脑机伦理 | 当脑机接口学会“读心术”，如何守住大脑隐私？

脑机伦理 | 当脑机接口学会“读心术”，如何守住大脑隐私？图1

脑机伦理 | 当脑机接口学会“读心术”，如何守住大脑隐私？图2

试想未来某天，脑机接口不仅能帮助人类控制机械臂、恢复交流、完成康复训练、视觉重建，还能从脑信号里推测身份、情绪、健康状态、认知负荷，甚至长期描绘一个人的行为和心理画像——那它究竟是在帮助人类，还是让大脑变得逐渐“透明”？

2026年5月，来自信息工程大学的孙磊教授团队在 arXiv 发布了一篇关于脑机接口隐私保护的综述论文，这篇论文试图回答一个越来越迫切的问题：当脑机接口从实验室走向临床、边缘设备和消费级场景，用户的隐私安全有保障吗？

研究团队给出的答案很明确：不够。

他们指出，脑机接口隐私风险已不再局限于原始神经信号外泄，而是扩展为一条贯穿采集、传输、存储、训练、推理、反馈和持续交互全过程的风险链路。神经数据、模型参数、解码输出和长期交互记录，都可能被重新关联到具体个体，甚至被用来推断身份、疾病、情绪、认知状态、偏好和意图等任务之外的深层信息。

脑机接口真正敏感的，不止于神经数据本身

过去谈及脑机接口隐私，人们很容易把问题简化成“防止神经数据泄露”。但研究团队认为，这种说法已经无法覆盖今天以及未来应用的风险现实。

按照 ISO/IEC 8663:2025 的定义，脑机接口是中枢神经系统活动与外部软硬件系统之间的直接通信链路。也就是说，它并非一般的可穿戴设备或普通的人机交互，而是直接读取大脑神经活动，并将其转化为控制、反馈或刺激信号。

图1 BCI一般范式与神经信号解码链路

这也导致了脑机接口隐私相较于一般隐私的特殊性。

普通个人数据往往来自个人的行为记录，比如点击、购买、位置、浏览历史。而神经数据来自人的脑结构、神经反应习惯、生理状态和长期认知模式。即使去掉姓名、设备编号等显性标识，攻击者仍可能通过身份重识别、跨会话关联等方式，把数据重新指向具体个体。

更重要的是，神经数据并不只说明“你做了什么”，它还可能暴露“你是谁？”、“你处于什么状态？”、“你可能想做什么？”。这正是论文试图强调的第一件事：脑机接口隐私保护的核心，不是简单把数据隐藏起来，而是防止系统在既定任务之外读出更多不该读出的信息。

从数据到模型再到画像，风险贯穿整条链路

如果说第一层问题是“神经数据为什么敏感”，那么下一层问题就是：这些任务外信息究竟会从哪里泄露出来？研究团队的回答是，风险并不只存在于原始脑信号，而是贯穿脑机接口系统的整条链路。

一个典型的脑机接口系统，通常从神经活动开始：传感器采集原始信号，处理单元进行预处理和特征提取，神经解码器或机器学习模型完成训练与推理，最后输出控制指令、反馈结果，并在长期使用中形成日志、模板和用户画像。

在这条链路中，风险会不断变形。一开始，风险可能是原始脑信号被未经授权访问；进入处理阶段后，风险可能变成中间特征、嵌入向量或模板被重新识别；进入模型阶段后，风险又可能藏进参数、梯度、决策边界和推理接口；到了持续交互阶段，风险还可能从解码结果、控制命令、行为轨迹沉淀成长期画像，进一步触及心理隐私和精神伦理边界。

这也说明，模型并不是一个“处理完就高枕无忧”的黑箱。它可能记住数据，也可能泄露数据。模型参数、梯度、嵌入空间、决策边界和推理接口，都可能编码训练个体的神经特征、疾病模式或情绪状态。一旦模型被窃取、滥用或被反复查询，用户数据隐私也可能被反向威胁。

因此，论文将脑机接口的隐私风险承载物概括为四类：原始采集信号、中间数据表示、模型资产、输出与长期衍生物。他们进一步指出，脑机接口隐私泄露至少存在五条路径：暴露、关联、推断、重建和反演。也就是说，攻击者不一定非要窃取原始脑电数据，才算造成隐私泄露。只要能够从以上任意阶段，采用任意手段，造成不同程度的隐私泄露损失，风险就已经发生了。

但问题还不止于“哪里会泄露”。更关键的是，系统究竟泄露了什么，以及这些信息是否本来就属于当前任务所必需。

从“隐藏数据”到“抑制越界推断”

这篇论文最值得关注的地方之一，是它把脑机接口隐私保护的目标从“隐藏数据”推进到了“任务外信息解耦”。所谓任务外信息，就是系统完成当前任务并不需要，却可能从神经数据或模型中被额外推断出来的信息。

例如，一个运动想象脑机接口系统，本来只需要判断用户是否想移动光标，却可能同时包含身份特征、疲劳程度或健康状态。一个情绪识别系统，本来只需要识别情绪类别，却可能进一步泄露认知负荷、心理状态甚至疾病风险。一个长期康复训练系统，本来只为改善运动功能服务，却可能在持续交互中沉淀出用户的神经行为画像。

研究团队指出，脑机接口隐私保护的核心不是把数据一藏了之，而是在保障系统完成下游任务的同时，尽可能保留任务相关信息并抑制任务外信息。换句话说，系统该读出“用户想控制设备”，不该顺便读出“用户是谁、是否焦虑、是否存在某种疾病风险”。

这也是脑机接口隐私保护与一般数据脱敏最大的不同：它不是简单删除几个字段，而是要在神经表征和模型学习过程中，主动限制越界推断能力。

隐私保护三维分析框架

为了让分散的隐私保护研究能够被放在同一个坐标系中比较，研究团队提出了一个“保护对象—生命周期阶段—主导保护强度等级”的三维分析框架。

图2 BCI隐私保护核心分析框架

注：整合风险链路、生命周期阶段与保护强度分级，明确用户数据隐私与模型隐私的关联关系

第一维，是保护对象。主要包括用户数据隐私和模型隐私。

第二维，是生命周期阶段。覆盖采集、传输、存储、模型训练、推理和持续交互等环节。

第三维，是保护强度等级。研究团队将现有方法划分为四个等级，从基础暴露控制到密码学强保护，形成一个可比较的保护强度谱系。

这个框架的意义在于，它不再把各种方法简单并列成“技术清单”，而是回答三个更关键的问题：保护的到底是什么？风险发生在哪个阶段？保护强度究竟到什么程度？

对于脑机接口这样横跨神经科学、机器学习、临床应用和伦理治理的系统，这种框架化梳理尤其重要。

四级保护强度：从“上锁”到“完全不可见”

论文提出的保护强度分级，可以理解为脑机接口隐私保护的四道防线。

图4四级保护强度

第一级，是基础暴露控制。
这类方法包括访问控制、去标识化、模板替换和日志审计。它们像是给数据加锁，能够降低直接泄露概率，但很难应对复杂的推断、重建和反演攻击。

第二级，是工程隔离与流程约束。
这一类方法包括联邦学习、边缘计算、安全聚合、可信执行环境等。它们的核心思路是通过工程手段，减少数据在系统链路中的可见范围，让原始数据尽量留在本地，使降低单个用户更新的暴露风险。

第三级，是统计扰动与受限可证明保护。
差分隐私及其变体、扰动训练、受控输出等方法可以限制单个样本对模型结果的影响，从而降低成员推断、属性推断和部分反演风险。然而，神经信号具有高维、低信噪比、非平稳性的特点，对噪声极为敏感。如何在隐私保护与可用性之间取得平衡，仍是亟待解决的挑战。

第四级，是密码学强保护。
以同态加密、安全多方计算为代表的密态计算方法，能够在数学上严谨证明其实现机密性保护，使得数据在保持明文不可见的前提下，仍可进行计算与流动。这类方法虽具有最高的保护强度，但也最受限于实时性、计算开销、能耗以及端侧部署能力。

研究团队并没有简单宣称“保护越强越好”。他们真正强调的是：不同脑机接口场景需要在隐私强度、任务效用、实时性和部署成本之间做权衡。

心理隐私和精神伦理风险，是下一道边界

除了用户数据隐私和模型隐私，研究团队还把心理隐私和精神伦理风险单独列为开放性讨论。他们认为，随着连续语言解码、语义重建、语音感知解码和低密度 EEG 图像重建等技术的迅速发展，神经数据已经开始逼近传统隐私理论难以覆盖的区域。随着脑机接口产品大规模落地应用，未来的风险可能不只是“数据被别人看到”，而是神经数据滥用、心理画像、认知歧视、群体操控、思想重建和精神自由受损等深度隐私和伦理风险。

这听起来像科幻小说，但论文提醒，安全治理不能等技术完全成熟后才启动。未来的脑机接口隐私保护，需要把最小必要采集、非目标属性抑制、密态处理、源头保护和法律责任边界一并纳入系统设计。尤其是在云端推理、多中心训练和跨机构研究中，密态处理和神经机制约束可能成为长期重要方向。

总结

总体来看，这篇论文的价值不在于提出某一种单点技术，而在于重新系统整理了脑机接口隐私保护的关键问题。

第一，它指出脑机接口隐私风险不是从数据泄露开始、到模型输出结束，而是一条从用户数据延伸到模型资产和长期输出的完整链路。

第二，它重新界定了脑机接口隐私保护的概念边界：不仅要防止未授权访问，还要防止关联、恢复、反演和任务外信息推断。

第三，它提出了“保护对象—生命周期阶段—保护强度等级”的三维分析框架，让不同阶段、不同对象、不同方法可以被统一比较。

第四，它建立了四个保护强度分级，帮助研究者判断某种方法到底只是降低暴露，还是具备统计或密码学意义上的强保护。

第五，它把心理隐私和精神伦理风险放在开放问题中讨论，提醒行业不要只关注短期系统安全，也要关注长期神经数据滥用、群体画像和思想自由的边界。

当脑机接口越来越接近真实落地，隐私保护必须成为脑机接口设计的重要一环，而不能作为临时的“安全插件”。真正需要思考的问题也许不是：脑机接口未来能读出多少？而是：它应该被允许读出多少，又必须替用户守住多少？

论文引用：

Sun L, Mao X, Zhang S, et al. Revisiting Privacy Preservation in Brain-Computer Interfaces: Conceptual Boundaries, Risk Pathways, and a Protection-Strength Grading Framework[J]. arXiv preprint arXiv:2605.11386, 2026.