Why are the 27 states suing 23andMe?

They are trying to block the bankrupt company from selling customer genetic data, and they allege 23andMe failed to protect data and misled consumers about the severity of the 2023 breach.

How many people were affected by the 2023 breach?

According to the lawsuit, the breach exposed sensitive health information belonging to nearly 7 million people.

Can 23andMe’s genetic data be sold to a new owner?

The lawsuit argues that in bankruptcy, the data could be transferred to a buyer who isn't bound by original consent terms. Some states, like Florida, prohibit such sales without explicit consent, but not all states have those protections.

Why can’t tools like VPNs keep genetic data private?

VPNs and encryption protect data in transit, but genetic data is collected from a physical saliva sample and stored on company servers. From that point, no network-level tool applies, and privacy depends solely on the company’s security and legal safeguards.

How did 23andMe allegedly mislead customers after the breach?

The coalition claims 23andMe downplayed the incident’s scope, keeping customers from realizing how serious it was and possibly preventing them from taking steps to protect themselves or requesting data deletion.

27 щата съдят 23andMe, за да блокират продажбата на генетични данни след пробива от 2023 г.

Двадесет и седем щата и окръг Колумбия заведоха дело срещу 23andMe, за да попречат на фалиралата компания за ДНК тестове да продаде генетичните данни на своите клиенти. Делото, заведено в съда по несъстоятелност, се съсредоточава върху пробив от 2023 г., който изложи чувствителна здравна информация, принадлежаща на близо 7 милиона души, и твърди, че 23andMe е подвела потребителите относно сериозността на този инцидент. На карта са генетичните данни на приблизително 15 милиона клиенти, които никога не са давали съгласие тяхната най-интимна биологична информация да бъде продадена на най-високата цена.

Този случай не е просто история за корпоративна небрежност. Той повдига по-труден и по-неудобен въпрос за потребителите, които държат на поверителността: какво се случва, когато рискът за личните данни не е парола, IP адрес или имейл, а вашата собствена ДНК?

Какво точно твърди делото

Коалицията от главни прокурори аргументира по две основни линии. Първо, че 23andMe не е успяла да защити адекватно потребителските данни преди и по време на пробива от 2023 г., оставяйки милиони клиенти изложени на вреди, които не са имали начин да предвидят. Второ, че компанията е омаловажила мащаба на инцидента, подвеждайки клиенти, които иначе биха могли да предприемат стъпки да се защитят или да поискат изтриване на данните си.

Сега, когато 23andMe е подала молба за фалит, притеснението е, че генетичните данни, събрани при един набор от обещания, биха могли да бъдат прехвърлени на нов собственик, работещ при напълно различни политики. Клиенти, които първоначално са дали съгласие да споделят своята ДНК за изследване на произход или здравни прозрения, може да открият, че тези данни са погълнати от неизвестна трета страна, която няма задължение да спазва оригиналните условия на услугата.

Няколко щата вече имат закони, които конкретно адресират този сценарий. Флорида, например, забранява продажбата на генетични данни без изрично съгласие на клиента, подкрепена от наказателни санкции и глоби. Но не всеки щат разполага с такава защита, което е точно причината координирано дело от множество щатове да стане необходимо.

Защо вашите инструменти за поверителност не могат да защитят генетичните данни

Това е частта от историята, която повечето отразявания на дигиталната поверителност пропускат. VPN-ите, криптираните приложения за съобщения, частните браузъри и подобни инструменти са ефективни в защитата на една категория данни: информация, която предавате или генерирате дигитално. Те могат да защитят вашия IP адрес, историята на сърфиране и комуникациите ви от прихващане.

Но те не могат да направят нищо за данни, които вече сте предали доброволно във физическа форма. Когато изпратите проба от слюнка на компания за ДНК тестове, никакво количество защита на поверителността на мрежово ниво не се прилага. Данните се събират, обработват и съхраняват на сървърите на компанията. От този момент нататък вашата поверителност зависи изцяло от практиките за сигурност на компанията, нейните договорни задължения и правните защити, налични във вашата юрисдикция.

Това разграничение има значение, защото променя естеството на риска. При повечето дигитални заплахи за поверителността потребителите имат постоянна възможност за действие. Можете да спрете да използвате дадена услуга, да изчистите данните си или да преминете към по-поверителна алтернатива. С генетичните данни информацията е неизменна. Вашата ДНК не може да бъде променена, нулирана или отменена. Веднъж пробита или продадена, излагането е постоянно.

Какво означава това за вас

Ако сте клиент на 23andMe, делото означава, че в момента има активни правни усилия да се предотврати продажбата на вашите данни без вашето съгласие. Въпреки това, правните процедури отнемат време и резултатите никога не са гарантирани в съда по несъстоятелност, където интересите на кредиторите често се конкурират пряко със защитата на потребителите.

Има конкретни стъпки, които си струва да предприемете сега. Първо, проверете дали вече сте подали искане за изтриване на данни до 23andMe. Компанията исторически е предлагала тази опция и макар процесът на фалит да усложнява нещата, подаването на официално искане за изтриване създава документиран запис на вашето намерение. Второ, прегледайте всички споразумения за съгласие, които сте подписали при създаването на акаунта си, тъй като тези документи могат да очертаят правата ви по време на корпоративно прехвърляне.

Отвъд конкретно случая с 23andMe, този казус е полезен стимул да помислим по-широко за генетичната поверителност. Всяка услуга, която събира биометрични или биологични данни, независимо дали за здравни, фитнес, генеалогични или изследователски цели, притежава информация, която стои извън обхвата на конвенционалните инструменти за поверителност. Правната рамка, защитаваща тези данни, варира значително според щата и все още наваксва спрямо технологията.

За тези, които се интересуват как по-широкото законодателство за поверителност се развива в Съединените щати, законопроектът Lofgren-Tillis предлага полезен прозорец към това как законодателите мислят за правата върху дигиталните данни и ограниченията на съществуващите защити.

По-голямата картина на риска от брокери на данни

Ситуацията с 23andMe също е напомняне за това как работят екосистемите на брокерите на данни. Дори данни, събрани за безобидна цел, могат да се окажат в ръцете на страни, чиито намерения и практики са напълно неизвестни за първоначалния потребител. Продажбите при фалит са един път това да се случи. Корпоративните придобивания, споразуменията за лицензиране на данни и пробивите в сигурността са други.

Генетичните данни са сред най-чувствителните категории лична информация, която съществува. Те могат да разкрият предразположения към заболявания, семейни връзки и етническо наследство. В грешни ръце те биха могли да бъдат използвани от застрахователи, работодатели или правоприлагащи органи по начини, които потребителите никога не са предвиждали или на които не са се съгласявали.

Многощатското дело срещу 23andMe е значим момент за правата върху генетичната поверителност в Съединените щати. Независимо дали ще успее да блокира продажбата, то вече демонстрира, че главните прокурори на щатите са готови да се координират агресивно по въпросите на потребителските данни и че генетичните данни все повече се третират като категория, която заслужава засилена правна защита.

Ако имате генетични данни, съхранявани в която и да е компания за тестове, сега е моментът да прегледате настройките на акаунта си, да разберете правата си за изтриване и да помислите внимателно, преди да предоставите биологични данни на която и да е услуга в бъдеще. Никой VPN не може да защити вашата ДНК, но информираните решения, преди да споделите данни, са най-мощният инструмент за поверителност, с който разполагате.