李睿智

為了支持作為世界反興奮劑規(guī)劃的全球性基礎(chǔ)文件的 《世界反興奮劑條例》（World Anti-Doping Code，WADC），世界反興奮劑機(jī)構(gòu)（World Anti-Doping Agency，WADA）就反興奮劑活動(dòng)涉及的部分專門事項(xiàng)制定了強(qiáng)制性國(guó)際標(biāo)準(zhǔn)?！峨[私與個(gè)人信息保護(hù)國(guó)際標(biāo)準(zhǔn)》（International Standard for Protection ofPrivacy and Personal Information，ISPPPI）就是針對(duì)反興奮劑語(yǔ)境下個(gè)人信息保護(hù)問(wèn)題而制定的一項(xiàng)國(guó)際標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)于2009年5月9日首次通過(guò)，并于當(dāng)年7月1日正式生效，于2015年和2018年進(jìn)行過(guò)兩度修訂。2021年1月1日，再度修訂的ISPPPI將隨2021年實(shí)施版WADC一同生效?？紤]到世界范圍內(nèi)不同反興奮劑組織所適用的法律提供的數(shù)據(jù)保護(hù)水平存在差異，ISPPPI為反興奮劑活動(dòng)中個(gè)人信息的處理提供最低標(biāo)準(zhǔn)。ISPPPI的主體內(nèi)容為反興奮劑活動(dòng)中個(gè)人信息處理所涉的權(quán)利和義務(wù)，此次修訂不僅在格式和表述方面進(jìn)行了完善，也對(duì)權(quán)利和義務(wù)的實(shí)質(zhì)內(nèi)容作出了調(diào)整。但在修訂后的ISPPPI中，一些問(wèn)題依然存在，且產(chǎn)生了新的缺陷。

1 概述：ISPPPI下的權(quán)利與義務(wù)

盡管WADA成立于非歐盟成員國(guó)瑞士，且將數(shù)據(jù)庫(kù)設(shè)立在加拿大蒙特利爾，因而在數(shù)據(jù)保護(hù)方面首先受到瑞士、加拿大以及加拿大魁北克省相關(guān)法律的約束，但I(xiàn)SPPPI自2009年生效的初版起就表明，該標(biāo)準(zhǔn)在制定時(shí)主要參考的是歐盟《數(shù)據(jù)保護(hù)指令》（Directive 95/46/ec on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data）。自2018年實(shí)施版ISPPPI起，ISPPPI的主要參考文件更換為《通用數(shù)據(jù)保 護(hù) 條 例 》 （General Data Protection Regulation，GDPR），因此本文的解讀亦基于GDPR。ISPPPI涉及的主體主要為參賽者或其他當(dāng)事人、反興奮劑組織、第三方代理（third-party agent）以及第三方（third party），其中參賽者或其他個(gè)人、反興奮劑組織以及第三方代理與ISPPPI下規(guī)定的權(quán)利與義務(wù)相關(guān)。

1.1 權(quán)利主體：參賽者和其他個(gè)人

ISPPPI旨在為反興奮劑活動(dòng)中所處理的個(gè)人信息提供保護(hù)，受保護(hù)的主體為參賽者以及參與有組織體育活動(dòng)或與有組織體育活動(dòng)相關(guān)的其他個(gè)人。依照WADC的定義，參賽者指任何運(yùn)動(dòng)員或運(yùn)動(dòng)員輔助人員。為便于表述，本文以 “信息主體”指代ISPPPI下的受保護(hù)主體。參照GDPR，ISPPPI下信息主體主要享有知情權(quán)（right to information）、獲取權(quán)（right to access）、糾正權(quán)（right to rectification）、限制處理權(quán) （right to restriction of processing）和刪除權(quán)（right to erasure）。

信息主體享有的知情權(quán)主要規(guī)定在第7條 “確保向參賽者或其他當(dāng)事人提供適當(dāng)?shù)男畔ⅰ薄Ｒ罁?jù)該條，反興奮劑組織應(yīng)當(dāng)在向個(gè)人信息主體收集個(gè)人信息之時(shí)或之前，以信息主體易于理解的方式，提供與信息處理相關(guān)的信息，包括收集信息的反興奮劑組織及聯(lián)系方式、將被處理的個(gè)人信息類型、個(gè)人信息的使用目的、個(gè)人信息的潛在接收者類別等。需要注意的是，如果向信息主體作出相關(guān)信息的通知可能破壞反興奮劑程序的完整性，反興奮劑組織可以在合理范圍內(nèi)延遲或暫停發(fā)出通知。另外，依照第6.2條，在基于同意處理個(gè)人信息的情況下，反興奮劑組織還應(yīng)告知拒絕同意或撤回同意的后果。

信息主體享有的獲取權(quán)主要由ISPPPI第11.1條至第11.3條規(guī)定。依照第11.1條，個(gè)人有權(quán)向反興奮劑組織確認(rèn)其個(gè)人信息是否正在接受處理，并有權(quán)獲取第7.1條下規(guī)定的相關(guān)信息，以及相關(guān)信息的副本，該項(xiàng)權(quán)利受到法律規(guī)定以及反興奮劑體系的完整性的限制。同時(shí)，依照第11.2條和第11.3條，如因個(gè)人信息性質(zhì)方面的原因?qū)е路磁d奮劑組織在向個(gè)人提供其要求獲得的信息時(shí)付出不成比例的成本和精力，則反興奮劑組織可以拒絕個(gè)人的信息獲取請(qǐng)求。

信息主體還享有糾正權(quán)、限制處理權(quán)和刪除權(quán)。依照ISPPPI第5.3條，反興奮劑組織負(fù)有保證個(gè)人信息準(zhǔn)確、完整和及時(shí)更新的責(zé)任。基于此，第11.4條規(guī)定，不準(zhǔn)確、不完整或過(guò)度（excessive）的信息應(yīng)當(dāng)酌情被更正、修改、凍結(jié)（block）或刪除。其中，“過(guò)度”一詞結(jié)合ISPPPI所規(guī)定的類似GDPR下的目的限制原則，應(yīng)理解為超出反興奮劑的目的[1]；“凍結(jié)”一詞結(jié)合WADA發(fā)布的《ISPPPI隱私保護(hù)指南》[2]，應(yīng)理解為反興奮劑組織不再處理個(gè)人信息，類似于GDPR下的限制處理權(quán)的內(nèi)容。此外，以下條款中也有信息主體享有個(gè)人信息的刪除權(quán)的規(guī)定：（1）依照ISPPPI第10.2條，一旦個(gè)人信息不再與反興奮劑組織履行WADC或各國(guó)際標(biāo)準(zhǔn)規(guī)定的義務(wù)相關(guān)，或者適用的法律、法規(guī)或強(qiáng)制法律程序沒(méi)有另有規(guī)定，應(yīng)將個(gè)人信息刪除、銷毀或永久匿名；（2）依照第 6.2（b）條，信息主體可以撤回對(duì)個(gè)人信息處理作出的同意，結(jié)合第10.2條，應(yīng)當(dāng)對(duì)個(gè)人信息予以刪除、銷毀或永久匿名。

綜上可以發(fā)現(xiàn)，反興奮劑語(yǔ)境下信息主體對(duì)于個(gè)人信息享有的權(quán)利內(nèi)容相對(duì)有限，但要注意的是，ISPPPI僅為反興奮劑組織在反興奮劑活動(dòng)中處理個(gè)人信息應(yīng)當(dāng)遵循的最低標(biāo)準(zhǔn)，在所適用的法律超出ISPPPI規(guī)定的規(guī)則或標(biāo)準(zhǔn)時(shí)應(yīng)當(dāng)適用法律規(guī)定，其中就包括信息主體依照適用的隱私和數(shù)據(jù)保護(hù)法可能享有的其他權(quán)利。

1.2 義務(wù)主體：反興奮劑組織和第三方代理

依照ISPPPI第4.1條，ISPPPI規(guī)定的是反興奮劑組織及其第三方代理在反興奮劑活動(dòng)中處理個(gè)人信息時(shí)應(yīng)當(dāng)適用的最低要求。依照該條，反興奮劑語(yǔ)境下個(gè)人信息保護(hù)的義務(wù)主體是反興奮劑組織及其第三方代理。根據(jù)WADC定義，反興奮劑組織是指WADA，以及負(fù)責(zé)為啟動(dòng)、實(shí)施或執(zhí)行興奮劑管制過(guò)程中任何部分的工作而制定規(guī)則的WADC簽約方。根據(jù)ISPPPI定義，第三方代理是指在反興奮劑組織自身開展的反興奮劑活動(dòng)中，經(jīng)委托等方式受雇代表反興奮劑組織處理個(gè)人信息的任何當(dāng)事人，包括但不限于受委托的第三方和任何分包商。

從條款內(nèi)容來(lái)看，ISPPPI主要規(guī)制的是決定進(jìn)行反興奮劑活動(dòng)的反興奮劑組織，類似于GDPR下的控制者。除確保前述信息主體的權(quán)利得到實(shí)現(xiàn)外，ISPPPI下處理個(gè)人信息的反興奮劑組織負(fù)有的義務(wù)可以歸納為有關(guān)信息處理的組織保障義務(wù)以及信息處理過(guò)程中的義務(wù)兩大方面。

在有關(guān)信息處理的組織保障方面，反興奮劑組織應(yīng)當(dāng)制定基于ISPPPI的內(nèi)部政策和程序 （第4.3條），包括關(guān)于確保個(gè)人信息的安全保留和最終銷毀的計(jì)劃和程序（第10.3條），以及處理信息主體投訴的程序（第11.5條）。反興奮劑組織應(yīng)當(dāng)采用所有必要的安全措施防止信息泄露（第9.1條），這些安全措施應(yīng)當(dāng)將信息敏感性納入考量（第9.2條）。反興奮劑組織應(yīng)定期評(píng)估其對(duì)敏感個(gè)人信息和行蹤信息的處理情況，以確定處理的合比例性和風(fēng)險(xiǎn)，并評(píng)估為降低相關(guān)參賽者的風(fēng)險(xiǎn)而可以采取的任何措施（第9.6條）。人員方面，反興奮劑組織須指定一名負(fù)責(zé)遵守ISPPPI和所有適用的相關(guān)法律的人員（第4.5條）。反興奮劑組織須確保自己的工作人員僅在需要知道時(shí)獲取個(gè)人信息（第9.1條釋義），應(yīng)確保處理個(gè)人信息的工作人員遵守保密義務(wù)（第9.7條）。另外，反興奮劑組織可以通過(guò)委托等方式雇傭代表其處理個(gè)人信息的第三方代理（如IT服務(wù)提供商、實(shí)驗(yàn)室、外部專家、受委托的第三方、興奮劑管制協(xié)調(diào)員和外部興奮劑管制工作人員），在選擇第三方代理時(shí)須依照適用的法律和ISPPPI選擇在技術(shù)安全措施和組織措施方面具有保證的第三方代理（第9.4條），同時(shí)應(yīng)對(duì)第三方代理采取合同控制和技術(shù)控制的手段，以履行對(duì)于個(gè)人信息保護(hù)負(fù)有的持續(xù)性責(zé)任（第9.3條）。

反興奮劑組織在ISPPPI下負(fù)有的義務(wù)還集中在信息處理過(guò)程方面。反興奮劑組織應(yīng)當(dāng)在相關(guān)和合比例，且不違反適用的法律、法規(guī)或強(qiáng)制法律程序的情況下，基于反興奮劑的目的處理個(gè)人信息 （第5.1條至第5.3條），同時(shí)負(fù)有公平處理個(gè)人信息并保證其準(zhǔn)確、完整和及時(shí)更新的義務(wù)（第5.4條）；須維護(hù)個(gè)人信息處理的記錄（第4.4條）；應(yīng)當(dāng)在收集個(gè)人信息之前或之時(shí)，使用清晰明了的語(yǔ)言，以與個(gè)人信息相關(guān)的參賽者或其他當(dāng)事人易于理解的方式和格式（第7.3條），向信息主體提供與個(gè)人信息處理有關(guān)的信息（第7.1條），且應(yīng)答復(fù)信息主體關(guān)于信息處理的問(wèn)題，只有在例外的情況下可以推遲或暫停提供信息（第7.2條）；個(gè)人信息處理須基于有效的合法性基礎(chǔ)，由信息處理時(shí)與信息主體具有首要關(guān)系的反興奮劑組織負(fù)責(zé)建立合法性基礎(chǔ)（第6.1條）。如反興奮劑組織基于同意處理個(gè)人信息，則須向信息主體額外告知部分信息（第6.2條），并應(yīng)在處理敏感個(gè)人信息時(shí)獲得明示同意 （第6.3條）；在參賽者因年齡、精神能力或法律承認(rèn)的其他合法原因而不能提供知情同意的情況下，應(yīng)向參賽者的法定代表人、監(jiān)護(hù)人或其他具有資格的代表尋求同意（第6.4條）。反興奮劑組織可與3類主體共享個(gè)人信息，即其他反興奮劑組織、第三方代理和第三方：就其他反興奮劑組織而言，如個(gè)人信息對(duì)其履行WADC、國(guó)際標(biāo)準(zhǔn)以及適用法律所規(guī)定的義務(wù)是必要的，則反興奮劑組織可以向其披露個(gè)人信息 （第8.1條），但在另一些情況下不應(yīng)作出披露 （第8.2條）；就第三方代理而言，反興奮劑組織與其共享個(gè)人信息時(shí)，除適當(dāng)控制外，還應(yīng)確保個(gè)人信息僅在該第三方代理代表反興奮劑組織時(shí)或者在該第三方代理的被授權(quán)或雇傭的范圍內(nèi)進(jìn)行處理 （第9.3條）；就第三方而言，反興奮劑組織可在有限的3種情況下向其披露個(gè)人信息（第8.3條）。一旦發(fā)生對(duì)信息主體權(quán)益具有重大影響的信息泄露，負(fù)責(zé)的反興奮劑組織應(yīng)向受影響的信息主體作出通知，并采取補(bǔ)救措施（第9.5條）。反興奮劑組織應(yīng)當(dāng)在ISPPPI附件A中規(guī)定的保留時(shí)間內(nèi)保留個(gè)人信息，在附件A中沒(méi)有規(guī)定的情況下根據(jù)某些原則 （第10.2條、第10.3條和第10.5條）予以保留，并在可行的情況下確定明確的保留時(shí)間（第10.1條）。需要強(qiáng)調(diào)的是，反興奮劑組織應(yīng)確保僅在個(gè)人信息仍然與反興奮劑組織履行WADC或各國(guó)際標(biāo)準(zhǔn)規(guī)定的義務(wù)相關(guān)，或者適用的法律、法規(guī)或強(qiáng)制法律程序另有要求的情況下，保留個(gè)人信息；一旦個(gè)人信息不再用于這些目的，應(yīng)將其刪除、銷毀或永久匿名（第10.3條）。

盡管從 ISPPPI第4.1條來(lái)看，ISPPPI的義務(wù)主體應(yīng)包含第三方代理，但I(xiàn)SPPPI下明確提及第三方代理的義務(wù)的僅有第9.3條及釋義，且并未設(shè)定第三方代理的直接義務(wù)。依照第9條，根據(jù)反興奮劑組織采取的合同和技術(shù)等適當(dāng)控制，第三方代理應(yīng)僅在代表反興奮劑組織時(shí)，或者在其授權(quán)或雇傭范圍內(nèi)進(jìn)行個(gè)人信息處理。依照第9.3條釋義，第三方代理根據(jù)與反興奮劑組織訂立的合同，可能承擔(dān)一些具體的義務(wù)，如僅根據(jù)反興奮劑組織的書面指示處理個(gè)人信息，（包括工作人員在內(nèi)）對(duì)所處理的個(gè)人信息負(fù)有保密義務(wù)，對(duì)個(gè)人信息實(shí)施適當(dāng)?shù)募夹g(shù)安全措施和組織措施等。換言之，第三方代理的義務(wù)實(shí)際來(lái)源自與反興奮劑組織之間的合同，因此第三方代理難以被視為ISPPPI下真正的義務(wù)主體。

綜合來(lái)看，ISPPPI的設(shè)置從各方面體現(xiàn)了其主要參照的GDPR的要求，為反興奮劑活動(dòng)中信息處理主體設(shè)置了較為嚴(yán)格的義務(wù)，也為信息主體提供了較為充分的保護(hù)。

2 2021年實(shí)施版ISPPPI的新變化

2021年實(shí)施版ISPPPI的正文分為兩個(gè)部分，第一部分包含第1條至第3條，就標(biāo)準(zhǔn)的簡(jiǎn)介、范圍、WADC條款以及定義作出規(guī)定；第二部分包含第4條至第11條，從8個(gè)方面規(guī)定了反興奮劑活動(dòng)中個(gè)人信息處理的標(biāo)準(zhǔn)。以下按照ISPPPI的這一劃分，就其格式、表述及實(shí)質(zhì)內(nèi)容方面的重要變化進(jìn)行說(shuō)明。

2.1 格式和表述方面的變化

2.1.1 ISPPPI第一部分的變化

2021年實(shí)施版ISPPPI刪除了前言部分，格式上與WADA其他的反興奮劑國(guó)際標(biāo)準(zhǔn)進(jìn)行了統(tǒng)一。前言原有內(nèi)容移入了第1條“簡(jiǎn)介和范圍”和新增的第3.4條“解釋”（Interpretation）中。第 2條“WADC 條款”僅保留了WADC第14條的條款名，刪去了條款內(nèi)容，形式上趨于簡(jiǎn)潔化。ISPPPI第3條經(jīng)增補(bǔ)后分為定義和解釋兩個(gè)部分，第3.1條至第3.3條分別為來(lái)自WADC和 《檢查與調(diào)查國(guó)際標(biāo)準(zhǔn)》的定義，以及ISPPPI下的專門定義。其中，第3.1條下所列舉的WADC定義在更新后，數(shù)量由原先的4條擴(kuò)充為24條；第3.2條為新增條款，援引了3條《檢查與調(diào)查國(guó)際標(biāo)準(zhǔn)》下的定義；第3.3條“ISPPPI專門定義”在數(shù)量上沒(méi)有變化。新增的第3.4條“解釋”就ISPPPI的語(yǔ)言版本、所適用的法律原則、釋義的效力、條款的援引以及附件的效力作出了規(guī)定。與第2條的簡(jiǎn)化相反，2021年實(shí)施版ISPPPI第3條趨于“復(fù)雜化”，這是因?yàn)橄啾萕ADC第14條，各項(xiàng)定義直接出現(xiàn)在ISPPPI的條款中，予以增補(bǔ)反而有助于對(duì)ISPPPI的理解。

2.1.2 ISPPPI第二部分的變化

第二部分中，2021年實(shí)施版ISPPPI在格式和表述方面主要進(jìn)行了查漏補(bǔ)缺。第4.4條將第三方代理補(bǔ)充為對(duì)個(gè)人信息的披露對(duì)象，即個(gè)人信息的披露對(duì)象包含其他反興奮劑組織、第三方和第三方代理3類主體。第5條標(biāo)題為“處理相關(guān)和合比例的個(gè)人信息”，上一版ISPPPI中該條款采取的是“相關(guān)”或是“適當(dāng)（appropriate）和相關(guān)”的表述，2021 年實(shí)施版ISPPPI相應(yīng)進(jìn)行了補(bǔ)充或替換，統(tǒng)一為“相關(guān)和合比例”，強(qiáng)調(diào)比例原則在個(gè)人信息處理中的作用。鑒于信息保護(hù)主體包括參賽者和其他當(dāng)事人，部分原本僅包含參賽者的條款補(bǔ)充了 “其他當(dāng)事人”。另外，2021年實(shí)施版ISPPPI這一部分對(duì)條款中出現(xiàn)的一些詞語(yǔ)或詞組進(jìn)行了大小寫的調(diào)整，對(duì)術(shù)語(yǔ)進(jìn)行了強(qiáng)調(diào)，如第5.3（c）條中的結(jié)果管理（results management替換為Results Management）和第 5.4條中的處理（processed修改為Processed）；對(duì)此前誤作術(shù)語(yǔ)的普通詞語(yǔ)或詞組進(jìn)行了修正，如第7.2條中的第三方（Third Parties變?yōu)閠hird parties）和第9.5條中的后果（Consequences變?yōu)?consequences）。

2.2 2021年實(shí)施版ISPPPI實(shí)質(zhì)內(nèi)容變化

2.2.1 ISPPPI第一部分的變化

本文僅就2021年實(shí)施版ISPPPI中ISPPPI專門定義的重要變化進(jìn)行總結(jié)。2021年實(shí)施版ISPPPI調(diào)整了“個(gè)人信息”的定義，明確ISPPPI僅適用于為進(jìn)行反興奮劑活動(dòng)的而處理的個(gè)人信息。“處理”定義中，增補(bǔ)了“獲取”作為個(gè)人信息的處理方式之一。上一版 ISPPPI下，“信息泄露（Security Breach）”的定義為“對(duì)電子、硬拷貝或其他形式的個(gè)人信息的非經(jīng)授權(quán)或非法處理（包括獲?。?，或是對(duì)信息系統(tǒng)的干擾，從而危及個(gè)人信息的隱私、安全、機(jī)密性、可用性或完整性”；2021年實(shí)施版ISPPPI下，該定義經(jīng)修改后更為接近GDPR中的定義，指“對(duì)電子、硬拷貝或其他形式的個(gè)人信息造成遺失、失竊、損壞，或者未經(jīng)授權(quán)和/或非法處理，或是干擾信息系統(tǒng)，從而危及個(gè)人信息的隱私、安全、保密性、可用性或完整性的安全破壞行為（Breach of security）”。“第三方代理”原定義中用于舉例說(shuō)明的第一處分包人（Subcontractor）替換為WADC新增術(shù)語(yǔ)“受委托的第三方”。

2.2.2 ISPPPI第二部分的變化

2021年實(shí)施版ISPPPI第5.3條規(guī)定，反興奮劑組織可以基于某些僅與反興奮劑有關(guān)的目的處理個(gè)人信息，前提是進(jìn)行了適當(dāng)?shù)脑u(píng)估。2021年實(shí)施版第5.3（d）條釋義針對(duì)第5.3條所指的“其他反興奮劑目的”增加了“開展和促進(jìn)反興奮劑教育和研究”以及“反興奮劑程序的分析與改進(jìn)”作為示例，理由是這些目的是由WADC或其他國(guó)際標(biāo)準(zhǔn)許可或要求的，無(wú)需就其與反興奮劑的相關(guān)性進(jìn)行專門評(píng)估。

就第6條而言，2018年實(shí)施版ISPPPI中的第6.1條將“同意”單列，與有效合法性基礎(chǔ)并列作為處理個(gè)人信息的基礎(chǔ)，有效合法性基礎(chǔ)包括遵守法律義務(wù)、執(zhí)行公共利益任務(wù)、實(shí)質(zhì)性公共利益（必要時(shí)）、履行合同和保護(hù)個(gè)人的重大利益；2021年實(shí)施版第6.1條則將“同意”歸入了有效合法性基礎(chǔ)，同時(shí)增設(shè)了“公共衛(wèi)生”作為有效合法性基礎(chǔ)。WADA在針對(duì)2021年實(shí)施版WADC和國(guó)際標(biāo)準(zhǔn)修訂發(fā)布的指南中指出，第6條作出的這些修改是為與諸多法域（特別是歐洲）下的數(shù)據(jù)處理法律框架相適應(yīng)[3]。相應(yīng)地，第6條標(biāo)題由“依照法律或根據(jù)同意處理個(gè)人信息”修改為“基于有效的合法性基礎(chǔ)處理個(gè)人信息”，同時(shí)增強(qiáng)了與強(qiáng)調(diào)依照國(guó)際標(biāo)準(zhǔn)和適用法律處理個(gè)人信息的第4條之間的差異性。

第8.3條反興奮劑組織據(jù)以向第三方披露個(gè)人信息的第3項(xiàng)條件下，增加了對(duì)“職業(yè)行為規(guī)則違規(guī)”的偵查、調(diào)查或檢控，這一改動(dòng)是基于利益相關(guān)者向?qū)I(yè)監(jiān)管機(jī)構(gòu)披露有關(guān)興奮劑違規(guī)的信息的經(jīng)驗(yàn)[3]。

第9.3條釋義是關(guān)于反興奮劑組織對(duì)第三方代理實(shí)施的合同控制的進(jìn)一步說(shuō)明，依照2018年實(shí)施版表述（...that include,inter alia,...），該條釋義列舉的是反興奮劑組織與第三方代理訂立的合同中必須包含的條款內(nèi)容。2021年實(shí)施版ISPPPI列舉的條款內(nèi)容未變，但經(jīng)修改后變?yōu)楹贤翱梢宰们椤卑@些條款內(nèi)容（...that can include,as appropriate,...）。換言之，2021年實(shí)施版ISPPPI第9.3條釋義提高了反興奮劑組織與第三方代理訂立合同時(shí)的靈活性。2021年實(shí)施版ISPPPI第9.6條將敏感個(gè)人信息處理的定期評(píng)估的具體周期要求刪除，并增設(shè)釋義，強(qiáng)調(diào)反興奮劑組織應(yīng)當(dāng)靈活采取適當(dāng)?shù)念l率進(jìn)行評(píng)估。

第10條明確了在反興奮劑組織必須使用ISPPPI的附件A作為確定保留期限的首要參考的同時(shí)，該條規(guī)定的一般保留標(biāo)準(zhǔn)仍適用于附件當(dāng)中未作特別規(guī)定的記錄或情況的保留。

第11.1條增加了“法定例外情形”“與反興奮劑體系的完整性相沖突”以及“與反興奮劑組織確立法律主張的能力相沖突”作為信息主體實(shí)現(xiàn)獲取權(quán)的限制。同時(shí)，該釋義也進(jìn)行了增補(bǔ)，明確個(gè)人依照適用的隱私和數(shù)據(jù)保護(hù)法可享有額外權(quán)利，如個(gè)人請(qǐng)求行使權(quán)利，應(yīng)當(dāng)主要由當(dāng)時(shí)與個(gè)人具有首要關(guān)系的反興奮劑組織負(fù)責(zé)接收和答復(fù)，WADA予以配合。

綜合來(lái)看，2021年實(shí)施版ISPPPI的修訂可歸納為3個(gè)方面：其一，提高其作為一份WADC締約方強(qiáng)制遵守的文件的規(guī)范性和可讀性，并與新版WADC保持一致；其二，反映反興奮劑實(shí)踐需求，提高反興奮劑組織遵守部分義務(wù)時(shí)的靈活性；其三，部分條款經(jīng)修訂后更為貼近GDPR的相關(guān)規(guī)定。相較于2018年實(shí)施版ISPPPI，2021年實(shí)施版ISPPPI整體而言更加完善，但依然存在一些問(wèn)題和缺陷，其中有部分在之前版本中就已存在，還有部分則是由此次修訂所產(chǎn)生。

3 2021年實(shí)施版ISPPPI存在的問(wèn)題和缺陷

2021年實(shí)施版ISPPPI在格式和表述方面進(jìn)行了一些調(diào)整，在一定程度上確實(shí)提高了標(biāo)準(zhǔn)的可讀性，然而在格式和表述上仍存在問(wèn)題。格式方面，第5條和第10條出現(xiàn)條款序號(hào)錯(cuò)誤。表述方面，部分涉及 “處理個(gè)人信息”的條款仍采取非術(shù)語(yǔ)表述（Handling），包括第二部分標(biāo)題和第9.3條釋義。從ISPPPI旨在為個(gè)人信息提供隱私保護(hù)以及個(gè)人信息釋義所列舉的個(gè)人信息類型來(lái)看，ISPPPI規(guī)定中涉及信息主體的“當(dāng)事人”（Person）應(yīng)全部限縮理解為自然人（Natural Person）。通過(guò)第 3部分“定義和解釋”下的第3.1條可知，ISPPPI所采取的 “當(dāng)事人”（Person）定義來(lái)源于WADC，指“自然人、組織或其他實(shí)體”，但該定義相較于ISPPPI下的實(shí)際范圍更廣；與此同時(shí)，ISPPPI卻僅在有限的條款（第4.2條釋義和第9.5條）中采取了自然人這一表述，未能在整個(gè)文件中實(shí)現(xiàn)統(tǒng)一。ISPPPI所保護(hù)的信息主體包括參賽者和其他當(dāng)事人，然而一些兩者明顯應(yīng)當(dāng)同時(shí)出現(xiàn)的條款卻遺漏了“其他當(dāng)事人”這一類主體，如第 4.5條、第 5.4條、第 6.1條釋義、第 7.1（f）條、第7.2條及釋義、第7.3條釋義以及第9.7條。為解決這一問(wèn)題，可以考慮參照GDPR的做法定義“信息主體”術(shù)語(yǔ)，在兩類主體應(yīng)當(dāng)同時(shí)出現(xiàn)的條款中使用，從而避免遺漏。另外，ISPPPI將反興奮劑組織應(yīng)確保工作人員遵守保密義務(wù)的義務(wù)單列為第9條下的第7款，同時(shí)卻將反興奮劑組織確保工作人員合規(guī)獲取個(gè)人信息并遵守保密義務(wù)的義務(wù)置于第9.1條（關(guān)于采取安全保障措施的要求）的釋義下，這一做法也是不妥的，應(yīng)當(dāng)將對(duì)同一類主體的要求置于相近的條款?？紤]到2021年實(shí)施版ISPPPI的“處理”經(jīng)修訂后增加了“獲取”這一類方式，因此第9.7條和第9.1條釋義的內(nèi)容實(shí)際上存在一定程度的交叉，第9.1條釋義更適于作為第9.7條的釋義。第10.1條規(guī)定 “反興奮劑組織應(yīng)根據(jù)以下原則保留附件A中沒(méi)有規(guī)定保留期限的個(gè)人信息”，然而其后的條款中，僅第10.2條和第10.5條可認(rèn)為是與保留“沒(méi)有規(guī)定保留期限的個(gè)人信息”直接相關(guān)，第10.3條和第10.4條實(shí)際上是適用于所有個(gè)人信息的保留的規(guī)定（即無(wú)論附件A是否規(guī)定保留期限），因此第10條內(nèi)部的順序安排是不合理的，應(yīng)當(dāng)予以調(diào)整。

除此之外，2021實(shí)施版ISPPPI在實(shí)質(zhì)內(nèi)容方面也存在一定缺陷，其中最突出的是第三方代理的“隱身”問(wèn)題。ISPPPI一方面指出該標(biāo)準(zhǔn)同時(shí)適用于反興奮劑組織及其第三方代理，另一方面卻未對(duì)第三方代理這一類義務(wù)主體設(shè)定義務(wù)。誠(chéng)然，考慮到第三方代理的類型以及ISPPPI作為行業(yè)規(guī)范區(qū)別于法律的本質(zhì)，ISPPPI難以直接約束第三方代理，因而未在條款正文中為其設(shè)定義務(wù)，而是采取要求反興奮劑組織予以合同控制這一間接做法，是可以理解的。但從ISPPPI現(xiàn)有條款來(lái)看，這一做法存在亟待解決的缺陷。ISPPPI第9.3條釋義經(jīng)修改后，將原本強(qiáng)制要求包含的第三方代理合同內(nèi)容，改為酌情包含，從而提高了反興奮劑組織訂立合同時(shí)的靈活性，但由于ISPPPI缺少關(guān)于第三方代理義務(wù)的條款，此舉進(jìn)一步降低了信息主體對(duì)于第三方代理負(fù)有的保護(hù)義務(wù)的確定性。此外，第11.5條關(guān)于投訴程序的規(guī)定也僅考量了反興奮劑組織未能遵守ISPPPI的情況，而未考量第三方代理代表反興奮劑組織處理個(gè)人信息時(shí)發(fā)生違規(guī)的情況。綜合來(lái)看，在第三方代理違反信息保護(hù)義務(wù)時(shí)，信息主體既難以依據(jù)具有確定性的義務(wù)內(nèi)容判斷違規(guī)的發(fā)生及程度，亦無(wú)法依據(jù)ISPPPI尋求救濟(jì)，由此可能免除反興奮劑組織對(duì)于第三方代理違規(guī)應(yīng)當(dāng)承擔(dān)的責(zé)任。為解決上述缺陷，可能的做法是：修改與個(gè)人信息處理要求直接相關(guān)的條款，刪去“反興奮劑組織”這一主語(yǔ)，改以“個(gè)人信息”或“個(gè)人信息處理”作為主語(yǔ)，并沿用2018年實(shí)施版ISPPPI第9.3條釋義做法，即在允許在第三方代理合同中設(shè)定其他條款的同時(shí)，規(guī)定必須包含的條款內(nèi)容 （如上述與個(gè)人信息處理要求直接相關(guān)的ISPPPI條款），從而為信息主體判斷第三方代理的違規(guī)提供參考。并且應(yīng)在第11.5條中規(guī)定，對(duì)第三方代理違規(guī)行為的投訴由反興奮劑組織受理和解決。

除第三方代理義務(wù)的缺陷外，ISPPPI在實(shí)質(zhì)內(nèi)容方面還存在其他缺陷。ISPPPI通過(guò)第11.1條釋義強(qiáng)調(diào)，參賽者或其他個(gè)人依照適用的隱私和數(shù)據(jù)保護(hù)法可能享有其他權(quán)利，對(duì)于此類請(qǐng)求，接收和答復(fù)的主要責(zé)任由當(dāng)時(shí)與個(gè)人具有首要關(guān)系的反興奮劑組織承擔(dān)。然而，依照第7.1條規(guī)定，ISPPPI僅要求反興奮劑組織告知信息主體其依照ISPPPI享有的權(quán)利，而未提及額外權(quán)利，這對(duì)于信息主體的權(quán)利保護(hù)是不夠充分的。另外，依照第11.4條參照的GDPR第19條規(guī)定，控制者對(duì)于個(gè)人信息狀態(tài)變化的通知義務(wù)應(yīng)包含其披露信息的所有接收者，ISPPPI第11.4條卻僅提及“其他反興奮劑組織”，而未考慮同樣可能作為信息接收者的“第三方代理”和“第三方”。

4 結(jié)語(yǔ)

聯(lián)合國(guó)人權(quán)理事會(huì)曾指出，體育賽事有助于增進(jìn)對(duì)人權(quán)原則的認(rèn)識(shí)和理解[4]。換言之，體育賽事的全球化推動(dòng)了人權(quán)事業(yè)的全球化。與之相類似，體育領(lǐng)域?qū)τ诜磁d奮劑語(yǔ)境下個(gè)人信息保護(hù)問(wèn)題的關(guān)切，對(duì)于推動(dòng)世界范圍內(nèi)的個(gè)人信息保護(hù)的發(fā)展同樣具有積極意義。根據(jù)聯(lián)合國(guó)貿(mào)易和發(fā)展會(huì)議收集的數(shù)據(jù)，截至2019年3月，107個(gè)國(guó)家通過(guò)立法為個(gè)人數(shù)據(jù)和隱私提供保護(hù)，僅占全世界國(guó)家總數(shù)的58%；除12%的國(guó)家缺少相關(guān)數(shù)據(jù)外，仍有21%的國(guó)家尚未就此進(jìn)行立法，10%的國(guó)家的有關(guān)立法尚在草案階段[5]。這一數(shù)據(jù)意味著不同國(guó)家的參賽者依據(jù)國(guó)內(nèi)法所享有的個(gè)人信息保護(hù)水平存在客觀差距，而WADA參照包括目前公認(rèn)的最為先進(jìn)的GDPR在內(nèi)的數(shù)據(jù)保護(hù)文件所制定的ISPPPI，不僅能夠在一定程度上消弭這一差距，也能夠?yàn)閿?shù)據(jù)保護(hù)水平較弱國(guó)家起到示范和啟示作用。因此，ISPPPI極具積極意義。但在此同時(shí)，應(yīng)當(dāng)對(duì)其存在的缺陷和問(wèn)題進(jìn)行修正和完善，以在提高這一標(biāo)準(zhǔn)的確定性和權(quán)威性的同時(shí)，為信息主體提供更為合理的保護(hù)。