Медицинские данные 500 000 британских добровольцев выставлены на продажу на сайте Alibaba

Полмиллиона британцев зарегистрировались, чтобы помочь в лечении рака. Их данные оказались выставленными на продажу на сайте Alibaba.

Благотворительная организация UK Biobank сообщила британскому правительству об инциденте, связанном с тем, что медицинские данные 500 000 британских граждан были выставлены на продажу на китайском сайте электронной коммерции Alibaba.

Национальный уполномоченный по защите данных д-р Никола Бирн заявила в своем обращении:

«Люди, которые великодушно делятся своими медицинскими данными, чтобы помочь другим в рамках медицинских исследований, вполне обоснованно ожидают, что эти данные будут надежно защищены и что в случае каких-либо нарушений будет обеспечена ответственность».

Представители власти заявили, что исследователи получили эти данные на законных основаниях в рамках действующего контракта, однако их появление на платформе Alibaba демонстрирует, как даже «санкционированный» доступ может привести к публичному раскрытию информации.

В «UK Biobank» хранится более 15 миллионов биологических образцов и подробных медицинских карт добровольцев, привлечённых к участию в проекте в период с 2006 по 2010 год; учёные со всего мира используют эти данные для изучения рака, деменции, диабета и других хронических заболеваний.

Обычно UK Biobank заключает договоры с проверенными университетами и частными компаниями, прежде чем предоставлять им доступ к данным, однако следователи установили, что объявления на Alibaba были размещены тремя научно-исследовательскими учреждениями. UK Biobank лишил их доступа и приостановил предоставление доступа к новым данным на время укрепления мер безопасности.

По имеющимся данным, по крайней мере в одном объявлении содержались данные обо всех 500 000 волонтеров, и компания Alibaba и китайские власти удалили эти объявления до того, как кто-либо успел подтвердить факт продажи.

Этот набор данных получен из долгосрочной исследовательской когорты UK Biobank и включает генетические последовательности, образцы крови, данные медицинской визуализации, а также подробную информацию о образе жизни, используемую в глобальных исследованиях в области здравоохранения.

UK Biobank подчеркивает, что данные были «обезличены», то есть не содержали имен, адресов или номеров NHS. Однако они по-прежнему включали подробные демографические данные, такие как пол, возраст, месяц и год рождения, социально-экономические показатели, сведения о образе жизни и показатели здоровья. Мы неоднократно убеждались, что такие данные можно соотнести с конкретными лицами путем сверки с другими общедоступными или коммерческими базами данных.

Почему это важно для Китая

Отчеты американских спецслужб, аналитические доклады и научные исследования рисуют единую картину: Китай рассматривает обширные и разнообразные наборы данных о геноме человека и здоровье как стратегический ресурс как с экономической точки зрения, так и с точки зрения безопасности.

Национальный центр контрразведки и безопасности США (NCSC) прямо заявляет, что Китайская Народная Республика рассматривает массивы данных в сфере здравоохранения и геномики как «стратегический ресурс» для развития своих отраслей биотехнологий, искусственного интеллекта и прецизионной медицины, а также вложила миллиарды долларов в национальные инициативы в области геномики и прецизионной медицины.

Объемные наборы данных, полученные от некитайского населения, имеют особую ценность для создания моделей искусственного интеллекта и повышения глобальной коммерческой конкурентоспособности китайских фармацевтических и биотехнологических компаний.

С точки зрения злоумышленника или иностранной разведки UK Biobank представляет собой «жемчужину» среди активов: это тщательно отобранная база данных высокого качества, охватывающая всю популяцию, которая гораздо полезнее, чем случайные утечки данных. А поскольку генетические данные неизменны (в отличие от паролей, их нельзя заменить), любой взлом такой базы имеет долгосрочную ценность для разведки.

В прошлом году газета «Гардиан» сообщила, что каждая пятая одобренная заявка на доступ к данным UK Biobank поступала от китайских организаций, в том числе от BGI — ведущей китайской компании в области геномики, которая впоследствии была включена в «Список юридических лиц США» из-за опасений относительно её роли в слежке за представителями этнических меньшинств.

Китай накапливает ДНК не просто из любопытства. Он создаёт глобальную геномную карту, которая охватывает как своих граждан, так и противников.

Данные о вашем геноме

Существуют серьезные опасения по поводу того, что генетические данные могут попасть в чужие руки, и на то есть веские причины. Но я не собираюсь утверждать, что добровольное предоставление своих медицинских данных для научных исследований — это плохо. Исследователи часто используют эти данные с пользой, помогая другим людям.

Но прежде чем это сделать, стоит задать себе несколько важных вопросов.

• Кто руководит проектом и где он базируется?
  Предпочтительнее выбирать некоммерческие или академические биобанки, имеющие четкие полномочия в интересах общества и подвергающиеся строгому надзору, а не непрозрачных коммерческих посредников по торговле данными.
• Как они хранят собранные данные?
  Уточните, в частности, информацию о геномных данных, исходных файлах секвенирования, ссылках на медицинские записи, а также о том, шифруются ли данные при хранении и передаче.
• Кто имеет доступ к данным и какими механизмами контроля он регулируется?
  Обратите внимание на наличие официального комитета по доступу, строгих договоров и технических мер контроля, таких как защищенные среды анализа и ограниченные возможности экспорта данных, а не на модели типа «скачал CSV и ушел», подобные той, что привела к инциденту с UK Biobank.
• Разрешено ли иностранным организациям получать доступ к данным или копировать их?
  В свете предупреждений правительств США и Великобритании о доступе Китая к западным геномным данным вполне обоснованно задаться вопросом, могут ли данные быть доступны, обрабатываться или храниться в юрисдикциях с иными требованиями к безопасности.
• Как они справляются с риском повторной идентификации?
  Как мы уже отмечали, термин «обезличенные» — это не панацея. Privacy и спецслужбы США предупреждают, что медицинские и геномные данные часто можно повторно идентифицировать при их объединении с другими наборами данных.

Если данные, содержащие вашу ДНК, оказались в чужих руках, вы не сможете их вернуть, но можете потребовать более эффективного регулирования и добиваться от государственных органов, чтобы они относились к геномным данным как к информации, представляющей угрозу национальной безопасности.

Кроме того, следует с большей настороженностью относиться к мошенническим схемам, ориентированным на конкретных людей. Злоумышленники могут использовать обширные объединенные наборы данных для создания убедительных атак типа «спер-фишинга» или мошеннических схем, связанных со здоровьем, например, обращаясь к вам по поводу конкретного заболевания, которым страдаете вы или кто-то из ваших родственников. С особой настороженностью относитесь к незапрашиваемым электронным письмам, звонкам и приложениям, связанным со здоровьем или ДНК.

---