Иск против 23andMe превращает генетические данные из технологического актива в юридический риск
Иск генерального прокурора Калифорнии против 23andMe стал одним из самых жестких регуляторных сигналов для рынка потребительской генетики. Власти обвиняют компанию в том, что она не смогла защитить данные почти 7 миллионов клиентов и недостаточно серьезно отреагировала на признаки взлома. На фоне банкротства компании история выходит далеко за рамки одного инцидента: теперь под вопросом оказалась сама модель коммерческого использования генетических данных.
 |
| Иск против 23andMe показывает, что ценность генетических данных теперь неотделима от ответственности за их защиту. |
Калифорния переводит спор о кибербезопасности в плоскость ответственности за генетическую информацию
Генеральный прокурор Калифорнии Роб Бонта подал иск против Chrome Holding Co. — юридического лица, под которым сейчас существует 23andMe.
По данным властей штата, утечка затронула около 6,9 миллиона пользователей в США, включая более 855 тысяч жителей Калифорнии. Речь идет не только об обычных персональных данных, но и о генетической информации, семейных связях, этническом происхождении, наследственных особенностях и потенциальных рисках для здоровья.
Калифорния утверждает, что компания игнорировала предупреждающие сигналы, недостаточно быстро реагировала на признаки компрометации учетных записей и преуменьшала масштаб инцидента после его обнаружения.
Для американского регуляторного поля это принципиальный момент. Если ранее многие громкие утечки рассматривались преимущественно как нарушения правил хранения персональных данных, то в данном случае предметом спора становится обращение с генетической информацией как с особой категорией данных.
Взлом показал уязвимость всей модели потребительской геномики
Первоначально атака затронула сравнительно небольшое число учетных записей через механизм подбора учетных данных (credential stuffing) — использование ранее украденных логинов и паролей.
Однако архитектура сервисов 23andMe привела к значительно более широкому раскрытию данных. Через функции поиска родственников и генетических связей злоумышленники получили доступ к информации миллионов пользователей, которые сами не подвергались прямому взлому.
Пользователь может сменить пароль или банковскую карту, но не может изменить собственный геном.
Особое внимание привлекли сообщения о том, что среди объектов интереса злоумышленников оказались пользователи китайского происхождения и представители ашкеназских еврейских общин. Именно этот аспект позже стал одной из наиболее чувствительных частей судебных претензий и коллективных исков.
История показала фундаментальную проблему отрасли: генетическая информация отличается от обычных персональных данных тем, что ее невозможно заменить после компрометации. Пользователь может сменить пароль или банковскую карту, но не может изменить собственный геном.
Банкротство 23andMe усилило вопросы о будущем биобанкoв и пользовательского согласия
Ситуация осложняется тем, что иск подан уже после банкротства компании.
23andMe подала заявление о защите от кредиторов по процедуре банкротства (Chapter 11) в 2025 году. Компания объясняла финансовые трудности падением спроса на генетические тесты, усилением конкуренции и последствиями масштабной утечки данных.
Дополнительный конфликт возник вокруг продажи активов компании. Некоммерческая организация TTAM Research Institute, связанная с сооснователем компании Энн Войжитски, приобрела активы 23andMe примерно за 305 миллионов долларов.
Калифорнийские власти выступили против сделки в ее первоначальном виде, заявив, что потребители должны иметь право отдельно согласиться на передачу столь чувствительных данных новому владельцу. По словам Роба Бонты, этот спор остается нерешенным.
Фактически рынок впервые столкнулся с вопросом: можно ли рассматривать массивы генетических данных как обычный актив, который продается вместе с компанией в процедуре банкротства.
Давление на отрасль выходит далеко за пределы США
Для сектора генетического тестирования последствия уже стали международными.
После расследований регуляторов Великобритании и Канады компания столкнулась с дополнительными санкциями. Британский регулятор по защите данных оштрафовал 23andMe более чем на 2 миллиона фунтов стерлингов за недостаточные меры защиты информации пользователей.
Одновременно усиливается политическое давление вокруг хранения генетических баз данных. Законодатели все чаще рассматривают такие массивы информации как стратегический ресурс, который может иметь значение не только для бизнеса и медицины, но и для национальной безопасности.
На этом фоне многие компании, работающие с биомаркерами, персонализированной медициной и прямым генетическим тестированием, вынуждены пересматривать подходы к согласию пользователей, хранению данных и корпоративному управлению.
Почему фармрынок внимательно следит за этим процессом
Для фармацевтической отрасли история 23andMe имеет значение не только как пример киберинцидента.
Последние годы генетические базы данных стали важным источником для поиска новых лекарственных мишеней, разработки биомаркеров и формирования исследовательских партнерств между биотехнологическими компаниями и Большой фармой.
Именно доступ к крупным массивам генетической информации помог многим компаниям ускорить разработку новых препаратов и повысить вероятность успешного выбора терапевтических мишеней.
Если суды и регуляторы начнут требовать значительно более жестких процедур согласия на передачу и использование генетических данных, стоимость подобных платформ может заметно измениться. Одновременно возрастут затраты на соблюдение требований по защите информации и управлению биобанками.
Для компаний, развивающих проекты в области персонализированной медицины, это означает необходимость закладывать регуляторные риски в стратегию развития уже на ранних этапах.
Где рынок персонализированной медицины почувствует эффект быстрее всего
Наиболее быстрые последствия могут проявиться в трех направлениях.
Первое — усиление требований к многофакторной аутентификации и архитектуре защиты данных в сервисах, работающих с медицинской информацией.
Второе — изменение условий сделок по покупке биотехнологических компаний, владеющих крупными массивами пациентских данных. Инвесторы и покупатели будут уделять существенно больше внимания юридической чистоте пользовательских согласий.
Третье — рост осторожности со стороны самих потребителей. После банкротства 23andMe и серии публичных расследований многие пользователи начали удалять свои генетические профили или ограничивать доступ к данным. Это может снизить скорость накопления новых генетических баз и изменить экономику прямого генетического тестирования.
Для российского рынка история важна прежде всего как индикатор будущих требований к обращению с чувствительными медицинскими данными. По мере развития проектов в области геномики, биобанкинга и персонализированной медицины вопросы согласия, хранения и передачи генетической информации будут становиться не менее значимыми, чем собственно научная ценность этих данных.
Данная публикация предназначена для специалистов здравоохранения и участников фармрынка. Аналитические выводы редакции носят информационный характер и не являются призывом к самолечению или заменой очной консультации врача. При работе с лекарственными препаратами необходимо руководствоваться официальной инструкцией и мнением профильного специалиста. Полный текст дисклеймера.
Источники и материалы
- Reuters: California sues 23andMe over 2023 data breach
- California Attorney General: Attorney General Bonta Sues Chrome Holding Co., Formerly Known as 23andMe, Over 2023 Data Breach
- Reuters: 23andMe settles data breach lawsuit for $30 million
- Reuters: DNA testing firm 23andMe files for bankruptcy as demand weakens
- Reuters: Consumers urged to delete 23andMe data as bankruptcy raises privacy concerns