merger pada tahun 2020. Kedua perusahaan tersebut membatalkan rencana tersebut setahun kemudian, setelah mendapat tantangan dari Departemen Kehakiman.

Dalam pandangan Howell, ketertarikan Visa terhadap data pelanggan Plaid menunjukkan betapa berharganya data tersebut.

“Meskipun merger dibatalkan setelah penyelidikan Divisi Antitrust DOJ, akuisisi saham Visa melalui pendanaan Seri C Plaid didasarkan pada penilaian bernilai miliaran dolar,” katanya. “Intinya di sini adalah untuk menginformasikan kepada pengadilan dan masyarakat bahwa terdapat pasar yang besar untuk jenis data yang dipermasalahkan dan terdapat banyak pemain yang bersaing untuk mendapatkan akses data. Seiring dengan semakin banyaknya perusahaan yang menyadari bahwa data rahasia mereka sangat berharga bagi para partisipan data. pasar, mereka perlu mempertimbangkan perlindungan yang tepat untuk memastikan privasi mereka terlindungi dalam hubungan bisnis mereka, seperti hubungan dengan pemberi pinjaman mereka.”

Tuntutan hukum di masa lalu menuduh Plaid melihat data pelanggan yang dikumpulkannya atas nama kliennya, dan perusahaan secara konsisten membantahnya.

“Plaid tidak menjual dan tidak pernah menjual informasi atau data pribadi konsumen,” kata juru bicara perusahaan menanggapi setelan tahun 2020 dibawa oleh pelanggan Venmo James Cottle dan Frederick Schoeneman. “Data konsumen diperoleh dan digunakan dengan persetujuan konsumen. Plaid sangat yakin bahwa konsumen harus memiliki akses dan kontrol berbasis izin terhadap data keuangan mereka, dan mewujudkan prinsip-prinsip ini dalam praktiknya.”

Keluhan tersebut juga menyebutkan penggunaan chatbot AI oleh Lendistry yang disediakan oleh Qualified untuk menjawab pertanyaan pelanggan. Qualified menggunakan perangkat lunak pembelajaran mesin untuk menganalisis komunikasi untuk informasi perilaku dan biometrik, kata pengaduan tersebut.

“Qualified membuat transkrip percakapan untuk dikumpulkan dengan data perilaku dan informasi pengidentifikasi lainnya, dan selanjutnya dimonetisasi dan digunakan dalam kapasitas lain untuk kepentingan Qualified dan pihak ketiga lainnya yang berbisnis dengan Qualified tanpa pengungkapan atau persetujuan kepada pengguna, ” kata pengaduan itu.

Pengguna Lendistry tidak diberitahu bahwa Qualified menyadap komunikasi, atau bagaimana Qualified menggunakan informasi mereka, menurut pengaduan tersebut. Memenuhi syarat tidak menanggapi permintaan komentar.

Sistem AI Qualified “melatih dirinya dalam komunikasi, yang menjadi bagian dari produk/layanan itu sendiri, dan yang meningkatkan nilai AI dan perusahaan yang memilikinya — menjadikannya produk yang semakin bernilai,” kata pengaduan tersebut. .

Keluhan tersebut lebih lanjut mengatakan bahwa Lendistry mengizinkan pihak ketiga menangkap panggilan masuk dan keluar di pusat panggilannya – sesuatu yang dilakukan oleh banyak perusahaan di berbagai industri.

Percakapan ini dapat melibatkan informasi sensitif dan pribadi, termasuk kata sandi, data penggajian bisnis, serta informasi upah dan gaji.

“Semua informasi ini disadap oleh pihak ketiga dan digunakan untuk dimasukkan ke dalam model AI untuk penggunaan independen pihak ketiga,” kata pengaduan tersebut, tanpa persetujuan.