裘 韻
(蘇州大學(xué) 王健法學(xué)院,江蘇 蘇州215006)
歐盟制定的《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,GDPR)設(shè)計(jì)了最嚴(yán)格的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)與跨境流動(dòng)規(guī)則,堪稱(chēng)全球隱私保護(hù)的最高標(biāo)桿,自2018年5月25日生效后,在全球范圍內(nèi)發(fā)揮著不容忽視的影響力。該條例雖非國(guó)際強(qiáng)行法,但其在適用上采取的“長(zhǎng)臂”管轄原則導(dǎo)致任何與歐盟有貿(mào)易往來(lái)的數(shù)字企業(yè)都可能受其管轄,在事實(shí)上已成為全球性的法律。從GDPR的目的及其影響力輻射范圍來(lái)看,其主要作用于跨境貿(mào)易領(lǐng)域,但從當(dāng)前國(guó)際體育組織的一些行動(dòng)來(lái)看,GDPR的影響并未止步于國(guó)際經(jīng)濟(jì)活動(dòng),對(duì)個(gè)人信息①需要明確的是,“個(gè)人數(shù)據(jù)”與“個(gè)人信息”并不是同一個(gè)概念,數(shù)據(jù)是信息的載體,信息是數(shù)據(jù)的內(nèi)容。因此,本文所討論的奧運(yùn)賽事承辦方跨境傳輸?shù)膶?duì)象是“個(gè)人數(shù)據(jù)”,但承辦方履行合規(guī)義務(wù)所保護(hù)的對(duì)象是“個(gè)人信息”。的保護(hù)要求在潛移默化中進(jìn)入了體育領(lǐng)域,并將長(zhǎng)期影響相關(guān)規(guī)則與實(shí)踐的發(fā)展。
GDPR對(duì)體育領(lǐng)域產(chǎn)生影響,一方面是基于國(guó)際體育組織在自治之余,作為民事主體開(kāi)展經(jīng)濟(jì)活動(dòng)仍需遵守相關(guān)的法律法規(guī),另一方面則是越來(lái)越受到重視的運(yùn)動(dòng)員權(quán)利保護(hù)層面的必然要求。
體育領(lǐng)域的反興奮劑斗爭(zhēng)旨在遏制為獲得不正當(dāng)?shù)膬?yōu)勢(shì)以提高比賽表現(xiàn)而實(shí)施的藥物濫用行為,但運(yùn)動(dòng)員及其團(tuán)隊(duì)對(duì)作弊手段無(wú)止境的追求給反興奮劑組織開(kāi)展反興奮劑工作帶來(lái)了極大的挑戰(zhàn),越來(lái)越多最初以科學(xué)實(shí)驗(yàn)或醫(yī)療為目的被研發(fā)的藥物因其“體育實(shí)用價(jià)值”而被帶入運(yùn)動(dòng)場(chǎng),與此同時(shí),為滿(mǎn)足市場(chǎng)需要而專(zhuān)門(mén)研發(fā)的隱蔽的新型“性能增強(qiáng)藥物(performance enhancing drugs,PEDs)”層出不窮,屢禁不止。為此,反興奮劑組織采取的監(jiān)督方法亦不斷地調(diào)整和發(fā)展,包括賽內(nèi)直接的藥物檢測(cè)、運(yùn)動(dòng)員生物護(hù)照(athletes biological passport,ABP)項(xiàng)目、為保證興奮劑檢查的有效性要求精英運(yùn)動(dòng)員上報(bào)行蹤信息等。通過(guò)全方位的監(jiān)控,反興奮劑成效顯著,但在上述收集證據(jù)的過(guò)程中,難免涉及敏感的對(duì)個(gè)人數(shù)據(jù)的處理問(wèn)題,倘若反興奮劑組織不謹(jǐn)慎對(duì)待,極有可能侵犯運(yùn)動(dòng)員的隱私權(quán)及其他個(gè)人信息權(quán)利,既有悖于維護(hù)純潔體育、保護(hù)運(yùn)動(dòng)員健康等開(kāi)展反興奮劑運(yùn)動(dòng)的初衷,也不符合相關(guān)人權(quán)保護(hù)法律法規(guī)的要求。
因此,世界反興奮劑機(jī)構(gòu)(World Anti-Doping Agency,WADA)早在2009年就響應(yīng)了利益相關(guān)方的要求,制定了《隱私與個(gè)人信息保護(hù)的國(guó)際標(biāo)準(zhǔn)》(International Standard for the Protection of Privacy and Personal Information,簡(jiǎn)稱(chēng)《隱私標(biāo)準(zhǔn)》),要求各反興奮劑組織在開(kāi)展反興奮劑斗爭(zhēng)時(shí)遵循隱私保護(hù)原則,以充分保障運(yùn)動(dòng)員在履行接受藥物檢測(cè)、上報(bào)行蹤信息和醫(yī)療信息等義務(wù)時(shí),對(duì)其個(gè)人信息享有的基本權(quán)利。受GDPR出臺(tái)的影響,該文件于2018年完成了新一輪的修訂。WADA在草擬并公布修改方案后,考慮并采納了利益相關(guān)方的建議:在總體上,對(duì)反興奮劑組織處理個(gè)人數(shù)據(jù)的合法性提出了明確的要求(第4條);修改了“安全違規(guī)(security breach)”和“敏感的個(gè)人信息(sensitive personal information)”的定義(第3.2條);澄清了處理個(gè)人數(shù)據(jù)應(yīng)遵循的法律或批文(第6條)以及相關(guān)主體對(duì)其個(gè)人信息享有的權(quán)利(第11條);要求反興奮劑組織承擔(dān)維護(hù)其所掌握的個(gè)人信息的安全性的責(zé)任(第9條)并確保相關(guān)主體的知情權(quán)(第7條)。
上述修訂使《隱私標(biāo)準(zhǔn)》充分反映了GDPR的數(shù)據(jù)處理原則,并推廣了目前全球最高的數(shù)據(jù)隱私保護(hù)標(biāo)準(zhǔn),在無(wú)形中將GDPR的影響力擴(kuò)散至整個(gè)體育領(lǐng)域。
除反興奮劑活動(dòng)因涉及大量運(yùn)動(dòng)員的敏感數(shù)據(jù)而有必要充分考慮GDPR的影響外,國(guó)際性的體育賽事在組織籌辦和商業(yè)運(yùn)作的過(guò)程中,因涉及不同國(guó)籍的參賽成員(運(yùn)動(dòng)員、輔助人員等)、志愿者和媒體的信息注冊(cè),以及向觀眾提供票務(wù)、餐飲、住宿服務(wù)等市場(chǎng)運(yùn)營(yíng)行為,均無(wú)法避免對(duì)個(gè)人數(shù)據(jù)的收集與處理。換言之,當(dāng)舉辦此類(lèi)賽事的體育組織需要獲取來(lái)自歐盟境內(nèi)的參賽者、志愿者與消費(fèi)者的個(gè)人信息,或委托設(shè)立在歐盟境內(nèi)的承辦方舉辦此類(lèi)賽事,就有必要考慮GDPR的數(shù)據(jù)保護(hù)合規(guī)要求。作為目前世界范圍內(nèi)運(yùn)作最成功的國(guó)際大型體育賽事之一,面對(duì)GDPR帶來(lái)的影響,奧林匹克運(yùn)動(dòng)會(huì)(以下簡(jiǎn)稱(chēng)“奧運(yùn)會(huì)”)勢(shì)必首當(dāng)其沖。
眾所周知,根據(jù)《奧林匹克憲章》(以下簡(jiǎn)稱(chēng)“《憲章》”)的規(guī)定,奧運(yùn)會(huì)是國(guó)際奧林匹克委員會(huì)(以下簡(jiǎn)稱(chēng)“國(guó)際奧委會(huì)”)的專(zhuān)有財(cái)產(chǎn),與奧運(yùn)會(huì)有關(guān)的所有權(quán)利均屬于國(guó)際奧委會(huì)所有。有意舉辦奧運(yùn)會(huì)的城市需按《憲章》規(guī)定的選舉程序,經(jīng)投票當(dāng)選后,才有資格與國(guó)際奧委會(huì)簽訂《主辦城市合同》以獲得賽事的主辦權(quán)。該合同的簽署者一般為國(guó)際奧委會(huì)與申辦城市以及該城市所在國(guó)的國(guó)家?jiàn)W委會(huì),但在履行階段主要由承辦城市為舉辦奧運(yùn)賽事而專(zhuān)門(mén)設(shè)立的組織委員會(huì)(以下簡(jiǎn)稱(chēng)“奧組委”)負(fù)責(zé)協(xié)調(diào)與運(yùn)作。實(shí)際上,在籌備和舉辦比賽的過(guò)程中,奧組委不僅受合同的約束,還需要在最大限度內(nèi)滿(mǎn)足國(guó)際奧委會(huì)對(duì)賽事舉辦的具體要求。2018年2月,國(guó)際奧委會(huì)在2014年通過(guò)的《2020年奧林匹克議程》的基礎(chǔ)上正式發(fā)布了包含一百余項(xiàng)措施在內(nèi)的“辦奧新規(guī)范(Olympic Games:the New Norm)”,旨在將《議程》的構(gòu)想落到實(shí)處,讓未來(lái)的奧運(yùn)會(huì)更加靈活、可持續(xù),以實(shí)現(xiàn)奧林匹克運(yùn)動(dòng)長(zhǎng)期發(fā)展的目標(biāo),而2022年北京冬奧會(huì)將是首屆落實(shí)并受益于上述改革的奧運(yùn)會(huì)(新華社,2018)。同時(shí),國(guó)際奧委會(huì)特別審查了2022年、2024年和2028年奧運(yùn)會(huì)的《主辦城市合同》,并于同年發(fā)布了最新版的合同原則(Host City Contract-Principle)與操作要求(Host City Contract-Operational Requirements)以反映新規(guī)范帶來(lái)的變化,其中就包括新增的個(gè)人信息保護(hù)要求與數(shù)據(jù)保護(hù)合規(guī)要求。
可見(jiàn),在奧運(yùn)賽事中,GDPR帶來(lái)的連鎖效應(yīng)與潛在的合規(guī)義務(wù)實(shí)際將由受?chē)?guó)際奧委會(huì)委托的承辦方負(fù)擔(dān)。為進(jìn)一步觀察GDPR在體育領(lǐng)域的影響力,筆者擬以率先落實(shí)改革,最能體現(xiàn)新變化的2022年北京冬奧會(huì)為例,結(jié)合相關(guān)法律文件,就奧運(yùn)會(huì)承辦方(城市、國(guó)家?jiàn)W委會(huì)與奧組委)在數(shù)據(jù)跨境傳輸方面需承擔(dān)的義務(wù)與實(shí)踐中可能存在的問(wèn)題展開(kāi)分析。
理論上,根據(jù)承辦賽事的城市與國(guó)家?jiàn)W委會(huì)簽署的承諾①《2022年冬季奧運(yùn)會(huì)主辦城市合同》第一部分“基本原則”的第4條明確約定:“城市、國(guó)家?jiàn)W委會(huì)和奧運(yùn)會(huì)組委會(huì)對(duì)那些無(wú)論是單獨(dú)簽訂還是共同簽訂的,無(wú)論是與奧運(yùn)會(huì)的規(guī)劃、組織、融資和舉辦有關(guān)的,還是其他方面的,包括本合同產(chǎn)生的義務(wù)有關(guān)的所有保證、陳述、聲明、契約、其他承諾和義務(wù),都應(yīng)承擔(dān)連帶責(zé)任,但國(guó)家?jiàn)W委會(huì)不負(fù)責(zé)有關(guān)的財(cái)政承諾?!保瑠W委會(huì)在組建完畢后將自動(dòng)成為合同的一方,因此由城市、國(guó)家?jiàn)W委會(huì)與奧組委組成的承辦方可能負(fù)擔(dān)的跨境傳輸個(gè)人數(shù)據(jù)的合規(guī)義務(wù)主要來(lái)源于《主辦城市合同》的要求。但需要注意的是,在奧運(yùn)賽事的反興奮劑工作中,WADA制定的《隱私標(biāo)準(zhǔn)》亦是承辦方的義務(wù)來(lái)源之一。
從現(xiàn)有的一系列奧運(yùn)會(huì)合同文件②截止目前為止,國(guó)際奧委會(huì)與各承辦城市訂立的尚未完成的合同及相關(guān)附件包括:1)《2020年第32屆奧運(yùn)會(huì)主辦城市合同》及其附錄;2)《2022年第24屆冬奧會(huì)主辦城市合同》及其附件《主辦城市合同-詳細(xì)義務(wù)》(2015年7月24日);3)《主辦城市合同-操作要求》(2015年9月);4)《2024年第33屆奧運(yùn)會(huì)主辦城市合同》;5)《主辦城市合同-操作要求》(2016年12月);6)《2026年第25屆冬季奧運(yùn)會(huì)主辦城市合同(候選程序)-原則》;7)《2028年主辦城市合同-原則》;8)《主辦城市合同-操作要求》(2018年6月)。來(lái)看,《主辦城市合同》及其附件在訂立后并不是一成不變的,通過(guò)比較國(guó)際奧委會(huì)先后公布的各版本合同內(nèi)容可以發(fā)現(xiàn),與個(gè)人數(shù)據(jù)跨境傳輸有關(guān)的合同條款呈數(shù)量明顯增加、具體操作要求進(jìn)一步細(xì)化的趨勢(shì)。
以2022年北京冬奧會(huì)為例,2015年北京市與中國(guó)國(guó)家?jiàn)W委會(huì)同國(guó)際奧委會(huì)訂立的《2022年第24屆冬奧會(huì)主辦城市合同》及其附件《主辦城市合同-詳細(xì)義務(wù)》對(duì)個(gè)人數(shù)據(jù)跨境傳輸方面的要求為數(shù)不多,首先,主合同明確了奧運(yùn)會(huì)以及與之相關(guān)的一切權(quán)利和數(shù)據(jù)獨(dú)屬于國(guó)際奧委會(huì)所有,即國(guó)際奧委會(huì)只是通過(guò)合同有條件的向承辦城市委托部分權(quán)利,如為舉辦比賽的必要而收取、處理相關(guān)數(shù)據(jù)等。因此,承辦方需確保向國(guó)際奧委會(huì)傳輸用戶(hù)的數(shù)據(jù)和資料用于促進(jìn)奧林匹克運(yùn)動(dòng);其次,若承辦方需要將獲取或存儲(chǔ)的用戶(hù)個(gè)人信息或敏感的個(gè)人信息傳輸給第三方,則需要事先向國(guó)際奧委會(huì)提交所有數(shù)據(jù)傳輸?shù)挠?jì)劃以供批準(zhǔn);最后,該合同在《詳細(xì)義務(wù)》部分進(jìn)行了補(bǔ)充,要求承辦方確保,在適用法律允許的最大范圍內(nèi)使國(guó)際奧委會(huì)或其授權(quán)的第三方可以始終免費(fèi)使用奧運(yùn)會(huì)過(guò)程中收集和處理的所有用戶(hù)數(shù)據(jù),且無(wú)需有關(guān)的數(shù)據(jù)主體進(jìn)一步同意或授權(quán)。
但就在北京冬奧會(huì)的合同文件及其詳細(xì)義務(wù)附件發(fā)布不久,國(guó)際奧委會(huì)又為將于2024年舉辦的第33屆奧運(yùn)會(huì)發(fā)布了《主辦城市合同-操作要求(2015年9月)》,而巴黎作為申辦城市于2017年獲得了該屆奧運(yùn)會(huì)的承辦權(quán)。從國(guó)際奧委會(huì)官方網(wǎng)站公布的2024年巴黎奧運(yùn)會(huì)文件列表來(lái)看,該文件已替代《主辦城市合同-詳細(xì)義務(wù)》作為2015年后各版本《主辦城市合同》的重要組成部分,旨在詳細(xì)說(shuō)明合同原則要求下的一系列核心要素,為運(yùn)動(dòng)員和所有參與者展示奧運(yùn)會(huì)的服務(wù)質(zhì)量和條件,同時(shí)允許潛在的主辦城市將其奧運(yùn)會(huì)理念與自身的體育、經(jīng)濟(jì)、社會(huì)和環(huán)境長(zhǎng)期規(guī)劃需求相匹配(International Olympic Committee, 2015a)。此后,《主辦城市合同-原則》及其配套的《操作要求》在2016-2018年期間又發(fā)布了兩個(gè)版本,分別適用于2028年的洛杉磯奧運(yùn)會(huì)與申辦城市待定的2026年冬季奧運(yùn)會(huì)。
比較可以發(fā)現(xiàn),2018年以前發(fā)布的各版本合同及配套的操作要求在個(gè)人數(shù)據(jù)跨境傳輸方面的要求與2015年版的《詳細(xì)義務(wù)》相比,未見(jiàn)明顯變化,僅在2017年對(duì)《主辦城市合同-操作要求(2016年12月)》的內(nèi)容進(jìn)行微調(diào)時(shí),增加了1項(xiàng)關(guān)于合作合同條款與當(dāng)?shù)胤ㄒ?guī)的通報(bào)義務(wù)。但在為2026年第25屆冬奧會(huì)候選城市準(zhǔn)備的《主辦城市合同-原則》與2018年6月更新的《主辦城市合同-操作要求》中,受“新規(guī)范”的影響,國(guó)際奧委會(huì)明顯提高了對(duì)個(gè)人數(shù)據(jù)保護(hù)的重視,不僅將“數(shù)據(jù)保護(hù)(Data Protection)”列為一項(xiàng)獨(dú)立的主合同條款,在配套文件中還整合并增列了相關(guān)的細(xì)節(jié)要求,由此產(chǎn)生了2018年以后的奧運(yùn)賽事承辦方在個(gè)人數(shù)據(jù)的跨境傳輸方面需要履行的新義務(wù)。
不同于前述基于契約而產(chǎn)生的尚有協(xié)商空間的合同義務(wù),WADA為反興奮劑工作制定的《隱私標(biāo)準(zhǔn)》與《世界反興奮劑條例》(World Anti-Doping Code,WADC)(以下簡(jiǎn)稱(chēng)“《條例》”)及其他4項(xiàng)標(biāo)準(zhǔn)(禁用物質(zhì)清單、檢測(cè)和調(diào)查、實(shí)驗(yàn)室、治療用藥豁免)共同構(gòu)成世界反興奮劑體系,對(duì)《條例》的簽約方具有強(qiáng)制約束力(李真,2018)。因此,在奧運(yùn)會(huì)反興奮劑工作方面,賽事承辦方應(yīng)根據(jù)WADC和相關(guān)國(guó)際標(biāo)準(zhǔn)的要求收集、儲(chǔ)存和處理運(yùn)動(dòng)員及相關(guān)人員的個(gè)人信息。
值得一提的是,北京冬奧會(huì)簽署的合同詳細(xì)義務(wù)文本中雖未涉及與WADA隱私指南相關(guān)的內(nèi)容,但在2018年版的《主辦城市合同-操作要求》中,國(guó)際奧委會(huì)明確要求奧組委確保所有與醫(yī)療服務(wù)和反興奮劑計(jì)劃有關(guān)的活動(dòng)都要遵守世界反興奮劑機(jī)構(gòu)和國(guó)際奧委會(huì)、國(guó)際殘奧會(huì)為反興奮劑目的制定的任何附加的安全或隱私標(biāo)準(zhǔn)(IOC, 2017)。換言之,在合同約定的情形下,承辦方就更加無(wú)法逃避與反興奮劑有關(guān)的跨境傳輸個(gè)人數(shù)據(jù)的合規(guī)義務(wù)。
根據(jù)奧運(yùn)賽事承辦方在跨境傳輸個(gè)人數(shù)據(jù)方面可能的義務(wù)來(lái)源可知,對(duì)履行義務(wù)將產(chǎn)生影響的法律文件主要包括:承辦城市簽署的《主辦城市合同》及其配套附件、《主辦城市合同-操作要求》及其更新、其他可適用的國(guó)內(nèi)法律法規(guī)以及WADA制定的具有強(qiáng)制約束力的國(guó)際標(biāo)準(zhǔn)。
以2022年北京冬奧會(huì)為例,結(jié)合北京市與中國(guó)國(guó)家?jiàn)W委會(huì)簽署的《第24屆冬奧會(huì)主辦城市合同》及其配套的《主辦城市合同-詳細(xì)義務(wù)》與最新的2018年版《主辦城市合同-操作要求》來(lái)看,奧組委在舉辦比賽的過(guò)程中對(duì)于一般個(gè)人數(shù)據(jù)的跨境傳輸需履行的義務(wù)大致包括3個(gè)方面的內(nèi)容。
3.1.1 與傳輸數(shù)據(jù)有關(guān)的行動(dòng)需事先書(shū)面批準(zhǔn)
主合同與詳細(xì)義務(wù)附件中涉及的“數(shù)據(jù)共享”與“事先批準(zhǔn)”義務(wù)主要與奧運(yùn)會(huì)數(shù)據(jù)的所有權(quán)有關(guān),且屬于冬奧會(huì)組委必須履行的義務(wù)范疇。鑒于奧運(yùn)會(huì)的所有權(quán)利與數(shù)據(jù)均屬于國(guó)際奧委會(huì)所有,雖然承辦方因舉辦奧運(yùn)會(huì)的需要從注冊(cè)、交通、住宿、票務(wù)、數(shù)字媒體等渠道直接獲取了大量個(gè)人信息,但僅能依據(jù)與國(guó)際奧委會(huì)簽署的承辦合同獲得數(shù)據(jù)的使用權(quán)。因此,合同要求承辦方應(yīng)在適用法律允許的最大范圍內(nèi)負(fù)擔(dān)向國(guó)際奧委會(huì)傳輸相關(guān)個(gè)人數(shù)據(jù)的義務(wù),確保擁有數(shù)據(jù)所有權(quán)的主辦方可以免費(fèi)使用上述數(shù)據(jù)以促進(jìn)奧林匹克運(yùn)動(dòng),而無(wú)需數(shù)據(jù)主體的進(jìn)一步授權(quán)或同意。
此外,當(dāng)承辦方需要將其存儲(chǔ)的任何個(gè)人數(shù)據(jù)傳輸給第三方時(shí),所有相關(guān)的傳輸計(jì)劃應(yīng)事先提交給國(guó)際奧委會(huì)批準(zhǔn),相關(guān)的隱私政策、使用條款或類(lèi)似的合同條款也被納入事先批準(zhǔn)的范圍。
3.1.2 通報(bào)影響個(gè)人數(shù)據(jù)跨境傳輸?shù)暮贤c法律法規(guī)
根據(jù)2018年國(guó)際奧委會(huì)“新規(guī)范”要求下的《主辦城市合同-操作要求》,承辦方在數(shù)據(jù)跨境傳輸方面的義務(wù)將顯著增加,包括向國(guó)際奧委會(huì)通報(bào)與數(shù)字媒體平臺(tái)訂立的合同和東道城市當(dāng)?shù)乜蛇m用的法律條款。
通報(bào)的目的旨在排查潛在的可能阻止冬奧會(huì)組委收集個(gè)人信息,或向國(guó)際奧委會(huì)傳輸數(shù)據(jù)的因素,以確保奧運(yùn)會(huì)能夠順利運(yùn)營(yíng),且保證國(guó)際奧委會(huì)能無(wú)阻礙接收、訪問(wèn)和長(zhǎng)期使用其所擁有的數(shù)據(jù)。
3.1.3 確保合法地處理個(gè)人信息
在《操作要求》新增的條款中,合規(guī)問(wèn)題受到了重點(diǎn)關(guān)注,冬奧會(huì)組委不僅需要謹(jǐn)慎履行其合同義務(wù)中包含的合規(guī)要求,還負(fù)有協(xié)助國(guó)際奧委會(huì)履行其在數(shù)據(jù)保護(hù)立法下的義務(wù)。奧組委的合規(guī)義務(wù)主要涵蓋以下兩方面的要求:
1)對(duì)于一般個(gè)人信息,合同要求“確保為促進(jìn)奧運(yùn)會(huì)的參與、組織和推廣而處理個(gè)人信息,并在必要范圍內(nèi)遵守所有適用的法律和法規(guī),特別是所有適用的隱私和數(shù)據(jù)保護(hù)法律(包括東道國(guó)以外的國(guó)家可以適用的法律)”;2)對(duì)于敏感個(gè)人信息,則要求奧組委所有與醫(yī)療服務(wù)和反興奮劑計(jì)劃有關(guān)的活動(dòng)都必須遵守可適用的法律法規(guī),尤其是與保護(hù)運(yùn)動(dòng)員個(gè)人權(quán)利有關(guān)的數(shù)據(jù)保護(hù)法律及其他法律,以及世界反興奮劑機(jī)構(gòu)和國(guó)際奧委會(huì)或國(guó)際殘奧委會(huì)為上述特殊目的制定的隱私標(biāo)準(zhǔn)或安全指南。
從內(nèi)容來(lái)看,上述要求均以明確的目的為處理個(gè)人信息的前提,但劃定的合規(guī)范圍較為寬泛,僅能為承辦方履行義務(wù)提供原則上的指引,具體的要求需要結(jié)合可適用的法律法規(guī)予以判斷。
嚴(yán)格來(lái)說(shuō),合同要求的“處理(processing)”程序?qū)嶋H上包含了收集、存儲(chǔ)、檢索、咨詢(xún)、使用、披露、傳播、刪除或銷(xiāo)毀等一系列的操作,而不同文件的定義中對(duì)“處理”的過(guò)程是否包含“傳輸(transferring)”未有定論。但鑒于“收集(collection)”的過(guò)程離不開(kāi)數(shù)據(jù)的傳輸,且合同本身亦涉及向國(guó)際奧委會(huì)“傳輸”個(gè)人數(shù)據(jù)的要求,本節(jié)擬從收集數(shù)據(jù)與傳輸數(shù)據(jù)這兩個(gè)角度出發(fā),探討可適用的法律對(duì)承辦方履行合規(guī)義務(wù)的影響。
3.2.1 對(duì)承辦方收集境外數(shù)據(jù)的要求
承辦方對(duì)境外一般個(gè)人信息的收集主要通過(guò)注冊(cè)、交通、住宿、票務(wù)、數(shù)字媒體等渠道獲得,數(shù)據(jù)主體一般為外籍運(yùn)動(dòng)員、輔助人員、官員、媒體、志愿者以及觀看賽事或購(gòu)買(mǎi)紀(jì)念品等享受有關(guān)服務(wù)的消費(fèi)者等。其中,要求參與人員注冊(cè)的目的是用于鑒別人員身份,確認(rèn)他們?cè)趭W運(yùn)會(huì)中所擔(dān)負(fù)的職能或角色以授予必要的權(quán)限,且注冊(cè)工作主要依據(jù)《憲章》和國(guó)際奧委會(huì)制定的《奧運(yùn)會(huì)注冊(cè)和報(bào)名用戶(hù)指南》開(kāi)展,而涉及境外觀眾個(gè)人數(shù)據(jù)的收集則可視為提供跨境服務(wù)貿(mào)易的必要過(guò)程,負(fù)責(zé)票務(wù)服務(wù)的合作商也應(yīng)當(dāng)遵循相關(guān)的數(shù)據(jù)保護(hù)立法。
目前全球大部分國(guó)家都制定了數(shù)據(jù)保護(hù)立法,但保護(hù)的對(duì)象側(cè)重不同,以俄羅斯為代表的國(guó)家注重對(duì)涉及國(guó)家安全的數(shù)據(jù)保護(hù),強(qiáng)調(diào)一國(guó)的數(shù)據(jù)主權(quán),而以歐盟為代表的立法注重人權(quán)保護(hù),強(qiáng)調(diào)數(shù)據(jù)主體對(duì)其個(gè)人信息享有的權(quán)利??紤]到歐盟制定的GDPR在個(gè)人數(shù)據(jù)保護(hù)方面的影響力,雖然該法規(guī)對(duì)非歐盟地區(qū)的東道國(guó)不產(chǎn)生直接的域外效力,奧運(yùn)賽事的承辦方無(wú)義務(wù)遵守GDPR的標(biāo)準(zhǔn),但在舉辦賽事的過(guò)程中承辦方需要收集來(lái)自歐盟地區(qū)的參與人員和消費(fèi)者的個(gè)人信息,意味著至少在一定范圍內(nèi)無(wú)法逃避GDPR對(duì)其境內(nèi)數(shù)據(jù)主體的個(gè)人數(shù)據(jù)傳輸至第三國(guó)或國(guó)際組織的要求。
GDPR對(duì)個(gè)人數(shù)據(jù)跨境傳輸至第三國(guó)或國(guó)際組織的要求主要規(guī)定在第五章,其中可能影響承辦方履行跨境傳輸個(gè)人數(shù)據(jù)義務(wù)的要求主要集中于3項(xiàng)規(guī)則:
首先需要明確的是,在舉辦奧運(yùn)會(huì)的過(guò)程中接收來(lái)自歐盟境內(nèi)的個(gè)人數(shù)據(jù)的控制者處理者是賽事的承辦者,而非享有奧運(yùn)會(huì)所有權(quán)利和數(shù)據(jù)所有權(quán)的國(guó)際奧委會(huì),但因承辦方還負(fù)有向國(guó)際奧委會(huì)傳輸數(shù)據(jù)的義務(wù),涉及GDPR第44條①GDPR第44條“傳輸?shù)囊话阍瓌t”規(guī)定:對(duì)于正在處理中的個(gè)人數(shù)據(jù)或擬在傳輸?shù)降谌龂?guó)或國(guó)際組織后進(jìn)行處理的個(gè)人數(shù)據(jù),在不違背本條例其他規(guī)定的前提下,控制者和處理者滿(mǎn)足第五章規(guī)定后方可傳輸,包括個(gè)人數(shù)據(jù)從第三國(guó)或國(guó)際組織再傳輸?shù)狡渌谌龂?guó)或國(guó)際組織。第五章的所有規(guī)定應(yīng)當(dāng)適用以確保條例所保障的對(duì)自然人的保護(hù)程度不受減損。規(guī)定的對(duì)此類(lèi)數(shù)據(jù)進(jìn)行再傳輸?shù)那樾?,因而?guó)際奧委會(huì)亦受GDPR合規(guī)義務(wù)的約束。
其次,根據(jù)GDPR第45條“基于充分性決議傳輸數(shù)據(jù)”的要求,經(jīng)歐盟委員會(huì)決定認(rèn)為能夠確保“充分的保護(hù)程度”的第三國(guó)或國(guó)際組織無(wú)疑具備接收跨境傳輸個(gè)人數(shù)據(jù)的資格。但目前為止,歐盟委員會(huì)僅承認(rèn)安道爾共和國(guó)、阿根廷、加拿大、法羅群島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、瑞士、烏拉圭和美國(guó)能夠提供充分的保護(hù)(European Commission,2019)。因此,未與歐盟簽署數(shù)據(jù)保護(hù)協(xié)議以獲得充分性決議認(rèn)可的東道國(guó)就需要滿(mǎn)足其他條款規(guī)定的條件。
最后,根據(jù)GDPR在第49條提供的“豁免”例外,在無(wú)“充分性決議”的情形下,只要滿(mǎn)足該條規(guī)定的7個(gè)條件之一,承辦方也可獲得相應(yīng)的數(shù)據(jù)傳輸資格。根據(jù)第49條,GDPR允許的特定情形包括:1)數(shù)據(jù)主體的明確同意;2)為履行先合同的必要傳輸;3)為訂立或履行合同的必要傳輸;4)因公共利益的需要;5)提起、行使或抗辯法律訴求的必要;6)因客觀原因無(wú)法給予同意,但具有保護(hù)該數(shù)據(jù)主體或其他人的重大利益之必要;7)旨在向公眾提供信息可供查閱的登記冊(cè)傳輸必要等。作為奧運(yùn)會(huì)的承辦方,在收集數(shù)據(jù)的過(guò)程中可能極有可能因數(shù)據(jù)主體的明確同意或因公共利益(反興奮劑)的需要而獲得豁免,但需要注意的是,不得濫用數(shù)據(jù)主體的同意,損害相關(guān)參與人員或消費(fèi)者的基本權(quán)利。
3.2.2 對(duì)承辦方向境外傳輸數(shù)據(jù)的要求
除前述提到的對(duì)來(lái)自歐盟境內(nèi)的個(gè)人數(shù)據(jù)的再傳輸仍需符合GDPR的要求外,承辦方向國(guó)際奧委會(huì)或國(guó)際殘奧會(huì)傳輸個(gè)人數(shù)據(jù)還需遵守東道國(guó)的數(shù)據(jù)保護(hù)立法中對(duì)數(shù)據(jù)出境的規(guī)定。例如,若2022年北京冬奧組委向國(guó)際奧委會(huì)或國(guó)際殘奧會(huì)傳輸個(gè)人數(shù)據(jù),需遵守《中華人民共和國(guó)網(wǎng)絡(luò)安全法》及其他與個(gè)人信息保護(hù)相關(guān)的法律法規(guī)。
目前,我國(guó)的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》總體上更側(cè)重于國(guó)家層面的網(wǎng)絡(luò)和數(shù)據(jù)安全,對(duì)于個(gè)人數(shù)據(jù)保護(hù)方面的要求相對(duì)籠統(tǒng),且該法配套的規(guī)范文件《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》仍在制定過(guò)程中,目前主管部門(mén)發(fā)布的征求意見(jiàn)稿僅供參考,難以為奧組委跨境傳輸相關(guān)的個(gè)人數(shù)據(jù)出境提供確切的指引。綜合現(xiàn)有的法律法規(guī)來(lái)看①主要參考法規(guī):1)《網(wǎng)絡(luò)安全法》第37條:關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ),因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評(píng)估;2)《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》第4條: 個(gè)人信息出境,應(yīng)向個(gè)人信息主體說(shuō)明數(shù)據(jù)出境的目的、范圍、內(nèi)容、接收方及接收方所在的國(guó)家或地區(qū),并經(jīng)其同意。未成年人個(gè)人信息出境須經(jīng)其監(jiān)護(hù)人同意。,我國(guó)強(qiáng)調(diào)“數(shù)據(jù)主體同意”的原則,要求個(gè)人數(shù)據(jù)出境應(yīng)向數(shù)據(jù)主體說(shuō)明數(shù)據(jù)出境的目的、范圍、內(nèi)容、接收方以及接收方所在的國(guó)家或地區(qū),經(jīng)個(gè)人同意后方可傳輸出境,涉及未成年人的信息還需監(jiān)護(hù)人同意。同時(shí),重視數(shù)據(jù)出境的安全評(píng)估,要求在境內(nèi)產(chǎn)生的個(gè)人數(shù)據(jù)需本地存儲(chǔ),確實(shí)需要向境外提供的,應(yīng)按照監(jiān)管部門(mén)制定的辦法進(jìn)行安全評(píng)估。因此,我國(guó)的法律法規(guī)中可能影響2022年北京冬奧組委履行跨境傳輸個(gè)人數(shù)據(jù)義務(wù)的要求主要包括數(shù)據(jù)主體授權(quán)和安全評(píng)估兩個(gè)方面,這意味著屆時(shí)傳輸相關(guān)的個(gè)人數(shù)據(jù)出境可能需要數(shù)據(jù)主體的進(jìn)一步同意,并經(jīng)監(jiān)管機(jī)構(gòu)評(píng)估。
根據(jù)主辦城市合同及其附件的具體要求,奧組委應(yīng)在國(guó)際奧委會(huì)的授權(quán)下,根據(jù)國(guó)際奧委會(huì)的指示、《世界反興奮劑條例》以及國(guó)際奧委會(huì)將在奧運(yùn)會(huì)舉行期間實(shí)施的《國(guó)際奧委會(huì)反興奮劑規(guī)則》的規(guī)定,自費(fèi)建立并實(shí)施反興奮劑檢測(cè)。因此,當(dāng)需要傳輸?shù)膫€(gè)人數(shù)據(jù)屬于與醫(yī)療服務(wù)或反興奮劑活動(dòng)有關(guān)的敏感信息時(shí),承辦方對(duì)運(yùn)動(dòng)員及相關(guān)人員個(gè)人敏感數(shù)據(jù)的處理需符合WADA制定的具有強(qiáng)制約束力的《隱私標(biāo)準(zhǔn)》的要求。
從《隱私標(biāo)準(zhǔn)》的結(jié)構(gòu)體系及其內(nèi)容來(lái)看,影響承辦方在反興奮劑活動(dòng)中履行特別義務(wù)的規(guī)定主要包括以下幾個(gè)方面:
首先,《隱私標(biāo)準(zhǔn)》對(duì)“敏感個(gè)人信息(sensitive personal information)”的定義為承辦方履行義務(wù)劃定了明確的范圍,與參與者的種族或族裔、犯罪、健康(包括從分析運(yùn)動(dòng)員樣本或樣本中獲得的信息)以及與生物特征和遺傳信息有關(guān)的個(gè)人信息。之所以將上述信息稱(chēng)之為“敏感”并予以特別保護(hù),主要與其泄露、非法提供或?yàn)E用可能對(duì)個(gè)人生活、名譽(yù)、身心健康等造成的嚴(yán)重?fù)p害有關(guān)。2
其次,《隱私標(biāo)準(zhǔn)》對(duì)“處理”的定義②《隱私標(biāo)準(zhǔn)》將“處理”定義為:收集、保存、儲(chǔ)存、披露、傳輸、傳播、修改、刪除或以其他方式使用個(gè)人信息。中明確包括了“傳輸”這一活動(dòng),意味著即使文本中除定義外,未出現(xiàn)明確地對(duì)敏感個(gè)人數(shù)據(jù)跨境傳輸?shù)囊?,也可參考WADA對(duì)處理個(gè)人敏感數(shù)據(jù)的要求操作。
再次,《隱私標(biāo)準(zhǔn)》于2018年修改后采納了較為嚴(yán)格的個(gè)人信息保護(hù)標(biāo)準(zhǔn),要求反興奮劑組織只有在取得與個(gè)人信息有關(guān)的參與者或個(gè)人的明確同意后,方能處理敏感個(gè)人信息,且應(yīng)當(dāng)按照適用的數(shù)據(jù)保護(hù)法律法規(guī)規(guī)定的具體保障措施或程序進(jìn)行。按照該項(xiàng)要求,在奧運(yùn)會(huì)舉辦過(guò)程中負(fù)責(zé)反興奮劑工作的承辦方在處理敏感個(gè)人信息方面也將負(fù)擔(dān)合規(guī)義務(wù),可能因此受到GDPR的影響。例如,當(dāng)運(yùn)動(dòng)員的尿樣或血樣需要送往WADA認(rèn)證的歐洲實(shí)驗(yàn)室檢測(cè)時(shí),難免涉及敏感的個(gè)人數(shù)據(jù)的跨境傳輸問(wèn)題,雖然根據(jù)GDPR第49條所列的例外情形及前言第112項(xiàng)③GDPR前言的第112條“為公共利益等重要理由傳輸數(shù)據(jù)”中申明:豁免的例外情形適用于基于重大公共利益而需進(jìn)行的數(shù)據(jù)轉(zhuǎn)移,例如……為減少或消除在體育競(jìng)技比賽中使用興奮劑之間的國(guó)際數(shù)據(jù)交換。的說(shuō)明,基于反興奮劑目的而收集歐盟境內(nèi)的數(shù)據(jù)主體的敏感數(shù)據(jù)可被豁免以取得接收數(shù)據(jù)的資格,但因該實(shí)驗(yàn)室在歐盟境內(nèi),承辦方仍需遵守GDPR的程序規(guī)則來(lái)獲取數(shù)據(jù)。
最后,在對(duì)個(gè)人敏感信息的處理上,WADA還對(duì)反興奮劑組織提出了更為詳細(xì)的告知義務(wù),包括收集信息的反興奮劑組織的資格身份;將處理的個(gè)人信息類(lèi)型;收集的個(gè)人信息的用途;個(gè)人信息潛在接受者的類(lèi)別;在適用法律允許的情況下,公開(kāi)披露個(gè)人信息的可能性;參與者在國(guó)際標(biāo)準(zhǔn)下的個(gè)人信息權(quán)利及行使權(quán)利的方式;向監(jiān)管機(jī)構(gòu)投訴的可能性與程序;個(gè)人信息存儲(chǔ)期限;以及確保公平處理個(gè)人信息所需的其他信息。
可見(jiàn),對(duì)于涉及醫(yī)療與反興奮劑的個(gè)人敏感信息,作為數(shù)據(jù)主體的運(yùn)動(dòng)員及相關(guān)人員應(yīng)享有必要的知情權(quán)、決定權(quán),不論是擁有奧運(yùn)會(huì)的數(shù)據(jù)所有權(quán)的國(guó)際奧委會(huì)還是因負(fù)責(zé)承辦奧運(yùn)賽事而獲得部分權(quán)利處理個(gè)人敏感信息的奧組委,在收集、傳輸及其他處理環(huán)節(jié)中應(yīng)充分尊重?cái)?shù)據(jù)主體的權(quán)利。
結(jié)合合同條款、附件明細(xì)、法學(xué)理論、相關(guān)法律文件以及具體實(shí)踐對(duì)奧運(yùn)賽事承辦方需履行的跨境傳輸個(gè)人數(shù)據(jù)義務(wù)進(jìn)行評(píng)估,可以發(fā)現(xiàn)體育領(lǐng)域的數(shù)據(jù)保護(hù)意識(shí)整體上朝著積極的方向發(fā)展。因奧運(yùn)會(huì)涉及大量的個(gè)人數(shù)據(jù)出入境,國(guó)際奧委會(huì)等國(guó)際體育組織對(duì)一般個(gè)人信息處理的合規(guī)要求予以了充分的重視,合同條款在全球數(shù)據(jù)保護(hù)立法、修法熱潮的影響下得以不斷細(xì)化;而反興奮劑方面,因涉及的個(gè)人信息更為敏感,已更早地形成了嚴(yán)格且強(qiáng)制適用的規(guī)范,且從奧運(yùn)會(huì)反興奮劑工作的分工安排來(lái)看,主要部分仍由國(guó)際奧委會(huì)及其附屬委員會(huì)與WADA合作完成,可以在一定程度上減輕承辦方履約的負(fù)擔(dān)。
但仍有個(gè)別問(wèn)題需要進(jìn)一步明確,包括但不限于合同變更的追溯適用、數(shù)據(jù)主體權(quán)利的真實(shí)保障、國(guó)際奧委會(huì)等國(guó)際體育組織的數(shù)據(jù)接收資格、東道國(guó)數(shù)據(jù)監(jiān)管的干預(yù)等。
國(guó)際奧委會(huì)與時(shí)俱進(jìn)地提高承辦方在個(gè)人信息保護(hù)方面的責(zé)任,固然響應(yīng)了多數(shù)利益相關(guān)方的呼聲,也符合其改革的目標(biāo)和方向。但鑒于國(guó)際奧委會(huì)與奧會(huì)賽事承辦方的一切行動(dòng)建立在合同法律關(guān)系的基礎(chǔ)上,后提出的新要求能否追溯適用于在先訂立的合同,是否符合合同適用的一般法理等問(wèn)題的答案對(duì)承辦方履行義務(wù)的判定至關(guān)重要,值得探討。
首先,《主辦城市合同》屬于體育領(lǐng)域特有的賽事承辦合同,在性質(zhì)上類(lèi)似于委托合同①需明確的是,奧運(yùn)賽事的承辦合同與一般的委托合同仍有一定的區(qū)別,不能將兩者完全等同起來(lái),主要是因?yàn)椤吨鬓k城市合同》文件中已明確排除了當(dāng)事人之間具有代理關(guān)系的可能性,且作為主辦方的國(guó)際奧委會(huì)無(wú)需為承辦方的行為承擔(dān)連帶責(zé)任。,在形式上表現(xiàn)為格式合同,合同標(biāo)的為賽事的承辦權(quán),主體一方涉外,并具有公私混合的表征②公私混合的表征指奧運(yùn)賽事承辦合同在簽訂時(shí)通常以申辦城市的政府和國(guó)家?jiàn)W委會(huì)為代表,且賽事運(yùn)作的過(guò)程中離不開(kāi)當(dāng)?shù)卣臋?quán)力配合,表面上具有行政合同的屬性,但實(shí)際上賽事承辦合同屬于涉外民事合同,不宜將合同中的“城市”視為行政主體,否則可能影響對(duì)承辦方履行義務(wù)的判斷。。結(jié)合《憲章》規(guī)定的賽事承辦城市遴選程序與《主辦城市合同》中的基本原則、主要條款及其修辭來(lái)看,雖然此類(lèi)合同是雙方當(dāng)事人基于合意自愿締結(jié)而成的,但主體雙方的權(quán)利義務(wù)并不平等,主要表現(xiàn)為:1)合同文本并非雙方當(dāng)事人共同擬定,而是由國(guó)際奧委會(huì)事先根據(jù)《憲章》、國(guó)際慣例及其他相關(guān)文件制定完畢并發(fā)送給申辦城市,如果申辦城市不接受則其申請(qǐng)將無(wú)法通過(guò);2)由于主辦方獨(dú)享奧運(yùn)會(huì)所有權(quán)利,事實(shí)上處于優(yōu)勢(shì)地位,承辦方為獲取承辦權(quán)勢(shì)必在一些方面要做出讓步,如放棄用于奧運(yùn)會(huì)、賽事轉(zhuǎn)播及所使用的相關(guān)設(shè)備的納稅權(quán)等(侯亞楠,2018)。因此,從產(chǎn)生雙方權(quán)利義務(wù)法律關(guān)系的合同本身來(lái)看,雖然締約雙方在身份上應(yīng)被視為平等的從事民事活動(dòng)的主體,但實(shí)際上國(guó)際奧委會(huì)掌握更多的主動(dòng)權(quán),通過(guò)在合同中設(shè)定的格式條款可以實(shí)現(xiàn)追溯適用。
其次,現(xiàn)有的各版本《主辦城市合同》及其配套文件中相關(guān)的條款雖未明確指示追溯適用,但可以提供一些參考。以2022年北京冬奧會(huì)為例,2015年簽訂的合同文本第6條“主辦城市合同詳細(xì)義務(wù)的發(fā)展”和第7條“主辦城市選舉后所做的修改或變更”為國(guó)際奧委會(huì)修改或發(fā)布新版本的《詳細(xì)義務(wù)》提供了依據(jù)。第6條主要為“修改或更新合同詳細(xì)義務(wù)”提供了理由,結(jié)合實(shí)踐來(lái)看,從雙方訂立合同到舉辦賽事間隔約7年時(shí)間,此前約定的義務(wù)內(nèi)容難免因政策、技術(shù)和其他方面的變化而遭遇履行困難等情形,其中一些變化可能明顯超出合同各方的控制,因此,不難理解國(guó)際奧委會(huì)保留修改《主辦城市合同詳細(xì)義務(wù)》和發(fā)布新版本的權(quán)利的初衷。第7條則列明了承辦方在“修改或更新”方面的權(quán)利義務(wù),即承辦方有適應(yīng)國(guó)際奧委會(huì)所做的修改或變更,以主辦方確定的最佳方式組織奧運(yùn)會(huì)的義務(wù),但如果此類(lèi)修改對(duì)其利益有重大影響時(shí),應(yīng)及時(shí)向主辦方說(shuō)明,雙方采用談判的方式協(xié)商解決,如果不能達(dá)成協(xié)議,則將提交仲裁解決。此外,在北京冬奧會(huì)的《主辦城市合同-詳細(xì)義務(wù)》文件中還明確提到了該文件適用于其他版本的奧運(yùn)賽事合同的可能性,允許國(guó)際奧委會(huì)決定將文件所載的部分或全部義務(wù)也適用于在先的2018年第23屆冬奧會(huì)主辦城市合同或2020年第32屆奧運(yùn)會(huì)主辦城市合同,由此可見(jiàn)奧運(yùn)賽事合同對(duì)追溯適用的態(tài)度(International Olympic Committee,2015b)。34
雖然北京冬奧會(huì)簽署的合同中允許對(duì)《詳細(xì)義務(wù)》文件的修改或變更,但不可忽略的是,2015年后《詳細(xì)義務(wù)》在后續(xù)的文件中就已被《操作要求》所取代,能否直接將兩者等同,從而追溯適用《操作要求》的條款還有待商榷。從目前3個(gè)版本的《操作要求》對(duì)追溯適用的態(tài)度來(lái)看,2015年和2016年的版本中均明確包含“適用于其他版本的奧運(yùn)會(huì)和冬奧會(huì)”這一條款,以支持國(guó)際奧委會(huì)與奧運(yùn)組委會(huì)在協(xié)調(diào)的基礎(chǔ)上,將更新的內(nèi)容全部或部分追溯適用于先前的合同,但規(guī)定的較為簡(jiǎn)單,并沒(méi)有涉及協(xié)調(diào)的具體情形。而2018年版的《操作要求》中卻沒(méi)有出現(xiàn)較為醒目的追溯適用條款,僅在“定期更新主辦城市合同操作要求”條款③該條款指出,為了提高效率和適用快速發(fā)展的世界,奧運(yùn)會(huì)的模式一直在發(fā)展,這就要求國(guó)際奧委會(huì)和國(guó)際殘奧會(huì)定期審查和更新操作要求。同時(shí)在承辦城市選舉之后更新的操作要求的適用,應(yīng)有國(guó)際奧委會(huì)和有關(guān)各方根據(jù)《主辦城市合同-原則》中規(guī)定的變更管理機(jī)制達(dá)成一致。中提到更新后的適用需經(jīng)2018年制定的《主辦城市合同-原則》文件第30條規(guī)定的變更管理機(jī)制(change management process)①該條款規(guī)定的“變更管理機(jī)制”的內(nèi)容與《主辦城市合同-詳細(xì)義務(wù)》第7條規(guī)定的協(xié)調(diào)程序相似,要求承辦方根據(jù)國(guó)際奧委會(huì)對(duì)《主辦城市合同-操作要求》的修改或更新及時(shí)調(diào)整其奧運(yùn)會(huì)計(jì)劃,如果相關(guān)更新可能產(chǎn)生重大不利影響,則通過(guò)談判解決,不能達(dá)成協(xié)議的將提交有約束力的仲裁。此外,該條款設(shè)置了一段期間,要求承辦方在規(guī)定期限內(nèi)書(shū)面確認(rèn)同意主辦方所做修改或更新。達(dá)成一致,結(jié)合相關(guān)條文來(lái)看,對(duì)追溯適用仍持“原則上允許,重大不利影響例外”的態(tài)度。
最后,在先的承辦城市追溯適用新《操作要求》的實(shí)踐也可以為之后舉辦奧運(yùn)會(huì)的城市提供一些思路。以即將于2020年舉辦的東京奧運(yùn)會(huì)為例,該屆奧運(yùn)會(huì)的主辦城市合同雖于2013年訂立,且訂立時(shí)并沒(méi)有任何詳細(xì)義務(wù)的附件,但最終以與國(guó)際奧委會(huì)簽訂補(bǔ)充協(xié)議的方式追溯適用了國(guó)際奧委會(huì)2015年發(fā)布的《主辦城市合同-操作要求》,該協(xié)議載于附錄1中,與附錄2以及2015年的《操作要求》共同構(gòu)成東京奧運(yùn)會(huì)合同的一部分。因此,即使先合同沒(méi)有相關(guān)的配套性義務(wù)明細(xì),承辦方也可以考慮采用訂立補(bǔ)充協(xié)議的方式與奧委會(huì)就新要求的追溯適用或一些新問(wèn)題的分歧達(dá)成諒解。
綜合上述分析可知,倘若國(guó)際奧委會(huì)于2018年制定的新《操作要求》可為2022年北京冬奧會(huì)承辦方同意接受,則產(chǎn)生追溯適用的效果,即新要求中對(duì)個(gè)人信息保護(hù)方面的要求或?qū)⒊蔀楸本┒瑠W會(huì)承辦方跨境傳輸個(gè)人數(shù)據(jù)的合規(guī)義務(wù)來(lái)源。
通過(guò)對(duì)合規(guī)義務(wù)內(nèi)容的梳理可以發(fā)現(xiàn),不論是GDPR、我國(guó)的數(shù)據(jù)保護(hù)立法還是WADA制定的國(guó)際標(biāo)準(zhǔn)都強(qiáng)調(diào)充分尊重?cái)?shù)據(jù)主體的權(quán)利,如GDPR將數(shù)據(jù)主體的“知情同意”作為個(gè)人數(shù)據(jù)跨境傳輸至第三國(guó)或國(guó)際組織的豁免條件,而我國(guó)法與《隱私標(biāo)準(zhǔn)》則將“知情同意”作為個(gè)人數(shù)據(jù)出境的重要前提。
但在體育領(lǐng)域,以格式合同條款為代表的強(qiáng)制“知情同意”可能導(dǎo)致數(shù)據(jù)主體的授權(quán)被濫用,甚至因此難獲救濟(jì)。造成這一現(xiàn)象的主要原因是數(shù)據(jù)主體(運(yùn)動(dòng)員)與數(shù)據(jù)控制者(反興奮劑組織、承辦方或國(guó)際奧委會(huì))之間存在顯著失衡,具體表現(xiàn)為:運(yùn)動(dòng)員想要參加比賽必須事前與體育組織或賽事組織方簽訂參賽合同,合同中通常包括運(yùn)動(dòng)員“同意”體育組織收集并處理其個(gè)人信息的條款,但運(yùn)動(dòng)員在授權(quán)時(shí)又明顯欠缺決定權(quán),因?yàn)槿魏尾挥枳?cè)、提供信息或拒絕“同意”的行為都將導(dǎo)致其無(wú)法參賽;同時(shí),根據(jù)合同意思自治原則,當(dāng)數(shù)據(jù)控制者通過(guò)參賽合同獲得了運(yùn)動(dòng)員的授權(quán)后,除非違背運(yùn)動(dòng)員母國(guó)或東道國(guó)當(dāng)?shù)胤芍械膹?qiáng)制性規(guī)則,他方將不能干涉,即“知情同意”條款可能構(gòu)成運(yùn)動(dòng)員日后向數(shù)據(jù)控制方主張隱私權(quán)及個(gè)人信息權(quán)利的障礙(楊春然,2018)。因此,以運(yùn)動(dòng)員的“知情同意”作為個(gè)人數(shù)據(jù)跨境傳輸至第三方或國(guó)際組織的法律基礎(chǔ)是相對(duì)脆弱的,即使運(yùn)動(dòng)員的同意在反興奮劑工作中已被普遍接受,也僅能被視為一項(xiàng)無(wú)可避免地法律要求,還需要法律提供其他的保障(Jacob et al., 2017)。
在奧運(yùn)賽事中,此類(lèi)隱蔽的霸王條款也可能出現(xiàn)在為奧運(yùn)會(huì)服務(wù)的數(shù)字平臺(tái)跨境提供服務(wù)或商品的過(guò)程中。例如,消費(fèi)者為獲得平臺(tái)提供的票務(wù)、紀(jì)念品等需要在線注冊(cè),并點(diǎn)擊確認(rèn)用戶(hù)注冊(cè)協(xié)議,用戶(hù)注冊(cè)協(xié)議的準(zhǔn)入性質(zhì)與電子合同的特殊形式使平臺(tái)有機(jī)會(huì)利用其優(yōu)勢(shì)地位濫用契約自由原則(王紅霞 等,2016)。而大多情況下,由于用戶(hù)并沒(méi)有耐心看完冗長(zhǎng)且不醒目的授權(quán)條款,無(wú)論是否真實(shí)“知情并同意”一概接受,以至于無(wú)形中為個(gè)人信息被提供給第三方或?yàn)E用埋下隱患。因此,采取措施規(guī)范奧運(yùn)會(huì)合作方跨境提供服務(wù)或商品的格式條款,避免相關(guān)數(shù)據(jù)主體的授權(quán)被濫用,亦是賽事承辦方履行義務(wù)需要考慮的問(wèn)題。
根據(jù)GDPR第五章的規(guī)定,除第三國(guó)外,國(guó)際組織也可以在獲得歐委會(huì)的充分性決議后成為傳輸個(gè)人數(shù)據(jù)的安全港,由此產(chǎn)生的問(wèn)題是:以國(guó)際奧委會(huì)為代表的國(guó)際體育組織能否獲得相關(guān)認(rèn)證,及如何獲得認(rèn)證?
從條例給出的定義來(lái)看,此處的國(guó)際組織指的是依照國(guó)際公法,或根據(jù)兩個(gè)或多個(gè)國(guó)家協(xié)議所設(shè)立的組織及其下屬機(jī)構(gòu),并非國(guó)際法學(xué)者們研究的嚴(yán)格意義上的政府間國(guó)際組織,因此在此語(yǔ)境下,以國(guó)際奧委會(huì)為代表的作為私法人的非政府間國(guó)際組織在滿(mǎn)足條件的情況下也可以獲得充分保護(hù)水平的認(rèn)證,從而獲得法律上的確定性,無(wú)需再經(jīng)授權(quán)轉(zhuǎn)移數(shù)據(jù)。6
目前,雖未發(fā)現(xiàn)任何有關(guān)歐委會(huì)認(rèn)可國(guó)際體育組織為數(shù)據(jù)跨境傳輸安全港的文件,但從WADA在GDPR影響下委托知名律師事務(wù)所對(duì)其反興奮劑管理系統(tǒng)與歐洲數(shù)據(jù)保護(hù)法的兼容性出具的法律意見(jiàn)中可以獲取一些思路:反興奮劑運(yùn)行管理系統(tǒng)②該系統(tǒng)包括運(yùn)動(dòng)員的行蹤信息、興奮劑的結(jié)果管理平臺(tái)、治療用藥豁免的管理以及存儲(chǔ)信息的中樞等多個(gè)模塊,便于利益相關(guān)方(運(yùn)動(dòng)員或其指定代表、體育組織、實(shí)驗(yàn)室、反興奮劑組織等)隨時(shí)更新和共享數(shù)據(jù),其訪問(wèn)的權(quán)限和數(shù)據(jù)使用權(quán)一般是通過(guò)與使用者簽訂保密協(xié)議來(lái)預(yù)先設(shè)定的,且ADAMS需符合反興奮劑組織所在國(guó)家的數(shù)據(jù)保護(hù)法的要求以及WADA制定的《隱私標(biāo)準(zhǔn)》的規(guī)定。(Anti-Doping Administration & Management System,ADAMS),是WADA為簡(jiǎn)化各利益相關(guān)方和運(yùn)動(dòng)員的日?;顒?dòng)(運(yùn)動(dòng)員提供行蹤信息、實(shí)驗(yàn)室提交檢測(cè)報(bào)告及反興奮劑組織管理結(jié)果等)而特別開(kāi)發(fā)的在線數(shù)據(jù)管理系統(tǒng)。就該系統(tǒng)跨境傳輸數(shù)據(jù)方面,法律意見(jiàn)指出,雖然歐洲數(shù)據(jù)保護(hù)法律限制個(gè)人數(shù)據(jù)從歐盟轉(zhuǎn)移到歐盟以外未經(jīng)歐委會(huì)充分性決議的國(guó)家,但ADAMS顯然受益于WADA總部在加拿大的運(yùn)營(yíng),該國(guó)恰巧是少數(shù)獲得的充分性保護(hù)決議認(rèn)證的國(guó)家,因此歐洲的反興奮劑機(jī)構(gòu)有資格向WADA傳輸數(shù)據(jù),以履行相關(guān)的數(shù)據(jù)傳輸協(xié)議的合同義務(wù)??梢?jiàn),國(guó)際體育組織的數(shù)據(jù)接收資格與其設(shè)立地所在國(guó)或監(jiān)管機(jī)構(gòu)所在國(guó)有關(guān),相關(guān)數(shù)據(jù)保護(hù)法律條款的規(guī)定也充分暗示了這一點(diǎn)。根據(jù)GDPR第45條第2款,歐委會(huì)在評(píng)估充分保護(hù)程度時(shí)將重點(diǎn)考慮:1)法治、尊重人權(quán)和基本自由、數(shù)據(jù)保護(hù)規(guī)則、數(shù)據(jù)跨境傳輸規(guī)則及安全措施等;2)第三國(guó)境內(nèi)是否存在約束國(guó)際組織的獨(dú)立監(jiān)管機(jī)構(gòu)以及是否有效運(yùn)作;3)是否存在第三國(guó)或國(guó)際組織達(dá)成的國(guó)際承諾、具有約束力的公約或文件等。結(jié)合前言部分對(duì)立法、締約等情況的說(shuō)明來(lái)看,國(guó)際組織能否獲得歐委會(huì)的決議認(rèn)可,確實(shí)與其設(shè)立地或經(jīng)營(yíng)地所在國(guó)的數(shù)據(jù)保護(hù)水平有關(guān)。因此,總部位于瑞士洛桑的國(guó)際奧委會(huì)、總部位于德國(guó)波恩的國(guó)際殘奧委會(huì)以及總部位于瑞士蘇黎世的國(guó)際足聯(lián)等國(guó)際體育組織可充分利用其地理優(yōu)勢(shì)獲得歐委會(huì)在個(gè)人數(shù)據(jù)跨境傳輸方面的認(rèn)可。但這種優(yōu)勢(shì)造成的不公平可能引發(fā)其他設(shè)立或經(jīng)營(yíng)地不在歐洲境內(nèi)、所在國(guó)也尚未獲得歐盟認(rèn)證的體育組織的不滿(mǎn),且獲得充分保護(hù)水平認(rèn)證的國(guó)際組織并不能通過(guò)合同分享其許可,仍需要與未獲得充分性保護(hù)水平認(rèn)證而不得不另尋他法的賽事承辦方有所協(xié)調(diào)。
此外,奧運(yùn)賽事中承辦方收集個(gè)人信息的風(fēng)險(xiǎn),還包括東道國(guó)政府以安全名義監(jiān)管,但實(shí)際超出必要范圍收取和使用數(shù)據(jù)。在2014年第22屆索契冬奧會(huì)上,俄羅斯當(dāng)局以確保奧運(yùn)賽事的安全為由,對(duì)該次運(yùn)動(dòng)會(huì)進(jìn)行了全方位的監(jiān)管,通過(guò)Cookies技術(shù)、電話以及其他的通信設(shè)施,全面地收集游客(包括觀眾)、運(yùn)動(dòng)員、輔助人員和體育組織的官員等的個(gè)人信息,但俄羅斯當(dāng)局對(duì)這種信息的使用實(shí)際上遠(yuǎn)超過(guò)其收集數(shù)據(jù)時(shí)所宣稱(chēng)的保護(hù)冬奧會(huì)安全的目的,如通過(guò)軟件分析關(guān)鍵詞的方式來(lái)研究比賽結(jié)束后人們的行為等(Rein et al.,2016)。有學(xué)者認(rèn)為,對(duì)于此種情況,國(guó)際體育組織應(yīng)當(dāng)設(shè)置強(qiáng)制性的規(guī)定,責(zé)令相應(yīng)組織應(yīng)當(dāng)將上述情況下所收集的個(gè)人信息銷(xiāo)毀,并且對(duì)擅自使用運(yùn)動(dòng)員個(gè)人信息的行為進(jìn)行處罰,除非這已經(jīng)取得了運(yùn)動(dòng)員的同意(楊春然,2018)。
在這一說(shuō)法上存在的問(wèn)題是:雖然國(guó)際奧委會(huì)與主辦城市、國(guó)家?jiàn)W委會(huì)就奧運(yùn)賽事的舉辦達(dá)成合意,從而形成了具有法律約束力的契約關(guān)系,作為奧運(yùn)會(huì)相關(guān)數(shù)據(jù)的所有權(quán)主體,國(guó)際奧委會(huì)可基于合同要求承辦方在授權(quán)使用及傳輸完成后及時(shí)刪除所收集的個(gè)人信息,但是否有權(quán)處罰擅自使用運(yùn)動(dòng)員個(gè)人信息的承辦方?且私法合同層面的約束能否實(shí)在對(duì)抗東道國(guó)政府基于安全理由開(kāi)展的監(jiān)控行為?如果不能,應(yīng)通過(guò)何種方式解決各國(guó)參與人員的此種普遍擔(dān)憂。
應(yīng)當(dāng)明確的是,《奧林匹克憲章》作為“準(zhǔn)國(guó)際法”雖然在體育領(lǐng)域具有絕對(duì)的影響力,但其約束的對(duì)象始終是國(guó)際奧委會(huì)、國(guó)際單項(xiàng)體育聯(lián)合會(huì)、國(guó)家?jiàn)W委會(huì)、組委會(huì)及俱樂(lè)部和個(gè)人,不能超出體育自治的范圍,尤其無(wú)法約束一國(guó)政府的公法行為。而國(guó)際奧委會(huì)與承辦方之間始終為契約關(guān)系,根據(jù)主辦城市合同“基本原則”的要求,城市、國(guó)家?jiàn)W委會(huì)與奧組委對(duì)于所簽署的所有保證、承諾、聲明、契約義務(wù)等負(fù)有連帶責(zé)任,因違法合同而導(dǎo)致的任何直接或間接賠償、責(zé)任等,國(guó)際奧委會(huì)有權(quán)對(duì)上述承辦方采取法律措施,即通過(guò)仲裁解決。
可見(jiàn),東道國(guó)的過(guò)度監(jiān)管行為一旦上升至公法層面,將難以約束,僅能在私法層面以違約或侵權(quán)等方式抗?fàn)?,更多的還需要東道國(guó)政府遵守申辦承諾,恪守契約精神,避免過(guò)分干預(yù)。
目前看來(lái),要解決奧運(yùn)賽事承辦方在履行跨境傳輸個(gè)人數(shù)據(jù)的合規(guī)義務(wù)過(guò)程中遇到的理論與實(shí)踐層面的問(wèn)題,包括追溯適用的不確定性、GDPR跨境接收個(gè)人數(shù)據(jù)資格、東道國(guó)可能阻礙個(gè)人數(shù)據(jù)出境的立法、濫用格式條款損害數(shù)據(jù)主體利益及東道國(guó)政府利用數(shù)據(jù)監(jiān)視等,可行的路徑是采用2018年版《主辦城市合同-操作要求》中給出的方案①2018年版《操作要求》“ACR 05 個(gè)人信息保護(hù)”條款中指出,“(為在必要范圍內(nèi)遵守所有可適用的法律法規(guī))必要時(shí)與國(guó)際奧委會(huì)、國(guó)際殘奧委會(huì)或任何相關(guān)第三方就處理注冊(cè)人員的個(gè)人信息達(dá)成進(jìn)一步協(xié)議,并采取必要措施,包括酌情與東道國(guó)或其他地區(qū)的數(shù)據(jù)監(jiān)管機(jī)構(gòu)協(xié)調(diào)。”,即協(xié)商訂立有關(guān)個(gè)人數(shù)據(jù)處理的補(bǔ)充協(xié)議,以進(jìn)一步細(xì)化賽事承辦合同對(duì)個(gè)人數(shù)據(jù)跨境傳輸?shù)囊?,并在?shí)踐中產(chǎn)生的一些未決問(wèn)題上達(dá)成共識(shí)。
首先,對(duì)于未獲得充分的保護(hù)程度認(rèn)證的東道國(guó),通過(guò)談判在最大限度內(nèi)達(dá)成合意的靈活性顯然優(yōu)于歐盟單方的充分性評(píng)估機(jī)制,且?jiàn)W運(yùn)會(huì)的所有數(shù)據(jù)為承辦方所收集后,還需提供給國(guó)際奧委會(huì)和國(guó)際殘奧委會(huì)及其控制的第三方,通過(guò)協(xié)議的方式可以實(shí)現(xiàn)為多方取得接收相關(guān)個(gè)人數(shù)據(jù)的資格;其次,通過(guò)協(xié)議可以適當(dāng)提高體育組織、賽事承辦方的告知義務(wù),如采取特別聲明的方式確保注冊(cè)人員對(duì)所提供的個(gè)人信息的用途、傳輸?shù)取爸楹笸狻?;最后,盡管與國(guó)際奧委會(huì)簽訂協(xié)議的是主辦城市,但一國(guó)的某一城市舉辦奧運(yùn)會(huì)實(shí)際上離不開(kāi)政府的配合,在保障承辦合同中的各項(xiàng)義務(wù)得到切實(shí)履行上,東道國(guó)政府無(wú)法推卸責(zé)任。從這一點(diǎn)出發(fā),可以通過(guò)協(xié)議方式,協(xié)調(diào)東道國(guó)法律中可能影響奧組委履行將個(gè)人數(shù)據(jù)傳輸給國(guó)際奧委會(huì)的要求,如東道國(guó)法規(guī)要求個(gè)人數(shù)據(jù)出境需獲得數(shù)據(jù)主體的進(jìn)一步同意與原合同要求國(guó)際奧委會(huì)獲取信息無(wú)需數(shù)據(jù)主體進(jìn)一步授權(quán)之間的沖突等。
總體而言,補(bǔ)充協(xié)議的訂立需建立在充分尊重?cái)?shù)據(jù)主體基本權(quán)利的基礎(chǔ)上,明確協(xié)議的性質(zhì)屬于涉外民事合同,承辦方(城市、國(guó)家?jiàn)W委會(huì)和奧運(yùn)會(huì)組委會(huì))作為民事主體時(shí)所做的承諾,在不違反東道國(guó)強(qiáng)制性規(guī)則或損害該國(guó)利益的范圍內(nèi),應(yīng)得到政府當(dāng)局的尊重。
但協(xié)議的達(dá)成僅僅是解決問(wèn)題的第一步,最終需要由各方采取措施將合同、操作要求與補(bǔ)充協(xié)議的內(nèi)容落到實(shí)處,否則上述文件將淪為一紙空文。鑒于奧運(yùn)賽事及其產(chǎn)生的所有數(shù)據(jù)的所有權(quán)歸國(guó)際奧委會(huì)所有,而與賽事有關(guān)的數(shù)據(jù)的收集、處理、傳輸?shù)然顒?dòng)主要由奧運(yùn)賽事的承辦方負(fù)責(zé),本研究認(rèn)為上述兩個(gè)主體在落實(shí)個(gè)人數(shù)據(jù)跨境傳輸合規(guī)要求的過(guò)程中缺一不可,需共同合作以完成合規(guī)監(jiān)管機(jī)制的構(gòu)建。
就國(guó)際奧委會(huì)而言,建議成立專(zhuān)門(mén)的數(shù)據(jù)委員會(huì)或加強(qiáng)協(xié)調(diào)委員會(huì)①協(xié)調(diào)委員會(huì)是合同中明確要求的,在國(guó)際奧委會(huì)主導(dǎo)下為奧運(yùn)會(huì)特別成立的獨(dú)立委員會(huì),主要處理奧組委與主辦國(guó)政府各部門(mén)與國(guó)際奧委會(huì)、國(guó)際聯(lián)合會(huì)和各國(guó)家(地區(qū))奧委會(huì)之間的關(guān)系。在個(gè)人信息處理與跨境傳輸合規(guī)方面的外部監(jiān)督作用,同時(shí)對(duì)適用數(shù)據(jù)保護(hù)法可能產(chǎn)生的沖突、數(shù)據(jù)保護(hù)補(bǔ)充協(xié)議在具體實(shí)踐中產(chǎn)生的新問(wèn)題,以及東道國(guó)數(shù)據(jù)監(jiān)管機(jī)構(gòu)審查、攔截或數(shù)據(jù)他用等情形進(jìn)行及時(shí)地協(xié)調(diào),必要時(shí)對(duì)違約的承辦方追究法律責(zé)任。
就奧運(yùn)賽事的承辦方而言,其在事實(shí)上承擔(dān)著合規(guī)自審與監(jiān)管的主要職責(zé)。從GDPR出臺(tái)后,2020年?yáng)|京奧運(yùn)會(huì)承辦方在隱私政策方面所做的努力來(lái)看,奧運(yùn)賽事中的個(gè)人數(shù)據(jù)跨境傳輸正積極向合規(guī)的方向靠攏,但仍存在一些問(wèn)題。根據(jù)2020年?yáng)|京奧運(yùn)會(huì)官方網(wǎng)站公布的《隱私政策》,東京組委會(huì)將遵守本國(guó)的《個(gè)人信息保護(hù)法》和所有其他相關(guān)的法律法規(guī),承諾將通過(guò)適當(dāng)?shù)某绦颢@取個(gè)人信息、采取適當(dāng)措施以安全地管理個(gè)人信息、限制向第三方提供個(gè)人信息、在個(gè)人信息的披露、更正、添加、刪除等方面采取適當(dāng)措施,并對(duì)承包商進(jìn)行監(jiān)督。具體來(lái)看,東京奧組委并沒(méi)有制定專(zhuān)門(mén)的、條款式的規(guī)范性文件,而是采用問(wèn)答形式在隱私政策中明確地解釋了奧組委收集信息的過(guò)程及相關(guān)注意事項(xiàng),包括個(gè)人信息的獲取、與第三方的信息共享、對(duì)個(gè)人信息的使用目的、數(shù)據(jù)主體享有的權(quán)利及其行使等。同時(shí),考慮到日本與歐盟間訂立的數(shù)據(jù)共享協(xié)議,東京奧組委在隱私政策中特別強(qiáng)調(diào)了將根據(jù)GDPR收集和處理歐盟公民的個(gè)人信息。但隨之產(chǎn)生的問(wèn)題是,這一做法對(duì)于其他奧運(yùn)賽事承辦方,特別是與歐盟之間不存在數(shù)據(jù)共享協(xié)議的國(guó)家有無(wú)參考價(jià)值?若照搬這一“原則+例外”的政策制定模式,是否于無(wú)形中對(duì)歐盟以外的參賽國(guó)構(gòu)成“歧視性待遇”?在個(gè)人數(shù)據(jù)傳輸?shù)囊?guī)定上,若GDPR與東道國(guó)的數(shù)據(jù)傳輸規(guī)定存在沖突,何者優(yōu)先?基于承辦方單方承諾的隱私政策能否取代數(shù)據(jù)保護(hù)補(bǔ)充協(xié)議達(dá)到協(xié)調(diào)各方利益的效果?對(duì)此,筆者認(rèn)為單方公告的隱私政策確實(shí)可以增加透明度,確保個(gè)人信息在被收集、使用、傳輸?shù)倪^(guò)程中獲得真實(shí)知情同意,尊重和保障數(shù)據(jù)主體的權(quán)利,同時(shí)適當(dāng)約束東道國(guó)潛在的過(guò)度監(jiān)管。但僅有隱私政策是遠(yuǎn)遠(yuǎn)不夠的,也不能直接替代數(shù)據(jù)保護(hù)補(bǔ)充協(xié)議,對(duì)于大部分尚未與歐盟達(dá)成數(shù)據(jù)共享協(xié)議的國(guó)家而言,仍建議采用“補(bǔ)充協(xié)議+執(zhí)行保障機(jī)制”的模式,明確對(duì)參賽者、國(guó)家代表團(tuán)成員、觀眾、志愿者等個(gè)人數(shù)據(jù)主體權(quán)利的充分尊重與平等保護(hù),建立符合實(shí)際、程序嚴(yán)格、內(nèi)容合理、部署到位的合規(guī)審查與監(jiān)管機(jī)制。
與前述東京奧運(yùn)會(huì)相比,2022年北京冬奧組委會(huì)在個(gè)人數(shù)據(jù)跨境傳輸?shù)暮弦?guī)問(wèn)題上將面臨更多的挑戰(zhàn),一方面我國(guó)與頒布GDPR的歐盟之間不存在任何數(shù)據(jù)共享協(xié)議;另一方面我國(guó)有關(guān)個(gè)人信息保護(hù)的規(guī)定散見(jiàn)于《民法總則》《網(wǎng)絡(luò)安全法》《消費(fèi)者保護(hù)法》《電子商務(wù)法》和《刑法》等法律法規(guī)中,《個(gè)人信息保護(hù)法》雖被列入立法規(guī)劃,卻進(jìn)展緩慢,且以《網(wǎng)絡(luò)安全法》為代表的涉及數(shù)據(jù)跨境流動(dòng)的立法規(guī)定得過(guò)于籠統(tǒng),缺乏指導(dǎo)性。因此,北京冬奧組委會(huì)除有必要在一些關(guān)鍵問(wèn)題上與國(guó)際奧委會(huì)、國(guó)際殘奧會(huì)及一些利益相關(guān)方,如歐洲奧委會(huì)等達(dá)成共識(shí)外,關(guān)鍵是要建立并完善對(duì)與個(gè)人數(shù)據(jù)跨境傳輸有關(guān)的文件和相關(guān)工作的合規(guī)審查與監(jiān)督機(jī)制,以規(guī)避潛在的違法或違約風(fēng)險(xiǎn)。筆者擬結(jié)合現(xiàn)有的賽事承辦合同文本與相關(guān)的法律文件,分析構(gòu)建合規(guī)審查與監(jiān)管的必要性,并嘗試從審查的責(zé)任主體、監(jiān)管的范疇與原則等方面提出一些制度建設(shè)的改進(jìn)建議。7
擬開(kāi)展合規(guī)審查與監(jiān)管活動(dòng)前應(yīng)當(dāng)考慮的問(wèn)題是北京2022年冬奧會(huì)和冬殘奧會(huì)組織委員會(huì)(以下簡(jiǎn)稱(chēng)“北京冬奧組委”)在“奧運(yùn)賽事承辦合同方”與“依據(jù)《中華人民共和國(guó)民法通則》成立的獨(dú)立事業(yè)單位法人”這兩重身份下所負(fù)擔(dān)的合規(guī)義務(wù)之層次,這將影響審查與監(jiān)管的必要性與正當(dāng)性。
具體來(lái)看,位于第一層次的是北京冬奧組委作為法人應(yīng)當(dāng)遵守的直接義務(wù)來(lái)源,即我國(guó)民事、行政與刑事等國(guó)內(nèi)法律法規(guī)要求的個(gè)人數(shù)據(jù)跨境傳輸必經(jīng)的操作流程與禁止性事項(xiàng),主要表現(xiàn)為對(duì)數(shù)據(jù)主體權(quán)利的尊重、對(duì)個(gè)人隱私的保護(hù)與對(duì)個(gè)人數(shù)據(jù)出境的審查。其中,對(duì)于數(shù)據(jù)主體的尊重與數(shù)據(jù)安全的保護(hù)應(yīng)當(dāng)自覺(jué)貫穿數(shù)據(jù)收集與處理等活動(dòng)的始終,而在數(shù)據(jù)出境方面將受到國(guó)家安全機(jī)關(guān)的監(jiān)管,涉及的合規(guī)問(wèn)題更為集中。這一方面,目前可以參考的法律文件包括《網(wǎng)絡(luò)安全法》的原則性要求與《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(以下簡(jiǎn)稱(chēng)“《安全規(guī)范》”)提供的國(guó)家標(biāo)準(zhǔn)等。此外,《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》作為《網(wǎng)絡(luò)安全法》的配套文件雖處于草案的修訂階段,但該文件正式發(fā)布后將成為北京冬奧組委及相關(guān)合作方傳輸相關(guān)個(gè)人數(shù)據(jù)出境時(shí)重要的合規(guī)操作指南。
位于第二層次的是北京冬奧組委因履行合同義務(wù)而承擔(dān)的連帶義務(wù),主要指GDPR等域外數(shù)據(jù)保護(hù)法雖然只作用于國(guó)際體育組織,不會(huì)直接對(duì)北京冬奧組委產(chǎn)生域外效力,但基于賽事承辦合同,北京冬奧組委有義務(wù)保證不影響國(guó)際奧委會(huì)等體育組織遵守所有可適用的數(shù)據(jù)保護(hù)法律。因此,筆者認(rèn)為履行這一層次的義務(wù)而開(kāi)展的審查與監(jiān)督應(yīng)重點(diǎn)關(guān)注“所有可適用的數(shù)據(jù)保護(hù)法律”涉及個(gè)人數(shù)據(jù)跨境傳輸出境的法律基礎(chǔ)與禁止性規(guī)定,以避免在收集和再轉(zhuǎn)移數(shù)據(jù)的過(guò)程中,給授權(quán)賽事承辦的國(guó)際體育組織帶來(lái)違規(guī)的風(fēng)險(xiǎn),進(jìn)而構(gòu)成違約。
位于第三層次的義務(wù)主要來(lái)源于北京冬奧組委與招標(biāo)購(gòu)買(mǎi)或委托服務(wù)的第三方之間訂立的合同,以及與政府部門(mén)之間的對(duì)接合作。在冬奧會(huì)與冬殘奧會(huì)籌辦的過(guò)程中,一些專(zhuān)業(yè)性或技術(shù)性的事宜往往依賴(lài)于第三方的數(shù)據(jù)處理者,如數(shù)據(jù)平臺(tái)搭建、票務(wù)、官方網(wǎng)站運(yùn)營(yíng)和數(shù)據(jù)中心維護(hù)等,在交通管制、人員出入境流動(dòng)、賽事外圍的安全保障等方面也需要公安部門(mén)和邊境管理部門(mén)的配合。若第三方在提供服務(wù)的過(guò)程中濫用收集到的個(gè)人信息,賽事舉辦期間承擔(dān)著數(shù)據(jù)“控制者”角色的北京冬奧組委也將受牽連,為避免被動(dòng)違約,有必要肩負(fù)起監(jiān)管者和協(xié)調(diào)者的責(zé)任。因此,在這一層次上,北京冬奧組委既有必要與相關(guān)部門(mén)在共享信息的方面明確合作的邊界,就相關(guān)個(gè)人信息的使用達(dá)成共識(shí),也要及時(shí)審查和監(jiān)督第三方是否在受委托范圍內(nèi)處理數(shù)據(jù)及處理活動(dòng)的合規(guī)性。
因此,北京冬奧組委不論是為遵守國(guó)內(nèi)法、履行賽事承辦合同義務(wù),還是為委托服務(wù)過(guò)程中保障自身的權(quán)益考慮,都有必要對(duì)涉及個(gè)人數(shù)據(jù)的收集與傳輸出境的處理活動(dòng),以及與之相關(guān)的合同條款進(jìn)行審查,對(duì)可能共享信息的第三方也有必要盡到監(jiān)督的義務(wù)。
從當(dāng)前的運(yùn)作模式來(lái)看,奧運(yùn)賽事舉辦期間大量的法律工作與敏感事項(xiàng)都是由北京冬奧組委法律事務(wù)部負(fù)擔(dān),包括參加重要的談判、監(jiān)督并落實(shí)《主辦城市合同》及其他附件或是補(bǔ)充協(xié)議、統(tǒng)一管理委內(nèi)合同、協(xié)助國(guó)家?jiàn)W委會(huì)與國(guó)際奧委會(huì)處理關(guān)聯(lián)冬奧會(huì)的法律事務(wù)等。其中,如合同審查、出具法律意見(jiàn)書(shū)、研究法律問(wèn)題、分析風(fēng)險(xiǎn)提出對(duì)策等工作通常委托專(zhuān)業(yè)的法律服務(wù)機(jī)構(gòu)予以協(xié)助。而本次冬奧會(huì),除發(fā)布招標(biāo)信息繼續(xù)聘請(qǐng)律師事務(wù)所參與籌辦工作以提供法律支持外,北京冬奧組委還與一些法律學(xué)術(shù)團(tuán)體訂立了協(xié)議①北京2022年冬奧會(huì)和冬殘奧會(huì)組織委員會(huì)于2016年同中國(guó)法學(xué)會(huì)體育法學(xué)研究會(huì)、北京市法學(xué)會(huì)體育法學(xué)與奧林匹克法律事務(wù)研究會(huì)訂立了《學(xué)術(shù)團(tuán)體協(xié)助北京冬奧組委承辦法律業(yè)務(wù)的框架協(xié)議》,兩法學(xué)學(xué)術(shù)團(tuán)體根據(jù)北京冬奧組委需求,承辦冬奧組委日常法律事務(wù)和其他法律事務(wù)。,旨在更有效地降低法律風(fēng)險(xiǎn),避開(kāi)合同陷阱,力求實(shí)現(xiàn)“法治奧運(yùn)”目標(biāo)。
考慮到評(píng)估個(gè)人數(shù)據(jù)跨境傳輸合規(guī)工作的成本、效率、專(zhuān)業(yè)性及相關(guān)業(yè)務(wù)的敏感性,在前述常規(guī)模式(以北京冬奧組委法律部工作人員為主,受托的專(zhuān)業(yè)律師、學(xué)術(shù)團(tuán)體、安全顧問(wèn)等為輔)的基礎(chǔ)上開(kāi)展合規(guī)審查與監(jiān)督,還有必要建立與國(guó)家網(wǎng)絡(luò)信息安全監(jiān)管機(jī)構(gòu)、境外數(shù)據(jù)合規(guī)監(jiān)管機(jī)構(gòu)以及國(guó)內(nèi)行政、司法機(jī)關(guān)之間的合作與聯(lián)動(dòng),以充分實(shí)現(xiàn)合規(guī)風(fēng)險(xiǎn)的預(yù)警、監(jiān)管信息的互通、審查結(jié)果的備案與違規(guī)的應(yīng)急處置。8
作為多方聯(lián)動(dòng)機(jī)制中的關(guān)鍵紐帶,北京冬奧組委法律事務(wù)部應(yīng)承擔(dān)組織、核定與協(xié)調(diào)者的角色。一方面,有必要組織專(zhuān)家群體對(duì)所有可適用數(shù)據(jù)保護(hù)法律、與我國(guó)法規(guī)有沖突的條款等關(guān)聯(lián)文件進(jìn)行跟蹤調(diào)研,研究應(yīng)對(duì)策略,同時(shí)盡快與國(guó)際奧委會(huì)、國(guó)際殘奧會(huì)及以歐洲奧委會(huì)為代表的利益相關(guān)方展開(kāi)協(xié)商談判,就新版合同操作要求的追溯適用、所有可適用法律關(guān)于個(gè)人數(shù)據(jù)跨境傳輸?shù)囊?guī)則沖突、數(shù)據(jù)保護(hù)水平等關(guān)鍵問(wèn)題達(dá)成合理的補(bǔ)充協(xié)議,并及時(shí)公布;另一方面,明確審查與監(jiān)管的范圍、手段、程序、期限等,包括委托專(zhuān)業(yè)團(tuán)隊(duì)審查的權(quán)限、對(duì)反饋結(jié)果的備案、對(duì)結(jié)果的審核、與國(guó)內(nèi)外的數(shù)據(jù)出入境監(jiān)管機(jī)構(gòu)的合作等,建議起草、審定上述內(nèi)容后形成文件,作為辦賽期間的正式制度實(shí)施。
作為合規(guī)審查的參與者,受聘的法律服務(wù)機(jī)構(gòu)律師、學(xué)術(shù)團(tuán)體的學(xué)者、合規(guī)公司顧問(wèn)等應(yīng)根據(jù)委托合同、框架協(xié)議及北京冬奧組委的現(xiàn)實(shí)要求提供協(xié)助。在此過(guò)程中,既要保證北京冬奧組委法律事務(wù)部能及時(shí)收到審查的反饋,以便做好處理的預(yù)案,也要確保審查結(jié)果的專(zhuān)業(yè)性、真實(shí)性,對(duì)于可能存在違規(guī)風(fēng)險(xiǎn)的合同或行為應(yīng)出具整改或建議處理方案,包括補(bǔ)充先合同中有關(guān)個(gè)人信息保護(hù)的條款,與違約的第三方解除委托合同,訴諸爭(zhēng)端解決機(jī)構(gòu)維權(quán)等。同時(shí),應(yīng)重視對(duì)數(shù)據(jù)合規(guī)疑難問(wèn)題的研究,如北京冬奧組委、國(guó)際奧委會(huì)、WADA等多個(gè)數(shù)據(jù)“控制者”對(duì)數(shù)據(jù)的聯(lián)合控制權(quán)、處理個(gè)人數(shù)據(jù)(特別是個(gè)人敏感數(shù)據(jù))的法律基礎(chǔ)、合規(guī)評(píng)估的標(biāo)準(zhǔn)(比例性)等。
理論上,責(zé)任主體在個(gè)人數(shù)據(jù)的跨境傳輸方面開(kāi)展合規(guī)審查與監(jiān)督活動(dòng)至少應(yīng)涵蓋文本審查與實(shí)踐評(píng)估兩個(gè)方面。
5.3.1 對(duì)合同及相關(guān)文本的審查
文本審查主要指審核合同、合同的補(bǔ)充附件及與履行合同有關(guān)的文本,包括但不限于票務(wù)銷(xiāo)售、特許銷(xiāo)售、酒店住宿協(xié)議等合同中,是否涵蓋有關(guān)個(gè)人信息保護(hù)的義務(wù)條款,條款的要求是否完備,采用的數(shù)據(jù)安全標(biāo)準(zhǔn)是否為國(guó)家標(biāo)準(zhǔn)等,同時(shí)有必要關(guān)注相關(guān)票務(wù)、住宿服務(wù)提供商等涉及個(gè)人信息注冊(cè)的平臺(tái)所制定的注冊(cè)協(xié)議中是否存有任意搜集用戶(hù)信息等被濫用的格式條款。
對(duì)文本的審查應(yīng)堅(jiān)持合法、公平、透明,及保障數(shù)據(jù)主體真實(shí)“知情同意”的原則。特別是在征詢(xún)數(shù)據(jù)主體意見(jiàn)的方面,冬奧會(huì)組委法律部門(mén)可以參考和借鑒東京奧運(yùn)會(huì)組委會(huì)的做法,采用問(wèn)答的形式,在官方網(wǎng)站上明確告知數(shù)據(jù)主體:2022年北京冬奧會(huì)將收集哪些個(gè)人信息、將從第三方獲取的個(gè)人信息、使用個(gè)人信息的目的、如何共享信息及共享對(duì)象、數(shù)據(jù)主體享有的權(quán)利與行使方式、撤回“同意”的方式以及數(shù)據(jù)權(quán)利受侵犯的救濟(jì)途徑等。需要注意的是,為避免造成變相的歧視性待遇,不建議仿照東京奧運(yùn)會(huì)單獨(dú)給予歐盟公民以GDPR下的特殊待遇作為例外,而應(yīng)當(dāng)承諾給予所有數(shù)據(jù)主體以完整的數(shù)據(jù)權(quán)利和高標(biāo)準(zhǔn)的數(shù)據(jù)保護(hù)待遇。上述要求同樣適用于對(duì)合作方收集個(gè)人信息的監(jiān)督,北京冬奧組委的法律部門(mén)代表委內(nèi)與公共機(jī)構(gòu)或私人合作伙伴訂立合同時(shí),應(yīng)當(dāng)明確經(jīng)委托獲得個(gè)人數(shù)據(jù)訪問(wèn)權(quán)或可共享個(gè)人收據(jù)的服務(wù)提供商有義務(wù)保證數(shù)據(jù)主體“明知”并對(duì)其個(gè)人信息享有控制權(quán),承諾在獲得真實(shí)同意后處理和傳輸信息,否則將構(gòu)成違約,委托方和數(shù)據(jù)主體有權(quán)追責(zé)。
5.3.2 對(duì)實(shí)踐操作的合規(guī)評(píng)估
實(shí)踐評(píng)估則指應(yīng)當(dāng)定期調(diào)查和評(píng)估數(shù)據(jù)處理者的操作是否合規(guī),包括委托方是否安排“數(shù)據(jù)保護(hù)專(zhuān)員”負(fù)責(zé)記錄、報(bào)告和對(duì)接數(shù)據(jù)處理的合規(guī)事宜,對(duì)共享信息的處理是否在授權(quán)范圍內(nèi)等。
為了增加個(gè)人數(shù)據(jù)跨境傳輸合規(guī)操作的透明度與各方對(duì)規(guī)則的可預(yù)期性,筆者認(rèn)為冬奧會(huì)組委有必要結(jié)合實(shí)際,針對(duì)具體問(wèn)題與國(guó)際奧委會(huì)、國(guó)際殘奧會(huì)及利益相關(guān)方協(xié)商,達(dá)成書(shū)面協(xié)議或共識(shí),在此基礎(chǔ)上整合國(guó)內(nèi)外可適用的個(gè)人數(shù)據(jù)保護(hù)的要求,集合專(zhuān)家力量進(jìn)行解讀,并公開(kāi)合規(guī)審查的范圍、要求與程序等制度,形成一套符合國(guó)情,便利履約,具有指導(dǎo)性且完備的“2022年北京冬奧會(huì)與冬殘奧會(huì)個(gè)人數(shù)據(jù)合規(guī)處理指南”。通過(guò)指南,可以明確處理冬奧會(huì)個(gè)人數(shù)據(jù)應(yīng)當(dāng)遵循的基本原則,包括目的限制、數(shù)據(jù)最小化、完整性與保密性原則等,設(shè)置數(shù)據(jù)共享的邊界,以保證個(gè)人信息在共享過(guò)程中不被不當(dāng)使用或披露,劃定不得濫用格式條款壓制數(shù)據(jù)主體權(quán)利等紅線條款來(lái)警示一些重要的不可為事項(xiàng),既可作為合規(guī)監(jiān)督工作的手冊(cè),也可用于對(duì)冬奧會(huì)組委負(fù)責(zé)數(shù)據(jù)工作的員工、合作方相關(guān)工作人員的培訓(xùn)。
此外,在反興奮劑方面,雖然與WADA的合作可以在一定程度上減輕收集和傳輸敏感個(gè)人數(shù)據(jù)出入境的風(fēng)險(xiǎn),但作為賽事的承辦者,奧組委仍有必要對(duì)此進(jìn)行必要的監(jiān)督。事實(shí)上,因?yàn)榉磁d奮劑工作涉及比一般個(gè)人數(shù)據(jù)更為棘手的敏感個(gè)人數(shù)據(jù),此類(lèi)數(shù)據(jù)的保護(hù)問(wèn)題與可被獲取、處理、傳輸?shù)姆苫A(chǔ)一度受到質(zhì)疑,尤其是運(yùn)動(dòng)員“同意”的虛構(gòu)性(非自由的同意),即不同意的后果可能導(dǎo)致運(yùn)動(dòng)員失去參賽權(quán)利而迫使參賽者不得不同意。雖然反興奮劑可以在沒(méi)有立法干預(yù)的情況下,被視為“實(shí)質(zhì)性公共利益”而獲得GDPR等數(shù)據(jù)保護(hù)法的豁免,體育組織及受合同約束的奧運(yùn)賽事承辦方必須遵守WADA《隱私標(biāo)準(zhǔn)》更新后經(jīng)審查也被認(rèn)同符合歐洲數(shù)據(jù)保護(hù)法,但使用WADA反興奮劑管理系統(tǒng)的ADAMS的冬奧會(huì)組委應(yīng)考慮到的問(wèn)題是:能否因數(shù)據(jù)刪除等權(quán)力的實(shí)質(zhì)受限,而主張?jiān)谶\(yùn)動(dòng)員個(gè)人敏感數(shù)據(jù)的跨境傳輸方面免責(zé),以及使用該系統(tǒng)跨境傳輸在境內(nèi)收集、處理的敏感個(gè)人數(shù)據(jù)出境,如何通過(guò)網(wǎng)絡(luò)與信息安全監(jiān)管部門(mén)的評(píng)估審查。
奧運(yùn)賽事承辦方履行跨境傳輸個(gè)人數(shù)據(jù)的合規(guī)義務(wù)及其存在的問(wèn)題充分反映了GDPR出臺(tái)后為體育領(lǐng)域帶來(lái)的變革與契機(jī)。各方已充分意識(shí)到體育領(lǐng)域保障運(yùn)動(dòng)員及相關(guān)人員的個(gè)人信息權(quán)利和隱私權(quán),及大型賽事中采取必要措施避免賽事承辦方在個(gè)人信息處理方面出現(xiàn)信任危機(jī)的重要性。然而,本文所探討的跨境個(gè)人數(shù)據(jù)傳輸問(wèn)題僅是數(shù)據(jù)處理中的一環(huán),且基于單純的跨境傳輸僅涉及提供保護(hù)、用戶(hù)知情同意等方面的問(wèn)題,尚能通過(guò)協(xié)議等方式協(xié)調(diào),而在其他數(shù)據(jù)處理環(huán)節(jié)還存在更多難以調(diào)和的問(wèn)題,如數(shù)據(jù)的本地化存儲(chǔ)方面因各國(guó)立法本身存在價(jià)值取向上的矛盾,部分國(guó)家甚至明確要求敏感個(gè)人信息不允許在境外存儲(chǔ)等沖突,有待進(jìn)一步研究與探討。