DNA检测试剂盒公司对你的数据做了什么

莎拉手里拿着信封，在邮箱上方徘徊。她知道一旦寄出DNA样本，就再也回不来了。她又浏览了一遍她在23andMe网站上查找的信息:隐私政策、研究参数、了解潜在健康风险的选项，以及研究结果可能对她的生活产生重大影响的警告。

她暂停，本能地从邮箱开放缩回她的胳膊。她会活下来遗憾吗？她可以了解她的家人，她自己可能不想知道吗？她真的安全地觉得她的遗传信息得到研究，与他人分享，甚至试验？

思考她的注册经验，莎拉突然担心她已经移交给公司的大量个人身份信息。在其中的背景下，她知道潜在黑客的多汁目标和其他客户的数据是什么。实际上，她的数据来自潜在漏洞的安全是如何？她试图回想起EULA的细节，但是法律文本的墙在她的记忆之前融化了。

在她的脚跟上枢转，当她想起为什么她想首先注册遗传测试时，莎拉开始远离邮箱。在发现她有一个罕见的遗传疾病，ehlers-danlos综合征后，她被迫了解她自己的健康史，并希望呈现她的DNA以进一步研究。另外，她正在寻找母亲的父亲。她对他是谁的模糊的想法，但没有Clue如何跟踪他，并且相信DNA测试可能会导致她的正确方向。

萨拉闭上眼睛，想象着当她告诉妈妈她找到爸爸时妈妈的脸。她怀着新的信念，把信封投进了邮筒。这是完成了。

*不是她的真名。主题要求她的名字改变以保护她的匿名性。

明智的决定

如果你是莎拉是怎么办？您是否倾向于测试您的DNA，以了解您的遗产，您的潜在健康风险，或发现长期失去的家庭成员？您是否希望提交遗传物质样本以进行测试和研究？您是否会在大量的其​​他客户中携带存储在大型数据库中的个人数据？您是否担心可以法律和非法使用该数据和遗传样本的内容？

也许你的好奇心足够强大，没有通过后果来注册。但这将是一个可怕的错误。Sarah花了很长时间，称重她的情况的利弊，并最终对她的数据做了什么明智的决定。但是，即使她在拍摄之前也缺少拼图的部分。DNA测试现在是如此普遍，现在我们盲目地参与，而无需真正了解含义。

还有很多。从隐私问题到执法争议对就业歧视的人寿保险能力，红旗比比皆是。然而，这种刚刚漂浮的行业没有显示出停止的迹象。截至2017年，估计1200万人通过在家庭家谱测试中进行了DNA。想冒险猜测有多少人读过21页隐私政策确切地理解他们的数据如何使用，共享和受保护？

如今，安全与隐私已不可想象。黑客之间的主要社交媒体公司和卑劣的与第三方共享数据,有方法,企业都是存储数据的危险的疏忽没有遵循最佳安全实践和参与传播的数据,那些愿意pay-whether研究的名义。

因此，我决定究竟挖掘这些家庭DNA测试套件公司正在做的事情，以保护客户最珍贵的数据，因为你不能比DNA样本更容易获得更容易识别。这些组织如何掌握数据的安全性？确保这些巨大的DNA和其他PII数据库的做法是什么？这些公司与客户有多透明的是对数据所做的事情？

通过商业DNA测试拆卸的包装 - 通常通过关于隐私，安全和设计来筛选的文件和文件页面。它可以铭记难以处理，这就是为什么这么多客户只是通过协议轻而易举，然后单击“好的”而没有真正考虑他们购买的东西。

但这不是手机上的某个应用程序或电脑上的某个软件。这些数据可能会改变我们的生活。这些数据如果被误解，可能会让人们陷入情绪混乱，或者更糟，产生一种错误的安全感。而这些数据，如果落入坏人之手，可能会被用于毁灭性的目的。

为了更好地教育用户参与家庭DNA测试的利与弊，我将深入了解各个层面，让客户自己尽可能清楚地看到需要关注的领域，以及使用这项技术的好处。通过这种方式，用户可以对他们的DNA和相关数据做出明智的选择，我们认为这些信息不应该被轻易获取或泄露。

这样，当轮到你的邮箱前面时，你将不会第二次猜测你的决定。

关注领域:人寿保险

只有几年前在美国，健康保险公司可以根据现有条件否认申请人覆盖。虽然这是愉快的不再这样的案例，但人寿保险公司可以更具选择性，他们涵盖谁以及他们收费多少。

根据美国律师律师（ACLI）的顾问，人寿保险公司可以向申请人询问有关他的健康的任何相关信息 - 如果被采用，那么包括遗传测试的结果。健康风险的任何迹象都可能会考虑到美国覆盖范围的价格标签。

当然，没有任何东西可以迫使个人在申请人寿保险时披露该信息。但该行业依赖于客户的诚实交流，以有效地价格政策。

“声音承保的基础一直是申请人和保险公司之间的信息分享 - 今天仍然存在，”ACLI顾问顾问博士说。“公司知道申请人知道什么只有意义。必须有一个级别的比赛领域。“

ACLI认为，基因检测的引入实际上可以帮助人寿保险公司更好地确定风险分类，使他们能够为消费者提供总体较低的保费。然而，事实仍然是:如果病人得到诊断，或者如果基因检测显示出某种疾病的高风险，他们的保险费就会上涨。

在澳大利亚在美国，任何被认为是健康风险的遗传结果不仅会导致保费增加，还会导致完全拒绝承保。如果你认为澳大利亚人在申请人寿保险时，可以通过一个善意的疏忽谎言而逃脱惩罚，那么法律规定，他们必须披露任何已知的基因测试结果，包括那些来自家庭DNA测试套件的结果。

关注地区：就业

返回到1964年标题VII.在民权法案中，雇主不能根据种族，颜色，宗教，性别或国籍歧视。残疾工人或其他健康状况受到残疾法案，康复法和家庭和医疗假法案（FMLA）的保护。

但这些规定只适用于有证明健康状况或残疾的雇员或候选人。如果基因测试揭示了潜在的残疾还是健康问题?为此，我们有GINA。

这基因信息非歧视法案（吉娜）禁止使用遗传信息制定就业决策。

Malwarebytes的人员和文化运营总监John Jernigan说:“基因信息在GINA下是受保护的，除非它涉及到合法的安全敏感的工作功能，否则不能被考虑。”必威平台APP

这就是法律的规定。现实中发生的事情可能是另一个故事。不幸的是，个人在网上，特别是在社交媒体上分享他们的基因结果是一种流行的做法。事实上，23andMe甚至赞助了一些名人公布和分享他们的搜索结果。当然，没有人会看到像马伊姆·拜力克(Mayim Bialik)这样的明星直播分享他们在23andMe上的搜索结果，然后效仿他们。

招聘过程是令人难以置信的主观。将手指指向任何雇主几乎是不可能的，“你没有雇用我，因为我在23个成绩的Facebook上分享了我的屏幕截图！”候选人可能完全有可能歧视，但在法庭上，任何他所说/她说争论将使雇主和雇员受益。

我们的建议：避免在社交媒体上分享结果，尤其是任何屏幕截图。你永远不知道有人如何使用这种信息。

关注领域:个人身份信息(PII)

消费者DNA测试以收集和分析DNA而闻名。然而，同样重要的——可以说对他们的底线更重要——是他们在关系的不同阶段从客户那里收集的个人身份信息。组织正以研究的名义尽可能多地吸收关于客户的信息，是的，但也以利润的名义。

这些公司到底想要什么?除了实际的DNA样本，他们还收集和存储注册时的内容，包括你的姓名、信用卡、地址、电子邮件、用户名和密码，以及支付方式。但这只是冰山一角。

除了遗传和登记数据之外，23名和注册数据还通过船身策划自我报告的内容，为客户提供45分钟的调查。这包括询问疾病状况，医疗和家族史，个人特征和种族。23并通过cookie跟踪您的Web行为，并存储您的IP地址，浏览器首选项以及您单击的页面。最后，您在其网站上产生或分享的任何数据，例如文本，音乐，音频，视频，图像和向其他成员的消息，属于23andme。变得不舒服了吗？这些对网络犯罪分子有吸引力的目标。

哦，但还有更多。Ancestry或Helix等公司有办法让他们的客户持续关注他们网站上的数据。他们会给顾客发一条信息，说:“你向我们透露过你有过敏症。我们正在做关于过敏的研究，你能回答这些问题吗?”这样就能收集到更多的信息。

Taking a closer look at the companies’ EULAs, you’ll discover that PII can also be gathered from social media, including any likes, tweets, pins, or follow links, as well as any profile information from Facebook if you use it to log into their web portals.

但收集信息的工作还不止于此。祖先和其他人也将搜索公共和历史记录，如报纸提到，出生，死亡，和婚姻记录与你有关。此外，Ancestry在他们的隐私政策中引用了令人沮丧的含糊的“从第三方收集的信息”。随你怎么想。

谈到第三方，其中许多人会很好地瞥见您感谢您允许商业DNA测试公司从商业伙伴推出新产品的政策，包括根据其兴趣为用户提供针对性的广告。必威客服app最后，根据其中许多网站中共享的隐私政策，DNA测试公司可以并确实将您的总信息销售给第三方“，以便进行业务发展，启动研究，向您发送营销电子邮件，并改善我们的服务。”

一个这样的伙伴，来自共享总信息的利益是大型制药公司：通过将用户数据销售给制药公司的制药公司，在家庭DNA测试套件利润。对于一些人来说，这可能构成过线;对于其他人来说，它代表能够帮助研究人员和患有疾病的数据。

“你必须相信所有的关联公司，他们所有的员工，所有可以购买公司的人，”我们的IT女孩参加了23名和美国的研究。“占据任何时候可以被任何人看到和访问的潜力，更好的思维能力更好。你应该始终愿意接受那种风险。“

可悲的是，我们已经有足够的理由假设这些信息可能被窃取——因为事实确实如此。

2018年6月，Myheritage宣布超过9200万用户的数据在10月份从公司网站泄露了上一年。谢天谢地，顾客和其他客户的DNA和其他数据安全。在此之前，Accestry.com的300,000个用户的电子邮件和密码在2015年被盗。

但随着这些数据库的增长和更多信息收集在个人上，标记只会成为威胁演员的榨汁机。“他们希望尽可能地创造诸如目标的广泛形象，而不是他们的伙伴，”安全专家和创始人我被骗了吗特洛伊狩猎，谁脱掉了祖先的违规行为。“如果我知道谁某人的母亲，父亲，妹妹和后代可能是，想象一下如何说服我可以创造的网络钓鱼电子邮件。想象一下我如何欺骗你的银行。“

网络犯罪分子可以武装数据不仅可以转售给第三方，而且可以为勒索和敲诈勒索目的进行转售。通过违反这一数据，犯罪分子可以在受害者面前悬挂令人垂涎的遗传，健康和祖先发现。你有个兄弟姐妹——把钱寄过来，我们就告诉你是谁。你有患病的倾向，但在你把比特币寄过来之前我们不会告诉你是哪一种。多年后，阿什利·麦迪逊的漏洞仍在被这样利用。

正确执行它：安全地存储的数据

由于DNA检测公司收集了如此多的敏感数据，尤其是与健康相关的数据，人们希望这些机构特别注意保护这些数据。在这方面，我惊喜地获悉，几家顶级的消费者DNA测试公司联合起来，创建了一个旨在根据最佳做法保护用户数据的强大安全政策。

这些做法是什么?首先，DNA测试套件公司将用户PII和基因数据存储在物理分离的计算环境中，并在静止和传输中对数据进行加密。PII被分配了一个随机的客户识别号码，用于识别和客户支持服务，而遗传信息仅使用条形码系统识别。

安全性被融入到收集、存储和传播数据的系统的设计中，包括软件开发生命周期中明确的安全性审查、质量保证测试和操作部署。安全控制也定期审计。

基于作业函数和角色，访问数据的访问被限制为授权人员，以减少恶意内部人员损害或泄漏数据的可能性。此外，强大的身份验证控件，例如多因素身份验证和单点登录，禁止流入和潮流的数据。

对于额外的安全措施，消费者DNA测试公司会进行渗透测试，并提供漏洞赏金程序来加固他们网络应用程序中的漏洞。对于员工的安全培训和意识项目，我们更加小心，在美国国家标准与技术协会(NIST)的指导下，我们制定了事故管理和响应计划。

用伟大的约翰·哈蒙德的话来说:他们不惜一切代价。

当亨特就数据泄露问题打电话给Ancestry时，他回忆说，他们的反应迅速而专业，不像他联系过的其他组织那样。

“组织机构总是有各种各样的方法来处理这个问题。在某些情况下，他们真的不想知道。他们关上百叶窗，把头埋进沙子里。在某些情况下，他们否认这一点，即使数据就在他们面前。”

值得庆幸的是，主要的DNA测试企业似乎并未如此。

关注领域:执法

在家庭DNA测试套件公司有点模糊，在哪些条件下，在哪些条件下，在哪些条件下，使用诸如“在某些情况下”和“我们必须遵守有效请求”的条款而不定义这种情况或表示将被视为“有效”。但是，他们确实提供了这个透明度报告详细说明了政府对数据的要求以及他们如何回应。

然而，今年早些时候新闻发布了来自公共数据库Gedmatch的DNA找到金州杀手它让消费者集体暂停了购买。虽然把一个连环杀手送进监狱是有价值的事业，但凶手之所以被找到，是因为他的一个亲戚参加了商业DNA测试，并将结果上传到了GEDmatch。加州调查人员在开源数据库中比对了他们的旧证据，发现这位亲属的DNA与20世纪70年代原始犯罪现场的DNA非常接近。通过一系列推论，他们排除了其他亲属的嫌疑，并确定了真正的凶手。

这为一罐蠕虫开辟了关于商业生成的遗传数据的影响，法律执法或其他政府机构的影响。该数据还可以使用或甚至被警方，调查人员或立法机构滥用的其他方式？黄金州杀手逮捕的成功可能导致重新开放其他高调的冷病例，或者每次都有在犯罪现场发现的DNA证据时，最终会转向消费者DNA数据库。

因为现在有太多的人报名参加了商业DNA测试，所以几率是60％和上升如果你住在美国并且是欧洲血统，你可以通过你的亲属公开的信息来确定。事实上，执法很快可能不需要家庭成员来提交DNA以寻找比赛。根据A.研究发表科学在美国，随着消费者DNA数据库达到临界质量，这个数字将很快升至100%。

虽然DNA用于捕获罪犯，但如果DNA用于捕获罪犯，那么有什么大不了？戴上我的罐子帽子一秒钟，我想象一个少数派报告类似于阻止未来的犯罪或错误解读DNA并关押错误的人。虽然这些场景有点牵强，但我并不需要在现实生活中寻找虐待的实例。

2018年7月，Vice报道加拿大的边境机构正在使用Ancestry.com和FamilyTredna.com使用数据建立移民民族并驱逐被嫌疑人的民族。在对比赛的高度紧张局势的时代，国籍和移民的时代，并不难以看看遗传数据如何用于针对任何人或人权侵犯人类或家庭使用。

关注领域:检测结果的准确性

虽然这在网络安全的幌子下没有技术上落下，但测试结果的准确性是令人担忧的，因为这些公司正在淘汰令人难以置信的敏感信息，这些信息有可能征收人民生活中的急剧变化。一种2018年3月在自然发现，40%的家庭DNA检测试剂盒的结果是假阳性，这意味着有人被认为“有风险”，但后来证明是良性的。不同的消费者测试公司的测试结果证实了这一统计数据可以急剧变化。

测试结果的相对不准确性通过知识进行了复杂的，即有很多误解它们的空间。无论是如何学习你的阿尔茨海默氏症或发现你的父亲真的不是你的父亲，健康和祖先的数据都可以在没有上下文的情况下消费的，而且没有医生或遗传顾问软化打击。

事实上，消费者DNA检测公司对把用户送到基因咨询师那里相当谨慎——这与他们的使命背道而驰，他们的使命就是让消费者更容易获得基因数据。

Brianne Kirkpatrick，一个遗传辅导员和祖先专家与国家遗传辅导员（NSGC）表示，23和ME曾经在其网站上有一个相当突出的联系，用于寻找遗传辅导员，以帮助用户了解他们的结果。该链接现在是埋葬或消失的。此外，她提到她的一位客户不得不打电话给23和我的三次，直到他们终于同意推荐Kirkpatrick的咨询服务。

她说:“最大的缺点是，人们认为他们了解结果，而实际上可能并不了解。”“例如，人们不明白，这些公司提供的BRCA1和BRCA2检测真的只有在你是德系犹太人的时候才有用。在小字印刷中，它说他们从数千个变种中选择了三种，这三种只适用于这个群体。但人们急于得出结论，因为从高水平上看，他们要么应该感到宽慰，要么应该感到担忧。这是一种复杂的信息，这也是基因顾问存在的首要原因。”

当您超越欧洲血统用户时，数据变得更加混乱。颜色的人，尤其是亚洲或非洲血统的人，有一个特别努力的它因为它们在许多公司的数据集中都经常出现。通常，黑色，西班牙裔或亚洲用户收到报告，其中列出其遗产的部分作为“低信心”，因为他们的DNA没有足够匹配公司的参考点。

DNA检测公司不仅提供有时不完整、不准确、容易让客户误解的信息，他们还提供原始数据输出，可以下载并发送给客户第三方网站就像GEDmatch一样，可以获得更多的评估。但这些网站在历史上并没有像大型消费者DNA检测公司那样受到良好的保护。再一次，当用户将未经加密和不受保护的基因数据上传到第三方平台时，它的安全性和私密性就会被泄露出去。

正确做到这一点：隐私政策

作为新兴的行业，当涉及消费者遗传检测时，规则或公共政策几乎没有。实验室测试受Medicare和Medicaid Cafess的约束，商业公司受FDA的监管，但DNA测试公司有一点两者，在线运营的复杂性。这一般数据保护条例（GDPR）2018年5月推出要求公司公开披露他们是否经历过网络攻击，并为那些不合规的人施加了沉重的罚款。但GDPR仅适用于在欧洲开展业务的公司。

就法律先例而言，1990年加州最高法院的案件摩尔与加州大学的居民发现一旦个人放弃基因数据去做医学测试或其他形式的研究，他们就不再拥有这些数据。因此，如果Ancestry把你的DNA卖给制药公司，然后用你的细胞来寻找治疗癌症的方法，你不会得到一分钱的补偿。游手好闲的人。

尽管数据有很多机会被盗，滥用，误解和销往最高投标人，但法律根本没有赶上我们的技术。因此，为DNA测试公司制定安全和隐私政策的团队正在进行开创性的工作，每次转弯都拥有安全最佳实践和透明度。这是正确的事情。

近两年前，螺旋的创始人开始与隐私专家合作，以了解他们需要维护的所有关键作品 - 他们认识到需要形成正式联盟，以加强整个行业的合作。

通过隐私论坛的未来，他们开发了一个独立的智库，专注于建立行业领导能力的公共政策。他们与23andme，祖先和其他人的代表合作了一套标准这主要是透明度的重要性和与消费者的清晰沟通。

“这是我们非常激情的事情，”螺旋高级遗传辅导员Misha Rashkin表示，以及开发共享隐私政策的积极成员。“我们已经花了我们的职业生涯向人们解释遗传，所以有多年来长期以来，透明，适当的教育意义在一个可接近的阅读水平上发展政策 - 必须是与他们的DNA互动的人的基石。”

尽管隐私联盟努力寻找易于理解的语言，但事实是，他们的隐私政策是一份21页的文件，大多数人会忽视它。Rashkin和其他团队成员意识到了这一点，所以他们为客户建立了更多接触点，以便他们深入挖掘数据并提供同意，包括产品内部通知、电子邮件、博客文章和信息图表，并在客户继续在平台上与数据进行交互时传递给他们。

Rashkin and Company完成并发布隐私政策后，他们将其转化为伙伴可以用于确定基线安全和隐私标准的清单，以及公司需要遵守的公司。必威客服app但工作不会在那里停止。

“这只是个开始，”Helix的临床事务和政策高级总监、隐私政策联盟的创始成员Elissa Levin说。“随着行业的发展，我们计划继续致力于这些标准，并推动它们的发展。然后我们会去教育政策制定者，监管机构和公众。我们想帮助他们确定这些政策是什么，并区分谁是好球员，谁是不好的球员。”

最大的担忧领域:未知

我们只是不知道我们在技术方面不知道什么。当Mark Zuckerberg发明了Facebook时，他只是想要一种简单的方式来看看漂亮的大学生。我不认为它进入了他最疯狂的梦想，即他的公司的平台可以用来直接干扰总统选举，或导致缅甸公民的种族灭绝。但由于缺乏远见卓识，无法快速地向右移动船，我们现在都是在泥里撒谎。

目前，网络犯罪分子还没有在黑市上寻找DNA，但这并不意味着他们不会。网络犯罪往往遵循阻力最小的路径——什么用最少的努力就能得到最大的回报?这就是为什么社会工程攻击的数量仍然远远超过传统的恶意软件感染载体。

正因为如此，网络犯罪分子很可能认为，尝试破解一种尚未被需求的产品(基因数据)的加密是不值得的。但随着生物识别、指纹识别和其他生物认证模式变得越来越流行，我想这只是时间问题。

然而，这有关系吗?即使所有的危险信号都暴露了，数以百万计的客户还是选择了信任，因为他们的好奇心战胜了恐惧，或者即时的满足比我们在安全领域还没有解决的模糊的“如果”更令人满足。有了这么多公开的数据，人们还在乎隐私吗?

“在几代人之间有关于个人数据的情绪，”亨特说。“整个一代人在线共享他们的全世界。这是他们的新社会规范。我们正常化该信息的集合。我想如果我们说这是一件坏事，我们会投射更多的隐私性观点。“

其他人认为，不管个人对隐私的感受如何，这项技术不会消失，所以我们——安全专家、消费者、政策制定者和基因测试者——都需要正面解决它复杂的安全和隐私问题。

“隐私是如此的个人问题。虽然可能存在趋势，但这并不一定是整体一代。有些人更开放，有些人更关心，“莱文说。“无论有人是否关心，我们都会设定这些标准并遵守这些做法，因为我们认为保护人们是重要的，即使他们不认为这是至关重要的。从根本上，它确实透明，帮助人们意识到至少减轻惊喜的风险。“

的确，无论隐私对你个人来说是否重要，了解哪些数据是从哪里收集的，以及公司如何从使用你的数据中获益，会让你成为一个更知情的消费者。

不要只是打勾。看得更深，问问题，做一些自我反省，什么对你来说是重要的。因为现在，如果有人偷了你的数据，你可能不得不更改一些密码或取消几张信用卡。你甚至可能被卷入其中身份盗窃地狱。但是，如果有人窃取你的遗传密码，我们不知道后果是什么。

法律变革和社会变化。现在的法律和制裁可能不会在未来。但是，这种数据将在很长一段时间内。你无法改变你的DNA。