В 2008 году журнал «Time» назвал «Изобретением года» один сервис генетического тестирования, работающий непосредственно с потребителем (DTC). Взяв мазок со щеки, любой желающий мог получить доступ к своему генетическому коду, чтобы выявить свою генетическую предрасположенность или проследить родословную. За время своего существования, это приложение предоставило услуги по генетическому тестированию более чем 15 миллионам клиентов по всему миру и собрало огромный объем геномных данных. В марте 2025 года, после нескольких лет безуспешных попыток получить прибыль, компания объявила о банкротстве. Судьба высокочувствительных геномных данных миллионов людей вскоре стала неопределённой.
Этот крах — не просто история бизнеса обанкротившейся биотехнологической компании, это расплата за то, как правительства регулируют самую конфиденциальную форму персональных данных: ДНК. Ведь геномные данные обладают уникальной чувствительностью — в отличие от пароля или кредитной карты, ДНК нельзя сбросить или заменить. Она неизменна и встроена в сам организм, раскрывая предрасположенность к заболеваниям, родословную и семейные связи. При продаже или взломе информация остаётся постоянной. Эти уязвимости делают персональные геномные данные принципиально отличными от других. Даже при удалении обычных идентификаторов персоны могут быть повторно идентифицированы путём сопоставления их генетического файла с данными дальних родственников — процесс, известный как «генеалогическая триангуляция». Хотя этот метод значительно помогает медицинским исследованиям и громким уголовным расследованиям, но обстоятельство неизменяемости также демонстрирует явный потенциал для использования злоумышленниками.
Эти риски усугубляются отсутствием всеобъемлющей нормативной базы. Законы о защите медицинской информации применяются к больницам и клиническим лабораториям, но не к компаниям, занимающимся генетическим тестированием. Этот нормативный вакуум позволяет таким компаниям управлять пользовательскими данными с помощью письменных условий предоставления услуг, которые часто не подходят для таких сценариев, как корпоративные преобразования. Во время слияний, поглощений и банкротств вопросы подотчётности становятся особенно актуальными. Когда генетическая база данных рассматривается, как передаваемый актив, данные клиентов могут быть приобретены организациями с совершенно иными мотивами, без гарантированного механизма отзыва согласия бывшего клиента. Именно поэтому банкротство этого сервиса привлекло особое внимание к ранее абстрактным проблемам. Сам по себе чувствительный и идентифицирующий характер геномных данных в настоящее время зависит от слабой нормативно-правовой базы.
Проблема утечки сведений о ДНК людей также представляют угрозу национальной безопасности, если они попадают в руки злоумышленников или противников государства. В частности, усилия Китайской Народной Республики (КНР) по сбору, секвенированию и анализу ДНК различных групп населения, включая граждан всех стран, поднимают два взаимосвязанных вопроса:
1. могут ли они впоследствии быть использованы не по назначению для шпионажа или принуждения?
2. может ли односторонний доступ подорвать конкурентоспособность любой из стран в области биотехнологий?
Эксперты по безопасности предупреждают, что геномные данные в сочетании с общедоступной информацией могут быть использованы для повторной идентификации людей по анонимным признакам. Это повышает риск потенциального неправомерного использования: кибератаки, взлом электронных средств охраны, подделка биометрии персонала и т.п. Похищенная личная биометрическая информация может создавать долгосрочные уязвимости. Если бы медицинские или генетические БД были связаны с аналогичными источниками, полученные наборы могли бы обеспечить целенаправленное наблюдение, принуждение или другие разведывательные действия.
Более того, доступ медицинской и геномной персональной информации создаёт долгосрочные экономические проблемы. В то время, как КНР строго ограничивает доступ любых иностранных компаний к таким данным из Китая, но связанные с Поднебесной биотехнологические фирмы получили доступ к серверам в дата-центрах с этой конфиденциальной информацией в других странах, благодаря слияниям, исследовательским партнёрствам и аккредитации лабораторий. Эти каналы могут позволить проводить анализ на уровне населения, что принесёт пользу государственным структурам КНР и поставит биотехнологическую отрасль страны-донора в невыгодное положение. Такая асимметрия может привести к тому, что китайские биотехнологические фирмы вытеснят мировых лидеров в области биотехнологий.
Многие страны обладают разветвлённой системой политик, которая, теоретически, должна защищать конфиденциальные персональные данные от иностранных противников. Но это почти не предотвращает утечку в результате слияний и поглощений структур бизнеса. Однако, поскольку эти полномочия никогда не проверялись в громких делах, связанных с геномными данными, сохраняется значительная неопределённость, которая открывает иностранным фирмам пути для использования любой конфиденциальной информации способами, которые несут в себе как риски для безопасности, так и стратегические экономические последствия.
После упомянутого банкротства многие потребители остро осознали для себя риски, связанные с переходом прав на обширную базу данных генетической информации компании в собственность другого юрлица. Вскоре после объявления о банкротстве другая компания (фармацевтическая) выиграла тендер на приобретение всех активов на аукционе по банкротству. В своём пресс-релизе новый собственник активов попытался заверить общественность, что компания «будет уделять первостепенное внимание конфиденциальности, безопасности и этичному использованию данных клиентов, а также готова сотрудничать с независимым, назначенным судом омбудсменом по защите конфиденциальности клиентов». Но именно в данном случае именно суд признал необходимым назначение омбудсмена — нейтральной, беспристрастной стороны, призванной урегулировать определённые юридические вопросы. Впоследствии таких судебных решений может не последовать.
Данный случай ясно показал, как легко конфиденциальная генетическая информация может просочиться сквозь пробелы в фрагментированной системе регулирования и насколько непроверенными остаются государственные меры защиты от иностранных субъектов. Всем стало понятно, что к геномным данным нельзя относиться, как к любому другому корпоративному активу. Когда компания, владеющая миллионами ДНК-профилей, рушится, последствия выходят за рамки вопросов конфиденциальности и затрагивают национальную безопасность и экономическую конкурентоспособность. По мере развития биотехнологий любое государство не может полагаться на устаревшие, фрагментарные меры защиты. Следующий этап инноваций будет зависеть не только от научного прогресса, но и от создания институтов, способных защитить сам человеческий геном. Политики должны действовать быстро, чтобы устранить пробелы в системе управления, регулирования и безопасностью геномных данных.