ДНК и ФБР: допустить следователей к клиентским базам генетических данных

Компания Family Tree DNA (Хьюстон, Техас), которая оказывает услуги по генетической генеалогии, 31 января объявила в своем блоге, что «работает с ФБР над проверкой образцов ДНК, предоставленных правоохранительными органами, с целью выявления лиц, виновных в насильственных преступлениях, и опознания останков умерших». Это вызвало очередной всплеск негодования: очевидно, что установление личности преступников и жертв производится так же, как в деле об Убийце Золотого штата (см. Итоги года на PCR.news) — путем сравнения с ДНК благонадежных пользователей сервиса. Следственная группа завела на сервисе учетную запись, разместила генетические данные неизвестного преступника и получила информацию о его родне, через которую в итоге и вышла на него. Встает вопрос о конфиденциальности, о том, могут ли пользователи доверять подобным сервисам и имеют ли право компании использовать генетические данные граждан для других целей, кроме тех, о которых говорится в перечне услуг. Компания обновила условия обслуживания в декабре и при этом не информировала клиентов о сделанных изменениях.

Президент Family Tree DNA Беннетт Гринспен отметил, что если правоохранительные органы будут создавать учетные записи с тем же уровнем доступа к базе данных, что и стандартный пользователь FamilyTreeDNA, ничья конфиденциальность не будет нарушена, как не была нарушена до сих пор. А любую дополнительную информацию детективы получат только через судебное решение. Кроме того, пользователи смогут запретить другим пользователям искать совпадения в их данных. Но в таком случае клиент лишится возможности отыскивать двоюродных, троюродных и еще более дальних родственников, а это и есть наиболее популярная услуга FamilyTreeDNA.

Другие организации, работающие в этой области, всерьез обеспокоены. Они потратили десятилетия, чтобы заслужить доверие клиентов, а теперь люди, которые могли бы купить тест-наборы, чтобы найти родственников или выяснить, в каких регионах Земли проживали их далекие предки, снова начнут опасаться, что их данные попадут в полицейские базы. «Это перезапуск, — говорит Спенсер Уэллс, генеральный директор компании Insitome и основатель знаменитого проекта Genographic под эгидой National Geographic. — Это возвращает нас к тому моменту, когда мы только создали Genographic» — то есть в 2005 год.

Некоторые из конкурентов Family Tree DNA сразу объявили, что для них подобное решение неприемлемо. Гилад Яфет, генеральный директор израильской компании MyHeritage, написал, что они специально изменили условия обслуживания, чтобы запретить правоохранительным органам использовать свою базу данных. Кэти Гиббс, директор по правовым и нормативным вопросам 23andMe, также сообщила, что политика компании исключает добровольное сотрудничество с правоохранительными органами и передачу им информации о клиентах. Аналогичные заявления сделали представители Ancestry и британской Living DNA.

Джуди Рассел, автор блога The Legal Genealogist, в одном из постов про скандал вокруг Family Tree DNA, отметила, что было бы правильнее, если бы клиенты этой компании сохраняли возможность получать услугу, за которую заплатили, но могли в явном виде согласиться или отказаться предоставлять информацию о своем геноме правоохранительным органам. Рассел также напоминает, что большинство баз данных являются международными, и компании, которые возьмут пример с Family Tree DNA, будут подвергаться штрафам за нарушение положений об информированном согласии европейского Общего регламента по защите данных (GDPR).

А в США отрасль уже самостоятельно начала работу над правилами, регулирующими доступ. В июле 2018 года представители ряда фирм встретились в Вашингтоне с некоммерческой организацией «Форум “Будущее конфиденциальности”» (Future of Privacy Forum, FPF), чтобы согласовать передовые практики обеспечения конфиденциальности для служб генетического тестирования. В документе говорится, что «генетические данные могут быть раскрыты правоохранительным органам без согласия потребителя, когда этого требует действующий правовой процесс», но фирмы обязаны размещать в удобном для пользователя месте информацию о том, «как генетические данные собираются, используются, передаются и хранятся, включая сводную информацию о ключевых защитных механизмах высокого уровня». Компания Family Tree DNA в июле высказалась в поддержку такой практики, и сейчас ее название в перечне участников соглашения набрано «перечеркнутым» шрифтом.

Ведущий автор этого документа Карсон Мартинес из отдела здравоохранения FPF, сказала, что соглашение Family Tree DNA с ФБР «несовместимо с отраслевыми нормами и ожиданиями потребителей», что генетические данные не должны передаваться третьим сторонам, не исключая и государственные органы. Она также отметила, что компании должны обрабатывать только образцы ДНК и генетические данные, загруженные соответствующим лицом или с его разрешения. Иными словами, нужны механизмы, которые помешают следователю (или частному лицу с дурными намерениями) поступить так, как в деле об Убийце Золотого штата, — завести аккаунт под вымышленным именем и загрузить туда информацию о неизвестно чьем образце. FPF призывает Family Tree DNA расторгнуть соглашение с ФБР.

Не все комментаторы настроены негативно, многие считают, что помощь в поимке преступников — дело важное и хорошее. Роберта Эстес, специалист по генной генеалогии и автор блога DNAeXplained, отмечает, что СМИ преувеличивают ужасы:, и ФБР имеет тот же ограниченный уровень доступа r базе данных Family Tree DNA, что и любой другой клиент, который представляет образец для теста Family Finder. «Клиенты контролируют, сколько информации видят те, с кем у него совпадения [в ДНК-данных], включая имя, адрес электронной почты и родословное дерево, — говорит Эстес, — Очевидно, что клиент может исказить или удалить любую из этих позиций».

Что интересно, GEDmatch, чья бесплатная онлайн-база данных по генетической генеалогии помогла арестовать Убийцу из Золотого Штата, в мае 2018 года пересмотрела свои условия обслуживания и политику конфиденциальности и признала, что правоохранительные органы могут загружать к ним данные о ДНК для идентификации человека, совершившего тяжкое преступление, или неопознанного трупа.

Всем очевидно, что более четкие правила предоставления данных правоохранительным органам необходимы. Дело не только в принципе «клиенты должны знать, за что платят», но и в том, чтобы защитить людей от возможных злоупотреблений, хотя бы от утечки информации о чьем-то родстве с преступником или иных сведений, которые человек не хочет разглашать.

Этот вопрос заинтересовал и российские законодательные органы. Роспотребнадзор разработал законопроект, в котором предложено внести в законы «О персональных данных» и «О защите прав потребителей» добавления, касающиеся генетической информации и биоматериала. «Изменения, вносимые законопроектом, соответствуют требованиям международного законодательства и подходам к нормативному регулированию в области обращения биологического материала и содержащейся в нем информации, используемым в странах ЕС, США, Великобритании, Австралии, Германии», — говорится в пояснительной записке. Однако на портале проектов нормативных актов, где документ был опубликован, он набрал более тысячи голосов «против» при одном «за». Скептическое отношение к законопроекту, очевидно, связано с опасениями специалистов, не помешает ли он оказанию медицинских услуг и научным исследованиям.