لماذا تقاضي الولايات الـ 27 شركة 23andMe؟

تحاول منع الشركة المفلسة من بيع بيانات العملاء الجينية، وتزعم أن 23andMe فشلت في حماية البيانات وضللت المستهلكين بشأن خطورة اختراق 2023.

كم عدد الأشخاص الذين تأثروا باختراق 2023؟

وفقًا للدعوى، كشف الاختراق معلومات صحية حساسة تخص ما يقرب من 7 ملايين شخص.

هل يمكن بيع بيانات 23andMe الجينية لمالك جديد؟

تجادل الدعوى أنه في حالة الإفلاس، يمكن نقل البيانات إلى مشترٍ غير ملتزم بشروط الموافقة الأصلية. بعض الولايات، مثل فلوريدا، تحظر مثل هذه المبيعات دون موافقة صريحة، لكن ليست كل الولايات تملك هذه الحمايات.

لماذا لا تستطيع أدوات مثل VPN الحفاظ على خصوصية البيانات الجينية؟

شبكات VPN والتشفير تحمي البيانات أثناء النقل، لكن البيانات الجينية تُجمع من عينة لعاب مادية وتُخزن على خوادم الشركة. من تلك النقطة، لا تنطبق أي أداة على مستوى الشبكة، وتعتمد الخصوصية فقط على أمان الشركة وضماناتها القانونية.

كيف ضللت 23andMe العملاء بعد الاختراق وفقًا للادعاء؟

يدّعي التحالف أن 23andMe قللت من نطاق الحادثة، مما منع العملاء من إدراك مدى خطورتها وربما منعهم من اتخاذ خطوات لحماية أنفسهم أو طلب حذف البيانات.

27 ولاية تقاضي 23andMe لمنع بيع البيانات الجينية بعد اختراق 2023

رفعت سبع وعشرون ولاية ومقاطعة كولومبيا دعوى قضائية ضد شركة 23andMe لمنع شركة اختبارات الحمض النووي المفلسة من بيع البيانات الجينية لعملائها. الدعوى المرفوعة في محكمة الإفلاس تتمحور حول اختراق عام 2023 الذي كشف معلومات صحية حساسة تخص ما يقرب من 7 ملايين شخص، وتقول إن 23andMe ضلّلت المستهلكين بشأن خطورة تلك الحادثة. على المحك بيانات جينية لما يُقدّر بنحو 15 مليون عميل لم يوافقوا قط على أن تُعرض معلوماتهم البيولوجية الأكثر خصوصية في مزاد لمن يدفع أعلى سعر.

هذه القضية ليست مجرد قصة عن إهمال الشركات. إنها تثير سؤالاً أصعب وأكثر إزعاجاً للمستهلكين المهتمين بالخصوصية: ماذا يحدث عندما لا يكون خطر الخصوصية كلمة مرور، أو عنوان IP، أو بريداً إلكترونياً، بل حمضك النووي الفعلي؟

ما الذي تزعمه الدعوى فعلياً

يتحالف المحامون العامون في جدالهم على جبهتين أساسيتين. أولاً، أن 23andMe فشلت في حماية بيانات المستخدمين بشكل كافٍ قبل اختراق 2023 وأثناءه، مما عرّض ملايين العملاء لأضرار لم يكن بوسعهم توقعها. ثانياً، أن الشركة قللت من نطاق الحادثة، مضللةً عملاء كان يمكنهم لولا ذلك اتخاذ خطوات لحماية أنفسهم أو طلب حذف بياناتهم.

والآن بعد أن تقدمت 23andMe بطلب إفلاس، يكمن القلق في أن البيانات الجينية التي جُمعت بناءً على وعود معينة يمكن أن تُنقل إلى مالك جديد يعمل وفق سياسات مختلفة تماماً. العملاء الذين وافقوا أصلاً على مشاركة حمضهم النووي لأبحاث الأنساب أو رؤى صحية قد يجدون تلك البيانات مستوعَبة من قبل طرف ثالث مجهول دون أي التزام باحترام شروط الخدمة الأصلية.

لدى عدة ولايات بالفعل قوانين تعالج هذا السيناريو تحديداً. فلوريدا، على سبيل المثال، تحظر بيع البيانات الجينية دون موافقة صريحة من العميل، مدعومة بعقوبات جنائية وغرامات. لكن ليس كل ولاية تملك مثل هذه الحمايات، وهذا هو السبب بالتحديد الذي جعل دعوى قضائية منسقة متعددة الولايات ضرورية.

لماذا لا تستطيع أدوات الخصوصية الخاصة بك حماية البيانات الجينية

هذا هو الجزء من القصة الذي تتجاهله معظم التغطيات الصحفية للخصوصية الرقمية. شبكات VPN، وتطبيقات المراسلة المشفرة، والمتصفحات الخاصة، والأدوات المشابهة فعّالة في حماية فئة واحدة من البيانات: المعلومات التي تنقلها أو تولّدها رقمياً. يمكنها حماية عنوان IP الخاص بك، وسجل تصفحك، واتصالاتك من الاعتراض.

لكنها لا تستطيع فعل أي شيء حيال البيانات التي سلّمتها طواعيةً بشكل مادي. عندما ترسل عينة لعاب إلى شركة اختبارات حمض نووي، لا تنطبق أي حماية خصوصية على مستوى الشبكة. تُجمع البيانات، وتُعالج، وتُخزن على خوادم الشركة. من تلك اللحظة فصاعداً، تعتمد خصوصيتك بالكامل على ممارسات الشركة الأمنية، والتزاماتها التعاقدية، والحمايات القانونية المتاحة في نطاق سلطتك القضائية.

هذا التمييز مهم لأنه يغيّر طبيعة الخطر. في معظم تهديدات الخصوصية الرقمية، يمتلك المستخدمون قدرة مستمرة على التأثير. يمكنك التوقف عن استخدام خدمة، أو مسح بياناتك، أو التحول إلى بديل أكثر خصوصية. أما البيانات الجينية فهي غير قابلة للتغيير. لا يمكن تغيير حمضك النووي، ولا إعادة ضبطه، ولا إبطاله. ما إن يتم اختراقه أو بيعه، يصبح الانكشاف دائماً.

ما الذي يعنيه هذا بالنسبة لك

إذا كنت أحد عملاء 23andMe، فإن الدعوى تعني أن هناك حالياً جهداً قانونياً نشطاً لمنع بيع بياناتك دون موافقتك. ومع ذلك، تستغرق الإجراءات القانونية وقتاً، والنتائج ليست مضمونة أبداً في محكمة الإفلاس، حيث تتنافس مصالح الدائنين غالباً مباشرة مع حماية المستهلك.

هناك خطوات ملموسة تستحق أن تتخذها الآن. أولاً، تحقق مما إذا كنت قد قدمت بالفعل طلب حذف بيانات إلى 23andMe. لقد وفرت الشركة هذا الخيار تاريخياً، ومع أن عملية الإفلاس تعقّد الأمور، فإن تقديم طلب حذف رسمي يخلق سجلاً موثّقاً لرغبتك. ثانياً، راجع أي اتفاقيات موافقة وقّعتها عند إنشاء حسابك، فقد تحدد هذه المستندات حقوقك أثناء النقل المؤسسي.

بعيداً عن 23andMe تحديداً، هذه القضية حافز مفيد للتفكير بشكل أوسع في الخصوصية الجينية. أي خدمة تجمع بيانات بيومترية أو بيولوجية، سواء لأغراض صحية، أو لياقة بدنية، أو أنساب، أو بحثية، تملك معلومات تقع خارج نطاق أدوات الخصوصية التقليدية. الإطار القانوني الذي يحمي تلك البيانات يختلف بشكل كبير من ولاية لأخرى، ولا يزال يحاول اللحاق بالتكنولوجيا.

للمهتمين بكيفية تطور تشريعات الخصوصية الأوسع في الولايات المتحدة، مشروع قانون لوفغرين-تيليس يقدم نافذة مفيدة على كيفية تفكير المشرّعين في حقوق البيانات الرقمية وحدود الحمايات القائمة.

الصورة الأكبر حول مخاطر وسطاء البيانات

وضع 23andMe هو أيضاً تذكير بكيفية عمل أنظمة وسطاء البيانات. حتى البيانات التي تُجمع لغرض حميد يمكن أن ينتهي بها المطاف في أيدي جهات تكون نواياها وممارساتها مجهولة بالكامل للمستهلك الأصلي. مبيعات الإفلاس هي إحدى الطرق لحدوث ذلك. وعمليات الاستحواذ المؤسسي، واتفاقيات ترخيص البيانات، والاختراقات الأمنية هي طرق أخرى.

البيانات الجينية هي من بين أكثر فئات المعلومات الشخصية حساسيةً على الإطلاق. يمكنها أن تكشف عن استعدادات للإصابة بالأمراض، وعلاقات عائلية، وإرث عرقي. في الأيدي الخطأ، يمكن أن تُستخدم من قبل شركات التأمين، أو أرباب العمل، أو سلطات إنفاذ القانون بطرق لم يتوقعها المستهلكون أو يوافقوا عليها قط.

الدعوى القضائية متعددة الولايات ضد 23andMe هي لحظة فارقة لحقوق الخصوصية الجينية في الولايات المتحدة. سواء نجحت في منع البيع أم لا، فقد أثبتت بالفعل أن المحامين العامين للولايات مستعدون للتنسيق بقوة حول قضايا بيانات المستهلك، وأن البيانات الجينية يُنظر إليها بشكل متزايد كفئة تستحق حماية قانونية مشددة.

إذا كانت لديك بيانات جينية مخزنة لدى أي شركة فحوصات، فهذا هو الوقت لمراجعة إعدادات حسابك، وفهم حقوق الحذف الخاصة بك، والتفكير ملياً قبل تقديم بيانات بيولوجية لأي خدمة في المستقبل. لا يمكن لأي VPN حماية حمضك النووي، لكن القرارات المستنيرة قبل مشاركة البيانات هي أقوى أداة خصوصية متاحة.