27 รัฐฟ้อง 23andMe เพื่อยับยั้งการขายข้อมูลพันธุกรรมหลังการรั่วไหลของข้อมูลในปี 2023
อัยการสูงสุดจาก 27 รัฐและเขตปกครองพิเศษดิสตริกต์ออฟโคลัมเบียได้ยื่นฟ้องร้องต่อบริษัท 23andMe เพื่อป้องกันไม่ให้บริษัทตรวจดีเอ็นเอที่ล้มละลายแห่งนี้ขายข้อมูลพันธุกรรมของลูกค้า การฟ้องร้องที่ยื่นต่อศาลล้มละลายนี้ มุ่งประเด็นไปที่การรั่วไหลของข้อมูลในปี 2023 ซึ่งเปิดเผยข้อมูลสุขภาพอันละเอียดอ่อนของคนเกือบ 7 ล้านคน และโต้แย้งว่า 23andMe ทำให้ผู้บริโภคเข้าใจผิดเกี่ยวกับความร้ายแรงของเหตุการณ์ดังกล่าว สิ่งที่ตกอยู่ในความเสี่ยงคือข้อมูลพันธุกรรมของลูกค้าประมาณ 15 ล้านคนที่ไม่เคยให้ความยินยอมให้ข้อมูลทางชีวภาพที่ใกล้ชิดที่สุดของตนถูกนำไปประมูลขายให้กับผู้เสนอราคาสูงสุด
คดีนี้ไม่ใช่แค่เรื่องราวของความประมาทเลินเล่อขององค์กร แต่มันยังตั้งคำถามที่ตอบยากและน่าอึดอัดใจยิ่งกว่าสำหรับผู้บริโภคที่ใส่ใจความเป็นส่วนตัว: จะเกิดอะไรขึ้นเมื่อความเสี่ยงด้านความเป็นส่วนตัวไม่ใช่รหัสผ่าน หมายเลข IP หรืออีเมล แต่คือดีเอ็นเอที่แท้จริงของคุณ?
สิ่งที่คำฟ้องร้องกล่าวหาจริง ๆ
กลุ่มอัยการสูงสุดที่ร่วมมือกันโต้แย้งในสองประเด็นหลัก ประการแรก 23andMe ล้มเหลวในการปกป้องข้อมูลผู้ใช้อย่างเพียงพอก่อนและระหว่างการรั่วไหลของข้อมูลในปี 2023 ทำให้ลูกค้าหลายล้านคนตกอยู่ในอันตรายที่พวกเขาไม่อาจคาดคิดได้ ประการที่สอง บริษัทได้ลดทอนขอบเขตของเหตุการณ์ ทำให้ลูกค้าเข้าใจผิด ซึ่งอาจทำให้พวกเขาไม่ได้ดำเนินการเพื่อปกป้องตนเองหรือร้องขอให้ลบข้อมูลของตน
ในเมื่อตอนนี้ 23andMe ได้ยื่นขอล้มละลายแล้ว ข้อกังวลคือข้อมูลพันธุกรรมที่ถูกเก็บรวบรวมภายใต้คำมั่นสัญญาชุดหนึ่ง อาจถูกถ่ายโอนไปยังเจ้าของรายใหม่ที่ดำเนินงานภายใต้นโยบายที่แตกต่างไปจากเดิมอย่างสิ้นเชิง ลูกค้าที่เคยยินยอมให้แชร์ดีเอ็นเอเพื่อการวิจัยบรรพบุรุษหรือข้อมูลเชิงสุขภาพ อาจพบว่าข้อมูลนั้นถูกดูดซับโดยบุคคลที่สามที่ไม่รู้จัก ซึ่งไม่มีข้อผูกมัดต้องปฏิบัติตามข้อกำหนดในการให้บริการเดิม
หลายรัฐมีกฎหมายที่ระบุถึงสถานการณ์นี้โดยเฉพาะอยู่แล้ว ตัวอย่างเช่น ฟลอริดาห้ามขายข้อมูลพันธุกรรมโดยไม่ได้รับความยินยอมอย่างชัดแจ้งจากลูกค้า โดยมีบทลงโทษทางอาญาและค่าปรับรองรับ แต่ไม่ใช่ทุกรัฐที่มีการคุ้มครองเช่นนี้ ซึ่งเป็นเหตุผลว่าทำไมการฟ้องร้องร่วมกันของหลายรัฐจึงจำเป็นต้องเกิดขึ้น
ทำไมเครื่องมือความเป็นส่วนตัวของคุณถึงปกป้องข้อมูลพันธุกรรมไม่ได้
นี่คือส่วนของเรื่องที่ข่าวสารด้านความเป็นส่วนตัวดิจิทัลส่วนใหญ่มักมองข้าม VPN, แอปส่งข้อความเข้ารหัส, เบราว์เซอร์ส่วนตัว และเครื่องมือที่คล้ายกันนั้นมีประสิทธิภาพในการปกป้องข้อมูลประเภทหนึ่ง นั่นคือข้อมูลที่คุณส่งผ่านหรือสร้างขึ้นในรูปแบบดิจิทัล พวกมันสามารถปกปิดหมายเลข IP, ประวัติการท่องเว็บ และการสื่อสารของคุณจากการถูกดักฟัง
แต่พวกมันไม่สามารถทำอะไรได้เลยกับข้อมูลที่คุณส่งมอบให้ด้วยความสมัครใจในรูปแบบกายภาพไปแล้ว เมื่อคุณส่งตัวอย่างน้ำลายไปยังบริษัทตรวจดีเอ็นเอ ไม่มีมาตรการคุ้มครองความเป็นส่วนตัวระดับเครือข่ายใด ๆ ที่จะนำมาใช้ได้ ข้อมูลจะถูกเก็บรวบรวม ประมวลผล และจัดเก็บบนเซิร์ฟเวอร์ของบริษัท จากจุดนั้นเป็นต้นไป ความเป็นส่วนตัวของคุณขึ้นอยู่กับการปฏิบัติด้านความปลอดภัยของบริษัท ข้อผูกพันตามสัญญา และการคุ้มครองทางกฎหมายที่มีอยู่ในเขตอำนาจศาลของคุณทั้งหมด
ความแตกต่างนี้มีความสำคัญเพราะมันเปลี่ยนลักษณะของความเสี่ยง สำหรับภัยคุกคามความเป็นส่วนตัวดิจิทัลส่วนใหญ่ ผู้ใช้ยังคงมีอำนาจในการจัดการอย่างต่อเนื่อง คุณสามารถหยุดใช้บริการ ล้างข้อมูล หรือเปลี่ยนไปใช้ทางเลือกที่เป็นส่วนตัวกว่าได้ แต่สำหรับข้อมูลพันธุกรรม ข้อมูลนั้นไม่สามารถเปลี่ยนแปลงได้ ดีเอ็นเอของคุณไม่สามารถถูกเปลี่ยนแปลง รีเซ็ต หรือเพิกถอนได้ เมื่อมันถูกละเมิดหรือถูกขายไปแล้ว การเปิดเผยนั้นจะถาวร
สิ่งนี้มีความหมายต่อคุณอย่างไร
หากคุณเป็นลูกค้าของ 23andMe การฟ้องร้องนี้หมายความว่าขณะนี้กำลังมีความพยายามทางกฎหมายอย่างแข็งขันเพื่อป้องกันไม่ให้ข้อมูลของคุณถูกขายโดยปราศจากความยินยอมของคุณ อย่างไรก็ตาม กระบวนการทางกฎหมายต้องใช้เวลา และผลลัพธ์ไม่เคยถูกการันตีในศาลล้มละลาย ซึ่งผลประโยชน์ของเจ้าหนี้มักแข่งขันโดยตรงกับการคุ้มครองผู้บริโภค
มีขั้นตอนที่เป็นรูปธรรมที่ควรทำในตอนนี้ ขั้นแรก ตรวจสอบว่าคุณได้ยื่นคำขอลบข้อมูลไปยัง 23andMe แล้วหรือยัง บริษัทเคยเสนอตัวเลือกนี้มาโดยตลอด และแม้ว่ากระบวนการล้มละลายจะทำให้สิ่งต่าง ๆ ซับซ้อนขึ้น แต่การยื่นคำขอลบข้อมูลอย่างเป็นทางการจะสร้างบันทึกเป็นลายลักษณ์อักษรถึงความตั้งใจของคุณ ขั้นที่สอง ทบทวนข้อตกลงความยินยอมใด ๆ ที่คุณลงนามเมื่อสร้างบัญชี เนื่องจากเอกสารเหล่านี้อาจระบุถึงสิทธิของคุณระหว่างการถ่ายโอนองค์กร
นอกเหนือจากกรณีเฉพาะของ 23andMe แล้ว คดีนี้ยังเป็นสิ่งกระตุ้นที่มีประโยชน์ให้คิดให้กว้างขึ้นเกี่ยวกับความเป็นส่วนตัวทางพันธุกรรม บริการใดก็ตามที่เก็บรวบรวมข้อมูลชีวภาพหรือข้อมูลร่างกาย ไม่ว่าจะเพื่อจุดประสงค์ด้านสุขภาพ ฟิตเนส บรรพบุรุษ หรือการวิจัย ล้วนครอบครองข้อมูลที่อยู่นอกขอบเขตของเครื่องมือความเป็นส่วนตัวแบบดั้งเดิม กรอบกฎหมายที่คุ้มครองข้อมูลนั้นแตกต่างกันอย่างมีนัยสำคัญในแต่ละรัฐ และยังคงตามเทคโนโลยีไม่ทัน
สำหรับผู้ที่สนใจว่ากฎหมายความเป็นส่วนตัวที่กว้างขึ้นกำลังพัฒนาอย่างไรในสหรัฐอเมริกา ร่างกฎหมาย Lofgren-Tillis มอบหน้าต่างที่มีประโยชน์สู่แนวคิดของสมาชิกสภานิติบัญญัติเกี่ยวกับสิทธิข้อมูลดิจิทัลและข้อจำกัดของการคุ้มครองที่มีอยู่
ภาพใหญ่เกี่ยวกับความเสี่ยงจากโบรกเกอร์ข้อมูล
สถานการณ์ของ 23andMe ยังเป็นเครื่องเตือนใจว่าระบบนิเวศของโบรกเกอร์ข้อมูลทำงานอย่างไร แม้แต่ข้อมูลที่เก็บรวบรวมเพื่อจุดประสงค์ที่ดีก็อาจไปอยู่ในมือของบุคคลที่มีเจตนาและแนวปฏิบัติที่ผู้บริโภคดั้งเดิมไม่อาจทราบได้เลย การขายในการล้มละลายเป็นหนทางหนึ่งที่สิ่งนี้จะเกิดขึ้น การซื้อกิจการของบริษัท ข้อตกลงอนุญาตให้ใช้ข้อมูล และการรั่วไหลของข้อมูลเป็นอีกหลายหนทาง
ข้อมูลพันธุกรรมเป็นหนึ่งในประเภทข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่สุดที่มีอยู่ มันสามารถเปิดเผยแนวโน้มที่จะเกิดโรค ความสัมพันธ์ทางครอบครัว และมรดกทางชาติพันธุ์ หากตกไปอยู่ในมือของผู้ไม่หวังดี ข้อมูลนี้อาจถูกใช้โดยบริษัทประกัน นายจ้าง หรือหน่วยงานบังคับใช้กฎหมาย ในแบบที่ผู้บริโภคไม่เคยคาดคิดหรือยินยอม
การฟ้องร้องร่วมของหลายรัฐต่อ 23andMe เป็นช่วงเวลาที่สำคัญสำหรับสิทธิความเป็นส่วนตัวทางพันธุกรรมในสหรัฐอเมริกา ไม่ว่ามันจะประสบความสำเร็จในการยับยั้งการขายหรือไม่ มันได้แสดงให้เห็นแล้วว่าอัยการสูงสุดของรัฐต่าง ๆ ยินดีที่จะประสานงานกันอย่างแข็งขันในประเด็นข้อมูลผู้บริโภค และข้อมูลพันธุกรรมกำลังถูกปฏิบัติมากขึ้นในฐานะประเภทข้อมูลที่สมควรได้รับการคุ้มครองทางกฎหมายที่สูงขึ้น
หากคุณมีข้อมูลพันธุกรรมจัดเก็บไว้กับบริษัทตรวจสอบใด ๆ ตอนนี้คือเวลาที่จะตรวจสอบการตั้งค่าบัญชีของคุณ ทำความเข้าใจสิทธิในการลบข้อมูลของคุณ และคิดให้รอบคอบก่อนส่งข้อมูลทางชีวภาพให้กับบริการใด ๆ ในอนาคต ไม่มี VPN ใดสามารถปกป้องดีเอ็นเอของคุณได้ แต่การตัดสินใจอย่างมีข้อมูลก่อนที่คุณจะแชร์ข้อมูลคือเครื่องมือความเป็นส่วนตัวที่ทรงพลังที่สุดที่มีอยู่
