脑数据隐私法案MindShield在欧盟通过：思维数据被列为最高级别个人信息

当思维不再只是你自己的

欧盟议会今日以467票赞成、89票反对、34票弃权的结果，正式通过脑数据隐私法案MindShield。这是全球首部专门保护脑数据的立法，将脑电波数据、神经信号模式和由此推导的思维模式、情绪状态和认知倾向列为与基因数据同等保护级别的「特殊类别个人信息」。

MindShield的出台背景是脑机接口（BCI）技术的快速普及。从消费级的脑电波耳机到医疗级的神经植入设备，全球已有超过2000万人使用某种形式的BCI设备。这些设备在为用户提供便利的同时，也在持续采集其大脑活动数据——这些数据可能揭示用户的情绪状态、注意力倾向、甚至潜意识偏好。

法案核心条款

MindShield包含以下核心条款：

第一，知情同意权。任何机构采集脑数据前必须获得数据主体的明确、具体、知情的同意。同意必须是可撤销的，且撤销后机构必须在72小时内删除所有已采集的脑数据。

第二，数据最小化原则。脑数据采集必须限于实现特定功能所必需的最小范围。例如，一个用于控制智能家居的脑电波设备不得采集与情绪识别相关的神经信号。

第三，禁止脑数据交易。脑数据不得被出售、交易或用于商业目的（如定向广告、信用评估、保险定价）。违反者面临高达年营收4%的罚款。

第四，神经歧视禁令。雇主、保险公司和教育机构不得要求个人提供脑数据作为录用、承保或录取的条件，也不得基于脑数据做出歧视性决定。

第五，透明度要求。使用脑数据的AI系统必须向用户解释其脑数据被如何使用、产生了什么推断、以及这些推断如何影响系统行为。

行业反应

MindShield在科技行业引发了截然不同的反应。BCI设备制造商Neuralink和Synchron表示支持法案的基本原则，但对某些条款的执行细节提出质疑——例如如何在设备端区分「功能必需」和「非必需」的脑数据。

数字权利组织Access Now称MindShield是「数字时代最重要的隐私立法之一」。该组织的政策总监表示：「当技术能够读取你的思维时，隐私的定义需要被重新书写。MindShield为这一新领域划定了明确的红线。」

广告行业则表达了强烈反对。世界广告主联合会发表声明称，禁止脑数据用于广告定向投放「将阻碍个性化服务的发展，损害消费者体验」。

全球影响

MindShield的影响远超欧盟边界。与此前的GDPR一样，任何向欧盟公民提供BCI产品或服务的公司都必须遵守MindShield——无论其总部位于何处。这意味着全球主要科技公司都需要调整其BCI产品的数据处理流程。

美国和中国目前尚无类似的专门脑数据保护立法。但多位美国参议员已表示将参考MindShield提出美国版本的脑数据保护法案。