王高峰，张志领

（中国科学技术大学科技哲学系，合肥安徽 230026）

脑机接口技术作为人类与人工智能融合的前沿技术，正在迅速发展。该技术的发展与应用也引发了一系列诸如安全、责任、公平、自主性、知情同意和隐私等问题。国内外专家学者围绕这些问题展开了较多讨论。其中，国外学者对脑机接口技术应用可能引发的神经安全伦理及责任、公平、自主等伦理问题进行了广泛而深刻的探讨［1-2］；而国内学者目前对脑机接口技术应用可能引发的伦理风险从两方面进行探究：一是沿用传统伦理分析的路径，对技术进行有针对性的伦理分析，诸如技术对自由意志、对自主公平等的潜在影响［3-7］；二是首先对技术进行有针对性的分类，诸如主动、被动型脑机接口和情感型脑机接口以及治疗、服务及增强型脑机接口［8-10］，而后分别讨论其潜在伦理风险。综上，国内外学者都从宏观与微观伦理视角对脑机接口技术的伦理问题分别进行了讨论，而在微观层面尽管都关注技术应用可能引发的隐私风险，但至今鲜见有学者以隐私为突破口对技术进行针对性的分析并对此给出解决方案。为此，本文第一部分主要介绍脑机接口技术的简要操作流程，并对数据提取技术的进步致使脑神经数据获取量的不可预估到解码算法的进步迫使脑信息的隐秘性消失的角度进行阐释，第二部分则是在上述技术的基础上从“脑控”“读脑”和“控脑”3 个基本方向剖析脑机接口隐私风险的新特征以及可能引发的后果，第三部分则是提出一套隐私风险治理框架。

1 脑机接口隐私风险的成因

脑机接口（brain computer interface，BCI）是一种基于计算机的系统，该系统可以获取脑信号，并对其进行分析，然后将其转换为命令，再将其中继到输出设备以执行所需的动作［11］。作为一项能够刺激、检测和翻译脑信号设备的BCI 系统由4 个基本组件组成，即信息采集、信息预处理、特征提取与分类和反馈。信息采集主要是测量用户的大脑信号，并把用户当前活动所产生的自愿性神经动作的脑信号数字化，以备转化成计算机可以识别的信息或指令。依据大脑获取信号的方法可以分为3 类：侵入式、半侵入式和非侵入式。信号预处理阶段是准备记录电信号以进行类似增强的处理，也可以通过过滤技术，总之是使信号特征清晰可检测。特征提取与分类阶段首先是对特定的数字化脑信号特征进行提取，然后将提取的信号特征转换为执行用户意图的设备命令，通过线性方法和非线性方法将信号按频率和形状分类，进行分类之后即可输出到设备执行操作，即反馈阶段。

BCI 应用程序是一项功能强大的工具，该技术通过记录大脑活动，处理相应的脑数据，为病患减轻折磨，提高生活质量提供支持，以及更远的将来用于增强的目的，而且基于脑电图的BCI 设备等的商业应用已经进入市场［12］。但是鉴于用于治疗、修复与增强目的的脑机接口技术的数据挖掘与解释日益庞大与清晰，使得这些数据的提取与解读背后深藏的隐私风险变得日益紧迫。

首先，数据提取技术的日益成熟，致使数据提取量日益扩增。随着技术的累积式发展，BCI 用户数据将会得到大规模开发。就侵入式BCI 而言，从20世纪90 年代只有100 多个通道神经电极用于神经记录，到2017 年创立的Neuralink 公司创造出拥有近3 000 个电极的神经接口；就非侵入式BCI 而言，EEG 由实验室走向普通医院，以及市场化。这些都表明技术的发展为逐步深入了解我们身体内部的数据而铺垫，在可以预见的将来，技术的发展在马太效应的影响下将会提取越来越多的数据。此外，用于治疗目的的BCI 知情同意权难以落实，一旦使用该技术，那么BCI 可以长时间实时记录脑电波而无需个人同意，收集并使用脑数据。这种类似于DNA的脑信号对于个体而言可以作为唯一的标识符，直接与用户大脑深处的神经相验证，必然会引起我们对隐私的担忧。

其次，脑数据解码算法的进步，也会一步步揭示大脑深处的隐私。BCI 实现的前提是实时显示用户大脑信号，并将脑信号数字化最终实现算法转换，反之也意味着可以通过算法破译，获取脑信号。20世纪60 年代，研究者通过EEG 测得阿尔法振荡发送莫斯密码就已经实现了信号转换［12］。近年来，脑电图（EEG）、功能性磁共振成像(fMRI)和近红外光谱(NIRS)为BCI 解码电脑状态铺平道路。而意图可用于控制输出设备，其核心是模式识别算法用于破译特定意图背后的神经活动。目前，可以从单个植入电极的电压尖峰的神经数据集推断出的结果非常少。随着解码算法的进步，我们不知道未来可以从神经数据记录中可以推断出什么，也许BCI 数据不仅可以解码以指示个体压力反应，还可以将其与某些情绪或人格特征相关联。这些类型的个性和行为推断将对隐私产生重大影响。由Microsoft 赞助的使用捐赠的BCI 数据进行众包或编码竞赛，脑神经信号正在一步步地揭开神秘的面纱。这个过程中可能会揭示用户的人格、喜好、情感状态或思想等信息，甚至揭示连用户本人都不知道的独特信息，因此，BCI 数据的潜力对于隐私至关重要。此外，存储BCI 数据不仅因为它现在有价值，更因为它具有不确定的价值，将来可能具有更大的价值。但是，正是这种潜在的价值也带来了潜在的隐私风险。这与当前BCI 数据中可推断出的内容无关，而与该数据可能包含的信息有关，随着解码算法的进步，过去的信息可以发掘出新的信息。

2 脑机接口隐私风险的新特征

上述问题的存在，使得我们有理由担心脑机接口将会造成严重的隐私问题。而这项技术虽由信息技术发展而来，但致力于“脑控”“读脑”“控脑”3个基本方向［8］，这决定了其对隐私威胁在质上与之前技术的巨大差异性，因为没有其他技术可以像BCI 那样获得主观意愿与神经状态。这使得我们必须对它的隐私问题进行针对性的分析，而无法沿用一般信息技术领域中的关于隐私问题治理的模式。

2.1 控脑——技术威胁隐私

传统人工智能依靠算法实现智能服务，黑客通过了解人工智能背后的算法机制，操纵算法机制盗取数据，增大隐私风险。而BCI 作为一项人机融合的新兴技术过程，也会受到黑客攻击，而所涉及的将不仅仅是传统隐私信息的泄露，而是对以往隐私的一次颠覆性认识。

由于BCI 技术基于人机的互动融合，因此这种情况下便可以反向操纵，用户依赖BCI 的同时意味着用户控制权的丧失，而这种丧失并不是有形的内容而是无形的思想。“脑黑客”攻击可发生在BCI周期的每个环节［13］。这表现为两种情况。一种是通过输入操纵的黑客行为。在BCI 周期的信息采集阶段对用户进行攻击，通过输入操纵改变呈现给用户的刺激，此时脑黑客就会发生。例如，“脑黑客”可以预先选择目标刺激，以引起用户的特定反应，从而方便获取用户的神经信息。这种类型的黑客已经被最近的计算机安全和人机交互研究证明是实际可行的。另一种是通过测量操纵、解码操纵和反馈操纵进行的“脑黑客”行为对身体和心理安全构成威胁。这些类型的黑客可能会对使用者造成严重的身心创伤和隐私胁迫，而这种伤害与BCI 在帮助使用者的身体和心理表现方面的受益程度是成比例的。例如，与使用BCI 之前相比，一旦使用BCI 控制轮椅的患者突然失去其重新获得的活动能力，被迫回到最初的障碍状况，内心可能出现极度恐慌以及可能出现的技术统治人类。另外，受到这类攻击的BCI 用户可能会因无力执行他们在神经上诱导的行动而产生心理困扰。例如一旦病患遭到BCI 被撤销的威胁，而条件是满足威胁者的非法意愿比如杀人，那么这种情况下该如何判定呢？这又牵涉到知情同意权与责任的划分问题。与此同时，非法分子还会利用心理操纵和洗脑机会。例如出于犯罪动机可以有选择地从受害者或旁观者的大脑中清除记忆，以防止日后被识别。

人工智能算法黑客窃取的仅仅是应用后的数据，而通过BCI 四环节不仅可以操纵数据的应用，还可以直接控制数据的生成，甚至通过替换其中组件，轻松实现提取和更改个体隐私数据信息，最终操纵个体意志。

2.2 读脑——解读威胁隐私

传统人工智能通过数据处理技术，对数据进行深度挖掘，读取个体的物理隐私与信息隐私，例如地理位置、健康状况，甚至是面部识别。而BCI 技术直接获取个体神经信号，接触到一个人大脑最深处的“神经意图”，也即思想。一般而言，思想是自由的，因为它具有私密性，思想的私密性意味着他人无法感知以致控制个体的思想，而一旦入侵思想则等同于完全暴露隐私。

解码“神经意图”，意味着BCI 技术的发展不仅使我们反观大脑运行，而且还可以深思大脑运行的结果，即凝视个体最私密的观点、态度和意图。通过这种大脑“阅读”不仅违背了思想的隐私，而且以他人思想评判他人思想，这种情况下人不再是唯一不可替代的。BCI 将改变人们现有的隐私环境，由于他们的大脑活动可能会受到监测，因此BCI 的使用将意味着个体对自我心理的防备和不信任，例如向公众询问对于歧视的看法，公众在受到社会氛围和价值观的影响下可能会表面服从社会价值取向，但是内心反应却未必如此。这意味着将不可能为BCI 用户保证思想的私密性。与此同时，不仅要对意图进行解码和反馈，还要对将意图付诸实践的行为进行“检查”,这种用户意图与计算机的曲解之间的行为被称为“责任差距”［14］。此外，人与人之间的交流不单纯依靠语言与动作，还有默契。而这种属于意会知识的默契［15］，并非依赖大脑反应然后依据数据的反馈进行的，而是与组织文化、习俗等相关，很难用符号和数据传达。单纯依靠脑电信号破译人类行为，是将复杂的人脑系统通过特征提取与分类降维到特定的动作分类，也是将人类从至高无上的“人类中心论”中拉下“神坛”，将人贬低为“机械的工具”。

神经科学的进步也对法律产生了影响。国外有学者将解码“神经意图”解读为解码“大脑指纹”［16］，记忆和目击者的证词是容易出错的法医证据形式，容易受到多种心理偏见和错误的影响，通过BCI 直接解读可以提供法医信息的替代来源。但神经数据与神经状态之间的关联，将来也会被雇主用作监视员工，以最大程度提高生产力，只是问题在于该技术的发展使我们对于数据提取量以及数据可以解读的信息毫不知情。

如上所述，如果没有守住神经隐私，人们对思想的自我监测和自卫的本能将严重破坏他们选择真实生活的能力，因此隐私泄露必将威胁到个体自主。如果可以直接访问个体的神经隐私，由于个体具备潜意识的想法和有意识的决定，而BCI 技术比阅读日记或借助窃听器更具侵入性，那么人们很可能会尝试对他们的想法进行预判乃至控制。心理隐私的这种潜在丧失可能不仅影响人们的行为方式，而且影响他们在主观上体验世界的方式。

2.3 脑控——大数据威胁隐私

传统人工智能依靠海量数据，通过机器学习的统计假设和人工智能的理论工具——条件概率和贝叶斯理论，实现对外部设备的控制。而BCI 技术作为人工智能与生物智能的融合，不仅个体神经数据本身是大数据而且神经数据也必将走向群体融合的超级大数据，同样的也带来了收集、存储、分析和传播方面的远超人工智能的隐私挑战。

BCI 通过记录用户的神经信号，分析确定个体在不同时空下依靠主观经验正在思考、感受、计划和即将采取的行动，这其中也会记录分析个体的偏好，与人工智能隐私泄露类似，会产生针对个体的有效的“神经营销”，同样地也会产生“信息茧房”现象。而在信息传播方面则有天壤之别，脑神经数据的共享在于出版印刷物和公布高质量数据集得到公众和科学界的认可，但这却将神经数据集公开暴露在公众面前，有关数据可能会被恶意利用。而不共享的后果最直接的是期刊要求不达标以及随之而来的认可度降低和资金的短缺，且问题不仅限于此。目前，精准医学乃是基于大数据的医疗方式,它的实现需要建立多层次精准医疗知识库体系和国家生命医学大数据共享平台［17］,而BCI 大数据也会引发与身份识别相关的隐私问题。BCI 研究可能引发重新识别研究参与者的风险，这是因为BCI 研究的规模较小，且这些研究吸引媒体与大众的关注。在过去的几十年中，医学领域中看似匿名的数据，可以与使用的诊断代码、罕见病例等特定信息相关联。对神经数据匿名化处理，首先没有特定标准；其次神经数据一旦与其他数据进行关联，例如BCI 神经数据与遗传或微生物序列数据、生物标本、电子病历、医院行政数据或其他形式数据结合使用时，都会增加重新识别的风险；再次，医疗的进步来源于大数据的联合，在于实验室乃至国际合作研究，数据匿名对医学本身发展也不利。此外，对研究参与者身份重新识别的担忧与当前可从BCI 数据中推断出的内容无关，而与该数据可能具有的潜力有关。

即使在实验室之间也存在诸多隐私问题。首先，在实验室之间非正式地共享BCI 数据或通过正式的实验室数据共享协议来共享BCI 数据都可以促进新分析方法的可重复性，并减少财务和道德压力，但如果未加密或没有适当的程序清除MRI 图像，来防止与身份受损的数据重新关联，则共享未识别的神经数据集会引发隐私安全问题。其次，通过大型数据存储库共享BCI 数据，明确数据集用于研究目的，允许进行复杂形式的数据链接和挖掘，然而没有科学家可以保证自己无功利性和保证绝对的隐私，这也会引起人们的隐私担忧。第三，特别具有挑战性的问题是关于数据所有权的问题。在此背景下，直接与自主权、责任等问题相关。值得注意的是，在神经科学领域，功能数据的集成主要由单个实验室以及与之合作的实验室解决，但它有局限性，即这种集成实质上是垂直的，从某种意义上说，它主要针对一个特定的问题，而一个实验室的数据太多，无法全面开展工作。因为随着数据集的增长会变得越来越复杂，将越来越难以分析和得出结论。这种情况下，数据可能无法简化为更简单的描述［18］。

3 脑机接口隐私风险的治理

尽管BCI 在医学中正在推广，但目前尚未广泛应用，这意味着有机会针对BCI 实施隐私保护。最初将Internet 设计和构建为研究项目时，隐私安全并不是关键问题。但众所周知，目前互联网上的隐私安全问题已成为日常问题［1］。技术开发和隐私风险问题预防需要跨学科的努力，因此解决隐私风险问题需要技术、法律与行业规范和伦理规约的共同支撑。

3.1 脑机接口隐私风险的技术控制

针对可能的数据获取四周期的操纵，在每个环节都需要用技术填补。就输入操纵阶段而言，通过输入信息改变呈现给用户的刺激实现操纵。那么就需要来自BCI 设备的原始脑电波信号不应该直接提供给应用程序，而限制访问原始脑电信号的一种方法是设计和开发一个类似于移动应用的生态系统，在这个系统中，有一个综合感知的访问控制系统，以确定来自第三方应用的请求是否合法，并作出决定［19］。在测量、解码阶段，在未经用户许可的情况下产生与常规处理不同的信息输出，造成隐私泄露，实现操纵。那么就需要在存储和传输原始EEG 信号之前，从这些信号中删除私人信息。虽然这可以防止一些信息泄露，但只有当任何支持BCI 的应用程序的特征提取算法完全已知时，它才能发挥作用。国外已有学者提出了“脑机接口匿名器”并申请到专利［20］。在反馈阶段，通过诱导用户，改变用户周期结束的反馈，操纵用户感知，在随后的周期中出现黑客预定的特定认知状态与行动。有学者提出使用加密技术，尤其是安全多方计算技术用于头皮脑电信号线性回归模型的用户隐私保护加密协议机器Lynx 实现［21］。当然，现代加密技术也包括开发同态加密和功能加密等技术。基于BCI 应用程序易受攻击，我们可以考虑将BCI 应用程序与特定的技术相结合。例如以个人电脑为例，受电脑保护个人隐私防范黑客入侵技术方法的启发，效仿并强化该方法。此外，根据现在已知的通用可组合的量子密钥分配协议，我们期望量子密码学能运用到其中。

针对数据共享下的神经大数据可能引发的隐私问题，国外开发出成功的案例，即多维数据共享的TRACK-TBI 项目［22］。针对神经科学中，精准医学的数据共享需要生物存储库的要求，而大脑成像和功能数据的混合提出了共享数据背景下的隐私安全挑战，提出有益探索。

3.2 脑机接口隐私风险的法律规范

与药品不同，BCI 是经过工程设计执行特定功能的，因此要兼顾医疗器械的安全和性能。这需要在售前评估、质量测评和售后监督之间取得平衡。首先，在售前评估阶段，因为BCI 被专门设计为与外部处理器通信以实现结果，因此BCI 系统设计过程中必须考虑诸多阶段的隐私风险。由于技术的介入加大隐私泄露的风险，故而在上述信息采集、信息预处理、特征提取与分类和反馈4 个阶段防范隐私泄露的技术支持之外，还要逐个阶段设置法律条例防范隐私泄露。另外要对BCI 设备隐私风险类型进行分级，例如：Ⅰ级风险：侵入式BCI；Ⅱ级风险：半侵入式BCI；Ⅲ级风险：非侵入式BCI。对于制造商或分销商而言，必须先向政府申请获得Ⅰ到Ⅲ级BCI 设备许可，才能销售该设备。其次，在质量测评阶段，要求符合良好的临床实践标准，并向政府提供风险测试的最终报告，以供政府进行审查和监控。良好的临床实践将为正在测试医疗设备的人员提供设计试验测试的具体基础，也为政府对这些测试进行检查提供依据。此外，为了方便国际合作，要建立世界统一的质量标准，且鉴于BCI 发展的不均衡性，还要考虑跨国监管的可行性和有效性。最后，在售后评估阶段，评估能否成功的关键因素是法律的细致可行和监管力度，技术的不断更新要求法律与之同步。

此外，由于神经数据具备识别并检测和传达个体心理或其他医疗状况的潜力，这极易引起法律纠纷和公共政策问题。这涉及到与人类最重要的器官进行交互的全新方式，无论是信息的采集还是处理都呈现出革命性的变革，世界范围内尚未对此作出针对性的立法。因此，适用于神经数据和遗传数据的法律框架也必定适应这些问题。故而要区分不同的利益相关者：数据控制者、数据持有者、数据托管人、数据代理、数据接收者和数据处理者，依据其特定参与的基本事实与情况，每个角色都有与之适应的责任与义务。

3.3 脑机接口隐私风险的伦理规约

脑机接口技术无论作为医用还是非医用，其目的都是提高用户的体验感与满意度，而脑机接口的这种潜在需求决定了脑机接口的设计必须坚持以人为中心。首先，企业在追求财富的同时也要承担社会责任，技术人员在进行技术创新过程中要将道德准则嵌入设计和程序中，秉承负责任创新的原则，医学领域更要将秉承希波克拉底誓词作为准则。而这第一步便是要把伦理教育向工程师、技术研发人员和学术研究人员乃至全社会进行普及。其次，在BCI 技术应用于个体之前，应实施严格的知情同意程序，即遵守：（1）披露，医生向患者透漏所有必要信息。（2）能力，患者在了解必要信息基础上，就其决定的预期后果作出合理的判断的能力。（3）自愿性，患者在没有胁迫的情况下作出决定［23］，以提高用户对风险收益比的理解。目前，由于该技术及其面向的目标人群所特有的伦理困境，尤其是以LIS（locked-in syndrome,LIS）患者为代表的的交流能力受损用户，需要注意一些信息和交流的特征，而这些特征例如眨眼，不能还原为语言交流的信号，这对于患者是否正确理解信息，以及是否有任何问题都难以确证。最后，在BCI 技术应用过程中，应确保用户的身份认同感和自主性。即：（1）确保行为是由自己的意识发出的，而不是由外部设备操控的。（2）BCI 技术既可以增加自主性，也可以减少自主性，这一新兴技术的特殊情况需要我们对不同情况下的收益与风险比进行详细分析，在为人类赋能的同时也要避免人的身心被束缚。

此外，患者同意也可能受到不切实际的受益期望的影响，遵守负责任的沟通和坚持诚信的广告传播有助于科学透明，避免欺骗性营销的陷阱，有助于培养公众对此类神经数据的正确认识。更重要的是，仅当显示出明确的无可替代的研究需求时，并且阐明所选神经数据获取的益处以证明其使用合理性时，才应使用脑机接口技术。

4 结论

BCI 应用有可能显著提高患者的生活质量，尤其是患有严重神经肌肉疾病的患者，并使普通用户在交流、游戏和娱乐方面获得更多个性化的用户体验。过去几十年间，脑机接口技术取得了长足进展，而对脑机接口技术可能引发的隐私安全问题依然没有引起社会的广泛关注，鉴于BCI 系统在研究和医疗界之外的部署相当有限，使用BCI 技术所产生的隐私和安全威胁目前可能不会引起极大关注。然而，我们认为现在是解决这些问题的正确时机，并建议在早期设计阶段就开发出预防和缓解BCI 隐私和安全威胁的方法，并将其嵌入到技术的整个生命周期中。