23andMe破产案件中的基因数据保护
责编:gltian |2025-04-08 17:10:59案件概况
23andMe是一家以基因检测为核心业务的美国公司,成立于2006年,其业务模式主要是通过向客户提供基因检测工具,收集客户的唾液样本后进行基因分析,向消费者提供关于其基因构成、祖先来源以及可能的遗传疾病风险等信息。在其最辉煌的时期,23andMe的估值超过10亿美元,迄今为止,其已服务过1500万左右用户。
由于商业模式单一等系列复杂原因,2025年3月24日,23andMe密苏里州的一家美国破产法院提交了破产申请。作为破产程序的一部分, 23andMe将出售其大部分资产,其中超过1500万用户的遗传数据是最重要的组成部分。
具体而言,23andMe通过其基因检测服务从客户那里收集各种个人信息包括:
(1)遗传信息(从唾液样本中获得的 DNA 数据);
(2)表型信息(同意的顾客通过在线调查和问卷提供的关于他们的特征、状况、疾病和其他可观察特征的数据);
(3)个人可识别信息(如姓名、联系方式和支付信息等个人详细信息)。
这些数据可能会被出售给新的买家,可能包括医疗保险公司、制药巨头、对冲基金、私募股权公司以及广告商等。这些公司购买基因数据的目的可能是出于科学研究或医疗用途,也可能会将基因数据用于商业利益的开发,例如通过基因数据来预测消费者的健康状况从而进行精准营销,或者利用基因数据来评估保险风险等。这可能是目前最大的一笔待出售的基因数据。
该公司在声明中表示,破产程序是为了重组公司并出售其资产,同时强调在出售过程中将遵守隐私政策,保护客户的基因数据,具体的措施包括继续遵守现有的隐私政策、明确告知客户有权要求删除其数据和销毁样本、确保访问权限限制措施和存储安全等。一旦数据被出售给不可靠的第三方,很难保证其不会被用于非法目的。
适用的法律
1. 破产法中的消费者数据保护
在23andMe的破产程序中,消费者数据将受到美国《破产法》的保护。《破产法》定义了“个人可识别信息”(PII),包括个人在获取产品或服务时提供的信息,如姓名、地址、电话号码、社会安全号码、信用卡账户、出生日期等。这些信息在破产程序中受到保护,以防止未经授权的披露或使用。
《破产法》的规定要求出售必须符合公司破产申请时生效的隐私政策,或者任命消费者隐私监察员以确保消费者利益得到保护。在23andMe破产案件的初期听证会上,美国破产受托人(破产系统的公共监督机构)建议任命消费者隐私专员。
美国联邦贸易委员会(FTC)在保护消费者隐私方面发挥着至关重要的作用,尤其是在涉及破产案件中个人信息出售或转让的情况。FTC 有介入此类案件的历史,以确保消费者数据按照原始数据收集者制定的隐私政策进行处理。例如,在2015年的 RadioShack 破产案件中,鉴于 RadioShack 曾向消费者作出广泛的隐私承诺,包括不销售其信息的承诺,FTC建议了具体的销售条件以保护 RadioShack 收集的消费者数据:数据不应作为独立资产出售,而应与其他资产捆绑;任何买家都应在实质上相似的行业中经营,并同意遵守 RadioShack 的原有隐私政策;任何买家在使用数据的方式与原有承诺有重大差异之前,应提供通知并获得消费者的明确同意。
2. 隐私保护法
《健康保险可携带性和问责制法案》(HIPAA) 是美国联邦层面保护个人健康信息的重要立法。然而,HIPAA并不适用于23andMe持有的基因数据。原因在于HIPAA专门适用于受覆盖实体(如医生、医院和健康计划)及其业务伙伴,而23andMe并非这里定义的受覆盖实体。
因此,目前仅州一级的隐私保护法及相关法律能够覆盖23andMe所持有的基因数据。例如,加利福尼亚州总检察长已根据《遗传信息隐私法》(GIPA)和《加利福尼亚州消费者隐私法》(CCPA)针对该案件发出一份通告,提示加州居民有权删除23andMe持有的他们的基因数据以及撤回关于 23andMe 和第三方研究人员使用数据和样本进行研究的同意。
那么,如果美国已经有了联邦层面的统一隐私保护法,就能够解决23andMe案件中的基因数据保护问题吗?答案是否定的。原因在于,目前的数据隐私法律大多基于个人同意原则,但由于每个个人和他/她的亲属共享大量的基因组数据,一个DNA样本很难真正匿名。例如,一个人的父亲选择进行DNA检测并同意处理其数据,这同时也意味着他同意处理与他有血缘关系的其他家庭成员的部分基因信息。这种情况下,一个人的同意可能会侵犯整个生物群体的基因隐私。
小结
基因数据的特殊性在于其高度敏感性和不可变更性。与信用卡信息等其他个人数据不同,基因数据一旦泄露,消费者无法像更换信用卡那样轻易地“更换”自己的基因信息。这使得基因数据一旦被不当利用,其潜在危害更为深远和持久。
尽管能够在现行法律框架下寻求不同层面的保护,23andMe案件仍凸显出当前法律框架在基因数据保护方面的挑战,特别是依赖同意作为个人信息处理合法性基础的局限性。随着医疗健康领域的数字化水平不断提升,从疾病诊断、个性化医疗到健康管理等,个人信息的价值日益凸显,愈发广泛的应用趋势也不可逆转。因此,在保障个人数据的合理利用的同时,确保消费者的隐私和权益不受侵犯,需要法律、技术等多方面的共同努力。
(完)
参考资料
- https://www.dw.com/en/23andme-privacy-risks-of-gene-data-being-sold-or-leaked/a-72056522
- https://www.abc4.com/news/wasatch-front/utah-genetic-data-protections-23andme/
- https://www.theguardian.com/science/2025/apr/05/genetic-data-breach-23andme-bankruptcy
- https://www.ftc.gov/news-events/news/press-releases/2015/05/ftc-requests-bankruptcy-court-take-steps-protect-radioshack-consumers-personal-information