От битов к мыслям: классификация нейроданных в контексте защиты информации

В условиях стремительного развития нейротехнологий и создания интерфейсов «мозг-компьютер» (BrainComputer Interfaces, BCI) возникают новые вызовы, связанные с регулированием общественных отношений. Интерфейсы «мозг-компьютер» устанавливают прямую связь между мозгом человека и внешними устройствами, обладают значительным потенциалом для применения в медицине, образовании и промышленности. Однако их использование влечет ряд потенциальных рисков, например, нарушение конфиденциальности нейронных данных (далее — нейроданные), контроля над сознанием и поведением человека[13; 14].

Анализ нейроданных позволяет получить информацию о предпочтениях человека намного точнее, чем анализ других персональных данных[2]. Вследствие этого данные приобретают особую ценность для третьих лиц.

В настоящее время большинство законов о защите данных не регулируют отношения по обработке нейроданных. Хотя такие данные могут содержать информацию, например, специальные категории данных — о здоровье человека, биометрические данные [9]. Но их использование, например, в развлекательных или образовательных целях, часто не соответствует требованиям о защите персональных данных.

Складывается ситуация, когда, с одной стороны, специальные категории персональных данных закон запрещает обрабатывать, а случаи изъятия из этого правила не охватывают такие категории персональных данных, как нейроданные.

С другой стороны, закон определяет, что биометрические персональные данные могут обрабатываться в целях установления личности субъекта персональных данных и только при наличии согласия в письменной форме субъекта персональных данных. Однако нейроданные могут быть и биометрическими персональными данными без цели установления личности человека и в то же самое время обладать особыми признаками, отличающими их от биометрических персональных данных.

В статье сформулирована гипотеза, что применение нейроинтерфейсов в отсутствие правового регули- рования делает согласие на обработку персональных данных формальным, а не информированным. Поскольку, во-первых, нейроинтерфейсы собирают в момент сеанса разнообразные нейроданные, которые могут быть как биометрическими персональными данными, так и отнесенными к специальной категории. Во-вторых, в этих технологиях реализованы сложные алгоритмы обработки сигналов мозга. В результате чего субъект персональных данных не способен осознанно оценить цель и объем получаемых нейроинтерфейсом нейроданных.

Правовые методы защиты прав человека не успевают адаптироваться к специфике функционирования нейроинтерфейсов, что приводит к юридическим последствиям — отсутствию четких критериев порядка получения целевого и информированного согласия при обработке нейроданных, отражающих внутренние психические процессы, протекающие в мозге человека. Причем в научной литературе до настоящего времени ведутся дискуссии о том, к какой категории персональных данных можно отнести нейроданные. От ответа на этот вопрос зависит выбор методов обеспечения безопасности субъектов персональных данных и средств защиты данных.

Нейроданные как «цифровой профиль личности человека»

Возможность проведения анализа нейроданных в целях получения информации о содержании сознания, включая эмоции, намерения и скрытые реакции человека, актуализирует вопрос о природе этих данных и требованиях к их защите. Причем дискуссия не сводится к определению принадлежности нейроданных к какой-то определенной категории персональных данных, а затрагивает более фундаментальный аспект — являются ли они самой сущностью личности [6]?

В соответствии с понятием персональных данных, определенным в ч. 1 ст. 3 ФЗ «О персональных данных»1 (далее — ФЗ «О ПД»), информацию, зафиксированную в электроэнцефалографии (далее — ЭЭГ), МРТ-снимках, паттернах активности мозга, можно отне- сти к персональным данным. В соответствии с данной статьей персональные данные — «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу».

Таким образом, если человека можно определить на основании полученных нейроданных, то эти данные, безусловно, относятся к персональным данным. Но нейроданные являются уникальными данными, поскольку они одновременно включают в себя разные категории персональных данных. Это и биометрические, и специальные категории персональных данных. Например, уже созданы технологии биометрической аутентификации на основе данных ЭЭГ[3]. Подтверждена возможность определения предпочтений человека, например, в случае выбора товара с точностью до 82 %; было предсказано поведение покупателя на основе анализа нейронных данных [2]. Во время пассивного просмотра товаров активизируется определенная область головного мозга, на основании этих нейроданных можно предсказать, какой товар человек выберет позже, даже если во время сканирования он не делал никакого выбора [4]. Существует значительное количество научных исследований, подтверждающих высокую вероятность прогнозирования поведенческих реакций человека на основе анализа нейронных данных. Но существуют и иные исследования. Например, по словам А. Каплан 2, на сегодняшний день исследователи могут автоматически распознавать по ЭЭГ3 лишь некоторые намерения человека или мысленно представляемые им образы. Таких намерений и образов не более десятка. Обычно это состояния, связанные с расслаблением или умственным напряжением, а также с представлением движений частей тела. Но точность их распознавания находится в зоне погрешности 4.

Таким образом, опуская дискуссию о точности определения намерений человека, приведенные выше исследования подтверждают то, что нейроданные могут быть признаны любой категорией персональных данных. Однако в контексте обеспечения их защиты ключевым аспектом является определение их категории, поскольку от этого зависит перечень требований, предъявляемых к их обработке.

Например, в соответствии со статьями 10 и 11 ФЗ «О ПД» устанавливаются отдельные требования к обработке специальных категорий персональных данных и биометрических персональных данных. В соответствии с частью 1 статьи 11 ФЗ «О ПД» в случае обработки биометрических персональных данных, которые используются оператором для установления личности субъекта персональных данных, необходимо получение письменного согласия субъекта данных. Подчеркнем, что в данной статье акцентировано внимание на двух ключевых аспектах: категории персональных данных — биометрических данных, и цели их обработки, заключающейся в идентификации субъекта таких данных. Таким образом, поскольку нейроданные могут быть биометрическими персональными данными, то в соответствии с частью 1 статьи 11 при обработке нейроданных в целях установления личности субъекта этих данных должно быть получено согласие.

В этом случае закономерен вопрос: должно ли быть оформлено согласие, если эти цели будут иметь иной характер? Мы считаем, что в этой ситуации применима статья 10 ФЗ «О ПД», регулирующая обработку специальных категорий персональных данных 5, для которых действует общее правило — запрет на их обработку. Однако предусмотрены и исключения из этого запрета. Так, в соответствии с частью 4 статьи 10 обработка специальной категории персональных данных допускается, если «осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну». Но и для этого случая законом выделяются ключевые аспекты обработки специальной категории персональных данных: это медицинские цели и специальный субъект — медик, на которого возлагается обязанность сохранить врачебную тайну.

Но уже сейчас такие нейроинтерфейсы, как нейронаушники, собирают нейроданные, не являясь при этом ни медицинскими технологиями, ни средством для идентификации человека.

Таким образом, анализ норм, регулирующих обработку вышеуказанных категорий персональных данных, выявляет определенные пробелы в правовом регулировании обработки нейроданных. Которые особенно ярко заметны на примере использования игровых нейроинтерфейсов, например, виртуальной реальности (VR) и устройств для медитации. При использовании таких технологий происходит сбор данных под предлогом «технической телеметрии», что позволяет избежать выполнения требований, предусмотренных ст. ст. 10 и 11 ФЗ «О персональных данных».

Кроме того, также необходимо отметить, что такой инструмент обеспечения защиты прав и свобод личности при обработке нейроданных, как получение согласия субъекта, не может считаться эффективным по причине невозможности предварительного определения объема и характера нейроданных, которые будут получены в процессе использования нейроинтерфейсов. Поскольку нейроинтерфейс получает доступ к данным о реакциях человека до того, как он осознает их.

Последствиями такой особенности обработки данных является утрата значимости концепции конфиденциальности данных.

В дополнение к вышесказанному, нейроданные обладают еще одним уникальным свойством. Человек не может усилием воли заставить себя не думать, чтобы остановить мозговую активность, например, как в случае, когда он хочет промолчать.

В таком случае закономерен вопрос: если данные собираются о процессах, которые человек не контролирует, можно ли считать, что он дал целевое и осознанное согласие на их обработку, как это происходит с персональными данными? Такая уникальность нейроданных подрывает также концепцию «информированного согласия», на которой строится все современное право о защите персональных данных.

Причем нейроинтерфейсы непрерывно собирают данные и могут использоваться для целей, не предусмотренных первоначальным согласием. В связи с чем учеными предлагается в качестве решения применение «динамического согласия», которое позволит субъектам данных постоянно контролировать, обновлять и отзывать свое согласие[5].

С нашей точки зрения, динамическое согласие не принесет желаемого результата, поскольку, как уже было сказано, человек может просто и не знать, что его нейроданные уже собираются нейроинтерфейсами, которые он использует.

Несмотря на сложности в оформлении согласия на обработку персональных данных, некоторые государства уже разработали законодательство в области нейроданных, хотя на данный момент их немного. Например, в мае 2024 г. в закон штата Колорадо внесены изменения о конфиденциальности информации (Colorado Privacy Act, CPA) 6, расширившие его положения и признавшие нейроданные как особо защищаемую информацию. В этом законе подчеркнуто, что сбор нейроданных изначально предполагает частично недобровольное раскрытие информации даже при наличии согласия на применение нейротехнологий. Поскольку человек не способен контролировать объем собираемых данных.

В июле 2025 г. в Чили был вынесен на обсуждение законопроект Boletín N° 13.828–19. На декабрь того же года он все еще находился на стадии рассмотрения. В нем нейроданные приравнены к особо защищаемой категории, аналогичной органам человека, с запретом на их продажу, отчуждение или коммерциализацию даже с согласия владельца. Подчеркнута их неотчуждаемость и требование о регистрации нейротехнологий в Институте общественного здоровья. В законопроекте Boletín N° 13.828-19 отмечено, что массовое использование нейротехнологий только начинается. Поэтому он предлагает регулировать их, пока они не стали широко распространены 7.

Хотя законопроект Boletín N° 13.828-19 подвергается критике. Например, разразилась дискуссия. Так, одни утверждают, что нет доказательств возможности удаленного изменения когнитивных процессов. Другие заявляют, что патенты и действующие технологии доказывают обратное 8.

Некоторые считают, что законопроект не требуется, так как законы о данных уже действуют. Однако нейроданные — это не просто биометрия. Они включают как осознанную, так и неосознанную активность мозга, что не регулируется существующими законами о защите информации. Отсутствие правового регулирования не означает, что такие данные не используются, а лишь указывает на недостаточную юридическую проработку вопроса 9.

Причем еще в 2022 г. компания, занимающаяся разработкой технологий нейровизуализации с использованием данных ЭЭГ для создания системы биометрической аутентификации, столкнулась с масштабной утечкой информации. Нарушение затронуло почти 5 000 нейроданных человек, включая когнитивные и эмоциональные характеристики человека[3]. Утечка таких данных в дальнейшем могла позволить провести идентификацию человека на основе анализа этих данных и оказать психологическое давление на него.

Проблему небрежного подхода со стороны компаний, производящих BCI, к обеспечению безопасности нейроданных демонстрирует исследование, проведенное Neuro Rights Foundation в 2024 г. Этим исследованием подтверждается, что 29 из 30 таких компаний закладывают в условия обработки нейроданных ограниченные требования 10. При этом в пользовательских соглашениях определяется право производителя передавать нейроданные третьим лицам. В связи с этой ситуацией группа американских сенаторов в 2025 г. направила запрос в Федеральную торговую комиссию с просьбой инициировать расследование в отношении практики обработки данных пользователей, осуществляемой компаниями, специализирующимися на нейротехнологиях.

В целях обеспечения безопасности нейроданных в 2025 г. ЮНЕСКО приняла глобальный стандарт по этике нейротехнологий, который вводит понятие «нейроданные» как особой категории персональных данных и устанавливает для них высший уровень защиты. В числе основных положений документа предусматривается запрет на коммерческое использование нейроданных без предварительного и явно выраженного согласия субъекта данных. Также вводятся ограничения на хранение и передачу нейроданных. Субъектам персональных данных предоставляется право на полное liber-tech.org/boletin-13-828-19 (дата обращения: 25.11.2025).

удаление их нейроданных по соответствующему запросу. Особый статус устанавливается для обработки нейроданных детей и лиц, признанных недееспособными. Стандарт вступил в силу 12 ноября 2025 г. и определяет ключевые гарантии, чтобы нейротехнологии помогали тем, кто в них больше всего нуждается, без ущерба для прав человека 11.

Отличие нейроданных от персональных данных

В конце 2024 г. в уголовное законодательство Российской Федерации введена ст. 272.1 УК РФ, которая признает высокую степень общественной опасности за такими деяниями, как «незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения».

В данной статье использован такой термин, как «компьютерная информация», содержащая персональные данные. Считаем, что под такой компьютерной информацией [8] могут рассматриваться и нейроданные, поскольку их фиксация происходит сугубо в цифровой среде [10; 11; 13]. Кроме того, с нашей точки зрения, нейроданные, будучи формально отнесенными к биометрическим персональным данным или специальным персональным данным, обладают особой уникальностью, отличающей их от других персональных данных.

Например, в случае компрометации нейроданных они не подлежат восстановлению, в отличие от данных, хранящихся на цифровых носителях.

В отличие от биометрических данных и специальных категорий персональных данных, нейроданные не только позволяют идентифицировать человека, но и предоставляют доступ к пониманию когнитивных структур человеческого разума, содержат информацию о психических состояниях, предрасположенностях к болезням, личностных характеристиках, что делает их чувствительнее даже генетических данных 12.

Данные о работе человеческого мозга настолько уникальны генетическими, биологическими факторами, что могут раскрывать информацию, неизвестную самому индивиду или находящуюся вне его контро-ля13. Например, авторы в своем исследовании доказывают, что функциональная активность головного мозга каждого человека уникальна и надежна, как отпечатки пальцев [1]. Они пишут, что профиль функциональной связи мозга позволяет идентифицировать человека с точностью 92–95 % среди группы людей. Различные части коннектома 14 мозга содержат специфические сигнатуры, оптимальные для идентификации на разных временных шкалах.

Используя этот метод идентификации, уже сейчас разрабатываются алгоритмы, позволяющие по нейроданным провести биометрическую идентификацию человека на основе «электронной сигнатуры мозга», использующей нейросенсоры в наушниках15.

Таким образом, нейроданные должны рассматриваться как особая категория персональных данных, не похожая ни на одну, и включающая сразу все категории персональных данных, в том числе и как компьютерная информация, содержащая персональные данные.

В 2024 г. Европейский надзорный орган по защите данных (European Data Protection Supervisor) признал нейроданные персональными данными, не похожими ни на какие другие, требующими повышенной защиты и специальных мер, обоснованных их уникальной природой и рисками нарушения основных прав личности 16.

Предложения повышенной защиты для нейроданных объяснимы, поскольку их анализ позволяет получить полную информацию о самых скрытых областях жизнедеятельности человека. Хотя для успешной идентификации личности по нейроданным необходимо применение технологий интерпретации и анализа данных [7; 12].

Но, по данным некоторых источников, для обеспечения безопасности нейроданных, как и для других категорий персональных данных, могут быть применены методы анонимизации 17, на которые исследователи возлагают большие надежды в минимизации рисков, связанных с возможностью переидентификации.

Однако, с нашей точки зрения, эти аргументы теряют силу, если учесть, что имеющиеся возможности алгоритмов машинного обучения и технологий анализа и распознавания данных показывают высокий результат в переидентификации.

Поэтому риск потенциального раскрытия личной информации при анализе нейроданных оправдывает их рассмотрение как особой категории персональных данных, требующей максимального уровня защиты, например, посредством применения методов криптографии.

Заключение

На основании проведенного анализа можно сделать следующие выводы. Обеспечение безопасности нейроданных является критически важной задачей настоящего времени.

Нейроданные относятся прямо или косвенно к определенному или определяемому человеку и, в связи с этим, представляют собой персональные данные. Однако традиционный инструмент защиты прав и свобод человека в контексте обработки персональных данных, такой как получение согласия субъекта персональных данных, не может быть признан эффективным в отношении нейроданных. Это обусловлено невозможностью предварительного определения объема и характера данных, которые будут получены при использовании нейроинтерфейсов.

Нейроинтерфейсы получают доступ к данным о реакциях человека до того, как он осознает эти реакции, что влечет за собой утрату значимости концепции конфиденциальности данных. Причем человек не может усилием воли остановить свои мысли или мыслить только с одной определенной целью.

В связи с этим он не может дать осознанного согласия на обработку своих нейроданных, как это происходит с персональными данными. Такая уникальность нейроданных подрывает концепцию «информированного согласия», на которой строится все современное право о защите персональных данных.

Причем перечисленные правовые проблемы происходят на фоне только увеличивающегося интереса к нейроданным. Уже сейчас разрабатываются алгоритмы, позволяющие по нейроданным провести биометрическую идентификацию человека на основе «электронной сигнатуры мозга». В то же время технология анонимизации, которая используется для обеспечения защиты персональных данных, для нейроданных не может эффективно их защитить, поскольку они одновременно могут содержать различные категории персональных данных. Имеющиеся возможности алгоритмов машинного обучения и технологий анализа и распознавания данных показывают высокий результат в деанонимизации. Таким образом, на данный момент времени данные об эмоциях, предпочтениях и когнитивных состояниях формально не защищены.