23andMe基因数据泄露案落幕:43位州总检察长达成1.5亿美元破产和解——"破产保护"洗不掉的数据安全责任
2026年7月14日,特拉华州总检察长Kathy Jennings宣布,包括特拉华在内的43位州级总检察长与基因检测公司23andMe的破产受托人达成和解,就2023年波及全球690万用户的基因数据泄露事件确认了1.5亿美元的州政府破产索赔额度。这起案件贯穿数据泄露、多州监管调查、公司破产与数据资产出售的完整链条,为所有处理敏感个人数据的企业——尤其是涉足基因、健康数据业务的中资出海企业——提供了一部完整的"反面教材"。
事件背景:一场先被否认、后甩锅用户的"撞库"攻击
2023年10月,直接面向消费者(DTC)的基因检测公司23andMe披露其遭遇撞库攻击(credential stuffing):攻击者利用在其他平台泄露的"用户名+密码"组合批量登录23andMe账户,再借助"DNA亲缘"(DNA Relatives)功能横向抓取数据,最终波及约690万用户,泄露信息包括部分用户的基因血统信息,相关数据随后在暗网被公开兜售。
更为严重的是,根据特拉华州总检察长办公室的通报,23andMe在被泄露数据已公开流传数月后才知悉事件;其最初否认发生泄露,确认后又将责任归咎于用户的账户设置和密码使用习惯,拒绝承担任何责任。而23andMe与多年前即发生过凭证泄露事件的合作方MyHeritage共享大量用户凭证,使其对撞库风险本应有更高的警觉。
多州调查认定的六大安全缺陷
泄露事件发生后,43位州总检察长迅速组成多州联合调查组,最终认定23andMe存在不合理的数据安全实践(unreasonable data security practices),包括:
未部署针对撞库攻击的防护措施,如将用户密码与已知泄露密码黑名单比对,或要求多因素认证(MFA);
未实施适当的登录速率限制(rate limiting)或入侵防御;
未部署足以发现数据泄露的日志记录与安全监控;
未对异常登录模式(如登录尝试量激增)进行调查处置;
未修复已知漏洞;
未对产品设计功能进行适当审查与测试。
这份清单的意义远超个案:它实际上勾勒出州监管者眼中"合理安全措施"的最低技术基线。
和解要点:1.5亿美元索赔额与破产程序的现实约束
由于23andMe已于2025年3月申请破产保护,本次和解在破产程序内完成:各州获得合计1.5亿美元的确认索赔额(allowed claims),但受破产财产规模及其他债权人分配顺位的限制,实际可立即支付的金额为1,800万美元(特拉华州分得159,654美元)。此外,23andMe还在破产程序中达成了4,675万美元的消费者集体诉讼和解(申报截止日为2026年2月17日)。
值得特别关注的是数据资产的去向:破产程序中,23andMe的核心资产——消费者基因数据库——被出售给其创始人Anne Wojcicki设立的非营利机构TTAM Research Institute(现更名为23andMe Research Institute)。在特拉华等州对数据出售提出异议后,出售条款纳入了强化数据安全要求、定期风险评估、设立独立咨询委员会、无条件遵守各州综合隐私法以及持续保障用户删除权等义务,才获各州放行。
对中资企业的合规启示
第一,撞库防御是"合理安全"的底线。MFA、泄露密码黑名单比对、登录速率限制、入侵检测与日志监控,是多州调查清单明示的最低标准。面向美国用户的App与网站应当逐项对照自查,并将其固化为书面安全政策的一部分。
第二,事件响应决定法律责任的走向。23andMe"先否认、后甩锅"的危机应对显著加重了监管追责。企业应制定并演练事件响应预案(IR Plan),在确认泄露前后谨慎管理对外披露口径,并及时履行各州数据泄露通知义务。
第三,基因数据须按最高敏感等级管控。除州综合隐私法外,多州还有基因信息专门立法(如加州《基因信息隐私法》GIPA)。持有美国用户基因数据的中资企业还须格外注意美国司法部数据安全计划(DSP,落实第14117号行政令):超过100名美国人的人类基因组数据即构成"批量敏感数据",向包括中国在内的"受关注国家"传输属于被禁止交易,违者可能面临民事乃至刑事责任。
第四,破产不能豁免数据合规负债。数据资产走到哪里,合规义务与监管审查就跟到哪里。中资企业在并购美国公司或收购其数据资产时,应开展专项隐私尽调,评估目标数据的取得合法性、用户授权范围及潜在的执法与诉讼敞口。
第五,删除权与数据最小化是长期"减压阀"。严格执行用户删除请求(DSAR流程)、缩短留存期限、避免超范围收集,可从源头收缩泄露事件的损害面与索赔基数。
趋势展望
从上周46州与Block(Cash App)的4,500万美元和解,到本案43州联手追责23andMe,多州总检察长联盟已成为美国隐私执法的主力形态;特拉华州总检察长更明言将"继续动用包括州《个人数据隐私法》在内的一切工具"。在联邦综合隐私立法仍悬而未决的背景下,州级执法的密度和力度只增不减。对持有美国用户敏感数据的中资企业而言,日常的安全防线建设与事件响应能力,将直接决定企业在遭遇攻击之后的法律命运。
本文由格知律师事务所整理发布,仅供参考,不构成法律意见。如需针对具体情况的法律建议,请联系专业律师。