23andMe因数据泄露被罚400万加元

基因检测公司23andMe因数据泄露被英国处罚 400万加元

加拿大和英国监管机构联合调查后发现，基因检测公司23andMe在2023年遭受黑客攻击时未采取基本的数据保护措施，导致近700万用户敏感信息泄露。英国将对该公司处以231万英镑（约合400多万加元）罚款，加拿大方面则因法规限制无法开出类似罚款。

本周二，加拿大隐私专员Philippe Dufresne和英国信息专员John Edwards在渥太华联合召开记者会，公布调查结论。Dufresne表示：“数据泄露日益严重、勒索软件与恶意攻击不断增长的当下，任何未优先保障数据安全的企业都将面临极大风险。我们调查发现，23andMe根本未配备必要的基本安全措施。”

黑客侵入23andMe系统后窃取了大量用户数据，其中包括近32万名加拿大用户的敏感信息，这些信息随后被放置在暗网兜售。泄露内容涵盖健康状况、种族与族群背景、亲属关系、出生日期、性别认同以及源自DNA分析的高度敏感数据。据多家外媒调查报道，黑客以“阿什肯纳兹犹太人基因”，“华裔族谱”等标签打包贩卖数据，将数十万拥有特定族群背景的用户信息单独分类、整理后公开售卖。

23andMe成立于2006年，总部位于美国加州，提供居家唾液样本DNA测试包，分析健康风险与祖源。该公司曾拥有超过1500万用户，2021年上市，但从未盈利。

在2024年6月，加英监管机构启动联合调查，旨在评估此次数据泄露范围及23andMe的应对表现。Dufresne当时指出：“基因信息若落入不当之手，可能被用于监控或歧视行为。数据隐私监管机构必须确保这些极敏感资料不被滥用。”

2024年3月，23andMe宣布破产。2025年6月13日，公司宣布被由联合创始人Anne Wojcicki领导的非营利组织以3.05亿美元收购。 英国信息专员John Edwards痛批：“23andMe未能采取最基本的措施保护客户数据。安全系统明显不合格，预警信号早已出现，公司却反应迟缓，最终让用户最敏感的个人信息暴露于风险与伤害之中。” Dufresne也表示，他们对泄露数据随后在网上被出售的情况感到担忧。

他强调：“持有敏感数据的机构必须将强有力的数据保护放在首位，并主动应对网络攻击。措施应包括：多重身份验证、强密码要求、密码泄露检测、异常活动监测等。”

阅读本文之前，你最好先了解...

• 基因检测数据的价值和风险: 您的基因信息包含了关于您的健康状况、家族史以及种族背景等大量敏感数据。这些数据对于医疗研究具有重要意义，但也可能被用于歧视或其他恶意目的。
• 数据安全的重要性: 在数字时代，保护个人数据比以往任何时候都更加重要。无论是政府机构还是私营企业，都需要采取严格的安全措施来防止数据泄露和滥用。
• 监管机构的作用: 像加拿大隐私专员和英国信息专员这样的机构负责监督企业的隐私政策和数据安全措施，并对违反规定行为进行调查和处罚。

23andMe的案例提醒我们，即使是看似安全的线上平台也存在着潜在的风险。 为了保护您的个人数据，您可以采取以下措施:

• 谨慎选择使用基因检测服务: 在提供您的个人信息之前，请仔细阅读服务条款和隐私政策，并确保您了解数据的用途和保护措施。
• 设置强密码并启用多重身份验证: 这可以帮助防止未经授权的访问您的帐户。
• 定期检查您的信用报告: 如果您怀疑您的数据已被泄露，请立即联系相关的机构进行处理。

23andMe的情况也引发了一些更广泛的讨论：

• 隐私权与科技进步之间的平衡: 如何在保护个人隐私的同时促进科技创新是一个复杂的挑战。
• 对基因数据的监管和伦理规范: 随着基因检测技术的不断发展，如何确保基因数据得到合理利用并避免歧视或其他滥用行为成为一个越来越重要的议题。

如果你有其它意见，请评论留言。