译者按
ICO与OPC联合致函负责监督破产案件的美国受托人,要求23andMe 及潜在收购方遵守GDPR与PIPEDA,对美国破产法院 2025年4月29日裁定任命消费者隐私监察专员以监督破产程序中客户信息处理的举措表示欢迎,两国信息专员也分别强调保护客户基因数据、健康报告等敏感信息的重要性。ICO 已于 2025年3月针对 23andMe 2023 年数据泄露事件公布初步调查结论,发出拟罚459万英镑的意向通知及初步执法通知,将在考量 23andMe 陈述意见后作最终决定。
声明
英国信息专员办公室(ICO)与加拿大隐私专员办公室(OPC)呼吁,在基因检测公司23andMe的破产程序进行期间及程序终结之后,对该公司客户的敏感个人数据予以保护。
两家监管机构已联合致函美国受托人(U.S.Trustee)——该机构负责监督破产案件的案卷管理,并通过诉讼执行破产法律。
该函件着重阐明了英国及加拿大法律所规定的义务,即23andMe公司以及任何可能收购该公司或其客户个人数据的主体,均须遵守《英国通用数据保护条例》(UK GDPR)与《加拿大个人信息保护与电子文档法》(PIPEDA,加拿大联邦层面规范私营部门的隐私法律);同时警告称,若该等数据未能得到妥善保护,监管机构将采取行动。
在2025年4月29日召开的听证会上,美国一名破产法官作出裁定,任命一名消费者隐私监察专员(Consumer Privacy Ombudsman),负责在破产程序期间监督23andMe公司客户个人信息的处理工作。英国信息专员办公室与加拿大隐私专员办公室对这一进展表示欢迎,并计划在该监察专员的任命正式生效后与其开展协作。
英国信息专员John Edwards表示:
“23andMe公司掌握着其客户的一些个人化且高度敏感的信息,其中包括基因数据、健康报告以及客户自行申报的健康状况相关信息。本周,我们已致函美国破产受托人,呼吁在该公司破产程序进行期间及之后,对这些敏感数据予以保护。
英国民众有必要相信,破产程序以及该公司或其资产的任何潜在出售行为,都将保障其个人数据免遭未经授权的使用或滥用。我们将代表英国民众主张权益,若23andMe公司或任何潜在收购方未遵守数据保护相关法律规定,我们将毫不犹豫地采取行动。”
加拿大隐私专员Philippe Dufresne表示:
“23andMe公司掌握着数百万客户的高度敏感个人信息,其中包括脱氧核糖核酸(DNA)信息。本办公室正密切关注23andMe公司的出售事宜,以确保与加拿大境内个人相关的任何个人信息的处理均符合加拿大联邦层面私营部门隐私法律的要求。鉴于加拿大人可能对其个人信息未来的保护问题存在重大担忧——尤其是考虑到部分数据此前曾发生过泄露事件,此事至关重要。”
调查
ICO与OPC一直在联合调查23andMe于2023年发生的数据泄露事件。2025年3月,ICO公布了其初步调查结论,发出一份拟处以459万英镑罚款的意向通知(Notice of Intent)及一份初步执法通知(Preliminary Enforcement Notice)。ICO将在作出最终决定前,审慎考虑23andMe提出的任何陈述意见。
问答
①ICO与OPC主要关注哪些问题?
ICO与OPC关切的是,在破产程序期间及之后,23andMe英国与加拿大客户的敏感个人数据能否得到保护。我们希望防止消费者的个人数据被未经授权使用或滥用。
②ICO与OPC具体担忧哪些类型的个人数据?
ICO与OPC尤其担忧对高度敏感信息的保护,包括23andMe公司客户的基因数据、健康报告以及自行申报的健康状况相关信息。
③针对2023年23andMe公司数据泄露事件,ICO与OPC采取了哪些行动??
ICO与OPC一直在联合调查2023年的数据泄露事件。2025年3月,ICO公布了初步调查结论,发出一份拟处以459万英镑罚款的意向通知及一份初步执法通知。我们目前正在审议23andMe的陈述意见,之后将作出最终决定。
④根据英国法律规定,23andMe公司或其资产的潜在收购方负有哪些法律义务?
任何潜在收购23andMe公司的主体均须遵守《英国通用数据保护条例》的规定,包括在个人信息使用或披露方面的限制——即不得将个人信息用于最初收集目的之外的其他用途。收购方还必须采取强有力的安全保障措施,以保护其持有的个人信息。
⑤ICO与OPC建议采取哪些措施以确保破产程序期间个人数据的保护?
ICO与OPC对任命一名消费者隐私监察员以监督破产程序期间个人数据的保护表示欢迎。同时,我们也提醒23andMe公司的任何潜在收购方,其必须遵守数据保护相关法律规定。
⑥ICO与OPC是如何向美国破产受托人传达其关切的?
ICO与OPC已联合致函美国受托人,既表达了双方的关切,也阐明了适用于23andMe公司英国及加拿大客户个人信息的隐私法律要求。此外,双方还表明,若有证据显示23andMe公司的收购方以及(或)其客户数据的收购方未来存在不合规行为,将展开调查并采取相应行动。
⑦23andMe公司的数据能否被出售?
可以出售,但任何数据收购方均须持续遵守数据保护相关法律规定。
⑧若23andMe公司或任何潜在收购方未遵守数据保护法律规定,可能面临哪些后果?
ICO与OPC已明确表示若有证据显示23andMe公司或任何收购23andMe公司的潜在收购方未遵守适用的隐私法律规定,双方将毫不犹豫地展开调查并采取相应行动。
编译|祁卓妍
排版|李钰璐
审核|裴 轶
