英國生物樣本庫健康數據持續外洩至 GitHub

背景

英國生物樣本庫（UK Biobank）是全球最重要的醫學研究數據庫之一，儲存了約 50 萬名參與者的基因與健康資訊。近期研究發現，儘管該機構與研究人員簽署了嚴格的數據使用協議，但大量敏感的健康數據仍不斷被誤傳至 GitHub，導致該機構必須頻繁利用版權法（DMCA）作為法律手段，要求平台下架包含受試者個資的程式碼庫或數據文件。

社群觀點

在 Hacker News 的討論中，社群對於數據外洩的現狀表現出高度的憂慮與無奈。許多評論者指出，將高度敏感的醫療數據開放給全球兩萬名研究人員使用，卻僅依賴合約協議來約束，本質上是非常天真的做法。一旦數據離開了受控環境，就像「擠出的牙膏」一樣無法回收。雖然 UK Biobank 近期已轉向使用由 DNAnexus 和 Amazon 託管的遠端存取平台，但社群成員對此類平台的安全性仍存疑，特別是近期傳出所有參與者的資訊已在阿里巴巴平台上公開販售的消息，更顯現出治理上的巨大挑戰。

關於數據去識別化的有效性，社群展開了激烈的辯論。有觀點認為，醫療數據幾乎不可能真正匿名化，只要結合出生日期、特定治療紀錄與就醫時間，就能輕易鎖定特定個人。這種「去匿名化」的攻擊手段會隨著時間演進而增強，類似於加密技術的失效，使得傳統的去識別化方案顯得脆弱。部分參與者提到，研究人員在處理數據時往往過於粗心，即便有嚴格的數據傳輸協議（DTA），仍會不經意地將包含出生日期等敏感欄位的檔案上傳至公開空間。

針對是否應直接將此類數據「開源」以促進科學發展，社群普遍持反對意見。反對者強調，參與者當初同意捐贈生物數據是基於特定的信任與隱私承諾，並未授權將數據公開給所有人。如果隱私保護失控，將導致公眾對此類計畫失去信心，進而引發大規模的退出潮。這種樣本偏差會使數據失去代表性，最終摧毀整個研究計畫的科學價值。此外，也有人批評 UK Biobank 的諷刺現狀：雖然數據在網路上四處流竄，甚至被用於具爭議性的種族科學研究，但最初提供數據的參與者本人，反而往往無法獲得自己的數據副本。

延伸閱讀

在討論過程中，社群成員分享了數個關鍵資源。首先是追蹤 UK Biobank 下架通知的專題網頁，詳細記錄了受影響的開發者地理分佈與文件類型。此外，留言中提到了《英國醫學期刊》（BMJ）關於此治理挑戰的社論，以及 BBC 報導關於數據在電商平台遭販售的新聞。技術層面上，有成員分享了 GitHub 上現存的數據處理腳本範例，展示了研究人員如何利用 ukbunpack 與 ukbconv 等工具在本地伺服器解密與轉換數據。針對隱私風險，則有研究者引用了關於 Netflix 獎金賽數據去匿名化攻擊的經典論文，作為醫療數據隱私保護的警示。