DNA检测公司23andMe申请破产，用户数据处置引争议

iWeekly

当地时间3月23日，基因检测公司23andMe申请破产。这引发了使用该服务并提交DNA样本进行分析的用户对其基因数据未来命运的担忧。在破产程序中，客户数据可能被视为资产，并可能被出售或转移给第三方。自建立之初，23andMe的用户数据安全问题就一直饱受争议。在AI大发展的时代，23andMe掌握的用户DNA数据对于竞争激烈的AI行业来说将是一个极为宝贵的“资产”。AI公司不仅可以根据这部分数据掌握23andMe用户的健康情况，也可以用来训练AI模型。这意味着23andMe公司的用户数据具有极强的商业潜力，用户数据滥用的可能性也将增加。因此，加利福尼亚州司法部长罗伯·邦塔（Rob Bonta）呼吁23andMe用户：“要求公司删除您的数据，并销毁所有存储的基因样本。”

“数据宝库”

23andMe这家总部位于加利福尼亚州的生物科技公司多年来一直面临财务困难，主要是由于用户在完成一次性DNA测试后缺乏复购意愿。为了解决财务问题，23andMe去年11月就曾裁员超过200人，约占员工总数的40%。即便如此，公司也未能撑过财务危机。23andMe于今年3月23日最终申请了破产保护。该公司联合创始人兼CEO安妮·沃西基（Anne Wojcicki）立即辞去CEO职位。23andMe表示，申请破产保护将有助于公司出售自身。这意味着它正在寻求新的所有者。此外，该公司计划减少办公场所，并请求法院终止位于旧金山和加利福尼亚州森尼韦尔（Sunnyvale）等地的租赁合同，以降低成本。但在此期间，公司仍将继续运营。

沃西基在社交媒体X上表示，她个人希望收购公司。然而公司董事会本月早些时候拒绝了她的收购提议。不过，沃西基仍计划参与23andMe的竞购，希望在破产程序中收购公司。在社交媒体上，她表示辞去CEO一职是为了“以独立竞标者的身份处于最佳位置”。

23andMe在2021年上市后市值曾高达60亿美元，如今这家公司估值仅约4800万美元。不过，23andMe持有1500万用户的基因数据，对于AI公司来说具有极大的吸引力。科技公司如OpenAI和谷歌正投入大量资源，试图在医疗领域产生影响。23andMe的数据宝库，可能会吸引这些有实力收购它的大型AI公司。坦普尔大学福克斯商学院教授苏博达·库马尔（Subodha Kumar）表示，“数据是新的石油——而这可是高质量石油。随着越来越复杂和严格的算法被开发出来，这对许多公司而言都是一座金矿。”

然而，任何AI公司若试图收购23andMe，都将面临巨大声誉风险。23andMe主要的服务是通过收集用户的唾液，鉴定用户的基因源流，以及健康问题。但若被收购，许多用户可能会惊恐地发现，他们原本只是想追溯祖源，最终自己的基因数据却可能被用作未经同意的用途。

用户数据安全疑云

23andMe在建立之初，用户数据安全一直就饱受争议。23andMe申请破产的时间点距离该公司历史上最大规模的数据泄露事件仅不到两年。2023年12月初，该公司近690万名客户账户信息遭到泄露。黑客通过23andMe客户的旧密码，成功访问了690万用户的个人信息。犯罪分子不仅下载了这些账户的数据，还获取了他们在网站上庞大家庭树中与其他用户相关联的私密信息。被盗数据包括姓名、每个人之间的关系，部分情况下还包括出生年份、所在地、照片、常住地址以及与亲属共享的DNA百分比。

在破产声明中，23andMe 表示，客户数据的隐私性将在任何出售交易中被“重点考虑”。然而，数据隐私法律专家指出，联邦法律对私人公司掌握的基因信息保护有限。“通常情况下，掌握大量个人数据的机构往往是医院或研究机构，这些场所通常受到更严格的监管。” 非营利组织电子隐私信息中心（Electronic Privacy Information Center） 法务顾问苏珊娜·伯恩斯坦（Suzanne Bernstein） 说道。

基因数据对于AI行业来说也是一种新型数据，业内公司从未处理过这类数据。库马尔警告：“某些行业从未处理过此类数据，可能缺乏合适的监管措施。”基因数据一旦泄露，将无法更改，甚至影响用户的家人。再加上AI偏见问题，可能导致在招聘、保险和贷款审批等领域产生歧视。同时，数据一旦出售，或将永无止境。这意味着，基因数据可能会流入不重视道德的公司手中，并缺乏数据保护措施。因此，加州司法部长罗伯·邦塔（Rob Bonta）3月21日发布“紧急通知”，敦促23andMe用户行使权利，要求删除数据并销毁基因样本。

用户有权要求23andMe删除数据吗？

在23andMe官网发布的破产常见问题中，23andMe表示，任何新所有者都必须遵守“适用法律”来处理用户数据，但专家指出，相关法律条款其实非常有限。“《健康保险可携性和责任法案》（HIPAA）适用于医疗机构和保险公司，但不适用于像 23andMe 这样的直接面向消费者的公司，”艾奥瓦大学健康与基因隐私研究教授艾妮娅·普林斯（Anya Prince）表示，“另一项名为 《基因信息反歧视法》（Genetic Information Nondiscrimination Act） 的法律仅限制了雇主和健康保险公司 不得因基因信息而歧视个人。”

“在联邦层面，这基本就是全部的保护措施了。” 普林斯说道。

美国一些州制定了各自的基因隐私法律。根据普林斯2023 年发表的一篇研究文章，至少11个州赋予了消费者对自身基因数据如何使用的控制权。这些州的法律通常允许用户要求公司删除数据，并要求执法机构必须获得法院许可（如搜查令或传票）后，才能访问基因信息。例如，加州法律就允许用户要求公司删除个人数据。

不过，普林斯警告，即使交易尚未完成，许多人可能并不清楚23andMe已经与谁共享了数据。例如，该公司多年来一直向制药巨头GSK提供匿名化数据，以帮助其研发新药。

“大家都在担忧收购者将如何处理这些数据——这当然值得关注，” 普林斯说道，“但事实上，许多用户担心的事情，23andMe早已在做或者已经可以做了。”

图片来源于网络

iWeekly周末画报独家稿件，未经许可，请勿转载