Калифорния съди 23andMe за пробив в генетичните данни на 7 млн. потребители

Калифорния съди 23andMe за пробив в генетичните данни на 7 млн. потребители

Главният прокурор на Калифорния заведе дело срещу компанията за ДНК тестове 23andMe, която понастоящем работи като Chrome Holding Co., заради справянето ѝ с пробив от 2023 г., който изложи генетичните и родословните данни на близо 7 милиона потребители. Искът се съсредоточава върху две основни твърдения: че 23andMe не е успяла да защити адекватно едни от най-чувствителните лични данни, които съществуват, и че е подвела клиентите си относно сериозността на изтичането. За всеки, който обмисля защита на личните данни при пробив на генетични данни, този случай е остър сигнал, че нито един инструмент за поверителност, нито навик на потребителя не би могъл да предотврати този изход.

Какво точно твърди делото на Калифорния срещу 23andMe

Жалбата на главния прокурор на Калифорния се фокусира върху предполагаемия пропуск на 23andMe да приложи адекватни мерки за сигурност на данни, които включват ДНК профили и информация за здравни предразположения. Когато пробивът беше разкрит за първи път, критиците отбелязаха, че публичните съобщения на компанията омаловажават обхвата на компрометираната информация. Делото формализира тези опасения, като твърди, че потребителите са били подведени относно сериозността на изтичането.

Това, което прави този случай юридически значим, е, че генетичните данни попадат в специална категория съгласно законодателството на Калифорния. За разлика от изтекъл имейл адрес или дори номер на кредитна карта, ДНК данните не могат да бъдат променени. Те са пряко свързани със здравни уязвимости, семейни връзки и произход, и то по постоянен начин. Щатът твърди, че 23andMe е имала както правно, така и етично задължение да третира тези данни с далеч по-голямо внимание, отколкото очевидно е сторила.

Защо генетичните и здравните данни са различна категория риск

Повечето пробиви на данни причиняват сериозни вреди, но пробивите на генетични данни носят последици, които се простират далеч отвъд отделния индивид. Вашето ДНК съдържа информация за вашите роднини, включително хора, които никога не са давали съгласие да споделят каквото и да било с трета страна. То може да разкрие предразположения към заболявания, етнически произход и биологични семейни връзки – подробности, които могат да бъдат експлоатирани от застрахователи, работодатели или злонамерени лица в продължение на години или десетилетия след пробива.

Точно това отличава генетичните данни от идентификационните данни и поведенческите профили, които повечето корпоративни пробиви разкриват. Няма опция за нулиране на парола за вашия геном. Тази реалност поставя огромна тежест на отговорност върху компаниите, които събират и съхраняват този тип информация, и точно това е аргументът, който Калифорния изтъква в съда.

Ситуацията отразява по-широки опасения за това как големите компании боравят с чувствителна потребителска информация без реална отчетност. Както става ясно от репортажа за делото на главния прокурор на Тексас срещу Netflix за тайно събиране на потребителски данни, главните прокурори в цялата страна все по-често са склонни да преследват технологични и потребителски компании, които злоупотребяват с личните данни, които събират, или не успяват да ги защитят.

Какво може и какво не може VPN след корпоративен пробив на данни

Това е случай, който заслужава честно представяне пред читателите, които държат на поверителността. VPN е ценен инструмент за криптиране на вашия интернет трафик, прикриване на вашия IP адрес от уебсайтове и рекламодатели и защита на вашата активност в обществени мрежи. Това са реални и значими ползи.

Но пробивът в 23andMe не беше случай на прихващане на данни по време на пренос. Това беше провал във вътрешните системи на компанията, засягащ данни, които потребителите бяха предоставили години по-рано. VPN, работещ на вашето устройство в момента на пробива, не би направил нищо, за да защити ДНК профилите, съхранявани в базата данни на 23andMe.

Тази разлика е от значение, защото потребителите понякога биват убеждавани, че инструменти за поверителност като VPN създават всеобхватен щит около техния цифров живот. Това не е така. След като предадете данни на трета страна, вашата защита зависи изцяло от практиките за сигурност на тази компания, правните ѝ задължения и готовността ѝ да бъде прозрачна, когато нещо се обърка. Делото срещу 23andMe подсказва, че поне една от тези предпазни мерки се е провалила по множество начини.

Практически стъпки за ограничаване на излагането ви извън VPN

Разбирането на ограниченията на всеки отделен инструмент за поверителност е първата и най-важна стъпка. Оттам нататък няколко конкретни навика могат значително да намалят риска ви при компании, които съхраняват чувствителни данни.

Бъдете избирателни какво споделяте. Услугите за генетично тестване са потребителски продукти с реални компромиси по отношение на поверителността. Преди да предоставите ДНК проба, прегледайте политиката на компанията за съхранение на данни, историята ѝ на отговор на искания за данни от правоприлагащите органи и какво се случва с вашите данни, ако компанията бъде придобита или фалира. Процедурата по несъстоятелност на 23andMe вече породи отделни опасения относно съдбата на нейната база данни.

Прегледайте и използвайте опциите за изтриване. Много компании за генетично тестване предлагат възможност за изтриване на съхранените ви ДНК данни и информация за акаунта. Ако сте използвали услуга и вече не желаете данните ви да бъдат запазени, упражнете това право. Не всички компании улесняват процеса, но той често е наличен.

Четете внимателно известията за пробиви. Компаниите са задължени по закон да ви уведомяват за отговарящи на условията пробиви, но както показва делото на Калифорния, формулирането на тези известия може да омаловажи действителния мащаб на вредата. Ако получите известие за пробив, приемете го сериозно, независимо от начина, по който е формулирано, и потърсете независима информация за по-пълна картина.

Разберете какво всъщност обхваща съгласието. Регистрирането за услуга означава да се съгласите с политиката за поверителност на тази компания, но тези политики често съдържат широка формулировка за споделяне на данни с трети страни. Генетичните данни, здравните досиета и биометричната информация заслужават допълнително внимание, преди да кликнете върху „приемам“.

Какво означава това за вас

Делото на главния прокурор на Калифорния срещу 23andMe не е просто регулаторно действие срещу една компания. То е сигнал, че прилагането на защитата на личните данни при пробив на генетични данни на щатско ниво става по-агресивно и че излагането на ДНК и здравни досиета все повече ще привлича правни последици, които една компания не може просто да поеме като разход за правене на бизнес.

За потребителите изводът е едновременно овластяващ и отрезвяващ. Можете да вземате по-добри решения за това на кои компании да се доверите с най-чувствителните си данни. Можете да поискате изтриване, да четете дребния шрифт и да бъдете информирани, когато компании, на които сте се доверили, са подложени на проверка. Това, което не можете, е да разчитате на който и да е отделен инструмент, включително VPN, за да защитите данни, които вече се намират в системите на трета страна.

За да разберете как този модел се проявява в други индустрии, отразяването на делото на главния прокурор на Тексас срещу Netflix за потребителски данни предлага полезна аналогия: корпоративната злоупотреба с данни действа на ниво, което е изцяло извън обсега на личните инструменти за поверителност. Да бъдете информирани за тези случаи е едно от най-практичните неща, които можете да направите.