居家基因檢測的隱私陷阱：你的健康數據，可能比想像中更不安全

只需透過郵寄採檢套組，採集唾液或指尖血，就能得知荷爾蒙、癌症風險、代謝能力甚至完整基因組資訊。這類「直接面對消費者（DTC）」的居家檢測服務近年大受歡迎，但《ZDNET》針對 Everlywell、23andMe、CircleDNA 等 10 家知名檢測公司進行深入調查後發現，消費者在按下購買鍵前，往往忽略了隱私條款中隱藏的巨大風險。

醫療法規的「灰色地帶」

許多消費者誤以為居家檢測公司處理的是健康資訊，就等同於受到美國《健康保險流通與責任法案（HIPAA）》的保護。然而，愛荷華大學法學院教授 Anya Prince 指出，DTC 實驗室通常不被視為 HIPAA 定義下的「受保護實體」，這意味著消費者的健康資訊主要受各公司自行制定的隱私政策規範，而非嚴格的醫療法規。

調查顯示，各家公司對 HIPAA 的引用方式極為混亂。部分公司宣稱「符合 HIPAA 標準」或具備「HIPAA 等級的安全性」，但數據合規專家 Julian Gage 直言，這些多半是行銷術語。Gage 強調：

「『HIPAA 等級加密』僅描述了安全設定，這並不代表 HIPAA 法規真正適用於你的數據，也不代表該公司不能隨意處置你的檢測結果。」

數據去識別化並非絕對安全

隱私政策中常見的「去識別化（de-identified）」或「聚合數據（aggregated）」字眼，往往是消費者最容易忽略的陷阱。雖然部分公司承諾不會出售個人資訊，但卻保留了將「去識別化數據」用於研究、行銷或與第三方分享的權利。

約翰霍普金斯大學健康與醫療安全實驗室主任 Avi Rubin 警告，去識別化並非萬能橡皮擦。他指出，基因數據具有高度識別性，一旦結合公開的家譜資料庫或其他公開資訊，所謂的匿名數據集往往能被回溯推導出真實身份。Gage 也補充，一旦數據達到法律定義的「去識別化」標準，它就脫離了大部分隱私保護規則的範疇，公司甚至無需徵求用戶同意即可進行轉售或分享。

基因數據的永久性風險

與密碼不同，基因資訊是無法更改的。這不僅關乎個人隱私，更可能影響到親屬。當消費者將樣本寄出時，實際上交出的是一份永久且具備家族關聯性的生物識別檔案。在缺乏 HIPAA 全面覆蓋的情況下，這些數據極易成為廣告商、研究機構甚至執法單位的目標，而消費者在簽署服務條款時，往往已在不知不覺中放棄了對這些敏感資訊的控制權。