AI“读心”时代,脑电波数据归属权之争

当AI“读心”你的思想

脑电波数据该归谁？

当AI“读心”你的思想，脑电波数据该归谁？

我前两天做了一个梦。梦见有人在我脑袋上贴了几块电极片，然后在一个屏幕上把我正在想的东西全部打出来了。醒来之后出了一身冷汗。然后我意识到——这不是梦。这已经在发生了。

2023年5月，得克萨斯大学奥斯汀分校的一个团队在《自然·神经科学》上发了篇论文。他们搞了一个语义解码器，能通过fMRI扫描人的大脑活动，把人正在听的故事、甚至只是在脑子里默默想的内容，翻译成文字。不是逐字翻译，是语义层面的——你脑子里想的是“我今天不想上班”，它可能输出的是“我感到疲惫，不想工作”。意思对，措辞不一定一样。但你的想法被读出来了。

先别慌，让我把现状说清楚。得州大学那个解码器，需要人在fMRI机器里躺好几个小时，而且需要先采集大量这个人的脑数据来训练模型。你不可能随便拉一个人过来就“读心”。所以现在离“街上有人拿个设备对着你脑袋就能读你的想法”还差十万八千里。

但技术进步的速度比我们想的快。Meta的AI团队用MEG——脑磁图——做了类似的事，从大脑活动中解码人正在看的图像。日本京都大学的一个团队用AI从fMRI数据中重建了人正在看或者正在想象的画面。不是模糊的轮廓，是能认出是什么东西的图像。

这些研究都有一个共同特点：需要大型设备、需要被试配合、需要大量训练数据。但消费级的脑电产品已经在卖了。Emotiv的EEG头环几百美元一个，BrainLink的头环更便宜。它们采集的脑电信号精度远不如fMRI，但胜在便宜、便携。有些学校甚至试过让学生戴EEG头环来监测上课注意力——这事2019年就在中国引发了争议，后来被叫停了。

所以现状是这样的：实验室里的“读心”技术已经能工作了，但离日常使用还很远；消费级的脑电设备已经在卖了，但精度很低。两条线在往中间靠。什么时候会合？我不知道。但我觉得可能比大多数人预期的要快。

聊脑电波数据就不能不聊Neuralink。马斯克搞的那个。2024年1月，他们给第一个人类受试者植入了脑机接口芯片。一个叫Noland的瘫痪患者，植入之后能用意念控制电脑光标，下国际象棋，玩马里奥赛车。Neuralink自己说这是“心灵感应”——Telepathy，产品就叫这个名字。

技术上是了不起的。但有一个问题：Noland脑子里产生的那些数据，归谁？

Neuralink的隐私政策写得跟所有科技公司的隐私政策一样——又长又模糊。它说会保护用户数据，但也说可能会为了“改进产品”和“研究目的”使用数据。什么算“改进产品”？什么算“研究目的”？没说清楚。更关键的是，Neuralink是马斯克私人公司，不受上市公司那种信息披露要求的约束。你连它收集了什么数据、数据存在哪、谁有权限访问，都无从得知。

一个神经科学家说过：“以前我们担心的是谁在看我们的搜索记录，以后我们担心的是谁在看我们的思想。”搜索记录好歹是你主动输入的，思想不是。你甚至不知道自己在想什么的时候，脑电波已经在那了。

这是核心问题。很多人觉得脑电波数据不就是另一种个人数据嘛，跟浏览记录、位置数据差不多。不一样。差很远。

第一，你无法不产生它。你可以选择不上网、不用手机，但你没法选择不产生脑电波。只要你还活着，你的大脑就在活动，就有数据可以被采集。这意味着“知情同意”这个框架在脑电波数据面前特别脆弱——你可以同意戴头环，但你没法同意“只采集这些不采集那些”，因为脑电波是整体性的，你没法只让采集注意力信号不让采集情绪信号。

第二，脑电波数据可能包含你自己都不知道的信息。你的搜索记录你至少知道搜了什么，你的脑电波里可能藏着你自己都没意识到的偏好、恐惧、创伤。得州大学那个解码器的负责人Huth说过一句话：“大脑不像嘴巴，它不会撒谎。”这恰恰是最可怕的地方——你可以选择不说，但你没法选择不想。而你的想法可以被读出来。

第三，脑电波数据跟身份的关系比任何其他数据都更紧密。你的购物记录换了账号就不是你了，但你的脑电波模式是跟你这个人绑定的。它是一种“生物特征”，而且比指纹、虹膜更深层——指纹泄露了最多知道你是谁，脑电波泄露了知道你在想什么。

所以脑电波数据不是“另一种个人数据”。它是一种全新的、更敏感的、现有法律框架根本没准备好应对的数据类型。

说实话，法律基本缺席。

欧盟GDPR把生物特征数据列为“特殊类别”，需要额外保护。但脑电波数据算不算生物特征数据？目前没有明确的法律解释。GDPR定义的生物特征数据是“用于识别自然人身份”的数据，脑电波数据的主要用途不是识别身份，而是读取心理状态。所以它可能落在GDPR的保护范围之外——至少在字面上。

中国的情况更模糊。《个人信息保护法》提到了“敏感个人信息”，包括生物识别、宗教信仰、医疗健康等，但没提脑电波或神经数据。脑机接口行业目前基本靠自律。

有一个国家走在了前面：智利。2021年，智利修改了宪法，成为全球第一个把“神经权利”写入宪法的国家。它规定了大脑活动和从中衍生的信息需要特别保护。2023年智利最高法院还做了一个裁决，涉及Emotiv头环收集的脑数据。但斯坦福大学2026年4月的一篇分析指出，即使是智利的法律，对“推断性心理数据”——就是从脑电波中推断出来的心理状态——仍然处于灰色地带。你保护了原始脑电波数据，但从脑电波中推断出来的“这个人正在焦虑”“这个人对某产品有好感”，算不算被保护的对象？法律没说清楚。

2025年11月，UNESCO通过了全球第一个神经技术伦理标准——《神经技术伦理建议书》。它提到了心理隐私和脑数据保密，但建议书没有法律约束力。就是说说而已。当然，“说说而已”也是起点，但离真正的法律保护还差很远。

说到脑数据权利，必须提一个人：杜克大学的法学家妮塔·法拉哈尼。她2023年出了本书叫《为你的大脑而战》（The Battle for Your Brain），系统论述了“认知自由”（cognitive liberty）的概念。

法拉哈尼说的认知自由包含三层：心理隐私的权利——你的脑数据不该被随意采集和使用；认知自由的权利——你有权决定是否使用脑增强技术，别人不能强迫你用；认知完整的权利——你的心理身份不该被技术手段篡改。

这个框架很有用。但我也觉得它太“干净”了。现实世界不是这样的。比如“心理隐私的权利”——你的雇主能不能要求你戴EEG头环来监测工作状态？如果这是“自愿”的，但你不戴就影响绩效评估，算不算强迫？再比如“认知自由的权利”——如果脑增强技术让一部分人变得特别聪明，其他人为了不落后也不得不用，这算不算“自愿”？

这些不是假设性的问题。有些已经在发生了。2019年中国那个让学生戴注意力监测头环的事，学校说是“自愿”的，但家长和学生真的有选择吗？美国有些仓库工人已经戴上了监测生理指标的设备，说是“安全措施”，但数据拿去做什么了？

我研究经济管理，所以我会从商业逻辑的角度想问题。最让我担心的不是政府监控——那是另一个话题——是商业化。

想象一个场景。十年后，EEG头环变成了跟智能手表一样普及的东西。你戴着一个头环，它能监测你的注意力、情绪、压力水平。这些数据被上传到云端。然后呢？

保险公司可能对你的脑数据很感兴趣。如果你的脑电波显示你长期处于高压状态，他们可以提高你的保费。广告商也会感兴趣。如果你对某个广告产生了积极情绪反应——哪怕你自己没意识到——他们就知道这个广告对你有效。雇主更感兴趣。你的脑电波显示你下午三点注意力下降，HR可能会“建议”你调整工作节奏。

你可能会说：我不会戴这种东西。但想想智能手机。十年前很多人也说“我不需要智能手机”，现在呢？当脑电监测变成某种“标配”——比如你的健康保险打折的前提是佩戴脑电设备——你还有选择吗？

这就是“自愿的非自愿”。名义上你选择了戴，实际上你没有不戴的自由。因为不戴的代价太大——更高的保费、更差的就业机会、更少的社会便利。这跟“自愿”加班是一个逻辑。

脑电波数据到底该归谁？有三种可能的归属模式。

第一种：归个人。这是最直觉的答案——我的脑电波当然归我。但“归我”意味着什么？意味着我拥有原始数据，还是也拥有从中推断出来的信息？如果一家公司通过分析我的脑电波发现了一种新的情绪识别算法，这个算法的知识产权归谁？归我还是归公司？数据是我产生的，但价值是公司创造的。这事没那么简单。

第二种：归数据采集方。就是谁采集归谁。这是目前事实上的规则——Neuralink采集的数据归Neuralink，Emotiv采集的归Emotiv。用户协议里写得很清楚，你同意使用就等于同意数据归公司。但这显然不合理。你的脑电波不是你“提供”给公司的，是公司从你身上“采集”的。这两者有本质区别。你提供搜索关键词是主动行为，你的脑电波被采集是被动行为。

第三种：某种中间模式。数据归个人所有，但采集方在特定条件下有使用权。类似于“数据信托”——你把数据交给一个独立的第三方托管，采集方需要通过第三方获得使用授权，而且必须说明用途、期限和范围。我觉得这是最合理的方向，但操作起来很复杂。谁来当第三方？政府？行业协会？新设一个机构？都不好办。

中国在这件事上有自己的特殊性。好的方面是，脑机接口已经被列入国家战略，政策支持力度大。坏的方面是，个人数据保护的法律框架还不完善，而且“集体利益”经常被用来压过个人权利。

举个例子。如果某家中国公司开发了一种通过脑电波检测疲劳驾驶的技术，装在卡车上能减少交通事故。这当然是好事。但收集的脑电波数据归谁？卡车司机有没有权利说“我不想被监测”？如果他说不想，公司能不能以“安全理由”强制监测？这些问题的答案目前都是模糊的。

还有教育领域。前面说的注意力监测头环被叫停了，但技术还在。换了个名字、换个场景可能就又回来了。比如“认知训练”“专注力提升”——听起来比“注意力监测”温和多了，但采集的数据是一样的。中国的家长对教育技术特别买账，这意味着脑电监测在教育领域的商业化阻力可能比其他国家小。这是好事还是坏事？取决于你怎么看。

更担心的是数据跨境问题。中国公司采集的脑电波数据，如果存储在境内，受中国法律管辖。但如果跟国外研究机构合作呢？脑电波数据算不算“人类遗传资源”？目前科技部对人类遗传资源出境有严格管制，但脑电波数据是否属于这个范畴，没有明确说法。这事需要尽快明确。

第一，别等技术成熟了再立法。现在脑电监测的精度还很低，很多人觉得“离我很远”。但法律制定需要时间，等技术成熟了再立法就来不及了。GDPR在2016年通过的时候，很多人也觉得“过度监管”，现在回头看，它是欧盟数字治理最重要的基础设施。脑数据保护需要类似的“提前量”。

第二，脑电波数据应该被单独分类，不能简单套用“个人数据”或“生物特征数据”的框架。它比这两者都更敏感，需要更严格的保护标准。采集需要明确的、具体的知情同意——不是那种几十页的用户协议里夹带一句，是单独的、可撤销的授权。使用范围必须限定，不能“一揽子授权”。

第三，“推断性心理数据”需要被纳入保护范围。只保护原始脑电波数据是不够的，因为真正有价值、也真正危险的是从脑电波中推断出来的心理状态。你的注意力分数、你的情绪标签、你的偏好画像——这些“二手数据”同样需要保护。智利法律的灰色地带就在这里，我们不能重蹈覆辙。

第四，禁止强制脑电监测。不管是雇主、学校还是保险公司，都不能以“自愿”的名义变相强制。这需要具体的法律条文，不能只靠原则性规定。什么叫“变相强制”？不戴就扣钱、不戴就不录取、不戴就涨保费——这些都算。

第五，建立脑数据的独立审计机制。采集脑数据的公司必须定期接受独立第三方的审计，检查数据使用是否符合授权范围。这不是什么新鲜事，金融行业早就有类似的制度。脑数据比金融数据更敏感，没理由不审计。

如果有一天，学生们都戴着一个EEG头环来上课，作为老师有没有权利知道他的注意力数据？想了很久，我的答案是：没有。哪怕这数据能帮我改进教学。因为一旦开了这个口子，就收不回来了。今天你允许老师看注意力数据，明天企业就可以要求员工提供情绪数据，后天保险公司就可以要求投保人提供压力数据。滑坡效应是真实的。

法拉哈尼说得对：“认知自由是一切其他自由的基础。”如果连想什么都不能自主，其他权利都是空话。这不是夸张。当你的脑电波可以被采集、分析、商品化的时候，“思想自由”就不再只是一个政治概念，而是一个技术问题。

我们需要在技术跑完全程之前，先把规则立起来。否则等AI真的能“读心”了，你的思想就不再只属于你自己了。

这不是科幻。这是正在发生的事。

推荐阅读

[1] Tang et al. (2023). Semantic reconstruction of continuous language from non-invasive brain recordings. Nature Neuroscience, 26, 858–866.

[2] Farahany, N.A. (2023). The Battle for Your Brain: Defending the Right to Think Freely in the Age of Neurotechnology. St. Martin's Press.

[3] Neuralink (2025). A Year of Telepathy. neuralink.com/updates.

[4] UNESCO (2025). Recommendation on the Ethics of Neurotechnology. UNESCO General Conference 43rd Session.

[5] Stanford Law School (2026). Even Chile's Neurorights Leave Inferred Mental Data in a Gray Zone. law.stanford.edu.

[6] Yuste et al. (2021). Four ethical priorities for neurotechnologies and AI. Nature, 551(7679), 159–163.

[7] Ienca, M. & Andorno, R. (2017). Towards new human rights in the age of neuroscience and neurotechnology. Life Sciences, Society and Policy, 13(1), 5.

[8] Chile Constitution Amendment (2021). Article 19, protecting brain activity and derived information.

[9] Meta AI (2023). Toward a Real-Time Decoding of Images from Brain Activity. ai.meta.com/blog.

[10] Takagi & Nishimoto (2023). High-resolution image reconstruction with latent diffusion models from human brain activity. CVPR 2023.

[11] 中国科学院大学 (2022). 消费级脑电图产品的伦理问题及其应对策略. 自然辩证法通讯.

[12] Frontiers in Psychology (2024). Chilean Supreme Court ruling on the protection of brain activity. 10.3389/fpsyg.2024.1330439.

[13] Nature (2024). Elon Musk's Neuralink brain chip: what scientists think. doi:10.1038/d41586-024-00304-4.

[14] NIH (2023). Brain decoder turns a person's brain activity into words. NIH Research Matters.