|
通过意念控制行为,似乎是科幻电影的虚构情节,然而今天却极可能成为现实场景,这背后是近些年高歌猛进的脑机接口技术。脑机接口(brain computer interface,简称“BCI”),是指将人或动物大脑与计算机、外部设备等智能系统相连、并实现大脑和智能系统之间控制与交互功能的技术。脑机接口技术在医疗健康、消费娱乐、智能家居乃至军事等方面拥有广泛应用前景,受到全球各主要国家持续关注。 脑机接口的技术流程主要可分为硬件层与软件层,硬件层主要涉及脑电信号的采集与信号处理,软件层主要涉及脑电信号的算法解析。信号采集方式上,主要包括侵入式与非侵入式两种。顾名思义,侵入式即通过开颅手术将信号采集硬件植入大脑的方式收集信号;非侵入式则无需开颅,仅需佩戴智能设备采集信号。目前通过侵入式采集信号以科研或医疗目的为主,市场经营者更多关注非侵入式脑机接口技术。
目前脑机接口发展突飞猛进,但相应的法律法规和监管尚不成熟,一系列法律问题亟待探讨与解决。本文从科技伦理合规、个人信息保护和数据安全、医疗器械管理这三个方面,探讨脑机接口的若干核心法律问题。 一、科技伦理合规 生物技术、医疗健康等新兴科技近年发展迅速,监管层面也越来越重视由此产生的科技伦理问题,并逐步构建起监管体系。脑机接口涉及人类大脑的研究与利用,与社会伦理关系极为密切,是科技伦理合规的重点关注领域。 2022年4月,中办、国办联合发布《关于加强科技伦理治理的意见》(以下简称《意见》),是目前科技伦理合规领域的纲领文件。《意见》在明确治理原则、健全治理体制、加强制度保障和审查与监管等方面纲挈领地提出了要求,特别是要求提升科技伦理治理法治化水平。 为贯彻落实《意见》,2023年9月7日,科学技术部发布《科技伦理审查办法(试行)》(以下简称“《审查办法》”,2023年12月1日实施)。《审查办法》明确划定应当进行科技伦理审查的活动包括:“(一)涉及以人为研究参与者的科技活动,包括以人为测试、调查、观察等研究活动的对象,以及利用人类生物样本、个人信息数据等的科技活动;(二)涉及实验动物的科技活动;(三)不直接涉及人或实验动物,但可能在生命健康、生态环境、公共秩序、可持续发展等方面带来伦理风险挑战的科技活动;(四)依据法律、行政法规和国家有关规定需进行科技伦理审查的其他科技活动。”《审查办法》认定“高等学校、科研机构、医疗卫生机构、企业等是科技伦理审查管理的责任主体。从事生命科学、医学、人工智能等科技活动的单位,研究内容涉及科技伦理敏感领域的,应设立科技伦理(审查)委员会。其他有伦理审查需求的单位可根据实际情况设立科技伦理(审查)委员会。” 《审查办法》未进一步明确何为“科技伦理敏感领域”,但是第二十五条、二十六条规定建立伦理高风险科技活动的清单制度,对可能产生较大伦理风险挑战的新兴科技活动实施清单管理。针对清单范围内的科技活动,应通过科技伦理(审查)委员会的初步审查后,由本单位报请所在地方或相关行业主管部门组织开展专家复核。而目前纳入清单中的科技活动,就包括“侵入式脑机接口用于神经、精神类疾病治疗的临床研究”这一明确属于脑机接口领域的科技活动以及“对人类主观行为、心理情绪和生命健康等具有较强影响的人机融合系统的研发”这类与脑机接口应用领域具有强关联关系的活动。 按照《审查办法》要求,脑机接口从业主体,极有可能被认定为从事“科技伦理敏感领域”,不仅需设立科技伦理(审查)委员会开展科技伦理审查评估工作,甚至有可能需要展开专家复核。脑机接口领域相关从业主体应持续关注科技伦理层面的合规要求,并布局预防性措施,以免产生合规风险。 二、个人信息保护与数据安全 脑机接口具备采集、分析各种仅存储在大脑内部信息的能力,使承载于脑电信号的部分个人信息暴露在外,如果处置不当,极可能侵犯个人隐私。
脑机接口领域个人信息保护与数据安全合规要求之高低,与脑机接口的实际应用场景和技术成熟度密切相关。如在医疗场景中,通过脑机接口设备采集并分析的相应数据、诊断信息与结论等可能构成医疗健康数据,构成《个人信息保护法》所规定的“敏感个人数据”,经营者应当依法采取更为有效的保护措施,避免侵犯个人隐私。即便是非医疗场景,随着技术的发展,脑机接口设备所采集的数据和基于原始数据分析出的有关个人行为、健康乃至思想、信仰等方面的信息的颗粒度会越发细腻,更有可能构成“敏感个人信息”,从而对信息处理者课以更高的合规义务。 经营者也需要关注算法层面的合规义务要求。如上文所述,脑机接口涉及脑电信号的算法解析,而算法解析往往属于企业的核心竞争力。企业为了训练算法,提升算法准确度,需要输入大量信息训练,其中就可能包括受到法律保护的个人信息。企业如果使用个人信息训练算法,应当事先取得个人同意,并要进行必要的不可复原的匿名化处理。实践中,算法训练数据也存在来源自第三方的情况。企业使用自第三方而来的数据进行算法训练时,应当确保上述第三方已取得个人的必要同意或授权,并采取符合法律要求的保护措施。 此外,脑机接口作为新兴科技领域,跨国合作频繁,企业也应当注意数据出境的合规要求,按照《个人信息保护法》的规定,开展安全评估,进行个人信息保护认证,并按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。 除了脑机接口经营者自身应当避免出现侵犯个人信息的情形,相关经营者亦应当采取合理、必要措施,保护采集的原始数据和基于原始数据分析而成的数据的安全,避免数据泄漏或其他暴露风险,尤其是需要建立健全全流程数据安全管理制度,组织开展数据安全教育培训,并采取相应的技术措施和其他必要措施,保障数据安全。 三、医疗器械管理 根据《医疗器械监督管理条例》,我国对医疗器械按照风险程度分类管理,自风险从低到高分为一类、二类和三类。国家药监局发布的《医疗器械分类规则》和《医疗器械分类目录》对医疗器械分类提供指导意见。
目前,脑机接口产品尚未列明在《医疗器械分类目录》中。考虑到脑机接口这一新型技术产品与医疗器械天然存在交叉关系,相关产品是否会纳入医疗器械监管体系,需要进一步澄清探讨,以厘清开发脑机接口产品的责任边界。 首先需要探讨脑机接口产品是否属于医疗器械这一核心问题。经检索中国食品药品检定研究院在2020-2022年对部分涉及脑机接口领域器械的检定申请结果[i],目前可见,满足以下其中一项条件:(1)属于侵入式设备;(2)预期用途为运动康复、抑郁症等治疗设备,即需申请医疗器械注册,且属于第三类医疗器械。 对于不属于上述两类情况的脑机接口产品,尤其是将非侵入式脑机接口作为对接商业场景落地方案的智能硬件设备,是否需要开展医疗器械备案或注册,存在更大争议。 国家食品药品监督管理总局发布的《移动医疗器械注册技术审查指导原则》(以下简称“《指导原则》”)能够给出一些原则性建议。《指导原则》认为,一般情况下,预期用于健康管理的、目标人群为健康人群的、记录统计健康信息的移动计算设备或软件不具有医疗目的,不属于移动医疗器械;而预期用于疾病管理的、目标人群为医护人员和患者的、控制驱动医疗器械的、处理分析监测医疗数据/图像的移动计算设备或软件具有医疗目的,属于移动医疗器械。此外,目前相对比较成熟的智能手表设备的医疗器械监管要求可以作为参考。从公开渠道检索可见,苹果、华为和oppo公司部分智能手表承载的心电检测有关软件及部分硬件,均注册二类医疗器械。[ii] 脑机接口领域的经营者可以参考上述《指导原则》的意见和要求实践,结合自身产品功能,评估是否属于移动医疗器械。非侵入式脑机接口设备在构成医疗器械的情况下,较大可能按第二类医疗器械管理。实践中可以考虑参照智能手表的注册情况,单独将软件注册为医疗器械。 四、结语 目前,脑机接口方兴未艾,仍处于初步发展阶段。新兴产业的良性发展,离不开法律规范。脑机接口领域的法律问题将随着产业的进步不断涌现,对于该领域法律问题的认识与探讨,亦将伴随产业进步不断深入。 作者简介  |
|
|
