Когда что-то пытаются украсть, это значит, что оно действительно ценное, и покупатель, наверное, имеется. Данные британского проекта “100 000 геномов” – 100 000 полных геномов людей с редкими заболеваниями, их семей и пациентов с некоторыми видами рака – в декабре 2018 г. пришлось перенести на серверы военной базы из-за хакерских атак. Представители компании Genomics England, которую британское правительство создало для реализации проекта, заявили, что отразили множество кибератак и что это можно назвать обычным явлением. Данные обезличены, поэтому их нельзя связать с конкретными людьми, говорят они; исследователи работают с геномными данными в специальной защищенной контролируемой среде, и ни одна из атак не привела к сбоям в Genomics England. И все же, все же… Надо наконец что-то делать, не каждая компания может переложить свои базы на сервер, охраняемый всей королевской ратью. Да и, кроме хакеров, есть люди со служебными удостоверениями, которым трудно отказать. Нужны законы, регулирующие доступ к генетическим данным граждан. О законах читать скучновато, но это важно: именно сейчас решается, в каком будущем нам жить, какие нас ожидают выгоды и какие угрозы.

В Европе (и в Великобритании тоже) безопасность генетической информации вместе с другими медицинскими данными подпадает под действие Общего регламента по защите данных – GDPR. В США, как мы знаем из истории о хитром дефекаторе, есть акт, запрещающий работодателям дискриминацию сотрудников на основе генетических данных, есть также закон о медстраховании, регламентирующий использование защищенной медицинской информации, но поиск предков и родичей по ДНК-данным – ни то и ни другое. Частные компании, которые получают от клиента генетические данные и взамен выдают ему на руки информацию (необязательно генеалогическую; например, калифорнийская компания 23andMe предоставляет услуги по медицинскому ДНК-тестированию и интерпретации результатов по желанию клиентов, без направления от врача), всерьез задумались о том, как регулировать доступ к базам. В июле 2018 г. представители нескольких компаний встретились в Вашингтоне с некоммерческой организацией “Форум «Будущее конфиденциальности»”, чтобы согласовать правила, которые они впредь обязуются соблюдать.

В документе, разработанном по итогам встречи, говорится, что “генетические данные могут быть раскрыты правоохранительным органам без согласия потребителя, когда этого требует действующий правовой процесс”. Однако фирмы обязаны размещать в удобном для пользователя месте информацию о том, “как генетические данные собираются, используются, передаются и хранятся, включая сводную информацию о ключевых защитных механизмах высокого уровня”. (Заинтересованы в генетических данных не только спецслужбы; например, все та же 23andMe с ведома и разрешения клиентов предоставляет свои базы фармацевтическому гиганту GlaxoSmithKline для медицинских исследований.) Кроме того, компании должны обрабатывать только ДНК-данные, загруженные обладателем этой ДНК или по доверенности от него. Иными словами, нужны механизмы, которые помешают следователю (или частному лицу с дурными намерениями) поступить так, как в деле об “убийце из Золотого штата”, – завести аккаунт под вымышленным именем и загрузить туда информацию о неизвестно чьем образце.

Среди компаний, согласившихся придерживаться этих правил, была и Family Tree DNA из Хьюстона – та самая, где изучали Y-хромосомы Рюриковичей. Но зимой 2019 г. разразился скандал. В конце января стало известным, что еще в декабре Family Tree DNA обновила условия обслуживания – отныне она “работает с ФБР над проверкой образцов ДНК, предоставленных правоохранительными органами, с целью выявления лиц, виновных в насильственных преступлениях, и опознания останков умерших”. По существу то же самое, что сделала GEDmatch, – но втихую, без того, чтобы оповестить об этом клиентов, например, по электронной почте.

Президент Family Tree DNA Беннетт Гринспен отметил, что, если правоохранительные органы будут создавать учетные записи с тем же уровнем доступа к базе данных, что и стандартный пользователь Family Tree DNA, ничья конфиденциальность не будет нарушена, как не была нарушена до сих пор. А любую дополнительную информацию детективы получат только через судебное решение. Кроме того, пользователи смогут запретить другим пользователям искать совпадения в их данных. Но в таком случае клиент сам лишится возможности отыскивать родственников, а это и есть наиболее популярная услуга Family Tree DNA! Было бы правильнее, если бы клиенты сохраняли возможность получать то, за что заплатили, но могли в явном виде согласиться или отказаться предоставлять информацию о своем геноме правоохранительным органам.

Компании, работающие в этой области, отреагировали на решение Family Tree DNA работать с ФБР в основном негативно. Они потратили десятилетия, чтобы заслужить доверие клиентов, а теперь люди, которые могли бы купить тест-наборы, чтобы найти родственников или выяснить, в каких регионах Земли проживали их далекие предки, снова боятся, что их данные попадут в полицейские базы. Спенсер Уэллс, основатель проекта Genographic под эгидой National Geographic (о нем рассказывалось в главе “Звездный кластер Чингиза”), назвал это “перезапуском” и возвращением к моменту до начала проекта, в 2005 г. Представители коммерческих компаний из разных стран тут же начали делать заявления о том, что для них подобное сотрудничество с правоохранительными органами категорически неприемлемо.

Общее мнение пока сводится к тому, что необходима прозрачность – клиент должен заранее знать, кто и с какими целями получит доступ к его данным, а также иметь возможность контролировать доступ, выбирать, что кому показывать. Нужно обеспечить соблюдение правил, – например, чтобы сыщик, хулиган или человек с недобрыми намерениями не мог загружать чужую ДНК, выдавая ее за свою; если ты из ФБР, то и логинься как ФБР, а не как любопытствующий обыватель. И, конечно, защита самих данных. В США недавно даже прозвучало предложение покончить с “генетическим Диким Западом” и впредь хранить все данные в единой автоматизированной базе с жестким контролем доступа. Но у этой идеи есть свои минусы.

Защитой генетических данных занялись и у нас. Роспотребнадзор разработал законопроект, в котором предложено внести в законы “О персональных данных” и “О защите прав потребителей” добавления, касающиеся генетической информации и биоматериала. В пояснительной записке говорится, что “изменения соответствуют требованиям международного законодательства и подходам к нормативному регулированию в области обращения биологического материала и содержащейся в нем информации, используемым в странах ЕС, США, Великобритании, Австралии, Германии”.

Фактически изменения предлагаются следующие. Первые два – довольно очевидные. В статье 11 закона “О персональных данных”, где говорится, что данные, на основании которых можно установить личность человека, должны обрабатываться только с письменного согласия человека, – в перечень этих данных включены генетические (впрочем, “биологические данные” упоминались и раньше). Исключения составляют случаи, предусмотренные законодательством РФ о безопасности, противодействии терроризму, оперативно-разыскной деятельности и т. д. – закон № 242 никто не отменял, согласия преступника на обработку его данных не требуется.

Законопроект также предлагает изменение в очень короткой статье 39.1 Закона “О защите прав потребителей”, с особым вниманием к нашей теме: “Правила оказания отдельных видов услуг (в том числе связанных с использованием и обращением биологического и генетического материала), выполнения отдельных видов работ потребителям устанавливаются Правительством Российской Федерации”. Пока не определено, какие это услуги и какие будут правила, тем не менее на портале проектов нормативных актов, где документ был опубликован, он набрал более тысячи голосов “против” при одном “за”. Скептическое отношение, очевидно, связано с опасениями специалистов, не помешает ли эта поправка оказанию медицинских услуг и научным исследованиям и не отпугнет ли она иностранных инвесторов. О том, какие меры будут приняты к предотвращению несанкционированного доступа спецслужб или злоумышленников к генетическим данным законопослушных граждан, говорить рано.

А тем временем фирма Thermo Fisher Scientific, производящая секвенаторы, заявила в феврале 2019 г., что прекращает поставки оборудования и сервисное обслуживание в китайском автономном регионе Синьцзян. Причина в том, что власти занялись под видом бесплатной медицинской помощи сбором генетических данных мусульман, составляющих большинство в этом своеобразном регионе. В том числе и тех, кто не совершил никаких преступлений, – так, на всякий случай. Решение компании правильное, однако надо признать, что включение того или иного объема ДНК-данных в биометрию паспортов всего мира, – скорее всего, лишь вопрос времени. Слишком уж удобен этот метод идентификации.