Калифорния подаёт в суд на 23andMe за утечку генетических данных 7 млн пользователей

Калифорния подаёт в суд на 23andMe за утечку генетических данных 7 млн пользователей

Генеральный прокурор Калифорнии подал иск против компании по тестированию ДНК 23andMe, которая теперь действует как Chrome Holding Co., в связи с её действиями после утечки 2023 года, в результате которой были раскрыты генетические и генеалогические данные почти 7 миллионов пользователей. Иск основывается на двух основных утверждениях: что 23andMe не смогла должным образом защитить одни из самых чувствительных персональных данных, какие только существуют, и что она ввела клиентов в заблуждение относительно реальной серьёзности утечки. Для всех, кто задумывается о защите приватности генетических данных после утечек, этот случай — жёсткое напоминание о том, что ни один инструмент для обеспечения конфиденциальности и ни одна привычка потребителя не смогли бы предотвратить такой исход.

Что на самом деле утверждает иск Калифорнии против 23andMe

В жалобе генпрокурора Калифорнии основное внимание уделяется предполагаемой неспособности 23andMe внедрить адекватные меры безопасности для данных, включающих профили ДНК и информацию о предрасположенности к заболеваниям. Когда утечка была впервые раскрыта, критики отметили, что публичные заявления компании преуменьшали масштаб скомпрометированных данных. Иск формализует эти опасения, утверждая, что потребители были введены в заблуждение относительно серьёзности утечки.

Юридическую значимость этому делу придаёт тот факт, что генетические данные занимают особую категорию по законодательству Калифорнии. В отличие от утёкшего адреса электронной почты или даже номера кредитной карты, данные ДНК невозможно изменить. Они напрямую связаны с уязвимостями здоровья, семейными отношениями и происхождением, причём навсегда. Штат утверждает, что 23andMe была обязана и юридически, и этически относиться к таким данным с гораздо большей осторожностью, чем, судя по всему, было проявлено.

Почему генетические данные и данные о здоровье — это особая категория риска

Большинство утечек данных причиняют серьёзный вред, но утечки генетических данных влекут последствия, выходящие далеко за пределы конкретного человека. Ваша ДНК содержит информацию о ваших родственниках, включая людей, которые никогда не давали согласия на передачу чего-либо третьим лицам. Она может выявить предрасположенность к болезням, этническое происхождение и биологические семейные связи — подробности, которыми могут воспользоваться страховщики, работодатели или злоумышленники в течение многих лет или десятилетий после утечки.

Именно это отличает генетические данные от учётных данных и поведенческих профилей, которые раскрываются при большинстве корпоративных утечек. Для вашего генома не существует сброса пароля. Эта реальность возлагает огромное бремя ответственности на компании, которые собирают и хранят информацию такого рода, и именно этот аргумент продвигает Калифорния в суде.

Ситуация перекликается с более широкими опасениями по поводу того, как крупные компании обращаются с чувствительной информацией пользователей без значимой подотчётности. Как освещалось в репортаже об иске генпрокурора Техаса к Netflix из-за тайного сбора данных пользователей, генпрокуроры по всей стране всё активнее преследуют технологические и потребительские компании, которые злоупотребляют собранными персональными данными или не могут их защитить.

Что VPN может и чего не может сделать после корпоративной утечки данных

Это случай, который заслуживает честной оценки для читателей, заботящихся о конфиденциальности. VPN — это ценный инструмент для шифрования вашего интернет-трафика, маскировки вашего IP-адреса от веб-сайтов и рекламодателей, а также для защиты вашей активности в публичных сетях. Это реальные и значимые преимущества.

Но утечка 23andMe не была случаем, когда кто-то перехватил данные при передаче. Это был провал внутри собственных систем компании, касавшийся данных, которые пользователи предоставили годами ранее. VPN, работающий на вашем устройстве в момент утечки, ничего бы не сделал для защиты профилей ДНК, хранящихся в базе данных 23andMe.

Это различие важно, потому что потребителей иногда убеждают, что инструменты конфиденциальности, такие как VPN, создают всеобъемлющий щит вокруг их цифровой жизни. Это не так. Как только вы передаёте данные третьей стороне, ваша защита полностью зависит от практик безопасности этой компании, юридических обязательств и готовности быть прозрачной, когда что-то идёт не так. Иск против 23andMe предполагает, что как минимум один из этих защитных механизмов дал сбой по нескольким пунктам.

Практические шаги для ограничения ваших рисков помимо VPN

Понимание ограничений любого отдельного инструмента конфиденциальности — это первый и самый важный шаг. Исходя из этого, несколько конкретных привычек могут существенно снизить ваш риск при взаимодействии с компаниями, хранящими чувствительные данные.

Будьте избирательны в том, чем делитесь. Услуги генетического тестирования — это потребительские продукты с реальными компромиссами в плане приватности. Прежде чем сдать образец ДНК, ознакомьтесь с политикой компании в отношении хранения данных, её историей взаимодействия с запросами правоохранительных органов о данных и с тем, что произойдёт с вашими данными, если компания будет приобретена или обанкротится. Процедура банкротства 23andMe уже вызвала отдельные опасения по поводу судьбы её базы данных.

Изучите и используйте возможности удаления. Многие компании генетического тестирования предлагают возможность удалить сохранённые данные ДНК и информацию учётной записи. Если вы пользовались услугой и больше не хотите, чтобы ваши данные хранились, воспользуйтесь этим правом. Не все компании делают это лёгким, но часто такая возможность доступна.

Внимательно читайте уведомления об утечках. Компании юридически обязаны уведомлять вас о квалифицируемых утечках, но, как показывает иск Калифорнии, формулировки этих уведомлений могут преуменьшать реальный масштаб вреда. Если вы получили уведомление об утечке, отнеситесь к нему серьёзно независимо от того, как оно сформулировано, и обратитесь к независимым источникам для получения более полной картины.

Понимайте, что на самом деле покрывает согласие. Регистрация в сервисе означает согласие с политикой конфиденциальности компании, но эти политики часто содержат широкие формулировки о передаче данных третьим лицам. Генетические данные, медицинские записи и биометрическая информация заслуживают особо пристального внимания, прежде чем вы нажмёте «Принять».

Что это значит для вас

Иск генпрокурора Калифорнии к 23andMe — это не просто регуляторное действие против одной компании. Это сигнал о том, что правоприменение на уровне штата в области защиты приватности генетических данных после утечек становится более жёстким, и что раскрытие ДНК и медицинских записей будет всё чаще влечь юридические последствия, которые компания не сможет просто списать как издержки ведения бизнеса.

Для потребителей вывод одновременно вдохновляющий и отрезвляющий. Вы можете принимать более осознанные решения о том, каким компаниям доверяете свои самые чувствительные данные. Вы можете требовать удаления, читать мелкий шрифт и оставаться в курсе, когда к компаниям, которым вы доверяли, приковано пристальное внимание. Но вы не можете полагаться на какой-либо один инструмент, включая VPN, для защиты данных, которые уже находятся внутри систем третьей стороны.

Чтобы понять, как эта модель проявляется в других отраслях, материал об иске генпрокурора Техаса к Netflix о данных предлагает полезную параллель: корпоративное злоупотребление данными действует на уровне, совершенно недоступном для персональных инструментов защиты конфиденциальности. Оставаться информированным о подобных случаях — одна из самых практичных вещей, которые вы можете сделать.