编者按:5月19日,再生元制药宣布成为破产拍卖中的中标者。购买23andMe及其资产为2.56亿美元。 Regeneron 表示将延续 23andMe 的隐私政策。 (再生元制药公司是科学与公众协会的主要财务支持者,该协会出版了科学新闻.)
一个基因数据巨头正在倒下,目前尚不清楚数百万人最私密的个人信息在事件发生后会发生什么。
3月23日,DNA检测公司23andMe宣布申请破产法第11章,此举旨在促进其销售——以及全球超过 1500 万客户的基因数据。破产法庭听证会定于 3 月 26 日开始。
自从 2023 年的一次数据泄露事件暴露了约 700 万用户的血统信息(在某些情况下还包括健康数据)以来,这家总部位于旧金山的公司一直陷入困境。 404 Media公开的破产文件显示,超过50起集体诉讼紧随其后。
局势再度火热。 2018年金州杀手被捕,,首先对基因数据的安全性提出了警告。新泽西州普林斯顿高级研究所的科学社会学家阿隆德拉·尼尔森表示,由于州级立法错综复杂,除了禁止雇主和健康保险公司(但不包括人寿保险公司或其他实体)进行基因歧视的规则之外,没有明确的联邦监督,基因检测公司可以自由地制定自己的规则。
“我们进入这个行业已经 20 年了,我们即将进行 1500 万组个人数据的大规模交换,但我们仍然没有找到保护人们的政策,”Nelson 说。
23andMe 向客户保证,破产“不会改变我们存储、管理或保护客户数据的方式”。该公司表示,任何未来的买家都会遵守这些数据标准。但加州总检察长 Rob Bonta 敦促加州民众指示 23andMe删除他们的数据并销毁公司储存的任何生物样本。全国其他司法部长也响应这一呼吁,并让居民意识到自己的权利。
风险不仅仅在于隐私。遗传学研究人员使用 23andMe 数据来研究人类祖先和。如果客户清理他们的数据,这些遗传信息的缓存可能会丢失。此外,公司还收集每周约 200 万份调查回复爱荷华大学的法律健康隐私学者 Anya Prince 和密歇根大学的生物伦理学家 Kayte Spector-Bagdady 在 2 月 25 日的《关于生活方式、健康和特征》中写道美国医学会杂志。他们指出,这些数据可以推动从药物研究到有针对性的营销活动等一系列应用。
为了解开利害攸关的问题,科学新闻采访了白宫科技政策办公室前代理主任尼尔森和研究基因检测的伦理、法律和社会影响的普林斯。为了长度和清晰度,对话已被编辑。
序列号: 为什么23andMe宣布破产是一件大事?
王子:这是一件大事,因为如果你想想为什么 23andMe 的估值高达 60 亿美元,那是因为他们所持有的数据的货币价值的承诺。如果约翰迪尔破产,它将出售拖拉机零件,出售工厂。这比让资产成为数百万人的数据要容易得多,而且不仅仅是数百万人的数据,而是数百万人非常敏感的遗传和健康数据。
纳尔逊:根据 23andMe 自己的统计,1500 万客户指望他们能够继续营业并能够保证数据安全。 23andMe 提供的部分服务是,他们可以告诉人们有关他们自己和家人的事情,以及他们可能无法获得的私密细节。你期望一家声称能告诉你有关你自己的事情的公司或关系能够留下来。
当数据泄露发生时,我们并不确切知道该怎么做,也不太清楚破产后数据会发生什么。关于如何处理直接面向消费者的基因检测,我们在立法和政策上都失败了。我们对基因检测的了解是,它可以用于法医应用,也可以用于医疗保健应用。我们关于隐私和医疗保健数据保护的法律(例如 HIPAA)或我们关于法医数据的法规和规范不适用于消费者基因检测。
有很多公司开始进行类似的测试,但最终倒闭或被其他公司收购。因此,行业中存在一种模式,即当公司被收购或交易时,我们无法确切知道这些数据发生了什么。
序列号:人们应该从 23andMe 删除数据,还是应该保留这些数据以便研究人员使用?
王子:例如,我是一个非常非常注重隐私的人,因此,如果我的数据在 23andMe 这样的公司中,我会想删除它,因为我不太愿意共享我的数据,而且我对此的控制力更强。我认识很多同样理性的人,他们说:“不,我希望我的数据能够用于研究。”
有些人说,“我了解风险。我明白,由于我们的联邦隐私法存在缺陷,我无法控制谁购买我的数据以及如何使用数据。”如果有人对此表示同意,那么也许他们不需要删除它。
但如果人们说,“不,我担心获得保险。我担心我的数据会被公开。我担心执法部门如何获取这些数据”——无论人们具体关心什么——或者只是希望他们的数据保密并知道与谁共享,那么我认为删除数据是一个很好的步骤。还有其他方法可以提供数据来帮助研究,这些方法可能更符合人们的目标或舒适度。
纳尔逊:我们必须开放更多我们可以做的事情——而且我们需要尽快完成——以帮助人们保护他们的数据。如果他们想用它来进行研究,那就太好了。
更大的问题是您如何知道您的数据已被删除?它是否从所有内容中删除?是否正在与其他合作伙伴进行合作,数据可能会传播到实验室、研究实验室和其他地方?所以,当然,要求删除数据,但我认为我们也希望对数据进行法证核算。
这不仅仅是某人的 Facebook 个人资料。如果您想删除它,您需要确保它已被删除。我们如何才能创建一个协议或规范,或者真正呼吁 23andMe 采取高尚的行动,并向人们保证数据实际上已从每个数据库、每个硬盘、每个合作者的研究计算机中删除?
序列号:对于 23andMe 被出售给其他实体,您最担心的是什么?
王子:整件事凸显出人们对如何共享数据知之甚少。
[例如,23andMe 的]隐私政策规定,如果破产,基因数据可以出售。它说新公司必须遵守现有的隐私政策。但现有的隐私政策也表示可以随时更改。
这确实让消费者几乎没有追索权。我们拥有的一项权力就是删除数据。挑战在于它是丰富的研究资源,所以这是一种耻辱。
纳尔逊:我担心 1500 万客户,其中许多人如果不关注新闻,可能不知道正在发生这种情况。他们可能还不知道 2023 年发生的泄露事件。
我特别担心边缘化和弱势社区,他们有基于遗传学观念的镇压和压迫历史,以及这对非洲裔社区和犹太裔社区意味着什么。
2019 年,国防部写信给所有员工,特别是那些在敏感领域工作的员工,并表示:“你知道吗?我们建议你们不要在圣诞节或光明节进行这些直接面向消费者的基因测试,因为我们担心这些信息可能会泄露,而且我们担心这些信息可能会被恶意的外国行为者利用。”人们的个人数据在世界范围内传播是危险的。
如果有人对 23andMe 保证遵守他们制定的任何规则表示怀疑,那是不傻的。该公司陷入困境,正在寻求出售。在这次出售的谈判中将做出哪些权衡? 1500 万人的数据隐私会成为这些权衡之一吗?
