Czy potrzebujemy nowych praw chroniących „neuroprywatność”?

W zeszłym tygodniu (17 kwietnia 2024 r.), Kolorado uznało fale mózgowe konsumentów (“dane neuronalne”) za „wrażliwe dane osobowe” podlegające ustawie o prywatności Kolorado (CPA).

Nie od dziś wiadomo, że mamy możliwość zbadania ludzkich fal mózgowych i powzięcia na podstawie tych badań informacji o obiekcie je emitującym. Neuroprywatność lub „prywatność mózgu” to pojęcie, które odnosi się do praw przysługujących ludziom w zakresie obrazowania, ekstrakcji i analizy danych neuronowych z ich mózgów. Dotyczy ona w szczególności wykorzystania danych neuronowych w sprawach prawnych, neuromarketingu, inwigilacji itp., a także odpowiadających im implikacji społecznych i etycznych.

Już w 2016 r. do publicznej wiadomości trafiła informacja o CEREBRE (Cognitive Event RElated Biometric REcognition) – technologii opracowanej przez amerykańskich naukowców, pozwalającej na identyfikację osób bazując jedynie na zapisie fal mózgowych (które mają właściwości podobne do odcisku palca).

Poza możliwością identyfikacji danej osoby, neurotechnologia może być źródłem wielu innych informacji np. o tym kiedy i jak dobrze śpimy, czy jesteśmy pobudzeni, zdenerwowani czy zaniepokojeni itp. O ile jej rozwój w kontekście medycznym (np. prognoz na leczenie osób z zaburzeniami takimi jak epilepsja) nie budzi wątpliwości, o tyle wychwytywanie informacji jedynie dla celów komercyjnych może budzić niepokój.

Pojęcie “neuroprywatności” lub „prywatności mózgu” zaczęło kształtować się na początku lat 2000 nych i (zgodnie z Wikipedią) odnosi się do praw przysługujących ludziom w zakresie obrazowania, ekstrakcji i analizy danych neuronowych z ich mózgów. Koncepcja ta jest silnie związana z dziedzinami takimi jak neuroetyka, neurobezpieczeństwo i neuroprawo, i staje się coraz bardziej istotna wraz z rozwojem i postępem różnych technologii neuroobrazowania. Neuroprywatność jest aspektem neuroetyki dotyczącym w szczególności wykorzystania informacji neuronowych w sprawach prawnych, neuromarketingu, inwigilacji i innych celach zewnętrznych, a także odpowiadających im implikacji społecznych i etycznych.

Podlegające ochronie “dane neuronalne” są definiowane w ustawie Kolorado jako „informacje generowane przez pomiar aktywności centralnego lub obwodowego układu nerwowego” – to znaczy mózgu, rdzenia kręgowego i wszystkich nerwów – „które mogą być przetwarzane przez urządzenie lub przy jego pomocy”. Podkreślenia wymaga, że, że w/w urządzenia nie obejmują inwazyjnych narzędzi (np. implantów produkowanych przez Neuralink), które podlegają ochronie federalnej. Odnoszą się raczej do urządzeń konsumenckich, nieinwazyjnych, łatwo dostępnych na rynkach internetowych – takich jak opaski na nadgarstki, czy zestawy słuchawkowe do gier – które zbierają dane neuronalne.

Przy okazji ograniczeń wprowadzanych przez kraj uważany za centrum kapitalizmu, wspomnieć należy o pionierskiej regulacji Chile (z 2021 roku), które stało się pierwszym krajem, uwzględniającym „neurorights” w swojej konstytucji w celu „ochrony integralności i nietykalności psychicznej mózgu przed postępami i możliwościami rozwijanymi przez neurotechnologie”.

To właśnie w Chile 9 sierpnia 2023 r. Sąd Najwyższy wydał przełomowe orzeczenie w sprawie, która stanowi pierwszy na świecie przypadek dotyczący ochrony danych neuronalnych. Sprawa dotyczyła danych zbieranych przez amerykańską firmie Emotiv Inc, która zajmowała się projektowaniem i produkcją przenośnych produktów elektroencefalograficznych, wraz z neuro-słuchawkami, zestawami do tworzenia oprogramowania, oprogramowaniem i aplikacjami mobilnymi. Skarżącym był Guido Girardi Lavín który nabył wyprodukowane przez Emotiv urządzenie o nazwie „Insight”, które zbierało informacje o aktywności elektrycznej mózgu, uzyskując dane o gestach, ruchach, preferencjach, czasach reakcji i aktywności poznawczej użytkownika. Lavin zaakceptował warunki użytkowania oprogramowania, niezbędnego do korzystania z urządzenia, ale ponieważ nie posiadał płatnego konta „PRO”, nie miał możliwości eksportowania ani importowania żadnych danych dotyczących jego aktywności mózgowej, która nformacje zbierane przez Insight były jedynie przechowywane w chmurze Emotiv.

Emotiv Inc. bronili się podnosząc, między innym, że wszystkim użytkownikom przed rozpoczęciem jego używania ich produktu przedstawiane są szczegółowe warunki korzystania i wszyscy oni (w tym Lavin) udzielili wyraźnej zgody na przetwarzanie danych.

Twierdzili też, że postępują zgodnie z prawem chilijskim, jak i europejskimi przepisami RODO, stosując anonimizację w celu ochrony danych użytkowników. Dane osobowe miały być przez nich przechowywane tylko wtedy, gdy było to konieczne, a użytkownicy mogli w dowolnym momencie cofnąć zgodę na ich przetwarzanie. Firma podkreśla, że ich dane badawcze są w pełni anonimizowane i traktowane jako dane statystyczne, zgodnie z prawem chilijskim.

Sąd Najwyższy w Chile nie dał się przekonać i nakazał firmie Emotiv, usunięcie danych Guido Girardi Lavín z bazy danych spółki. Nakazał on również przeprowadzenie dalszego dochodzenia w sprawie neurotechnologicznego urządzenia Emotiv.

Wobec przyspieszającego postępu technologicznego i udziału AI w procesach przetwarzania danych, kwestie neuroprywatności i neuroetyki powinny jak najszybciej przedostać się do świadomości publicznej. Nie jestem zwolenniczką drobiazgowych regulacji prawnych, lecz uważam, że podstawowe zagadnienia związane z wykorzystaniem naszych danych osobowych powinny stać się częścią powszechnej edukacji.