27 штатов подают в суд на 23andMe, чтобы заблокировать продажу генетических данных после утечки 2023 года

27 штатов подают в суд на 23andMe, чтобы заблокировать продажу генетических данных после утечки 2023 года

Двадцать семь штатов и округ Колумбия подали иск против 23andMe, чтобы помешать обанкротившейся компании по тестированию ДНК продать генетические данные своих клиентов. Иск, поданный в суд по делам о банкротстве, касается утечки 2023 года, в результате которой была раскрыта конфиденциальная медицинская информация почти 7 миллионов человек, и утверждает, что 23andMe ввела потребителей в заблуждение относительно серьёзности этого инцидента. На кону — генетические данные примерно 15 миллионов клиентов, которые никогда не давали согласия на то, чтобы их самые сокровенные биологические сведения были проданы с аукциона тому, кто больше заплатит.

Это дело — не просто история о корпоративной халатности. Оно ставит более сложный и неудобный вопрос для потребителей, заботящихся о конфиденциальности: что происходит, когда риском для приватности становится не пароль, IP-адрес или электронная почта, а ваша настоящая ДНК?

Что именно утверждается в иске

Коалиция генеральных прокуроров строит обвинение по двум основным направлениям. Во-первых, 23andMe не смогла должным образом защитить данные пользователей до и во время утечки 2023 года, оставив миллионы клиентов уязвимыми перед вредом, которого они не могли предвидеть. Во-вторых, компания преуменьшила масштаб инцидента, вводя в заблуждение клиентов, которые в противном случае могли бы предпринять шаги для самозащиты или запросить удаление своих данных.

Теперь, когда 23andMe подала заявление о банкротстве, возникает опасение, что генетические данные, собранные под одни обещания, могут быть переданы новому владельцу, действующему по совершенно иным правилам. Клиенты, которые изначально согласились предоставить свою ДНК для исследования происхождения или получения информации о здоровье, могут обнаружить, что их данные поглощены неизвестной третьей стороной, не обязанной соблюдать первоначальные условия обслуживания.

В нескольких штатах уже действуют законы, прямо регулирующие такой сценарий. Например, Флорида запрещает продажу генетических данных без явного согласия клиента, подкрепляя запрет уголовными наказаниями и штрафами. Но не в каждом штате есть подобная защита, именно поэтому и потребовался скоординированный многоштатный иск.

Почему ваши инструменты конфиденциальности не могут защитить генетические данные

Это та часть истории, которую большинство цифровых обзоров приватности обходят стороной. VPN, зашифрованные мессенджеры, приватные браузеры и подобные инструменты эффективно защищают одну категорию данных: информацию, которую вы передаёте или создаёте в цифровом виде. Они могут скрыть ваш IP-адрес, историю просмотров и переписку от перехвата.

Но они ничего не могут поделать с данными, которые вы уже добровольно передали в физической форме. Когда вы отправляете образец слюны в компанию по тестированию ДНК, никакие средства сетевой защиты не применяются. Данные собираются, обрабатываются и хранятся на серверах компании. С этого момента ваша конфиденциальность полностью зависит от практик безопасности компании, её договорных обязательств и правовой защиты, доступной в вашей юрисдикции.

Это различие важно, потому что оно меняет природу риска. При большинстве угроз цифровой приватности у пользователей сохраняется постоянная возможность действовать. Вы можете перестать пользоваться сервисом, очистить свои данные или перейти на более приватную альтернативу. С генетическими данными информация неизменна. Вашу ДНК нельзя изменить, сбросить или отозвать. Если она однажды утекла или была продана, её раскрытие становится необратимым.

Что это значит для вас

Если вы клиент 23andMe, иск означает, что в настоящее время предпринимаются активные юридические усилия, чтобы не допустить продажи ваших данных без вашего согласия. Однако судебные разбирательства требуют времени, а исход в суде по делам о банкротстве никогда не гарантирован, поскольку интересы кредиторов часто прямо конкурируют с защитой прав потребителей.

Уже сейчас стоит предпринять конкретные шаги. Во-первых, проверьте, подавали ли вы запрос на удаление данных в 23andMe. Компания исторически предоставляла такую возможность, и хотя процесс банкротства усложняет ситуацию, подача официального запроса на удаление создаёт документальное подтверждение вашего намерения. Во-вторых, перечитайте соглашения о согласии, которые вы подписывали при создании учётной записи, — в этих документах могут быть прописаны ваши права при корпоративной передаче.

Помимо конкретно 23andMe, это дело служит полезным поводом задуматься шире о генетической приватности. Любой сервис, собирающий биометрические или биологические данные — будь то для здоровья, фитнеса, генеалогии или исследований, — владеет информацией, которая находится за пределами действия обычных инструментов защиты конфиденциальности. Правовая база, защищающая такие данные, существенно различается от штата к штату и пока ещё отстаёт от технологий.

Для тех, кому интересно, как развивается более общее законодательство о конфиденциальности в США, законопроект Лофгрена-Тиллиса даёт полезное представление о том, как законодатели мыслят о правах на цифровые данные и ограничениях существующей защиты.

Более широкая картина рисков, связанных с брокерами данных

Ситуация с 23andMe также напоминает о том, как работают экосистемы брокеров данных. Даже данные, собранные с безобидной целью, могут оказаться в руках сторон, чьи намерения и практики совершенно неизвестны первоначальному потребителю. Продажи при банкротстве — один из путей для этого. Корпоративные поглощения, лицензионные соглашения на данные и нарушения безопасности — другие.

Генетические данные относятся к числу самых чувствительных категорий персональной информации, какие только существуют. Они могут раскрыть предрасположенность к заболеваниям, родственные связи и этническое происхождение. В чужих руках они могут быть использованы страховщиками, работодателями или правоохранительными органами так, как потребители никогда не предполагали и на что не давали согласия.

Многоштатный иск против 23andMe — знаковый момент для прав на генетическую приватность в США. Независимо от того, удастся ли заблокировать продажу, он уже показал, что генеральные прокуроры штатов готовы решительно координироваться по вопросам потребительских данных, и что генетические данные всё чаще рассматриваются как категория, заслуживающая повышенной правовой защиты.

Если у вас есть генетические данные, хранящиеся в любой компании по тестированию, сейчас самое время просмотреть настройки учётной записи, понять свои права на удаление и тщательно подумать, прежде чем предоставлять биологические данные какому-либо сервису в будущем. Никакой VPN не защитит вашу ДНК, но осознанные решения до того, как вы поделитесь данными, — самый мощный доступный инструмент приватности.