一、精神隐私（Mental Privacy）与脑数据所有权

2021年的某一天，智利一位工程师向美国神经技术公司Emotiv提起了诉讼。他叫Guido Girardi。他购买并使用了该公司的脑电波测量头戴设备Insight。问题出在之后。他的脑数据流向了何处、谁能访问、保存多久，一概不清楚。他翻遍了隐私政策，找不到明确的答案。

2023年，智利最高法院支持了Guido Girardi的诉求。法院命令Emotiv从数据库中删除他的脑信息。这是全球首次将脑数据确认为独立法律类别的判决。但Guido Girardi提出的另一项请求，即要求公司修改隐私政策本身，并未获得支持。这是一场胜利，同时也是一场不完整的胜利。

这一判决的背景，是智利在2021年率先修宪，成为世界上第一个在宪法中保障神经权利的国家。但仅凭宪法条文，难以规范数据处理的具体要求，这一局限随即暴露出来。

脑数据为什么和其他数据不同？我们的大脑每时每刻都在产生电信号。这些信号中包含着我们的情绪状态、注意力水平，甚至对特定词语或图像的反应。2024年，哈佛医学院研究团队报告称，他们用175小时的脑电记录训练人工智能，结果准确识别出512个语音片段中近一半的内容。技术越进步，从脑数据中能推断出的信息范围就越广。今天采集的数据，明天能从中读出什么，没有人知道。

科罗拉多州参议员Cathy Kipp这样描述这个问题：今天收集的数据，五年后能从中读出什么，谁也说不准。因为技术发展得太快了。

2024年4月，科罗拉多州制定了全球首部明确保护神经数据的综合数据保护法。该法律将神经数据定义为「通过测量个体中枢神经系统或外周神经系统活动而产生的信息」。同年9月，加利福尼亚州也修订了消费者隐私法，将神经数据归类为敏感个人信息。蒙大拿州和康涅狄格州紧随其后。

但各州的保护范围不尽相同。加州法律排除了从非神经信息中推断出的数据。比如心率数据来源于循环系统，不属于神经数据。然而心率变化可以推断压力水平。这类数据并不在保护范围之内。

2024年4月，NeuroRights Foundation对30家消费级神经技术公司的隐私政策进行了审计。结果令人震惊。29家公司可以访问消费者的脑数据，且未设置有意义的限制。96.7%的公司保留了将脑数据转让给第三方的权利。提到加密措施的公司不足20%。全面采取了关键安全措施的公司仅占10%。

2025年4月，美国参议院多位议员致函联邦贸易委员会。他们强调，神经数据不同于其他个人数据。因为即使经过匿名化处理，神经数据仍可能揭示心理健康状况、情绪状态和认知模式。

UNESCO于2024年8月组建了专家组，着手制定神经技术伦理的国际标准。该标准预计于2025年11月通过。美国医学会在2025年6月正式呼吁保护神经隐私。

密码泄露了可以更换。但脑数据一旦暴露，就无法挽回。脑数据是我们最隐秘的领域。它记录着我们感受到什么、对什么产生反应，甚至可能记录着我们在想什么。这些数据的主人是谁？是收集数据的企业，还是那颗大脑的拥有者？

智利用宪法给出了回答。科罗拉多用法律给出了回答。但在全世界大多数国家，这个问题仍然悬而未决。

二、脑劫持（Brainjacking）：运动皮层入侵与感觉操控的威胁场景

2025年7月，耶鲁大学数字伦理中心的研究团队发表了一篇论文。题目是「下一代脑机接口的网络风险：分析与建议」。论文的第一句话引人注目：如果缺乏有效的安全防护措施，标准化BCI系统的大规模安全漏洞可能同时影响数百万用户。

研究团队警告，此类攻击可能瘫痪关键基础设施人员，通过大规模混乱破坏社会秩序，甚至被敌对势力利用来收集整个人口的敏感思维和记忆。

脑劫持是什么？这个术语指的是对脑植入体或神经刺激器的未授权访问和操控。目前尚无实际报告的案例。但专家们警告，一旦发生一起高关注度的攻击事件，公众信任将遭受不可逆转的损害。

威胁并非停留在理论层面。MIT研究人员已经演示，EEG设备可以像天线一样工作。攻击者发送幅度调制的射频信号后，EEG设备的非线性放大器响应会捕获调制频率，将其解读为真实的神经信号。如果发射功率足够大，注入的信号会压过用户的实际脑电波。这种攻击能穿透墙壁和门。距离虽然限制在约3米，但已经足够近了。

Neuralink等新一代BCI通过蓝牙进行无线通信。物理层面的脆弱性有所降低，但新的网络安全威胁随之出现。Bluebugging攻击可以在10米范围内未授权访问设备，截获神经信号或篡改功能。Bluesnarfing能从最远100米外的不安全蓝牙连接中窃取数据。在BCI应用场景中，这可能导致用户在毫不知情的情况下发生大规模神经数据泄露。

深部脑刺激（DBS）设备目前已广泛用于帕金森病等神经疾病的治疗。牛津大学功能神经外科研究团队对这些设备的潜在风险发出了警告。黑客若修改DBS设置，可能引发更剧烈的疼痛，抑制帕金森患者的运动能力，诱发性欲亢进或病态赌博行为，或者通过操控奖赏学习来试图控制行为。

基于人工智能的攻击同样令人担忧。被称为「对抗性扰动」的技术可以向EEG数据中添加噪声，使P300和SSVEP拼写器输出攻击者想要的字符。「后门攻击」则通过污染训练数据来强制产生特定的分类结果。

问题在于BCI的物理限制。植入体的尺寸和电池容量有限，难以实现强加密。为了紧急医疗访问，可能还需要保留后门。耶鲁研究团队建议，仅在数据于设备与远程计算机之间传输时要求加密，以此最大限度减少功耗。

美国食品药品监督管理局（FDA）虽然审查BCI的网络安全问题，但现行标准跟不上技术发展的速度。BCI在美国被归类为III类植入式医疗器械，属于最严格的监管类别，但网络安全方面的具体指南仍在制定中。

耶鲁研究团队提出了几项建议：监管机构应强制要求非手术方式的软件更新方法；BCI软件修改需要建立严格的身份认证和权限体系；脑部数据的往来传输必须加密；网络连接应尽可能减到最少。他们还建议用对抗性训练来训练AI，防止AI向患者的植入体发送恶意刺激。

脑劫持目前尚未成为现实。但BCI技术越普及，攻击动机就越强。医疗设备被入侵已有先例。Medtronic除颤器的漏洞曾被发现，胰岛素泵的入侵也已被实际演示过。植入大脑的设备，没有理由是例外。

我们还没有充分掌握保护大脑的方法。但我们必须找到。因为大脑是我们最后的圣域。

三、算法偏见与自主权侵蚀的风险

2023年，中国杭州的一处铁路基地里，机车司机们戴着一种特殊的帽子。帽子内置的传感器实时测量他们的脑电波。目的是检测疲劳和注意力下降。官方解释是为了安全。但也有不同的声音。监控工人的精神状态，这当真是可以被允许的吗？

BCI算法并不中立。所有算法都反映着训练数据的特征。目前大多数BCI算法是用西方人、白人、男性的数据训练出来的。当这些算法解读其他人群的信号时，偏差就可能出现。

在情感BCI领域，问题更为复杂。对情感的偏见因性别和年龄而异。比如，「女性更情绪化」这个刻板印象就是一例。如果这种偏见被带入训练数据，算法可能会把同样的脑信号在女性身上解读为情绪反应，在男性身上则解读为中性反应。

自主权侵蚀的问题更为根本。BCI与人工智能的结合越来越紧密。基于AI的BCI能够依据视觉输入和情境感知独立运作。用户以为自己在控制设备，实际上许多决定是算法做出的。这被称为「主体性错觉」。

闭环系统使这个问题愈发尖锐。闭环BCI读取脑信号后自动发送刺激。比如用于治疗抑郁症的深部脑刺激器，检测到特定脑电模式时会自动传递电刺激。患者无需介入。但这究竟是自我决定还是机器的决定，界限变得模糊了。

接受过深部脑刺激的患者报告说，对人格变化有着矛盾的感受。他们经历了冲动性或责任心方面的改变。他们说，很难分清哪些成就属于设备，哪些能力属于自己。是我，还是机器？这个问题，他们找不到明确的答案。

「感受负面情绪的权利」这一概念也应运而生。如果闭环系统自动调节情绪和认知，我们是否就失去了体验悲伤或焦虑的权利？负面情绪往往承载着重要的信息。它是某些事情出了问题的信号。自动抑制这一信号，果真是可取的吗？

多个国家正在回应这些担忧。智利2021年的修宪保护了精神隐私和意志自由。西班牙的《数字权利宪章》明确规定，神经技术必须保障身份主权和自我决定。中国2023年提出的BCI伦理建议强调了自主性、隐私、透明度和公平性。

但职场中的神经监控仍处于监管盲区。中国工厂和铁路使用的疲劳检测系统以安全为名运行。工人们是否真正同意了这种监控，是否拥有拒绝的选择权，答案并不清楚。

2024年科罗拉多AI法旨在防止高风险决策中AI造成的歧视，无论是有意还是无意的。2025年，德克萨斯州和弗吉尼亚州也通过了类似法律。但德州的法律只处罚故意歧视。那些无意但系统性的偏差怎么办？

布鲁金斯学会2025年的研究表明，人类未能有效识别和纠正AI偏见。研究人员让人类被试与带有种族偏见的AI模型协作筛选简历。被试既没有恰当地识别出AI偏见正在渗入自己的决策，也未能有效地加以纠正。这说明，在高风险决策中要求人类介入的现行AI政策，可能并不够用。

算法是工具。但当这个工具开始解读和调控我们的思想与情感时，它就不再只是工具了。它变成了参与定义「我们是谁」的行动者。这个行动者的偏见，就是对我们自身的偏见。

四、同意的困境：何为真正的知情同意（Informed Consent）

2022年，视网膜植入公司Second Sight宣告破产。

数百名视障人士接受了该公司Argus II设备的眼内植入。对有些人来说，这个设备让他们几十年来第一次看到了光。破产之后，他们被丢在了没有选择的境地。设备还能运行，但更新和支持中断了。一旦故障，无处维修。

这个案例赤裸裸地暴露了脑机接口研究中知情同意的局限。临床试验参与者同意了设备植入。但他们同意的到底是什么？没有人承诺设备会永久获得支持。公司可能破产这一信息，是否被充分告知了？

传统的知情同意模型以某一时刻的决定为前提。研究参与者获得信息，理解信息，自愿同意。但BCI不适用于这一模型。

有一个「变革性经历」的问题。脑中植入芯片之前的我和植入之后的我，是同一个人吗？植入前的我无法想象植入后的体验。哲学家将其称为「变革性经历」，即在经历之前根本无从知晓那是什么感受的经历。传统的知情同意对这一经验维度的回应远远不够。

想想诺兰·阿博。他失去肩膀以下全部感觉和运动能力，已经八年了。当他决定参加Neuralink临床试验时，他无法知道仅凭思维操控电脑是什么感受，也无法预见这会如何影响他的自我认同。

其次是长期不确定性问题。BCI的长期效果尚不明确。十年后、二十年后会发生什么，没有人知道。装置与脑组织如何相互作用，性格或认知会产生何种变化，无从预测。网络安全威胁将如何演变，个人信息将如何被使用，一切都悬而未决。研究者自己都不了解的风险，参与者又如何能给出同意？

第三是移除困境。临床试验结束后怎么办？参与者能继续使用装置吗？装置被停用后会怎样？如果希望移除，是否可行？移除

移除手术的风险可能与植入手术相当甚至更高。将停用的装置留在体内，可能导致无法进行MRI检查，或因装置移位引发并发症。

第四是同意能力问题。想想闭锁综合征患者。他们意识清醒，却除了眨眼之外无法做出任何动作。BCI给了他们沟通的希望。然而同意过程本身就很困难。如何确认他们理解了知情同意书的内容？如何验证通过眨眼表达的同意是基于真正的理解？

2024年修订版《赫尔辛基宣言》强调了范式转换：研究参与者不应被视为受试者，而应被视为合作伙伴。当参与者无法提供完整的事前知情同意但能够表达同意意愿时，医生应在获得法定代理人同意的同时征求其本人的同意意愿。参与者表达的偏好和价值观应予以考量，任何异议的表示都应得到尊重。

一些研究者提出了动态同意模型。不是一次性同意，而是持续更新信息并逐阶段重新征求同意。每当技术或功能发生变更，就重新获取同意。但这一模型也无法解决所有问题。面对开放性的未来可能，静态的约定如何应对？

2025年8月，发表在《世界精神病学杂志》上的一篇系统综述指出，精神疾病患者参与BCI临床研究时，事前知情同意能力评估是核心难题。研究对象包括精神分裂症、情感障碍、厌食症、酒精依赖，以及因阿尔茨海默病和帕金森病导致的神经认知障碍患者。研究团队构建了BCI专用的五维事前知情同意能力评估框架，并建议未来研究开发动态评估系统，提升精神疾病患者的同意能力。

机构伦理委员会面临棘手的课题。手术风险是明确的，但性格或功能的变化难以界定。寻找网络安全专家需要时间。风险与收益的衡量并不容易。

事前知情同意是研究伦理的基石。但在BCI时代，这块基石正在动摇。我们需要寻找新的同意模型：随植入体启动、随植入体演进的同意；承认不确定性、同时尊重参与者自主权的同意；即便企业破产、支持中断，依然能保护参与者的同意。

那究竟是什么，目前还不清楚。清楚的是，现有的方式已经不够了。