试析国际体育赛事中运动员个人数据采集规则的冲突与应对

在当下大数据迅猛发展的背景下，运动员个人数据的财产权属性凸显。国内外体育大数据公司纷纷借助资本开拓其数字体育市场，如于2001年设立的瑞士体育数据公司Sportradar（体育雷达），2019年10月到2020年10月的营收达到4.7亿美元，息税前利润为1亿美元。可以看出，运动员个人数据在体育竞技战术、体育游戏、体育博彩、体育衍生品等方面发挥着经济价值。在巨大商业利益的驱动下，运动员个人数据成为当下体育主管部门、体育组织、体育赛事举办方、体育数据采集方等相关主体争相抢夺的目标。

目前国际上尚未形成通行的数据处理规则，由于各国家/地区技术水平发展的不平衡以及数据保护立法的不一致，国际体育赛事的承办方在处理运动员个人数据的过程中，很有可能会发生数据主权、采集方式及范围、运动员个人利益保护等诸多方面的冲突。因此，国际体育赛事承办方如何在现有国际规则、国内立法及赛事承办合同义务框架下解决和应对这些冲突，是本文尝试分析及解决的主要问题。

需要说明的是，各国家/地区的研究中通常使用不同的法律术语，比如我国台湾地区使用“个人资料”、欧盟及其成员国使用“个人数据”、日韩俄罗斯使用“个人信息”、美国使用“个人可识别信息”、我国大陆地区多使用“个人信息”或“个人数据”。本文并不旨在对上述法律术语进行区分，而是根据上下文语境采用“个人数据”或“个人信息”的概念，但无论是“个人数据”还是“个人信息”都强调“可识别性”。[1]此外，个人信息的处理包括收集、存储、使用、加工、传输、提供、公开等，限于篇幅，本文仅就采集/收集、跨境传输的行为进行分析，其中，采集/收集是指获得对个人数据或个人信息的控制权的行为。

一、从比较法视角考察运动员个人数据采集规则

目前，尚未有针对运动员个人数据采集的专门法律规则，学术讨论和实践操作中普遍将其纳入个人数据处理的范畴。各国家/地区的法律对个人数据处理的规则相继发展，且在价值取向和具体规则等方面各具特色。相关国际组织也通过行业或自治规范，形成了国际规则和指引。

1、以个人权利保护为核心的欧盟《通用数据保护条例》

2018年于欧盟各成员国正式实施的《通用数据保护条例》（GDPR）是目前世界范围内影响最为广泛的个人数据处理规则。根据GDPR第三条的规定，其适用于设立在欧盟境内的数据控制者或处理者在欧盟境内、境外的行为，以及未在欧盟境内设立主体但面向欧盟境内的数据主体提供商品或服务的行为、对欧盟境内的数据主体进行监控的行为。GDPR的管辖范围之广泛，使其不仅影响着与其存在经贸往来的其他国家/地区的立法实践，也实际上决定着国际奥委会和相关主办城市及奥组委在运动员个人信息采集中所需承担的义务和遵行的规则。GDPR 虽非国际强行法，但其在事实上已成为全球性法律。[2]

以个人数据权利保护为核心价值取向，GDPR围绕个人数据保护建立了体系化的全面规范。首先，GDPR明确了个人数据的定义，并从中区分出适用更严苛处理规则的特殊类别（敏感）个人数据。GDPR对个人数据以“直接可识别+间接可识别”的标准进行界定，而特殊类别（敏感）个人数据包括揭示种族或民族出身的数据、政治观点、宗教或哲学信仰、工会成员身份，以及以识别自然人为唯一目的基因、生物特征数据，与自然人的健康、性生活或性取向相关的数据。其次，GDPR以专章明确规定了数据主体的各项权利，赋予了数据主体对其个人数据广泛的控制权，包括知情权、访问权、更正权、删除权（被遗忘权）、限制处理权、可携带权、反对权等数据权利。再次，基于数据主体对其个人数据的控制权，GDPR要求数据的处理的行为必须以具备合法性基础为前提，合法性基础包括数据主体的同意、合同履行、履行法定义务、保护个人重要利益、维护公共利益以及追求正当利益。GDPR强调，数据主体的“同意”必须是自愿的、具体的、知情的、清晰的，且其撤回与作出应当同等便利。此外，GDPR规定了个人数据处理中应遵循的合法、公正、透明、数据最小化、目的限定、存储限制、完整性和保密性等原则。最后，GDPR以专章规范了进行个人数据跨境传输所必须满足的条件，例如接收主体通过欧盟进行的保护水平充分性认定、数据控制者或处理者提供适当安全保障、适用“豁免”例外情形。

2、注重保障经济社会利益的美国个人数据保护立法

不同于欧盟将个人数据权利作为基本人权予以保护，美国对个人数据的法律保护以隐私权为基础和目的，并且仅将数据隐私权视为公民的普通权利，需让位于宪法保护的言论自由，购买、出售和交易公民的个人数据已正常化。[3]

美国在1974年通过《隐私法案》（Privacy Act），对联邦部会以上的政府机构处理个人信息的行为以及信息主体的相关权利做出规定，明确了公平信息实践原则，包括知情同意机制、访问修改权利、必要性限制、民事救济等内容。

美国以分散式的立法对特定行业和特殊信息的处理进行规制，在联邦层面，目前有《金融服务现代化法》（Gramm-Leach -Bliley Act）《家庭教育权利与隐私法》（Family Educational Rights and Privacy Act）《健康保险可携带性和责任法案》（Health Insurance Portability and Accountability Act）《儿童在线隐私保护法》（Children' s Online Privacy Protection Act）以及《视频隐私保护法》（Video Privacy Protection Act）等，涵盖用户财务信息、医疗健康信息、电子信息的收集和使用，在线隐私保护，个人信息披露，数据控制者和处理者的义务等领域。[4]

根据美国国会研究服务局于2019年发布的《数据保护法概况》（Data Protection Law：An Overview）和《数据保护与隐私法律简介》（Data Protection and Privacy Law：An Introduction），区别于GDPR采取的规范性立法方式，美国政府现阶段建议采取结果导向性（outcome-based approach）的立法方式制定“联邦统一个人数据保护法”，即以所要实现的数据保护结果作为立法目标，[5]在联邦层面不对个人数据权利、利用限制、监管规则等内容作具体规定，而只提供一个立法目标，并匹配问责权力。[6]而各州层面也已经开始出台对于隐私和个人信息保护的专门立法，例如加州为保护其居民制定的《消费者隐私法》（The California Consumer Privacy Act）。

在个人数据跨境传输方面，美国鼓励数据的跨境流动，通过签署双边及多边文件保障个人数据跨境传输的有序进行，包括其与欧盟之间达成的“欧美隐私盾协议”（后被欧盟法院判决无效）、亚太经合组织的“隐私框架”等。在国内立法层面，于2018年生效的《澄清海外合法使用数据法案》（Clarifying Lawful Overseas Use of Data Act）主要解决美国政府通过网络服务商调取存储在外国的数据以及外国政府通过网络服务商调取存储在美国的数据的问题，强调“服务商在特定情况下向美国政府披露其存储的数据的义务不受数据存储地理位置的影响”以及授权行政协定允许外国政府从位于美国的云服务提供商处直接请求获取内容。[7]

3、中国关于个人数据保护的立法

2021年1月1日开始正式实施的《中华人民共和国民法典》在人格权编中作出了对个人信息保护的规定。首先，《民法典》肯定了个人信息受法律保护，但未将其确定为基本人格权利，而是定位成一种受保护的法益，且与隐私权有所区别。其次，《民法典》采用“可识别”的标准界定了个人信息的范畴，规定个人信息是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。再次，《民法典》规定了处理个人信息所应当遵循的合法、正当、必要原则以及所应当满足的知情同意、公开要求，明确了信息主体享有的访问、更正、删除权利，以及信息处理者承担的保密、安全保障义务。此外，《民法典》还明确了处理个人信息的免责情形。最后，《民法典》规定了国家机关、承担行政职能的法定机构及其工作人员对个人信息的保密义务。

除《民法典》外，《儿童个人信息网络保护规定》《未成年人保护法》《网络安全法》等法律法规中也有关于个人信息保护的规定。《网络安全法》还对关键信息提出了境内存储要求，并规定在向境外提供之前应按照国家网信部门会同国务院有关部门制定的办法进行安全评估。《数据安全法》将于2021年9月1日起施行，其适用于在中华人民共和国境内开展的数据处理活动，以及在中华人民共和国境外开展的损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的数据处理活动，并规定了重要数据处理者的数据安全保护义务。此外，我国《个人信息保护法（草案二次审议稿）》已于2021年4月29日发布，如果其通过人大审议，将适用于组织、个人在中华人民共和国境内处理自然人个人信息的活动（包括个人信息的收集、存储、使用、加工、传输、提供、公开等）。此外，最高人民法院最近发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》对处理“因信息处理者违反法律、行政法规的规定或者双方的约定使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件”提供了指引。

4、国际组织和国家间关于个人数据保护的文件

世界反兴奋剂机构（WADA）于2009年制定了《隐私与个人信息保护的国际标准》（International Standard for the Protection of Privacy and Personal Information，以下简称“《隐私标准》”或“ISPPPI”），鉴于在反兴奋剂环境中收集的个人信息可能影响和侵犯所涉人员的隐私权，《隐私标准》的目的是确保反兴奋剂组织在实施反兴奋剂方案时对其处理的个人信息实施适当、充分和有效的隐私保护。2018 年，受GDPR出台的影响，《隐私标准》进行了相应的修订。修订内容充分反映了GDPR在个人数据保护领域的原则和具体要求。此外，根据更新的2018年版的《主办城市合同-操作要求》，《隐私标准》所体现的GDPR规则实际上规制着主办城市及国家奥组委的所有与医疗服务和反兴奋剂计划有关的活动。

目前，在个人数据跨境传输领域尚未形成普遍适用的国际规则，但基于GDPR、经济合作与发展组织（OECD）的《关于隐私保护和个人跨境数据流动指南》（Guidelines on the Protection of Privacy and Transborder Flows of Personal Data）等有影响力的文件，各国普遍采取谈判、签署双边或多边协议的方式建立国家间的数据跨境传输机制，例如欧盟与日本之间的相互认可充分性保护水平的联合声明、《跨大西洋贸易与投资合作伙伴关系协议》（TTIP）和《服务贸易协议》（TISA）等。[8]

二、运动员个人数据采集规则适用上的冲突

1、数据主权冲突

以奥运赛事为例，国际奥委会通常要求在全球范围内永久享有与奥运会有关各项活动所产生数据的所有权，而各国家/地区的承办方只是受国际奥委会委托，为举办奥运会各项活动的必要而处理相关数据。那么，当承办方接受国际奥委会的委托处理的运动员个人数据涉及到一国公共利益甚至国家安全时，又该如何取舍呢？

数据主权（Data Sovereignty）是大数据时代的产物，表现为国家对本国数据享有的独立自主权，并不受他国干涉和侵扰，主要包括所有权和管辖权。2014年“斯诺登事件”引发全球范围“数据本地化”立法运动，数据本地化（Data Localization）是主权国家进行数据管控的一种方式，要求数据控制者将在一国收集的数据（个人信息和非个人信息）存储在境内，经审查方可跨境传输。[9]我国《个人信息保护法（草案二次审议稿）》第三章专门规定了“个人信息跨境提供的规则”，体现了我国立法对跨境传输个人信息的重视；我国《信息安全技术 个人信息安全规范》（GBT 35273-2020）规定，在中华人民共和国境内运营中收集和产生的个人信息向境外提供的，个人信息控制者应遵循国家相关规定和相关标准的要求。

国际体育赛事因涉及不同国家/地区以及不同国籍的运动员，一旦发生纠纷，主办方所在国家/地区、运动员国籍国以及体育组织所属国家/地区很可能会争夺数据主权，主张对运动员个人数据行使管理、保护和问责的权力或权利。[10]以美国与欧盟为代表的“利己式”立法无法化解数据管理和保护之间的冲突，反而加剧数据主权对抗。在隐私与数据保护规则方面，我国知识界、企业界的准备仍略显不足。[11]因此，当我国作为国际体育赛事的承办方时，需要针对境外数据处理规则及国内立法情况，在国际体育赛事的筹备及举办过程中作出取舍安排。

2、采集方式及范围冲突

随着技术的革新，运动员个人数据的采集方式在传统模式的基础上有了突破。目前，运动员数据采集方式主要包括：（1）注册、报名、采集；（2）通过装有传感器的场馆设备采集；（3）通过可佩戴设备采集；（4）媒体采访等其他方式。通过上述方式，数据采集方能够获得运动员的年龄等身份数据、指纹等生物识别数据、身体素质等健康生理数据、技术动作数据、生活数据等。[12]上述拟采集的个人数据涉及到受更高程度法律保护的个人敏感信息/特殊数据，承办方应对此特别关注。

就人脸识别技术而言，最近热议的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》规定了属于侵害自然人人格权益的行为：（一）在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析；（二）未公开处理人脸信息的规则或者未明示处理的目的、方式、范围；（三）基于个人同意处理人脸信息的，未征得自然人或者其监护人的单独同意，或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意；（四）违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等；（五）未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全，致使人脸信息泄露、篡改、丢失；（六）违反法律、行政法规的规定或者双方的约定，向他人提供人脸信息；（七）违背公序良俗处理人脸信息；（八）违反合法、正当、必要原则处理人脸信息的其他情形。

可见，运动员对处理其个人数据的行为享有知情权，承办方应使运动员知悉其采集个人数据的种类、目的及方式，并承担相应法定义务。那么，在国际体育赛事举办过程中，使用哪些采集方式、能否委托第三方采集以及采集哪些个人数据，是承办方应当在筹备过程中与主办方充分沟通、协商甚至博弈的问题。

3、运动员个人权益冲突

以奥运赛事为例，国际奥委会对数据归属的问题上是以结果为导向的，即国际奥委会享有数据的所有权，承办方应负责协助国家奥委会取得处理数据并无需另行取得数据主体同意的权利。换言之，运动员只有同意国际奥委会委托承办方处理其个人数据的行为才有资格参加奥运赛事。由此可见，尽管理论上讲，运动员对其个人数据的处理享有自决权，但在国际体育赛事中，运动员往往处于“被动同意”的劣势地位；另一方面，运动员作出的“同意”并非建立在其对具体的数据处理方式已经充分了解并知情的前提下。

由于国际体育赛事的特殊性，“信息自决权”理论在运动员个人数据保护上广受非议，在操作上确实存在很大的局限与困境，形同虚设。一方面，因为运动员往往属于某一体育组织，其相关权利早已打包交由其所属的体育组织行使或管理；另一方面，运动员与体育赛事承办方的地位不平等，运动员往往无从选择。

欧盟的个人信息保护体系是基于人权保护建立的，美国的个人信息保护体系是基于对个人隐私的保护建立的，俄罗斯的个人信息保护体系是基于主权建立的……因为各国家/地区的个人信息保护体系侧重保护的法益不同，因此在其法律规则的建构上，对个人数据权益的保护程度必然是不完全一致的。因此，承办方需要针对境外数据处理规则及国内立法情况，在国际体育赛事的举办过程中作出有效应对。

三、对运动员个人数据采集规则适用冲突的应对

1、在主权原则弹性适用的原则下履行承办方的合同义务

为承办国际体育赛事，主办方通常会要求承办方签署相关合同，因此承办方应如约履行相应合同义务，否则将承担连带责任。那么，当履行合同义务可能与数据主权产生冲突时，承办方就需要对数据保护水平、数据跨境传输安全检查、隐私保护等方面进行协调。有学者提出，“在个人信息跨境机制的建构中，或许可以采用弹性适用主权原则的方式：一方面坚持威斯特伐利亚主权观念，将主权不可侵犯作为适用的基础；另一方面，基于跨境个人信息的多样性和信息主权属性的差异制定不同的规则，调适个人信息保护与数据跨境流动的冲突。”[13]笔者认为，这一理论是值得国际体育赛事承办方借鉴且具有现实操作可行性的。进一步讲，“对于主权属性强、或主权属性转化度高的个人信息与国家安全和公共利益关切程度高，应强调主权原则适用的绝对性，实施较严的跨境管辖。对于属于私域范围内的个人信息，在主权原则适用上可以较为弹性，采取跨境规则也更偏向促进数据流动，释放数据价值。”[14]

我国《数据安全法》第21条规定，国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。如我国作为奥运赛事的承办方，则应根据我国《网络安全法》《数据安全法》等法律、相关配套法规、规章及规范性文件，并参考国家互联网信息办公室发布的《个人信息出境安全评估办法（征求意见稿）》等未生效文件，对拟采集的运动员个人数据进行分类处理，并在向国际奥委会传输个人数据之前，进行安全评估，对可能影响国家安全、损害公共利益或者难以有效保障个人信息安全的，应进行严格审查，并评估是否可以出境。

2、在尊重运动员主观意愿的情况下限定采集方式及范围

奥运赛事承办方通常需要履行以下与数据处理相关的具体义务：第一，承办方受国际奥委会之托有条件地处理数据；第二，如承办方需要向第三方传输数据，需事先向国际奥委会提交计划以供批准；第三，承办方应确保在适用法律允许的最大范围内使国际奥委会或其授权的第三方可以始终免费使用收集的数据，且无需数据主体的进一步同意。[15]如我国作为奥运赛事的承办方，在数据采集过程中，可以根据运动员的国籍及处理方式和目的作出区分安排，具体操作如下：

（1）在采集前，与国际奥委会充分沟通，明确拟采集的运动员个人数据、拟处理的方式以及对应的使用目的。根据国际奥委会的要求，对拟收集运动员个人数据进行初步分析，形成操作规范及指引，建立个人信息保护的组织机构，指派专门工作人员负责数据合规工作，对具体工作人员进行安全教育和培训，确保他们按照操作规范完成数据的采集工作，并指定负责人对该项工作进行监督。

（2）对拟收集运动员个人数据进行的初步分析应注意以下几个方面：第一，承办方应根据运动员的国籍制定有针对性的操作规范，比如，对于欧盟境内的运动员，承办方必须确保遵守GDPR的各项规定，保护运动员的个人数据权利（包括访问权、更正权、可携权、删除权等）；第二，承办方应区分拟收集个人数据的类型，比如一般数据和特殊数据。那么，如何区分一般数据与特殊数据呢？我国《信息安全技术 个人信息安全规范》（GBT 35273-2020）将个人敏感信息定义为“一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息，包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）儿童的个人信息。”GDPR禁止“在个人数据处理中泄露种族或民族起源、政治观点、宗教信仰、哲学信仰、工会成员资格等个人信息，禁止以识别自然人身份为目的对个人基因数据、生物特征数据的处理，禁止对健康数据、性生活、性取向等相关数据进行处理”，但亦规定了例外情况，原则上GDPR允许各成员国对特殊类型的个人数据（敏感数据）作出灵活规定。承办方可以结合上述个人敏感信息以及敏感数据的内容划定特殊数据的范围；第三，承办方应根据数据的不同类型制定有区分的数据主体“同意”标准，比如对于运动员的一般数据只需要一般同意，对于敏感数据/个人敏感信息则需要严格同意，即征得运动员的明示同意，并应确保运动员的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示。

（3）承办方制定的数据处理操作规范及指引应包括以下几个方面：第一，采集地点应限于比赛及训练场馆，并排除个人休息娱乐场所；第二，采集时间尽量限于比赛及训练过程中，避免24小时不间断的数据采集；第三，采集方式应事先明确告知运动员，如在场馆内安装传感器，或需要运动员佩戴采集设备，则应提前清楚地告知运动员相关设备的情况。

3、在健全内部管理机制的条件下保护运动员个人权益

国内有学者提出“个人信息的社会控制论”，认为“个人信息保护权并不是一项全面的、绝对的支配权。个人信息不仅关涉个人利益，并且关涉他人和整个社会利益，个人信息具有公共性和社会性。”[16]笔者认为，此种保护模式的转变，或许可以切实解决国际体育赛事可能会发生的采集方式及范围冲突问题，即对于具有公共性和社会性的个人数据，可以灵活适用“知情+同意”规则。但是，目前欧盟、美国采用的“个人控制论”在国际上较为通行，其强调个人应当有权控制其个人信息的使用，保护个人自治。

即便在参加国际体育赛事的过程中，运动员可能无法真正控制对其个人信息的采集等数据处理行为，但这并不意味着运动员的个人权益无法得到保护。如我国作为奥运赛事的承办方：第一，应在需要运动员签署的知情同意书等文件中详细说明其处理个人数据的行为，使运动员充分知悉其个人数据将被如何采集、存储、使用、传输等，并告知其享有的各项权益（包括知情权、删除权、更正权、补充权等）；第二，应建立运动员行使其个人信息权益的响应、申请、受理和处理机制；第三，应采取加密、去标识化等安全技术措施；第四，如委托第三方采集运动员个人信息，应向运动员披露，并选择已建立个人数据保护体系的受托方，以确保个人数据的安全；第五，应针对个人数据的处理建立健全监督机制，明确指定数据安全负责人，及时指出侵犯运动员隐私权或者个人信息权益的行为，对违反数据处理操作规范及指引的工作人员进行相应内部处罚，并在必要时，积极与我国网信部门、国务院有关部门以及公安部门沟通、联络或咨询；第六，应制定并组织实施个人信息安全事件应急预案（包括处理流程及方案、应急机制、责任认定、报告制度等），对个人信息处理过程中可能出现的个人信息泄露、丢失、损坏、篡改、不当使用等事件进行评估和分析，采取相应的预防措施和补救措施；第七，应根据相关法律法规（尤其是新规定）、监督报告、应急事件处理、建议、投诉等情况，定期评估、分析其内部管理机制的运行情况，并持续改进和完善。