张曼|脑隐私法律概念建构:路径、特性与贡献
要目
一、引言二、脑隐私法律概念建构的路径三、脑隐私法律概念建构的特性四、脑隐私法律概念建构的学理贡献结语
体联网(IoB)发展的第三阶段“脑机合一”是脑隐私法律概念建构的物质基础,其“控制与增强”的技术原理是“人”与“机”在自我失控与享受红利之间难以取舍的根源,也是人类不断突破生理局限的创新与冒险。在严格保护人格尊严的前提下,应充分认识“脑机合一”的交互性、生物性、平衡性和程序性,维护个体自主性和能动性,保障其权利能力和行为能力。脑隐私相关法律制度的建构应以“技术理性”和“具体的人”确立监管原则,考虑匿名信息的生物复原性,扩展现有个人信息保护范围。未来需进一步厘清脑隐私本质,探索技术人性尺度,规划多学科保护体系。
一、引言
2013年,安尼斯诉佛蒙特州检察官一案中原告安尼斯声称其在西雅图一家医院就医时耳朵植入一种“声音接收器”,而这个仪器在安尼斯完全不知情且未征得其同意的情况下“窃听”他的想法,而且参与这项实验的机构试图将收集的数据高价售卖给他人。为证明其诉求,安尼斯提供了脑机接口 (Brain Computer Interface,简称BCI)和人类基因研究资料,主张上述技术“实时生成语言形式……倾听人类的想法”。然而,美国联邦最高法院经审理认为原告诉求缺乏法律和事实依据,是幻想、妄想和异想天开的指控,最终驳回了原告诉求。2016年,在另一起案件中原告布莱德利可提出未经其同意他的身体内被植入美国军方失窃的BCI设备,原告的行为、想法和生活受到非法“监控”,因此要求5亿美元的损害赔偿金。美国地区法院认为原告布莱德利可的诉求没有法律和事实依据,驳回原告诉求。2018年,波拉德诉达菲案中原告波拉德指控加州政府和联邦治安官在其右眼非法植入纳米金属线和摄影光学设备,并且将其错误地录入恐怖分子名单,同时借助神经机器人和BCI的细胞控制技术读取原告大脑想法和监控行为。美国地区法院法官将原告诉求解释成“完全难以置信”,而被告则是“捏造虚假指控的受害者”,因此驳回了原告的人身保护救济令申请。2020年,格罗斯诉阿萨一案中,原告格罗斯声称被告使用BCI技术将其置于危险境地,通过将思想和图像植入大脑并从中读取想法,破坏原告个人感官和人格、损伤肌肉和神经系统功能的自我操控,美国地区法院同样以没有足够的事实和法律依据支撑原告救济请求,因此驳回原告诉求。
上述案件虽然均被驳回,但其中提及的基因技术、细胞控制和BCI却真实存在。2022年6月25日,我国自主研发的国内首款介入式BCI完成动物实验。2022年7月19日,人脑工程概念股受马斯克所称已将个人大脑上传云端并与自己虚拟版本交谈这一消息刺激,创新医疗和新智认知直线封板。这说明,在技术上大脑信息完全可以“另存”到计算机上,并利用电脑获取新知识延续其记忆和思维,形成独立于有机大脑之外的“合成”大脑。甚至在有机大脑死亡后,这种“合成”大脑可继续存在最终实现某种意义上的“不朽”。这对现有民事法律框架下自然人死亡、遗嘱、权利和行为能力的界定无疑提出新的思考。事实上,新兴技术对法律的挑战从未停止。诸如“云计算”在信息安全、数据权利、知识产权和司法管辖上带来重重疑虑。区块链技术则在比特币非法集资、病毒勒索、外汇监管脱离等领域诱发新类型刑事犯罪。大数据也会对公民个人隐私及权益造成一定威胁,人工智能情形下智能机器人能否主体化以及人工智能创作物归属、信息垄断与贫富分化加剧等问题。这预示着,今天困扰人们的网络、设备和数据库安全隐患,明天将转移到人体内部造成物理伤害,而法律却尚未作好应对。
在当代科技与法律关系研究中,围绕“大脑植入”技术引发的各类风险得到了广泛研究,而“个体”利益与权利保护与应对的探讨尚有不及,基本法律概念理论亦未得到系统构建。纵观中外相关文献,关于大脑植入的探讨主要集中于技术风险,如长期和短期安全性风险、“误读”或“错读”脑电波的准确性风险;伦理风险,包括导致“二次不公平”、使用界限不明、个人身份认同模糊和自主性缺失;法律风险,涉及对大脑植入设备的知情同意和大脑信息的隐私泄露。与其他健康信息相比,大脑信息特别敏感,它与个人生理、情感、思想或者行为有关,因此大脑隐私问题显得尤为重要。申言之,现有研究对大脑信息背后真正的技术驱动认识不清,大脑信息特性认定狭窄,研究缺乏对“人”和“机”的双重认知,容易割裂两者之间的关联,法律应对之策泛化,无针对具体条文的分析。因此,本文以构建脑隐私这一基本概念的路径为起点,尝试对技术底线和人性伦理进行深度挖掘,结合大脑信息属性展开探索,并在现有法律框架内阐发脑隐私概念构建的可能。
二、脑隐私法律概念建构的路径
神经机器人,大脑信息解读和洗脑式植入,并非完全科幻和想象,而是即将到来的“控制论革命”(cybernetic revolution,也被称为第五次工业革命)的必然结果。当技术发展到可以监测或者影响个人精神状态和行为,极端情况下黑客攻击与个体大脑关联的设备将造成更大威胁,如涂改大脑记忆,制造幻觉甚至导致个体人身受伤和死亡。因此,保护大脑信息的完整性和安全性是最有价值和最基本的人权。基于此,脑隐私的核心涵义具有两重属性:一是科技属性,即它源自科技进步;二是法律属性,即它属于法律学科范畴。脑隐私法律概念建构的基点是脑科技,即概念建构源于大脑科技;落点是法律权利和义务,即概念与法律理论相衔接,以丰富原有的法律知识体系。
人工智能的一个重要前提是积累海量数据,而这一任务主要是由物联网(Internet of Things,简称IoT)完成。物联网将任何有开关的设备默认连接到互联网,小到咖啡机大到喷气飞机发动机,形成数十亿个设备集合以提供事物和世界如何运行的指数级数据。最终,人工智能不断演化,连同基因学、流行病学和神经学技术一起全方位捕捉个人信息。不仅咖啡机向云端传输信息,可穿戴传感器、人体植入物和BCI装置也在向云端发送信息。人工智能对这些数据不断优化,可为人类健康和日常生活创新提供动力。如苹果公司的“心脏研究”App和谷歌“人类健康地图”。借助科技的力量,人工胰腺固定在患者体内,依靠软件持续校准胰岛素水平;人体芯片可以定位司机位置和预判驾驶的机敏性;大脑感应发带可以实时监控游戏用户的情绪,甚至运用到儿童课堂学习中,以便向教师和家长反馈学生注意力状态。如此大规模监控和筛选人类行为和生理,导致人体自身“默认”功能与硬件、软件和算法纠缠在一起,甚至某种程度上依赖互联网和人工智能,物联网正逐步转变为“体联网”(Internet of Body,简称IoB)。
2020年10月20日,Gartner发布了企业机构在2021年需要深挖的九大重要战略科技趋势。其中,IoB被列为九大重要战略科技趋势之首。多年来,IoB发展从未停止。简单说,它经历了三个阶段。体外设备是IoB的初级形态,常见的如智能眼镜、健康追踪手表和非侵入BCI设备。在“Brainternet”项目中就使用外部脑电图(EEG)节点和RaspberryPi电脑,将人脑与互联网实时连接以持续监测大脑活动,进而建立一个具有双向输入和输出的大脑应用程序接口。因此,体外设备帮助个体在现实世界的基础上,延伸出一个自我了解、认知和把握的“心物感知”世界。如健康追踪手表,对人体运动、心跳、呼吸乃至卡路里消耗的记载、上传和打卡,从身体社会学视角看是个体完善自我形象,寻求群体认同的价值追求,也改变了对体外设备单纯“工具”性的认识。IoB第二代是体内设备,它是指嵌入或侵入人体内部的IoB设备,包括心脏起搏器,人工耳蜗和数字药丸等。这个过程中,个体的日常行为、偏好和习惯通过数据深度挖掘得以展现,同时这些数据也反过来支持和改变着个体的行为。譬如,通过在大脑植入电极阵列,截肢患者也可按照自我意愿转动和操作假肢。随着越来越强大的算法和设备的小型化,大脑植入和其他神经设备将在速度和能力上显示指数级增长,最终将复制整个人类大脑的功能。若将神经设备连接互联网,则人类会拥有无限处理能力和内存。因此,脑机融合是IoB第三代技术表现,即侵入式神经设备将个体思想与互联网连接,实现双向读/写运作。这种“人脑”与“电脑”深度融合为“合成大脑”,无疑极大地扩展了人脑功能。不仅能与“有机大脑”抗衡更有可能超越“有机大脑”。例如,编写可以提升记忆功能的神经代码,再将代码转化进植入电极装置,刺激大脑相应区域,从而显著提高短时记忆和工作记忆。
利用网络技术操控植入式设备是IoB研发的最大漏洞。如同攻击者远程破坏心脏起搏器,从而对个体心脏产生影响一样,干扰植入设备(如BCI硬件)的软件,操纵大脑会对配备植入设备的个体造成直接伤害。“大脑黑客”的做法有可能让第三方访问个体大脑中的私密信息,并从个体手中夺取BCI设备与之交互的系统或机器的控制权。此种情形下,就会发生“大脑劫持”。即恶意攻击者通过网络技术改变植入设备的数据设置,将特定电信号发送给大脑,造成个体身体组织损伤、运动功能受损、脉冲修正和情感改变。表现为植入装置影响个体自主性,使其行为未能与个体原本意志相一致。包括直接控制,即植入装置改变脑信号进而改变个体行为;间接控制,即使个体陷入“圆形监狱效应”的被监视状态而出现自我行为限制,这也与个体自由意志相违背。其实,在IoB初级阶段时个体自主性已经受到不良制约,如“大数据杀熟”,依靠算法权力滥用,记录个体浏览的网络信息进而向个体推送算法导向的行为选项。IoB第三阶段的“脑机融合”将向植入装置输入更加精准的个体心理活动,偏好和情绪变化等大脑信息,使得植入装置向个体提供的行为选项不仅反映出个体过去的精神状态,而且还固守个体惯有的“思维轨道”。
IoB的另一大功能就是修补和增强个体使用感受。譬如,为增强用户体验感,VR头戴式设备(HMD)借助摄像头和传感系统跟踪和响应用户眼睛、动作和手势,从而实现在虚拟现实(VR),增强现实(AR)和混合现实(MR)之间自由切换,如在元宇宙中沉浸和来回穿行以满足人们对跨媒体集成的期望。2019年,NextMind公司展示了无创BCI现场演示,即通过HMD传感器将大脑信号从视觉皮层转化为脑波控制计算机可读取的数字命令,从而摆脱手势限制,这无疑是沉浸式技术的一个重大突破。除了在虚拟世界增强体验感,植入装置最为重要的功能是恢复或改善人体机能。例如,BCI装置的设计初衷是用于医疗领域,大多针对脑功能损伤,包括闭锁综合症(患者意识正常但缺乏沟通能力)、失语症(无法正常沟通)和意识障碍(昏迷和植物人)等。BCI装置可以帮助上述患者与医生和家属沟通,筛选有意识的表达,提高诊断准确性,反映患者需求。随后,BCI装置扩展到军事领域。美国国防部高级研究计划局(DARPA)在奥巴马政府时期投入了大量资金,通过“大脑研究促进创新神经技术,Brain Research through Advancing Innovative Neurotechnologies,简称BRAIN)”计划,寻求人类大脑与AI系统交互。体现在武器结合人脑能力从而最大限度提高单兵军事技术反应能力。可见,“控制与增强”是“脑机合一”状态下的主要技术表现,“脑”与“机”对个体自主性控制的争夺,以及“脑”与“机”对个体机能增强的渴望,均反映出IoB的自我矛盾性,既要充分享受技术进步的红利,又要遏制技术失控的危险。因此,“控制与增强”是脑隐私法律概念构建的技术机理。总之,脑科技对人类的改造不是“是否发生”的问题,而是“何时发生”的问题。如今,应在IoB背景下认识到技术的“控制与增强”特性,从而划定“脑”与“机”之间的合理融洽空间。
关于法律如何应对IoB技术挑战,既有研究并未给出可行之策。通常是建议设立隐私保护法律以及行业自律。但这并不能恰当地解决IoB可能导致的定向广告、认知监视、数据泄露和责任认定等法律问题。一是我国民法典和个人信息保护法等法律已针对隐私,个人信息及数据安全进行了专门规定,单独就IoB技术引发的法律问题另行立法不切实际。二是行业自律或是加强伦理宣传也并非可靠的解决途径,既不具有强制力也无法有效维护个体合法权益。真正需要做的是:一紧扣“控制与增强”技术原理,客观看待技术风险,调整法律保护强度阈值;二是重新思考法律对“人”或“主体”的预设,从大脑信息入手构建权利义务规则。
自主既是一个伦理问题也是一个法律问题,从伦理角度看自主意味着个体可以为自己的行为设置规则,即“自我立法”,从而达到自己决定自己的行为,自己为自己行为结果负责的目的。个体的自主需要权利的自主,它反映的是人的理性,即“法律内部逻辑自洽”,通过确定的规范和程序实现人的自主性。由于IoB技术通常适用于医疗场景,将知情同意分解为“告知信息-个体理解-自主决定”三个步骤是真正落实知情同意权尊重个体自主性的表现。尤其是个体的理解至关重要,它是个体在决定形成过程中自主控制,反映的是个体能够知晓IoB的所有风险,同时充分掌握IoB对大脑信息解读的程度、范围和内容,最终为自己的决定承担责任。
除确保IoB应用前个体的自主性,还需注意IoB应用后个体的自主性。当个体植入大脑装置,如患者借助BCI设备向外界表达自我意愿,尤其是闭锁症、深度昏迷(尚有自我意识)和失语症,患者极度渴望与外界正常交流,表达真实意思,这应是BCI设备应用的最大社会价值。但问题在于如何判断患者借助BCI设备对外表达的是患者本人“脑”中的“真实意思”抑或是“机”的“想法”。其实,这个难题可以通过提高BCI设备稳定性来解决。常见的有眼电图(EOG)跟踪眼球对文字或莫尔斯电码的反应,脑成像(fMRI)根据血流绘制神经代谢信号图以测定大脑感兴趣区域(ROI),脑电图(EEG)记录脑细胞或神经元素突然激活时发出的电信号以及稳定状态下捕获响应。EOG虽然简单易操作,但针对是清醒状态的患者,适用情景有限,且EOG受肌肉错误抖动影响,准确率不高。若患者虽清醒但眼球神经受阻,EOG也不适用。fMRI与EOG一样都是非侵入大脑设备,但成本高,用户语言操作仅“是与否”两个选择。因此,EEG准确性更高,虽然有植入设备“弱化”的风险,如电极、芯片腐蚀、老化、位置迁移等问题,但生物相容性微电极和微丝阵列等技术可以减少设备风险。
初步解决了IoB应用前个体知情同意,应用后植入设备精准传达个体“真实意思”,还必须考虑的是外界通过植入设备向个体大脑输入命令代码,进而“控制”个体想法和行为,在上述格罗斯诉阿萨一案中原告就曾提出类似指控。因此,需要研判IoB在“脑机合一”阶段,个体是否仍具备“自主性”。因为在“感知-行为”模型下,AI与外在环境存在持续的“交互,协作和沟通”能力,并借助算法,以及设计者对使用者需求的满足来实现个体的自主性。基于此,与“脑”深度结合的AI还叠加了加速自主性和“类人”自主性。如此,IoB满足了技术感知和行为反馈特征,并基于算法解析大脑信息,将设计者想法与使用者需求关联起来。此时,“脑”与“机”深度融合,仅从个体单方“表达”已很难辨识哪些是个体“真实意思”哪些是“机”的想法。因此,需从外部加强IoB应用监管模式。植入设备制造商需要制定数据安全政策,以建立对植入神经设备制造的管理和技术控制,以及隐私政策,以解决与敏感信息和系统相关的信息管理。
自主性解决的是IoB应用中个体对“自我”的认知和把控,是确保“主体”地位的前提条件。但个体即便能够通过IoB表达真实意愿,但能否通过自己的行为实现这一意愿尚未确定。譬如,个体已知大脑植入装置的所有风险,并表达了“同意”,但却未能对植入装置的相关医疗服务合同签署“同意”,尤其在个体昏迷、间歇性精神障碍或植物人状态时,行为能力的缺失是关键问题。按照我国民法典规定,行为能力划分为三种,即无民事行为能力、限制民事行为能力和完全民事行为能力。就无民事行为能力而言,从年龄和认知上划分为8周岁以下未成年人,8周岁以上不能辨认自己行为的未成年人和不能辨认自己行为的成年人。从这个角度看,无民事行为能力的人群恰好落入IoB的应用范围,即弱势群体。由于无民事行为能力人实施的民事法律行为无效,因此无民事行为能力人通过法定代理人实施民事法律行为。问题的关键在于,无民事行为能力人所实施的行为是否一律无效。如果一个闭锁症或渐冻症患者,意识清醒,并且能够借助BCI装置对外表达“自我意愿”,这时是否仍要按照正常人状态去苛求此类患者,认为这种“自我意愿”表达无法产生法律效力。即便技术的准确性和稳定性足以保证患者“自我意愿”表达的真实性,法律是否依然可以一刀切地硬性规定无民事行为能力人实施的民事法律行为无效。对此,有学者认为我国民法典第144条存在漏洞,无民事行为能力人实施的纯获利益法律行为应当有效。那么,安装BCI装置的植物人患者对外表达类似“给我一点止痛药”或者“尽快安乐死”的意愿,并希望外界按照自己意思实施某种行为,此时这一行为是否就是纯获利益法律行为。对纯获利益的理解,一是强调行为人不承担任何义务,仅享受权利;二是强调法律利益,如法律地位的改善甚至是避免某种权利丧失。按照这一解释,植入BCI装置的植物人对自己法律利益的维护,应该得到尊重。否则,一概否认此类患者“自我意愿”表达,无疑会使他们重新坠入“封闭”状态,痛苦绝望地切断与外界一切交流,任由外界违背自己的意愿处分自己的法律利益。如果法律对此仍熟视无睹,无动于衷,那么患者的个人尊严则无从谈起。
我国民法典对限制民事行为能力人实施民事法律行为的效力,作了分别处理。一是纯获利益;二是与年龄、智力和精神健康状态相适应的民事法律行为。对于前者,一般的民法解释是指行为人“接受奖励、赠与和报酬等”。但是IoB的“控制与增强”特点,将允许行为人植入设备的目的有可能超出医疗范围,如增强肌肉力量,变身大力士;增强记忆,成为记忆大师;甚至改善面貌,起到美容作用。这些结果明显与“接受奖励、赠与和报酬等”不一致。这种对身体的改造,并非获得某一种经济利益或可用经济利益来衡量,而是所谓的“身体改造”(Private Body Modification,简称PBM),如已广泛使用的身体植入电子芯片,包括但不限于数字钱包,数字ID和门禁卡等。因此,着眼于法律秩序的稳定性,应以法律利益而不是经济利益来解释纯获利益。
对于后者,与年龄、智力和精神健康状态相适应的民事法律行为应按照行为人是否能够完全辨认自己行为,尤其是以实施行为时的心智状态为准予以判断。如一名13岁少年要求安装一枚电子眼,使其视力范围超出常人能力,该民事行为能力明显不符合其心智状态。但一名闭锁症患者通过大脑植入装置留下遗嘱将其房产赠予其女儿,这一民事行为能力应如何认定。如今的司法个案表明,这类行为显然超出其心智状态,当然这是在没有类似BCI装置辅助的情况下。但是随着BCI技术发展,BCI植入装置的普及并非遥不可及,这也是BCI技术将大脑信号解码成手写字母进而荣登2021年《自然》杂志封面的重要原因。因此,着眼于法律利益考虑,行为人通过大脑植入设备表达其“自我意愿”,对自己的法律利益作了处分,完全有理由相信这是行为人对其法律地位的改善甚至是避免某种权利丧失。
马克思主义哲学认为本质是指事物本身所固有的决定事物发展趋向的根本属性。事物的本质是透过现象表现的,而对本质的厘定就需要透过现象去归纳和总结。IoB应用中无论是体外,体内还是脑机融合,私法框架下“主体”地位应得以保障。首先,法律保护的是私主体的民事权益。从公私法界分来看,虽然针对大脑信息的处理可能会涉及消费者权益保护法的适用,以及公权力主体对大脑信息进行处理的特殊情况。但本质上,法律保护的根本意义在于规制针对信息主体的不法行为,具体保护的是个体大脑思维隐私,这显然属于法律上合法的私主体利益。正所谓,不能因为个人信息保护中存在的复杂利益格局就否认其可以通过民事权益进行确认和保护。对植入大脑装置的主体而言,这一保护具有相同的法理,据此应当确定大脑信息的私权益性质。其次,从权益控制的角度出发应为一种积极权益。随着IoB的发展,针对个体私密信息的侵犯越来越具有无形性。再加之大脑数据处理过程中个体及信息处理者之间地位的不平等性。对大脑信息的保护更应该积极为之,从而达到对大脑信息保护的最终目的。再次,在权属安排上应当是一种人格利益。从财产利益到人格利益的区别角度出发,大脑信息仍然属于人格利益的范畴。大脑信息是个体最深层次的思维信息和性格偏好,与其尊严和生存价值有极其密切的关系。正如庞德所言:“人格权正在生成之中,且尚不能超越这一阶段。”特别是在信息和数据法律规制机制尚未完全建立的情况下,审慎的将大脑信息作为人格利益进行保护符合其基本价值取向。最后,从权益类型上看应为一种有限制的绝对权。绝对权是民事权利中的重要分类。我国民法深受德、日法律制度的影响,在德国民法体系中,绝对权与相对权构成了民事权利最基础同时也最具意义的划分标准。大脑信息虽然主要涉及个体及信息处理者之间的法律关系,但是并不意味着它就是一种只对单一主体发生效用的类似于债权的相对权益。事实上,在有关个人信息纷繁复杂的学说争论中也没有观点认为个人信息是一种相对权。大脑信息所具有的自由、尊严和人权意义,使得相对权不足以保护大脑信息及其上的所存在的利益。因此,对大脑信息的保护不应只限定于信息处理者这一狭窄的范围内,而应当将其设定为对世的权益,使社会公众都不得侵犯大脑信息。但是人格利益的绝对权意向并不意味着其不受限制,与个人信息要考虑平衡社会相关的利益主体的诉求一样,大脑信息的保护也需要受到社会公共利益以及第三人利益的限制。
总之,人类是肉体和精神统一的集合体,人类生存中对私密的需求不但在于物理意义上的“遗世独立”还包括精神层面的“自治空间。在IoB作用之下,个体成为信息时代的透明人,大脑私密信息的保留越来越成为一种奢求。脑隐私作为个人私密的最后一道防线,同样存在被钝化的威胁,因而迫切需要法律作出回应对其进行保护。自主性是法律逻辑起点,人格是落脚点。在保证个体自主性进而实现人格尊重的过程中,使用大脑植入装置的个体应能充分行使其合法权利,保障其法律行为的有效性。
三、脑隐私法律概念建构的特性
IoB应用中最容易引起争论的就是BCI装置将“人脑”与“电脑”直接连接并建立交互。从操作流程看,BCI装置读取人脑中不同功能的电信号,并将其传送到对应的计算机上,由信息系统对电信号进行解码,最终由计算机完成任务或产生特定输出。从技术特性来说,有了输出也应有输入。一是个体在完成“自我意愿”表达的同时也可接受外界反馈,如同正常交流一样交换和分享个人想法;二是第三人可借助神经装置将“自己意愿”输入个体大脑,出现行为选择限制和行为改变的结果。因此,围绕脑隐私这一法律概念,表现为如下特征。
可以想象,在BCI装置对大脑信息进行实时的算法转化获知个体想法的同时,反之也可以通过相应的手段对算法进行破译,从而控制个体行为。美国研究团队早在20世纪就通过阿尔法震荡等方法实现了EEG信号的转化。由此,不论是平台运营商抑或是“大脑黑客”都可以通过对BCI装置对个体实施反向操纵,据此个体必然面临着自主控制权的丧失。更重要的是由于BCI技术人机融合的特点,与传统隐私侵犯相比这种丧失并不仅仅是容貌、身体、地址和电话等这种外在的物质性隐私,而是具有个体人格、喜好、情感状态或思想等信息,甚至揭示连个体本人都不知道的独特信息。更紧迫的是,这种交互性还可能引发刑事犯罪的风险。相关行为人可以利用这些窃取或非法收集的私密信息对信息主体进行胁迫和控制,同样也可能利用大脑控制人工手臂、人工腿进行抢夺或抢劫,附带的由于BCI技术增强了手、腿的功效,其犯罪既遂的概率也会相应增加,严重时还可能导致恐怖袭击,造成社会的不稳定性。
综合来看,这种不同寻常的交互性为大脑信息的法律规制和保护带来了前所未有的挑战。更进一步而言,被动的采用事后救济的保护模式,并不能满足大脑信息的保护需求。单纯的事后救济极有可能会导致难以弥补的损害后果。因此,大脑信息的保护应当建立事前规制机制,积极主动的对其进行利用,这样才有可能尽量减少和规避由新技术带来的大脑信息侵犯风险。
在“脑”与“机”互动中,输出和输入的电信号必然带有个体独一无二的“生物”特色,包括“眼球跟踪和瞳孔测量;面部扫描;皮肤电反应;脑电图(EEG);肌电图和心电图(ECG)。”具体而言,眼球跟踪是研究眼球运动和聚焦,揭示个人观看内容。瞳孔测量观察的是瞳孔对刺激是如何扩张和收缩,用于测量情绪反应,如是否患有痴呆症等倾向;面部扫描可以跟踪与个体面部肌肉高度相关的七种情绪迹象(愤怒、惊讶、恐惧、喜悦、悲伤、蔑视和厌恶);脑电图可以显示个体的认知负荷,如对某一项任务的厌恶型、挑战性和重复性如何;皮肤电反应是个体感受的情绪的强烈度,如焦虑或压力,主要用于测谎。肌电图显示的是个体肌肉的紧张程度,以及非自愿的微表情。上述这些“生物”信息完全能够反映出个体的情绪、健康、心理,甚至是偏好和信仰这类敏感信息。目前有研究表明,一个人的“脑印”如同指纹虹膜一般是独一无二的,可以精准识别到拥有该“脑印”的个体。即便“脑印”残缺不全,或者删除敏感信息,依旧可以通过合并相关数据集重新识别个体。因此,这种以个人“身体”为中心的新型信息侧重研究个体喜好,主观倾向和兴趣等领域,也被称为“生物特征心理学”。生物特征心理学结合了生物特征和心理特征,它通过研究个体的行为和生理(如瞳孔扩张)来测量一个人的对刺激的反应,揭示个体的情绪、状态和价值观。因此,生物特征心理学的价值在于,集合个人唯一识别的生物特征数据有朝一日有可能替代常见的“身份”识别方式(如身份证,指纹或虹膜等)。这就意味着收集个体大脑信息的公司不仅可以获得识别用户身份的账户信息和财务信息,而且还可以获得表明用户独特想法和喜好的生物信息。
由于涉及主体众多且关系复杂,大脑信息的收集、使用和用益应兼顾各方当事人利益。从根本上讲,大脑信息是以数据为载体,个人私密信息为内容的可读取可利用的一系列信息和符号。就数据本身而言,有出于技术进步的共享需求;而个人私密信息则要求隐私保护。这一矛盾的根源是IoB所有者数据经济利益追求和IoB使用者隐私人格利益之间的冲突。譬如,通过BCI装置采集大脑信息,信息处理者可以解析出个体情绪需求,心理变化甚至预判其行为倾向,挖掘和利用数据潜在经济价值,而原本涉及情绪、思想和健康等私密信息应由所属主体进行排他控制和支配。申言之,大脑信息的开发和使用应遵循利益平衡原则,既要保护信息所属主体的人格利益,防止出现个人信息泄露和传播;也要承认技术所有者通过人力物力投入所获得的技术所有权的正当性。大脑信息的采集中,正确评估风险和收益,同时信息处理者应充分履行告知义务,保护个体的知情同意权;大脑信息的使用中,认识到IoB技术局限性,在个体和信息处理者之间合理分配责任;大脑信息的受益中,警惕技术“异化力量”造成社会不公平,充分尊重个体对私密信息的自主决定权。总之,是在正义和理性与同情和关怀之间取得平衡。
现有IoB技术研究文献中,最为突出的担忧是BCI装置引发的法律风险。这种风险,要求实体规则严格控制,程序规则安全为重。在我国民法典和个人信息保护法双重框架内,就严格控制而言,通过对相关主体赋权和担责,民事诉讼,调解和仲裁均可获得私力救济;就安全为重来说,可以借助个体授权的方式得以实现。按照先后次序,大脑信息相关权利的实现和救济分为:事前协商程序;事中监督控制程序;事后司法程序。以治疗残疾康复为例,为防范技术和伦理风险,应在BCI装置的采集,使用和测算等全流程坚持沟通,作到一对一协商同意,既能让个体充分知晓BCI技术特点,治疗效果和结果反馈,也可以使信息处理者详细了解个体的个性化需求,进而作出技术调整以满足个案情况。为最大化降低BCI装置对个体生命健康的负面影响,在采集,使用和用益各个环节设置监督,其监督机构可由双方或者任意一方指定,如实施BCI手术所在地卫生健康管理机关。特别是大脑信息在收集整理后被反复筛选,识别,组合和解读之后形成的有价值的脑隐私,若这一结果规模化,其所蕴含的商业价值无可估量,各种滥用和违规甚至违法操作会层出不穷,监督的必要就日益突出。至于IoB相关方就个体授权达成的事宜发生法律纠纷,可依据约定或法定进行诉讼维权。
四、脑隐私法律概念建构的学理贡献
哲学社会科学研究的一个重要成果是建构概念,反映客观事物,概括不同的思想主张,进而成为某一学说或学派的象征标记。在IoB与法律制度相互博弈中,当科技研发跨度以指数级增长而带来不确定性时,法律为维持社会秩序的稳定性而趋于保守,这一矛盾客观存在且无法可解。因此急需对相关法律制度进行创新研究。受制于学科交叉、样本短缺和文献匮乏,脑科技法律领域的学术创新难度较大。只是,对于学术创新也有一个程度性认识。对此,习近平总书记指出:“哲学社会科学创新可大可小,揭示一条规律是创新,提出一种学说是创新,阐明一个道理是创新,创造一种解决问题的办法也是创新。”
脑隐私法律概念的建构,就是试图从解决问题的角度进行思考和解答。它沿着脑科技发展脉络,从“脑机合一”出发,抓住“控制和增强”的技术特征,紧紧围绕“人”这一主体,探索监管和法律可能的应对之策。长久以来在私法框架下“主体”的研究汗牛充栋,从“身份到契约”再从“契约到身份”讨论的是主体如何利用自己能力实现自我决定,以及该项自我决定被法律认可的情形。未来,“身份”认定也许会逐步模糊化,生物特征数据将成为个体识别的唯一标准。在这个过程中,技术的特性得以清晰,个体的“人性”得以认知。脑隐私法律概念的建构对中国私法完善,特别是脑科技监管和个人信息法律保护具有以下贡献:
现有中外研究谈及IoB应用前景,对技术安全的担忧,人性伦理的失序和法律的动荡,研究较为广泛深入。但忽视了一点,就技术本身而言,其进步的根源来自人的需求,这是永恒且持久的推动力。IoB发展的每一阶段都显示,对人性的理解以及对人需求的满足是该技术不断变革的指南。必须认识到IoB在弱势群体的社会价值,它是脑损伤患者能够表达“自我意愿”的唯一希望,过于严格和谨慎的法律标准有可能损害患者日常生活质量,剥夺患者发言权,使其再次沉默,逐步边缘化。设想一个场景,植入大脑芯片的记忆障碍患者,在芯片帮助下能够修复甚至改善记忆能力;该患者服用新研发药物,该药物可以恢复神经回路进而唤醒记忆;该患者在便签纸上记录相关信息以做备忘。诚然,植入大脑芯片和药物有一定的风险,但随着技术和医学进步可以大大提高安全性,那么有何理由认为使用大脑芯片或药物的人比使用传统纸笔的人需要承担更大伦理和法律压力。就患者恢复大脑记忆这一任务而言,三种场景均具备“等价性”,即三个记忆任务的实现在概念上和伦理上是等同的。当然,这种等价性并不适用IoB所有应用场景,而是应针对具体情形具体分析。
申言之,技术指数级发展的背后是人们日益增长且不可遏制的客观需求,如今“身体改造”(PBM)也逐渐普遍。主要表现是痴迷于使用增强功能神经装置,如脑机相连的机械手臂远远比正常人类手臂在灵活度、力度和强度上扩展倍数级效果。这需要考虑:改造过后的人类是否依旧是“人类”,抑或是“半人类”或“机械人”。对这一顾虑,首先要消除的是技术恐惧,帮助技术正常化。这是因为人类使用设备扩展自身对世界的感知,从而将设备当作自身的一部分,是人类学习了解和掌握世界的必备渠道。正如使用拐棍的盲人和使用手机的年轻人学会了感知仅依靠自身无法掌握的知识和经验。因此,“身体改造”(PBM)是基于对未知世界的好奇和探索,也是跨人文主义不断蔓延的必然结果。
因此,为确保技术理性,监管的对策是:首先就大脑信息采集利用而言,在多大程度上“合理使用”脑隐私而不至于侵犯个体合法权利。其次,将脑隐私使用行为限定在特定“场景”之中,如列举式使用行为清单,在法律允许的范围内划定相关主体的权利义务。最后,用户控制防范的是IoB技术对个体的反向控制,或明确“脑机融合”状态下主体行为识别,乃至认定法律责任。这种复杂的行为模式使得原有法律体系中因果关系,侵权损害和责任承担都会发生深度变异。因此,在目的限定的前提下,强调IoB技术用户的自我控制,将一切脑隐私信息的授权控制在用户手中。
在研判IoB应用对“人”的影响时,中外研究对各类风险因素均有涉猎,尤其是“脑机融合”阶段,此时对“人”的行为预测要考虑到底是出于“人脑”还是“电脑”。随着交互能力升级,用户过分追求在虚拟世界的“身临其境”而出现“化身”现象,即混淆了真实世界的“我”和虚拟世界的“我”。这种“橡胶手错觉”使得用户很长时间沉浸在虚拟事件中,而且随后的大脑活动测试显示海马体的反应与真实事件的反应并无太大差别。这种心理真实性可能会使得用户产生真实的生理后果,这是以往互联网或其他视频游戏所无法提供的感受。为进一步充分体验这种真实感,用户也许会对IoB技术采集大脑信息持开放态度,也愿意让渡部分权利给沉浸式技术开发公司。
由此,产生两个问题。一是技术公司滥用权利。对此,加强采集数据的法律监管,技术应用全流程中涉及的信息、数据,以及解析结果和后续储存等均应在相关主体之间作到公开透明。防止出现信息隐瞒、伪造、篡改和失真的事件或事故。实现透明度,最为关键的是保证用户的知情同意权,只有彻底了解,沟通和协调主体间关于IoB技术的信息和真实意思表达,透明度才能真正落实到位。二是如何科学评估一个人的情感、思想和偏好。这一度量是由国家统一进行制定,还是由各个技术公司和平台自行决定。这里应结合大脑信息的“生物特征数据”这一本质入手,认识到生物特征数据的复杂性。调查的范围包括个体隐藏的动机或欲望;个体提供信息的准确性;个体精神状态的稳定性;测试的环境和时间。由于生物特征数据是个体身份识别的唯一关联证据,也是个体终极隐私的体现。若度量尺度不一,容易出现个体的大脑信息解读误差甚至谬误。因此,临床评估、个体干预、治疗建议和病例档案的“四步流程”兼顾了生理学和心理学两方面,能够较为客观地刻画个体的情感、思想和偏好。
总之,“具体的人”意味着在脑隐私监管中,必须始终把人放在首要地位,充分保障“人”在IoB应用中各个“场景”下的自主性和能动性,既要舍弃以往研究中的模糊界定和口号式呼吁,也要看到社会生活中人性的“恶”(放纵和欲望),如对虚拟现实和超能力的沉迷,从而搭建一个血肉真实的“人”,并在这个基础上切实保护“人”的尊严和人格。当一个大龄青年满足于虚拟世界的亲密关系;一对失独父母温故上传在元宇宙的已故子女的脑记忆;一个昏迷患者依靠大脑植入设备表达“真实意愿”享受自己的人身和财产权利;或者一个关键证人通过BCI装置发言质证沉冤昭雪,一个失语症或脑损伤当事人也可凭借BCI装置参加诉讼维护自己合法利益,法律的温情与理性,公平和正义才能真正得到体现。
现有研究虽注意到BCI装置对大脑信息的采集、管理和使用,但未深入探究大脑信息的匿名化后的法律立场。由于大脑信息属于个人私隐,是敏感信息。目前,关于这类敏感信息的处理,一般是要“脱敏”处理成匿名信息。而匿名信息目前尚未纳入个人信息的保护范畴。虽然欧盟通用数据保护条例(以下简称“GDPR”)对个人数据采取了广义界定,即“自然人的身体、生理或行为特征相关的特定技术处理产生的个人数据,以允许或确认该自然人的唯一身份”,但遗憾的是由于“敏感数据”的个人生物特征数据恰恰需要匿名处理,因此也无法适用GDPR加以保护。美国2009年经济和临床健康信息技术法案(以下简称“HITECH”)和1996年联邦健康保险可携带性和问责法(以下简称“HIPAA”)主要保护个人的健康信息。但是,HIPAA和HITECH的适用范围有限,只包括医疗机构、医疗保健提供者、医疗保健信息中心等。2019年2月,美国食品和药物管理局(以下简称“FDA”)发布了一份关于瘫痪和截肢患者植入BCI装置的行业指南草案。尽管该指南表明FDA关注不断发展的神经接口技术,但该指南的适用范围依然很窄,因为它只涉及医学研究环境中使用的特定侵入性神经接口,而不包括非医学应用。另外,由于数据隐私监管不在FDA的职权范围内,FDA并不关注BCI装置可能从患者身上收集的大脑信息的数据隐私问题。加州消费者隐私法案(以下简称“CCPA”)已于2020年1月1日生效。不过CCPA与GDPR一样,匿名信息不在其个人信息范围内。
在我国民法典颁布之前,个人信息保护呈现碎片化状态,散见于网络安全法、消费者权益保护法和电子商务法中,但都未具体界定个人信息概念。民法典第1034条对个人信息也作了较为广泛的定义,包括“生物识别信息”。但是,遗憾的是第1034条排除了匿名信息,而个人信息保护法第4条延续了民法典第1034条的思路,即匿名信息不属于个人信息。
如此,中外关于个人信息保护范围均排除了匿名信息保护。那么,就要考虑大脑信息的未来规制路径。大脑信息如果“脱敏”处理成为匿名信息,则不属于民法典和个人信息保护法的调整范围。如前说述,大脑信息如同指纹和虹膜一般,具有独一无二的“脑印”,即便匿名处理,依旧可以通过AI技术复原进而识别个人身份。如果一概认定匿名信息不适用于民法典和个人信息保护法,则大大轻视了技术的力量。如果不做“脱敏”处理,那么对大脑信息的使用是否就触犯了隐私权。本文认为,基于行为模式和价值理念,未“脱敏”的大脑信息不适用隐私权保护。这是由于:两者行为模式不一致。隐私保护需要符合“合理隐私期待”的条件,即隐私权主体需要积极主动地作为表示,将某种信息或状态纳入到隐私保护的范围中,才具有隐私保护的合法性基础。但是,IoB技术特性以及个体与信息处理者的不平等地位,未经授权获取大脑信息的情况难以避免,脑隐私的侵犯早已变得悄无声息,个体根本无法准确知晓。另外,隐私权的客体被认为是一种物理隐私,一般认为,没有物理性地遮蔽就不认为存在隐私期待。脑隐私由个体在事前就将其纳入到隐私范围中,显然不契合实际。因此,IoB应用中的大脑信息已经不具备物理遮蔽的可能性,也就缺少了适用隐私权规制的法理基础。在运行模式上,IoB延续了以往互联网宏观架构的构成,并通过“账户-算法-数据”的微观结构对个体发挥作用。这说明其行为模式与现有的互联网与用户之间的关系具有某种相似性,IoB如欲达到技术目的,也同样需要制造商通过计算机处理海量数据,这种相互关系与个人信息保护法信息个体与信息处理者的关系基本一致。从这个角度看,用个人信息相关法律规制大脑信息更具现实意义。
另外,隐私权与大脑信息保护存在价值冲突。隐私权是一项对世的基本权利,并且属于具体人格权,人格利益具有高度的人身依附性,无论如何也不能被商业化利用。但是在IoB背景下,大脑信息是科研机构改进技术水平增进人类福祉的基本资料,例如BCI设备上也需要海量脑信号支撑用以提升服务质量。从另一个视角看,IoB技术的大规模适用后,引发的是大批量个体与信息处理者之间的矛盾,主要作用于群体层面。这种情况下严重腐蚀了隐私权保护的基本范式。换言之“小隐私权”的保护模式对于个体之间的隐私问题可以发挥应有的作用。但是,在新技术背景下无法预防侵权行为以及难以发挥惩戒效用。而个人信息保护凭借本身对互联网平台信息处理的经验,明显更适合于IoB技术下的大脑信息保护。由此可见,“脱敏”处理的大脑信息借助技术力量有可能复原,因此必须考虑此种情况下所谓“匿名”的大脑信息应与不“匿名”大脑信息一视同仁。目前,不“脱敏”处理的大脑信息(非匿名)则可适用个人信息保护法调整。
结语
在IoB应用背景下,脑隐私法律概念的建构是技术、个体和制度互相作用下的标识性概念。为准确理解脑隐私,必须保持技术理性,反对技术恐惧症;必须重视主观“人性”,反对人体工具化。维护以自由和平等为核心的尊严个人是构建“脑”与“机”监管体制的基础,同时认清“匿名信息”的可复原性将扩展国内外关于个人信息保护的范围。当然,这一概念有待后续研究进一步完善,方向大致为:一是辨析脑隐私与其他近似概念的差异,总结其本质。包括与一般隐私的区分,总结各自特征、表现和交叉点。与数据隐私的差别,特别是数据属性与大脑信息人格属性的博弈。二是探索技术人性尺度上的不同基准与不同实质性的创新治理模式和法律规定之间的因果关系。准确刻画IoB技术发展不同阶段人性的表现,规划法律应对之策。三是深挖大脑信息的生物特征数据属性,联合法学、社会学、管理学、生理学和心理学,建构多学科多知识体系的脑隐私保护制度。尤其要分析现有法律概念与IoB、大脑信息、BCI装置和PBM等之间的对应和容纳关系。
往期精彩回顾
上海市法学会官网
http://www.sls.org.cn