מדינות ארה"ב מעניקות לצרכנים יותר ויותר זכויות פרטיות על המידע הדיגיטלי שלהם, אבל מה עם הנתונים הביולוגיים שלהם? כתובת האימייל ומספר הטלפון שלך רגישים מספיק, אבל הם מחווירים בהשוואה למה שיש ב-DNA שלך. מידע גנטי מאפשר לאנשים להסיק דברים שונים עליך, מהנטייה שלך למחלות מרובות ועד בין אם אתה טיפוס שמחפש ריגושים או לא.
פחות מרבע מאה לאחר מיפוי הגנום האנושי, בדיקות גנטיות ישירות לצרכן (DTC) הן תעשיית צמיחה. לפי YouGov, אחד מכל חמישה האמריקאים כבר שלחו בדואר את ה-DNA שלהם לבדיקה. יותר ממחצית מהמשיבים של YouGov הרגישו שפרטיות היא דאגה, אבל מתפתים לפיתוי של טכנולוגיה חדשה ומלהיבה, הם משתמשים בכל מקרה בשירותים גנטיים של DTC.
הפחדים הללו מפני פרטיות גנטית מבוססים היטב. בניגוד למספר טלפון, אינך יכול לשנות את הגנים שלך - ובכל זאת הפרטיות של המידע הגנטי שלך אינה מוסדרת במידה רבה. עכשיו, הודות למונטאנים המודעים לפרטיות, זה לאט לאט משתנה. המדינה העבירה חוק בשם חוק פרטיות מידע גנטי שמטילה כללים נוקשים לאיסוף ושימוש בנתונים גנטיים.
החוק החדש מפרש 'נתונים גנטיים' באופן רחב כך שיכלול לא רק כל DNA רצף אלא גם כל מידע פנוטיפ מאותו רצף, המאפשר לאנשים לחזות התנהגות ומאפיינים פיזיים. מעבר לכך, הוא כולל גם כל מידע מדווח עצמי על מצבים בריאותיים שבהם משתמשת ישות למחקר יחד עם נתוני ה-DNA האלה.
החל מה-1 באוקטובר, עם חקיקת החוק, כל ארגון השולט במידע גנטי חייב לקבל את הסכמת הצרכן להעבירו, להשתמש בו ולשמור אותו. על הצרכן לתת הסכמה לפני העברת הנתונים לצד שלישי לצורך מחקר.
למה אנחנו צריכים חוק גנטי?
מתי דוחות לצרכן בדק שירותי גנטיקה ידועים של DTC, זה מצא שהם אחראים בדרך כלל עם נתוני ה-DNA של הלקוחות. הם לא מכרו את הנתונים הגנטיים לברוקרי נתונים ודרשו מהלקוחות להצטרף אם הם רוצים שהנתונים ישמשו למחקר. עם זאת, ללא חוקים מתאימים, הדבר מסתמך בעיקר על הריסון העצמי שלהם. הדו"ח ציין גם כי "מחקר" עשוי לכסות כמה מקרי שימוש בלתי-אלטרואיסטיים בלתי צפויים, כולל פיתוח מוצר פנימי, וכי במקרים רבים, נתונים שאינם DNA על אדם, כולל מידע בריאותי, עשויים להיות מועברים גם הם.
חקירת דוחות הצרכנים לא כיסה את 1Health. בספטמבר 2023, ועדת הסחר הפדרלית התיישבו עם חברת הגנטיקה הזו של DTC, שנודעה בעבר בשם Vitagene, על התעללות בנתוני הצרכנים. הנציבות טענה כי החברה שינתה רטרואקטיבית את מדיניות הפרטיות שלה מבלי ליידע את הלקוחות, והרחיבה את היקף צדדים שלישיים להם היא תמסור נתונים. הרשימה המורחבת כללה רשתות סופרמרקטים ויצרני תוספי תזונה.
לפי התלונה של ה-FTC, 1Health/Vitagene גם לא הצליחה לבטל את הזיהוי של נתוני לקוחות על ידי אחסנתם ללא פרטי הזהות הנלווים להם, כגון שמותיהם. על פי הדיווחים, הוא שמר את הנתונים הגנטיים של חלק מהלקוחות יחד עם מידע מזהה אחר, כולל דוחות בריאות ושמות חלקיים או מלאים. חלק מהנתונים אוחסנו לא מוצפן בענן, הנציבות אמר.
בכל מקרה, מידע גנטי קשה במיוחד לאנונימיות. הרעיון הזה - שניתן לחטא את הנתונים בדרך כלשהי כדי למנוע את השימוש בהם לזיהוי מטופל - מוטלת בספק. לא די באחסון הנתונים ללא כל נתוני זיהוי נלווים. המכון הלאומי לחקר הגנום האנושי של ממשלת ארה"ב מזהיר של האפשרות לזהות מחדש אנשים באמצעות מידע הגנום שלהם. הדבר אפשרי בדרכים שונות, לרבות הצלבה מול סוגי מאגרי מידע אחרים או חברות באוכלוסיות ניתנות לזיהוי כגון קבוצות אתניות.
זה היה תלוי ב-FTC להתמקד ב-1Health בהסדר של 75,000 דולר מכיוון שהחוק הקיים אינו מסדיר נתונים גנטיים באופן מקיף. לדוגמה, חברות לבדיקות גנטיקה של DTC אינן נופלות תחת תקנת הפרטיות הפדרלית לנתונים רפואיים, HIPAA, שחולשת על ספקי בריאות או מבטחים. החוק הפדרלי למניעת אפליה של מידע גנטי 2008 (GINA) מונע ממבטחי בריאות או מעסיקים לאלץ אנשים למסור את הנתונים הגנטיים שלהם או להשתמש בהם כדי להפלות אותם. ובכל זאת, זה לא מכסה את ספקי שירותי הגנטיקה של DTC.
אין די בתביעת חברות על שיטות מטעה בהיעדר חוקי הגנת הפרטיות הגנטיים המתאימים. בשנת 2021, ג'סטין שרמן, עמית ומוביל מחקר בפרויקט תיווך הנתונים של בית הספר למדיניות ציבורית של אוניברסיטת דיוק באוניברסיטת סנפורד, דחק ועדת הכספים של הסנאט לשלוט בקפדנות על מכירת נתונים גנטיים לצדדים שלישיים.
היסטוריה של חקיקה מודעת לפרטיות במונטנה
למונטנה יש היסטוריה של חקיקת חוקי פרטיות פורצי דרך. ב-2013 זה הפך להיות המדינה הראשונה לאלץ את המשטרה לקבל צו לפני קצירת מידע מיקום ממכשירים אלקטרוניים. היא גם עקבה אחרי מדינות אחרות בהכנסת חוקי הגנת פרטיות הצרכן הכלליים עם חוק פרטיות נתוני הצרכן שלה, שהתקבל באפריל 2023.
מונטנה היא גם לא המדינה היחידה שמתמודדת עם פרטיות גנטית. בשנת 2021, מרילנד הצטרפה אליה בהעברת חקיקה המחייבת צו לחיפוש גנאלוגי גנטי משפטי (FGGS). סוג זה של חיפוש רשת של מסדי נתונים גנאלוגיים הוביל ללכידה של רוצח שער הזהב ג'וזף ג'יימס דאנג'לו. ה-GIPA של מונטנה מחזק את חוק האנטי-גררנט הזה בכך שהוא מונע מחברות בדיקות גנטיות של DTC לחשוף נתונים ללא הסכמת הצרכן או הליך משפטי ראוי.
באוקטובר 2021, גם קליפורניה עבר שתי הצעות חוק רלוונטיות ישירות לאבטחת גנטיקה. חוק הפרטיות הגנטית (SB 41) חייב לקוחות בדיקות גנטיות ישירות לצרכן לקבל את הסכמת הצרכנים לפני איסוף, שימוש או חשיפה של הנתונים הגנטיים שלהם. השני, AB 825, הוסיף נתונים גנטיים למסגרות של אבטחת מידע והודעות על פרצות נתונים.
מה תהיה ההשפעה?
לאכיפת החוק יש דרך לעקוף את חקיקת הפרטיות, לרוב על ידי מעבר לערוצים אחרים. המשטרה פנתה קניית נתוני מיקום טלפון סלולרי באופן חוקי ממתווכים נתונים, אפילו כשמדינות אחרות עקבו אחר הדוגמה של מונטנה על ידי הטלת כללי פרטיות של נתוני מיקום. עם זאת, חוקים המגבילים את המכירה במעלה הזרם של נתונים במקום רק להתמודד עם מקרי שימוש במעקב במורד הזרם, הופכים את זה למאתגר יותר מלכתחילה למצוא את הנתונים במקום אחר.
ה-GIPA של מונטנה אינו מאפשר תביעות משפטיות פרטיות אך מאפשר ליועץ המשפטי לממשלה של המדינה להגיש תיקים נגד עבריינים, ולגבות פיצויים ממשיים וסטטוטוריים. זה לא נותן לו את השיניים החדות ביותר האפשריות, אבל תובע כללי אוהד עדיין יכול לתת לחברות גנטיקה של DTC שאינן מכבדות את פרטיות הלקוחות פיספוס מגעיל. לכל הפחות, זו התחלה.
