販售基因檢測採樣工具包的23andMe公司日前宣佈,他們已經把一種有潛力的新型消炎藥專利權賣給了一間西班牙製藥公司。23andMe蒐集數百萬客戶的健康數據並推動醫療的進展,這是同類產品中的首例。但幾周後,該公司宣佈裁員,理由是市場萎縮,執行長將原因歸咎於公眾對隱私的擔憂。
這兩種發展是具有關聯性,我們提供了自己最私密的數據(基因組成),而它們被用在我們不知道、也無法控制的層面。有些被用於製作更有效的藥物,這確實是好的部分,但有些則令人們擔心。
23andMe於2007年在矽谷成立,它提供「直接面對消費者」(DTC,又稱直效行銷)的基因檢測工具包,並獨立於任何醫療體制之外。該公司蒐集客戶的基因數據、健康與行為等資訊,使它們能夠找出某些基因與疾病之間的關聯,進而開發干擾致病基因的特效藥。
類似23andMe的公司在過去十年急速增長,它滿足人們想知道自己從何而來的好奇心,並瞭解基因可能讓自己容易罹患哪些疾病。但隨著時間過去,人們逐漸意識到,這些公司的主要收入來源其實是販售客戶數據給第三方。
一些像23andMe的直效行銷公司在數據共享方面還算透明,當客戶簽署合約時,裡面會提到是否同意將個人資料用於研究,大約有八成客戶會同意,但其他公司就不一定那麼誠實。2016年的一項調查顯示,在當時提供基因檢測服務的86間公司裡,只有三分之一會跟客戶解釋未來會如何運用這些資料。
問題在於健康科技公司不是醫生,它不受希波克拉底誓詞約束,而病患(或說客戶)也不是它最關心的事情。它沒有義務詳細說明條款和條件,還可以隨時變更條款和條件內容。儘管客戶能在任何時候撤回同意,但撤回過程通常需要一段時間才會生效。在此期間,客戶資料早就被傳遞出去使用,之後就很難再收回了,更別說要完全銷毀。
客戶對於個人資料所開發出來的產品有什麼權利嗎?直效行銷公司並不是唯一蒐集客戶資料的公司,其他像國家保健系統、醫療保險公司,以及越來越多的社群媒體公司也都會這麼做。雖然它一部份被用於改善醫療的研究,但關於補償仍有正當性的疑慮,例如23andMe要求客戶自行放棄「因研究獲利的所有權利」。但考量到這些利益相當龐大(大型製藥公司的興趣證明了這點),他們難道不應該為數據付費嗎,怎麼又會變成向客戶收取檢測費呢?這種做法彷彿海瑞塔‧拉克絲(Henrietta Lacks)的翻版,這位非裔美國婦女在1951年接受活體切片檢查後,其細胞被用於醫學研究,但她從未得到任何補償,而且在世時也從來不知情也未同意(但當時的美國法律允許這種做法)。
然而,更大的問題是,我們並不知道誰能調閱這些數據庫,也不知道其目的為何。除了製藥公司外,其他可能希望獲得數據的還有保險公司、涉及親屬遺產糾紛的個人,以及執法機構。23andMe指出,它們的資料未授權給執法機構,但其他公司(例如FamilyTreeDNA)則吹噓它們有權利把數據提供給執法機構。逍遙法外多年的「金州殺手」之所以在2018年被捕,正是因為調查人員將犯罪現場的DNA樣本與基因檢測公司的數據庫進行比對後的結果(兇嫌的一名親戚所上傳)。政府經營的生物庫也允許警方使用,2004年瑞典外交部長安娜‧林德(Anna Lindh)遇刺案,兇嫌就是這樣被逮捕定罪。專家推測,生物數據未來可能廣泛用於辨識恐怖分子嫌疑人、追查軍事人員,以及提供病患合適的治療。
歐洲各國對基因檢測公司的立法差異很大:法國和德國原則上禁止,除非是在醫療監管下進行,消費者若私自訂購基因檢測工具包很可能遭到罰款;盧森堡和波蘭對此的限制則很少。英國態度保持中立,允許國民進行檢測,但堅持知情同意。歐盟於2018年生效的《一般資料保護規範》(General Data Protection Regulation,簡稱GDPR)對資料的二次使用提出了嚴格要求,適用於任何司法管轄區的任何公司,只要其產品或服務的對象為隸屬歐盟的個人。然而,當客戶接觸到那些沒有明確針對他們的外國公司時,便也失去了《一般資料保護規範》的保護。例如英國最近脫歐後,就不再繼續受到《一般資料保護規範》保障。
這些隱私擔憂可能才是基因檢測公司裁員背後的主因,我們需要儘快解決這些問題以避免落入基因檢測的陷阱,同時朝著對人類有益的方向前進。與此同時,消費者也應該開始學會仔細閱讀合約。
圖片出處:Wellcome Images、thierry ehrmann@flickr、MIKI Yoshihito@flickr
原文出處:Guardian