Елена Клещенко - ДНК и её человек [litres]

Когда что-то пытаются украсть, это значит, что оно действительно ценное, и покупатель, наверное, имеется. Данные британского проекта “100 000 геномов” – 100 000 полных геномов людей с редкими заболеваниями, их семей и пациентов с некоторыми видами рака – в декабре 2018 г. пришлось перенести на серверы военной базы из-за хакерских атак [130] Hacker-besieged DNA data tucked away under military care / https://nakedsecurity.sophos.com/2018/12/07/hacker-besieged-dna-data-tucked-away-under-military-care/ . . Представители компании Genomics England, которую британское правительство создало для реализации проекта, заявили, что отразили множество кибератак и что это можно назвать обычным явлением. Данные обезличены, поэтому их нельзя связать с конкретными людьми, говорят они; исследователи работают с геномными данными в специальной защищенной контролируемой среде, и ни одна из атак не привела к сбоям в Genomics England. И все же, все же… Надо наконец что-то делать, не каждая компания может переложить свои базы на сервер, охраняемый всей королевской ратью. Да и, кроме хакеров, есть люди со служебными удостоверениями, которым трудно отказать. Нужны законы, регулирующие доступ к генетическим данным граждан. О законах читать скучновато, но это важно: именно сейчас решается, в каком будущем нам жить, какие нас ожидают выгоды и какие угрозы.

В Европе (и в Великобритании тоже) безопасность генетической информации вместе с другими медицинскими данными подпадает под действие Общего регламента по защите данных – GDPR. В США, как мы знаем из истории о хитром дефекаторе, есть акт, запрещающий работодателям дискриминацию сотрудников на основе генетических данных, есть также закон о медстраховании, регламентирующий использование защищенной медицинской информации, но поиск предков и родичей по ДНК-данным – ни то и ни другое. Частные компании, которые получают от клиента генетические данные и взамен выдают ему на руки информацию (необязательно генеалогическую; например, калифорнийская компания 23andMe предоставляет услуги по медицинскому ДНК-тестированию и интерпретации результатов по желанию клиентов, без направления от врача), всерьез задумались о том, как регулировать доступ к базам. В июле 2018 г. представители нескольких компаний встретились в Вашингтоне с некоммерческой организацией “Форум «Будущее конфиденциальности»”, чтобы согласовать правила, которые они впредь обязуются соблюдать.

В документе, разработанном по итогам встречи, говорится, что “генетические данные могут быть раскрыты правоохранительным органам без согласия потребителя, когда этого требует действующий правовой процесс”. Однако фирмы обязаны размещать в удобном для пользователя месте информацию о том, “как генетические данные собираются, используются, передаются и хранятся, включая сводную информацию о ключевых защитных механизмах высокого уровня” [131] Privacy Best Practices for Consumer Genetic Testing Services. https://fpf.org/2018/07/31/privacy-best-practices-for-consumer-genetic-testing-services/ . . (Заинтересованы в генетических данных не только спецслужбы; например, все та же 23andMe с ведома и разрешения клиентов предоставляет свои базы фармацевтическому гиганту GlaxoSmithKline для медицинских исследований.) Кроме того, компании должны обрабатывать только ДНК-данные, загруженные обладателем этой ДНК или по доверенности от него. Иными словами, нужны механизмы, которые помешают следователю (или частному лицу с дурными намерениями) поступить так, как в деле об “убийце из Золотого штата”, – завести аккаунт под вымышленным именем и загрузить туда информацию о неизвестно чьем образце.

Среди компаний, согласившихся придерживаться этих правил, была и Family Tree DNA из Хьюстона – та самая, где изучали Y-хромосомы Рюриковичей. Но зимой 2019 г. разразился скандал. В конце января стало известным, что еще в декабре Family Tree DNA обновила условия обслуживания – отныне она “работает с ФБР над проверкой образцов ДНК, предоставленных правоохранительными органами, с целью выявления лиц, виновных в насильственных преступлениях, и опознания останков умерших” [132] . https://blog.familytreedna.com/press-release-connecting-families-and-saving-lives/ . . По существу то же самое, что сделала GEDmatch, – но втихую, без того, чтобы оповестить об этом клиентов, например, по электронной почте.

Президент Family Tree DNA Беннетт Гринспен отметил, что, если правоохранительные органы будут создавать учетные записи с тем же уровнем доступа к базе данных, что и стандартный пользователь Family Tree DNA, ничья конфиденциальность не будет нарушена, как не была нарушена до сих пор. А любую дополнительную информацию детективы получат только через судебное решение. Кроме того, пользователи смогут запретить другим пользователям искать совпадения в их данных. Но в таком случае клиент сам лишится возможности отыскивать родственников, а это и есть наиболее популярная услуга Family Tree DNA! Было бы правильнее, если бы клиенты сохраняли возможность получать то, за что заплатили, но могли в явном виде согласиться или отказаться предоставлять информацию о своем геноме правоохранительным органам.

Компании, работающие в этой области, отреагировали на решение Family Tree DNA работать с ФБР в основном негативно. Они потратили десятилетия, чтобы заслужить доверие клиентов, а теперь люди, которые могли бы купить тест-наборы, чтобы найти родственников или выяснить, в каких регионах Земли проживали их далекие предки, снова боятся, что их данные попадут в полицейские базы. Спенсер Уэллс, основатель проекта Genographic под эгидой National Geographic (о нем рассказывалось в главе “Звездный кластер Чингиза”), назвал это “перезапуском” и возвращением к моменту до начала проекта, в 2005 г. Представители коммерческих компаний из разных стран тут же начали делать заявления о том, что для них подобное сотрудничество с правоохранительными органами категорически неприемлемо.

Общее мнение пока сводится к тому, что необходима прозрачность – клиент должен заранее знать, кто и с какими целями получит доступ к его данным, а также иметь возможность контролировать доступ, выбирать, что кому показывать. Нужно обеспечить соблюдение правил, – например, чтобы сыщик, хулиган или человек с недобрыми намерениями не мог загружать чужую ДНК, выдавая ее за свою; если ты из ФБР, то и логинься как ФБР, а не как любопытствующий обыватель. И, конечно, защита самих данных. В США недавно даже прозвучало предложение покончить с “генетическим Диким Западом” и впредь хранить все данные в единой автоматизированной базе с жестким контролем доступа [133] . https://www.bloomberg.com/news/articles/2019–02–26/law-enforcement-can-do-whatever-it-likes-with-consumer-dna-data . . Но у этой идеи есть свои минусы.

Защитой генетических данных занялись и у нас. Роспотребнадзор разработал законопроект, в котором предложено внести в законы “О персональных данных” и “О защите прав потребителей” добавления, касающиеся генетической информации и биоматериала. В пояснительной записке говорится, что “изменения соответствуют требованиям международного законодательства и подходам к нормативному регулированию в области обращения биологического материала и содержащейся в нем информации, используемым в странах ЕС, США, Великобритании, Австралии, Германии”.