Каліфорнія судиться з 23andMe через витік генетичних даних 7 млн користувачів

Каліфорнія судиться з 23andMe через витік генетичних даних 7 млн користувачів

Генеральний прокурор Каліфорнії подав позов проти компанії з тестування ДНК 23andMe, яка зараз діє як Chrome Holding Co., через її дії під час витоку 2023 року, унаслідок якого було розкрито генетичні та родові дані майже 7 мільйонів користувачів. Позов зосереджений на двох основних твердженнях: що 23andMe не змогла належним чином захистити одні з найбільш чутливих персональних даних, які тільки існують, і що вона ввела клієнтів в оману щодо того, наскільки серйозним насправді було розкриття. Для всіх, хто замислюється над захистом приватності після витоку генетичних даних, ця справа є різким нагадуванням про те, що жоден інструмент приватності чи звичка споживача не могли запобігти такому результату.

Що насправді стверджується в позові Каліфорнії проти 23andMe

Скарга генпрокурора Каліфорнії зосереджена на ймовірній неспроможності 23andMe впровадити адекватні заходи безпеки для даних, які включають профілі ДНК та інформацію про схильність до захворювань. Коли про витік уперше повідомили, критики зазначали, що публічні комунікації компанії применшували масштаб того, що було скомпрометовано. Позов формалізує ці занепокоєння, стверджуючи, що споживачів було введено в оману щодо серйозності витоку.

Юридичну значущість цій справі надає те, що генетичні дані за законодавством Каліфорнії займають особливу категорію. На відміну від витоку адреси електронної пошти чи навіть номера кредитної картки, дані ДНК не можна змінити. Вони безпосередньо пов’язані з уразливістю здоров’я, сімейними зв’язками та походженням, і цей зв’язок є незворотним. Штат стверджує, що 23andMe мала як юридичний, так і етичний обов’язок ставитися до цих даних із набагато більшою обережністю, ніж вона це, судячи з усього, зробила.

Чому генетичні та медичні дані належать до іншої категорії ризику

Більшість витоків даних завдають серйозної шкоди, але витоки генетичних даних спричиняють наслідки, які виходять далеко за межі окремої особи. Ваша ДНК містить інформацію про ваших родичів, зокрема людей, які ніколи не давали згоди на передачу будь-чого третій стороні. Вона може розкрити схильність до захворювань, етнічне походження та біологічні сімейні зв’язки — деталі, які протягом років чи десятиліть після витоку можуть бути використані страховими компаніями, роботодавцями або зловмисниками.

Саме це відрізняє генетичні дані від облікових даних і поведінкових профілів, які розкриваються під час більшості корпоративних витоків. Для вашого геному не існує скидання пароля. Ця реальність покладає величезний тягар відповідальності на компанії, які збирають і зберігають таку інформацію, і саме цей аргумент Каліфорнія висуває в суді.

Ситуація перегукується з ширшим занепокоєнням щодо того, як великі компанії поводяться з чутливою інформацією користувачів без реальної відповідальності. Як висвітлювалося в репортажі про позов генерального прокурора Техасу проти Netflix через таємний збір даних користувачів, генеральні прокурори по всій країні дедалі частіше готові переслідувати технологічні та споживчі компанії, які зловживають зібраними персональними даними або не захищають їх.

Що VPN може і чого не може зробити після корпоративного витоку даних

Це випадок, який заслуговує на чесне пояснення для читачів, небайдужих до приватності. VPN — це цінний інструмент для шифрування вашого інтернет-трафіку, маскування вашої IP-адреси від вебсайтів і рекламодавців та захисту вашої активності в публічних мережах. Це реальні та змістовні переваги.

Але витік 23andMe не був випадком перехоплення даних під час передачі. Це була невдача всередині власних систем компанії, яка стосувалася даних, що їх користувачі передали роками раніше. VPN, запущений на вашому пристрої в момент витоку, ніяк не захистив би профілі ДНК, які зберігалися в базі даних 23andMe.

Це розмежування важливе, тому що споживачів іноді намагаються переконати, ніби інструменти приватності, як-от VPN, створюють комплексний щит навколо їхнього цифрового життя. Це не так. Щойно ви передаєте дані третій стороні, ваш захист повністю залежить від практик безпеки цієї компанії, її юридичних зобов’язань і готовності бути прозорою, коли щось іде не так. Позов проти 23andMe свідчить, що принаймні один із цих запобіжників відмовив одразу за кількома пунктами.

Практичні кроки для обмеження вашої вразливості за межами VPN

Розуміння обмежень будь-якого окремого інструменту приватності — це перший і найважливіший крок. Далі кілька конкретних звичок можуть значно знизити ваш ризик у взаємодії з компаніями, які зберігають чутливі дані.

Будьте вибірковими щодо того, чим ділитеся. Послуги генетичного тестування є споживчими продуктами з реальними компромісами щодо приватності. Перш ніж надсилати зразок ДНК, ознайомтеся з політикою компанії щодо зберігання даних, її історією реагування на запити правоохоронних органів і тим, що станеться з вашими даними, якщо компанію придбають або вона збанкрутує. Процедура банкрутства 23andMe вже викликала окремі занепокоєння стосовно долі її бази даних.

Перегляньте та використовуйте можливості видалення. Багато компаній генетичного тестування пропонують можливість видалити ваші збережені дані ДНК та обліковий запис. Якщо ви користувалися послугою і більше не бажаєте, щоб ваші дані зберігалися, скористайтеся цим правом. Не всі компанії роблять це легко, але така можливість часто доступна.

Уважно читайте повідомлення про витоки. Компанії юридично зобов’язані повідомляти вас про витоки, що підпадають під відповідні критерії, але, як показує позов Каліфорнії, формулювання цих повідомлень може применшувати реальний масштаб шкоди. Якщо ви отримали сповіщення про витік, поставтеся до нього серйозно, незалежно від формулювань, і зверніться до незалежних джерел, щоб отримати повнішу картину.

Розумійте, що насправді охоплює згода. Реєстрація в сервісі означає згоду з політикою приватності цієї компанії, але такі політики часто містять широкі формулювання щодо передачі даних третім сторонам. Генетичні дані, медичні записи та біометрична інформація заслуговують на додаткову перевірку, перш ніж ви натиснете «прийняти».

Що це означає для вас

Позов генпрокурора Каліфорнії проти 23andMe — це не просто регуляторний захід проти однієї компанії. Це сигнал про те, що правозастосування на рівні штату щодо захисту приватності після витоку генетичних даних стає більш агресивним, і що розкриття ДНК та медичних записів дедалі частіше тягтиме за собою юридичні наслідки, які компанія не зможе просто сприйняти як витрати на ведення бізнесу.

Для споживачів висновок водночас надихає і протвережує. Ви можете ухвалювати кращі рішення щодо того, яким компаніям довіряєте свої найбільш чутливі дані. Ви можете вимагати видалення, читати дрібний шрифт і залишатися поінформованими, коли компанії, яким ви довіряли, опиняються під пильною увагою. Чого ви не можете зробити — це покладатися на якийсь окремий інструмент, зокрема VPN, для захисту даних, які вже знаходяться в системах третьої сторони.

Щоб зрозуміти, як ця модель проявляється в інших галузях, висвітлення позову Техасу проти Netflix через дані пропонує корисну паралель: корпоративне зловживання даними діє на рівні, абсолютно недосяжному для персональних інструментів приватності. Бути поінформованим про такі справи — одна з найпрактичніших речей, які ви можете зробити.