神经科学和神经技术的快速发展为获取、分享和使用来自大脑神经系统的信息提供了前所未有的可能性。脑机接口(Brain Computer Interface,BCI)是融合了脑科学、神经学、伦理学、生物学、微电子、化工和机械等多学科知识的高级人脑工程技术。其运作原理是“测量中枢神经系统的活动并将其转化为人工输出,以替代、恢复、增强、补充或改善自然中枢神经系统(CNS)输出,从而改变 CNS与其外部或内部环境之间的持续相互作用”。2024年1月30日,马斯克宣布全球首例BCI植入手术顺利完成。2024年4月,我国浙江大学脑机接口团队实现了大脑数据输出汉字化,实现了BCI输出技术的突破。这预示着,脑机接口逐渐从实验室走向市场。
研发伊始,BCI主要用于认知功能完整但运动输出受损的患者,如脊髓损伤或渐冻症,也包括复杂脑疾病,如闭锁症、失语症、帕金森、难治型抑郁症和重度昏迷患者。借助BCI设备,可以收集、处理、存储、管理和分析大脑数据,进而传达个人情感、想法、愿望、爱好等,但也引发公众对个人隐私的担忧,包括定向广告、认知监控和数据泄露等。法律是规制风险的有力工具,我们应建立宽严适中的监管机制,引导脑机接口技术稳步发展。
法律风险不容忽视
脑机接口的法律风险按照其应用步骤,体现在以下三个阶段。首先,植入和安装前。法律风险主要体现在知情同意问题上。一方面,从知情同意的内容上看,BCI设备植入大脑后的风险和后果如何,尚缺乏大量的临床案例证实,医生或研究者也很难完全确定。因此,个体难以就风险、收益以及责任、义务做到完全的知情同意。另一方面,从知情同意的效力上看,BCI设备的使用者本身存在认知表达障碍。这种情况下,个体多大程度上能做出法律认可的意思表示,以及做出的效力如何等都存疑。此外,作为无民事行为能力人,其近亲属能否代为做出知情同意的意思表示,也是需要解决的问题。
其次,植入和安装后。BCI设备不断收集、整理、输出、解码、翻译大脑信号,在便利个体对外交流互动的同时也增加了隐私侵犯的风险。BCI使人的思想变得可读,从而使人处于一种身心透明化的情境中。因此,BCI技术是对大脑隐私的全面侵犯,而大脑隐私既是权利也是权力。更为重要的是,大脑数据携带了丰富的个人信息,这些数据涉及个人最为核心的隐私,关乎主观精神内容。此外,对收集的个体大脑数据如何存储、利用和控制也是一个重要问题。因为大脑数据特别敏感,它与个体的生理、情感或行为有关,如第三方在接触、阅读或使用他人大脑数据时行为不当,个体精神状态更易遭受攻击或侵犯。
最后,更新或解除植入和安装。植入式脑芯片与普通软件一样,也会涉及升级和打补丁程序,但与普通软件不同的是,它无法轻易取出和修理。升级更新过程中,如何保护个体消费知情权和选择权,无疑值得深思。因为关乎个体大脑功能修补、改善和康复,个体无法像对待普通软件一样简单选择继续或退出。随着BCI技术研发深入,未来还可能从医疗延伸到娱乐、教育和军事领域。作为健康个体植入或安装BCI后,若反悔或想要解除设备,能否适用类似网络遗忘权的规则设计,彻底删除个体大脑数据,这些问题都需进一步思考。
当前域外立法实践
2023年6月14日,美国食品和药品管理局(FDA)发布了《设备软件功能上市前的内容说明》(Content of Premarket Submissions for Device Software Functions)。其中规定,植入式BCI设备的说明内容可能会因设备的具体情况而异,但应毫无例外地满足最详细披露级别的要求。尽管如此,对BCI设备使用中的大脑数据隐私问题,美国并没有从立法上给予明确保护。《经济和临床健康信息技术法案》(HITECH)和《联邦健康保险可携带性和问责法》(HIPAA)仅限于医疗计划、医疗保健提供者、医疗保健信息中心所使用和披露的患者个人健康信息,并不包括大脑数据。《加州消费者隐私法案》(CCPA)解决的是企业收集消费者个人信息的类别和使用信息的目的问题,大脑数据并不在其调控范围内。
欧盟《通用数据保护条例》(GDPR)适用于个人数据处理。如果大脑数据与某些个人信息相关,如健康状况、精神状态、偏好或信仰,则可能符合GDPR第 9条中对敏感数据的定义。但是,这类生物识别特征的信息在使用过程中必须匿名处理以保护个体隐私,而GDPR又规定,其不适用于匿名数据保护。这就使得BCI设备输出的大脑数据面临两难境地。此外,GDPR对个人数据采集和使用进行了严格限制,必须符合具体、知情、明确且可撤销的同意才能生效。此时出现的悖论是,昏迷的植物人必须使用BCI设备才能得知其是否同意,但按照GDPR必须先获得同意才能使用BCI设备。GDPR还要求企业使用个人数据必须说明其使用目的。通常而言,BCI设备收集海量的大脑神经信号,神经元放电频率繁杂且难以把控,采集的信号需要筛查和排除,不能完全保证采集的信息都是符合最初设定目的。从技术上,公司可能也很难说明机器学习模型如何将大脑数据用于特定服务的因果关系。
总之,美国对个人数据法律保护呈现的是个别立法模式,仅针对特定部门和行业面临的特定的风险和挑战,尚缺乏联邦层面清晰全面的个人数据保护立法。欧盟的个人数据保护侧重隐私,延续了欧洲大陆传统的对人权的重视,但也忽视了前沿技术的发展速度和影响力。
建立健全法律监管框架
2024年2月2日,我国科技部颁布了《脑机接口研究伦理指引》(以下简称《指引》),其明确指出应致力于修复型脑机接口技术,对于增强型脑机接口则适度发展,必须在相关风险妥当处理之后再开展技术应用。《指引》还设置了全过程的风险监测,特别将“保障健康、提升福祉”作为首要的基本原则,包括资质审查和植入物的安全有效验证,要求医务人员坚持“以患者为中心”,贯彻术前术中知情同意,更为重要的是允许患者在任何阶段无条件退出。可以说,《指引》对我国现阶段脑机接口技术发展的预判是准确的,对相关风险防范也是全面且精准的。未来还需从以下几个方面继续完善。
第一,整合科技法律规范。脑机接口技术广阔的医疗前景对我国老龄化社会和健康中国建设具有积极意义。因此,应从鼓励研发投资、奖励科研一线工作人员、倡导负责任科技创新等方面,协调统一现行的《科学技术进步法》《促进科技成果转化法》《国家科学技术奖励条例》和《科学技术保密规定》等法律规范,将脑机接口从研发第一步开始就纳入科学有效的管理系统。
第二,更新数据网络法律规范。信息化时代,数据就是财富和力量,也是建设现代化国家的重要资产。因此,应结合《数据安全法》和《计算机信息系统安全保护条例》,建立对大脑数据和大脑功能未经授权的检测、更改和传播作出告知的法律规则。未经授权的情形下,对于大脑数据的检测、更改和传播,个体应该拥有随时停止的权限。
第三,调整个人隐私和信息法律规范。对于相应信息的收集、读取、储存、使用必须获得使用者的知情同意,保护使用者的个人隐私和信息安全。同时,应出台相应的法律法规,严格约束厂家通过服务型脑机接口设备对用户信息的收集、读取、储存和使用,严格限制买卖用户信息以及未经同意采集和分析用户信息的行为。对因信息泄露给用户造成的伤害,厂家应予以补偿,并承担行政甚至刑事责任。总之,要确立以“知情—同意”为核心的信息处理原则,并保留信息主体对个人信息的选择删除权。
