Den brittiska regeringen har bekräftat att uppgifter om 500 000 medlemmar av UK Biobank erbjöds till försäljning online i Kina, vilket teknikministern Ian Murray kallade ett 'oacceptabelt missbruk' av data. Välgörenhetsorganisationen som driver Biobank informerade regeringen om intrånget på måndagen.
Den exponerade informationen innehöll inte namn, adresser, kontaktuppgifter eller telefonnummer, enligt Ian Murray. Däremot kunde data inkludera kön, ålder, månad och födelseår, socioekonomisk status, livsstilsvanor och mått från biologiska prover. En datamängd innehöll miljontals sjukhusdiagnoser och tillhörande datum för över 400 000 deltagare. Murray sade att han inte kunde ge en fullständig garanti för att ingen kunde identifieras, men sade att det troligen endast skulle kunna göras på ett 'mycket avancerat sätt'.
Teknikministern Ian Murray kallade intrånget för ett 'oacceptabelt missbruk' av data.
Intrånget härrörde från legitim åtkomst av tre forskningsinstitutioner i Kina, som hade fått tillstånd att ladda ner data för godkänd forskning. Den brittiska regeringen bekräftade att de tre institutionernas åtkomst har återkallats. MI5 hade tidigare varnat för farhågor om att kinesiska forskargrupper kan dela data med kinesiska underrättelsetjänster. Intrånget var inte resultatet av en hackergrupp utan snarare ett missbruk av auktoriserad åtkomst.
Inga köp gjordes från de tre annonserna på Alibaba, enligt ministrar. Annonserna har tagits bort i samarbete med den kinesiska regeringen. Ian Murray tackade den kinesiska regeringen för deras samarbete. Minst en av de tre datamängderna verkade innehålla data från alla 500 000 UK Biobank-volontärer, uppgav Murray.
Ian Murray tackade den kinesiska regeringen för deras samarbete.
Som svar sade UK Biobanks verkställande direktör, Sir Rory Collins, att välgörenhetsorganisationen tillfälligt hade stängt åtkomsten till forskningsplattformen. Han bad deltagarna om ursäkt och sade att ytterligare säkerhetsåtgärder kommer att införas. En paus har införts för åtkomst till Biobank medan en teknisk lösning implementeras. UK Biobank har också infört ytterligare utbildning för forskare och söker aktivt efter läckta databaser.
Risken för återidentifiering av avidentifierad data har varit en tvistefråga. The Guardian visade att en volontär kunde återidentifieras med endast månad och födelseår samt uppgifter om en större operation, vilket väckte integritetsfrågor. UK Biobank avfärdade dock dessa farhågor och uppgav att ingen identifierande data tillhandahölls forskare. Prof Sir Rory Collins sade att det inte finns några bevis för att någon UK Biobank-deltagare har återidentifierats av andra.
Ian Murray sade att han inte kunde ge en fullständig garanti för att ingen kunde identifieras, men sade att det troligen bara skulle kunna göras på ett 'mycket avancerat sätt'.
Denna incident är inte isolerad. Forskning har visat att konfidentiell hälsodata från UK Biobank har exponerats online vid dussintals tillfällen. Fram till slutet av 2024 hade forskare frihet att ladda ner data direkt till sina egna datorsystem. Data publicerades oavsiktligt på GitHub när forskare laddade upp kod tillsammans med partiella eller hela Biobank-datamängder. UK Biobank utfärdade 80 juridiska meddelanden till GitHub mellan juli och december 2025 för att ta bort data.
UK Biobank är världens mest omfattande dataset av biologisk, hälso- och livsstilsinformation, enligt flera rapporter. Det innehåller medicinska journaler för 500 000 brittiska volontärer som var mellan 40 och 69 år när de gick med mellan 2006 och 2010. Biobank grundades 2003 av hälsodepartementet och medicinska forskningsorganisationer. Data från Biobank har citerats i över 18 000 vetenskapliga artiklar med peer review.
Det finns en motsägelse i exponeringens natur: initiala rapporter indikerade att avidentifierad data listades till försäljning på en kinesisk konsumentwebbplats (Taobao), vilket tyder på ont uppsåt. Data exponerades dock också oavsiktligt på GitHub på grund av forskarfel, vilket indikerar oaktsamhet. Båda kan vara sanna som separata incidenter. Annonserna på Taobao togs snabbt bort innan några köp gjordes, enligt Prof Sir Rory Collins.
Flera okända faktorer kvarstår. Det är oklart hur många distinkta dataläckageincidenter som inträffade, inklusive både GitHub-läckor och försäljningsannonser. De specifika kinesiska forskningsinstitutionerna som var inblandade och deras relation till UK Biobank har inte avslöjats. Tidslinjen för upptäckten av intrånget och svarsåtgärderna är inte heller helt känd. Dessutom har antalet deltagare vars data faktiskt exponerades i GitHub-läckorna inte bekräftats.