Miksi 27 osavaltiota haastaa 23andMen oikeuteen?

Ne pyrkivät estämään konkurssiin mennyttä yritystä myymästä asiakkaiden geneettisiä tietoja, ja ne väittävät, ettei 23andMe suojannut tietoja riittävästi ja johti kuluttajia harhaan vuoden 2023 tietomurron vakavuudesta.

Kuinka moniin ihmisiin vuoden 2023 tietomurto vaikutti?

Kanteen mukaan tietomurto paljasti lähes 7 miljoonan ihmisen arkaluontoiset terveystiedot.

Voidaanko 23andMen geneettiset tiedot myydä uudelle omistajalle?

Kanteessa väitetään, että konkurssissa tiedot voitaisiin siirtää ostajalle, jota alkuperäiset suostumusehdot eivät sido. Jotkin osavaltiot, kuten Florida, kieltävät tällaisen myynnin ilman nimenomaista suostumusta, mutta kaikissa osavaltioissa ei ole tällaisia suojia.

Miksi työkalut, kuten VPN:t, eivät voi pitää geneettisiä tietoja yksityisinä?

VPN:t ja salaus suojaavat siirrettävää dataa, mutta geneettinen tieto kerätään fyysisestä sylkinäytteestä ja tallennetaan yrityksen palvelimille. Siitä eteenpäin mikään verkkotason työkalu ei päde, ja yksityisyys riippuu vain yrityksen tietoturvasta ja oikeudellisista suojista.

Miten 23andMe väitetysti johti asiakkaita harhaan tietomurron jälkeen?

Liittouma väittää, että 23andMe vähätteli tapauksen laajuutta, jolloin asiakkaat eivät ymmärtäneet sen vakavuutta, mikä saattoi estää heitä suojaamasta itseään tai pyytämästä tietojensa poistamista.

27 osavaltiota haastaa 23andMen oikeuteen estääkseen geneettisten tietojen myynnin vuoden 2023 tietomurron jälkeen

27 osavaltiota ja District of Columbia ovat nostaneet kanteen 23andMe:tä vastaan estääkseen konkurssiin mennyttä DNA-testausta harjoittavaa yritystä myymästä asiakkaidensa geneettisiä tietoja. Konkurssioikeudessa jätetty kanne liittyy vuoden 2023 tietomurtoon, jossa paljastui lähes 7 miljoonan ihmisen arkaluontoisia terveystietoja, ja siinä väitetään, että 23andMe johti kuluttajia harhaan tapauksen vakavuudesta. Pelissä on arviolta 15 miljoonan asiakkaan geneettiset tiedot – asiakkaiden, jotka eivät koskaan antaneet suostumustaan siihen, että heidän kaikkein yksityisimmät biologiset tietonsa huutokaupattaisiin korkeimman tarjouksen tekijälle.

Tämä tapaus ei ole pelkkä kertomus yrityksen huolimattomuudesta. Se herättää yksityisyydestään huolestuneille kuluttajille vaikeamman ja epämiellyttävämmän kysymyksen: mitä tapahtuu, kun yksityisyysriski ei ole salasana, IP-osoite tai sähköposti, vaan oma DNA?

Mitä oikeuskanne tarkalleen ottaen väittää

Osavaltioiden oikeuskanslerien liittouma argumentoi kahdella päälinjalla. Ensinnäkin, että 23andMe ei onnistunut suojaamaan käyttäjätietoja riittävästi ennen vuoden 2023 tietomurtoa ja sen aikana, jättäen miljoonat asiakkaat alttiiksi vahingoille, joita he eivät voineet mitenkään ennakoida. Toiseksi, että yritys vähätteli tapauksen laajuutta, johtaen harhaan asiakkaita, jotka olisivat muutoin saattaneet ryhtyä toimiin suojellakseen itseään tai pyytääkseen tietojensa poistamista.

Nyt kun 23andMe on hakeutunut konkurssiin, huolena on, että tietyin lupauksin kerätty geneettinen data voitaisiin siirtää uudelle omistajalle, joka toimii täysin erilaisten käytäntöjen mukaan. Asiakkaat, jotka alun perin antoivat suostumuksensa DNA:nsa jakamiseen sukututkimusta tai terveystietoja varten, saattavat huomata, että tiedot päätyvät tuntemattomalle kolmannelle osapuolelle, jolla ei ole velvollisuutta kunnioittaa alkuperäisiä käyttöehtoja.

Useissa osavaltioissa on jo lakeja, jotka käsittelevät juuri tätä skenaariota. Esimerkiksi Florida kieltää geneettisten tietojen myynnin ilman asiakkaan nimenomaista suostumusta, ja rikkomuksista voi seurata rikosoikeudellisia seuraamuksia ja sakkoja. Mutta kaikissa osavaltioissa ei ole tällaisia suojakeinoja, minkä vuoksi koordinoitu moniosavaltiollinen kanne tuli välttämättömäksi.

Miksi yksityisyystyökalusi eivät voi suojata geneettistä dataa

Tämä on se osa tarinaa, jonka useimmat digitaalisen yksityisyyden käsittelyt sivuuttavat. VPN:t, salatut viestisovellukset, yksityiset selaimet ja vastaavat työkalut suojaavat tehokkaasti yhden tietoluokan: digitaalisesti siirtämäsi tai tuottamasi tiedon. Ne voivat suojata IP-osoitteesi, selaushistoriasi ja viestiliikenteesi kaappaamiselta.

Mutta ne eivät voi tehdä mitään tiedolle, jonka olet jo luovuttanut vapaaehtoisesti fyysisessä muodossa. Kun lähetät sylkinäytteen DNA-testausta tekevälle yritykselle, minkäänlaista verkkotason yksityisyydensuojaa ei sovelleta. Tieto kerätään, käsitellään ja tallennetaan yrityksen palvelimille. Siitä hetkestä lähtien yksityisyytesi riippuu täysin yrityksen tietoturvakäytännöistä, sen sopimusvelvoitteista ja oikeusalueellasi saatavilla olevista oikeudellisista suojista.

Tällä erottelulla on merkitystä, koska se muuttaa riskin luonnetta. Useimmissa digitaalisen yksityisyyden uhkissa käyttäjällä on jatkuva toimijuus. Voit lopettaa palvelun käytön, tyhjentää tietosi tai vaihtaa yksityisempään vaihtoehtoon. Geneettisen datan kohdalla tieto on muuttumatonta. DNA:ta ei voi muuttaa, nollata tai peruuttaa. Kun se on kerran vuotanut tai myyty, altistus on pysyvää.

Mitä tämä tarkoittaa sinulle

Jos olet 23andMen asiakas, kanne tarkoittaa, että parhaillaan on vireillä aktiivinen oikeudellinen toimenpide, jolla pyritään estämään tietojesi myynti ilman suostumustasi. Oikeuskäsittelyt vievät kuitenkin aikaa, eivätkä tulokset ole koskaan taattuja konkurssioikeudessa, jossa velkojien edut ovat usein suoraan ristiriidassa kuluttajansuojan kanssa.

On konkreettisia toimia, jotka kannattaa tehdä nyt. Ensinnäkin, tarkista, oletko jo lähettänyt 23andMelle pyynnön tietojesi poistamiseksi. Yritys on aiemmin tarjonnut tätä mahdollisuutta, ja vaikka konkurssiprosessi mutkistaakin asiaa, virallisen poistopyynnön jättäminen luo dokumentoidun todisteen aikomuksestasi. Toiseksi, käy läpi mahdolliset suostumussopimukset, jotka allekirjoitit luodessasi tiliäsi, sillä näissä asiakirjoissa saatetaan kuvata oikeutesi yrityksen omistajanvaihdoksen yhteydessä.

Pelkästään 23andMen lisäksi tämä tapaus on hyödyllinen herättäjä ajattelemaan geneettistä yksityisyyttä laajemmin. Mikä tahansa palvelu, joka kerää biometrisiä tai biologisia tietoja – olipa kyse terveydestä, kunnosta, sukututkimuksesta tai tutkimuksesta – hallussaan tietoja, jotka jäävät perinteisten yksityisyystyökalujen ulottumattomiin. Näitä tietoja suojaava oikeudellinen kehys vaihtelee huomattavasti osavaltioittain ja on edelleen teknologian perässä.

Niille, jotka ovat kiinnostuneita siitä, miten laajempi yksityisyyslainsäädäntö kehittyy Yhdysvalloissa, Lofgren-Tillis-lakiehdotus tarjoaa hyödyllisen ikkunan siihen, miten lainsäätäjät ajattelevat digitaalisten tietojen oikeuksia ja nykyisten suojausten rajoja.

Laajempi kuva datavälittäjien riskeistä

23andMen tilanne on myös muistutus siitä, miten datavälittäjien ekosysteemit toimivat. Jopa hyvää tarkoitusta varten kerätty tieto voi päätyä tahoille, joiden aikeet ja käytännöt ovat täysin tuntemattomia alkuperäiselle kuluttajalle. Konkurssimyynnit ovat yksi väylä tälle. Yritysostot, datanlisensointisopimukset ja tietoturvaloukkaukset ovat toisia.

Geneettinen data on yksi kaikkein arkaluontoisimmista olemassa olevista henkilötietokategorioista. Se voi paljastaa alttiutta sairauksille, perhesuhteita ja etnistä perimää. Vääriin käsiin joutuessaan vakuutusyhtiöt, työnantajat tai lainvalvontaviranomaiset voivat käyttää sitä tavoilla, joita kuluttajat eivät koskaan ennakoineet tai joihin he eivät suostuneet.

Moniosavaltiollinen kanne 23andMe:tä vastaan on merkittävä hetki geneettisen yksityisyyden oikeuksille Yhdysvalloissa. Riippumatta siitä, onnistuuko se myynnin estämisessä, se on jo osoittanut, että osavaltioiden oikeuskanslerit ovat valmiita koordinoituun aggressiiviseen toimintaan kuluttajatietokysymyksissä ja että geneettistä dataa aletaan yhä useammin kohdella kategoriana, joka ansaitsee korotetun oikeudellisen suojan.

Jos geneettisiä tietojasi on tallennettuna millä tahansa testausyrityksellä, nyt on aika tarkistaa tilisi asetukset, ymmärtää poisto-oikeutesi ja harkita huolella ennen biologisten tietojen luovuttamista millekään palvelulle tulevaisuudessa. Mikään VPN ei voi suojata DNA:ta, mutta tietoon perustuvat päätökset ennen tietojen jakamista ovat tehokkain käytettävissäsi oleva yksityisyyden työkalu.