Tại sao 27 tiểu bang kiện 23andMe?

Họ đang cố gắng ngăn chặn công ty phá sản bán dữ liệu di truyền của khách hàng, đồng thời cáo buộc 23andMe đã không bảo vệ dữ liệu và gây hiểu lầm cho người tiêu dùng về mức độ nghiêm trọng của vụ rò rỉ năm 2023.

Có bao nhiêu người bị ảnh hưởng bởi vụ rò rỉ năm 2023?

Theo đơn kiện, vụ rò rỉ đã làm lộ thông tin sức khỏe nhạy cảm của gần 7 triệu người.

Dữ liệu di truyền của 23andMe có thể bị bán cho chủ sở hữu mới không?

Đơn kiện lập luận rằng trong quá trình phá sản, dữ liệu có thể bị chuyển giao cho một bên mua không bị ràng buộc bởi các điều khoản đồng ý ban đầu. Một số tiểu bang, như Florida, cấm bán dữ liệu như vậy nếu không có sự đồng ý rõ ràng, nhưng không phải tiểu bang nào cũng có các biện pháp bảo vệ đó.

Tại sao các công cụ như VPN không thể giữ kín dữ liệu di truyền?

VPN và mã hóa bảo vệ dữ liệu khi đang truyền, nhưng dữ liệu di truyền được thu thập từ mẫu nước bọt vật lý và lưu trữ trên máy chủ của công ty. Từ thời điểm đó, không có công cụ cấp mạng nào can thiệp được, và quyền riêng tư chỉ phụ thuộc vào các biện pháp bảo mật và pháp lý của công ty.

23andMe bị cáo buộc đã gây hiểu lầm cho khách hàng như thế nào sau vụ rò rỉ?

Liên minh cáo buộc rằng 23andMe đã coi nhẹ phạm vi của vụ việc, khiến khách hàng không nhận ra mức độ nghiêm trọng và có thể đã ngăn cản họ thực hiện các bước tự bảo vệ hoặc yêu cầu xóa dữ liệu.

27 Tiểu bang Kiện 23andMe Nhằm Ngăn Chặn Việc Bán Dữ Liệu Di Truyền Sau Vụ Rò Rỉ Năm 2023

Hai mươi bảy tiểu bang và Đặc khu Columbia đã đệ đơn kiện 23andMe nhằm ngăn cản công ty xét nghiệm ADN đang phá sản này bán dữ liệu di truyền của khách hàng. Đơn kiện được nộp lên tòa án phá sản, xoay quanh vụ rò rỉ năm 2023 làm lộ thông tin sức khỏe nhạy cảm của gần 7 triệu người, đồng thời lập luận rằng 23andMe đã gây hiểu lầm cho người tiêu dùng về mức độ nghiêm trọng của sự cố đó. Điều đang bị đe dọa là dữ liệu di truyền của khoảng 15 triệu khách hàng chưa từng đồng ý để thông tin sinh học riêng tư nhất của họ bị đem ra đấu giá cho người trả giá cao nhất.

Vụ việc này không chỉ là câu chuyện về sự cẩu thả của doanh nghiệp. Nó đặt ra một câu hỏi khó khăn và khó chịu hơn cho những người tiêu dùng quan tâm đến quyền riêng tư: điều gì sẽ xảy ra khi rủi ro về quyền riêng tư không phải là mật khẩu, địa chỉ IP hay email, mà chính là ADN thực tế của bạn?

Đơn Kiện Thực Sự Cáo Buộc Những Gì

Liên minh các tổng chưởng lý lập luận trên hai mặt trận chính. Thứ nhất, 23andMe đã không bảo vệ đầy đủ dữ liệu người dùng trước và trong suốt vụ rò rỉ năm 2023, khiến hàng triệu khách hàng phải đối mặt với những tổn hại mà họ không thể lường trước. Thứ hai, công ty đã coi nhẹ phạm vi của sự cố, gây hiểu lầm cho những khách hàng lẽ ra đã có thể thực hiện các bước để tự bảo vệ hoặc yêu cầu xóa dữ liệu của mình.

Giờ đây, khi 23andMe đã nộp đơn phá sản, mối lo ngại là dữ liệu di truyền được thu thập theo một loạt cam kết có thể bị chuyển giao cho một chủ sở hữu mới hoạt động theo các chính sách hoàn toàn khác. Những khách hàng ban đầu đồng ý chia sẻ ADN để nghiên cứu tổ tiên hoặc thông tin sức khỏe có thể thấy dữ liệu đó bị một bên thứ ba không xác định hấp thụ, không có nghĩa vụ tuân thủ các điều khoản dịch vụ ban đầu.

Một số tiểu bang đã có luật riêng để giải quyết tình huống này. Ví dụ, Florida nghiêm cấm việc bán dữ liệu di truyền mà không có sự đồng ý rõ ràng của khách hàng, kèm theo các hình phạt hình sự và tiền phạt. Nhưng không phải tiểu bang nào cũng có các biện pháp bảo vệ như vậy, đó chính là lý do tại sao một vụ kiện phối hợp đa tiểu bang trở nên cần thiết.

Tại Sao Các Công Cụ Bảo Vệ Quyền Riêng Tư Không Thể Bảo Vệ Dữ Liệu Di Truyền

Đây là phần mà hầu hết các bài viết về quyền riêng tư kỹ thuật số thường bỏ qua. VPN, các ứng dụng nhắn tin mã hóa, trình duyệt riêng tư và các công cụ tương tự có hiệu quả trong việc bảo vệ một loại dữ liệu: thông tin bạn truyền tải hoặc tạo ra dưới dạng kỹ thuật số. Chúng có thể che chắn địa chỉ IP, lịch sử duyệt web và các liên lạc của bạn khỏi bị chặn bắt.

Nhưng chúng không thể can thiệp vào dữ liệu mà bạn đã tự nguyện trao đi dưới dạng vật lý. Khi bạn gửi mẫu nước bọt đến một công ty xét nghiệm ADN, không có biện pháp bảo vệ quyền riêng tư ở cấp độ mạng nào được áp dụng. Dữ liệu được thu thập, xử lý và lưu trữ trên máy chủ của công ty. Kể từ thời điểm đó, quyền riêng tư của bạn phụ thuộc hoàn toàn vào các biện pháp bảo mật của công ty, các nghĩa vụ hợp đồng và các biện pháp bảo vệ pháp lý tại khu vực pháp lý của bạn.

Sự khác biệt này rất quan trọng vì nó thay đổi bản chất của rủi ro. Với hầu hết các mối đe dọa về quyền riêng tư kỹ thuật số, người dùng có quyền chủ động liên tục. Bạn có thể ngừng sử dụng một dịch vụ, xóa dữ liệu hoặc chuyển sang một giải pháp thay thế riêng tư hơn. Với dữ liệu di truyền, thông tin là bất biến. ADN của bạn không thể thay đổi, thiết lập lại hay thu hồi. Một khi đã bị rò rỉ hoặc bị bán, sự lộ lọt đó là vĩnh viễn.

Điều Này Có Ý Nghĩa Gì Đối Với Bạn

Nếu bạn là khách hàng của 23andMe, vụ kiện có nghĩa là hiện đang có một nỗ lực pháp lý tích cực nhằm ngăn chặn dữ liệu của bạn bị bán mà không có sự đồng ý. Tuy nhiên, các thủ tục pháp lý cần thời gian và kết quả không bao giờ được đảm bảo tại tòa án phá sản, nơi lợi ích của các chủ nợ thường cạnh tranh trực tiếp với các biện pháp bảo vệ người tiêu dùng.

Có những bước cụ thể đáng thực hiện ngay bây giờ. Trước tiên, hãy kiểm tra xem bạn đã gửi yêu cầu xóa dữ liệu tới 23andMe chưa. Công ty trước đây đã từng cung cấp tùy chọn này và mặc dù quá trình phá sản khiến mọi thứ trở nên phức tạp, việc gửi yêu cầu xóa chính thức sẽ tạo ra một hồ sơ ghi nhận ý định của bạn. Thứ hai, hãy xem lại bất kỳ thỏa thuận đồng ý nào bạn đã ký khi tạo tài khoản, vì những tài liệu này có thể nêu rõ các quyền của bạn trong quá trình chuyển giao doanh nghiệp.

Ngoài riêng 23andMe, vụ việc này là một lời nhắc hữu ích để suy nghĩ rộng hơn về quyền riêng tư di truyền. Bất kỳ dịch vụ nào thu thập dữ liệu sinh trắc học hoặc sinh học, dù cho mục đích sức khỏe, thể dục, tổ tiên hay nghiên cứu, đều nắm giữ thông tin nằm ngoài phạm vi của các công cụ bảo vệ quyền riêng tư thông thường. Khung pháp lý bảo vệ dữ liệu đó thay đổi đáng kể tùy theo từng tiểu bang và vẫn đang cố gắng bắt kịp công nghệ.

Đối với những ai quan tâm đến cách luật pháp về quyền riêng tư rộng hơn đang phát triển tại Hoa Kỳ, dự luật Lofgren-Tillis cung cấp một góc nhìn hữu ích về cách các nhà lập pháp đang suy nghĩ về quyền dữ liệu kỹ thuật số và giới hạn của các biện pháp bảo vệ hiện có.

Bức Tranh Lớn Hơn Về Rủi Ro Từ Các Nhà Môi Giới Dữ Liệu

Tình huống của 23andMe cũng là một lời nhắc nhở về cách các hệ sinh thái môi giới dữ liệu vận hành. Ngay cả dữ liệu được thu thập cho một mục đích lành tính cũng có thể rơi vào tay các bên có ý định và thực tiễn hoàn toàn không xác định đối với người tiêu dùng ban đầu. Bán tài sản phá sản là một con đường dẫn đến điều này. Mua lại doanh nghiệp, thỏa thuận cấp phép dữ liệu và vi phạm bảo mật là những con đường khác.

Dữ liệu di truyền là một trong những loại thông tin cá nhân nhạy cảm nhất đang tồn tại. Nó có thể tiết lộ khuynh hướng mắc bệnh, các mối quan hệ gia đình và di sản dân tộc. Khi rơi vào tay kẻ xấu, nó có thể bị các công ty bảo hiểm, nhà tuyển dụng hoặc cơ quan thực thi pháp luật sử dụng theo những cách mà người tiêu dùng chưa bao giờ lường trước hay đồng ý.

Vụ kiện đa tiểu bang chống lại 23andMe là một thời khắc quan trọng đối với quyền riêng tư di truyền tại Hoa Kỳ. Dù có thành công trong việc ngăn chặn vụ mua bán hay không, nó đã chứng minh rằng các tổng chưởng lý tiểu bang sẵn sàng phối hợp quyết liệt về các vấn đề dữ liệu người tiêu dùng và dữ liệu di truyền ngày càng được coi là một hạng mục xứng đáng được bảo vệ pháp lý cao hơn.

Nếu bạn có dữ liệu di truyền được lưu trữ tại bất kỳ công ty xét nghiệm nào, bây giờ là lúc để xem lại cài đặt tài khoản, hiểu rõ các quyền xóa dữ liệu của bạn và suy nghĩ cẩn trọng trước khi gửi dữ liệu sinh học cho bất kỳ dịch vụ nào trong tương lai. Không có VPN nào có thể bảo vệ ADN của bạn, nhưng các quyết định sáng suốt trước khi bạn chia sẻ dữ liệu mới là công cụ bảo vệ quyền riêng tư mạnh mẽ nhất hiện có.