个人基因组公司23andMe的破产消息已经突破了商业界的精英圈子,引起了广泛关注,因为这涉及到数百万美国人的遗传信息。这家成立于2006年的公司总部位于旧金山,迄今为止已服务了1500万客户。客户通过邮寄唾液样本进行基因检测,可以生成关于其祖先、遗传健康风险甚至药物代谢能力的综合报告。
本周早些时候,23andMe宣布将申请第11章破产保护,这涉及将其客户的最敏感生物数据出售给出价最高的人。这引发了一个重大问题:谁想要购买你的DNA,为什么?
如果你希望23andMe能吸引一群致力于最终治愈癌症的买家,那可能要失望了。实际上,对23andMe数据感兴趣的公司和机构主要是警察、AI初创公司和制药公司。由于基因检测公司收集的DNA数据不受《健康保险可移植性和责任法案》(HIPAA)的保护——该法案为医疗数据处理设定了严格的隐私标准——用户的敏感遗传信息有可能被用于各种恶意目的。
“这些数据可能被重新用于多种消费者定位活动,从市场营销到广告,甚至勒索。”Blackbird.AI的高级情报分析师Rennie Westcott在电子邮件中告诉Salon。
数据隐私专家兼防病毒软件BlackFog的创始人Darren Williams在电子邮件中告诉Salon,23andMe的基因数据可能“用于身份盗窃或其他恶意用途,潜在影响可能会持续多年。”
执法机构长期以来一直对23andMe的DNA库表现出兴趣。客户首先在网上支付服务费用,然后向公司寄送唾液样本。除了客户的遗传信息外,23andMe还拥有大量其他高度敏感的数据,包括详细的问卷调查和其他元数据。“虽然基因行业的常见做法和23andMe都保持其原始数据去标识化,但存在一定的风险,即去标识化的数据可能通过正确的输入重新识别,特别是结合23andMe的详细问卷和‘寻找亲戚’功能。”Toolbox Genomics的联合创始人兼首席医疗官Erika Gray告诉Salon。
奥克兰的民权律师Adanté Pointer告诉Salon,从地方到州再到联邦政府的执法机构都可能“非常感兴趣”于23andMe的遗传信息宝库。“获取23andMe的数据使他们能够拥有比目前更大的基因信息数据库,以便匹配某个案件中的嫌疑人、受害者甚至目击者。”Pointer解释说。
那些向23andMe提交基因样本的人“可能已经放弃了对该数据库或样本的宪法利益主张”,Pointer表示,公司冗长且“常被忽视”的私人豁免条款也可能已经放弃了个人的权利。“我想象在同意书中有条款允许23andMe及其子公司、分拆公司或购买23andMe资产(包括DNA数据库)的公司按自己的意愿使用这些数据。”Pointer补充道。
Pointer对执法机构使用其他来源的遗传信息并不陌生。2022年,他代表了一名女性,她的DNA样本原本是为了强奸案而提供,但在六年后却被用来逮捕她涉嫌零售盗窃。原告Jane Doe表示,在向旧金山警察局提供DNA样本时,当局曾保证她的DNA将仅用于调查性侵犯。该案最终庭外和解,旧金山市向Doe支付了约20万美元,Pointer告诉Salon。
客户的遗传数据也可能会吸引服务于执法机构的公司,这些公司已经拥有一个准备好处理基因信息的客户群,Pointer表示。
执法机构长期以来一直对23andMe的DNA库表现出兴趣。2015年至2024年间,23andMe收到了15次来自执法部门的请求,但全部拒绝。这一政策可能会随着数据出售给新买家而改变。
除了执法机构,AI公司也可以利用这些遗传信息来训练他们的数据集。“网络犯罪分子已经在使用生成式AI自动化攻击,而大型基因数据集提供了新的前沿领域。”网络安全专家、FBI和特勤局网络安全工作组成员Pete Nicoletti在电子邮件中告诉Salon。
制药公司和精准医疗公司也可以利用这些数据开发新药。这并不是23andMe用户数据第一次被制药公司使用:2018年,制药巨头葛兰素史克(GlaxoSmithKline)以3亿美元的价格收购了23andMe的部分股份,以换取“挖掘其基因数据库开发新疗法”的权利。
“政府和监管机构必须立即介入——制定明确的协议、独立监督和可执行的保障措施——在任何数据转移之前。”
另一家基因检测公司也可能会感兴趣——尽管可能性不大,因为自2021年疫情高峰期以来,对DNA试剂盒的需求已经下降。这有一定道理:那些已经进行过数据分析的人通常只需要一次服务,因此潜在客户数量有限。
“这些数据对药物开发商和制造商来说最有即时价值,因此制药公司很可能是主要买家。”Westcott表示。对于23andMe的消费者来说,这是一个令人不安的时刻。而在很大程度上,这样的数据出售对私营市场和监管机构来说并不新鲜。
“这种做法并不新鲜——用户数据经常在没有任何通知的情况下被买卖。”Westcott解释说。2020年,私募股权巨头黑石集团(Blackstone)以40亿美元收购了Ancestry.com——这只是其中一个高调公开的例子。
但由于23andMe本身将在破产程序中被收购,“基因数据的出售在法律层面上是一个未经测试和未受监管的领域,而在美国,消费者数据的销售历来面临较少的监管障碍。”Westcott表示。
从这个意义上说,这一刻也代表着建立强有力消费者保护措施的机会,以防止敏感生物数据的打包销售。
“政府和监管机构必须立即介入——制定明确的协议、独立监督和可执行的保障措施——在任何数据转移之前。”Nicoletti表示。“一旦这类信息泄露,就永远无法收回。”
考虑到这些买家之一最终可能会获得大约4.4%的美国人的遗传信息——以及他们的亲属的遗传信息——这让人感到不安。许多指南告诉客户如何在公司被出售前删除他们在23andMe上的数据(这是我找到的最实用的指南)。但对于尽其所能保护自己的客户来说,他们仍然很脆弱。
“虽然消费者可能希望基因材料被删除并且不再由23andMe保留,但这是一种天真的想法。”Pointer警告说。“一旦信息进入数据库并在服务器或关联方之间共享,它可能存在于多个位置。”
在犹他州,Gray和她的母亲是选择让数据用于“研究目的”的众多用户之一。“不幸的是,对于我们这些选择参与研究的人来说,研究贡献被描绘成会造福整个社会。”Gray说。对于选择参与研究的用户,公司获得了“分析我们的去标识化数据并可能将其出售给第三方”的许可。
在致客户的信息中,23andMe表示其领导层将在出售过程中“寻找一个分享其保护客户数据隐私承诺的合作伙伴,并将继续其帮助人们访问、理解和受益于人类基因组的使命。”
但这并没有多大意义,Westcott表示。“23andMe公开承诺找到一个对保护客户数据隐私有兴趣的买家,但这只是一个声明,并不对潜在买家产生任何约束力。”23andMe的一位发言人在接受NPR采访时没有就该公司可能如何处理其数据做出超出“一般性的隐私承诺”。
令人惊讶的是,该公司仍在正常运营——并继续欢迎你交出个人数据。“23andMe仍在营业,”公司在一封致客户的公开信中表示。
(全文结束)
