В Европе (и в Великобритании тоже) безопасность генетической информации вместе с другими медицинскими данными подпадает под действие Общего регламента по защите данных – GDPR. В США, как мы знаем из истории о хитром дефекаторе, есть акт, запрещающий работодателям дискриминацию сотрудников на основе генетических данных, есть также закон о медстраховании, регламентирующий использование защищенной медицинской информации, но поиск предков и родичей по ДНК-данным – ни то и ни другое. Частные компании, которые получают от клиента генетические данные и взамен выдают ему на руки информацию (необязательно генеалогическую; например, калифорнийская компания 23andMe предоставляет услуги по медицинскому ДНК-тестированию и интерпретации результатов по желанию клиентов, без направления от врача), всерьез задумались о том, как регулировать доступ к базам. В июле 2018 г. представители нескольких компаний встретились в Вашингтоне с некоммерческой организацией “Форум «Будущее конфиденциальности»”, чтобы согласовать правила, которые они впредь обязуются соблюдать.
В документе, разработанном по итогам встречи, говорится, что “генетические данные могут быть раскрыты правоохранительным органам без согласия потребителя, когда этого требует действующий правовой процесс”. Однако фирмы обязаны размещать в удобном для пользователя месте информацию о том, “как генетические данные собираются, используются, передаются и хранятся, включая сводную информацию о ключевых защитных механизмах высокого уровня”
[131]. (Заинтересованы в генетических данных не только спецслужбы; например, все та же 23andMe с ведома и разрешения клиентов предоставляет свои базы фармацевтическому гиганту GlaxoSmithKline для медицинских исследований.) Кроме того, компании должны обрабатывать только ДНК-данные, загруженные обладателем этой ДНК или по доверенности от него. Иными словами, нужны механизмы, которые помешают следователю (или частному лицу с дурными намерениями) поступить так, как в деле об “убийце из Золотого штата”, – завести аккаунт под вымышленным именем и загрузить туда информацию о неизвестно чьем образце.
Среди компаний, согласившихся придерживаться этих правил, была и Family Tree DNA из Хьюстона – та самая, где изучали Y-хромосомы Рюриковичей. Но зимой 2019 г. разразился скандал. В конце января стало известным, что еще в декабре Family Tree DNA обновила условия обслуживания – отныне она “работает с ФБР над проверкой образцов ДНК, предоставленных правоохранительными органами, с целью выявления лиц, виновных в насильственных преступлениях, и опознания останков умерших”
[132]. По существу то же самое, что сделала GEDmatch, – но втихую, без того, чтобы оповестить об этом клиентов, например, по электронной почте.
Президент Family Tree DNA Беннетт Гринспен отметил, что, если правоохранительные органы будут создавать учетные записи с тем же уровнем доступа к базе данных, что и стандартный пользователь Family Tree DNA, ничья конфиденциальность не будет нарушена, как не была нарушена до сих пор. А любую дополнительную информацию детективы получат только через судебное решение. Кроме того, пользователи смогут запретить другим пользователям искать совпадения в их данных. Но в таком случае клиент сам лишится возможности отыскивать родственников, а это и есть наиболее популярная услуга Family Tree DNA! Было бы правильнее, если бы клиенты сохраняли возможность получать то, за что заплатили, но могли в явном виде согласиться или отказаться предоставлять информацию о своем геноме правоохранительным органам.
Компании, работающие в этой области, отреагировали на решение Family Tree DNA работать с ФБР в основном негативно. Они потратили десятилетия, чтобы заслужить доверие клиентов, а теперь люди, которые могли бы купить тест-наборы, чтобы найти родственников или выяснить, в каких регионах Земли проживали их далекие предки, снова боятся, что их данные попадут в полицейские базы. Спенсер Уэллс, основатель проекта Genographic под эгидой National Geographic (о нем рассказывалось в главе “Звездный кластер Чингиза”), назвал это “перезапуском” и возвращением к моменту до начала проекта, в 2005 г. Представители коммерческих компаний из разных стран тут же начали делать заявления о том, что для них подобное сотрудничество с правоохранительными органами категорически неприемлемо.
Общее мнение пока сводится к тому, что необходима прозрачность – клиент должен заранее знать, кто и с какими целями получит доступ к его данным, а также иметь возможность контролировать доступ, выбирать, что кому показывать. Нужно обеспечить соблюдение правил, – например, чтобы сыщик, хулиган или человек с недобрыми намерениями не мог загружать чужую ДНК, выдавая ее за свою; если ты из ФБР, то и логинься как ФБР, а не как любопытствующий обыватель. И, конечно, защита самих данных. В США недавно даже прозвучало предложение покончить с “генетическим Диким Западом” и впредь хранить все данные в единой автоматизированной базе с жестким контролем доступа
[133]. Но у этой идеи есть свои минусы.
Защитой генетических данных занялись и у нас. Роспотребнадзор разработал законопроект, в котором предложено внести в законы “О персональных данных” и “О защите прав потребителей” добавления, касающиеся генетической информации и биоматериала. В пояснительной записке говорится, что “изменения соответствуют требованиям международного законодательства и подходам к нормативному регулированию в области обращения биологического материала и содержащейся в нем информации, используемым в странах ЕС, США, Великобритании, Австралии, Германии”.
Фактически изменения предлагаются следующие. Первые два – довольно очевидные. В статье 11 закона “О персональных данных”, где говорится, что данные, на основании которых можно установить личность человека, должны обрабатываться только с письменного согласия человека, – в перечень этих данных включены генетические (впрочем, “биологические данные” упоминались и раньше). Исключения составляют случаи, предусмотренные законодательством РФ о безопасности, противодействии терроризму, оперативно-разыскной деятельности и т. д. – закон № 242 никто не отменял, согласия преступника на обработку его данных не требуется.
Законопроект также предлагает изменение в очень короткой статье 39.1 Закона “О защите прав потребителей”, с особым вниманием к нашей теме: “Правила оказания отдельных видов услуг (в том числе связанных с использованием и обращением биологического и генетического материала), выполнения отдельных видов работ потребителям устанавливаются Правительством Российской Федерации”. Пока не определено, какие это услуги и какие будут правила, тем не менее на портале проектов нормативных актов, где документ был опубликован, он набрал более тысячи голосов “против” при одном “за”
[134]. Скептическое отношение, очевидно, связано с опасениями специалистов, не помешает ли эта поправка оказанию медицинских услуг и научным исследованиям и не отпугнет ли она иностранных инвесторов. О том, какие меры будут приняты к предотвращению несанкционированного доступа спецслужб или злоумышленников к генетическим данным законопослушных граждан, говорить рано.