Những bí mật không thể xóa trong dữ liệu ADN
Ngày 23/3/2025, công ty xét nghiệm gen 23andMe nộp đơn xin bảo hộ phá sản theo Chương 11 tại Tòa Phá sản Mỹ khu vực Đông Missouri. Trong vòng 24 giờ, lượng truy cập vào trang web của công ty tăng 526%. Không phải vì khách hàng muốn đọc thông báo phá sản, mà vì hàng triệu người đổ xô vào trang hỗ trợ với một mục đích duy nhất: xóa dữ liệu ADN của mình trước khi chúng bị chuyển giao trong một thương vụ phá sản. Nhưng câu hỏi mà không ai trong số họ có thể trả lời được là: liệu xóa có còn kịp không?
5 triệu hồ sơ ADN trong một phiên đấu giá phá sản
Được thành lập năm 2006 tại California và sớm nhận vốn đầu tư từ Google, 23andMe đã biến xét nghiệm gen thành sản phẩm tiêu dùng đại trà: chỉ cần lấy mẫu nước bọt, khách hàng có thể nhận về bản đồ tổ tiên, nguy cơ mắc một số bệnh, thậm chí tìm được họ hàng thất lạc. Từ mức định giá 6 tỷ USD khi lên sàn năm 2021, đến tháng 3/2025, công ty rơi vào phá sản. Và toàn bộ kho dữ liệu gen của hơn 15 triệu khách hàng bị cuốn vào quy trình bán tài sản dưới sự giám sát của tòa.
Điều khiến giới chuyên gia luật và an ninh lo ngại không chỉ là việc công ty phá sản, mà là khả năng những hồ sơ từng được thu thập trên cơ sở đồng thuận có thể bị đưa vào khối tài sản chuyển giao nếu tòa án phê duyệt. Nói cách khác, thứ người dùng trao đi với niềm tin “chỉ dùng cho nghiên cứu y tế” có thể đi theo bên mua trong một quy trình đấu giá phá sản.
Tháng 5/2025, tập đoàn dược phẩm Regeneron Pharmaceuticals thắng đấu giá với mức 256 triệu USD. Ngay sau đó, 27 bang và Đặc khu Columbia tìm cách ngăn việc chuyển giao dữ liệu gen nếu không có sự đồng thuận rõ ràng. Lý lẽ của họ đặt ra một vấn đề pháp lý chưa được trả lời thỏa đáng: dữ liệu gen không giống bất động sản hay nội thất văn phòng, mà là loại tài sản gắn với bản sắc sinh học của con người. Ủy ban Thương mại Liên bang (FTC) cũng lên tiếng, yêu cầu đảm bảo dữ liệu không bị dùng theo cách trái với cam kết ban đầu.
Trước sức ép, phiên đấu giá được mở lại ngày 4/6/2025. TTAM Research Institute, tổ chức phi lợi nhuận do Anne Wojcicki, đồng sáng lập và cựu CEO 23andMe, thành lập, thắng thầu với mức 305 triệu USD. Ngày 30/6/2025, thẩm phán phê duyệt thương vụ. Nhưng đây là điểm mà nhiều người đã thở phào nhầm chỗ. Vấn đề không phải ai mua, mà là bản chất của dữ liệu gen khiến mọi cam kết bảo mật đều có điểm mù.
Năm 2023, 23andMe bị tấn công bằng hình thức nhồi thông tin đăng nhập. Tin tặc truy cập trực tiếp khoảng 14.000 tài khoản, nhưng từ đó thu thập được dữ liệu liên quan tới khoảng 6,9 triệu người dùng thông qua tính năng DNA Relatives. Năm 2024, một vụ kiện tiết lộ rằng dữ liệu gen của một số nhóm dân tộc cụ thể đã bị kẻ tấn công phân loại thành danh sách riêng biệt theo sắc tộc và rao bán trực tuyến. Đây không còn là một vụ rò rỉ dữ liệu ngẫu nhiên, mà là dấu hiệu của việc khai thác dữ liệu sinh học theo nhóm định danh.
Vấn đề càng nghiêm trọng hơn với bài toán nhận dạng lại. Một nghiên cứu đăng trên Cell tháng 10/2024 cho thấy dữ liệu biểu hiện gene đơn bào, dù được công bố dưới dạng ẩn danh, vẫn có thể bị khai thác để suy ra thông tin di truyền và đặc điểm cá nhân của người tham gia nghiên cứu. Trong khi đó, HIPAA không tự động bao phủ các công ty xét nghiệm gen tiêu dùng, còn GINA chỉ chống phân biệt đối xử trong một số phạm vi nhất định. Khoảng trống này khiến dữ liệu gen tiêu dùng rơi vào vùng pháp lý chắp vá. Trước khi phá sản, 23andMe đã nhiều năm hợp tác với GSK để phát triển thuốc mới dựa trên dữ liệu do người dùng đồng ý đóng góp cho nghiên cứu.
Theo 23andMe, khoảng 80% khách hàng đã chọn tham gia nền tảng nghiên cứu của công ty, dù không phải ai cũng hiểu hết hệ quả của cú bấm đồng ý ấy. Đây không phải lần đầu tiên trong lịch sử y học xảy ra tình huống dữ liệu sinh học bị dùng vượt ra ngoài phạm vi đồng thuận ban đầu. Nhìn từ góc độ đạo đức dữ liệu, những hộp tích đồng ý điều khoản khi đăng ký dịch vụ khó có thể được xem là sự đồng thuận đầy đủ, nhất là với loại thông tin vĩnh viễn và nhạy cảm như ADN.
Thập niên 1990, bộ lạc Havasupai ở Arizona hiến mẫu máu cho một nghiên cứu về bệnh tiểu đường. Nhiều năm sau, họ phát hiện mẫu của mình đã bị dùng cho nghiên cứu tâm thần phân liệt, di cư học và di truyền học quần thể. Tất cả đều không có sự đồng ý. Bộ lạc kiện và nhận được 700.000 USD tiền bồi thường năm 2010. Nhưng không có phán quyết nào có thể thu hồi dữ liệu đã lan ra. Đó là bài học từ 15 năm trước, nay trở lại trong vụ 23andMe ở quy mô lớn hơn rất nhiều.
Khi dữ liệu gen bước vào vùng xám tình báo
Mật khẩu bị đánh cắp có thể đổi. Số thẻ tín dụng bị lộ có thể hủy. Địa chỉ nhà bị lộ có thể chuyển đi. Nhưng ADN thì không. Mỗi người về cơ bản chỉ có một hồ sơ di truyền gắn với mình từ lúc sinh ra đến khi qua đời. Và đây là điều ít ai để ý: khi một người xét nghiệm gen, họ không chỉ tiết lộ thông tin của bản thân, họ tiết lộ thông tin di truyền của toàn bộ người thân huyết thống, bao gồm những người chưa bao giờ đồng ý, thậm chí con cháu chưa được sinh ra. Mỗi cá nhân chia sẻ khoảng 50% gen với cha mẹ và anh chị em ruột, 25% với ông bà và cô dì chú bác. Một cơ sở dữ liệu đủ lớn trở thành bản đồ di truyền của toàn xã hội, dù chỉ một phần dân số tự nguyện tham gia.
Trong vụ Golden State Killer năm 2018 tại California, điều tra viên không bắt đầu từ ADN của nghi phạm Joseph James DeAngelo. Họ tải hồ sơ ADN từ hiện trường lên cơ sở dữ liệu phả hệ công khai, lần theo các họ hàng xa để khoanh vùng nghi phạm, rồi thu mẫu ADN bị bỏ lại của DeAngelo để xác nhận. DeAngelo chưa bao giờ tự nguyện xét nghiệm gen, nhưng dữ liệu của những người có quan hệ huyết thống xa đã đủ để dẫn điều tra viên tới hắn. Vụ án cho thấy ranh giới giữa “dữ liệu của tôi” và “dữ liệu về tôi” đã mờ đi từ lâu.
Nhận thức được mối nguy này sớm hơn phần lớn thế giới, Bộ Quốc phòng Mỹ đã ban hành một bản ghi nhớ nội bộ vào tháng 12/2019, được ký bởi Thứ trưởng Quốc phòng Joseph Kernan và Trợ lý Bộ trưởng Quốc phòng James Stewart, khuyến nghị quân nhân không mua hoặc sử dụng các bộ xét nghiệm gen tiêu dùng. Lý do được nêu thẳng trong văn bản: các bộ kit này “có thể tạo ra hậu quả an ninh ngoài ý muốn và gia tăng rủi ro cho lực lượng và nhiệm vụ”. Bản ghi nhớ đặc biệt nhấn mạnh rằng “các tác nhân bên ngoài đang khai thác dữ liệu gen cho các mục đích đáng ngờ, bao gồm giám sát hàng loạt và theo dõi cá nhân mà không có sự cho phép”.
Đáng chú ý là Đạo luật Không phân biệt đối xử dựa trên thông tin gen (GINA) vốn bảo vệ người lao động dân sự khỏi bị sa thải hay từ chối bảo hiểm vì kết quả gen. Thế nhưng các bảo vệ về việc làm của đạo luật này không áp dụng cho quân nhân. Điều đó có nghĩa: nếu kết quả xét nghiệm của một sĩ quan tiết lộ nguy cơ mắc bệnh tim hay rối loạn tâm lý, thông tin đó có thể ảnh hưởng trực tiếp đến sự nghiệp của họ mà không được GINA bảo vệ ở phần việc làm như người lao động dân sự. Và đây là điều ít người biết: ngay cả với dân thường, GINA chỉ bảo vệ trong phạm vi bảo hiểm sức khỏe và việc làm.
Ở cấp liên bang, đạo luật này không cấm các nhà cung cấp bảo hiểm nhân thọ, bảo hiểm khuyết tật hoặc bảo hiểm chăm sóc dài hạn sử dụng thông tin gen trong đánh giá rủi ro, dù một số bang có thể có quy định bảo vệ bổ sung. Điều này có nghĩa: một khách hàng 23andMe phát hiện mình mang gen nguy cơ ung thư vú hay Alzheimer có thể đối mặt với nguy cơ bị tăng phí hoặc từ chối bảo hiểm nhân thọ, chỉ vì kết quả từ một ống nước bọt gửi đi cách đây vài năm.
Nhưng rủi ro lớn nhất không nằm ở phân biệt đối xử bảo hiểm. Nó nằm ở vùng xám của tình báo hiện đại. Tháng 6/2025, tạp chí Bulletin of the Atomic Scientists, một trong những ấn phẩm khoa học và an ninh uy tín nhất thế giới, phân tích nguy cơ “chiến tranh chính trị vùng xám bằng gen”. Kịch bản không xa vời: khi một chủ thể đối địch nắm trong tay dữ liệu gen hoặc hồ sơ y sinh học của một chính trị gia, tướng lĩnh hay nhà khoa học mũi nhọn, họ có thể biết người đó có nguy cơ mắc bệnh nào, dễ bị tác động tâm lý ra sao, thậm chí xây dựng hồ sơ y sinh học không thể phủ nhận.
Đây là loại thông tin có sức nặng đặc biệt vì bám vào dữ liệu sinh học, lại rất khó phản bác trong dư luận nếu bị rò rỉ, bóp méo hoặc khai thác có chủ đích. Dân biểu Jason Crow, thành viên Ủy ban Tình báo Hạ viện Mỹ, từng cảnh báo tại Diễn đàn An ninh Aspen năm 2022 rằng dữ liệu ADN và hồ sơ y tế có thể bị khai thác để phát triển vũ khí sinh học nhằm giết chết một cá nhân hoặc làm họ mất khả năng chiến đấu.
Vụ 23andMe đặt ra câu hỏi mà nhiều hệ thống pháp luật vẫn chưa trả lời thỏa đáng: khi dữ liệu gen được coi là tài sản thương mại, ai là người có quyền kiểm soát nó - chủ thể đã cung cấp mẫu, công ty đã xử lý, hay người trả giá cao nhất trong một phiên đấu giá phá sản? Giáo sư Coordes kết luận: “Tôi hy vọng vụ này sẽ thúc đẩy những suy nghĩ nghiêm túc về bảo vệ quyền riêng tư dữ liệu trong phá sản. Đó là cách duy nhất để đảm bảo điều này không lặp lại”.
Nhưng trong khi các nhà lập pháp còn tranh luận, 15 triệu hồ sơ dữ liệu gen vẫn nằm trên các máy chủ, mang theo những bí mật về sức khỏe, huyết thống và bản sắc sinh học của con người. Trong thế giới mà dữ liệu là quyền lực, dữ liệu gen là thứ tài sản gần như không thể làm lại, không dễ thu hồi và không dễ biến mất chỉ bằng một nút xóa.