23andMe破產案件中的基因數據保護
責編:gltian |2025-04-08 17:10:59案件概況
23andMe是一家以基因檢測為核心業務的美國公司,成立于2006年,其業務模式主要是通過向客戶提供基因檢測工具,收集客戶的唾液樣本后進行基因分析,向消費者提供關于其基因構成、祖先來源以及可能的遺傳疾病風險等信息。在其最輝煌的時期,23andMe的估值超過10億美元,迄今為止,其已服務過1500萬左右用戶。
由于商業模式單一等系列復雜原因,2025年3月24日,23andMe密蘇里州的一家美國破產法院提交了破產申請。作為破產程序的一部分, 23andMe將出售其大部分資產,其中超過1500萬用戶的遺傳數據是最重要的組成部分。
具體而言,23andMe通過其基因檢測服務從客戶那里收集各種個人信息包括:
(1)遺傳信息(從唾液樣本中獲得的 DNA 數據);
(2)表型信息(同意的顧客通過在線調查和問卷提供的關于他們的特征、狀況、疾病和其他可觀察特征的數據);
(3)個人可識別信息(如姓名、聯系方式和支付信息等個人詳細信息)。
這些數據可能會被出售給新的買家,可能包括醫療保險公司、制藥巨頭、對沖基金、私募股權公司以及廣告商等。這些公司購買基因數據的目的可能是出于科學研究或醫療用途,也可能會將基因數據用于商業利益的開發,例如通過基因數據來預測消費者的健康狀況從而進行精準營銷,或者利用基因數據來評估保險風險等。這可能是目前最大的一筆待出售的基因數據。
該公司在聲明中表示,破產程序是為了重組公司并出售其資產,同時強調在出售過程中將遵守隱私政策,保護客戶的基因數據,具體的措施包括繼續遵守現有的隱私政策、明確告知客戶有權要求刪除其數據和銷毀樣本、確保訪問權限限制措施和存儲安全等。一旦數據被出售給不可靠的第三方,很難保證其不會被用于非法目的。
適用的法律
1. 破產法中的消費者數據保護
在23andMe的破產程序中,消費者數據將受到美國《破產法》的保護。《破產法》定義了“個人可識別信息”(PII),包括個人在獲取產品或服務時提供的信息,如姓名、地址、電話號碼、社會安全號碼、信用卡賬戶、出生日期等。這些信息在破產程序中受到保護,以防止未經授權的披露或使用。
《破產法》的規定要求出售必須符合公司破產申請時生效的隱私政策,或者任命消費者隱私監察員以確保消費者利益得到保護。在23andMe破產案件的初期聽證會上,美國破產受托人(破產系統的公共監督機構)建議任命消費者隱私專員。
美國聯邦貿易委員會(FTC)在保護消費者隱私方面發揮著至關重要的作用,尤其是在涉及破產案件中個人信息出售或轉讓的情況。FTC 有介入此類案件的歷史,以確保消費者數據按照原始數據收集者制定的隱私政策進行處理。例如,在2015年的 RadioShack 破產案件中,鑒于 RadioShack 曾向消費者作出廣泛的隱私承諾,包括不銷售其信息的承諾,FTC建議了具體的銷售條件以保護 RadioShack 收集的消費者數據:數據不應作為獨立資產出售,而應與其他資產捆綁;任何買家都應在實質上相似的行業中經營,并同意遵守 RadioShack 的原有隱私政策;任何買家在使用數據的方式與原有承諾有重大差異之前,應提供通知并獲得消費者的明確同意。
2. 隱私保護法
《健康保險可攜帶性和問責制法案》(HIPAA) 是美國聯邦層面保護個人健康信息的重要立法。然而,HIPAA并不適用于23andMe持有的基因數據。原因在于HIPAA專門適用于受覆蓋實體(如醫生、醫院和健康計劃)及其業務伙伴,而23andMe并非這里定義的受覆蓋實體。
因此,目前僅州一級的隱私保護法及相關法律能夠覆蓋23andMe所持有的基因數據。例如,加利福尼亞州總檢察長已根據《遺傳信息隱私法》(GIPA)和《加利福尼亞州消費者隱私法》(CCPA)針對該案件發出一份通告,提示加州居民有權刪除23andMe持有的他們的基因數據以及撤回關于 23andMe 和第三方研究人員使用數據和樣本進行研究的同意。
那么,如果美國已經有了聯邦層面的統一隱私保護法,就能夠解決23andMe案件中的基因數據保護問題嗎?答案是否定的。原因在于,目前的數據隱私法律大多基于個人同意原則,但由于每個個人和他/她的親屬共享大量的基因組數據,一個DNA樣本很難真正匿名。例如,一個人的父親選擇進行DNA檢測并同意處理其數據,這同時也意味著他同意處理與他有血緣關系的其他家庭成員的部分基因信息。這種情況下,一個人的同意可能會侵犯整個生物群體的基因隱私。
小結
基因數據的特殊性在于其高度敏感性和不可變更性。與信用卡信息等其他個人數據不同,基因數據一旦泄露,消費者無法像更換信用卡那樣輕易地“更換”自己的基因信息。這使得基因數據一旦被不當利用,其潛在危害更為深遠和持久。
盡管能夠在現行法律框架下尋求不同層面的保護,23andMe案件仍凸顯出當前法律框架在基因數據保護方面的挑戰,特別是依賴同意作為個人信息處理合法性基礎的局限性。隨著醫療健康領域的數字化水平不斷提升,從疾病診斷、個性化醫療到健康管理等,個人信息的價值日益凸顯,愈發廣泛的應用趨勢也不可逆轉。因此,在保障個人數據的合理利用的同時,確保消費者的隱私和權益不受侵犯,需要法律、技術等多方面的共同努力。
(完)
參考資料
- https://www.dw.com/en/23andme-privacy-risks-of-gene-data-being-sold-or-leaked/a-72056522
- https://www.abc4.com/news/wasatch-front/utah-genetic-data-protections-23andme/
- https://www.theguardian.com/science/2025/apr/05/genetic-data-breach-23andme-bankruptcy
- https://www.ftc.gov/news-events/news/press-releases/2015/05/ftc-requests-bankruptcy-court-take-steps-protect-radioshack-consumers-personal-information