Kalifornia pozywa 23andMe w sprawie wycieku danych genetycznych 7 milionów użytkowników

Kalifornia pozywa 23andMe w sprawie wycieku danych genetycznych 7 milionów użytkowników

Prokurator Generalny Kalifornii złożył pozew przeciwko firmie testującej DNA 23andMe, działającej obecnie jako Chrome Holding Co., w związku z jej postępowaniem w sprawie wycieku z 2023 roku, który ujawnił dane genetyczne i dotyczące pochodzenia blisko 7 milionów użytkowników. Pozew koncentruje się na dwóch głównych zarzutach: że 23andMe nie zdołała odpowiednio chronić jednych z najbardziej wrażliwych danych osobowych, jakie istnieją, oraz że wprowadziła klientów w błąd co do powagi rzeczywistego wycieku. Dla każdego, kto myśli o ochronie prywatności w związku z wyciekiem danych genetycznych, sprawa ta jest wyraźnym przypomnieniem, że żadne narzędzie ochrony prywatności ani nawyki konsumenckie nie mogłyby zapobiec takiemu rezultatowi.

Co faktycznie zarzuca pozew Kalifornii przeciwko 23andMe

Skarga Prokuratora Generalnego Kalifornii koncentruje się na domniemanym niepowodzeniu 23andMe we wdrożeniu odpowiednich środków bezpieczeństwa dla danych obejmujących profile DNA i informacje o predyspozycjach zdrowotnych. Gdy wyciek został po raz pierwszy ujawniony, krytycy zauważyli, że publiczna komunikacja firmy umniejszała zakres tego, co zostało naruszone. Pozew formalizuje te obawy, argumentując, że konsumenci zostali wprowadzeni w błąd co do powagi wycieku.

To, co czyni tę sprawę istotną pod względem prawnym, to fakt, że dane genetyczne zajmują specjalną kategorię na mocy prawa Kalifornii. W przeciwieństwie do wycieku adresu e-mail, a nawet numeru karty kredytowej, danych DNA nie można zmienić. Łączą się one bezpośrednio z podatnością na choroby, relacjami rodzinnymi i pochodzeniem, i to w sposób trwały. Stan argumentuje, że 23andMe miała zarówno prawny, jak i etyczny obowiązek traktować te dane z dużo większą starannością, niż to najwyraźniej zrobiła.

Dlaczego dane genetyczne i zdrowotne stanowią inną kategorię ryzyka

Większość wycieków danych powoduje poważne szkody, ale wycieki danych genetycznych niosą ze sobą konsekwencje, które wykraczają daleko poza jednostkę. Twoje DNA zawiera informacje o Twoich krewnych, w tym o osobach, które nigdy nie wyraziły zgody na udostępnienie czegokolwiek stronie trzeciej. Może ujawnić predyspozycje do chorób, dziedzictwo etniczne i biologiczne powiązania rodzinne – szczegóły, które mogą być wykorzystywane przez ubezpieczycieli, pracodawców lub złoczyńców przez lata lub dekady po wystąpieniu wycieku.

To właśnie odróżnia dane genetyczne od danych uwierzytelniających i profili behawioralnych, które ujawnia większość wycieków firmowych. Dla Twojego genomu nie ma resetowania hasła. Ta rzeczywistość nakłada ogromny ciężar odpowiedzialności na firmy, które gromadzą i przechowują tego typu informacje, i właśnie taki argument wysuwa Kalifornia w sądzie.

Sytuacja ta odzwierciedla szersze obawy dotyczące tego, jak duże firmy obchodzą się z wrażliwymi danymi użytkowników bez rzeczywistej odpowiedzialności. Jak opisano w relacji na temat pozwu Prokuratora Generalnego Teksasu przeciwko Netflixowi w sprawie tajnego zbierania danych użytkowników, prokuratorzy generalni w całym kraju są coraz bardziej skłonni ścigać firmy technologiczne i konsumenckie, które nadużywają lub nie chronią gromadzonych danych osobowych.

Co VPN może, a czego nie może zrobić po wycieku danych w firmie

To sprawa, która zasługuje na uczciwe przedstawienie czytelnikom dbającym o prywatność. VPN to cenne narzędzie do szyfrowania ruchu internetowego, maskowania adresu IP przed witrynami i reklamodawcami oraz ochrony aktywności w sieciach publicznych. To rzeczywiste i znaczące korzyści.

Ale wyciek z 23andMe nie był przypadkiem przechwycenia danych podczas transmisji. Było to niepowodzenie wewnątrz systemów firmy, dotyczące danych, które użytkownicy przekazali lata wcześniej. VPN działający na Twoim urządzeniu w momencie wycieku nie zrobiłby nic, aby chronić profile DNA znajdujące się w bazie danych 23andMe.

To rozróżnienie ma znaczenie, ponieważ konsumenci bywają przekonywani, że narzędzia ochrony prywatności, takie jak VPN, tworzą kompleksową tarczę wokół ich cyfrowego życia. Tak nie jest. Gdy przekazujesz dane stronie trzeciej, Twoja ochrona zależy wyłącznie od praktyk bezpieczeństwa tej firmy, jej zobowiązań prawnych i gotowości do przejrzystości, gdy coś pójdzie nie tak. Pozew przeciwko 23andMe sugeruje, że co najmniej jeden z tych zabezpieczeń zawiódł na wielu płaszczyznach.

Praktyczne kroki, aby ograniczyć swoją ekspozycję poza VPN

Zrozumienie ograniczeń każdego pojedynczego narzędzia prywatności jest pierwszym i najważniejszym krokiem. Wychodząc od tego, kilka konkretnych nawyków może znacząco zmniejszyć ryzyko związane z firmami przechowującymi wrażliwe dane.

Bądź selektywny w tym, co udostępniasz. Usługi testów genetycznych to produkty konsumenckie wiążące się z rzeczywistymi kompromisami w zakresie prywatności. Zanim przekażesz próbkę DNA, zapoznaj się z polityką przechowywania danych firmy, jej historią w zakresie żądań danych przez organy ścigania oraz tym, co stanie się z Twoimi danymi, jeśli firma zostanie przejęta lub zbankrutuje. Postępowanie upadłościowe 23andMe już wzbudziło osobne obawy dotyczące tego, co stanie się z jej bazą danych.

Sprawdź i korzystaj z opcji usuwania. Wiele firm oferujących testy genetyczne umożliwia usunięcie przechowywanych danych DNA i informacji o koncie. Jeśli korzystałeś z usługi i nie chcesz już, aby Twoje dane były przechowywane, skorzystaj z tego prawa. Nie wszystkie firmy to ułatwiają, ale często jest to dostępne.

Czytaj uważnie powiadomienia o wycieku. Firmy są prawnie zobowiązane do powiadamiania Cię o kwalifikujących się wyciekach, ale jak pokazuje pozew Kalifornii, sposób przedstawienia tych powiadomień może umniejszać rzeczywisty zakres szkód. Jeśli otrzymasz powiadomienie o wycieku, potraktuj je poważnie niezależnie od tego, jak jest sformułowane, i sprawdź niezależne źródła, aby uzyskać pełniejszy obraz.

Zrozum, na co faktycznie wyrażasz zgodę. Rejestracja w usłudze oznacza zgodę na politykę prywatności danej firmy, ale polityki te często zawierają szerokie sformułowania dotyczące udostępniania danych stronom trzecim. Dane genetyczne, dokumentacja medyczna i informacje biometryczne zasługują na szczególną uwagę, zanim klikniesz „akceptuję”.

Co to oznacza dla Ciebie

Pozew Prokuratora Generalnego Kalifornii przeciwko 23andMe to nie tylko działanie regulacyjne przeciwko jednej firmie. To sygnał, że egzekwowanie ochrony prywatności w związku z wyciekami danych genetycznych na poziomie stanowym staje się coraz bardziej agresywne, a ujawnienie DNA i dokumentacji medycznej będzie coraz częściej pociągać za sobą konsekwencje prawne, których firma nie może po prostu wliczyć w koszty prowadzenia działalności.

Dla konsumentów wniosek jest zarówno wzmacniający, jak i otrzeźwiający. Możesz podejmować lepsze decyzje co do tego, którym firmom powierzasz swoje najbardziej wrażliwe dane. Możesz żądać usunięcia, czytać drobny druk i być na bieżąco, gdy firmy, którym zaufałeś, znajdują się pod lupą. Nie możesz jednak polegać na żadnym pojedynczym narzędziu, w tym VPN, aby chronić dane, które już znajdują się w systemach strony trzeciej.

Aby zrozumieć, jak ten schemat rozgrywa się w innych branżach, relacja na temat pozwu Prokuratora Generalnego Teksasu przeciwko Netflixowi w sprawie danych dostarcza użytecznej analogii: nadużywanie danych przez firmy odbywa się na poziomie całkowicie wykraczającym poza to, co mogą zrobić osobiste narzędzia ochrony prywatności. Śledzenie tych spraw jest jedną z najbardziej praktycznych rzeczy, jakie możesz zrobić.