导读
世界千奇百怪,离谱的事天天上演。
但今天这事,涉及到大量的个人隐私数据,它不仅离谱,还有着多方面的危害。
4月23日,英国科技部长Ian Murray神色凝重地说出了一句让全球学术界震惊的话:“UK Biobank——英国国宝级医学数据库,50万志愿者的健康信息,被人挂在了阿里巴巴的电商平台上,公开叫卖。”
这是英国官方承认数据遭到泄露。是的,没看错。不是私底下偷偷地卖,是正而八经的挂上了电商平台,带购物车、带客服的那种。
究竟是谁泄露的?
英国官方、中国以及电商平台淘宝三方第一时间响应处理,足以了解这件事的严重程度。
林岩|撰文
01
50万人的UK Biobank信息上架售卖
4月20日(周一)
UK Biobank的安全团队在日常监控中发现了异常,阿里巴巴平台上冒出三条商品链接,来自不同的卖家,有人在卖他们的数据。更吓人的是,其中至少一条数据集,直接涵盖了50万名志愿者的信息。
卖家的业务范围还挺广:不光卖原始数据,还提供 “代申请UK Biobank合法访问权限”和 “为已有权限的研究者提供数据分析服务”。
——这是把“合规绕过”做成了完整产业链。
当天,UK Biobank火速将此事上报给英国政府。
也是在当天,中英两国政府联手阿里巴巴,火速将三条链接下架。英国科技部长Ian Murray专门点赞:“感谢中国的速度和严肃态度。”
4月23日,Murray在下议院发表正式声明,确认事件属实,并把该事件定性为:“对UK Biobank慈善机构数据的不可接受的滥用,以及对参与者信任的背叛。”
翻译成人话:人家好心捐给科学的血汗数据,你拿来挂网上卖?良心不会痛吗?
02
扎心了,数据得来合法
最扎心的一刀来了:不是黑客,不是外部攻击,是合法下载后的转卖。
三家中国研究机构,此前通过正规渠道、签署了厚厚一沓数据使用协议(DUA),堂堂正正地拿到了UK Biobank的去标识化数据访问权限。
然后——他们把下载到手的数据,挂上电商平台准备变现。
UK Biobank的CEO Sir Rory Collins气得胡子都在抖:
“这是明确违反合同的行为。”
涉事个人和所在机构,当场被拉黑封号,数据访问权限全部吊销。
至于数据是怎么从“正规科研”变成“电商售卖”的?英国科技部长老实承认:细节还在查,目前不知道。
03
泄露了啥?别急着说“没名字就没事”
泄露的是去标识化数据,清单如下:
基因序列
血液样本信息
医学影像扫描
生活习惯
性别、年龄、出生年月
社会经济状态
不包含:姓名、地址、电话、NHS编号。
听起来还行?别急。
隐私专家早就喊破喉咙了:这种“去标识化”数据,跟其他公开数据一交叉比对,分分钟能把志愿者认出来。
相关负责人自己都承认:没法保证没有人能被识别。
所以,“没有名字”不等于“安全”,就像“没写收件人”不代表快递小哥找不到你家门牌号。
04
各方反应:一个比一个猛
UK Biobank:直接拔网线
研究平台惨遭全面停摆三周
搞了个文件导出“气闸系统”——想批量拖数据?门都没有
所有导出文件每天被盯着看
主动向英国信息专员办公室自首
启动董事会级别法医式大调查
英国政府:三板斧
联手各方,三条链接下架
吊销三家涉事机构的访问权
要求Biobank在技术方案落地前暂停所有数据访问
确认——下架前零成交,没人买到
给中国政府的配合点赞
首席科学家:我们“极度愤怒”(原话:extremely cross)
Professor Naomi Allen直接开炮:
“归根结底,是那些无良研究者的错。他们在给整个全球科学界抹黑。”
英国人用词一向克制,“extremely cross”已经是暴怒级别了。翻译成中文大概相当于——“老娘非常非常非常生气”。
志愿者怎么看?意外地淡定
《卫报》专栏作家Polly Toynbee就是志愿者之一,她说:
“我不担心。志愿者们都深信这事儿有价值。卖的那些信息本来就是匿名的,没有名字地址,找不到具体人头上。”
心态稳得一批。但专家们可没这么乐观。
05
为什么整个生信圈脊背发凉?
第一,UK Biobank太重要了。
50万人的多组学数据,撑起了18,000多篇SCI论文。如果它都守不住,其他数据库呢?
第二,泄露方式荒诞又可怕。
不是什么高级黑客攻破了防火墙,而是——有权限的“内部人士”,合法下载后直接拿去卖了。
这暴露了一个根本漏洞:数据一旦离开云端到了本地,剩下的全靠自觉和一纸合同。合同能报警,但拦不住人为点“上传”。
第三,这不是第一次了。
2022年,Biobank就发现有人在GitHub传代码时,顺手把参与者数据也传上去了。后来搞了代码检查工具——但那些东西防不住“故意卖”啊。
就像你装了防盗门,结果贼是从正门走进去拿了东西出来的。
第四,地缘政治这把火要烧过来了。
去年调查发现:UK Biobank每五个成功的数据申请里,就有一个来自中国。
这次事件等于亲手递了一把刀。未来国际数据共享的政策环境……大家心里都有数了。
科学研究依赖数据共享,这是共识。
但共享的前提是信任——志愿者信任机构,机构信任合作者。
50万人的献血、拍片、交出基因和病历。 他们不是为了被挂在电商平台上标价出售,而是为了推动医学进步,让更多人少受病痛折磨。
这件事的后续才刚开始:ICO调查、巨额罚款、政策收紧……UK Biobank这次
也释放了清晰信号:以后别想拿原始数据压缩包了。
这同时也提醒研究者,如果你在用UK Biobank、TCGA、GEO之类的公共数据库,记住:合规是底线,数据是用于研究不是用于贩卖的,别“赚黑心钱”没赚到,变成学术生涯的滑铁卢。
参考资料
1. 英国生物银行50万参与者数据被泄露至中国电商平台售卖,三家中国机构访问权限被停
https://mp.weixin.qq.com/s/TWdbdqB_X3GYzgzFcR5VZQ
2.UK Biobank health data listed for sale in China, government confirms
https://www.bbc.com/news/articles/cpvxgl3n138o
3.Minister of State statement to the House of Commons: 23 April 2026
https://www.gov.uk/government/speeches/minister-of-state-statement-to-the-house-of-commons-23-april-2026
4. A message from Professor Sir Rory Collins, Chief Executive and Principal Investigator of UK Biobank
https://www.ukbiobank.ac.uk/news/a-message-to-our-participants-uk-biobank-data-security-update/
Deep Science预印本
热门跟贴