Megtudhatja, hány százalékban sváb, de ér ez annyit, hogy később ne kapjon hitelt?

Lehetséges, hogy az elmúlt egy-két évtized egyik legnagyobb internetes őrülete, amit a legnagyobb YouTube-sztárok is reklámoztak, hosszú távon nem is volt olyan jó ötlet, mint azt eleinte gondolhattuk? Létezik ilyen? Nagyon úgy néz ki, de hát ki láthatta előre.

A viccet félretéve, sok biztonsági szakember már a kezdetekkor kongatta a vészharangot a bárki által elérhető DNS-elemzős vizsgálatokkal kapcsolatban, de emberek tízmilliói ennek ellenére is tudni akarták, hogy honnan származnak az őseik vagy voltak kíváncsiak a család elszakadt ágaira.

Az egyik legnagyobb, ilyen vizsgálatokat végző cég, a 23andMe pont erre építette a fel az üzenetét: a genetikai vizsgálattal az ember közelebb kerül a gyökereihez, minden a helyére kerül, megérti, hogy egyes jellemvonásai hogy alakultak ki, és a családi legendárium is beigazolódik (jobb esetben). Ehhez képest sokszor annyi derült ki egy ír–brit–holland származású amerikairól, hogy 63 százalékban brit és ír, 17 százalékban holland, a maradékban meg valamilyen észak-európai.

Persze emellett ott van a vizsgálat egészségi része is: a reklámok szerint a tesztből kiderül, hogy például mennyire valószínű, hogy a nap kiszívja az ember haját, hogy genetikailag hajlamos-e a koriander utálatára, hogy hajlamos-e arra, hogy a csámcsogás felzaklassa, vagy hogy nagyobb eséllyel alakulnak-e ki nála különböző betegségek.

Tehát érdekes és hasznos. Mi lehet a baj? Az, hogy a családtörténeti és egészségi vizsgálatok is kifejezett adatvédelmi aggályokkal járnak, főleg most, hogy a csúcson hatmilliárd dollárt érő, mára azonban ennek a 90 százalékát elveszítő 23andMe felvásárlás elé kerülhet. Vagy például azért, mert egy hasonló, genetikai adatokat begyűjtő cég, az Atlas Biomed, egyszer csak felszívódott, vezetői pedig átköltöztek egy moszkvai milliárdos címére.

Mi a veszély?

Kezdjük a faji–családtörténeti résszel! Miután a legtöbb észak-amerikai valamilyen, az elmúlt néhány száz évben a kontinensre érkezett bevándorló leszármazottja, sokan elképesztően kíváncsiak arra, honnan is jött a család, igaz-e, amit a nagypapa minden hálaadáskor elregél, hogy a hetedik fokú dédnagybácsi Napóleon lován úszta át az óceánt, vagy hogy tényleg egytizenhatod cseroki-e.

Természetesen azok is kíváncsiak, akiknek az ősei nem önszántukból szelték át az Atlanti-óceánt. Sok feketét érdekel, hogy Afrika melyik részéről származik, hogy milyen kulturális gyökerei vannak, hiszen valójában minden ember vágyik ilyen fogódzókra.

Japánban és Kínában viszont inkább azért küldik be sokan a DNS-üket ezeknek a cégeknek, hogy megerősítsék az etnikai homogenitásukról vallott elképzeléseiket. Itt jön be, hogy ez a faji szétszálazás miért problémás: Kínában például a húszmilliós ujgur népesség elnyomása nem újdonság, és ennek részeként 2016 óta kötelezik őket az ujjlenyomat mellett a genetikaiminta-adásra is.

De ha az Egyesült Államoknál vagy Európánál maradunk: ha az adatbázisokba önként beküldött genetikai adatok kikerülnek, és például olyan munkáltatók is megszerzik azokat, akik előítéletesek, mondjuk, kifejezetten az északnyugat-afrikaiakkal vagy a szlávokkal, akkor emiatt dobhatnak vissza önéletrajzokat. Nem véletlen, hogy az orvosi, egészségügyi adatok az uniós adatvédelmi rendelet, a GDPR szerint különleges személyes adatnak minősülnek, így ezeket csak különösen indokolt esetben lehet kezelni, és akkor is csak nagy körültekintéssel.

Emellett problémás lehet az orvosi rész is. A mérleg egyik serpenyőjében ott van, hogy az amerikai hatóságok nyilvános genetikai adatbázisok segítségével kapták el a Golden State Killert, valamint több mint egy tucat másik bűnözőt. Ám a felhasználók ehhez nem minden esetben járultak hozzá, és ebből komoly jogi vita is alakult ki, több csoportos per is indult például a GEDmatch nevű adatbázis ellen – például azért is, mert a Facebookkal is megosztották a felhasználók által feltöltött adatokat. A 23andMe is hasonlóan járt, de a cég 30 millió dollár kifizetésével elkerülte a pert.

Bár a 23andMe korábban azt állította, hogy csak bírói végzés ellenében adják ki a rendőrségnek az ügyfelek genetikai adatait, sok más, hasonló cég nem így dolgozik. Sőt, valójában nincs is arra szükség, hogy az ember bármit elkövessen, hiszen a rokonainkkal – még a harmad-unokatestvéreinkkel is – annyira hasonló a DNS-ünk, hogy ez alapján is simán hozzá lehet kötni valakit egy bűntényhez, pont mint a Golden State Killer esetében. Talán nem is véletlen, hogy az amerikai hadsereg 2020-ban azt ajánlotta az állomány tagjainak, hogy ne használjanak ilyen szolgáltatásokat.

A másik oldalon viszont ott van az is, hogy hogyan lehet visszaélni a felhasználók adataival. Bár a szolgáltatók sok esetben azt állítják, hogy az adatok anonimizáltak, korábban láthattuk, hogy már az is hatalmas kockázatot jelenthet, hogy valaki milyen reklámokat lát a telefonján, hiszen az emberek annyi mindent osztanak meg magukról, hogy az anonimizálás ellenére is sok esetben nagyon egyszerű az adatokat személyekhez kötni.

Például ha valakinél kijön, hogy nála nagyobb eséllyel alakul ki rákos megbetegedés vagy demencia, és ehhez az információhoz biztosítók, bankok hozzáférnek, akkor lehet, hogy pusztán ez alapján nem adnak valakinek hitelt, vagy nem kötnek vele életbiztosítási szerződést – még akkor sem, ha amúgy végül makkegészségesen éli le az életét.

És a helyzet még rosszabb, miután ezek az adatok néha kikerülnek. Mint, mondjuk, 2023. október 6-án, amikor egy Golem nevű hekker közel hétmillió 23andMe-felhasználó genetikai adatait kezdte el árulni a neten – például olyan felütéssel, hogy zsidók, vezérigazgatók, a brit királyi család tagjainak adatait árulja.

Ez nem egyedi eset volt, és egy hagyományos kiberbiztonsági incidenshez képest van egy óriási különbség: ha ellopják a bankkártyaadatainkat, akkor a kártya letiltható, majd új kártya igényelhető, azaz az adatok változnak. Ha feltörik egy fiókunkat, akkor a jelszó cserélhető, az adatok változnak. De ha a genetikai adatainkat szerzi meg valaki, akinek nem akartuk megosztani, akkor gyakorlatilag már semmit nem tehetünk, ezek az adatok soha nem fognak megváltozni.

A Mozilla novemberi kutatása alapján 2009 és 2023 között az Egyesült Államokban a negyvenszeresére nőtt az egészségügyi adatokkal kapcsolatos kiberbiztonsági incidensek száma. A kutatást Keserű Júlia végezte, aki részletesen be is mutatta a munkája középpontjában álló testcentrikus adatokat, amiknek a megosztása a koronavírus-járvány óta egyre népszerűbb. Ezek közé tartoznak az ujjlenyomat- és arcminták, amiket például a telefonokon adunk meg, az edzettségi és menstruációs adatok, a mentális egészséggel foglalkozó appok által gyűjtött infó és a digitális egészségügyi dokumentáció is.

Bár Keserű kutatása alapján az emberek elárulva és kihasználva érzik magukat, ha ilyen jellegű adataik illetéktelen kezekbe kerülnek, és sokan szigorúbb szabályozást várnak a törvényhozóktól, az előrejelzések alapján csak a biometrikus azonosításra épülő ipar akár már 200 milliárd dollárt is érhet 2032-re.

Az elemzés szerint akár még az adatok jogszerű felhasználása is vezethet súlyos problémákhoz. Egyre több egészségügyi szolgáltató alkalmaz mesterséges intelligencián (MI) alapuló rendszereket az adatok feldolgozására, ezeket azonban jórészt fehér emberek adataival tanítják be, így az MI gyakran pontatlanabb, ha sötétebb bőrszínű betegek adatainak elemzéséről van szó.

Mi a biztosíték, hogy ilyen nem fordulhat elő?

A 23andMe piaci haláltusája közben adja magát a kérdés, hogy mi lesz a céggel és a több millió felhasználója adataival. Anne Wojcicki, a cég társalapítója és vezérigazgatója szeretné megvásárolni, de azt sem lehet kizárni, hogy egy harmadik fél kaparintja meg ezt az aranybányát. A hasonló szolgáltatást nyújtó Ancestryt 2020-ban a Blackstone befektetőcég vásárolta meg, és a vizsgálathoz tartozó adatkezelési leírásba szinte minden vállalat beleírja ugyan, hogy nagyon fontos nekik az adatok védelme, és hogy nem adják ki csak úgy bárkinek – hiszen elengedhetetlen számukra a felhasználók bizalma –, az is szerepel benne, hogy ezt a szabályzatot bármikor megváltoztathatják. A felvásárlással az Ancestrynek genetikai mintákat küldők adatai mind a Blackstone tulajdonává váltak, és gyakorlatilag azt csinálnak velük, amit akarnak.

Bár lehet tiltakozni az ellen, hogy kiadják harmadik félnek az ember adatait, sőt, a 23andMe-nél még töröltetni is lehet őket, sok adatot mindenképp megtart a cég. Ha pedig a felhasználó hozzájárult, hogy a genetikai információit felhasználják kutatásokban, akkor nem töröltethető az adathalmaz.

Tehát az, hogy ezekkel az adatokkal mi történik, gyakorlatilag azon múlik, hogy a vizsgálatokat végző cégek tulajdonosai mit akarnak kezdeni az információval. Érdemes meggondolni, hogy biztos olyan fontos-e, hány százalékban honnan származunk:

csak azért, mert a cég most azt állítja, hogy mindenáron megvédi az adatainkat, nem biztos, hogy ez később is így lesz.