—·
Seiring hadirnya BCI invasif di pasar, celah tata kelola privasi data saraf dan pengawasan medis kini mendesak untuk segera ditutup oleh para regulator.
Tiongkok telah memberikan persetujuan pemasaran untuk sistem brain-computer interface (BCI) invasif melalui otoritas pengawas perangkat medis nasional mereka, NMPA. Laporan media menyebutkan bahwa pengembang perangkat ini adalah Borui Kang Medical Technology, yang dikaitkan dengan lini produk Neuracle. (Yahoo)
Pergeseran ini bukan sekadar berita utama, melainkan isu tata kelola yang mendalam. BCI invasif bukanlah sekadar demonstrasi laboratorium. Begitu jalur komersialisasi terbuka, pertanyaan utamanya bergeser dari “apakah kita bisa mengukur aktivitas saraf dengan aman?” menjadi “bagaimana data akan dihasilkan, dibagikan, diamankan, dan diatur di seluruh rantai pasok yang kini melibatkan penyedia layanan, klinik, platform aplikasi, hingga investor?”
BCI invasif melibatkan tiga kategori data dengan risiko dan tanggung jawab yang berbeda: sinyal saraf mentah, fitur turunan, dan intensi saraf. Memperlakukan ketiganya sebagai satu jenis “data otak” adalah kekeliruan kebijakan yang fatal.
Brain-computer interface menerjemahkan aktivitas saraf menjadi keluaran komputer. Proses ini menghasilkan tiga kategori data yang memiliki risiko privasi dan medis yang berbeda.
Pertama, sinyal saraf mentah: rekaman elektrik yang ditangkap dari elektroda yang tertanam di atau pada jaringan saraf. Kedua, fitur turunan: representasi yang diproses dan diekstraksi dari sinyal mentah untuk mengidentifikasi pola tindakan atau kondisi tertentu. Ketiga, intensi saraf: interpretasi sistem yang menghubungkan pola tersebut menjadi perintah kontrol atau klasifikasi.
Pembedaan ini krusial karena “privasi data saraf” bukan sekadar slogan. Regulator harus mewajibkan pengembang untuk menyatakan secara lugas kategori mana yang mereka simpan, transmisikan, dan gunakan untuk pembelajaran lebih lanjut. Sinyal mentah sering dianggap lebih sensitif karena berada paling dekat dengan fisiologi dasar. Fitur turunan masih memungkinkan rekonstruksi, sementara intensi yang diinterpretasikan dapat menjadi informasi yang dapat ditindaklanjuti secara langsung oleh pihak ketiga, meskipun terasa lebih “abstrak” daripada fisiologi itu sendiri.
Panduan kesehatan digital AS menawarkan lensa tata kelola yang relevan dengan realitas ini. Pendekatan FDA terhadap konten kesehatan digital menekankan pengawasan berbasis risiko dan kejelasan fungsi perangkat lunak yang memengaruhi hasil klinis. (FDA Digital Health Center of Excellence, guidances-digital-health-content) Jika sistem BCI invasif menggunakan perangkat lunak untuk menafsirkan sinyal menjadi intensi, lapisan interpretatif tersebut harus diperlakukan sebagai bagian dari profil risiko produk medis, bukan sekadar aksesori tambahan.
Oleh karena itu, regulator dan tim pengadaan harus menuntut “transparansi kategori data” sebagai syarat penggunaan dan penggantian biaya (reimbursement). Satu kotak centang berlabel “data saraf” tidaklah cukup ketika produk menghasilkan berbagai jenis data dengan tingkat risiko penyalahgunaan yang berbeda.
Pemantau saraf non-invasif mengukur sinyal terkait otak tanpa elektroda implan, biasanya menggunakan sensor eksternal. Sistem invasif menggunakan elektroda implan yang memperbaiki kualitas sinyal sekaligus memperbaiki beban tata kelola: beban klinis lebih tinggi, hubungan jangka panjang yang lebih ketat antara pasien dan perangkat, serta risiko lebih besar bahwa telemetri atau analitik cloud akan bertahan melampaui tindakan klinis awal.
Visi ilmiah NIH Brain Initiative menyoroti bahwa bidang ini masih dalam tahap memetakan hubungan antara sel, sirkuit, dan fungsi. Hal ini menetapkan lintasan jangka panjang dari mekanisme dasar menuju perawatan medis. (NIH BRAIN Initiative, Brain 2025 scientific vision) Hal ini harus meredam ekspektasi kebijakan. Saat regulator melihat komersialisasi yang lebih cepat, mereka harus menahan diri agar tidak membiarkan komersialisasi mendahului persyaratan bukti klinis, terutama bagi sistem yang menyimpulkan intensi dari sinyal fisiologis.
Terkait pengawasan perangkat medis, FDA telah menerbitkan materi panduan mengenai konten kesehatan digital untuk memperjelas ruang lingkup regulasi. (FDA Digital Health Center of Excellence, guidances-digital-health-content) Kebijakan harus memastikan perangkat lunak interpretasi BCI invasif tidak lolos dari pengawasan perangkat medis hanya karena sinyalnya bersifat “biologis” dan bukan data klinis tradisional.
Regulator Uni Eropa dan AS harus menyelaraskan pengawasan perangkat klinis dengan ekspektasi tata kelola data di seluruh kategori, baik invasif maupun non-invasif. Meskipun perangkat invasif diawasi secara medis, perlindungan datanya tidak boleh menjadi lebih lemah hanya karena perangkat kerasnya lebih kompleks.
Persetujuan untuk teknologi saraf seringkali menjadi sekadar formalitas prosedural. Pasien mungkin menandatangani otorisasi untuk penggunaan klinis, sementara siklus hidup data perangkat dibentuk belakangan oleh keputusan teknis: apa yang dilabeli, apa yang disimpan, model mana yang dilatih ulang, dan sistem vendor mana yang menerima representasi mentah atau turunan.
Kegagalan persetujuan dalam BCI invasif biasanya berkumpul pada empat titik yang harus diuji secara eksplisit terhadap alur kerja produk yang sebenarnya:
Penggunaan sekunder yang “opsional secara teknis namun standar secara operasional.” Pengembang mungkin membingkai analitik sebagai “peningkatan kualitas” atau “validasi model,” namun batas antara evaluasi dan pelatihan sangatlah penting. Jika telemetri mencakup sinyal mentah atau fitur turunan yang kemudian memperbaiki klasifikator, dokumen persetujuan harus membedakan “hanya untuk evaluasi” dengan “pelatihan untuk penerapan di masa depan.”
Penarikan persetujuan yang tidak dapat diekspresikan dalam istilah pembelajaran mesin. Pasien mungkin menarik diri untuk pemrosesan di masa depan, namun model mungkin sudah diperbarui dengan data yang disimpan, atau fitur mungkin sudah tertanam dalam repositori sisi vendor. Regulator harus mewajibkan pengembang untuk merinci efek penarikan secara operasional: data mana yang dihapus, mana yang dianonimkan, apakah artefak model yang diarsipkan akan dilatih ulang, dan bagian mana dari pipeline yang merupakan “penghapusan permanen” dibandingkan “penggunaan non-fungsional.”
Periode retensi yang terlepas dari kebutuhan klinis. Dalam banyak sistem kesehatan, retensi hasil pencitraan dan laboratorium dibatasi oleh utilitas klinis dan kebijakan rekam medis. Retensi data saraf berbeda karena terikat langsung pada kinerja dan personalisasi model di masa depan. Persetujuan harus mengidentifikasi durasi retensi default berdasarkan jenis data dan mengungkapkan apakah retensi berbeda berdasarkan tujuan (rekam medis vs riset vs pemeliharaan model vendor).
Akses pihak ketiga yang tidak dikomunikasikan sebagai akses. Pasien mungkin menyetujui “pemrosesan oleh pihak berwenang” tanpa memahami sistem mana yang dapat melihat, mengekspor, atau mengidentifikasi ulang sinyal. Pengembang harus mengungkapkan kategori penerima (misalnya, penyedia layanan cloud, vendor pemantauan jarak jauh, mitra analitik) dan apakah akses tersebut dapat dibaca manusia, terprogram, atau terbatas pada vektor fitur terenkripsi.
Ketika persetujuan dan tata kelola lemah, konsekuensinya dapat diprediksi: data menjadi berharga untuk peningkatan model, dan peningkatan model menjadi godaan operasional bagi pengembang, mitra, dan investor.
Regulator AS dan Uni Eropa harus mewajibkan “persetujuan yang menyertai data”—bukan hanya sebagai dokumen, tetapi sebagai batasan yang dapat ditegakkan oleh mesin (machine-enforceable).
BCI adalah perangkat medis sekaligus sistem data, sehingga keamanan siber tidak boleh opsional. Namun, banyak persyaratan keamanan TI kesehatan berfokus pada perlindungan data saat transit dan penyimpanan, bukan pada pencegahan penyalahgunaan melalui pipeline pelatihan, pembaruan model, akses vendor, atau serangan replay terhadap keluaran inferensi.
BCI invasif memperbaiki permukaan risiko karena ekosistem perangkat dapat mencakup antarmuka klinisi, aplikasi pasien, jaringan layanan yang digunakan produsen, dan backend analitik. Jika sinyal saraf mentah atau fitur turunan ditransmisikan, kegagalan keamanan siber dapat menjadi kegagalan privasi bahkan ketika perangkat masih berfungsi secara klinis.
Kelemahan tata kelola yang berulang adalah “kontrol keamanan” dijelaskan secara tingkat tinggi—enkripsi, kontrol akses, audit—bukan dikaitkan dengan mode kegagalan spesifik yang penting bagi data saraf. Untuk BCI invasif, regulator harus mewajibkan model ancaman dan bukti keamanan yang memetakan setidaknya tiga skenario:
Kantor Akuntabilitas Pemerintah AS (GAO) memberikan perspektif tentang pengawasan digital dan manajemen risiko untuk sistem kompleks, menyoroti bagaimana pengawasan dapat tertinggal dari perubahan teknologi yang cepat. (GAO) Untuk BCI, keamanan siber berbasis siklus hidup harus mencakup jadwal penambalan (patching), proses pengungkapan kerentanan, kontrol akses untuk dukungan vendor, dan audit yang memverifikasi siapa yang mengakses kategori data saraf tertentu dan kapan.
Regulator harus melangkah lebih jauh dengan mewajibkan pengembang untuk menyerahkan dan memperbarui komponen kasus keamanan spesifik BCI untuk setiap pembaruan perangkat lunak yang memengaruhi pergerakan data atau perilaku model.
Kebutuhan kebijakan jangka pendek bukanlah memperdebatkan apakah data saraf itu “istimewa.” Kebutuhan utamanya adalah menerjemahkan premis tersebut menjadi persyaratan yang dapat ditegakkan yang terikat pada regulasi perangkat medis dan tata kelola data kesehatan.
Pertama, FDA harus mengklarifikasi bagaimana komponen perangkat lunak BCI invasif yang menyimpulkan intensi diklasifikasikan dan dievaluasi. Kedua, badan pengawas AS harus mengoperasionalkan semangat kerangka kerja MIND Act dengan mewajibkan kondisi “spesifik data saraf” yang lebih kuat dalam otorisasi pemasaran perangkat dan pengawasan pascapasar. Ketiga, CMS dan pembayar, termasuk komite pengadaan rumah sakit, dapat menetapkan insentif. Jika cakupan biaya memerlukan dokumentasi praktik penanganan data saraf, pasar akan menyesuaikan diri dengan kepatuhan.
FDA dan pembayar di AS harus mewajibkan pengungkapan kategori data saraf, cakupan persetujuan, dan kontrol siklus hidup keamanan siber sebagai syarat untuk adopsi klinis yang aman dan penggantian biaya berkelanjutan dalam waktu 24 bulan.
Eropa memiliki kerangka regulasi perangkat medis yang matang, namun BCI invasif menciptakan gesekan: privasi data saraf mungkin tidak sinkron dengan siklus hidup perangkat medis, terutama di mana interpretasi perangkat lunak dan analitik data berada di batas antara regulasi perangkat dan hukum perlindungan data.
Otoritas perangkat medis Uni Eropa harus mewajibkan “rencana tata kelola data saraf pascapasar” untuk BCI invasif, termasuk pembatasan pelatihan ulang model dan akses vendor eksternal.
Teknologi BCI dan data saraf terkait dapat tunduk pada kontrol ekspor karena potensi penggunaan gandanya (dual-use). Biro Industri dan Keamanan AS (BIS) telah menerbitkan dokumen mengenai kontrol ekspor BCI, yang menandakan bahwa pemerintah sudah memandang beberapa kemampuan BCI sebagai sesuatu yang strategis dan sensitif. (BIS)
Regulator harus menyelaraskan kepatuhan kontrol ekspor dengan kewajiban privasi data saraf, agar perangkat tetap patuh sementara jalur akses datanya memenuhi ekspektasi privasi dan keamanan.
Norma pengawasan riset dapat menjadi proksi untuk pengembangan produk yang lebih aman ketika komersialisasi bergerak cepat. Risikonya adalah persetujuan pasar memangkas lini masa pengembangan tanpa memangkas tata kelola pada laju yang sama. Kebijakan harus bertindak di tempat yang paling penting: mewajibkan standar bukti dan rencana tata kelola data yang proporsional dengan kekuatan interpretatif model saraf.
Regulator AS harus menyelaraskan pengawasan BCI invasif dengan ekspektasi pengembangan terstruktur yang sudah ada dalam jalur yang dipandu NIH, memperkecil kesenjangan antara keamanan riset dan keamanan penerapan pasar.
Investor biasanya mengevaluasi risiko teknologi melalui bukti klinis dan kelayakan teknis. Tata kelola data saraf menambahkan dimensi ketiga: risiko litigasi, risiko penggantian biaya, dan risiko “izin untuk beroperasi” di seluruh rumah sakit, pemroses data, dan mitra lintas batas.
Investor dan dewan direksi harus mewajibkan “paket uji tuntas tata kelola data saraf” sebelum membiayai komersialisasi BCI invasif, termasuk penanganan kategori data, cakupan persetujuan, durasi retensi, kontrol akses vendor, dan kebijakan pembaruan pascapasar.
Peningkatan kognitif adalah bagian dari konvergensi yang lebih luas antara ilmu saraf dan teknik, namun kebijakan harus memperlakukannya secara berbeda dari penggunaan medis. Klaim peningkatan kognitif bisa bersifat spekulatif, dan ambang batas bukti untuk pengguna sehat mungkin tidak sama dengan ambang batas untuk manfaat klinis dan mitigasi risiko pada pasien.
Otoritas perangkat medis AS dan Uni Eropa harus mewajibkan bukti risiko dan persetujuan “per indikasi,” serta memblokir perluasan label ke penggunaan yang berdekatan dengan peningkatan kognitif sampai data saraf dan bukti manfaat-risiko divalidasi ulang untuk tujuan tersebut.
Tonggak sejarah NMPA Tiongkok mempercepat lini masa global untuk produk pasar BCI invasif. Dalam 24 bulan ke depan sejak April 2026, regulator harus beralih dari prinsip-prinsip luas ke persyaratan siap-audit yang dapat diperiksa selama otorisasi awal dan evolusi perangkat lunak pascapasar. Pergeseran ini harus berlabuh pada tiga perubahan operasional:
Uji tindakan yang paling nyata bagi pembuat kebijakan sangat sederhana: jika suatu sistem dapat menyimpulkan intensi, sistem tersebut juga harus membuktikan bahwa kategori data saraf dilindungi melalui seluruh siklus hidupnya—generasi, penyimpanan, transmisi, akses, retensi, dan setiap pembaruan model yang dapat menyebarkan informasi yang telah dipelajari.