大离谱！50万 UK Biobank数据，被中国人上淘宝出售

导读

世界千奇百怪，离谱的事天天上演。

但今天这事，涉及到大量的个人隐私数据，它不仅离谱，还有着多方面的危害。

4月23日，英国科技部长Ian Murray神色凝重地说出了一句让全球学术界震惊的话：“UK Biobank——英国国宝级医学数据库，50万志愿者的健康信息，被人挂在了阿里巴巴的电商平台上，公开叫卖。”

这是英国官方承认数据遭到泄露。是的，没看错。不是私底下偷偷地卖，是正而八经的挂上了电商平台，带购物车、带客服的那种。

究竟是谁泄露的？

英国官方、中国以及电商平台淘宝三方第一时间响应处理，足以了解这件事的严重程度。

林岩|撰文

01

50万人的UK Biobank信息上架售卖

4月20日（周一）

UK Biobank的安全团队在日常监控中发现了异常，阿里巴巴平台上冒出三条商品链接，来自不同的卖家，有人在卖他们的数据。更吓人的是，其中至少一条数据集，直接涵盖了50万名志愿者的信息。

卖家的业务范围还挺广：不光卖原始数据，还提供 “代申请UK Biobank合法访问权限”和 “为已有权限的研究者提供数据分析服务”。

——这是把“合规绕过”做成了完整产业链。

当天，UK Biobank火速将此事上报给英国政府。

也是在当天，中英两国政府联手阿里巴巴，火速将三条链接下架。英国科技部长Ian Murray专门点赞：“感谢中国的速度和严肃态度。”

4月23日，Murray在下议院发表正式声明，确认事件属实，并把该事件定性为：“对UK Biobank慈善机构数据的不可接受的滥用，以及对参与者信任的背叛。”

翻译成人话：人家好心捐给科学的血汗数据，你拿来挂网上卖？良心不会痛吗？

02

扎心了，数据得来合法

最扎心的一刀来了：不是黑客，不是外部攻击，是合法下载后的转卖。

三家中国研究机构，此前通过正规渠道、签署了厚厚一沓数据使用协议（DUA），堂堂正正地拿到了UK Biobank的去标识化数据访问权限。

然后——他们把下载到手的数据，挂上电商平台准备变现。

UK Biobank的CEO Sir Rory Collins气得胡子都在抖：

“这是明确违反合同的行为。”

涉事个人和所在机构，当场被拉黑封号，数据访问权限全部吊销。

至于数据是怎么从“正规科研”变成“电商售卖”的？英国科技部长老实承认：细节还在查，目前不知道。

03

泄露了啥？别急着说“没名字就没事”

泄露的是去标识化数据，清单如下：

基因序列

血液样本信息

医学影像扫描

生活习惯

性别、年龄、出生年月

社会经济状态

不包含：姓名、地址、电话、NHS编号。

听起来还行？别急。

隐私专家早就喊破喉咙了：这种“去标识化”数据，跟其他公开数据一交叉比对，分分钟能把志愿者认出来。

相关负责人自己都承认：没法保证没有人能被识别。

所以，“没有名字”不等于“安全”，就像“没写收件人”不代表快递小哥找不到你家门牌号。

04

各方反应：一个比一个猛

UK Biobank：直接拔网线

研究平台惨遭全面停摆三周

搞了个文件导出“气闸系统”——想批量拖数据？门都没有

所有导出文件每天被盯着看

主动向英国信息专员办公室自首

启动董事会级别法医式大调查

英国政府：三板斧

联手各方，三条链接下架

吊销三家涉事机构的访问权

要求Biobank在技术方案落地前暂停所有数据访问

确认——下架前零成交，没人买到

给中国政府的配合点赞

首席科学家：我们“极度愤怒”（原话：extremely cross）

Professor Naomi Allen直接开炮：

“归根结底，是那些无良研究者的错。他们在给整个全球科学界抹黑。”

英国人用词一向克制，“extremely cross”已经是暴怒级别了。翻译成中文大概相当于——“老娘非常非常非常生气”。

志愿者怎么看？意外地淡定

《卫报》专栏作家Polly Toynbee就是志愿者之一，她说：

“我不担心。志愿者们都深信这事儿有价值。卖的那些信息本来就是匿名的，没有名字地址，找不到具体人头上。”

心态稳得一批。但专家们可没这么乐观。

05

为什么整个生信圈脊背发凉？

第一，UK Biobank太重要了。

50万人的多组学数据，撑起了18,000多篇SCI论文。如果它都守不住，其他数据库呢？

第二，泄露方式荒诞又可怕。

不是什么高级黑客攻破了防火墙，而是——有权限的“内部人士”，合法下载后直接拿去卖了。

这暴露了一个根本漏洞：数据一旦离开云端到了本地，剩下的全靠自觉和一纸合同。合同能报警，但拦不住人为点“上传”。

第三，这不是第一次了。

2022年，Biobank就发现有人在GitHub传代码时，顺手把参与者数据也传上去了。后来搞了代码检查工具——但那些东西防不住“故意卖”啊。

就像你装了防盗门，结果贼是从正门走进去拿了东西出来的。

第四，地缘政治这把火要烧过来了。

去年调查发现：UK Biobank每五个成功的数据申请里，就有一个来自中国。

这次事件等于亲手递了一把刀。未来国际数据共享的政策环境……大家心里都有数了。

科学研究依赖数据共享，这是共识。

但共享的前提是信任——志愿者信任机构，机构信任合作者。

50万人的献血、拍片、交出基因和病历。 他们不是为了被挂在电商平台上标价出售，而是为了推动医学进步，让更多人少受病痛折磨。

这件事的后续才刚开始：ICO调查、巨额罚款、政策收紧……UK Biobank这次

也释放了清晰信号：以后别想拿原始数据压缩包了。

这同时也提醒研究者，如果你在用UK Biobank、TCGA、GEO之类的公共数据库，记住：合规是底线，数据是用于研究不是用于贩卖的，别“赚黑心钱”没赚到，变成学术生涯的滑铁卢。

参考资料

1. 英国生物银行50万参与者数据被泄露至中国电商平台售卖，三家中国机构访问权限被停

https://mp.weixin.qq.com/s/TWdbdqB_X3GYzgzFcR5VZQ

2.UK Biobank health data listed for sale in China, government confirms

https://www.bbc.com/news/articles/cpvxgl3n138o

3.Minister of State statement to the House of Commons: 23 April 2026

https://www.gov.uk/government/speeches/minister-of-state-statement-to-the-house-of-commons-23-april-2026

4. A message from Professor Sir Rory Collins, Chief Executive and Principal Investigator of UK Biobank

https://www.ukbiobank.ac.uk/news/a-message-to-our-participants-uk-biobank-data-security-update/

Deep Science预印本