据CTV报道:近日,加拿大隐私专员办公室(OPC)与英国信息专员办公室(ICO)在渥太华召开联合新闻发布会,公布对基因检测巨头23andMe大规模数据泄露事件的调查结果。
调查显示,该公司因“未能采取基本数据保护措施”导致全球近700万用户敏感信息被盗,其中包含32万名加拿大公民的基因数据。
英国当局宣布对23andMe处以231万英镑(约合400万加元)罚款,而加拿大因现行隐私法限制,无权实施任何经济处罚。这一结果引发加拿大社会对数据安全立法的强烈质疑。
2023年10月,黑客利用“凭证填充攻击”(Credential Stuffing)侵入23andMe系统,窃取用户数据库。泄露信息包括:
-
- 健康风险分析(如阿尔茨海默症、乳腺癌遗传概率)
- 族裔与血统数据(包括犹太人、华裔等特定族群标签)
- 家庭关系图谱(通过DNA匹配的亲属信息)
- 性别认同与出生记录
黑客随后在暗网以“阿什肯纳兹犹太人基因”“华裔族谱”等分类打包出售数据,每条记录标价1至10美元。加拿大网络安全专家马克·安德森(Marc Anderson)指出:“这类数据可能被用于针对性诈骗、保险歧视,甚至种族监控。”

联合调查显示,23andMe存在严重管理漏洞:
-
- 未强制多重身份验证(MFA):仅5%的账户启用这一基础防护;
- 密码策略松懈:允许用户设置“123456”等简单密码;
- 未监测异常登录:黑客通过6.4万次重复尝试轻松突破防御。
英国信息专员约翰·爱德华兹(John Edwards)批评称:“该公司连‘网络安全入门课’水平都未达到。”
加拿大隐私专员菲利普·迪弗雷纳(Philippe Dufresne)补充道:“基因数据一旦泄露,可能影响用户一生,但23andMe显然未将其视为优先事项。”
尽管加拿大受影响用户数量庞大,但根据现行《个人信息保护与电子文件法》(PIPEDA),OPC仅能发布建议,无权罚款或强制企业整改。
相比之下,英国依据《通用数据保护条例》(GDPR)可处以全球营业额4%的罚款,欧盟对同类案件的罚金常超数亿欧元。
多伦多大学法学教授丽莎·奥斯汀(Lisa Austin)指出:“加拿大是G7中唯一缺乏数据侵权处罚权的国家。
2022年推出的《数字宪章实施法案》因议会解散未能通过,改革一再拖延。”目前,加拿大仅魁北克省通过第25号法案,允许对违规企业最高处1000万加元罚款。
数据泄露后,加拿大受害者已发起三项集体诉讼,指控23andMe“疏忽与违约”。代表律师娜塔莉·克莱因(Nathalie Klein)透露:“许多原住民用户因基因数据暴露面临族群歧视风险。”
与此同时,加拿大基因检测行业受重创。本土公司“Maple DNA”报告称,事件后客户信任度下降40%。加拿大卫生部长回应称,将推动基因数据归类为“特敏信息”,但未给出立法时间表。
2024年3月,23andMe因诉讼与用户流失申请破产保护。
2025年6月13日,公司被联合创始人安妮·沃西基(Anne Wojcicki)领导的非营利组织以3.05亿美元收购,承诺“停止商业基因分析,转向科研合作”。
分析认为,此举是为规避法律责任,但用户数据已无法收回。
专家呼吁:加拿大需紧急升级数据保护
-
- 网络安全机构“CIRA”建议加拿大:
- 效仿欧盟GDPR建立强制性罚款制度;
- 要求企业定期提交安全审计报告;
- 设立国家级基因数据库监管框架。
隐私专员迪弗雷纳总结道:“当企业忽视数据安全时,法律必须成为最后的防线。加拿大不能再做旁观者。”
来源:多伦多生活综合