27 个州起诉 23andMe，要求阻止其出售 2023 年数据泄露后的基因数据

27 个州起诉 23andMe，要求阻止其出售 2023 年数据泄露后的基因数据

27 个州和哥伦比亚特区已对 23andMe 提起诉讼，旨在阻止这家已破产的 DNA 检测公司出售其客户的基因数据。该诉讼在破产法院提起，核心围绕 2023 年的一次数据泄露事件，该事件暴露了近 700 万人的敏感健康信息，并指控 23andMe 在该事件的严重性上误导了消费者。这场官司关系到约 1500 万客户的基因数据，他们从未同意将自己最私密的生物信息拍卖给出价最高者。

这起案件不仅关乎企业疏忽，更向注重隐私的消费者抛出了一个更棘手、更令人不安的问题：当隐私风险不是密码、IP 地址或电子邮件，而是你真实的 DNA 时，会发生什么？

诉讼具体指控了什么

各州总检察长组成的联盟主要基于两方面展开论证。其一，23andMe 在 2023 年数据泄露前后均未能充分保护用户数据，致使数百万客户面临无法预见的伤害。其二，该公司淡化了事件的波及范围，误导了原本可能采取措施自我保护或要求删除数据的客户。

眼下，鉴于 23andMe 已申请破产，人们担心的是，在原有承诺下收集的基因数据，可能会被转让给遵循完全不同政策的新所有者。最初同意分享 DNA 用于祖源研究或健康洞察的客户，可能会发现这些数据被一个陌生的第三方吸收，而该第三方没有任何义务遵守原服务条款。

多个州已有法律专门针对这一情形。例如，佛罗里达州禁止未经客户明确同意出售基因数据，并附有刑事处罚和罚款。但并非所有州都有此类保护，这也正是协调多州共同提起诉讼的必要性所在。

为什么你的隐私工具无法保护基因数据

这是大多数数字隐私报道避而不谈的部分。VPN、加密通讯应用、隐私浏览器及类似工具，在保护一类数据上很有效：即你以数字方式传输或生成的信息。它们可以遮蔽你的 IP 地址、浏览记录和通讯内容不被拦截。

但对于你已经以实物形式自愿交出的数据，它们却无能为力。当你把唾液样本寄给一家 DNA 检测公司时，网络层面的隐私保护便不再适用。数据在公司的服务器上进行收集、处理和存储。从那一刻起，你的隐私就完全取决于该公司的安全实践、合同义务以及你所在司法管辖区提供的法律保护。

这一区别之所以重要，是因为它改变了风险的本质。在大多数数字隐私威胁中，用户拥有持续的主动权。你可以停止使用某项服务、清除你的数据，或转向更注重隐私的替代方案。但对于基因数据，信息是不可改变的。你的 DNA 无法被更改、重置或撤销。一旦遭泄露或被出售，这种暴露便是永久性的。

这对你意味着什么

如果你是 23andMe 的客户，这起诉讼意味着目前存在一项积极的法律行动，旨在阻止你的数据在未经同意的情况下被出售。然而，法律程序需要时间，而破产法院的结果也永远无法保证，因为债权人的利益往往与消费者保护直接冲突。

现在有具体的措施值得采取。首先，检查你是否已向 23andMe 提交过数据删除请求。该公司历来提供这一选项，尽管破产程序会使事情复杂化，但提交正式的删除请求能创建一份记录你意图的书面证明。其次，审查你在创建账户时签署的任何同意协议，因为这些文件可能概述了你在公司转让过程中的权利。

具体到 23andMe 之外，这起案件也及时提醒我们更广泛地思考基因隐私。任何收集生物特征或生物数据的服务——无论是出于健康、健身、祖源还是研究目的——所持有的信息，都超出了常规隐私工具的保护范围。保护此类数据的法律框架在各州之间差异显著，且仍在追赶技术的发展步伐。

对于那些对美国更广泛的隐私立法进展感兴趣的人，Lofgren-Tillis 法案 提供了一个有用的窗口，了解立法者如何思考数字数据权利以及现有保护的局限性。

数据经纪人风险的更大图景

23andMe 的处境也提醒着我们数据经纪人生态系统的运作方式。即便是出于善意目的收集的数据，也可能最终落入意图和做法对原始消费者完全未知的当事方手中。破产出售是发生这种情况的一种途径。企业收购、数据许可协议和安全漏洞则是其他途径。

基因数据是现存最敏感的个人信息类别之一。它可以揭示疾病易感性、家族关系和种族遗传背景。在不当之人的手中，它可能被保险公司、雇主或执法机构以消费者从未预料或同意的方式加以利用。

这起多州针对 23andMe 的诉讼，是美国基因隐私权领域的一个重要时刻。无论它是否能成功阻止此次出售，它已经表明，各州总检察长愿意在消费者数据问题上积极协调行动，并且基因数据正日益被视为一个值得加码法律保护的类别。

如果你在任何检测公司存储有基因数据，现在就是审查你账户设置、了解你的删除权利，并在将来向任何服务提交生物数据前三思的时候。没有任何 VPN 能保护你的 DNA，但在分享数据前做出知情决定，才是你拥有的最强大的隐私工具。