Proč 27 států žaluje 23andMe?

Snaží se zabránit zkrachovalé společnosti prodat genetická data zákazníků a tvrdí, že 23andMe selhala v ochraně dat a uvedla spotřebitele v omyl ohledně závažnosti úniku v roce 2023.

Kolika lidí se únik z roku 2023 dotkl?

Podle žaloby únik odhalil citlivé zdravotní informace téměř 7 milionů lidí.

Mohou být genetická data 23andMe prodána novému vlastníkovi?

Žaloba tvrdí, že v konkurzu by data mohla být převedena na kupce, který není vázán původními podmínkami souhlasu. Některé státy, jako Florida, takový prodej bez výslovného souhlasu zakazují, ale ne všechny státy tuto ochranu poskytují.

Proč nástroje jako VPN nemohou udržet genetická data v soukromí?

VPN a šifrování chrání data během přenosu, ale genetická data se získávají z fyzického vzorku slin a ukládají se na serverech společnosti. Od tohoto okamžiku se žádný nástroj na síťové úrovni neuplatní a soukromí závisí výhradně na bezpečnosti společnosti a právních zárukách.

Jak 23andMe údajně uvedla zákazníky v omyl po úniku dat?

Koalice tvrdí, že 23andMe bagatelizovala rozsah incidentu, takže zákazníci nepochopili, jak vážný byl, a možná jim zabránila podniknout kroky k vlastní ochraně nebo požádat o smazání dat.

27 států žaluje 23andMe, aby zablokovaly prodej genetických dat po úniku v roce 2023

Dvacet sedm států a District of Columbia podaly žalobu na 23andMe, aby zabránily zkrachovalé společnosti testující DNA prodat genetická data svých zákazníků. Žaloba, podaná u konkurzního soudu, se týká úniku dat z roku 2023, který odhalil citlivé zdravotní informace téměř 7 milionů lidí, a tvrdí, že 23andMe uvedla spotřebitele v omyl ohledně závažnosti tohoto incidentu. V sázce jsou genetická data odhadem 15 milionů zákazníků, kteří nikdy nedali souhlas k tomu, aby jejich nejintimnější biologické informace byly prodány nejvyšší nabídce.

Tento případ není jen příběhem o firemní nedbalosti. Klade těžší a nepříjemnější otázku pro spotřebitele dbající na soukromí: co se stane, když riziko pro soukromí nepředstavuje heslo, IP adresa nebo e-mail, ale vaše skutečná DNA?

Co žaloba ve skutečnosti tvrdí

Koalice státních zástupců argumentuje ve dvou hlavních rovinách. Zaprvé, že 23andMe nedokázala adekvátně chránit uživatelská data před únikem v roce 2023 a během něj, čímž miliony zákazníků vystavila škodám, které nemohli předvídat. Zadruhé, že společnost bagatelizovala rozsah incidentu a uvedla zákazníky v omyl, kteří by jinak mohli podniknout kroky k vlastní ochraně nebo požádat o smazání svých dat.

Nyní, když 23andMe vyhlásila bankrot, panuje obava, že genetická data shromážděná za určitých slibů by mohla být převedena na nového vlastníka, který bude fungovat podle zcela odlišných zásad. Zákazníci, kteří původně souhlasili se sdílením své DNA pro výzkum původu nebo zdravotní poznatky, mohou zjistit, že jejich data převezme neznámá třetí strana bez povinnosti dodržovat původní podmínky poskytování služby.

Několik států již má zákony, které výslovně řeší tento scénář. Florida například zakazuje prodej genetických dat bez výslovného souhlasu zákazníka, podpořený trestními sankcemi a pokutami. Ale ne každý stát má takovou ochranu, což je právě důvod, proč se stala nezbytnou koordinovaná žaloba více států.

Proč vaše nástroje na ochranu soukromí nemohou ochránit genetická data

To je ta část příběhu, kterou většina zpravodajství o digitálním soukromí přeskakuje. VPN, šifrované chatovací aplikace, soukromé prohlížeče a podobné nástroje jsou účinné při ochraně jedné kategorie dat: informací, které přenášíte nebo vytváříte digitálně. Mohou ochránit vaši IP adresu, historii prohlížení a komunikaci před odposlechem.

Nemohou však nic dělat s daty, která jste již dobrovolně předali ve fyzické podobě. Když pošlete vzorek slin společnosti testující DNA, žádná ochrana na síťové úrovni se neuplatní. Data jsou shromážděna, zpracována a uložena na serverech společnosti. Od tohoto okamžiku závisí vaše soukromí výhradně na bezpečnostních praktikách společnosti, jejích smluvních závazcích a právní ochraně dostupné ve vaší jurisdikci.

Tento rozdíl je důležitý, protože mění povahu rizika. U většiny hrozeb pro digitální soukromí mají uživatelé trvalou kontrolu. Můžete přestat službu používat, vymazat svá data nebo přejít k soukromější alternativě. U genetických dat jsou informace neměnné. Vaše DNA nemůže být změněna, resetována ani odvolána. Jakmile dojde k úniku nebo prodeji, je toto vystavení trvalé.

Co to znamená pro vás

Pokud jste zákazníkem 23andMe, žaloba znamená, že v současnosti existuje aktivní právní snaha zabránit prodeji vašich dat bez vašeho souhlasu. Právní řízení však trvají a výsledky nejsou u konkurzního soudu nikdy zaručeny, kde zájmy věřitelů často přímo konkurují ochraně spotřebitele.

Existují konkrétní kroky, které stojí za to podniknout hned teď. Za prvé, ověřte si, zda jste již společnosti 23andMe podali žádost o smazání dat. Společnost tuto možnost historicky nabízela, a přestože konkurzní proces věci komplikuje, podání formální žádosti o smazání vytváří zdokumentovaný záznam vašeho záměru. Za druhé, projděte si všechny dohody o souhlasu, které jste podepsali při vytváření účtu, protože tyto dokumenty mohou uvádět vaše práva během firemního převodu.

Kromě konkrétního případu 23andMe je tento případ užitečným podnětem k širšímu zamyšlení nad genetickým soukromím. Jakákoli služba, která shromažďuje biometrická nebo biologická data, ať už pro zdravotní, fitness, genealogické nebo výzkumné účely, uchovává informace, které stojí mimo dosah běžných nástrojů na ochranu soukromí. Právní rámec chránící tato data se významně liší stát od státu a stále ještě technologii dohání.

Pro ty, kdo se zajímají o to, jak se v USA vyvíjí širší legislativa na ochranu soukromí, nabízí Lofgren-Tillisův návrh zákona užitečný pohled na to, jak zákonodárci uvažují o právech na digitální data a limitech stávající ochrany.

Širší obrázek o riziku datových brokerů

Situace 23andMe také připomíná, jak fungují ekosystémy datových brokerů. I data shromážděná za neškodným účelem mohou skončit v rukou subjektů, jejichž úmysly a praktiky jsou původnímu spotřebiteli zcela neznámé. Jednou z cest, jak k tomu může dojít, jsou prodeje v konkurzu. Dalšími jsou firemní akvizice, licenční smlouvy na data a bezpečnostní úniky.

Genetická data patří mezi nejcitlivější kategorie existujících osobních informací. Mohou odhalit náchylnost k nemocem, rodinné vztahy a etnický původ. V nesprávných rukou by mohla být využita pojišťovnami, zaměstnavateli nebo orgány činnými v trestním řízení způsoby, které spotřebitelé nikdy nepředpokládali a s nimiž nesouhlasili.

Mnohostátní žaloba proti 23andMe je významným okamžikem pro práva na genetické soukromí ve Spojených státech. Bez ohledu na to, zda uspěje v zablokování prodeje, již ukázala, že státní zástupci jsou ochotni agresivně koordinovat postup v otázkách spotřebitelských dat a že genetická data jsou stále častěji vnímána jako kategorie, která si zaslouží zvýšenou právní ochranu.

Pokud máte genetická data uložena u jakékoli testovací společnosti, je nyní čas zkontrolovat nastavení svého účtu, porozumět svým právům na smazání a v budoucnu si dobře rozmyslet, než jakékoli službě poskytnete své biologické údaje. Žádná VPN vaši DNA neochrání, ale informovaná rozhodnutí před sdílením dat jsou tím nejúčinnějším dostupným nástrojem na ochranu soukromí.