你从邮箱里把它拿出来。它印着有趣、友好的颜色。拭子。吐口水。刺破手指。寄回去。很快,你就会了解到一些关于自己的新东西:你的激素、你的生育能力、你的癌症风险、你对阿尔茨海默病的易感性、你的新陈代谢、你的食物敏感性,甚至你的整个基因组。这就是家用(“直接面向消费者”)DNA和健康检测的诱惑。深夜,从手机上,你可以订购几乎任何在家进行的检测,无论你是没有保险、好奇,还是仅仅担心身体可能隐藏的秘密。
在亲自订购之前,我做了一点谷歌搜索。起初,我在寻找简单的答案:检测是否经过FDA审查?公司是否受HIPAA覆盖?医生会解释结果吗?我读得越多,事情就越不简单。FDA的语言很少见,出现时通常与特定检测、报告或采集套件相关——不一定与整个公司或服务相关。一些公司说他们符合HIPAA;其他公司则没有。几乎所有公司都引用了CLIA认证或CAP认可的实验室,但这些只是实验室质量标准。咨询和后续护理也差异很大。这让我深入细则:我的信息是否可能与执法部门共享,或用于广告或研究?
答案就在大多数人从未读过的政策中。但我读了,针对10家公司:Everlywell、LetsGetChecked、Labcorp OnDemand、Nebula Genomics / DNA Complete、Nucleus、SiPhox、myLAB Box、CircleDNA、SelfDecode和23andMe。我联系了提到的每一家公司征求意见。我还与12位生物伦理学、遗传学、HIPAA和医疗保健法、FDA监管、消费者隐私和网络安全方面的专家进行了交谈,尽管我只引用了其中六位。
我的第一个风险?不是我用采集生物样本的柳叶刀、拭子或试管。它更早开始,当我订购检测时,很可能认为,因为公司处理健康相关数据,我的信息像任何其他医疗记录一样受到保护。在美国,HIPAA,即1996年《健康保险携带和责任法案》,保护个人健康信息(PHI),当这些信息由覆盖实体及其业务伙伴创建、维护或传输时。它并非适用于所有人的全面隐私法。
爱荷华大学法学院David H. Vernon法学教授Anya Prince研究健康和遗传隐私。Prince告诉ZDNET,主要问题是公司是否受HIPAA覆盖。“DTC实验室可能不算覆盖实体,”Prince说。“他们拥有的健康信息……将受公司隐私政策管辖,而非被视为PHI。”当我查看流行的家用DTC公司时,我惊讶地发现了几处HIPAA语言的使用和一些漏洞。Everlywell表示,根据HIPAA,它“致力于保护您的个人身份健康信息”。Labcorp表示,根据HIPAA,它“法律要求维护健康信息的隐私”。Nucleus告诉我它“符合HIPAA”。SiPhox表示它有“HIPAA级安全性”,myLAB Box表示与其套件相关的信息和样本受HIPAA“覆盖”。对于其他公司,我找不到当前的公开页面确认公司符合HIPAA或受HIPAA覆盖。
Engage Compliance创始人兼DTC健康和基因检测公司外包数据保护官Julian Gage告诉ZDNET,“HIPAA级”和“符合HIPAA”的说法是营销语言,“而非保护”。“HIPAA级加密是关于安全设置的声明,”Gage说。“它没有说明HIPAA是否实际适用于你,或者公司可以用你的结果做什么。”例如,他解释说,当DTC公司通过医生或远程医疗网络路由订单时,该临床医生或网络可能是HIPAA覆盖实体,它创建和保留的数据片段可能属于HIPAA。但这不一定使检测公司或