您不僅僅是一個數據點。 「選擇退出」功能旨在協助您重掌隱私。
過去十年間,像Ancestry.com和23andMe這樣的面向消費者的基因檢測服務在美國已變得非常普及。這些服務迎合了美國人尋找遠親、補全家族史或了解自身健康狀況的需求。但如果你迫不及待地想要採集口腔拭子或將唾液吐入塑膠管中(或已經這麼做了),那麼你應該了解將你的整個基因組郵寄出去所涉及的隱私風險。
或許在併購中,你的資訊會變成一項金融資產;或許服務的條款和條件會在未通知的情況下發生變更;又或許公司會永久保存你的生物樣本。所有這些情況都可能使公司以你未同意的方式處理和分析你的數據。如果新興技術和方法允許他人以目前未知的方式使用你的基因組,造成我們甚至無法想像的問題,那麼情況就尤其危險。
法律存在缺陷。
在醫療機構(例如醫院、診所或醫生辦公室)進行的基因檢測與在家中進行的基因檢測有很大的差異。前者受到兩項強有力的法律保護:一是《健康保險流通與責任法案》(HIPAA),該法案規定,美國公民必須明確同意才能將其健康數據分享給第三方;二是《基因資訊非歧視法案》(GINA),該法案保護人們免受基於基因數據的勞動和保險歧視。
遺憾的是,這兩項立法並不適用於直接面向消費者的基因檢測。唯一對該市場擁有管轄權的政府機構是聯邦貿易委員會(FTC),該機構負責保護消費者免受欺詐和不公平行為的侵害,並可在公司未能履行對消費者的承諾時對其進行處罰。然而,FTC並非為生物資料共享方面的消費者提供具體保護,其管轄範圍僅限於公司未能履行其在保密性或安全性方面的廣告承諾的情況。
今年6月,美國聯邦貿易委員會(FTC)對1Health.io處以罰款,原因是該公司「欺騙消費者,讓他們誤以為可以刪除自己的數據,並且在未充分通知和徵得已收集數據的消費者同意的情況下,追溯性地更改了其隱私政策」。這家總部位於舊金山、市值4000萬美元的公司最終只被罰款7.5萬美元,FTC將把這筆錢用於向客戶退款。
「(聯邦貿易委員會)在這個領域並沒有表現得非常積極。他們確實擁有相當大的權力,但他們並沒有像他們本可以的那樣充分行使這些權力,」范德比爾特大學社區環境基因隱私和身份中心 (GetPreCiSe) 的教員、刑法和程序專家克里斯托弗·斯洛博金 (Christopher Slobogin) 說。
斯洛博金表示,由於諸多限制、缺乏清晰的指導原則和資源,聯邦貿易委員會被迫採取以溝通為主導的方式,集中精力發布消費者公告和麵向消費者的基因檢測供應商及製造商的通用指南。因此,企業只能進行自我監管,而規範企業與消費者關係的唯一文件就是企業自行製定的隱私權政策與條款細則。而這些文件本身就存在著許多問題。
家用基因檢測公司的服務條款往往缺乏完善。
2018 年,Slobogin 和他以前在 GetPreCiSe 的同事 James Hazel 進行了一項研究,調查了 90 家美國家庭基因檢測服務的隱私權政策,並發現了一些令人擔憂的原因。
首先,超過40%的公司要不是沒有易於取得的隱私權政策,就是現有的政策僅規範了網站的使用,而沒有涉及基因資訊的處理、使用、分析和儲存。這使得用戶在註冊網站服務或購買檢測試劑盒之前無法做出知情選擇。研究中三分之二的公司表示,他們可能會單方面修改隱私權政策,並聲稱可以隨時進行修改。大多數公司沒有提及通知客戶的義務,而是建議用戶自行尋找隱私權政策的更新。
這無疑為用戶帶來了責任,讓他們必須隨時了解特定公司及其隱私權政策的最新動態。這不僅因為很少人會閱讀條款和條件,更不用說多次閱讀了,而且還因為這些文件篇幅冗長、晦澀難懂。
「不幸的是,(閱讀條款和條件)可能是一件非常麻煩的事情——它們是由律師編寫的,是為律師編寫的,」斯洛博金說。
這使得公司可以隨時更改遊戲規則,而無需告知用戶。不僅如此,大多數公司(57%)僅提供模糊的信息,說明他們究竟會與處理實驗室共享哪些用戶信息;只有39%的公司表示,在將用戶的生物數據送檢之前,他們會盡力刪除個人數據,以盡可能保護用戶的匿名性。研究並未明確指出,例如,這指的是樣本中的生物標記物,還是樣本標籤上的身份資訊。
預設情況下,大多數公司會保留您的資料(和樣本)並與之共享。
當你進行居家基因檢測時,你可以預料到服務提供者會將你的基因資訊分享並出售給第三方,例如大學和其他教育機構,這些機構通常會將數據用於科學研究。有些公司不讓用戶選擇與誰分享你的數據,但也有一些公司會提供這項選擇。例如,GEDmatch 和 Family Tree DNA 允許使用者選擇是否與執法部門分享數據,這有助於偵破暴力犯罪案件。值得慶幸的是,這些公司並沒有默認這樣做,但這項安排是在這些公司因向正在進行的調查提供客戶資料而遭到消費者強烈反對之後才做出的。不幸的是,即使選擇退出,也無法有效阻止警方獲取你的基因組信息,因為警方已經能夠獲取那些自認為已選擇退出的人的生物數據。
GetPreCiSe 2018 年的一項研究指出,無論是出於警務還是研究目的,沒有一家公司提供與其共享客戶資料(無論是否匿名)的所有第三方的完整列表,而且企業在這方面常常含糊其辭或模棱兩可。人們送檢的生物樣本也有類似情況。
2016年發表在《新遺傳學與社會》雜誌上的一項研究發現,消費者期望家用基因檢測公司分析他們的樣本,與他們分享結果,並在之後立即銷毀樣本。遺憾的是,這並非通常的做法。
根據 GetPreCiSe 的研究,只有少數公司在其隱私權政策中提及了客戶樣本的處理方式。在這些提及的公司中,大多數表示會保存樣本。這意味著這些服務可能會利用未來的技術重新分析樣本,從而獲得更多關於你的數據。美國最大的家用基因檢測公司之一 23andMe 會無限期地保存你的唾液樣本,但你可以輕鬆地進入帳戶設置,指示該公司丟棄你的生物樣本。
無論您是同意公司保留您的樣本(或忘記選擇退出),還是在收到報告後要求其銷毀樣本,您都必須了解,如果您接受檢測的公司破產、合併或被新所有者收購,您的生物樣本和生物數據將會如何處理。 GetPreCiSe 的研究顯示,不幸的是,只有 36% 的此類服務在其服務條款中提及了這種可能性。在這些情況下,條款通常規定使用者的生物資料將被視為金融資產並轉移給新的所有者,而即使是那些考慮過此問題的公司,也只有一半承諾資料將受到與檢測時相同的隱私保護措施的約束。這導致消費者完全無法控制自己的生物樣本和基因數據,新公司可以隨意使用這些數據,而無需通知或徵得他們的同意。鑑於該行業的動態性,這一點尤其重要:在研究開展八個月後,已有六家公司倒閉,三家公司更名或與其他公司合併。
你應該在家進行基因檢測嗎?
你可能出於多種原因想要進行基因檢測。 2021 年發表在PLOS One上的一項針對祖源和親緣關係測試的調查發現,人們的動機多種多樣——從單純的好奇和娛樂,到希望填補家族歷史的空白。後者對於那些被收養或親屬較少的人來說尤其重要。但斯洛博金表示,對其他人來說,這些服務通常提供了比更全面的醫學檢測更便宜的選擇,儘管它們的品質和準確性仍有爭議。
無論出於何種原因,郵寄唾液樣本都是個人決定,只有您自己才能判斷其潛在價值是否足以抵消風險。但事實是,基因數據極其敏感,多項研究表明,匿名資訊可以被重新識別。這意味著,只要擁有合適的資源和技術,就有人可以在原始數據集中找到您的匿名生物數據,並追溯到您本人,從而了解到遠超您希望陌生人知曉的個人資訊。
放棄居家基因檢測聽起來是個好主意,主要是因為居家基因檢測缺乏醫療機構提供的類似服務所享有的法律隱私保護。但如果你決定購買檢測盒,斯洛博金建議你選擇那些以保密為賣點的大品牌。他解釋說,這些公司通常擁有更全面的隱私權政策,甚至會向消費者提供政策摘要,這在你試圖理解條款和條件時非常有用。
無論你選擇哪家公司,務必確保你能要求他們刪除你的資料並銷毀你的生物樣本,並且在服務結束後立即執行此操作。這是確保只有你才能接觸到你的敏感生物數據的最佳途徑。
